令和4年 問85
情報セキュリティポリシを、基本方針、対策基準、実施手順の三つの文書で構成したとき、これらに関する説明のうち、適切なものはどれか。
解説(令和4年 問85)
基本方針、対策基準、実施手順の三つのポイントを図にすると、次のようになります。

ア ”基本方針は、対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。”は適切です。
イ ”実施手順”は、具体的な進め方なので、”基本方針と対策基準を定めるために実施した作業の手順を記録したものである。”は不適切です。
ウ ”対策基準”は、具体的な規則なので、”ISMSに準拠した情報セキュリティポリシを策定するための文書の基準を示したものである。”は不適切です。
エ ”対策基準は、具体的な規則なので、”情報セキュリティ事故が発生した後の対策を実施手順よりも詳しく記述したものである。”は不適切です。
よって、正解は ア です。
令和4年 問86
情報セキュリティにおけるリスクアセスメントを、リスク特定、リスク分析、リスク評価の三つのプロセスに分けたとき、リスク分析に関する記述として、最も適切なものはどれか。
解説(令和4年 問86)
リスクアセスメントの流れを図に表すと、次のようになります。

リスク分析は、リスクの発生確率と影響度から、リスクの大きさを算定することです。
ア “各リスクのレベルを決定する”とあるので、リスク分析です。
イ リスクが特定されたものについてリスク分析するので、”全ての情報資産を分析の対象にする必要がある。は不適切です。
ウ 複数の技法を使うことで作業を効率よく行うこともできるので、”同じ分析技法を用いる必要がある。”は不適切です。
エ ”リスクが受容可能かどうかを決定する”とあるので、リスク評価についての内容です。不適切です。
よって、正解は ア です。
令和4年 問91
ソーシャルエンジニアリングに該当する行為の例はどれか。
解説(令和4年 問91)
ソーシャルエンジニアリングは、人間の心理的な隙などを突いて、コンピュータに侵入するための情報を盗み出すことです。
ア ”あらゆる文字の組合せを総当たりで機械的に入力する”とあるので、人間の心理的な隙などを突いていません。
イ ”肩越しに盗み見して入手したパスワードを利用し”とあるので、人間の心理的な隙などを突いています。
ウ ”標的のサーバに大量のリクエストを送りつけて”とあるので、人間の心理的な隙などを突いていません。
エ ”プログラムで確保している記憶領域よりも長いデータを入力する”とあるので、人間の心理的な隙などを突いていません。
よって、正解は イ です。
令和4年 問95
攻撃対象とは別のWebサイトから盗み出すなどによって、不正に取得した大量の認証情報を流用し、標的とするWebサイトに不正に侵入を試みるものはどれか。
解説(令和4年 問95)
ア DoS攻撃は、電子メールやWeb リクヱストなどを大量に送りつけて、ネットワーク上のサーピスを提供不能にすることです。
(ITパスポート 平成25年春 問52より)
イ SQLインジェクションは、Webアプリケーションのデータ操作言語の呼出し方に不備がある場合に、攻撃者が悪意をもって構成した文字列を入力することによって、データベースのデータの不正な取得、改ざん及び削除をする攻撃です。
(基本情報 平成28年春午前 問37より)
ウ パスワードリスト攻撃は、複数サイトで同一の利用者IDとパスワードを使っている利用者がいる状況に着目して、不正に取得した他サイトの利用者IDとパスワードの一覧表を用いて、ログインを試行する攻撃です。
(情報セキュリティマネジメント 平成28年春午前 問26より)
エ フィッシングは、金融機関などからの電子メールを装い、偽サイトに誘導して暗証番号やクレジットカード番号などを不正に取得することです。
(ITパスポート 平成28年春 問63より)
よって、正解は ウ です。
令和4年 問100
社内に設置された無線LANネットワークに接続している業務用のPCで、インターネット上のあるWebサイトを閲覧した直後、Webブラウザが突然終了したり、見知らぬファイルが作成されたりするなど、マルウェアに感染した可能性が考えられる事象が発生した。このPCの利用者が最初に取るべき行動として適切なものはどれか。
解説(令和4年 問100)
マルウェアは、ネットワークを介して被害を広げるものが多いです。
端末がマルウェアに感染したと思われる場合、すぐに端末をネットワークから遮断して、被害が拡大しないように隔離することが第一です。
よって、正解は ウ です。
コメント