セキュリティ-令和3年-c

スポンサーリンク
スポンサーリンク

令和3年 問85

無線LANのセキュリティにおいて、アクセスポイン卜がPCなどの端末からの接続要求を受け取ったときに、接続を要求してきた端末固有の情報を基に接続制限を行う仕組みはどれか。

ア ESSID
イ MACアドレスフィルタリング
ウ VPN
エ WPA2
 

解説(令和3年 問85)

ア ESSIDは、無線のネットワークを識別する文字列で、ネットワーク管理者が設定できます。

イ ”接続を要求してきた端末固有の情報を基に接続制限を行う仕組み”とあるので、MACアドレスフィルタリングです。

ウ VPNは公衆ネットワークなどを利用して構築された、専用ネットワークのように使える仮想的なネットワークです。
(ITパスポート 平成29年秋 問85より)

エ WPA2は、無線LANにおいて、端末とアクセスポイント間で伝送されているデータの盗聴を防止するために利用される暗号化方式です。
(ITパスポート 平成27年春 問74より)

よって、正解は  です。

令和3年 問88

ISMSのリスクアセスメントにおいて、最初に行うものはどれか。

ア リスク対応
イ リスク特定
ウ リスク評価
エ リスク分析
 

解説(令和3年 問88)

リスクアセスメントは、識別された資産に対するリスクを分析、評価し、基準に照らして対応が必要かどうかを判断することです。

次のような流れで行います。

リスクアセスメントの説明(テクノロジ系セキュリティ62.情報セキュリティ管理)

よって、正解は  です。

令和3年 問91

次の作業a~dのうち、リスクマネジメントにおける、リスクアセスメントに含まれるものだけを全て挙げたものはどれか。

a  脅威や脆弱性などを使ってリスクレベルを決定する。
b  リスクとなる要因を特定する。
c  リスクに対してどのように対応するかを決定する。
d  リスクについて対応する優先順位を決定する。

ア リスク対応
イ リスク特定
ウ リスク評価
エ リスク分析
 

解説(令和3年 問91)

a  ”脅威や脆弱性などを使ってリスクレベルを決定する。”は、リスク分析です。

b  ”リスクとなる要因を特定する。”は、リスク特定です。

c  ”リスクに対してどのように対応するかを決定する。”は、リスク対応です。

d  ”リスクについて対応する優先順位を決定する。”は、リスク評価です。

リスクアセスメントに含まれるのは、リスク特定、リスク分析、リスク評価です。

よって、正解は  です。

令和3年 問94

特定のPCから重要情報を不正に入手するといった標的型攻撃に利用され、攻撃対象のPCに対して遠隔から操作を行って、ファイルの送受信やコマンドなどを実行させるものはどれか。

ア RAT
イ VPN
ウ デバイスドライバ
エ ランサムウェア
 

解説(令和3年 問94)

ア RATは、リモートでシステムにアクセスして操作することを可能にするソフトウェアの総称です。

イ VPNは、公衆ネットワークなどを利用して構築された、専用ネットワークのように使える仮想的なネットワークです。
(ITパスポート 平成29年秋 問85より)

ウ デバイスドライバは、PCに接続されている周辺機器を制御、操作するためのソフトウェアです。
(ITパスポート 平成30年春 問83より)

エ ランサムウェアは、PC内のファイルを暗号化して使用不能にし、復号するためのキーと引換えに金品を要求するソフトウェアです。
(ITパスポート 平成31年春 問94より)

よって、正解は  です。

令和3年 問96

情報セキュリティ方針に関する記述として、適切なものはどれか。

ア 一度定めた内容は、運用が定着するまで変更してはいけない。
イ 企業が目指す情報セキュリティの理想像を記載し、その理想像に近づくための活動を促す。
ウ 企業の情報資産を保護するための重要な事項を記載しているので、社外に非公開として厳重に管理する。
エ 自社の事業内容、組織の特性及び所有する情報資産の特徴を考慮して策定する。
 

解説(令和3年 問96)

ア 情報セキュリティ対策の向上のために、情報セキュリティポリシーは、運用を開始した後にも、社員や職員の要求や社会状況の変化、新たな脅威の発生などに応じて、定期的に見直し、必要に応じて改定します。

”一度定めた内容は,運用が定着するまで変更してはいけない。”は、適切でありません。

イ 情報セキュリティポリシーには、基本的な考え方、情報セキュリティを確保するための体制、運用規定、基本方針、対策基準などを具体的に記載します。

”その理想像に近づくための活動を促す。”は、適切でありません。

ウ 基本方針は,対策基準や実施手順を定めるためのトップマネジメントの意思を示したものなので公開します。

”社外に非公開として厳重に管理する。”は、適切でありません。

エ 情報セキュリティ対策は画一的なものではなく、企業や組織の持つ情報や組織の規模、体制によって、大きく異なります。

”自社の事業内容、組織の特性及び所有する情報資産の特徴を考慮して策定する。”は、適切です。

よって、正解は  です。

令和3年 問97

複数のコンピュータが閉じ内容のデータを保持し、各コンピュータがデータの正当性を検証して担保することによって、矛盾なくデータを改ざんすることが困難となる、暗号資産の基盤技術として利用されている分散型台帳を実現したものはどれか。

ア クラウドコンピューティング
イ ディープラ一二ング
ウ ブロックチェーン
エ リレーショナルデータべース
 

解説(令和3年 問97)

ア クラウドコンピューティングは、ソフトウェアやハードウェアなどの各種リソースを、インターネットなどのネットワークを経由して、オンデマンドで(求めたときに)スケーラブルに(柔軟に)利用することことです。
(ITパスポート 令和3年 問5より)

イ ディープラーニングは、大量のデータをニューラルネットワークで解析して、データの特徴を抽出、学習する技術です。
(ITパスポート 令和元年秋 問21より)

ウ ブロックチェーンは、複数の取引記録をまとめたデータを順次作成するときに、そのデータに直前のデータのハッシュ値を埋め込むことによって、データを相互に関連付け、取引記録を矛盾なく改ざんすることを困難にすることで、データの信頼性を高める技術です。
(ITパスポート 令和元年秋 問59より)

エ リレーショナルデータべース

よって、正解は  です。

令和3年 問99

情報セキュリティのリスクマネジメントにおいて、リスク移転、リスク回避、リスク低減、リスク保有などが分類に用いられることがある。これらに関する記述として、適切なものはどれか。

ア リスク対応において、リスクへの対応策を分類したものであり、リスクの顕在化に備えて保険を掛けることは,リスク移転に分類される。
イ リスク特定において、保有資産の使用目的を分類したものであり、マルウェア対策ソフトのような情報セキュリティ対策で使用される資産は、リスク低減に分類される。
ウ リスク評価において、リスクの評価方法を分類したものであり、管理対象の資産がもつリスクについて,それを回避することが可能かどうかで評価することは、リスク回避に分類される。
エ リスク分析において、リスクの分析手法を分類したものであり、管理対象の資産がもつ脆弱性を客観的な数値で表す手法は、リスク保有に分類される。
 

解説(令和3年 問99)

ア ”リスク対応において、リスクへの対応策を分類したものであり、リスクの顕在化に備えて保険を掛けることは、リスク移転に分類される。”は、適切です。

イ リスク特定は、組織に存在するリスクを洗い出すことです。

”保有資産の使用目的を分類した”は、適切でありません。

ウ リスク評価は、リスクの大きさとリスク受容基準を比較して、対策実施の必要性を判断することです。

”リスクの評価方法を分類したもの”は、適切でありません。

エ リスク分析は、リスクの発生確率と影響度から、リスクの大きさを算定することです。

”リスクの分析手法を分類したもの”は、適切でありません。

よって、正解は  です。

コメント

タイトルとURLをコピーしました