情報セキュリティマネジメント試験 問題一覧
全180問 · 6カテゴリ · タップで開閉
練習を始める情報セキュリティ全般(脅威・脆弱性)30問
▼
ある企業でWEBアプリケーションに入力値の妥当性チェック機能が不足していた場合、この脆弱性を悪用して攻撃者はどのような被害をもたらす可能性が高いか。
応用26重要なシステム管理者アカウントのパスワードが、マルウェア感染によるキーロガー経由で盗聴された場合、企業全体に与える影響はどのように連鎖するか。
応用27フィッシング詐欺による認証情報窃取の脅威が増加しているとき、多要素認証(MFA)を導入した場合の効果として最も適切なものはどれか。
応用28ウェブサーバーのTLSプロトコルバージョンが古いまま放置されていた場合、このことが組織にもたらす実際の危険性として最も深刻なのはどれか。
応用29ある企業のクラウドストレージに格納されたファイルのアクセス権限が誤ってすべてのインターネットユーザーに公開されていた場合、この設定ミスの影響度が高くなるのはどのような情報が保管されている場合か。
応用30ランサムウェア攻撃の脅威が高まっている環境で、定期的なデータバックアップを実施している場合、このバックアップが脅威対策として機能するための必須条件として最も重要なのはどれか。
応用19ある企業が重要な顧客データベースのセキュリティリスクを評価しています。脅威が発生する確率が年1回、脅威が実際に被害をもたらす確率が60%、被害額が2,400万円の場合、年間の期待リスク額(年間期待損失額)はいくらですか?
計算20セキュリティ監査で、システムに存在する脆弱性のうち検査で発見できたものが28個でした。過去の統計から、実施した検査方法での脆弱性検出率は70%と判明しています。このシステムに存在する脆弱性の総数は何個と推定されますか?
計算21ある暗号方式の総当たり攻撃に対する耐性を評価しています。このシステムは1秒間に100万回の鍵候補をテストできるハードウェアで攻撃される場合、256ビット鍵空間を完全にテストするのに要する最大時間は約何年ですか?(1年≒3.15×10^7秒で計算)
計算22ログイン認証システムで、1日あたり18,000件のログイン試行があります。そのうち不正ログイン試行は540件でした。このシステムの不正ログイン試行の割合は何パーセントですか?
計算23企業がマルウェアに感染した場合、1台のサーバー復旧に3時間要し、その間の業務停止による損失が時給換算15万円です。100台が感染した場合の総復旧コストはいくらですか?
計算24セキュリティ監査チームが、5日間で800個のシステムコンポーネントを検査する予定です。1日あたりの平均検査数と、1つのコンポーネント当たりの平均検査時間(1日を8時間として)はいくつですか?
計算13情報セキュリティの脅威と脆弱性に関する以下の記述で、誤っているものはどれか。
誤り発見14サイバー攻撃の種類と特性に関する以下の記述で、誤っているものはどれか。
誤り発見15情報セキュリティのリスク評価に関する以下の記述で、誤っているものはどれか。
誤り発見16マルウェアの種類と特性に関する以下の記述で、誤っているものはどれか。
誤り発見17Webアプリケーションの脆弱性に関する以下の記述で、誤っているものはどれか。
誤り発見18社会工学的攻撃と内部脅威に関する以下の記述で、誤っているものはどれか。
誤り発見1情報セキュリティにおいて「脅威」とは、どのような要素を指すのか。最も適切な説明を選びなさい。
定義2情報セキュリティにおけるリスクの概念を説明した文として、最も適切なものはどれか。
定義3ソーシャルエンジニアリング攻撃とは何か。最も適切な説明を選びなさい。
定義4マルウェアの一種である「ランサムウェア」の特徴として、最も適切な説明はどれか。
定義5情報セキュリティにおける「脆弱性」の定義として、最も適切なものはどれか。
定義6ゼロデイ脆弱性(Zero-day Vulnerability)とは何か。最も適切な説明を選びなさい。
定義7マルウェアの中でも「ウイルス」と「ワーム」の最大の違いは何か。
比較8「脅威」と「脆弱性」の概念的な違いについて、最も適切な説明はどれか。
比較9「ゼロデイ攻撃」と「既知の脆弱性を狙った攻撃」の主な違いは何か。
比較10「標的型攻撃」と「無差別攻撃」の最も重要な違いは何か。
比較11「ファイアウォール」と「IDS/IPS」のセキュリティ対策における役割の違いは何か。
比較12「認証」と「認可」の概念的な違いについて、最も正確な説明はどれか。
比較情報セキュリティ管理30問
▼
予防的統制と発見的統制の違いについて、最も適切な説明はどれか。
比較40脆弱性(Vulnerability)と脅威(Threat)の違いについて、最も適切な説明はどれか。
比較41秘密性(Confidentiality)と完全性(Integrity)の違いについて、最も適切な説明はどれか。
比較42共通鍵暗号と公開鍵暗号の違いについて、最も適切な説明はどれか。
比較49ある組織では、年間で1,200件のセキュリティインシデントが報告されています。このうち95%が正常に解決されました。解決されなかったインシデントの件数として、最も適切なものはどれか。
計算50情報システムのセキュリティ評価では、脅威数が240、脆弱性数が30、脅威と脆弱性が同時に存在するリスク要因が18の場合、リスク(脅威と脆弱性の両立)の確率は何%か。最も適切なものを選択しなさい。
計算51ある組織の情報セキュリティコストは、前年度1,500万円でした。今年度は前年度比で18%削減される予定です。今年度の予算額として、最も適切なものはどれか。
計算52セキュリティ監査では、全社員5,000名のうち、セキュリティ教育を受講した者は3,500名でした。受講率として、最も適切なものはどれか。
計算53情報セキュリティリスク評価では、資産価値が800万円、脅威の発生確率が12%、脆弱性の存在確率が25%の場合、予想損失額として、最も適切なものはどれか。
計算54組織のセキュリティインシデント対応チームは、月次で平均72件のインシデントを報告しています。年間でのインシデント報告数として、最も適切なものはどれか。
計算55組織内で複数の従業員が同一のシステムアカウントを共有して使用していた場合、情報セキュリティ上の最大のリスクはどうなるか?
応用56パスワードポリシーを「最小8文字、大文字・小文字・数字・特殊文字を必須」に強化した場合、想定される副次的問題として最も適切なのはどれか?
応用57取引先から「貴社のメールアドレスから大量の迷惑メールを受け取った」との報告を受けた場合、まず確認すべき点として最も優先度が高いのはどれか?
応用58従業員が営業秘密を含むファイルを個人の云端ストレージに保存した場合、組織が最初に講じるべき対応はどれか?
応用59多要素認証(MFA)を導入した後、依然として不正ログイン試行が発生している場合、最も考慮すべき原因はどれか?
応用60定期的なセキュリティ監査で同じ脆弱性が繰り返し指摘される場合、根本的な改善策として最も効果的なのはどれか?
応用31情報セキュリティマネジメントにおいて、リスク評価の基本式として一般的に用いられる計算式はどれか。
定義32情報セキュリティマネジメントの構成要素のうち、「組織の目標達成を支援するための活動」を説明しているものはどれか。
定義33組織が保有する情報資産に対して、不正なアクセス、改ざん、破壊などの危害を加える可能性のある主体を何と呼ぶか。
定義34情報セキュリティポリシーに基づいて、実際の情報セキュリティレベルがポリシーに適合しているかを定期的に確認するプロセスを何と呼ぶか。
定義35セキュリティ対策の効果を高めるため、実施した対策や統制が実際に機能しているか、定期的に試験・検査を行うことを何と呼ぶか。
定義36情報セキュリティマネジメントにおいて、システムやプロセスの弱点として、悪用されると被害につながる可能性がある不備や欠陥を何と呼ぶか。
定義43情報セキュリティポリシーに関する以下の記述で、誤っているものはどれか。
誤り発見44アクセス制御に関する以下の記述で、誤っているものはどれか。
誤り発見46インシデント対応に関する以下の記述で、誤っているものはどれか。
誤り発見47情報セキュリティ教育訓練に関する以下の記述で、誤っているものはどれか。
誤り発見48情報セキュリティの監査に関する以下の記述で、誤っているものはどれか。
誤り発見183情報セキュリティマネジメントにおける暗号化対策に関する以下の記述で、誤っているものはどれか。
誤り発見181アクセス制御における「認証(Authentication)」と「認可(Authorization)」の違いについて、最も適切な説明はどれか。
比較182「ホワイトリスト方式」と「ブラックリスト方式」のアクセス制御における違いについて、最も適切な説明はどれか。
比較情報セキュリティ対策30問
▼
ファイアウォールのログ記録機能が無効化されていることが発見されました。この状況で、外部からの不正アクセス試行があった場合、セキュリティ対策上最も重大な問題は何か。
応用86多要素認証(MFA)が導入されていないシステムに対して、フィッシング攻撃で従業員のパスワードが漏洩した場合、組織が被る最大のリスクはどれか。
応用87組織が暗号化されていない状態で大量の顧客個人情報を保管していたシステムで、データベースの管理画面へのアクセス制御が弱い状況が明らかになりました。このとき、情報セキュリティの観点で最も懸念される事態はどれか。
応用88マルウェア対策ソフトが最新の定義ファイルに自動更新されていない状態のまま6ヶ月間放置されていた場合、その間に発生する最大のセキュリティ上の問題は何か。
応用89社員が業務用ノートパソコンを駅のカフェで紛失した後、当該パソコンにはHDDの暗号化が施されていなかったことが判明しました。この場合、組織の情報セキュリティにおいて実現困難な対応は次のどれか。
応用90ある組織で、従業員全員のパスワードポリシーが「8文字以上、大文字小文字数字を含む」という単純な要件のみで、パスワード変更が1年に1回以下の頻度に設定されていた場合、この状況下で辞職した元従業員が悪意を持つと、組織の最大のリスクはどれか。
応用79ある企業の従業員は1,200名です。セキュリティインシデント報告制度を導入した結果、初年度は報告件数が240件でした。翌年度は報告件数が30%増加しました。翌年度の報告件数は何件ですか?
計算80情報セキュリティ監査の実施計画を立案しています。全部門は15部門あり、監査対象部門を60%とする場合、監査対象となる部門数は何部門ですか?
計算81セキュリティ教育受講者数の推移を分析しています。今年度の受講者数は850名で、昨年度比で15%減少しました。昨年度の受講者数は何名でしたか?
計算82マルウェア検知システムが1日に平均2,400件の疑わしいファイルを検知します。月間(30日)の検知件数のうち、実際の脅威であった割合が18%の場合、月間で検知された実際の脅威件数は何件ですか?
計算83パスワード変更ポリシーを実装した場合、全ユーザー2,500名のうち92%がポリシーに準拠しました。準拠したユーザー数は何名ですか?
計算84サイバーセキュリティ予算配分を決定しています。総予算が50,000千円で、ネットワークセキュリティに35%、エンドポイント保護に28%、セキュリティ人材育成に残りを配分します。セキュリティ人材育成の予算は何千円ですか?
計算67認証(Authentication)と認可(Authorization)の違いについて、最も適切な説明はどれか。
比較68対称鍵暗号と公開鍵暗号の主な違いについて、最も適切な説明はどれか。
比較69脆弱性スキャンと侵入テストの違いについて、最も適切な説明はどれか。
比較70ホワイトリスト方式とブラックリスト方式のアクセス制御について、最も適切な説明はどれか。
比較71データの機密性(Confidentiality)と完全性(Integrity)の違いについて、最も適切な説明はどれか。
比較72WAF(Web Application Firewall)と従来型ファイアウォールの違いについて、最も適切な説明はどれか。
比較61情報セキュリティにおいて、機密性(Confidentiality)とは何を意味するか。
定義62リスク評価において、リスク値の基本的な計算式はどれか。
定義63完全性(Integrity)とは何を意味するか。
定義64情報セキュリティマネジメントシステムの認定基準として国際的に認識されているISO/IEC 27001とは何か。
定義65可用性(Availability)とは何を意味するか。
定義66脆弱性(Vulnerability)とは何を意味するか。
定義184以下の記述で誤っているものはどれか。
誤り発見185以下の記述で誤っているものはどれか。
誤り発見186以下の記述で誤っているものはどれか。
誤り発見187以下の記述で誤っているものはどれか。
誤り発見188以下の記述で誤っているものはどれか。
誤り発見189以下の記述で誤っているものはどれか。
誤り発見情報セキュリティ関連法規30問
▼
以下の記述で誤っているものはどれか。
誤り発見104以下の記述で誤っているものはどれか。
誤り発見105以下の記述で誤っているものはどれか。
誤り発見106以下の記述で誤っているものはどれか。
誤り発見107以下の記述で誤っているものはどれか。
誤り発見108以下の記述で誤っているものはどれか。
誤り発見97個人情報保護法における「個人情報」と「個人情報データベース等」の主な違いはどれか。
比較98マイナンバー法における「特定個人情報」と通常の「個人情報」の違いで最も適切なものはどれか。
比較99不正競争防止法における「営業秘密」と著作権法における「著作物」の主な相違点はどれか。
比較100労働基準法における「個人情報」の取扱いと、個人情報保護法における「個人情報」の取扱いの主な違いはどれか。
比較101GDPR(一般データ保護規則)における「データ保護責任者(DPO)」と、日本の個人情報保護法における「個人情報保護管理者」の主な違いはどれか。
比較102不正アクセス禁止法における「不正アクセス」と、刑法における「コンピュータ詐欺」の主な違いはどれか。
比較91個人情報保護法において「個人情報」として定義されるものはどれか。
定義92不正アクセス禁止法で規定される「不正アクセス」の定義に該当するものはどれか。
定義93個人情報保護法における「匿名加工情報」の定義として最も適切なものはどれか。
定義94不正競争防止法において「営業秘密」として保護される情報の要件として、除外されるものはどれか。
定義95個人情報保護法における「個人情報取扱事業者」の定義として最も適切なものはどれか。
定義96マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)で規定される「個人番号」の定義として最も適切なものはどれか。
定義109ある企業が個人情報保護方針を策定しており、従業員数は350人です。個人情報保護法では、保有する個人情報の件数が5,000件以上である場合に本人の同意取得義務が強化されます。現在、顧客情報3,200件、従業員情報400件、取引先情報1,800件を保有しています。この企業が保有する個人情報の総件数は何件ですか?
計算110情報セキュリティ監査実施計画において、対象部門は営業部80人、企画部60人、IT部120人、事務部40人です。監査の効率性を考慮し、各部門から15%のスタッフを抽出調査対象とします。IT部からの調査対象者数は何人ですか?
計算111ある企業のセキュリティインシデント報告統計では、先月のインシデント発生件数は480件でした。このうち、マルウェア感染は全体の37.5%、フィッシング詐欺は全体の22.5%、その他が残りです。フィッシング詐欺によるインシデント件数は何件ですか?
計算112個人情報の保有量に基づく漏洩リスク評価では、保有件数が10,000件以上100,000件未満の場合、セキュリティ対策コストの8%を監査実施に配分する必要があります。ある部署の年間セキュリティ対策コストが2,500,000円の場合、監査実施に配分すべき金額は何円ですか?
計算113情報セキュリティ教育プログラムの受講者管理において、第1四半期の受講者は650人、第2四半期は前四半期比120%、第3四半期は前四半期比90%となりました。第2四半期の受講者数は何人ですか?
計算114セキュリティポリシー違反の事例から、過去1年間での違反件数は320件でした。重大度別では、レベルA(重大)が全体の6.25%、レベルB(中度)が全体の18.75%です。レベルA違反は何件ですか?
計算115個人情報保護法の適用対象となる企業が、顧客の個人情報を含むサーバーがランサムウェアに感染し、データが暗号化されてしまった場合、企業が取るべき対応として最も適切なものはどれか?
応用116不正競争防止法で保護される営業秘密について、従業員が退職時に機密情報をUSBメモリにコピーして持ち出した場合、企業が取るべき法的措置として最も適切なものはどれか?
応用117マイナンバー法に基づく特定個人情報が漏洩した場合、地方公共団体の担当部門が最初に実施すべき対応はどれか?
応用118GDPR(EU一般データ保護規則)の適用対象となる事業者が、EUの利用者の個人データに対してセキュリティインシデントが発生した場合、満たすべき最も重要な要件はどれか?
応用119著作権法により保護される企業のシステムコードが、プログラマーによって意図的に改変され、他社に販売された場合、企業が取るべき対応として最も適切なものはどれか?
応用120電子署名法に基づく電子署名付きの重要契約書が、第三者による攻撃により改ざんされた場合、改ざん検知の根拠として最も有効な要素はどれか?
応用テクノロジー基礎30問
▼
HTTPSの通信中に中間者攻撃者が不正な証明書を提示した場合、Webブラウザはどのように動作すべきか?
応用146ファイアウォールが外部からの全ての通信をブロックする設定に変更された場合、社内のメールサーバーがクライアントメールソフトで受信できなくなった理由として最も適切なのはどれか?
応用147SQLインジェクション攻撃が成功した場合、攻撃者が最も容易に実行できる操作はどれか?
応用148公開鍵基盤(PKI)において、秘密鍵が漏洩した場合、その秘密鍵の所有者の電子署名の信頼性はどうなるか?
応用149パスワードを128ビットのハッシュ値として保存した場合、約何通りの異なるハッシュ値が存在する可能性があるか?
応用150暗号化されたデータが転送中に改ざんされた場合、改ざん検出機構(メッセージ認証コード)がない場合と比較して、改ざん検出機構がある場合のセキュリティ効果は何か?
応用127暗号化通信プロトコルのSSLとTLSの主な違いは何か。
比較128認証方式のシングルファクタ認証とマルチファクタ認証の最大の違いは何か。
比較129ファイアウォールとIDSの主な役割の違いはどれか。
比較130対称鍵暗号と公開鍵暗号の実用性における最大の違いは何か。
比較131ウイルスとワームの最も重要な違いはどれか。
比較132ハッシュ関数とデジタル署名の主な用途の違いはどれか。
比較121ハッシュ関数の定義として最も適切なものはどれか。
定義122デジタル署名の役割として最も適切なものはどれか。
定義123SSL/TLSプロトコルの主な役割として最も適切なものはどれか。
定義124認証における多要素認証(MFA)の定義として最も適切なものはどれか。
定義125ファイアウォールの機能として最も適切なものはどれか。
定義126暗号化通信におけるトランザクション性の概念として最も適切なものはどれか。
定義139ネットワークに接続された 240 台のコンピュータがあります。各コンピュータから 1 時間に平均 850 MB のデータが生成されます。1 日(24 時間)の総データ生成量は何 GB でしょうか?
計算140ファイアウォールで 1 秒間に平均 15,000 件のパケットを処理しています。不正なパケットの割合が全体の 2.4% の場合、1 時間に検出される不正パケット数は何件でしょうか?
計算141ある企業のデータセンターでは、1 台のサーバーあたり月間の電力消費量が 4.5 kWh です。現在 180 台のサーバーが稼働している場合、年間の総電力消費量は何 MWh でしょうか?
計算142暗号化されたファイルの転送速度が 125 Mbps の場合、512 MB のファイルを転送するのに要する時間は何秒でしょうか?
計算143ある組織では、1 日あたり 2,400 件のセキュリティログが生成されます。ログ保管の推奨期間が 365 日の場合、1 年間に保管すべきログ件数は何件でしょうか?また、1 件あたり 2.5 KB のディスク容量が必要な場合、必要な総容量は何 GB でしょうか?
計算144ネットワークの帯域幅が 1 Gbps で、現在の平均利用率が 65% の場合、実際に使用可能な帯域幅は何 Mbps でしょうか?また、推奨される最大利用率を 75% とした場合、追加可能な帯域幅は何 Mbps でしょうか?
計算190以下の記述で誤っているものはどれか。
誤り発見191以下の記述で誤っているものはどれか。
誤り発見192以下の記述で誤っているものはどれか。
誤り発見193以下の記述で誤っているものはどれか。
誤り発見194以下の記述で誤っているものはどれか。
誤り発見195以下の記述で誤っているものはどれか。
誤り発見マネジメント・システム監査30問
▼
情報セキュリティマネジメントシステム(ISMS)に関する以下の記述で、誤っているものはどれか。
誤り発見164情報セキュリティ監査に関する以下の記述で、誤っているものはどれか。
誤り発見165セキュリティ監査のヒアリングに関する以下の記述で、誤っているものはどれか。
誤り発見166内部監査の有効性に関する以下の記述で、誤っているものはどれか。
誤り発見167情報セキュリティ監査における不適合事項の評価に関する以下の記述で、誤っているものはどれか。
誤り発見168第三者による認証審査に関する以下の記述で、誤っているものはどれか。
誤り発見157情報セキュリティマネジメントにおいて、内部監査と外部監査の違いとして最も適切なものはどれか。
比較158IS27001認証取得時の初期審査と継続審査(サーベイランス審査)の違いとして最も適切なものはどれか。
比較159セキュリティ監査における不適合と観察事項の違いとして最も適切なものはどれか。
比較160情報セキュリティマネジメントの監査において、プロセス監査とコンプライアンス監査の主な違いはどれか。
比較161リスク評価と監査評価の違いとして最も適切なものはどれか。
比較162予防的統制と発見的統制の違いとして最も適切なものはどれか。
比較169情報セキュリティ監査において、240時間の監査計画があります。監査人が8名で、1人あたり月間稼働時間が160時間の場合、監査計画を完了するのに必要な月数は何か月ですか?
計算170情報セキュリティマネジメントシステムの監査において、リスク評価対象が500項目あります。監査チームが1日あたり25項目の監査を実施できる場合、全項目の監査完了に必要な日数は何日ですか?
計算171セキュリティ監査の予算が1,200万円です。監査人の時給が1万2千円で、監査に必要な総労働時間が800時間の場合、予算のうち人件費に充てられた割合は何パーセントですか?
計算172情報セキュリティ監査において、脆弱性が300件検出されました。重大度別に分類すると、高が45件、中が135件、低が120件です。検出された脆弱性のうち、中度以上の脆弱性の割合は何パーセントですか?
計算173セキュリティ監査の前年度実績では、検出した不適合事項が120件でした。今年度の監査では前年度比で25%増加して検出されました。今年度検出された不適合事項は何件ですか?
計算174情報セキュリティマネジメントシステムの内部監査において、対象部門が12部門あり、各部門に対して監査を実施します。監査計画では3名の監査人で実施し、各監査人が4部門を担当する予定です。全監査が2週間で完了する場合、1部門あたりの平均監査日数は何日ですか?
計算177組織がISMS監査で、定期的なアクセス権レビューが12ヶ月実施されていないことを指摘されました。この放置が続いた場合、どのようなセキュリティリスクが顕在化しやすくなりますか?
応用178情報セキュリティ監査において、複数部門から「セキュリティ教育が全従業員に対して実施されていない」という指摘が上がった場合、このことが組織のセキュリティ態勢全体に与える影響として最も適切なものは何ですか?
応用179ISMSの管理レビューで、セキュリティインシデント対応計画(インシデント対応手順)が策定されているものの、過去3年間一度も演習・テストが実施されていないことが判明しました。この状況下では、実際にインシデントが発生した際にどのような問題が生じやすくなりますか?
応用180内部監査で、重要な情報資産に対する暗号化やアクセス制限などの技術的対策は実施されているが、その対策の有効性を定期的に検証する仕組みが存在しないことが発見されました。この欠陥が続いた場合、セキュリティ態勢の観点から何が懸念されますか?
応用151ISO/IEC 27001に基づく情報セキュリティマネジメントシステム(ISMS)において、「リスク」の定義として最も適切なものはどれか。
定義152内部監査において、「監査証拠」とは何か。最も適切な説明はどれか。
定義153情報セキュリティマネジメントシステムにおいて、「コンプライアンス」の定義として最も適切なものはどれか。
定義154マネジメントシステムの監査において、「不適合」とは何か。最も適切な説明はどれか。
定義155情報セキュリティマネジメントにおいて、「脆弱性」と「脅威」の関係を示す式として最も適切なものはどれか。
定義156監査用語において、「継続的改善」の定義として最も適切なものはどれか。
定義196情報セキュリティマネジメントシステム(ISMS)の内部監査において、重要な財務情報を扱うシステムについて、アクセス制限ポリシーは策定されているが、実装後12ヶ月間一度も監査評価が実施されていないことが判明しました。この状況が続いた場合、最も起こりやすいセキュリティ上の問題はどれか。
応用197情報セキュリティ監査において、セキュリティインシデント対応計画は経営承認を得て策定されていますが、過去2年間、対応手順の机上演習やシミュレーション訓練が実施されていません。この状況で実際のランサムウェア攻撃が発生した場合、どのような問題が最も顕在化しやすいか。
応用