トップ > 情報処理安全確保支援士 > SC午前2過去問)テクノロジ系 » セキュリティ » 情報セキュリティ管理

SC午前2過去問)テクノロジ系 » セキュリティ » 情報セキュリティ管理

情報処理安全確保支援士 午前2

目次

 

ISMS(information security management system)

情報セキュリティ・マネジメントを実施するために「どのようにアプローチすれば良いのか」「どのように進めていけばよいのか」ということを規格化・モデル化したものです。また,このモデルを基に,組織に適用できるようにカスタマイズしたマネジメント・プランをISMSと呼ぶ場合もあります。

 

 

JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)

平成29年秋期 問11

Q:不適合への対応のうちJIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)の"是正処置"の定義はどれか。

A:不適合の原因を除去し,再発を防止するための処置

 

平成29年秋期 問12

Q:JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)における情報セキュリティリスクに関する定義のうち,適切なものはどれか。

A:リスク特定とは,リスクを発見,認識及び記述するプロセスのことであり,リスク源,事象,それらの原因及び起こり得る結果の特定が含まれる。

 

 

 

 

JIS Q 27014:2015(情報セキュリティガバナンス)

令和元年秋期 問7

Q:JIS Q 27014:2015(情報セキュリティガバナンス)における,情報セキュリティを統治するために経営陣が実行するガバナンスプロセスのうちの"モニタ"はどれか。

A:戦略的目的の達成を評価することを可能にするガバナンスプロセス

# 参考

https://xtech.nikkei.com/atcl/nxt/column/18/00164/022100004/

 

 

 

ソフトウェア管理ガイドライン

ソフトウェアの違法複製を防止するため,法人,団体などを対象として,ソフトウェアを使用するに当たって実施されるべき事項をとりまとめたもの

平成23年特別 問13

Q:経済産業省"ソフトウェア管理ガイドライン"に定められた,ソフトウェアを使用する法人,団体などが実施すべき基本的事項の記述のうち,適切なものはどれか。

A:ソフトウェアの違法複製などの有無を確認するため,すべてのソフトウェアを対象として,その使用状況についての監査を実施する。

 

 

 

サイバーセキュリティ経営ガイドライン(Ver2.0)

サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」をまとめたもの

平成30年秋期 問6

Q:経済産業省IPAが策定した"サイバーセキュリティ経営ガイドライン(Ver2.0)"の説明はどれか。

A:企業がIT活用を推進していく中で,サイバー攻撃から企業を守る観点で経営者が認識すべき3原則と,情報セキュリティ対策を実施する上での責任者となる担当幹部に,経営者が指示すべき事項をまとめたもの

  

クラウドサービス利用のための情報セキュリティマネジメントガイドライン

クラウド利用者が、クラウドサービス利用の際に、情報セキュリティ対策の観点から活用することを企図して策定されたもの

平成26年秋期 問3

Q:2011年に経済産業省が公表した"クラウドサービス利用のための情報セキュリティマネジメントガイドライン"が策定された目的について述べたものはどれか。

A:JIS Q 27002の管理策を補完し,クラウドサービス利用者が情報セキュリティ対策を円滑に行えるようにする。

 

 

 

コンティンジェンシープラン

事件・事故や災害などのようにリスクは特定されているが発生が不確実というような既知のリスクに対して、リスクが顕在化した場合の対応策をまとめた計画

平成24年春期 問5

Q:コンティンジェンシープランにおける留意点はどれか。

A:企業のすべてのシステムを対象とするのではなく,システムの復旧の重要性と緊急性を勘案して対象を決定する。

コンティンジェンシープランでは、システムごとにプライオリティ(優先度)が設定され、緊急事態発生時には、本作業で設定されたプライオリティが高い業務から順に継続・復旧作業が行われます。

 

CSIRT(Computer Security Incident Response Team,シーサート)

対象とする範囲でセキュリティ上の問題が起きていないかどうかを監視するとともに、発生したセキュリティインシデントについて対応するチームや組織の総称

 

平成26年秋期 問6

Q:CSIRTの説明として,適切なものはどれか。

A:国レベルや企業・組織内に設置され,コンピュータセキュリティインシデントに関する報告を受け取り,調査し,対応活動を行う組織の総称である。

 

 

 

サイバー情報共有イニシアティブ(J-CSIP:Initiative for Cyber Security Information sharing Partnership of Japan )

公的機関であるIPAを情報ハブ(集約点)の役割として、重要インフラで利用される機器の製造業者、電力業界、ガス業界、化学業界、石油業界、資源開発業界、自動車業界、クレジット業界においてサイバー攻撃の情報共有を行い、高度なサイバー攻撃対策に繋げていく取り組み

 

平成30年春期 問10

Q:サイバー情報共有イニシアティブ(J-CSIP)の説明として,適切なものはどれか。

A:標的型サイバー攻撃などに関する情報を参加組織間で共有し,高度なサイバー攻撃対策につなげる取組み

 

平成28年春期 問10

Q:"サイバー情報共有イニシアティブ(J-CSIP)"の説明はどれか。

A:検知したサイバー攻撃の情報を公的機関に集約し,高度なサイバー攻撃対策につなげていく取組み

 

 

 

 

ソフトウェア等脆弱性関連情報取扱基準

ソフトウェア等に係る脆弱性関連情報等の取扱いについての推奨行為を定めることで、「発見者」「受付機関」「調整機関」「製品開発者」「ウェブサイト運営者」などの関係者が脆弱性情報を適切に取り扱うこと、およびその脆弱性によって引き起こされる被害を予防することを目的とした基準

 

平成22年春期 問7

Q:経済産業省告示の"ソフトウェア等脆弱性関連情報取扱基準"におけるWebアプリケーションに関する脆弱性関連情報の適切な取扱いはどれか。

A:受付機関は,Webサイト運営者からWebアプリケーションの脆弱性が修正されたという通知を受けたら,それを速やかに発見者に通知する。

 

 

 

CRYPTEC

暗号技術の安全性,実装性及び利用実績の評価・検討を行う。

CRYPTREC(Cryptography Research and Evaluation Committees)は、電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討するプロジェクト

 

平成28年秋期 問8

Q:情報資産を洗い出し、それぞれの情報資産に対して資産価値、脅威、脆弱性及びセキュリティ要件を識別し、リスクを評価する手法

A:暗号技術の安全性,実装性及び利用実績の評価・検討を行う。

 

 

 

リスク

リスク分析

平成21年春期 問8

Q:情報システムのリスク分析に関する記述のうち,適切なものはどれか。

A:リスク分析では,現実に発生すれば損失をもたらすリスクが,情報システムのどこに,どのように潜在しているかを識別し,その影響の大きさを測定する。

 

 

詳細リスク分析

情報資産を洗い出し、それぞれの情報資産に対して資産価値、脅威、脆弱性及びセキュリティ要件を識別し、リスクを評価する手法

平成23年秋期 問25

Q:ISMSにおけるリスク分析手法の一つである"詳細リスク分析"で行う作業はどれか。

A:リスクの評価

 

リスク対策(対応)

リスクコントロール

潜在的なリスクに対して、リスクを回避したり低減されたりする対策を講じること。

リスク回避,リスク低減,リスク移転

 

リスクファイナンス

リスクが顕在化した場合に備えて、損失の補てんや対応費用などを確保しておくこと。

リスク移転,リスク保有

 

リスク受容

リスクの損失額や顕在化の可能性が低いため、予算などとの兼ね合いからあえて対処を行わないこと。

 

平成21年春期 問7

Q:リスク対策をリスクコントロールリスクファイナンスに分けた場合,リスクファイナンスに該当するものはどれか。
A:システムが被害を受けた場合を想定して保険をかけた。

 

 

 

CVE(Common Vulnerabilities and Exposures)

米国MITRE社が管理運営を行っている、一般公表されている公知の脆弱性情報を掲載している脆弱性情報辞書(データベース)です。CVEは世界各国の製品開発企業、セキュリティ関連企業、調整機関等が広く利用しています。

 

平成30年秋期 問2

Q:JVNなどの脆弱性対策情報ポータルサイトで採用されているCVE(Common Vulnerabilities and Exposures)識別子の説明はどれか。

A:製品に含まれる脆弱性を識別するための識別子