過去問・一問一答

情報セキュリティマネジメント試験 の演習問題

情報セキュリティマネジメント試験のオリジナル演習問題 502問を、分野別に整理しました。各問、正解と選択肢ごとの解説つき。気になる問題を選んで「なぜその答えになるのか」まで確認できます。

情報セキュリティ全般

マルウェア3

リスクの基本概念3

暗号・認証6

暗号・認証の基礎12

デジタル署名送信者の秘密鍵で生成し、受信者が公開鍵で検証することで作成者と非改ざんを確認する仕組みはどれか。デジタル証明書認証局が公開鍵とその所有者の対応を保証し、なりすましを防ぐために発行するものはどれか。メッセージ認証コード共通鍵とメッセージから生成し、通信内容の改ざん検知と送信元確認に用いる値はどれか。ソルトパスワードに付加してからハッシュ化し、事前計算表による解析を防ぐためのランダムな値はどれか。チャレンジレスポンス認証サーバが毎回異なる乱数を提示し、利用者がそれを基に計算した応答を返して認証する方式はどれか。ゼロトラスト社内ネットワークの内側であっても無条件には信頼せず、通信のたびに検証する考え方はどれか。公開鍵基盤(PKI)認証局が公開鍵の持ち主を証明書で保証し、公開鍵暗号の信頼を支える基盤はどれか。証明書失効リスト(CRL)有効期限内であっても無効化されたディジタル証明書の一覧を、認証局が公開する仕組みはどれか。多要素認証パスワードに加えてスマートフォンへの確認コードや指紋を組み合わせて本人確認を行う方式はどれか。シングルサインオン一度の認証で、許可された複数のシステムへ再入力なしに利用できるようにする仕組みはどれか。ワンタイムパスワード認証のたびに一度しか使えない使い捨ての符号を発行し、盗聴された値の再利用を防ぐ方式はどれか。共通脆弱性識別子(CVE)世界で発見された個々の脆弱性に一意の番号を割り当て、関係者が同じ弱点を共通の符号で参照できるようにする仕組みはどれか。

暗号の基礎4

攻撃手法11

ソーシャルエンジニアリング攻撃者が情報システム部員になりすまして利用者に電話をかけ、「障害調査のため」と称してパスワードを聞き出した。この攻撃の分類として最も適切なものはどれか。標的型攻撃特定企業を狙い、業務に関係する内容を装ったメールに不正な添付ファイルを付けて送り、長期間にわたり潜伏して情報を窃取しようとする攻撃を何と呼ぶか。ゼロデイ攻撃ソフトウェアの脆弱性が公表され修正プログラムが提供されるより前に、その脆弱性を悪用して行われる攻撃を何というか。フィッシング実在する銀行を装ったメールで偽のログイン画面へ誘導し、入力された口座番号と暗証番号を盗み取ろうとする手口はどれか。ブルートフォースあるアカウントに対し、考えうる文字の組合せを片端から自動で試し続けてパスワードを破ろうとする攻撃はどれか。DoS/DDoS多数の機器から大量の通信を一斉に送りつけてサーバを過負荷にし、正規の利用者がサービスを使えない状態に陥れる攻撃はどれか。SQLインジェクションWebアプリの入力欄に不正なSQL文の断片を紛れ込ませ、データベースを意図せず操作して情報を盗み出したり改ざんしたりする攻撃はどれか。クロスサイトスクリプティング掲示板などの入力内容がそのまま表示されるWebサイトに、利用者のブラウザ上で実行される不正なスクリプトを埋め込み、閲覧者のCookieなどを盗もうとする攻撃…中間者攻撃通信を行う二者の間に攻撃者がひそかに割り込み、双方になりすましてやり取りを中継しながら内容を盗み見たり書き換えたりする攻撃はどれか。パスワードリスト攻撃あるサービスから流出したIDとパスワードの組を、別のサービスのログインでそのまま試す攻撃が成立しやすくなる利用者の習慣はどれか。ゼロデイ攻撃修正プログラムがまだ提供されていない脆弱性を悪用する攻撃に対し、利用者側の備えとして効果が期待しにくいものはどれか。

攻撃手法・脅威38

ボットネット攻撃者が多数の感染端末を遠隔操作し、指令サーバを通じて一斉に攻撃を行う仕組みはどれか。ワーム他のプログラムに寄生せず、自己を複製してネットワーク経由で次々に拡散するマルウェアはどれか。キーロガー利用者がキーボードで入力した内容を記録し、認証情報などを盗み出すマルウェアはどれか。ルートキット侵入後に管理者権限を維持しつつ、自身や不正活動の痕跡を隠蔽するためのツール群はどれか。ドライブバイダウンロード利用者がWebサイトを閲覧しただけで、気付かぬうちにマルウェアを自動的にダウンロードさせられる攻撃はどれか。水飲み場型攻撃標的が頻繁に訪れるWebサイトを改ざんし、その利用者を狙って感染を仕掛ける攻撃はどれか。スパイウェア利用者に気付かれずに端末内の情報や利用状況を収集し、外部へ送信するソフトウェアの総称はどれか。バックドア正規の認証を経ずにシステムへ侵入できるよう、攻撃者が秘密裏に設けた裏口はどれか。リプレイ攻撃正規利用者の認証データを盗聴して記録し、それをそのまま再送信して認証を不正に通過する攻撃はどれか。ディレクトリトラバーサルパス名の相対指定を悪用し、公開を想定していない上位階層のファイルへ不正にアクセスする攻撃はどれか。セッションハイジャック通信中の利用者に割り当てられたセッションIDを盗用し、その利用者になりすます攻撃はどれか。ポートスキャン攻撃の事前準備として、対象のどのポートが開いており利用可能かを調べる行為はどれか。ファジングプログラムに想定外のデータを大量に与え、異常終了などから脆弱性を発見する手法はどれか。サイドチャネル攻撃暗号処理中の消費電力や処理時間など物理的な漏えい情報を観測し、秘密鍵を推測する攻撃はどれか。ビジネスメール詐欺(BEC)経営者や取引先になりすましたメールで担当者を欺き、攻撃者の口座へ送金させる詐欺はどれか。サラミ法端数処理で生じるごく小さな金額を多数の取引から少しずつ詐取し、累積させる不正行為はどれか。クリックジャッキング透明化した罠のボタンを正規ページに重ね、利用者に意図しない操作をさせる攻撃はどれか。クリプトジャッキング他人の端末の処理能力を無断で利用し、暗号資産の採掘を密かに行う攻撃はどれか。ファイルレスマルウェアディスクに実行ファイルを残さず、メモリ上や正規ツールを悪用して活動するマルウェアはどれか。クロスサイトリクエストフォージェリログイン中の利用者のブラウザを悪用し、本人の意図しない要求をWebサイトへ送らせる攻撃はどれか。DNSキャッシュポイズニングDNSサーバに偽の名前解決情報を覚え込ませ、利用者を不正なサイトへ誘導する攻撃はどれか。ARPスプーフィングLAN内で偽のMACアドレス情報を流し、通信を自端末に引き込んで盗聴する攻撃はどれか。レインボーテーブル攻撃ハッシュ値と元の文字列の対応表をあらかじめ用意し、パスワードを高速に逆算する攻撃はどれか。パスワードスプレー攻撃よく使われる少数のパスワードを、多数のアカウントに広く試してロックアウトを避ける攻撃はどれか。サプライチェーン攻撃標的を直接狙わず、取引先や利用ソフトの提供元を経由して侵入する攻撃はどれか。タイポスクワッティング有名サイトの綴り間違いに似たドメインを取得し、誤入力した利用者を誘い込む手口はどれか。スミッシング宅配の不在通知などを装ったSMSで偽サイトへ誘導し情報を盗む手口はどれか。ビッシング電話で公的機関や金融機関の職員を装い、口頭で暗証番号などを聞き出す手口はどれか。ペネトレーションテスト実際に攻撃者の手口を模して対象システムへ侵入を試み、防御の有効性を検証する活動はどれか。アドウェア利用者の同意なく広告を強制的に表示し、時に閲覧履歴を収集して広告配信に悪用するソフトウェアはどれか。ダウングレード攻撃通信の交渉に介入し、安全性の低い旧式の暗号方式へ強制的に切り替えさせて解読を狙う攻撃はどれか。辞書攻撃よく使われる単語やパスワードを集めた一覧を順に試し、利用者のパスワードを言い当てる攻撃はどれか。ジュースジャッキング公共の場の充電ポートにつないだだけでデータを盗まれたりマルウェアを仕込まれる脅威はどれか。SIMスワップ詐欺携帯電話番号を攻撃者のSIMへ不正に移し替えSMS認証を乗っ取る手口はどれか。ショルダーハッキング背後からのぞき見て入力中のパスワードや暗証番号を盗み取る行為はどれか。スキャベンジングごみ箱や廃棄媒体をあさって機密情報を収集する行為はどれか。なりすまし送信元アドレスや識別情報を偽り別の正規の主体であるかのように装う行為はどれか。ハニーポット攻撃者をおびき寄せる囮システムを設け手口や挙動を観察する仕組みはどれか。

情報セキュリティの基本概念5

情報資産とリスク10

認証の基礎2

情報セキュリティ管理

ISMS6

ISMSの確立1

ISMS規格2

ISMS認証1

ISMS文書2

アクセス管理2

アクセス制御1

アクセス制御方針1

インシデント管理8

インシデント対応2

サービス管理1

セキュリティポリシ3

セキュリティ組織2

パフォーマンス評価1

リスクアセスメント3

リスクマネジメント7

リスク管理3

リスク対応5

リスク分析手法2

リスク用語3

委託管理2

運用管理1

改善1

監査2

監視2

管理策2

管理策の評価4

供給者管理2

脅威管理1

個人情報保護1

資産管理5

事業継続1

事業継続管理7

順守1

情報セキュリティの特性5

情報分類1

人的セキュリティ2

人的管理5

脆弱性管理1

組織管理1

組織体制5

端末管理1

認証管理2

認証制度1

物理的セキュリティ2

物理的管理1

方針・体制1

情報セキュリティ対策・実装技術

Cookie制御1

Cookie保護1

DNSセキュリティ1

DoS対策1

L2アクセス制御1

L2防御1

Webアプリ対策1

Web保護2

アクセス制御2

アクセス制御方式1

インシデント対応技術1

クラウド1

クラウド利用制御1

コンテナ防御1

コンテンツ保護1

セキュア開発3

セキュア実装3

セッションIDの固定化1

チケット型認証基盤1

データ保護1

トークンの真正性1

ネットワークセキュリティ8

ファイアウォールネットワーク境界に設置し、送信元・宛先のIPアドレスやポート番号などの条件に基づいて通信の通過・遮断を制御する仕組みはどれか。IDSとIPS不正な通信や攻撃の兆候を検知した際に、管理者へ通知するだけでなく、その通信を自動的に遮断して被害を未然に防ぐ機能を持つ仕組みはどれか。無線LANのセキュリティ無線LANを利用する際に通信を保護する方式として、現在最も安全性が高く推奨されるものはどれか。VPNインターネットのような公衆網を経由しながらも、暗号化とトンネリングによって拠点間や在宅勤務者と社内を安全に接続し、あたかも専用線のように使う技術はどれか。WAFWebアプリへのSQLインジェクションやクロスサイトスクリプティングなどの攻撃を、通信内容を検査して検知・遮断する仕組みはどれか。プロキシ社内端末の代わりに外部サーバへアクセスを中継し、アクセス先の制限やログ取得、コンテンツの検査を行う仕組みはどれか。ハニーポット攻撃者をわざと誘い込むために設置したおとりのシステムで、攻撃の手口を観察・分析する目的で用いられるものはどれか。検疫ネットワーク社内ネットワークへ接続しようとする端末のセキュリティ状態を事前に検査し、基準を満たさない端末は隔離して接続させない仕組みはどれか。

ネットワーク構成3

ハードウェア保護1

パケット制御1

パスワード非送信認証1

パスワード保護3

パス指定の悪用1

バックアップ1

ブラウザ防御1

ポート制御1

マルウェア対策3

メールセキュリティ1

リモートアクセス2

暗号技術5

暗号利用モード1

一方向通信の強制1

可用性防御1

外部命令への混入1

監視1

監視・運用管理1

記録の保全1

起動時保護1

強制アクセス制御の実装1

検査と使用の競合1

鍵の信頼1

鍵の導出1

鍵管理装置1

鍵交換の安全性1

誤発行の検知1

公開サーバ防御1

公開鍵暗号の実装1

事業継続1

重ね表示の悪用1

書式指定の悪用1

証明書の連鎖検証1

証明書検証1

証明書失効確認1

情報漏えい対策1

信頼の起点1

数値の桁あふれ1

脆弱性検査2

脆弱性対策3

接続先検証1

接続端末検疫1

相互認証1

送信ドメイン認証3

送信元偽装対策1

送信時の利用者認証1

対応の自動化1

探索行為検知1

端末管理1

通信の暗号化3

通信の強制保護1

通信の途中暗号化1

統合防御1

特権アクセスの統制1

入退室の整合制御1

認可の委譲1

認証基盤1

認証技術10

ディジタル署名電子文書にディジタル署名を付すことで実現できることとして、最も適切なものはどれか。ディジタル証明書とCA公開鍵が確かにその名義人のものであることを第三者が保証する仕組みにおいて、申請者の本人性を確認したうえでディジタル証明書を発行する機関はどれか。ワンタイムパスワード一度しか使えず短時間で無効になるパスワードを毎回生成して用いることで、盗聴された場合の再利用を防ぐ認証方式はどれか。シングルサインオン一度の認証で、連携する複数のシステムやサービスを再度ログインせずに利用できるようにする仕組みはどれか。生体認証の精度生体認証で、他人を誤って本人と認めてしまう割合を表す指標はどれか。CAPTCHAログイン画面などで、ゆがんだ文字の入力や画像の選択を求め、プログラムによる自動的な大量アクセスを排除する仕組みはどれか。タイムスタンプ電子データがある時刻に確かに存在し、その後改ざんされていないことを第三者機関の情報を用いて証明する仕組みはどれか。リスクベース認証普段と異なる場所や端末からのログインなど、ふだんと違う状況を検知したときにのみ追加の本人確認を求める認証方式はどれか。多要素認証認証において、知識・所持・生体という性質の異なる要素のうち二つ以上を組み合わせて本人確認の強度を高める方式はどれか。管理コンソール保護P社は会員向けWebサービスを自社開発・運用する従業員約120名のIT企業である。利用者の個人情報を扱い、開発チームはクラウド上に構築した環境で在宅勤務を交…

認証情報連携1

認証付き暗号1

認証方式2

認証連携1

配布物の真正性1

媒体管理1

副次情報の遮蔽1

物理的解析への耐性1

防御思想1

名前解決防御1

迷惑メール送信抑止1

乱数の安全性1

関連法規

e-文書法1

ガイドライン1

サイバーセキュリティ1

サイバーセキュリティ基本法2

プロバイダ責任制限法1

マイナンバー法2

委託・契約管理1

規格2

規格制度1

業界基準1

刑法5

個人情報5

個人情報保護6

個人情報保護法13

個人情報保護法個人情報保護法で、その取扱いに特に配慮を要するとして「要配慮個人情報」に位置づけられているものはどれか。個人情報保護法個人データの漏えいが発生し、本人の権利利益を害するおそれが大きいと判断された場合、個人情報取扱事業者が原則として行うべき対応はどれか。個人情報の定義個人情報保護法における「個人情報」に関する説明として、最も適切なものはどれか。利用目的個人情報取扱事業者が個人情報を取得する際の、利用目的の取扱いとして適切なものはどれか。第三者提供個人データを第三者へ提供する場合の原則的なルールとして、適切なものはどれか。匿名加工情報個人情報を、特定の個人を識別できず、かつ元の個人情報に復元できないように加工した情報を何というか。開示請求個人情報取扱事業者が保有する自分の個人データについて、本人が事業者に対して行使できる権利として適切なものはどれか。データベース等不正提供罪個人情報取扱事業者の従業者等が、業務で扱う個人情報データベース等を不正な利益を図る目的で提供等した場合を処罰する規定はどれか。安全管理措置の区分個人情報保護法に基づくガイドラインが、個人データの安全管理措置として整理している主な区分の組合せはどれか。データ内容の正確性確保個人情報取扱事業者が保有する個人データの内容について、個人情報保護法が求めている取扱いはどれか。オプトアウト届出本人の同意を得ずにオプトアウト方式で個人データを第三者へ提供しようとする事業者に、個人情報保護法が求める手続はどれか。域外適用国内の本人に係る個人情報を取り扱う外国の事業者に対する、日本の個人情報保護法の適用に関する説明はどれか。保有個人データの開示方法本人から保有個人データの開示請求を受けた事業者の対応について、個人情報保護法の定めに沿うものはどれか。

国際1

国際的な規制1

資格制度1

取引適正化1

消費者保護3

情報セキュリティ関連制度1

情報セキュリティ関連法規5

情報共有1

推進体制1

知的財産20

限定提供データの保護ID管理などで限定して他者に提供される事業上有用なデータを不正競争防止法が新たに保護対象とした類型はどれか。著作権の保護期間個人が創作した著作物の財産権としての著作権について、現行の著作権法が定める原則的な保護期間はどれか。違法複製物のダウンロード著作権を侵害して公衆送信されていると知りながら有償著作物の複製物をダウンロードする行為について、現行法の扱いはどれか。商標権自社の商品やサービスの出所を示す文字や図形などの標識について、登録により独占的に使用できる権利を認める法律はどれか。周知表示混同惹起行為他社の広く知られた商品表示と同一・類似の表示を用い消費者に混同を生じさせる行為を規制する不正競争防止法上の類型はどれか。意匠権工業製品のデザイン(形状・模様・色彩等)を保護する権利として最も適切なものはどれか。実用新案権物品の形状・構造又は組合せに係る考案を保護する実用新案権の特徴として適切なものはどれか。プログラムの著作物性コンピュータプログラムの著作権法上の取扱いに関する記述として適切なものはどれか。著作者人格権著作者人格権に含まれる権利の組合せとして最も適切なものはどれか。職務著作従業員が職務上作成する著作物の著作者に関する職務著作(法人著作)の原則として適切なものはどれか。コピーレフト型ライセンスGPLに代表されるコピーレフト型のオープンソースソフトウェアライセンスの特徴として適切なものはどれか。特許権の存続期間発明を保護する特許権について、特許法が定める原則的な存続期間の起算点と長さの組合せはどれか。職務発明従業者が職務として行った発明、いわゆる職務発明について、特許法が定める原則的な取扱いはどれか。私的使用のための複製著作権法が定める私的使用のための複製として、原則として権利者の許諾なく認められる行為はどれか。著作権の利用許諾著作物の利用許諾(ライセンス)と著作権の譲渡との違いに関する説明として、最も適切なものはどれか。データベースの著作物情報の集合体であるデータベースが著作権法上の著作物として保護されるための要件はどれか。技術的制限手段の回避コピーガード等のコンテンツ保護技術を無効化する装置やプログラムの提供を規制するのはどれか。ドメイン名の不正取得他人の商品等表示と同一又は類似のドメイン名を不正の利益を得る目的で取得・保有する行為を規制するのはどれか。著作権の登録制度著作権法における登録制度の位置付けに関する説明として、最も適切なものはどれか。営業秘密の三要件不正競争防止法上の営業秘密として保護されるために、ある情報が満たすべき三つの要件はどれか。

著作権法2

通信法4

電子署名法1

電子帳簿保存法1

特定電子メール法1

内部通報1

内部統制1

認証制度2

番号制度1

不正アクセス禁止法4

不正競争防止法1

民事責任1

労働・委託1

テクノロジ・マネジメント基礎

IoT1

クラウド3

サービスマネジメント9

システム監査5

システム監査基礎1

システム構成1

データベース基礎6

ネットワークセキュリティ3

ネットワーク基礎13

IPアドレスTCP/IPネットワークにおいて、通信先のコンピュータ(ホスト)を一意に識別するために用いられる番号はどれか。DNS人が利用するドメイン名(例 www.example.jp)を、通信に必要なIPアドレスへ変換する仕組みはどれか。プロトコルネットワーク上で機器どうしが正しく通信できるよう、データの形式ややり取りの手順をあらかじめ定めた約束事を何というか。NAT組織内で使うプライベートIPアドレスを、外部と通信する際にグローバルIPアドレスへ相互変換する仕組みはどれか。ルータ異なるネットワークどうしを相互に接続し、宛先のIPアドレスを見て最適な経路へパケットを転送する機器はどれか。デフォルトゲートウェイ端末が自分の所属するネットワーク外の宛先へ通信する際、最初にパケットを送り出す宛先となる機器の設定はどれか。DHCPネットワークに接続した端末に対し、IPアドレスやサブネットマスクなどの設定情報を自動的に割り当てる仕組みはどれか。MACアドレスネットワーク機器の製造時に各ネットワークインタフェースへ割り当てられ、原則として重複しない固有の物理アドレスはどれか。サブネットマスクIPアドレスのうちネットワーク部とホスト部の境界を区切るために用いる値はどれか。ポート番号同一のホスト上で動作する複数の通信サービスを区別するために用いられる番号はどれか。スイッチングハブ宛先のMACアドレスを見て、その機器が接続されたポートにだけフレームを送る装置はどれか。OSI基本参照モデル通信機能を役割ごとに7階層に分けて整理した、ネットワークの概念的な参照モデルはどれか。TCPとUDP相手と接続を確立し、到達確認と再送によってデータの確実な伝送を保証するプロトコルはどれか。

運用基礎1

仮想化1

可用性設計2

信頼性8

信頼性指標1

信頼性設計4

標準化1

情報セキュリティマネジメント試験 過去問・一問一答|AI解説つき演習問題|ukamiru