【公式反映済み】情報セキュリティマネジメント試験 H31 春期 午前回答

【21:00 追記】

タイトルを【仮版】→【公式反映済み】に変更。

IPA の公式回答ってこんなすぐに出てましたっけ、っていう疑問。以下にありますので、自己採点には公式をお使いくださいm(__)m

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2019h31.html#31haru


受けてきて、自己採点したいのですが、どこも最短で 4/22 公開?なので、自分の回答を元に少し不明点を調べて仮版を書きました。
※既に公開されているところがあれば、ぜひ教えてください!

まだまだ調べたりないところがあるので、随時更新していきます。

自己回答 (自分用メモ)

イアウイアイエウエイエイイウイアイウウアアウウウイ
アアイイウイアエイエイエアエエウエエアウエイアウイ

ちなみに私の過去問正解率は、大体 42-47/50 といったところです。

予想正答

  • 黒 : 調べてみて OK or まあほぼ確実だと思うところ
  • 赤 : 調べてみて自分が外したのが確実な場所
  • 青 : まだ調べてない or ちょっと調べた範囲では自信が持てない
問番号 正解(仮)
問1
問2
問3
問4
問5
問6
問7
問8
問9
問10
問11
問12
問13
問14
問15
問16
問17
問18
問19
問20 (公式公開まで「ア」って記載、誤答でした)
問21
問22
問23
問24
問25
問26
問27
問28
問28
問30
問31 (公式公開まで「イ」って記載、誤答でした)
問32
問33
問34
問35
問36
問37
問38
問39 (公式公開まで「エ」って記載、誤答でした)
問40
問41
問42
問43
問44
問45
問46
問47
問48
問49
問50

Q1

正解はたぶん「ウ」。私は「トップマネジメントが」に引きずられて「トップマネジメントが設定した情報セキュリティ目的」を絶対条件にしてしまっていたのですが、それが以下の参考 URL の先の記載には含まれないためです。

ISO9001:2015年度(QMS)規格改訂9.3項「マネジメントレビュー」規格解釈 | ISO総研

マネジメントレビューは,次の事項を考慮して計画し,実施しなければならない。

a) 前回までのマネジメントレビューの結果とった処置の状況

b) 品質マネジメントシステムに関連する外部及び内部の課題の変化

c) 次に示す傾向を含めた,品質マネジメントシステムのパフォーマンス及び有効性に関する情報

1) 顧客満足及び密接に関連する利害関係者からのフィードバック

2) 品質目標が満たされている程度

3) プロセスのパフォーマンス,並びに製品及びサービスの適合

4) 不適合及び是正処置

5) 監視及び測定の結果

6) 監査結果

7) 外部提供者のパフォーマンス

d) 資源の妥当性

e) リスク及び機会への取組\みの有効性(6.1 参照)

f) 改善の機会

Q2

正解は「ア」です。

ちなみに「イ」は「分析センター」、「ウ」は「ベンダチーム」、「エ」は「インシデントレスポンスプロバイダ」となります。

コーディネーションセンター(Coordination Center)

協力関係にあるほかのCSIRTとの情報連携や調整を行う。CERT/CCやJPCERT/CCが代表例。グループ企業間の連携を担当するCSIRTも存在する。

CSIRT - Wikipedia

Q3

情報セキュリティマネジメント 平成29年秋期 午前問4

Q4

情報セキュリティマネジメント 平成29年秋期 午前問12

Q5

回答は「ア」。他もすべてお金に関係しますが、実際にリスクを軽減させる対策にお金をかけているからです。なので他は全部リスク軽減に分類されると思います。

リスクファイナンシング = Risk Financing で、リスクに金銭的に備えること。リスクが発生して金銭的損害が出たときに埋め合わせるお金を用意するだけで、リスク自体は変化しない対応なのがポイント。

Q6

情報セキュリティマネジメント 平成29年春期 午前問7

念のため、原本はこちらにあります。

JIS Q 27001:2014 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項

Q7

情報セキュリティマネジメント 平成29年秋期 午前問8

Q8

正解はおそらく「ア」です。2 択を外した。プロセスじゃなくて資源なんですね…。

ISO27001:2013(ISMS):2013年度規格改訂 6項「計画」規格解釈 | ISO総研

組織は,情報セキュリティ目的に関する文書化した情報を保持しなければならない。組織は,情報セキュリティ目的をどのように達成するかについて計画するとき,次の事項を決定しなければならない。 >

f) 実施事項

g) 必要な資源

h) 責任者

i) 達成期限

j) 結果の評価方法

Q9

正解はおそらく「エ」です。はっきりした記載が見つけられていませんが、以下の PDF の PDF 内ページ番号 44-48 あたりが該当しそうです。特にこの記載あたり。そうでなくても、普通に考えてクラウド上のものも対象にするべきだと思いました。

記入上のポイント

●情報資産管理台帳は洗い出した情報資産を「見える化」するための方法の一つです。

特にパソコンやネットワークで利用する電子化された情報は人間の五感で感知することができないため、社外のサーバーや個人のスマートフォンに保存されていると気付かないことがあります。電子化された情報を洗い出すときには「普段パソコンで見ているこのデータは、どこに保存されているのだろう。」というように、社内のIT機器や利用しているクラウドサービスを思い浮かべて記入します。

https://www.ipa.go.jp/files/000055520.pdf

Q10

正解は「イ」です。DNS キャッシュポイズニングについては過去も SG で出題がありますが、ちょっと問われている内容は異なっています。

ちなみに「ア」はなんですかね…「HTML メールのリンク先偽装」とでもいうのでしょうか。「ウ」は知らなかったのですが「進化型ホモグラフ攻撃」というものだそうです。「エ」は記載してある通り DNS サーバに対する DoS 攻撃であり、DNS から偽の応答を返却させる (= 毒に侵されている) わけではなく、応答自体を阻害するものです。

Q11

応用情報技術者 平成27年春期 午前問44

Q12

正解は「イ」。ビット計算ができる人や Linux 系の ls 表示がぱっと浮かぶ人には簡単だったかと思います。

基本情報技術者 平成24年秋期 午前問42

Q13

正解は「イ」。共連れ防止とも言います。

情報セキュリティマネジメント 平成29年秋期 午前問15

ちなみに「ア」の TPMOR (Two Person Minimum Occupancy Rule) は知らず、試験中は直訳して「最低 2 名ルール」なんてメモを書いていました。

Q14

正解はおそらく「エ」です。

PCI-DSS については細かい理解をあきらめ「クレジットカード情報を取り扱うときに準拠しないといけない、より厳しい個人情報保護規定」くらいな認識でいたので、解けませんでした。

以下のドキュメントを見ると、セキュリティコードは「機密認証データ」というものに分類され、基本保持してはいけないので、オーソリ (認証) の後は削除しないといけないとあります。PCI-DSS の正確な原本までは見ていないのですが、これに基づく私なりの仮回答は記載した通りとなりました。

https://www.gmo-pg.com/seminar/2015/0818/pdf/PCIDSS_seminar_02_ICMS.pdf

Q15

正解は「イ」となります。

IDS や IPS は試験に出てきていますが、まったく同じ過去問は見つけられず。IPS は Intrusion Prevention System の略なので、ふるまいは Prevention つまり「妨害」「遮断」などとなります。これに合致するのは「イ」のみ。

なおほかの選択肢は「ア」…なんだろう、SSL アクセラレータのことかな?「ウ」はペネトレーションテストのためのツールと思われます。「エ」は「生体認証 (バイオメトリクス認証)」。

Q16

正解は「ア」。

ちなみに「イ」の「ブルートフォース」は ID に対して総当たりでパスワードを破ろうとすること。「ウ」の「リバースブルートフォース」はパスワードに対して総当たりで ID を破ろうとすること。「エ」の「レインボー攻撃」はレインボーテーブルを使った攻撃で、よくあるパスワードのハッシュ値を持っておいて、それをもとにパスワードを取得しようとするもの。

Q17

正解はおそらく「イ」。IP アドレスは結果的に隠ぺいされるという認識なのでちょっとしっくりきませんでしたが、消去法で他が当てはまらないので。

「ア」の「BGP」と「ウ」の「OSPF」については下に引用を書いた通りです。「エ」の「フラグメンテーション」はディスク上のデータなどが断片化する事象のこと。

「Border Gateway Protocol」の略。現在のインターネットにおいて、ISPなどの相互接続時にお互いの経路情報をやり取りするために使われる経路制御プロトコルです。

インターネット用語1分解説~BGPとは~ - JPNIC

OSPFとは、TCP/IPネットワークで用いられるルーティングプロトコルの一つ。ルータなどの通信機器の間で経路情報を交換し、ある地点から別の地点までの最短経路を割り出すのに使われる。自律システム(AS:Autonomous System)の内部で経路選択を行なうIGP(Interior Gateway Protocol)として使われるプロトコルの一つである。

OSPF(Open Shortest Path First)とは - IT用語辞典 e-Words

Q18

Q24

目的 XML署名は任意の種類のリソース(典型的にはXML文書)に署名を行うために用いる。

detached署名 署名を含むXML文書の外のリソースに対して用いられる署名 enveloped署名 署名を含むXML文書の一部分に対して用いられる署名 enveloping署名 自身の中に署名するデータを含む署名

Q27

楕円曲線暗号(ECC)とは - IT用語辞典 e-Words

公開鍵暗号としては他に、巨大な素数の積の素因数分解の困難さを基礎とするRSA暗号が広く知られているが、楕円曲線暗号はより短い暗号鍵で同程度の暗号強度が得られ、暗号化や復号に伴う計算回数も少ないことから、ICカードなど処理能力の限られた機器で早くから実用化されているほか、これまでRSAが用いられてきた用途でも導入や置き換えが進みつつある。

Q34

http://www.ppc.go.jp/files/pdf/261211guideline2.pdf

* 事業者は、従業員等の個人番号を利用して営業成績等を管理する特定個人情報ファイルを作成してはならない。

Q35

著作物の変更、切除その他の改変又は著作物に対するその他の侵害で自己の名誉又は声望を害するおそれのあるものに対して異議を申し立てる権利(同一性保持権、名誉声望保持権)

Wiki

Q40

JASA (多様な組織体のさまざまなニーズに応じた監査方式)

Q47

BPO = Business Process Outsourcing

Q50

基本情報技術者 平成27年春期 午前問75

所感

情報セキュリティマネジメント試験は、午前が 9:30-11:00 で午後が 12:30-14:00 なのですが、午前試験の退出可能時間帯が 10:30-10:50 の間だけっていうのはいじめではないかと思いました (開始 1 時間後以降退出可能)。午後は 13:10 から可能なのにね (開始 40 分後から)。午前は 4 択問題が 50 問なので、むしろ午前こそ早くから退出可能にするべきではないかと思いました。免除の人もいるわけですし。