情報セキュリティマネジメント試験「情報セキュリティマネジメント・関連法規」の一問一答
📖 情報セキュリティマネジメント試験「情報セキュリティマネジメント・関連法規」の全75問と解説(一覧)
情報セキュリティマネジメント試験の情報セキュリティマネジメント・関連法規に関する一問一答(全75問)の正解と解説の一覧です。上の一問一答で実際に解いてから、ここで復習・確認できます。
-
問1.ISMS(Information Security Management System)は組織の情報セキュリティを継続的に維持・改善する仕組みである。
正解:○(正しい)
解説:PDCAサイクル(計画・実行・点検・処置)に基づき運用される。
-
問2.ISO/IEC 27001はISMSの要求事項を定めた国際規格で、JIS版はJIS Q 27001である。
正解:○(正しい)
解説:認証取得には適用範囲・リスクアセスメント・統制等の文書化が必要。
-
問3.ISO/IEC 27002はISMSの管理策(コントロール)の実装ガイダンスを示した国際規格である。
正解:○(正しい)
解説:27001付属書AのコントロールはISO/IEC 27002に詳細記述される。
-
問4.リスクアセスメントはリスクの特定・分析・評価から成る一連のプロセスである。
正解:○(正しい)
解説:ISMSの中核プロセスで、結果に基づきリスク対応戦略を選択する。
-
問5.リスク対応戦略には『回避』『低減(軽減)』『移転(共有)』『受容(保有)』の4つがある。
正解:○(正しい)
解説:リスクの大きさと組織のリスク許容度に応じて選択する。
-
問6.残留リスクとはリスク対応を実施した後に残るリスクのことである。
正解:○(正しい)
解説:経営層がその受容可否を判断する必要がある。
-
問7.情報資産の機密性・完全性・可用性に応じてリスク評価を行うことを資産価値ベースのリスク評価という。
正解:○(正しい)
解説:脅威の発生可能性・影響度を組み合わせてリスクの大きさを算定する。
-
問8.セキュリティポリシーは組織のセキュリティに関する基本方針を文書化したものである。
正解:○(正しい)
解説:基本方針・対策基準・実施手順の3階層で構成される。
-
問9.インシデント対応計画は情報セキュリティインシデント発生時の対応手順を事前に定めた計画である。
正解:○(正しい)
解説:検知・初動・封じ込め・根絶・復旧・事後対応のフェーズを含む。
-
問10.CSIRT(Computer Security Incident Response Team)はインシデント対応を専門に行うチームである。
正解:○(正しい)
解説:組織内CSIRTのほか、業界横断CSIRTもある。
-
問11.SOC(Security Operation Center)は24時間365日体制でセキュリティ監視・分析を行う組織である。
正解:○(正しい)
解説:SOC(Security Operation Center)は24時間365日体制でセキュリティイベントを監視・分析し、インシデントに初動対応する組織。ログ分析・脅威ハンティング・SIEMの運用・CSIRTとの連携等を担う。社内構築と外部委託(MSS)の両形態がある。
-
問12.SIEM(Security Information and Event Management)は複数システムのログを統合分析しセキュリティ脅威を検出する仕組みである。
正解:○(正しい)
解説:SIEMは複数システムのログ(FW・IDS/IPS・サーバ・アプリ等)を一元収集し、相関分析(コリレーション)で攻撃の兆候を検出する仕組み。リアルタイムアラート・ダッシュボード・インシデント調査支援が中核機能。
-
問13.事業継続計画(BCP)は災害・障害発生時に重要業務を継続・早期復旧する手順を定めた計画である。
正解:○(正しい)
解説:BCMは計画の運用管理プロセス全体を指す。
-
問14.RTO(Recovery Time Objective)は業務をどれだけの時間内に復旧させるかの目標時間である。
正解:○(正しい)
解説:RPO(Recovery Point Objective)は許容できるデータ損失量の目標。
-
問15.個人情報保護法は個人情報を取り扱う事業者に対し、利用目的の特定・通知・適正取得・安全管理措置等の義務を課す法律である。
正解:○(正しい)
解説:個人情報保護法は個人情報取扱事業者に対し、利用目的の特定・通知公表・適正取得・安全管理措置・第三者提供制限・開示請求対応等の義務を課す法律。個人情報保護委員会が監督権限を持ち、違反には命令・罰則が課される。
-
問16.要配慮個人情報には人種・信条・社会的身分・病歴・犯罪歴・身体障害等が含まれる。
正解:○(正しい)
解説:本人同意なしの取得・第三者提供が原則禁止される個人情報。
-
問17.個人情報保護法上、漏えい等のうち一定の重大事案は個人情報保護委員会への報告と本人通知が義務付けられている。
正解:○(正しい)
解説:1,000人超の漏えい・要配慮情報・財産被害・不正目的等が対象。
-
問18.不正アクセス禁止法は他人のID・パスワードを使ったアクセスや脆弱性を突いたアクセスを禁止する法律である。
正解:○(正しい)
解説:違反は3年以下の拘禁刑または100万円以下の罰金。
-
問19.サイバーセキュリティ基本法は国・地方公共団体・重要インフラ事業者等の責務を定めた法律である。
正解:○(正しい)
解説:サイバーセキュリティ基本法は2014年制定。国・地方公共団体・重要インフラ事業者・サイバー関連事業者等の責務を定め、国家戦略の推進と関係機関の連携を規定する。NISC(内閣サイバーセキュリティセンター)が司令塔。
-
問20.マイナンバー法は個人番号(マイナンバー)の取得・利用・提供・保管に関する規律を定めた法律である。
正解:○(正しい)
解説:社会保障・税・災害対策の3分野で利用される12桁の番号。
-
問21.著作権法上、プログラム著作物は『プログラムの著作物』として保護対象となる。
正解:○(正しい)
解説:プログラムは著作権法上『プログラムの著作物』として保護対象。ソースコード・オブジェクトコード両方が対象で、無断複製・改変・配布は侵害となる。ライセンス契約(GPL・MIT・商用ライセンス等)の条項に基づいて利用するのが原則。
-
問22.不正競争防止法における『営業秘密』として保護されるためには、秘密管理性・有用性・非公知性の3要件を満たす必要がある。
正解:○(正しい)
解説:不正競争防止法上の営業秘密は『秘密管理性(厳重に管理されている)』『有用性(事業活動に有用)』『非公知性(公然と知られていない)』の3要件を全て満たす必要がある。判例上、特に秘密管理性が厳しく問われる。
-
問23.電子署名法は電子署名が手書き署名・押印と同等の法的効力を持つことを定めた法律である。
正解:○(正しい)
解説:本人による電子署名であれば真正な成立が推定される。
-
問24.JIS Q 15001は個人情報保護マネジメントシステム(PMS)の要求事項を定めたJIS規格で、プライバシーマーク制度の基準となる。
正解:○(正しい)
解説:JIS Q 27001(ISMS)と並ぶ重要規格。
-
問25.ISMAPは日本政府が利用するクラウドサービスの安全性を評価・登録する制度である。
正解:○(正しい)
解説:政府機関がクラウドを採用する際の調達要件として参照される。
-
問26.ISO/IEC 27001はISMSの管理策(コントロール)実装ガイダンスを示す規格で、認証取得対象規格ではない。
正解:×(誤り)
解説:誤り。ISO/IEC 27001はISMS要求事項を定めた認証取得対象規格。管理策の実装ガイダンスは ISO/IEC 27002。
-
問27.JIS Q 27001は個人情報保護マネジメントシステム(PMS)の要求事項を定めた規格である。
正解:×(誤り)
解説:誤り。JIS Q 27001はISMS規格(ISO/IEC 27001の日本語版)。PMS規格はJIS Q 15001。
-
問28.JIS Q 15001は情報セキュリティマネジメントシステム(ISMS)規格である。
正解:×(誤り)
解説:誤り。JIS Q 15001はPMS(個人情報保護マネジメントシステム)規格。プライバシーマークの基準。ISMS規格はJIS Q 27001。
-
問29.リスク対応戦略は『回避』『追加』『削除』『無視』の4つである。
正解:×(誤り)
解説:誤り。リスク対応戦略は『回避・低減(軽減)・移転(共有)・受容(保有)』の4つ。
-
問30.残留リスクとはリスク対応を実施する前の最大値のリスクを指す。
正解:×(誤り)
解説:誤り。残留リスクはリスク対応を実施した後に残るリスクのこと。事前のリスクは『初期リスク』等と呼ぶ。
-
問31.セキュリティポリシーは1階層の文書で構成され、現場の手順書まで全て含む。
正解:×(誤り)
解説:誤り。セキュリティポリシーは『基本方針』『対策基準』『実施手順』の3階層で構成されるのが一般的。
-
問32.CSIRTはインシデントを発生させる責任を負う組織である。
正解:×(誤り)
解説:誤り。CSIRT(Computer Security Incident Response Team)はインシデント対応を行うチームで、検知・対応・復旧・教訓化を担う。
-
問33.SOCはインシデント発生時のみ稼働する短期組織である。
正解:×(誤り)
解説:誤り。SOC(Security Operation Center)は24時間365日体制で常時監視・分析を行う組織。
-
問34.SIEMの主機能はファイアウォールの代替であり、ログ収集機能は持たない。
正解:×(誤り)
解説:誤り。SIEMは複数システムのログを収集・統合分析しセキュリティ脅威を検出する仕組み。FW代替ではない。
-
問35.RTO(Recovery Time Objective)は許容できるデータ損失量の目標である。
正解:×(誤り)
解説:誤り。RTOは業務復旧時間の目標。データ損失量の目標はRPO(Recovery Point Objective)。
-
問36.要配慮個人情報には人種や病歴が含まれず、通常の個人情報と同等に扱う。
正解:×(誤り)
解説:誤り。要配慮個人情報には人種・信条・社会的身分・病歴・犯罪歴・身体障害等が含まれ、本人同意なき取得・第三者提供は原則禁止。
-
問37.個人情報保護法では漏えい等が発生しても個人情報保護委員会への報告は義務ではない。
正解:×(誤り)
解説:誤り。一定の重大事案(1,000人超漏えい・要配慮情報・財産被害・不正目的等)は委員会への報告と本人通知が義務化されている(2022年4月改正)。
-
問38.不正アクセス禁止法は自分のIDで自分のサーバにログインする行為も処罰対象である。
正解:×(誤り)
解説:誤り。不正アクセス禁止法は『他人のID・パスワード使用や脆弱性を突いた不正アクセス』を禁止する。自分のIDで自分のサーバへの正当なアクセスは対象外。
-
問39.不正競争防止法における営業秘密は秘密管理性のみ満たせば保護される。
正解:×(誤り)
解説:誤り。営業秘密として保護されるには『秘密管理性・有用性・非公知性』の3要件すべてが必要。
-
問40.電子署名法では電子署名は手書き署名と異なり法的効力を持たない。
正解:×(誤り)
解説:誤り。電子署名法は電子署名が手書き署名・押印と同等の法的効力を持つことを定めた法律で、要件を満たせば真正な成立が推定される。
-
問41.著作権法上、プログラム著作物は保護対象外である。
正解:×(誤り)
解説:誤り。プログラムも著作権法上の著作物として保護対象。
-
問42.マイナンバー法は社会保障のみで利用される番号制度を定めた法律である。
正解:×(誤り)
解説:誤り。マイナンバー法では社会保障・税・災害対策の3分野で利用される。
-
問43.プライバシーマーク制度の認証基準はJIS Q 27001である。
正解:×(誤り)
解説:誤り。プライバシーマークの基準はJIS Q 15001(PMS)。JIS Q 27001はISMS。
-
問44.ISMAPはアプリケーション開発者向けの脆弱性検査制度である。
正解:×(誤り)
解説:誤り。ISMAPは政府利用クラウドサービスの安全性評価・登録制度。脆弱性検査制度ではない。
-
問45.事業継続計画(BCP)は通常時の業務効率改善を目的とした計画である。
正解:×(誤り)
解説:誤り。BCPは災害・障害発生時に重要業務を継続・早期復旧するための計画。通常時の業務改善はBPRなど別概念。
-
問46.リスクアセスメントの目的はリスクを発生させないための活動である。
正解:×(誤り)
解説:誤り。リスクアセスメントは『リスクを特定・分析・評価』するプロセスであり、対応はその結果に基づくリスク対応で行う。発生防止のみが目的ではない。
-
問47.リスクの『移転』とはリスクを完全に排除する戦略を指す。
正解:×(誤り)
解説:誤り。リスクの移転(共有)は保険・委託等で第三者にリスクを部分的に移す戦略。完全排除は『回避』戦略。
-
問48.セキュリティ教育は経営層には不要で、現場の従業員のみに実施すれば良い。
正解:×(誤り)
解説:誤り。セキュリティ教育は経営層から現場まで全階層で必要。経営層のコミットメントなしにISMSは機能しない。
-
問49.SOAR(Security Orchestration, Automation and Response)はインシデント対応を全て自動化し人間の判断を排除する仕組みである。
正解:×(誤り)
解説:誤り。SOARはセキュリティ運用の効率化・自動化を支援するプラットフォームだが、人間の判断を完全に排除するものではなくプレイブックに沿って人間と協調する。
-
問50.内部不正の対策として『最小権限の原則』は不要であり、全員に管理者権限を付与すべきである。
正解:×(誤り)
解説:誤り。最小権限の原則は内部不正の被害最小化に必須の基本対策。全員管理者権限は内部不正リスクを増大させる。
-
問51.ISMSの国際規格はどれか。
- ア.ISO/IEC 27001
- イ.ISO/IEC 9001
- ウ.ISO/IEC 14001
- エ.ISO/IEC 20000
正解:ア.ISO/IEC 27001
解説:ISO/IEC 27001がISMSの要求事項を定めた認証取得対象規格。9001は品質、14001は環境、20000はITSM。
-
問52.リスク対応戦略のうち『リスク移転』の例はどれか。
- ア.脆弱性のあるシステムを廃止する
- イ.保険に加入してリスクを第三者に分担する
- ウ.セキュリティパッチを適用する
- エ.リスクを承知の上で業務を継続する
正解:イ.保険に加入してリスクを第三者に分担する
解説:保険・アウトソーシング等で第三者にリスクを部分的に移すのが『移転(共有)』。
-
問53.リスク対応戦略のうち『リスク低減』の例はどれか。
- ア.危険な業務を中止する
- イ.保険でリスクを移す
- ウ.ファイアウォール導入で攻撃を防ぐ
- エ.リスクを承知の上で受容する
正解:ウ.ファイアウォール導入で攻撃を防ぐ
解説:技術的・組織的対策でリスクの発生確率や影響を下げるのが『低減(軽減)』。
-
問54.セキュリティポリシーの3階層構造として正しいものはどれか。
- ア.技術・人・組織
- イ.目的・手段・結果
- ウ.計画・実行・評価
- エ.基本方針・対策基準・実施手順
正解:エ.基本方針・対策基準・実施手順
解説:ポリシー(What)→スタンダード(What detail)→プロシージャ(How)の3階層。
-
問55.CSIRTの主な役割はどれか。
- ア.セキュリティインシデント発生時の検知・対応・復旧
- イ.新規システムの開発
- ウ.売上の予測
- エ.人事評価
正解:ア.セキュリティインシデント発生時の検知・対応・復旧
解説:Computer Security Incident Response Team。インシデントへの対応を担う専門チーム。
-
問56.SOCの説明として正しいものはどれか。
- ア.インシデント発生時のみ稼働
- イ.24時間365日体制でセキュリティ監視・分析を行う
- ウ.ハードウェア修理
- エ.パスワード変更代行
正解:イ.24時間365日体制でセキュリティ監視・分析を行う
解説:Security Operation Center。常時監視・分析・初動を担う組織。
-
問57.SIEMの主要な機能はどれか。
- ア.メール送受信
- イ.ファイル圧縮
- ウ.複数システムのログを収集・統合分析し脅威を検出
- エ.ハードディスク暗号化
正解:ウ.複数システムのログを収集・統合分析し脅威を検出
解説:Security Information and Event Management。コリレーション分析が中核。
-
問58.BCPにおけるRTO(Recovery Time Objective)はどのような目標値か。
- ア.許容できるデータ損失量
- イ.検知精度
- ウ.インシデント対応費用の上限
- エ.業務復旧までの目標時間
正解:エ.業務復旧までの目標時間
解説:RTOは時間目標、RPOはデータ損失量目標。両者を組合せて検討する。
-
問59.BCPにおけるRPOの説明として正しいものはどれか。
- ア.許容できるデータ損失量(時間で表現)
- イ.復旧までの時間目標
- ウ.金銭被害の上限
- エ.従業員数の維持
正解:ア.許容できるデータ損失量(時間で表現)
解説:Recovery Point Objective。例:RPO 1時間→1時間前までのデータは復旧できる。
-
問60.要配慮個人情報に該当しないものはどれか。
- ア.人種
- イ.氏名
- ウ.信条
- エ.病歴
正解:イ.氏名
解説:氏名は通常の個人情報。要配慮は人種・信条・社会的身分・病歴・犯罪歴・身体障害等。
-
問61.個人情報保護法上、漏えい等の発生時に個人情報保護委員会への報告と本人通知が義務化される条件として該当するものはどれか。
- ア.漏えいした情報がすべて公開情報の場合
- イ.発生件数1件以上すべて
- ウ.1,000人超の漏えい・要配慮情報・財産被害・不正目的等のいずれか
- エ.企業内部だけで処理した場合
正解:ウ.1,000人超の漏えい・要配慮情報・財産被害・不正目的等のいずれか
解説:改正個人情報保護法(2022年4月施行)で4類型が義務化された。
-
問62.不正アクセス禁止法で禁止される行為として該当するものはどれか。
- ア.自分のIDで自分のサーバにログインする
- イ.正規のバックアップ作業を行う
- ウ.SSHを使ってログインする
- エ.他人のID・パスワードを無断で使ってアクセスする
正解:エ.他人のID・パスワードを無断で使ってアクセスする
解説:本人の許可なく他人のID/Passを使う、または脆弱性を突いてアクセスする行為が処罰対象。
-
問63.不正競争防止法上の『営業秘密』の3要件はどれか。
- ア.秘密管理性・有用性・非公知性
- イ.真正性・有用性・公知性
- ウ.秘密管理性・有償性・希少性
- エ.非公知性・登録性・所有性
正解:ア.秘密管理性・有用性・非公知性
解説:3要件すべてを満たす必要がある。判例で秘密管理性が特に厳しく問われる。
-
問64.プライバシーマーク制度の認証基準となるJIS規格はどれか。
- ア.JIS Q 27001
- イ.JIS Q 15001
- ウ.JIS Q 9001
- エ.JIS Q 14001
正解:イ.JIS Q 15001
解説:JIS Q 15001(個人情報保護マネジメントシステム)が基準。
-
問65.サイバーセキュリティ基本法が定める対象として正しいものはどれか。
- ア.個人事業主のみ
- イ.全外国人の責務
- ウ.国・地方公共団体・重要インフラ事業者等の責務
- エ.全私企業の財務報告義務
正解:ウ.国・地方公共団体・重要インフラ事業者等の責務
解説:国家の戦略推進と関係機関連携を規定。重要インフラ事業者の責務も含む。
-
問66.マイナンバーが利用される3分野として正しいものはどれか。
- ア.医療・教育・防衛
- イ.農業・福祉・教育
- ウ.教育・税・防衛
- エ.社会保障・税・災害対策
正解:エ.社会保障・税・災害対策
解説:社会保障・税・災害対策の3分野で利用される。
-
問67.ISMAP制度の目的はどれか。
- ア.政府が利用するクラウドサービスの安全性を評価・登録する
- イ.民間企業の個人情報取扱を認証する
- ウ.プログラムの著作権を登録する
- エ.個人事業主のセキュリティ研修を行う
正解:ア.政府が利用するクラウドサービスの安全性を評価・登録する
解説:Information system Security Management and Assessment Program。
-
問68.残留リスクへの対応として最も適切なものはどれか。
- ア.完全にゼロにする
- イ.経営層が受容可否を判断し記録する
- ウ.無視する
- エ.別の組織に移転する
正解:イ.経営層が受容可否を判断し記録する
解説:残留リスクは『リスク対応後に残るリスク』。受容可否を経営層が判断・文書化するのがISMSの基本。
-
問69.脆弱性管理の基本的な活動はどれか。
- ア.脆弱性を放置すること
- イ.セキュリティパッチの自動拒否
- ウ.脆弱性情報の収集・評価・パッチ適用・代替策の検討
- エ.脆弱性を公開しない
正解:ウ.脆弱性情報の収集・評価・パッチ適用・代替策の検討
解説:JVN・NVD等から情報収集し、影響度評価とパッチ適用を計画的に実施する。
-
問70.インシデントレスポンスの一般的なフェーズの順序として正しいものはどれか。
- ア.対応→検知→復旧→事後
- イ.検知→復旧→対応→封じ込め
- ウ.事後→対応→検知→復旧
- エ.検知→初動→封じ込め→根絶→復旧→事後対応
正解:エ.検知→初動→封じ込め→根絶→復旧→事後対応
解説:発見してから封じ込め・根絶・復旧・事後対応(教訓化)まで順序立てて行う。
-
問71.ペネトレーションテストの目的はどれか。
- ア.実際に攻撃手法を用いてシステムの脆弱性を検証する
- イ.脆弱性を回避する
- ウ.ログを記録する
- エ.ファイルを暗号化する
正解:ア.実際に攻撃手法を用いてシステムの脆弱性を検証する
解説:侵入テストにより、検出されない脆弱性や対策の不備を実証的に評価する。
-
問72.脆弱性診断とペネトレーションテストの違いとして適切なものはどれか。
- ア.内容に違いはない
- イ.脆弱性診断は網羅的検査、ペネトレーションテストは特定目標への侵入実証
- ウ.ペネトレーションテストは社員教育
- エ.脆弱性診断は契約書の確認
正解:イ.脆弱性診断は網羅的検査、ペネトレーションテストは特定目標への侵入実証
解説:脆弱性診断は既知の脆弱性を網羅的にスキャンする検査、ペネトレーションテストは実際の攻撃シナリオで侵入可能性を実証するテスト。両者は目的・手法が異なり、補完的に実施するのが望ましい。コスト・期間も大きく異なる。
-
問73.内部不正対策として有効でないものはどれか。
- ア.最小権限の原則の適用
- イ.職務分離
- ウ.全社員に管理者権限を付与
- エ.ログ監視
正解:ウ.全社員に管理者権限を付与
解説:全員管理者権限は内部不正リスクを増大させ対策に逆行。
-
問74.セキュリティ教育を実施すべき対象として最も適切なものはどれか。
- ア.新入社員のみ
- イ.現場従業員のみ
- ウ.管理職のみ
- エ.経営層から現場まで全階層
正解:エ.経営層から現場まで全階層
解説:経営層のコミットメントと全社員のリテラシー向上が両輪。
-
問75.改正個人情報保護法(2022年4月施行)で新設された『個人関連情報』の例はどれか。
- ア.Cookie等のオンライン識別子(単体)
- イ.氏名
- ウ.マイナンバー
- エ.病歴
正解:ア.Cookie等のオンライン識別子(単体)
解説:個人関連情報は個人情報に該当しないが、第三者提供時に提供先で個人と紐付く場合は本人同意が必要。