情報セキュリティの重要性が高まる現代社会において、情報セキュリティマネジメント試験は、IT業界で働く人々にとって重要な資格となっています。この試験に合格するためには、定期的な学習と問題演習が欠かせません。毎日30分程度、過去問や模擬問題に取り組むことで、試験に必要な知識と解答テクニックを着実に身につけることができます。
さあ、今日から30問チャレンジを始めて、合格への道を歩み始めましょう!
| 項目 | 内容 |
|---|---|
| 試験概要 | 情報セキュリティの基礎知識と実践力を問う国家試験 |
| 試験の難易度 | 基本情報技術者試験よりやや易しい |
| 公式サイトURL | https://www.ipa.go.jp/shiken/kubun/sg/index.html |
情報セキュリティ技術
情報セキュリティの基本概念や暗号技術、認証技術などの技術的側面について学びます。サイバー攻撃の種類や対策方法、最新のセキュリティ技術のトレンドなども重要な学習ポイントです。
問題1
暗号化通信において、公開鍵と秘密鍵を使用する暗号方式は次のうちどれですか?
- 共通鍵暗号方式
- ハッシュ関数
- 公開鍵暗号方式
- ブロック暗号
正解: 3. 公開鍵暗号方式
解説: 公開鍵暗号方式は、公開鍵と秘密鍵のペアを使用します。公開鍵は誰でも利用できますが、秘密鍵は所有者のみが保持します。この方式では、公開鍵で暗号化されたデータは対応する秘密鍵でのみ復号できるため、安全な通信が可能となります。
問題2
次のうち、ファイアウォールの主な機能ではないものはどれですか?
- パケットフィルタリング
- アプリケーションゲートウェイ
- ステートフルインスペクション
- データの暗号化
正解: 4. データの暗号化
解説: ファイアウォールの主な機能は、ネットワーク間の通信を制御し、不正なアクセスを防ぐことです。パケットフィルタリング、アプリケーションゲートウェイ、ステートフルインスペクションはファイアウォールの代表的な機能ですが、データの暗号化は通常、別のセキュリティ技術(例:VPNやSSL/TLS)で行われます。
問題3
マルウェア対策として効果的ではないものは次のうちどれですか?
- アンチウイルスソフトの定期的な更新
- 不審な添付ファイルを開かない
- オペレーティングシステムの脆弱性対策
- ファイアウォールの無効化
正解: 4. ファイアウォールの無効化
解説: ファイアウォールは不正なネットワークアクセスを防ぐ重要なセキュリティ対策です。無効化することでセキュリティリスクが高まります。アンチウイルスソフトの更新、不審な添付ファイルの取り扱い注意、OSの脆弱性対策はいずれもマルウェア対策として効果的です。
問題4
多要素認証において、一般的に使用される要素の組み合わせとして正しいものはどれですか?
- 知識・所有・生体
- パスワード・暗号鍵・IPアドレス
- 指紋・顔認証・虹彩認証
- ユーザー名・メールアドレス・秘密の質問
正解: 1. 知識・所有・生体
解説: 多要素認証では、通常「知っているもの(知識)」「持っているもの(所有)」「本人であること(生体)」の3つの要素から2つ以上を組み合わせて使用します。例えば、パスワード(知識)とスマートフォンのアプリ(所有)、指紋認証(生体)などの組み合わせが一般的です。
問題5
次のうち、ランサムウェア攻撃への対策として適切ではないものはどれですか?
- 重要データの定期的なバックアップ
- セキュリティパッチの適用
- 不審なメールの添付ファイルを開かない
- すべての外部接続を遮断する
正解: 4. すべての外部接続を遮断する
解説: すべての外部接続を遮断することは、ビジネス運営に大きな支障をきたす可能性があり、現実的ではありません。一方、重要データの定期的なバックアップ、セキュリティパッチの適用、不審なメールの添付ファイルを開かないことは、ランサムウェア攻撃への効果的な対策となります。適切なセキュリティ対策を講じつつ、必要な外部接続を維持することが重要です。
情報セキュリティ管理
組織における情報セキュリティマネジメントシステム(ISMS)の構築・運用・改善について理解を深めます。リスクアセスメントやインシデント対応、事業継続計画(BCP)などの管理的側面も押さえておく必要があります。
問題1
情報セキュリティマネジメントシステム(ISMS)の PDCAサイクルにおいて、「Check」の段階で行うべき活動は次のうちどれですか?
- セキュリティポリシーの策定
- セキュリティ対策の実施
- セキュリティ監査の実施
- 改善計画の立案
正解: 3. セキュリティ監査の実施
解説: PDCAサイクルの「Check」段階では、実施した対策の有効性を評価・検証します。セキュリティ監査はこの段階で行われ、現状の把握と改善点の特定に役立ちます。「Plan」でポリシー策定、「Do」で対策実施、「Act」で改善計画立案を行います。
問題2
情報資産の機密性、完全性、可用性のうち、データの改ざんや破壊を防ぐことに最も関連が深いのは次のうちどれですか?
- 機密性
- 完全性
- 可用性
- 真正性
正解: 2. 完全性
解説: 完全性は、情報が正確で完全であり、不正な変更や破壊から保護されていることを指します。データの改ざんや破壊を防ぐことは、まさに完全性を守ることに直結します。機密性は情報へのアクセス制限、可用性は必要なときに情報にアクセスできることを意味します。
問題3
情報セキュリティインシデント発生時の対応手順として、最初に行うべきものは次のうちどれですか?
- 原因の分析
- 被害の拡大防止
- システムの復旧
- 再発防止策の策定
正解: 2. 被害の拡大防止
解説: インシデント発生時は、まず被害の拡大を防止することが最優先です。これにより、さらなる損害を防ぎ、影響を最小限に抑えることができます。その後、原因分析、システム復旧、再発防止策の策定という順序で対応を進めていきます。
問題4
リスクアセスメントにおいて、リスク対応の選択肢として適切でないものは次のうちどれですか?
- リスク回避
- リスク移転
- リスク受容
- リスク無視
正解: 4. リスク無視
解説: リスクアセスメントでは、特定されたリスクに対して適切な対応を選択します。一般的な選択肢には、リスク回避(リスクを生む活動を止める)、リスク移転(保険等で他者にリスクを移す)、リスク受容(コスト等の理由でリスクを受け入れる)、リスク低減(対策を講じてリスクを軽減する)があります。リスクを無視することは適切な対応ではありません。
問題5
事業継続計画(BCP)の策定において、最初に行うべき作業は次のうちどれですか?
- 復旧手順の詳細化
- 重要業務の特定
- 代替サイトの選定
- 訓練計画の立案
正解: 2. 重要業務の特定
解説: BCPの策定では、まず組織の重要業務を特定することが不可欠です。これにより、限られたリソースで優先的に継続・復旧すべき業務が明確になります。重要業務が特定された後、その業務に必要なリソースの分析、復旧手順の策定、代替サイトの選定、訓練計画の立案などの作業を進めていきます。
関連法規と標準規格
個人情報保護法やサイバーセキュリティ基本法などの関連法規、ISO/IEC 27001やNIST Cybersecurity Frameworkなどの国際標準規格について学習します。法的要求事項やベストプラクティスを理解することが重要です。
問題1
個人情報保護法において、個人情報取扱事業者が個人データを第三者に提供する際に、本人の同意を得ずに提供できる場合として、適切でないものはどれですか?
- 法令に基づく場合
- 人の生命、身体または財産の保護のために必要がある場合
- 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合
- マーケティング目的で利用する場合
正解: 4. マーケティング目的で利用する場合
解説: 個人情報保護法では、原則として本人の同意なしに個人データを第三者に提供することはできません。ただし、法令に基づく場合や人の生命・身体・財産の保護、公衆衛生の向上、児童の健全育成などの特定の場合には例外が認められています。マーケティング目的での利用は、これらの例外に該当せず、本人の同意が必要です。
問題2
次のうち、サイバーセキュリティ基本法の目的として適切でないものはどれですか?
- サイバーセキュリティに関する施策を総合的かつ効果的に推進すること
- 国民の安全・安心の確保
- 経済社会の活力の向上
- インターネット上の違法コンテンツの取り締まり
正解: 4. インターネット上の違法コンテンツの取り締まり
解説: サイバーセキュリティ基本法の主な目的は、サイバーセキュリティに関する施策を総合的かつ効果的に推進し、国民の安全・安心を確保し、経済社会の活力の向上と持続的発展を図ることです。インターネット上の違法コンテンツの取り締まりは、この法律の直接的な目的ではなく、別の法律や規制の対象となります。
問題3
ISO/IEC 27001の要求事項に含まれないものは次のうちどれですか?
- リスクアセスメント
- 情報セキュリティポリシーの策定
- 内部監査
- 特定の暗号化アルゴリズムの使用
正解: 4. 特定の暗号化アルゴリズムの使用
解説: ISO/IEC 27001は情報セキュリティマネジメントシステム(ISMS)の国際規格です。この規格は、リスクアセスメント、情報セキュリティポリシーの策定、内部監査などのプロセスを要求していますが、特定の技術的な実装(例:特定の暗号化アルゴリズム)を指定することはありません。組織は自身のリスク評価に基づいて適切な技術的対策を選択します。
問題4
NIST Cybersecurity Frameworkの5つの主要機能に含まれないものはどれですか?
- 特定(Identify)
- 保護(Protect)
- 検知(Detect)
- 暗号化(Encrypt)
正解: 4. 暗号化(Encrypt)
解説: NIST Cybersecurity Frameworkの5つの主要機能は、特定(Identify)、保護(Protect)、検知(Detect)、対応(Respond)、復旧(Recover)です。暗号化は重要なセキュリティ対策の一つですが、フレームワークの主要機能としては明示的に挙げられておらず、「保護」機能の一部として考えられます。
問題5
次のうち、不正アクセス禁止法で禁止されている行為として適切でないものはどれですか?
- 他人のIDとパスワードを無断で使用してログインする
- セキュリティホールを利用してシステムに侵入する
- 自分のパスワードを他人に教える
- 他人のコンピュータに不正なプログラムを送付して操作する
正解: 3. 自分のパスワードを他人に教える
解説: 不正アクセス禁止法は、他人のIDやパスワードの無断使用、セキュリティホールを利用したシステムへの侵入、不正プログラムによる他人のコンピュータの操作などを禁止しています。一方、自分のパスワードを他人に教えることは、セキュリティ上問題があり組織のポリシーで禁止されることが多いですが、この法律で直接禁止されているわけではありません。ただし、教えられたパスワードを使用して不正アクセスが行われた場合、それは違法行為となります。
システム開発・運用におけるセキュリティ
ソフトウェア開発ライフサイクルにおけるセキュリティ対策や、クラウドコンピューティング、IoTデバイスのセキュリティなど、システムの開発・運用に関連するセキュリティ知識を習得します。
問題1
ソフトウェア開発ライフサイクルにおいて、セキュリティを考慮すべき最適なタイミングはいつですか?
- 設計段階
- 実装段階
- テスト段階
- 全ての段階
正解: 4. 全ての段階
解説: セキュリティは、ソフトウェア開発ライフサイクルの全ての段階で考慮されるべきです。これは「セキュリティ・バイ・デザイン」の考え方に基づいています。要件定義から設計、実装、テスト、運用、保守に至るまで、各段階でセキュリティを組み込むことで、より堅牢なシステムを構築できます。
問題2
Webアプリケーションにおける代表的な脆弱性対策として、適切でないものはどれですか?
- 入力値のバリデーション
- パラメータのエスケープ処理
- セッション管理の適切な実装
- 全てのエラーメッセージの詳細表示
正解: 4. 全てのエラーメッセージの詳細表示
解説: 詳細なエラーメッセージを外部に表示することは、攻撃者にシステムの内部情報を与えてしまう可能性があるため、セキュリティリスクとなります。入力値のバリデーション、パラメータのエスケープ処理、適切なセッション管理は重要な脆弱性対策です。エラーメッセージは必要最小限の情報のみを表示し、詳細はログに記録するなどの対策が望ましいです。
問題3
クラウドコンピューティングにおけるセキュリティ責任分担モデル(Shared Responsibility Model)について、正しい説明はどれですか?
- 全てのセキュリティ責任はクラウドプロバイダーにある
- 全てのセキュリティ責任は利用者にある
- セキュリティ責任はクラウドプロバイダーと利用者で分担する
- セキュリティ責任は第三者機関が負う
正解: 3. セキュリティ責任はクラウドプロバイダーと利用者で分担する
解説: クラウドコンピューティングでは、セキュリティ責任はクラウドプロバイダーと利用者で分担します。通常、クラウドプロバイダーはインフラストラクチャのセキュリティを担当し、利用者はアプリケーションやデータのセキュリティを担当します。具体的な責任範囲はサービスモデル(IaaS、PaaS、SaaS)によって異なります。
問題4
DevOpsにおけるセキュリティ実践として知られる「DevSecOps」の主な目的は何ですか?
- 開発速度を犠牲にしてセキュリティを向上させる
- セキュリティを開発・運用プロセスに統合する
- セキュリティチームを独立させる
- セキュリティテストを開発の最終段階でのみ実施する
正解: 2. セキュリティを開発・運用プロセスに統合する
解説: DevSecOpsは、DevOps(開発と運用の統合)にセキュリティを組み込む実践です。その主な目的は、セキュリティを開発・運用プロセスの全体に統合することで、迅速な開発・デプロイメントを維持しつつ、セキュリティを向上させることです。これにより、セキュリティがボトルネックになることを防ぎ、より安全なシステムを継続的に提供することが可能になります。
問題5
IoTデバイスのセキュリティ対策として、適切でないものはどれですか?
- デフォルトパスワードの変更
- ファームウェアの定期的な更新
- 不要なポートやサービスの無効化
- 全てのデバイスをインターネットに直接接続
正解: 4. 全てのデバイスをインターネットに直接接続
解説: IoTデバイスを全てインターネットに直接接続することは、セキュリティリスクを高める可能性があります。代わりに、ファイアウォールやセグメント化されたネットワークを使用して、デバイスへのアクセスを制御することが推奨されます。デフォルトパスワードの変更、ファームウェアの更新、不要なポートやサービスの無効化は、IoTデバイスのセキュリティを向上させる重要な対策です。
物理的セキュリティと人的セキュリティ
データセンターやオフィスにおける物理的なセキュリティ対策、従業員教育や内部不正対策などの人的セキュリティについて学びます。技術的対策だけでなく、総合的なセキュリティ対策の理解が求められます。
問題1
データセンターの物理的セキュリティ対策として、適切でないものはどれですか?
- 生体認証システムの導入
- 監視カメラの設置
- 入退室管理システムの運用
- 全ての来訪者に自由な立ち入りを許可
正解: 4. 全ての来訪者に自由な立ち入りを許可
解説: データセンターの物理的セキュリティでは、アクセス制御が重要です。生体認証、監視カメラ、入退室管理は有効な対策ですが、全ての来訪者に自由な立ち入りを許可することは、セキュリティリスクを大きく高めます。来訪者は適切な認証と承認プロセスを経て、必要な場所にのみアクセスを許可するべきです。
問題2
クリアデスク・クリアスクリーンポリシーの目的として最も適切なものは何ですか?
- オフィスの美観を保つ
- 従業員の作業効率を上げる
- 情報の漏洩や盗難を防止する
- 電力消費を削減する
正解: 3. 情報の漏洩や盗難を防止する
解説: クリアデスク・クリアスクリーンポリシーの主な目的は、机上や画面上に機密情報を放置することによる情報の漏洩や盗難を防止することです。従業員が席を離れる際に、重要な書類を片付け、コンピュータ画面をロックすることで、不正なアクセスや情報の覗き見を防ぎます。結果として、オフィスの美観向上や作業効率の改善にもつながる可能性がありますが、これらは副次的な効果です。
問題3
ソーシャルエンジニアリング攻撃への対策として、最も効果的なものはどれですか?
- 最新のアンチウイルスソフトの導入
- ファイアウォールの強化
- 従業員への定期的な教育と訓練
- 暗号化技術の導入
正解: 3. 従業員への定期的な教育と訓練
解説: ソーシャルエンジニアリングは、技術的な脆弱性ではなく人間の心理や行動を利用した攻撃手法です。そのため、技術的対策(アンチウイルス、ファイアウォール、暗号化)だけでは十分な防御ができません。従業員への定期的な教育と訓練を通じて、攻撃手法の理解や適切な対応方法を学ぶことが、最も効果的な対策となります。
問題4
内部不正対策として適切でないものはどれですか?
- アクセス権限の最小化
- 職務分掌の導入
- ログ監視の実施
- 全従業員の私用デバイスの没収
正解: 4. 全従業員の私用デバイスの没収
解説: 内部不正対策には、アクセス権限の最小化、職務分掌(重要な業務を複数人で分担)、ログ監視などが有効です。しかし、全従業員の私用デバイスを没収することは、プライバシーの侵害や従業員の信頼を損なう可能性があり、適切ではありません。代わりに、BYOD(個人所有デバイスの業務利用)ポリシーの策定や、会社支給デバイスの適切な管理などが推奨されます。
問題5
セキュリティ意識向上のための従業員教育プログラムに含めるべき内容として、適切でないものはどれですか?
- パスワード管理の重要性
- フィッシング攻撃の識別方法
- インシデント報告の手順
- ハッキング技術の詳細な解説
正解: 4. ハッキング技術の詳細な解説
解説: セキュリティ意識向上のための従業員教育では、日常業務に関連する実践的な内容を扱うべきです。パスワード管理、フィッシング攻撃の識別、インシデント報告手順は重要なトピックです。一方、ハッキング技術の詳細な解説は、悪用される可能性があり、一般の従業員向け教育としては適切ではありません。代わりに、一般的な攻撃手法の概要と対策に焦点を当てるべきです。
ビジネスと情報セキュリティ
情報セキュリティがビジネスに与える影響や、経営層の役割、セキュリティ投資の考え方など、ビジネス視点からの情報セキュリティについて理解を深めます。
問題1
情報セキュリティガバナンスにおける経営層の役割として、最も適切なものはどれですか?
- セキュリティ製品の選定
- 日常的なセキュリティ監視業務
- セキュリティ戦略の承認と方向性の提示
- プログラミングによるセキュリティ実装
正解: 3. セキュリティ戦略の承認と方向性の提示
解説: 情報セキュリティガバナンスにおいて、経営層の主な役割は組織全体のセキュリティ戦略を承認し、その方向性を提示することです。これには、セキュリティポリシーの承認、リスク許容度の設定、必要な資源の割り当てなどが含まれます。具体的な製品選定や日常的な業務、技術的な実装は通常、専門部署や担当者が行います。
問題2
情報セキュリティ投資の ROI(Return on Investment)を評価する際の課題として、最も適切なものはどれですか?
- セキュリティ対策の効果を金銭的に定量化することが難しい
- セキュリティ製品の価格が高すぎる
- 経営層がセキュリティの重要性を理解していない
- セキュリティ専門家の人材が不足している
正解: 1. セキュリティ対策の効果を金銭的に定量化することが難しい
解説: セキュリティ投資の ROI 評価における主な課題は、セキュリティ対策の効果を金銭的に定量化することの難しさです。防いだ攻撃や回避したリスクの価値を正確に測定することは容易ではありません。他の選択肢も課題となる可能性はありますが、ROI 評価の本質的な難しさを最もよく表しているのは、効果の定量化の問題です。
問題3
ビジネス継続性の観点から、情報セキュリティインシデントへの対応として最も重要なものは何ですか?
- メディアへの詳細な説明
- 責任者の処罰
- 迅速な復旧と事業継続
- 競合他社への通知
正解: 3. 迅速な復旧と事業継続
解説: ビジネス継続性の観点からは、情報セキュリティインシデント発生時に最も重要なのは、迅速な復旧と事業継続です。これにより、ビジネスへの影響を最小限に抑え、顧客や取引先への影響を軽減することができます。メディア対応や責任追及も重要ですが、まずは事業の継続性を確保することが優先されます。
問題4
サプライチェーンにおける情報セキュリティリスク管理として、最も適切なアプローチはどれですか?
- 全ての取引先との契約を即時解除する
- セキュリティ要件を含む取引先評価と管理プロセスの確立
- 自社のセキュリティ対策のみに集中し、取引先は無視する
- 最も安価な取引先のみを選択する
正解: 2. セキュリティ要件を含む取引先評価と管理プロセスの確立
解説: サプライチェーンのセキュリティリスク管理では、取引先のセキュリティ状況も考慮する必要があります。そのため、セキュリティ要件を含む取引先評価と管理プロセスを確立することが重要です。これには、取引先の選定時のセキュリティ評価、契約におけるセキュリティ条項の盛り込み、定期的な監査などが含まれます。全ての取引先との契約解除や自社のみに集中することは現実的ではなく、コストのみで取引先を選ぶことはリスクを高める可能性があります。
問題5
クラウドサービス利用におけるビジネスリスクとして、最も適切でないものはどれですか?
- データの所在が不明確になるリスク
- サービス提供者の倒産によるサービス停止リスク
- 法規制の変更によるコンプライアンスリスク
- 社内のIT部門の技術力が向上するリスク
正解: 4. 社内のIT部門の技術力が向上するリスク
解説: クラウドサービス利用に伴うビジネスリスクとしては、データの所在の不明確さ、サービス提供者の倒産リスク、法規制変更によるコンプライアンスリスクなどが挙げられます。一方、社内IT部門の技術力向上は通常、リスクというよりもメリットと考えられます。ただし、クラウド移行により一部の従来型IT技術が不要になる可能性はありますが、これは別の形でのスキル向上の機会とも捉えられます。
おすすめの学習グッズ
「情報セキュリティマネジメント 一問一答問題集」は、スキマ時間を活用して効率的に学習できる便利な問題集です。スマートフォンアプリと連携しており、通勤時間や休憩時間を利用して、いつでもどこでも問題を解くことができます。基本的な用語の理解から、実践的な問題解決能力の向上まで、幅広くカバーしているので、初学者から上級者まで幅広く活用できるおすすめの学習ツールです。
コメント