応用情報技術者試験 - Applied Information Technology Engineer Information Security Management Questions and Answers

Question 1

ISMS（情報セキュリティマネジメントシステム）の確立、導入、維持、及び継続的改善で用いられるPDCAモデルにおいて、「Check（評価）」のフェーズで実施される活動として、最も適切なものはどれか。

Accepted Answer

ISMSのパフォーマンスを監視、測定し、その有効性を評価する。

Answer

策定した情報セキュリティ方針を組織内に周知し、必要な教育・訓練を実施する。

Answer

評価結果に基づき、是正処置及び予防処置を実施する。

Answer

情報セキュリティリスクアセスメントを実施し、リスク対応計画を策定する。

Question 2

ある企業の元従業員が、退職後も利用可能であった同僚のIDとパスワードを無断で使用して、社内ネットワーク上のサーバにアクセスし、顧客情報を閲覧した。この行為を直接的に規制する法律はどれか。

Accepted Answer

不正アクセス行為の禁止等に関する法律（不正アクセス禁止法）

Answer

個人情報保護法

Answer

特定電子メールの送信の適正化等に関する法律

Answer

サイバーセキュリティ基本法

Question 3

組織内における情報セキュリティインシデントへの対応を専門に行うチームであるCSIRT（Computer Security Incident Response Team）の役割として、最も適切なものはどれか。

Accepted Answer

情報セキュリティインシデントの発生時に、その検知、分析、対応、報告など中心的な役割を担う。

Answer

従業員に対する情報セキュリティ教育の計画と実施のみを専門に行う。

Answer

組織の情報システム全体の企画、開発、運用を統括する。

Answer

新たな情報セキュリティ製品や技術の導入を決定し、その調達を担当する。

Question 4

ある企業が事業継続計画（BCP）を策定するにあたり、基幹システムに障害が発生した場合、「障害発生直前の状態までデータを復旧させる必要がある」とし、そのための目標を「最大でも1時間分のデータ損失まで許容する」と定めた。この目標を示す用語として、最も適切なものはどれか。

Accepted Answer

RPO（目標復旧時点）

Answer

RTO（目標復旧時間）

Answer

BIA（事業影響度分析）

Answer

SLA（サービスレベル合意書）

Question 5

企業などの組織が定める情報セキュリティポリシーの階層構造に関する記述として、最も適切なものはどれか。

Accepted Answer

「基本方針」「対策基準」「実施手順書」の3階層で構成されるのが一般的であり、「対策基準」は基本方針を実現するためのルールを定めるものである。

Answer

情報セキュリティポリシーは、具体的な手順書のみで構成される。

Answer

最上位の「基本方針」では、個別の情報機器の具体的な設定手順を定める。

Answer

「実施手順書」は、情報セキュリティに関する組織の理念や目的を示す最上位の文書である。

Question 6

独立行政法人情報処理推進機構（IPA）の活動内容として、適切なものはどれか。

Accepted Answer

「情報セキュリティ10大脅威」を選出し、手口や対策を解説する文書を公開することで、社会全体のセキュリティ意識向上に貢献している。

Answer

日本国内のドメイン名（.jp）の登録管理とDNSの運用を行う。

Answer

内閣に設置され、日本のサイバーセキュリティに関する政策の企画立案及び総合調整を行う。

Answer

インターネット上で発生したセキュリティインシデントに関する報告の受付、対応の支援、情報公開などを行うJPCERT/CCを運営する。