令和4年 問55
情報セキュリティにおけるPCI DSSの説明として、適切なものはどれか。
解説(令和4年 問55)
ア “クレジットカード情報を取り扱う事業者に求められるセキュリティ基準”は、PCI DSSの説明です。
イ ”セキュリティ関連の処理を行う半導体チップ”とあるので、TPMの説明です。
ウ ”コンピュータやネットワークのセキュリティ事故に対応する組織”とあるので、CSIRTの説明です。
エ ”不正なアクセスを検知して攻撃を防ぐシステム”とあうので、SIEMの説明です。
よって、正解は ア です。
令和4年 問56
ランサムウェアによる損害を受けてしまった場合を想定して、その損害を軽減するための対策例として、適切なものはどれか。
解説(令和4年 問56)
ランサムウェアは、PC内のファイルを暗号化して使用不能にし、復号するためのキーと引換えに金品を要求するソフトウェアです。
(ITパスポート 平成31年春 問94より)
ア ”外部記憶装置に定期的にバックアップしておく。”ことによって、PCが使用できなくなってもデータを利用できるので被害を軽減できます。
イ ”使用するIDやパスワードを異なるものにしておく。”は、ランサムウェアの感染を防ぐ対策です。
ウ ”マルウェア対策ソフトを用いてPC内の全ファイルの検査をしておく。”は、ランサムウェアの感染を防ぐ対策です。
エ ”WPA2を用いて通信内容を暗号化しておく。”は、無線LANの盗聴対策です。
よって、正解は ア です。
令和4年 問58
ISMSの計画、運用、パフォーマンス評価及び改善において、パフォーマンス評価で実施するものはどれか。
解説(令和4年 問58)
パフォーマンス評価は、目標や計画に対して、実行した結果と、計画をどこまで達成できたか確認することです。
ア “計画及び管理”は、確認でないので、パフォーマンス評価で実施するものでありません。
イ 内部監査は、企業内部の人間(内部監査人)によって行われる、定期的な運用確認のことです。
”内部監査”は確認なのでパフォーマンス評価で実施するものです。
ウ 是正処置は、良くない部分を直して目標や計画を満たすことができる状態に近づけることです。
”是正処置”は確認でないので、パフォーマンス評価で実施するものではありません。
エ ”リスクの決定”は、確認でないので、パフォーマンス評価で実施するものではありません。
よって、正解は イ です。
令和4年 問60
公開鍵暗号方式で使用する鍵に関する次の記述中のa、bに入れる字句の適切な組合せはどれか。
それぞれ公開鍵と秘密鍵をもつA社とB社で情報を送受信するとき、他者に通信を傍受されても内容を知られないように、情報を暗号化して送信することにした。A社からB社に情報を送信する場合、A社は( a )を使って暗号化した情報をB社に送信する。B社はA杜から受信した情報を( b )で復号して情報を取り出す。
解説(令和4年 問60)
公開鍵暗号方式は、 データの送信側は受信者の公開鍵で暗号化し、受信側は自身の秘密鍵で復号する暗号方式です。
(ITパスポート 平成21年秋 問74より)

よって、正解は エ です。
令和4年 問64
a~dのうち、ファイアウォールの設置によって実現できる事項として、適切なものだけを全て挙げたものはどれか。
a 外部に公開するWebサーバやメールサーバを設置するためのDMZの構築
b 外部のネットワークから組織内部のネットワークへの不正アクセスの防止
c サーバルームの入り口に設置することによるアクセスを承認された人だけの入室
d 不特定多数のクライアントからの大量の要求を複数のサーバに動的に振り分けることによるサーバ負荷の分散
解説(令和4年 問64)
ファイアウォールは、ネットワークにおいて,外部からの不正アクセスを防ぐために内部ネットワークと外部ネットワークの聞に置かれるしくみです。
(ITパスポート 平成22年春 問68より)
a DMZは、企業内ネットワークからも,外部ネットワークからも論理的に隔離されたネットワーク領域であり,そこに設置されたサーバが外部から不正アクセスを受けたとしても,企業内ネットワークには被害が及ばないようにするためのものです。
(ITパスポート 平成25年秋 問79より)
”DMZの構築”は、ファイアウォールの機能です。
b ”外部のネットワークから組織内部のネットワークへの不正アクセスの防止”は、ファイアウォールの機能です。
c ”アクセスを承認された人だけの入室”は、物理的なアクセス制御です。ファイアウォールは、ネットワークの論理的なしくみで、物理的なものでありません。
d ”サーバ負荷の分散”は、ファイアウォールの機能でありません。
よって、正解は ア です。
令和4年 問69
サイバーキルチェーンの説明として、適切なものはどれか。
解説(令和4年 問69)
サイバーキルチェーンは、サイバー攻撃の段階を説明した代表的なモデルの一つです。
サイバー攻撃を7段階に区分して、攻撃者の考え方や行動を理解することを目的としています。
サイバーキルチェーンのいずれかの段階でチェーンを断ち切ることができれば、被害の発生を防ぐことができます。
(情報セキュリティマネジメント 平成31年春午後 問1より)
ア ”情報システムへの攻撃段階を””モデル化したもの”とあるので、サイバーキルチェーンの説明です。
イ ”複数のネットワーク機器を数珠つなぎに接続していく接続方式”は、デイジーチェーン接続です。
ウ ”分散管理台帳技術”とあるので、ブロックチェーンです。
エ ”電子メールが、不特定多数を対象に、ネットワーク上で次々と転送されること”は、チェーンメールです。
よって、正解は ア です。
コメント