ITパスポート/スキマ時間にちょっと確認4~セキュリティ

ITパスポートすきま問題4テクノロジ系セキュリティ分野別問題集
スポンサーリンク

今回は、ISMSの知識を確認できる問題です。

スポンサーリンク

(1) 令和2年 問87

ISMSにおける情報セキュリティに関する次の記述中のa、bに入れる字句の適切な組合せはどれか。

情報セキュリティとは、情報の機密性、( a ) 及び可用性を維持することである。さらに、 ( b )、責任追跡性、否認防止、信頼性などの特性を維持することを含める場合もある。

ア a:完全性  b:真正性
イ a:完全性  b:保守性
ウ a:保全性  b;真正性
エ a:保全性  b:保守性
 

解説

情報セキュリティの要素

完全性は、情報および処理方法の正確さおよび完全である状態を安全防護することです。

真正性は、本物であることを証明できることです。

保守性、保全性は、情報セキュリティの要素の要素でありません。

よって、正解は ア です。

(2) 令和3年 問67

ISMSにおける情報セキュリティに関する次の記述中のa、bに入れる字句の適切な組合せはどれか。

情報セキュリティとは、情報の機密性、完全性及び( a )を維持することである。さらに、真正性、責任追跡性、否認防止、 ( b )などの特性を維持することを含める場合もある。

ア a:可用性  b:信頼性
イ a:可用性  b:保守性
ウ a:保全性  b;信頼性
エ a:保全性  b:保守性
 

解説

可用性は、認可された利用者が、必要なときに情報にアクセスできることを確実にすることです。

信頼性は、不具合がないことです。

保守性、保全性は、情報セキュリティの要素の要素でありません。

よって、正解は ア です。

(3) 令和3年 問77

PDCAモデルに基づいてISMSを運用している組織の活動におい、リスクマネジメントの活動状況の監視の結果などを受けて、是正や改善措置を決定している。この作業は、PDCAモデルのどのプロセスで実施されるか。

ア P
イ D
ウ C
エ A
 

解説

”監視の結果などを受けて”とあるので、CHECKのあとです。

よって、正解は エ です。

(4) 令和3年 問79

中小企業の情報セキュリティ対策普及の加速化に向けて、IPAが創設した制度である“SECURITY ACTION”に関する記述のうち、適切なものはどれか。

ア ISMS認証取得に必要な費用の一部を国が補助する制度
イ 営利を目的としている組織だけを対象とした制度
ウ 情報セキュリティ対策に取り組むことを自己宣言する制度
エ 情報セキュリティ対策に取り組んでいることを第三者が認定する制度
 

解説

SECURITY ACTIONの特徴は、”自己宣言”です。

よって、正解は ウ です。

(5) 令和元年秋 問97

情報セキュリティの三大要素である機密性、完全性及び可用性に関する記述のうち、最も適切なものはどれか。

ア 可用性を確保することは、利用者が不用意に情報漏えいをしてしまうリスクを下げることになる。
イ 完全性を確保する方法の例として、システムや設備を二重化して利用者がいつでも利用できるような環境を維持することがある。
ウ 機密性と可用性は互いに反する側面をもっているので、実際の運用では両者をバランスよく確保することが求められる。
エ 機密性を確保する方法の例として、データの滅失を防ぐためのパックアップや誤入力を防ぐための入力チェックがある。
 

解説

機密性は、情報にアクセスすることが認可されたものだけがアクセスできることを確実にすることです。

ア 可用性は、認可された利用者が、必要なときに情報にアクセスできることを確実にすることです。

  リスクを下げることでありません

イ 完全性は、情報および処理方法の正確さおよび完全である状態を安全防護することです。

  ”システムや設備を二重化”で、情報および処理方法の正確さは安全防護されません。

ウ 機密性を高めると利用者が限られ、可用性を高めると利用者が増えます。

  互いに反する側面をもっています。

エ ”データの滅失を防ぐためのパックアップ”しても、機密性は確保できません。

よって、正解は ウ です。

(6) 令和4年 問58

 ISMSの計画、運用、パフォーマンス評価及び改善において、パフォーマンス評価で実施するものはどれか。

ア 運用の計画及び管理
イ 内部監査
ウ 不適合の是正処置
エ リスクの決定
 

解説

パフォーマンス評価は、目標や計画に対して、実行した結果と、計画をどこまで達成できたか確認することです。

ア “計画及び管理”は、確認でないので、パフォーマンス評価で実施するものでありません。

イ 内部監査は、企業内部の人間(内部監査人)によって行われる、定期的な運用確認のことです。

  ”内部監査”は確認なのでパフォーマンス評価で実施するものです。

ウ 是正処置は、良くない部分を直して目標や計画を満たすことができる状態に近づけることです。

  ”是正処置”は確認でないので、パフォーマンス評価で実施するものではありません。

エ ”リスクの決定”は、確認でないので、パフォーマンス評価で実施するものではありません。

よって、正解は イ です。

(7) 令和4年 問72

 情報セキュリティにおける機密性、完全性及び可用性と、①~③のインシデントによって損なわれたものとの組合せとして、適切なものはどれか。

① DDoS攻撃によって、Webサイトがダウンした。

② キーボードの打ち間違いによって、不正確なデータが入力された。

③ PCがマルウェアに感染したことによって、個人情報が漏えいした。

ア ①可用性 ②完全性 ③機密性
イ ①可用性 ②機密性 ③完全性
ウ ①完全性 ②可用性 ③機密性
エ ①完全性 ②機密性 ③可用性
 

解説

機密性は、情報にアクセスすることが認可されたものだけがアクセスできることを確実にすることです。

完全性は、情報および処理方法の正確さおよび完全である状態を安全防護することです。

可用性は、認可された利用者が、必要なときに情報にアクセスできることを確実にすることです。

また、インシデントは、事故につながるような事態や事件のことです。

ここでは、セキュリティに影響を及ぼしかねない予期せぬトラブルや攻撃のことです。

”Webサイトがダウン”すると、Webサイトが使えなくなるので、可用性を損なうインシデントです。

”不正確なデータが入力”されると、データの正確さがなくなるので、完全性を損なうインシデントです。

”個人情報が漏えい”したので、機密性を損なうインシデントです。

よって、正解は ア です。

今回は、ISMSの知識を確認できる問題でした。

次回は、 第5回 セキュリティ対策の方法・特徴を覚えられる問題を確認しましょう。

次は、こちら

第3回へ
スキマ時間問題
第5回へ

コメント

タイトルとURLをコピーしました