情報セキュリティマネジメント試験 全分野の一問一答
📖 情報セキュリティマネジメント試験「全分野」の全300問と解説(一覧)
情報セキュリティマネジメント試験の全分野に関する一問一答(全300問)の正解と解説の一覧です。上の一問一答で実際に解いてから、ここで復習・確認できます。
-
問1.共通鍵暗号方式は暗号化と復号に同じ鍵を使用する暗号方式である。
正解:○(正しい)
解説:AES・DES・3DES等が代表例。鍵配送が課題で、公開鍵暗号と組み合わせるハイブリッド暗号で解決する。
-
問2.公開鍵暗号方式は暗号化と復号に異なる鍵(公開鍵と秘密鍵)を使用する暗号方式である。
正解:○(正しい)
解説:RSA・ECC・DH等が代表例。鍵配送問題を解決するが処理速度は共通鍵より遅い。
-
問3.AES(Advanced Encryption Standard)は共通鍵暗号方式のブロック暗号アルゴリズムであり、128/192/256ビット鍵が選択できる。
正解:○(正しい)
解説:現在の標準的な共通鍵暗号アルゴリズムで広く利用されている。
-
問4.RSA暗号は公開鍵暗号方式の代表的アルゴリズムで、大きな素数の積の素因数分解が困難であることを安全性の根拠とする。
正解:○(正しい)
解説:RSAは大きな素数の積(合成数)の素因数分解が困難であることを安全性の根拠とする公開鍵暗号。鍵長は2048ビット以上が現代の推奨水準で、2030年以降は3072ビット以上が望ましい。デジタル署名・鍵交換にも利用される。
-
問5.楕円曲線暗号(ECC)はRSAより短い鍵長で同等の安全性を実現できる公開鍵暗号方式である。
正解:○(正しい)
解説:256ビットECC ≒ 3072ビットRSAの安全性に相当。
-
問6.ハイブリッド暗号方式は共通鍵暗号と公開鍵暗号を組み合わせ、両者の長所を活かす方式である。
正解:○(正しい)
解説:本文を共通鍵で暗号化し、その共通鍵を公開鍵で暗号化して送付する。TLS/SSLでも採用。
-
問7.ハッシュ関数は任意長の入力から固定長の出力を生成し、出力から入力を復元することは事実上不可能(一方向性)である。
正解:○(正しい)
解説:改ざん検知・パスワード保管・電子署名で利用される。
-
問8.SHA-256は256ビット長のハッシュ値を生成する暗号学的ハッシュ関数で、現在広く利用されている。
正解:○(正しい)
解説:SHA-2系の代表アルゴリズム。SHA-1は衝突耐性が低く非推奨。
-
問9.ソルトはパスワードをハッシュ化する際に付加するランダムな値で、レインボーテーブル攻撃への対策となる。
正解:○(正しい)
解説:利用者ごとに異なるソルトを使用することが重要。
-
問10.ストレッチング(鍵導出関数の繰り返し適用)はハッシュ計算を意図的に遅くして総当たり攻撃の負荷を増やす技法である。
正解:○(正しい)
解説:bcrypt・PBKDF2・scrypt・Argon2等で実装される。
-
問11.デジタル署名は秘密鍵で署名を生成し公開鍵で検証することで、署名者の真正性とメッセージの完全性を担保する。
正解:○(正しい)
解説:デジタル署名は秘密鍵で署名生成・公開鍵で検証することで、署名者の真正性とメッセージの完全性を担保する。さらに署名者は後から「自分は署名していない」と否認できないため、否認防止(Non-repudiation)にも寄与する重要な技術。
-
問12.電子証明書は認証局(CA)が発行し、公開鍵と所有者の対応関係をCAの署名で保証する仕組みである。
正解:○(正しい)
解説:電子証明書は認証局(CA)が発行し、公開鍵とその所有者(個人・組織)の対応関係をCAの署名で保証する仕組み。国際標準形式はX.509で、SSL/TLSサーバ証明書・クライアント証明書・コードサイニング証明書等で広く使われる。
-
問13.PKI(Public Key Infrastructure)は公開鍵暗号と電子証明書を運用するための信頼基盤である。
正解:○(正しい)
解説:CA・RA・リポジトリ・CRL/OCSP等で構成される。
-
問14.TLS(Transport Layer Security)はインターネット上の通信を暗号化するプロトコルで、HTTPSの基盤となる。
正解:○(正しい)
解説:TLS 1.2/1.3が現行。SSL 2.0/3.0・TLS 1.0/1.1は脆弱で非推奨。
-
問15.IPsecはネットワーク層で通信の暗号化・認証を行うプロトコル群で、VPN構築に広く使われる。
正解:○(正しい)
解説:ESP・AHのプロトコルとIKEによる鍵交換から構成される。
-
問16.多要素認証(MFA)は知識情報・所持情報・生体情報のうち2つ以上を組み合わせる認証方式である。
正解:○(正しい)
解説:1要素のみのパスワード認証より大幅にセキュリティが向上する。
-
問17.TOTP(Time-based One-Time Password)は時刻情報を基に一定時間ごとに変化するワンタイムパスワード方式である。
正解:○(正しい)
解説:認証アプリ(Google Authenticator等)で生成される。
-
問18.FIDO2はパスワードに依存しない認証標準規格で、生体認証やセキュリティキーを利用する。
正解:○(正しい)
解説:公開鍵暗号ベースで、サーバ側にパスワードを保管しないためフィッシング耐性が高い。
-
問19.シングルサインオン(SSO)は1回の認証で複数のシステム・サービスを利用できる仕組みである。
正解:○(正しい)
解説:SAML・OAuth・OpenID Connect等で実現される。
-
問20.OAuth 2.0はパスワードを第三者アプリに渡さずアクセス権限を委譲するための認可フレームワークである。
正解:○(正しい)
解説:GoogleやTwitterのAPI連携等で広く使われる。
-
問21.OpenID Connect(OIDC)はOAuth 2.0を拡張した認証プロトコルで、IDトークンによりユーザIDの提供を行う。
正解:○(正しい)
解説:OpenID Connect(OIDC)はOAuth 2.0の認可フレームワークを拡張し、IDトークン(JWT形式)によりユーザの認証情報も提供する。Googleログインやその他のソーシャルログインで広く採用され、SSOの標準的な仕組みの一つ。
-
問22.SAML(Security Assertion Markup Language)はXMLベースの認証・認可情報を交換するための標準規格である。
正解:○(正しい)
解説:SAML(Security Assertion Markup Language)はXMLベースで認証・認可情報を交換する標準規格。企業向けSSO(特にエンタープライズSaaS連携)で広く使われ、IdP(ID Provider)とSP(Service Provider)間でアサーションをやり取りする。
-
問23.RBAC(Role-Based Access Control)は利用者にロール(役割)を割り当て、ロールに紐付く権限でアクセス制御を行う方式である。
正解:○(正しい)
解説:RBACはロール(役割)に権限を紐付け、利用者にロールを割り当てる方式。ユーザ単位で個別に権限管理するDACより運用負荷が小さく、組織変更時もロールの付け替えで一括反映できる。アクセス制御モデルの代表例。
-
問24.最小権限の原則は利用者やプロセスに業務遂行上必要な最小限の権限のみを付与する考え方である。
正解:○(正しい)
解説:情報漏えいや内部不正の被害を限定する基本的なアクセス制御方針。
-
問25.二要素認証で『所持情報』に該当するものは、ハードウェアトークン・スマートフォン・ICカード等である。
正解:○(正しい)
解説:知識情報(パスワード)・所持情報(トークン)・生体情報(指紋等)の3要素分類。
-
問26.共通鍵暗号方式は暗号化と復号に異なる鍵を使用する暗号方式である。
正解:×(誤り)
解説:誤り。共通鍵暗号は同じ鍵を使う方式。異なる鍵を使うのは公開鍵暗号方式。
-
問27.公開鍵暗号方式は暗号化と復号に同じ鍵を使用する暗号方式である。
正解:×(誤り)
解説:誤り。公開鍵暗号は異なる鍵(公開鍵と秘密鍵)を使う非対称鍵方式。同じ鍵を使うのは共通鍵暗号。
-
問28.AESは公開鍵暗号方式の代表的なアルゴリズムで、デジタル署名に広く利用される。
正解:×(誤り)
解説:誤り。AESは共通鍵(対称鍵)暗号方式のブロック暗号。公開鍵暗号の代表はRSAや楕円曲線暗号。
-
問29.RSA暗号は共通鍵暗号方式のアルゴリズムで、離散対数問題の困難性を安全性の根拠とする。
正解:×(誤り)
解説:誤り。RSAは公開鍵暗号で、安全性の根拠は大きな素数の積の素因数分解の困難性。離散対数問題はDH鍵交換等の根拠。
-
問30.ハイブリッド暗号方式は2つの異なる公開鍵暗号アルゴリズムを組み合わせて利用する方式である。
正解:×(誤り)
解説:誤り。ハイブリッド暗号は共通鍵暗号と公開鍵暗号を組み合わせ、本文を共通鍵で・共通鍵を公開鍵で暗号化する方式。
-
問31.ハッシュ関数は同じ入力から異なるハッシュ値を生成し、出力から入力を簡単に復元できる特性を持つ。
正解:×(誤り)
解説:誤り。ハッシュ関数は同じ入力からは常に同じハッシュ値を生成し、出力から入力を復元することは事実上不可能(一方向性)。
-
問32.SHA-256は128ビットのハッシュ値を生成する暗号学的ハッシュ関数である。
正解:×(誤り)
解説:誤り。SHA-256は名前の通り256ビット(32バイト)のハッシュ値を生成する。128ビット出力はMD5。
-
問33.ソルトはパスワードを保管する際にハッシュ値を短縮しデータ容量を削減するための処理である。
正解:×(誤り)
解説:誤り。ソルトはハッシュ化時に付加するランダムな値で、レインボーテーブル攻撃対策が目的。容量削減ではない。
-
問34.デジタル署名は公開鍵で署名を生成し秘密鍵で検証することで真正性を担保する。
正解:×(誤り)
解説:誤り。デジタル署名は秘密鍵で署名を生成し、公開鍵で検証する。鍵の役割が逆。
-
問35.TLSは現在TLS 1.0が標準として推奨されている最新バージョンである。
正解:×(誤り)
解説:誤り。TLS 1.0/1.1は脆弱性のため非推奨。現在の標準はTLS 1.2/1.3。
-
問36.IPsecはアプリケーション層で通信を暗号化するプロトコルである。
正解:×(誤り)
解説:誤り。IPsecはネットワーク層(OSI第3層)で通信を暗号化・認証するプロトコル群。アプリ層暗号化はTLSやアプリ独自の暗号化。
-
問37.多要素認証(MFA)は同じ要素のもの(例:パスワード2つ)を複数組み合わせる認証方式である。
正解:×(誤り)
解説:誤り。MFAは知識・所持・生体の異なる要素を2つ以上組み合わせる方式。同種要素の複数組合せは多段階認証であってMFAではない。
-
問38.TOTPは利用者の現在地(位置情報)を基に生成される一時的なパスワードである。
正解:×(誤り)
解説:誤り。TOTPは時刻情報を基に生成される。位置情報とは無関係。
-
問39.FIDO2はパスワードの定期変更を強制するパスワードベースの認証規格である。
正解:×(誤り)
解説:誤り。FIDO2はパスワードに依存しないパスワードレス認証標準規格で、生体認証やセキュリティキーを使用する。
-
問40.シングルサインオン(SSO)はサービスごとに毎回個別認証を行う必要がある仕組みである。
正解:×(誤り)
解説:誤り。SSOは1回の認証で連携した複数サービスを利用できる仕組み。毎回認証は従来方式で逆。
-
問41.OAuthは第三者アプリにユーザのID・パスワードそのものを渡してアクセスを許可する認証方式である。
正解:×(誤り)
解説:誤り。OAuthはパスワードを渡さずトークンによってアクセス権限を委譲する認可プロトコル。
-
問42.RBAC(Role-Based Access Control)は利用者個人ごとに直接アクセス権限を割り当てる方式である。
正解:×(誤り)
解説:誤り。RBACはロール(役割)に権限を紐付け、利用者にロールを割り当てる方式。個別割当はDAC(任意アクセス制御)等。
-
問43.最小権限の原則は利用者には全ての権限を一度付与し、必要に応じて削除する考え方である。
正解:×(誤り)
解説:誤り。最小権限の原則は『業務遂行上必要な最小限の権限のみを付与』する考え方。全部付与は逆。
-
問44.パスワードのハッシュ化保管ではソルトもストレッチングも必要なく、SHA-256で1回ハッシュ化すれば十分である。
正解:×(誤り)
解説:誤り。利用者ごとのソルト+ストレッチング(bcrypt/PBKDF2/Argon2等)が現代の標準。SHA-256単体は総当たりに弱い。
-
問45.共通鍵暗号方式は公開鍵暗号方式に比べて処理速度が一般的に遅い。
正解:×(誤り)
解説:誤り。共通鍵暗号は公開鍵暗号より大幅に高速。だからハイブリッド暗号で本文を共通鍵で暗号化する。
-
問46.電子証明書は利用者が自分自身で発行・自署するもので、第三者機関は関与しない。
正解:×(誤り)
解説:誤り。電子証明書は認証局(CA)が発行し、CAの署名で公開鍵と所有者の対応関係を保証する。自己署名証明書は信頼の連鎖が成立しない。
-
問47.PKIにおけるCRL(Certificate Revocation List)は新規発行された証明書の一覧である。
正解:×(誤り)
解説:誤り。CRLは『失効した証明書』のリスト。新規発行一覧ではない。
-
問48.生体認証は1度登録すれば変更が容易で、漏えいしても安全である。
正解:×(誤り)
解説:誤り。生体情報(指紋・顔・虹彩等)は変更が困難。漏えい時は変更できないため、補助手段として運用するか、テンプレートを暗号化して保護する。
-
問49.ICカード認証は所持情報・知識情報・生体情報のうち『生体情報』に分類される。
正解:×(誤り)
解説:誤り。ICカード等の物理デバイスは『所持情報(something you have)』に分類される。生体情報は指紋・顔・虹彩等。
-
問50.ゼロトラストモデルでは社内ネットワークからのアクセスを信頼し、認証や検証を省略する。
正解:×(誤り)
解説:誤り。ゼロトラストは『何も信頼しない』を前提とし、社内アクセスでも常に認証と検証を行うモデル。社内信頼は従来の境界防御モデル。
-
問51.AESアルゴリズムが採用している暗号方式の分類はどれか。
- ア.量子暗号方式
- イ.公開鍵暗号方式
- ウ.ハイブリッド暗号方式
- エ.共通鍵暗号方式(ブロック暗号)
正解:エ.共通鍵暗号方式(ブロック暗号)
解説:AESは共通鍵(対称鍵)暗号方式のブロック暗号で、現在広く利用される標準。
-
問52.公開鍵暗号方式の代表的なアルゴリズムはどれか。
- ア.RSA
- イ.AES
- ウ.DES
- エ.SHA-256
正解:ア.RSA
解説:RSAは公開鍵暗号の代表例。AES/DESは共通鍵、SHA-256はハッシュ。
-
問53.ハッシュ関数の特徴として正しいものはどれか。
- ア.出力から元の入力を容易に復元できる
- イ.同じ入力から常に同じ出力が得られ、一方向性を持つ
- ウ.暗号化と復号に使う
- エ.入力ごとに異なる出力長を生成する
正解:イ.同じ入力から常に同じ出力が得られ、一方向性を持つ
解説:一方向性・固定長出力・同入力同出力(衝突耐性)が主要な性質。
-
問54.パスワード保管時にソルトを利用する目的はどれか。
- ア.容量を削減する
- イ.利用者の利便性を高める
- ウ.レインボーテーブル攻撃を困難にする
- エ.ハッシュ計算を高速化する
正解:ウ.レインボーテーブル攻撃を困難にする
解説:利用者ごとに異なるソルトで事前計算テーブルが無効化される。
-
問55.TLSプロトコルの主な役割はどれか。
- ア.メールの送受信
- イ.DNSの名前解決
- ウ.ファイル圧縮
- エ.インターネット上の通信を暗号化し改ざん検知・サーバ認証を行う
正解:エ.インターネット上の通信を暗号化し改ざん検知・サーバ認証を行う
解説:HTTPS(HTTP over TLS)等で広く利用される。
-
問56.IPsecが動作するOSI参照モデルの層はどれか。
- ア.第3層(ネットワーク層)
- イ.第2層(データリンク層)
- ウ.第4層(トランスポート層)
- エ.第7層(アプリケーション層)
正解:ア.第3層(ネットワーク層)
解説:IPsecはIP層で動作する暗号化・認証プロトコル群。VPN構築に多用。
-
問57.多要素認証(MFA)の組合せとして適切なものはどれか。
- ア.パスワード2つ
- イ.パスワードとSMS認証コード
- ウ.パスワードとPINコード
- エ.パスワードと秘密の質問
正解:イ.パスワードとSMS認証コード
解説:知識(パスワード)と所持(SMS受信端末)の異なる要素を組み合わせる。同種要素の組合せはMFAではない。
-
問58.TOTPによるワンタイムパスワードの生成基準はどれか。
- ア.ランダム
- イ.利用者の位置情報
- ウ.現在時刻
- エ.最後にログインしたIPアドレス
正解:ウ.現在時刻
解説:時刻ベース(Time-based)で30秒ごとに変化するのが一般的。
-
問59.FIDO2の特徴として最も適切なものはどれか。
- ア.全ユーザに同じパスワードを使わせる
- イ.パスワードを暗号化して保管する
- ウ.パスワードを短縮する
- エ.パスワードに依存せず生体認証やセキュリティキーで認証する
正解:エ.パスワードに依存せず生体認証やセキュリティキーで認証する
解説:パスワードレス認証で公開鍵暗号ベース。フィッシング耐性が高い。
-
問60.シングルサインオン(SSO)の効果として正しいものはどれか。
- ア.1回の認証で連携する複数サービスにログインできる
- イ.利用者は連携サービスごとに異なるパスワードを覚える必要がある
- ウ.パスワード変更ができなくなる
- エ.認証時間が長くなる
正解:ア.1回の認証で連携する複数サービスにログインできる
解説:利便性向上と運用コスト削減が主なメリット。SAML・OIDC等で実現。
-
問61.OAuth 2.0が解決する課題はどれか。
- ア.パスワードを長くする
- イ.パスワードを第三者アプリに直接渡すことなくアクセス権限を委譲する
- ウ.認証回数を減らす
- エ.暗号鍵を強化する
正解:イ.パスワードを第三者アプリに直接渡すことなくアクセス権限を委譲する
解説:アクセストークンによる権限委譲フレームワーク。SNS連携等で広く採用。
-
問62.RBACの主な特徴はどれか。
- ア.利用者ごとに個別に権限を付与
- イ.アクセス制御を行わない
- ウ.ロール(役割)に権限を紐付け、利用者にロールを割り当てる
- エ.管理者権限を全員に付与
正解:ウ.ロール(役割)に権限を紐付け、利用者にロールを割り当てる
解説:業務役割の変更時にロール付け替えで一括反映でき、運用が効率的。
-
問63.最小権限の原則の例として適切なものはどれか。
- ア.全社員に管理者権限を付与
- イ.権限管理を行わない
- ウ.権限はランダムに付与
- エ.各業務に必要な最小限の権限のみを付与する
正解:エ.各業務に必要な最小限の権限のみを付与する
解説:情報漏えいや内部不正の被害を限定する基本原則。アクセス制御の根本思想の一つ。
-
問64.『知識情報』に該当する認証要素はどれか。
- ア.パスワード
- イ.指紋
- ウ.ICカード
- エ.顔認証
正解:ア.パスワード
解説:知識(パスワード・PIN・秘密の質問)・所持(IC・トークン・スマホ)・生体(指紋・顔等)。
-
問65.『所持情報』に該当する認証要素はどれか。
- ア.パスワード
- イ.ハードウェアトークン
- ウ.秘密の質問
- エ.声紋
正解:イ.ハードウェアトークン
解説:所持情報は物理デバイス(IC・トークン・スマホ等)。
-
問66.電子証明書を発行する役割を担う組織はどれか。
- ア.IPA
- イ.PKI
- ウ.CA(認証局)
- エ.ICANN
正解:ウ.CA(認証局)
解説:CAが信頼の起点となり、公開鍵と所有者の対応関係をCAの署名で保証する。
-
問67.証明書失効を確認するためのオンライン手段はどれか。
- ア.DNS
- イ.NTP
- ウ.SNMP
- エ.CRL(証明書失効リスト)またはOCSP
正解:エ.CRL(証明書失効リスト)またはOCSP
解説:CRLは失効リスト、OCSPはリアルタイム照会プロトコル。
-
問68.デジタル署名で完全性と真正性を担保する仕組みとして正しいものはどれか。
- ア.送信者が秘密鍵で署名・受信者が公開鍵で検証
- イ.送信者が公開鍵で署名・受信者が秘密鍵で検証
- ウ.共通鍵で署名・検証
- エ.ハッシュ値のみで検証
正解:ア.送信者が秘密鍵で署名・受信者が公開鍵で検証
解説:署名生成は送信者の秘密鍵、検証は対応する公開鍵で行う。
-
問69.ストレッチングの目的はどれか。
- ア.処理を高速化する
- イ.ハッシュ計算を意図的に遅くし総当たり攻撃の負荷を増やす
- ウ.ストレージ容量を増やす
- エ.パスワード長を短くする
正解:イ.ハッシュ計算を意図的に遅くし総当たり攻撃の負荷を増やす
解説:bcrypt・PBKDF2・Argon2等の鍵導出関数で実装される。
-
問70.ゼロトラストアーキテクチャの基本原則はどれか。
- ア.社内アクセスは無条件に信頼
- イ.社外アクセスは無条件に拒否
- ウ.アクセス元に関わらず常に認証・検証を行う
- エ.認証は1日1回のみ
正解:ウ.アクセス元に関わらず常に認証・検証を行う
解説:境界防御(社内信頼)の限界に対応するモデル。マイクロセグメンテーション等で実現。
-
問71.DH鍵交換(Diffie-Hellman)の主な役割はどれか。
- ア.ハッシュを生成する
- イ.ファイルを圧縮する
- ウ.ユーザを認証する
- エ.共通鍵を安全に共有する
正解:エ.共通鍵を安全に共有する
解説:公開チャネル上で共通鍵を生成・共有する仕組み。
-
問72.パスワードのハッシュ保管で現代的に推奨される手法はどれか。
- ア.ソルト+ストレッチング(bcrypt/Argon2等)
- イ.SHA-256で1回ハッシュ化
- ウ.MD5で1回ハッシュ化
- エ.平文で保管
正解:ア.ソルト+ストレッチング(bcrypt/Argon2等)
解説:MD5は脆弱、SHA-256単体は高速で総当たりに弱い。bcrypt/Argon2等が標準。
-
問73.RADIUSプロトコルの主な用途はどれか。
- ア.メール転送
- イ.ネットワーク機器へのアクセス時の集中認証・認可・課金(AAA)
- ウ.ファイル転送
- エ.DNS解決
正解:イ.ネットワーク機器へのアクセス時の集中認証・認可・課金(AAA)
解説:Remote Authentication Dial-In User Service。AAA機能を提供。
-
問74.量子コンピュータによる解読に耐えることを目指した暗号技術の総称はどれか。
- ア.古典暗号
- イ.量子鍵配送(QKD)
- ウ.耐量子計算機暗号(PQC)
- エ.共通鍵暗号
正解:ウ.耐量子計算機暗号(PQC)
解説:PQCは古典コンピュータ上で動作する次世代暗号。NISTが標準化中。
-
問75.DAC(Discretionary Access Control)の特徴はどれか。
- ア.強制的に管理者がアクセスを統制
- イ.属性に基づいて統制
- ウ.ロールに基づいて統制
- エ.リソース所有者が自主的に権限を付与・管理
正解:エ.リソース所有者が自主的に権限を付与・管理
解説:DACは所有者裁量。MACは強制制御、RBACはロール、ABACは属性ベース。
-
問76.ISMS(Information Security Management System)は組織の情報セキュリティを継続的に維持・改善する仕組みである。
正解:○(正しい)
解説:PDCAサイクル(計画・実行・点検・処置)に基づき運用される。
-
問77.ISO/IEC 27001はISMSの要求事項を定めた国際規格で、JIS版はJIS Q 27001である。
正解:○(正しい)
解説:認証取得には適用範囲・リスクアセスメント・統制等の文書化が必要。
-
問78.ISO/IEC 27002はISMSの管理策(コントロール)の実装ガイダンスを示した国際規格である。
正解:○(正しい)
解説:27001付属書AのコントロールはISO/IEC 27002に詳細記述される。
-
問79.リスクアセスメントはリスクの特定・分析・評価から成る一連のプロセスである。
正解:○(正しい)
解説:ISMSの中核プロセスで、結果に基づきリスク対応戦略を選択する。
-
問80.リスク対応戦略には『回避』『低減(軽減)』『移転(共有)』『受容(保有)』の4つがある。
正解:○(正しい)
解説:リスクの大きさと組織のリスク許容度に応じて選択する。
-
問81.残留リスクとはリスク対応を実施した後に残るリスクのことである。
正解:○(正しい)
解説:経営層がその受容可否を判断する必要がある。
-
問82.情報資産の機密性・完全性・可用性に応じてリスク評価を行うことを資産価値ベースのリスク評価という。
正解:○(正しい)
解説:脅威の発生可能性・影響度を組み合わせてリスクの大きさを算定する。
-
問83.セキュリティポリシーは組織のセキュリティに関する基本方針を文書化したものである。
正解:○(正しい)
解説:基本方針・対策基準・実施手順の3階層で構成される。
-
問84.インシデント対応計画は情報セキュリティインシデント発生時の対応手順を事前に定めた計画である。
正解:○(正しい)
解説:検知・初動・封じ込め・根絶・復旧・事後対応のフェーズを含む。
-
問85.CSIRT(Computer Security Incident Response Team)はインシデント対応を専門に行うチームである。
正解:○(正しい)
解説:組織内CSIRTのほか、業界横断CSIRTもある。
-
問86.SOC(Security Operation Center)は24時間365日体制でセキュリティ監視・分析を行う組織である。
正解:○(正しい)
解説:SOC(Security Operation Center)は24時間365日体制でセキュリティイベントを監視・分析し、インシデントに初動対応する組織。ログ分析・脅威ハンティング・SIEMの運用・CSIRTとの連携等を担う。社内構築と外部委託(MSS)の両形態がある。
-
問87.SIEM(Security Information and Event Management)は複数システムのログを統合分析しセキュリティ脅威を検出する仕組みである。
正解:○(正しい)
解説:SIEMは複数システムのログ(FW・IDS/IPS・サーバ・アプリ等)を一元収集し、相関分析(コリレーション)で攻撃の兆候を検出する仕組み。リアルタイムアラート・ダッシュボード・インシデント調査支援が中核機能。
-
問88.事業継続計画(BCP)は災害・障害発生時に重要業務を継続・早期復旧する手順を定めた計画である。
正解:○(正しい)
解説:BCMは計画の運用管理プロセス全体を指す。
-
問89.RTO(Recovery Time Objective)は業務をどれだけの時間内に復旧させるかの目標時間である。
正解:○(正しい)
解説:RPO(Recovery Point Objective)は許容できるデータ損失量の目標。
-
問90.個人情報保護法は個人情報を取り扱う事業者に対し、利用目的の特定・通知・適正取得・安全管理措置等の義務を課す法律である。
正解:○(正しい)
解説:個人情報保護法は個人情報取扱事業者に対し、利用目的の特定・通知公表・適正取得・安全管理措置・第三者提供制限・開示請求対応等の義務を課す法律。個人情報保護委員会が監督権限を持ち、違反には命令・罰則が課される。
-
問91.要配慮個人情報には人種・信条・社会的身分・病歴・犯罪歴・身体障害等が含まれる。
正解:○(正しい)
解説:本人同意なしの取得・第三者提供が原則禁止される個人情報。
-
問92.個人情報保護法上、漏えい等のうち一定の重大事案は個人情報保護委員会への報告と本人通知が義務付けられている。
正解:○(正しい)
解説:1,000人超の漏えい・要配慮情報・財産被害・不正目的等が対象。
-
問93.不正アクセス禁止法は他人のID・パスワードを使ったアクセスや脆弱性を突いたアクセスを禁止する法律である。
正解:○(正しい)
解説:違反は3年以下の拘禁刑または100万円以下の罰金。
-
問94.サイバーセキュリティ基本法は国・地方公共団体・重要インフラ事業者等の責務を定めた法律である。
正解:○(正しい)
解説:サイバーセキュリティ基本法は2014年制定。国・地方公共団体・重要インフラ事業者・サイバー関連事業者等の責務を定め、国家戦略の推進と関係機関の連携を規定する。NISC(内閣サイバーセキュリティセンター)が司令塔。
-
問95.マイナンバー法は個人番号(マイナンバー)の取得・利用・提供・保管に関する規律を定めた法律である。
正解:○(正しい)
解説:社会保障・税・災害対策の3分野で利用される12桁の番号。
-
問96.著作権法上、プログラム著作物は『プログラムの著作物』として保護対象となる。
正解:○(正しい)
解説:プログラムは著作権法上『プログラムの著作物』として保護対象。ソースコード・オブジェクトコード両方が対象で、無断複製・改変・配布は侵害となる。ライセンス契約(GPL・MIT・商用ライセンス等)の条項に基づいて利用するのが原則。
-
問97.不正競争防止法における『営業秘密』として保護されるためには、秘密管理性・有用性・非公知性の3要件を満たす必要がある。
正解:○(正しい)
解説:不正競争防止法上の営業秘密は『秘密管理性(厳重に管理されている)』『有用性(事業活動に有用)』『非公知性(公然と知られていない)』の3要件を全て満たす必要がある。判例上、特に秘密管理性が厳しく問われる。
-
問98.電子署名法は電子署名が手書き署名・押印と同等の法的効力を持つことを定めた法律である。
正解:○(正しい)
解説:本人による電子署名であれば真正な成立が推定される。
-
問99.JIS Q 15001は個人情報保護マネジメントシステム(PMS)の要求事項を定めたJIS規格で、プライバシーマーク制度の基準となる。
正解:○(正しい)
解説:JIS Q 27001(ISMS)と並ぶ重要規格。
-
問100.ISMAPは日本政府が利用するクラウドサービスの安全性を評価・登録する制度である。
正解:○(正しい)
解説:政府機関がクラウドを採用する際の調達要件として参照される。
-
問101.ISO/IEC 27001はISMSの管理策(コントロール)実装ガイダンスを示す規格で、認証取得対象規格ではない。
正解:×(誤り)
解説:誤り。ISO/IEC 27001はISMS要求事項を定めた認証取得対象規格。管理策の実装ガイダンスは ISO/IEC 27002。
-
問102.JIS Q 27001は個人情報保護マネジメントシステム(PMS)の要求事項を定めた規格である。
正解:×(誤り)
解説:誤り。JIS Q 27001はISMS規格(ISO/IEC 27001の日本語版)。PMS規格はJIS Q 15001。
-
問103.JIS Q 15001は情報セキュリティマネジメントシステム(ISMS)規格である。
正解:×(誤り)
解説:誤り。JIS Q 15001はPMS(個人情報保護マネジメントシステム)規格。プライバシーマークの基準。ISMS規格はJIS Q 27001。
-
問104.リスク対応戦略は『回避』『追加』『削除』『無視』の4つである。
正解:×(誤り)
解説:誤り。リスク対応戦略は『回避・低減(軽減)・移転(共有)・受容(保有)』の4つ。
-
問105.残留リスクとはリスク対応を実施する前の最大値のリスクを指す。
正解:×(誤り)
解説:誤り。残留リスクはリスク対応を実施した後に残るリスクのこと。事前のリスクは『初期リスク』等と呼ぶ。
-
問106.セキュリティポリシーは1階層の文書で構成され、現場の手順書まで全て含む。
正解:×(誤り)
解説:誤り。セキュリティポリシーは『基本方針』『対策基準』『実施手順』の3階層で構成されるのが一般的。
-
問107.CSIRTはインシデントを発生させる責任を負う組織である。
正解:×(誤り)
解説:誤り。CSIRT(Computer Security Incident Response Team)はインシデント対応を行うチームで、検知・対応・復旧・教訓化を担う。
-
問108.SOCはインシデント発生時のみ稼働する短期組織である。
正解:×(誤り)
解説:誤り。SOC(Security Operation Center)は24時間365日体制で常時監視・分析を行う組織。
-
問109.SIEMの主機能はファイアウォールの代替であり、ログ収集機能は持たない。
正解:×(誤り)
解説:誤り。SIEMは複数システムのログを収集・統合分析しセキュリティ脅威を検出する仕組み。FW代替ではない。
-
問110.RTO(Recovery Time Objective)は許容できるデータ損失量の目標である。
正解:×(誤り)
解説:誤り。RTOは業務復旧時間の目標。データ損失量の目標はRPO(Recovery Point Objective)。
-
問111.要配慮個人情報には人種や病歴が含まれず、通常の個人情報と同等に扱う。
正解:×(誤り)
解説:誤り。要配慮個人情報には人種・信条・社会的身分・病歴・犯罪歴・身体障害等が含まれ、本人同意なき取得・第三者提供は原則禁止。
-
問112.個人情報保護法では漏えい等が発生しても個人情報保護委員会への報告は義務ではない。
正解:×(誤り)
解説:誤り。一定の重大事案(1,000人超漏えい・要配慮情報・財産被害・不正目的等)は委員会への報告と本人通知が義務化されている(2022年4月改正)。
-
問113.不正アクセス禁止法は自分のIDで自分のサーバにログインする行為も処罰対象である。
正解:×(誤り)
解説:誤り。不正アクセス禁止法は『他人のID・パスワード使用や脆弱性を突いた不正アクセス』を禁止する。自分のIDで自分のサーバへの正当なアクセスは対象外。
-
問114.不正競争防止法における営業秘密は秘密管理性のみ満たせば保護される。
正解:×(誤り)
解説:誤り。営業秘密として保護されるには『秘密管理性・有用性・非公知性』の3要件すべてが必要。
-
問115.電子署名法では電子署名は手書き署名と異なり法的効力を持たない。
正解:×(誤り)
解説:誤り。電子署名法は電子署名が手書き署名・押印と同等の法的効力を持つことを定めた法律で、要件を満たせば真正な成立が推定される。
-
問116.著作権法上、プログラム著作物は保護対象外である。
正解:×(誤り)
解説:誤り。プログラムも著作権法上の著作物として保護対象。
-
問117.マイナンバー法は社会保障のみで利用される番号制度を定めた法律である。
正解:×(誤り)
解説:誤り。マイナンバー法では社会保障・税・災害対策の3分野で利用される。
-
問118.プライバシーマーク制度の認証基準はJIS Q 27001である。
正解:×(誤り)
解説:誤り。プライバシーマークの基準はJIS Q 15001(PMS)。JIS Q 27001はISMS。
-
問119.ISMAPはアプリケーション開発者向けの脆弱性検査制度である。
正解:×(誤り)
解説:誤り。ISMAPは政府利用クラウドサービスの安全性評価・登録制度。脆弱性検査制度ではない。
-
問120.事業継続計画(BCP)は通常時の業務効率改善を目的とした計画である。
正解:×(誤り)
解説:誤り。BCPは災害・障害発生時に重要業務を継続・早期復旧するための計画。通常時の業務改善はBPRなど別概念。
-
問121.リスクアセスメントの目的はリスクを発生させないための活動である。
正解:×(誤り)
解説:誤り。リスクアセスメントは『リスクを特定・分析・評価』するプロセスであり、対応はその結果に基づくリスク対応で行う。発生防止のみが目的ではない。
-
問122.リスクの『移転』とはリスクを完全に排除する戦略を指す。
正解:×(誤り)
解説:誤り。リスクの移転(共有)は保険・委託等で第三者にリスクを部分的に移す戦略。完全排除は『回避』戦略。
-
問123.セキュリティ教育は経営層には不要で、現場の従業員のみに実施すれば良い。
正解:×(誤り)
解説:誤り。セキュリティ教育は経営層から現場まで全階層で必要。経営層のコミットメントなしにISMSは機能しない。
-
問124.SOAR(Security Orchestration, Automation and Response)はインシデント対応を全て自動化し人間の判断を排除する仕組みである。
正解:×(誤り)
解説:誤り。SOARはセキュリティ運用の効率化・自動化を支援するプラットフォームだが、人間の判断を完全に排除するものではなくプレイブックに沿って人間と協調する。
-
問125.内部不正の対策として『最小権限の原則』は不要であり、全員に管理者権限を付与すべきである。
正解:×(誤り)
解説:誤り。最小権限の原則は内部不正の被害最小化に必須の基本対策。全員管理者権限は内部不正リスクを増大させる。
-
問126.ISMSの国際規格はどれか。
- ア.ISO/IEC 27001
- イ.ISO/IEC 9001
- ウ.ISO/IEC 14001
- エ.ISO/IEC 20000
正解:ア.ISO/IEC 27001
解説:ISO/IEC 27001がISMSの要求事項を定めた認証取得対象規格。9001は品質、14001は環境、20000はITSM。
-
問127.リスク対応戦略のうち『リスク移転』の例はどれか。
- ア.脆弱性のあるシステムを廃止する
- イ.保険に加入してリスクを第三者に分担する
- ウ.セキュリティパッチを適用する
- エ.リスクを承知の上で業務を継続する
正解:イ.保険に加入してリスクを第三者に分担する
解説:保険・アウトソーシング等で第三者にリスクを部分的に移すのが『移転(共有)』。
-
問128.リスク対応戦略のうち『リスク低減』の例はどれか。
- ア.危険な業務を中止する
- イ.保険でリスクを移す
- ウ.ファイアウォール導入で攻撃を防ぐ
- エ.リスクを承知の上で受容する
正解:ウ.ファイアウォール導入で攻撃を防ぐ
解説:技術的・組織的対策でリスクの発生確率や影響を下げるのが『低減(軽減)』。
-
問129.セキュリティポリシーの3階層構造として正しいものはどれか。
- ア.技術・人・組織
- イ.目的・手段・結果
- ウ.計画・実行・評価
- エ.基本方針・対策基準・実施手順
正解:エ.基本方針・対策基準・実施手順
解説:ポリシー(What)→スタンダード(What detail)→プロシージャ(How)の3階層。
-
問130.CSIRTの主な役割はどれか。
- ア.セキュリティインシデント発生時の検知・対応・復旧
- イ.新規システムの開発
- ウ.売上の予測
- エ.人事評価
正解:ア.セキュリティインシデント発生時の検知・対応・復旧
解説:Computer Security Incident Response Team。インシデントへの対応を担う専門チーム。
-
問131.SOCの説明として正しいものはどれか。
- ア.インシデント発生時のみ稼働
- イ.24時間365日体制でセキュリティ監視・分析を行う
- ウ.ハードウェア修理
- エ.パスワード変更代行
正解:イ.24時間365日体制でセキュリティ監視・分析を行う
解説:Security Operation Center。常時監視・分析・初動を担う組織。
-
問132.SIEMの主要な機能はどれか。
- ア.メール送受信
- イ.ファイル圧縮
- ウ.複数システムのログを収集・統合分析し脅威を検出
- エ.ハードディスク暗号化
正解:ウ.複数システムのログを収集・統合分析し脅威を検出
解説:Security Information and Event Management。コリレーション分析が中核。
-
問133.BCPにおけるRTO(Recovery Time Objective)はどのような目標値か。
- ア.許容できるデータ損失量
- イ.検知精度
- ウ.インシデント対応費用の上限
- エ.業務復旧までの目標時間
正解:エ.業務復旧までの目標時間
解説:RTOは時間目標、RPOはデータ損失量目標。両者を組合せて検討する。
-
問134.BCPにおけるRPOの説明として正しいものはどれか。
- ア.許容できるデータ損失量(時間で表現)
- イ.復旧までの時間目標
- ウ.金銭被害の上限
- エ.従業員数の維持
正解:ア.許容できるデータ損失量(時間で表現)
解説:Recovery Point Objective。例:RPO 1時間→1時間前までのデータは復旧できる。
-
問135.要配慮個人情報に該当しないものはどれか。
- ア.人種
- イ.氏名
- ウ.信条
- エ.病歴
正解:イ.氏名
解説:氏名は通常の個人情報。要配慮は人種・信条・社会的身分・病歴・犯罪歴・身体障害等。
-
問136.個人情報保護法上、漏えい等の発生時に個人情報保護委員会への報告と本人通知が義務化される条件として該当するものはどれか。
- ア.漏えいした情報がすべて公開情報の場合
- イ.発生件数1件以上すべて
- ウ.1,000人超の漏えい・要配慮情報・財産被害・不正目的等のいずれか
- エ.企業内部だけで処理した場合
正解:ウ.1,000人超の漏えい・要配慮情報・財産被害・不正目的等のいずれか
解説:改正個人情報保護法(2022年4月施行)で4類型が義務化された。
-
問137.不正アクセス禁止法で禁止される行為として該当するものはどれか。
- ア.自分のIDで自分のサーバにログインする
- イ.正規のバックアップ作業を行う
- ウ.SSHを使ってログインする
- エ.他人のID・パスワードを無断で使ってアクセスする
正解:エ.他人のID・パスワードを無断で使ってアクセスする
解説:本人の許可なく他人のID/Passを使う、または脆弱性を突いてアクセスする行為が処罰対象。
-
問138.不正競争防止法上の『営業秘密』の3要件はどれか。
- ア.秘密管理性・有用性・非公知性
- イ.真正性・有用性・公知性
- ウ.秘密管理性・有償性・希少性
- エ.非公知性・登録性・所有性
正解:ア.秘密管理性・有用性・非公知性
解説:3要件すべてを満たす必要がある。判例で秘密管理性が特に厳しく問われる。
-
問139.プライバシーマーク制度の認証基準となるJIS規格はどれか。
- ア.JIS Q 27001
- イ.JIS Q 15001
- ウ.JIS Q 9001
- エ.JIS Q 14001
正解:イ.JIS Q 15001
解説:JIS Q 15001(個人情報保護マネジメントシステム)が基準。
-
問140.サイバーセキュリティ基本法が定める対象として正しいものはどれか。
- ア.個人事業主のみ
- イ.全外国人の責務
- ウ.国・地方公共団体・重要インフラ事業者等の責務
- エ.全私企業の財務報告義務
正解:ウ.国・地方公共団体・重要インフラ事業者等の責務
解説:国家の戦略推進と関係機関連携を規定。重要インフラ事業者の責務も含む。
-
問141.マイナンバーが利用される3分野として正しいものはどれか。
- ア.医療・教育・防衛
- イ.農業・福祉・教育
- ウ.教育・税・防衛
- エ.社会保障・税・災害対策
正解:エ.社会保障・税・災害対策
解説:社会保障・税・災害対策の3分野で利用される。
-
問142.ISMAP制度の目的はどれか。
- ア.政府が利用するクラウドサービスの安全性を評価・登録する
- イ.民間企業の個人情報取扱を認証する
- ウ.プログラムの著作権を登録する
- エ.個人事業主のセキュリティ研修を行う
正解:ア.政府が利用するクラウドサービスの安全性を評価・登録する
解説:Information system Security Management and Assessment Program。
-
問143.残留リスクへの対応として最も適切なものはどれか。
- ア.完全にゼロにする
- イ.経営層が受容可否を判断し記録する
- ウ.無視する
- エ.別の組織に移転する
正解:イ.経営層が受容可否を判断し記録する
解説:残留リスクは『リスク対応後に残るリスク』。受容可否を経営層が判断・文書化するのがISMSの基本。
-
問144.脆弱性管理の基本的な活動はどれか。
- ア.脆弱性を放置すること
- イ.セキュリティパッチの自動拒否
- ウ.脆弱性情報の収集・評価・パッチ適用・代替策の検討
- エ.脆弱性を公開しない
正解:ウ.脆弱性情報の収集・評価・パッチ適用・代替策の検討
解説:JVN・NVD等から情報収集し、影響度評価とパッチ適用を計画的に実施する。
-
問145.インシデントレスポンスの一般的なフェーズの順序として正しいものはどれか。
- ア.対応→検知→復旧→事後
- イ.検知→復旧→対応→封じ込め
- ウ.事後→対応→検知→復旧
- エ.検知→初動→封じ込め→根絶→復旧→事後対応
正解:エ.検知→初動→封じ込め→根絶→復旧→事後対応
解説:発見してから封じ込め・根絶・復旧・事後対応(教訓化)まで順序立てて行う。
-
問146.ペネトレーションテストの目的はどれか。
- ア.実際に攻撃手法を用いてシステムの脆弱性を検証する
- イ.脆弱性を回避する
- ウ.ログを記録する
- エ.ファイルを暗号化する
正解:ア.実際に攻撃手法を用いてシステムの脆弱性を検証する
解説:侵入テストにより、検出されない脆弱性や対策の不備を実証的に評価する。
-
問147.脆弱性診断とペネトレーションテストの違いとして適切なものはどれか。
- ア.内容に違いはない
- イ.脆弱性診断は網羅的検査、ペネトレーションテストは特定目標への侵入実証
- ウ.ペネトレーションテストは社員教育
- エ.脆弱性診断は契約書の確認
正解:イ.脆弱性診断は網羅的検査、ペネトレーションテストは特定目標への侵入実証
解説:脆弱性診断は既知の脆弱性を網羅的にスキャンする検査、ペネトレーションテストは実際の攻撃シナリオで侵入可能性を実証するテスト。両者は目的・手法が異なり、補完的に実施するのが望ましい。コスト・期間も大きく異なる。
-
問148.内部不正対策として有効でないものはどれか。
- ア.最小権限の原則の適用
- イ.職務分離
- ウ.全社員に管理者権限を付与
- エ.ログ監視
正解:ウ.全社員に管理者権限を付与
解説:全員管理者権限は内部不正リスクを増大させ対策に逆行。
-
問149.セキュリティ教育を実施すべき対象として最も適切なものはどれか。
- ア.新入社員のみ
- イ.現場従業員のみ
- ウ.管理職のみ
- エ.経営層から現場まで全階層
正解:エ.経営層から現場まで全階層
解説:経営層のコミットメントと全社員のリテラシー向上が両輪。
-
問150.改正個人情報保護法(2022年4月施行)で新設された『個人関連情報』の例はどれか。
- ア.Cookie等のオンライン識別子(単体)
- イ.氏名
- ウ.マイナンバー
- エ.病歴
正解:ア.Cookie等のオンライン識別子(単体)
解説:個人関連情報は個人情報に該当しないが、第三者提供時に提供先で個人と紐付く場合は本人同意が必要。
-
問151.情報セキュリティの3要素(CIA)は機密性(Confidentiality)・完全性(Integrity)・可用性(Availability)である。
正解:○(正しい)
解説:CIAはセキュリティの基本3要素。許可された者のみアクセス(C)、改ざんされない(I)、必要時に利用可能(A)を意味する。
-
問152.完全性(Integrity)とは情報や処理が改ざん・破壊されず正確かつ完全な状態に保たれる性質である。
正解:○(正しい)
解説:改ざん検知(ハッシュ・デジタル署名)等で完全性を担保する。
-
問153.可用性(Availability)とは認可された者が必要時に情報・システムにアクセスできる性質である。
正解:○(正しい)
解説:冗長化・バックアップ・DDoS対策等で可用性を確保する。
-
問154.機密性(Confidentiality)とは認可された者だけが情報にアクセスできる性質である。
正解:○(正しい)
解説:アクセス制御・暗号化等で機密性を担保する。
-
問155.真正性(Authenticity)とは主体(利用者・データ)が主張する者・もので確かにあることを確認できる性質である。
正解:○(正しい)
解説:電子署名・MFA等で真正性を担保する。CIA3要素を拡張した7要素の一つ。
-
問156.責任追跡性(Accountability)とは利用者の行為を後から追跡・特定できる性質である。
正解:○(正しい)
解説:操作ログ・監査証跡で責任追跡性を確保する。
-
問157.否認防止(Non-repudiation)とは事象や行為が後から否認されないことを保証する性質である。
正解:○(正しい)
解説:電子署名・タイムスタンプで否認防止を実現する。
-
問158.信頼性(Reliability)とは意図した結果と一貫した動作・処理が得られる性質である。
正解:○(正しい)
解説:信頼性は意図した動作・処理の一貫性を担保する性質。テスト・冗長設計・障害監視等で実現する。CIA3要素を拡張した7要素の一つで、可用性とは異なり『期待通りに正しく動く』ことを保証する。
-
問159.コンピュータウイルスは他のプログラムに寄生して自己複製する機能を持つマルウェアである。
正解:○(正しい)
解説:宿主プログラムを必要とする点でワームと区別される。
-
問160.ワームは独立して動作し、自己複製しながらネットワーク経由で感染を拡大するマルウェアである。
正解:○(正しい)
解説:宿主を必要とせず単独で活動する点がウイルスと異なる。
-
問161.トロイの木馬は正常なソフトウェアに偽装してインストールされ、内部で悪意ある動作を行うマルウェアである。
正解:○(正しい)
解説:自己複製機能はないが、バックドア設置等の被害が大きい。
-
問162.ランサムウェアは感染端末のファイルを暗号化し、復号鍵と引換に身代金を要求するマルウェアである。
正解:○(正しい)
解説:近年は二重恐喝(暴露脅迫)型も増加している。
-
問163.スパイウェアは利用者に気付かれないように情報を収集・送信するマルウェアである。
正解:○(正しい)
解説:ブラウザ履歴・入力情報・キー操作等を窃取する。
-
問164.キーロガーはキーボード入力を記録して攻撃者に送信するマルウェアの一種である。
正解:○(正しい)
解説:ID・パスワード・クレジットカード番号等の窃取に使われる。
-
問165.ボットネットは攻撃者が遠隔制御できる多数の感染端末(ボット)から構成されるネットワークである。
正解:○(正しい)
解説:DDoS・スパム・暗号資産マイニング等に悪用される。
-
問166.RAT(Remote Access Trojan)は感染端末を攻撃者が遠隔操作するためのバックドア型マルウェアである。
正解:○(正しい)
解説:標的型攻撃で侵入後の継続的支配に使われる。
-
問167.SQLインジェクションはWebアプリの入力欄に不正なSQL文を埋め込んでDBを不正操作する攻撃である。
正解:○(正しい)
解説:対策はプレースホルダ(バインド機構)の利用。文字列連結で組み立てない。
-
問168.XSS(クロスサイトスクリプティング)はWebページに悪意あるスクリプトを埋め込み他ユーザのブラウザで実行させる攻撃である。
正解:○(正しい)
解説:対策は出力時の適切なエスケープ・CSP適用。
-
問169.CSRF(クロスサイトリクエストフォージェリ)はログイン中ユーザのブラウザから意図しないリクエストを送信させる攻撃である。
正解:○(正しい)
解説:CSRFは認証済みユーザのブラウザを悪用し、本人の意図しない操作(送金・退会等)を実行させる攻撃。対策は『CSRFトークン(使い捨ての秘密値)をフォームに含めて検証する』『SameSite Cookieの利用』『Referer/Originヘッダの検証』等。
-
問170.DoS攻撃は単一または少数の攻撃元から大量のリクエストを送り、サービスを停止させる攻撃である。
正解:○(正しい)
解説:DDoSは分散版で、多数の感染端末(ボット)から実行される。
-
問171.DDoS攻撃は分散した多数の攻撃元から同時に大量のトラフィックを標的に送りサービスを妨害する攻撃である。
正解:○(正しい)
解説:DDoSは多数の感染端末(ボットネット)から大量トラフィックを送り、標的のサービスを停止させる攻撃。リフレクション攻撃やアンプリフィケーション攻撃も併用される。対策はWAF・CDN・帯域制限・CDN事業者のDDoS保護等。
-
問172.中間者攻撃(MITM)は通信の当事者間に攻撃者が割り込んで盗聴や改ざんを行う攻撃である。
正解:○(正しい)
解説:TLS通信暗号化と証明書検証で対策する。
-
問173.標的型攻撃は特定の組織や個人を狙って機密情報の窃取等を目的とした執拗なサイバー攻撃である。
正解:○(正しい)
解説:標的型攻撃は不特定多数を対象とせず、特定組織・個人の機密情報窃取等を目的に、執拗に攻撃を仕掛ける。長期化するとAPT(Advanced Persistent Threat)攻撃に発展し、潜伏期間中に内部偵察や横展開を行う。
-
問174.フィッシング攻撃は正規サービスを装ったメールやWebサイトで利用者をだまし、ID・パスワード等を窃取する攻撃である。
正解:○(正しい)
解説:送信者確認・URL確認・MFAの導入が対策となる。
-
問175.水飲み場型攻撃(Watering Hole)は標的が頻繁にアクセスするWebサイトを改ざんしてマルウェアを仕込み、訪問を待ち伏せする攻撃である。
正解:○(正しい)
解説:業界専門サイトや関連企業のサイトが悪用されやすい。
-
問176.情報セキュリティの3要素(CIA)は Confidence・Identity・Authority の頭文字である。
正解:×(誤り)
解説:誤り。CIAはConfidentiality(機密性)・Integrity(完全性)・Availability(可用性)。
-
問177.完全性(Integrity)とは認可された者が必要時に情報を利用できる性質である。
正解:×(誤り)
解説:誤り。それは可用性の説明。完全性は情報が改ざん・破壊されず正確に保たれる性質。
-
問178.可用性(Availability)とは認可された者だけが情報にアクセスできる性質である。
正解:×(誤り)
解説:誤り。それは機密性の説明。可用性は必要時に情報やシステムを利用できる性質。
-
問179.機密性(Confidentiality)とは情報が改ざん・破壊されない性質である。
正解:×(誤り)
解説:誤り。それは完全性の説明。機密性は認可された者のみがアクセスできる性質。
-
問180.真正性(Authenticity)とは事象や行為が後から否認されないことを保証する性質である。
正解:×(誤り)
解説:誤り。それは否認防止の説明。真正性は主体が主張通りの者・ものであることを確認できる性質。
-
問181.コンピュータウイルスは自己複製機能を持たず、他のプログラムにも寄生しない単純なファイルである。
正解:×(誤り)
解説:誤り。ウイルスは他プログラムに寄生して自己複製する機能を持つ。
-
問182.ワームはホストプログラムに寄生しなければ動作・複製ができないマルウェアである。
正解:×(誤り)
解説:誤り。ワームは独立して動作・自己複製してネットワーク経由で感染拡大する。寄生が必要なのはウイルス。
-
問183.トロイの木馬は自己複製しながら他端末へ感染拡大する特徴を持つ。
正解:×(誤り)
解説:誤り。トロイの木馬は自己複製しない。正常ソフトに偽装して侵入し、内部で悪意動作を行う。
-
問184.ランサムウェアは個人情報を盗み出す目的の専門マルウェアであり、ファイル暗号化機能は持たない。
正解:×(誤り)
解説:誤り。ランサムウェアはファイルを暗号化し復号鍵と引換に身代金を要求するマルウェア。
-
問185.SQLインジェクションはWebページ閲覧者のブラウザで悪意あるスクリプトを実行させる攻撃である。
正解:×(誤り)
解説:誤り。それはXSS(クロスサイトスクリプティング)の説明。SQLインジェクションはWebアプリ経由でDBに不正なSQLを注入する攻撃。
-
問186.XSS(クロスサイトスクリプティング)はWebアプリの入力からSQL文を注入してデータベースを不正操作する攻撃である。
正解:×(誤り)
解説:誤り。それはSQLインジェクションの説明。XSSはWebページに悪意あるスクリプトを埋め込み他ユーザのブラウザで実行させる攻撃。
-
問187.CSRFは正規サイトに似せた偽サイトで利用者をだまして認証情報を窃取する攻撃である。
正解:×(誤り)
解説:誤り。それはフィッシングの説明。CSRFはログイン中ユーザのブラウザから意図しないリクエストを送信させる攻撃。
-
問188.DoS攻撃は多数の感染端末から分散して大量トラフィックを送る攻撃である。
正解:×(誤り)
解説:誤り。それはDDoS攻撃の説明。DoS攻撃は単一または少数の攻撃元から行われる。
-
問189.DDoS攻撃は単一の攻撃元から標的のシステムに過剰負荷をかける攻撃である。
正解:×(誤り)
解説:誤り。それはDoS攻撃の説明。DDoSは分散(Distributed)型で多数の攻撃元から同時に行われる。
-
問190.中間者攻撃(MITM)は特定組織を長期にわたり執拗に狙う標的型攻撃の一種である。
正解:×(誤り)
解説:誤り。MITMは通信の当事者間に攻撃者が割り込み盗聴・改ざんする攻撃。長期執拗な攻撃はAPT攻撃。
-
問191.標的型攻撃は不特定多数を対象としてバラまかれる攻撃である。
正解:×(誤り)
解説:誤り。標的型攻撃は特定の組織や個人を狙う攻撃。不特定多数を対象とするのはバラマキ型のフィッシング等。
-
問192.ゼロデイ攻撃は脆弱性に対するセキュリティパッチ提供から十分な期間が経過した後に行われる攻撃である。
正解:×(誤り)
解説:誤り。ゼロデイ攻撃はパッチが提供される前(猶予日数=0日)に未修正の脆弱性を突く攻撃。
-
問193.サプライチェーン攻撃は標的組織のシステムに直接侵入を試みる攻撃で、第三者を経由しない。
正解:×(誤り)
解説:誤り。サプライチェーン攻撃は取引先・委託先・ソフトウェアベンダ等を経由して標的組織を攻撃する手法。
-
問194.ソーシャルエンジニアリングは脆弱性を突く高度な技術的攻撃を指す。
正解:×(誤り)
解説:誤り。ソーシャルエンジニアリングは技術ではなく人間心理を操作してパスワード等を聞き出す攻撃手法。
-
問195.APT攻撃は短期間で一気に大量データを窃取する単発の攻撃である。
正解:×(誤り)
解説:誤り。APT(Advanced Persistent Threat)は長期間にわたり潜伏しながら情報窃取を行う高度で執拗な攻撃。
-
問196.ブルートフォース攻撃はあらかじめ用意した辞書(よく使われる単語)からパスワードを試行する攻撃である。
正解:×(誤り)
解説:誤り。それは辞書攻撃の説明。ブルートフォース攻撃は可能な組合せを総当たりで試行する。
-
問197.辞書攻撃はキーボードで入力できる全ての文字組合せを総当たりで試行する攻撃である。
正解:×(誤り)
解説:誤り。それはブルートフォース攻撃の説明。辞書攻撃は単語リスト(辞書)を用いる。
-
問198.レインボー攻撃は平文のパスワード文字列を順番に比較する攻撃である。
正解:×(誤り)
解説:誤り。レインボー攻撃は事前計算したハッシュ値テーブル(レインボーテーブル)を使ってハッシュから平文を逆引きする攻撃。
-
問199.キーロガーはディスプレイの画面を画像として保存しサーバへ送信する仕組みのマルウェアである。
正解:×(誤り)
解説:誤り。キーロガーはキーボード入力を記録するマルウェア。画面キャプチャは画面ロガー(スクリーンキャプチャ型)の機能。
-
問200.アドウェアは感染端末のファイルを暗号化して身代金を要求するマルウェアである。
正解:×(誤り)
解説:誤り。それはランサムウェアの説明。アドウェアは広告を強制的に表示するマルウェア。
-
問201.情報セキュリティの3要素(CIA)として正しい組合せはどれか。
- ア.認証・認可・監査
- イ.信頼性・追跡性・否認防止
- ウ.機密性・完全性・可用性
- エ.暗号化・認証・バックアップ
正解:ウ.機密性・完全性・可用性
解説:CIAは Confidentiality(機密性)・Integrity(完全性)・Availability(可用性)の3要素。
-
問202.ランサムウェアの特徴として最も適切なものはどれか。
- ア.広告を強制表示する
- イ.ボットネットの一部として動作する
- ウ.キー入力を記録する
- エ.ファイルを暗号化し復号鍵と引換に身代金を要求する
正解:エ.ファイルを暗号化し復号鍵と引換に身代金を要求する
解説:ランサムウェアは暗号化型と画面ロック型があるが、いずれも金銭目的。
-
問203.SQLインジェクション攻撃への最も有効な対策はどれか。
- ア.プレースホルダ(バインド機構)を使用してSQL文を組み立てる
- イ.WAFの設置のみで十分
- ウ.入力フォームを廃止する
- エ.ユーザID/パスワードを長くする
正解:ア.プレースホルダ(バインド機構)を使用してSQL文を組み立てる
解説:プレースホルダはユーザ入力をデータとして扱い、SQL文として解釈しないため根本的な対策となる。
-
問204.XSS(クロスサイトスクリプティング)攻撃への基本的な対策はどれか。
- ア.SQL文の動的生成を禁止
- イ.出力時に文脈に応じたエスケープ処理を行う
- ウ.HTTPSを廃止
- エ.パスワードを定期変更させる
正解:イ.出力時に文脈に応じたエスケープ処理を行う
解説:ユーザ入力を画面表示する際に < > & 等を適切にエスケープして無害化する。CSP適用も補強策。
-
問205.CSRF(クロスサイトリクエストフォージェリ)への有効な対策はどれか。
- ア.パスワードを長くする
- イ.ファイアウォールで全通信を遮断
- ウ.CSRFトークン(ワンタイムの秘密値)をフォームに含めて検証する
- エ.DNS設定を変更
正解:ウ.CSRFトークン(ワンタイムの秘密値)をフォームに含めて検証する
解説:リクエストごとに使い捨てのトークンを発行・検証することで、外部サイトからの偽造リクエストを排除する。
-
問206.APT(Advanced Persistent Threat)攻撃の特徴として適切なものはどれか。
- ア.不特定多数を対象に短期間で実行される
- イ.通信内容を盗聴する技術的攻撃
- ウ.技術を使わず心理を操作する
- エ.特定の標的に対して高度な手法で長期間執拗に続けられる
正解:エ.特定の標的に対して高度な手法で長期間執拗に続けられる
解説:APTは標的特化・高度・執拗(長期潜伏)が特徴で、国家関与の事例もある。
-
問207.ゼロデイ脆弱性とは何か。
- ア.発見されてから修正パッチが提供されるまでの未修正の脆弱性
- イ.パッチ公開後10日以内の脆弱性
- ウ.発見されて1年以上の脆弱性
- エ.存在しない脆弱性
正解:ア.発見されてから修正パッチが提供されるまでの未修正の脆弱性
解説:猶予日数(zero day)が0という意味で、攻撃者が悪用しやすく対策が困難。
-
問208.中間者攻撃(MITM)への有効な対策はどれか。
- ア.ファイアウォールの導入
- イ.TLSによる通信の暗号化と証明書検証の徹底
- ウ.パスワードの定期変更
- エ.アンチウイルスソフトの導入
正解:イ.TLSによる通信の暗号化と証明書検証の徹底
解説:通信を暗号化し、サーバ証明書をクライアント側で検証することで割込みを検知できる。
-
問209.ソーシャルエンジニアリングの代表例はどれか。
- ア.バッファオーバーフロー攻撃
- イ.SQL文の注入
- ウ.電話で身分を詐称し情報を聞き出す
- エ.暗号鍵の総当たり
正解:ウ.電話で身分を詐称し情報を聞き出す
解説:技術ではなく心理操作で情報を引き出す手法。教育と確認手順が対策となる。
-
問210.フィッシング攻撃への対策として最も適切なのはどれか。
- ア.パスワードを記憶する
- イ.HTMLメールの表示を必ず有効にする
- ウ.メールを全て自動受信する
- エ.送信者の偽装を疑い、URLや送信元を確認・公式サイトに直接アクセスする
正解:エ.送信者の偽装を疑い、URLや送信元を確認・公式サイトに直接アクセスする
解説:メール本文のリンクではなく、ブックマークや公式アプリから正規ページへ直接アクセスする。
-
問211.水飲み場型攻撃(Watering Hole)の説明として適切なものはどれか。
- ア.送信者を偽装したメールで添付を開かせる
- イ.標的が頻繁に訪れるWebサイトを改ざんし、訪問を待ち伏せて感染させる
- ウ.SQL文を注入する
- エ.総当たりでパスワードを試行する
正解:イ.標的が頻繁に訪れるWebサイトを改ざんし、訪問を待ち伏せて感染させる
解説:水飲み場型攻撃は、標的が頻繁に訪れるWebサイトを改ざんし、標的の訪問を待ち伏せてマルウェアに感染させる攻撃。送信者を偽装したメールで添付を開かせるのは標的型メール攻撃で別物。
-
問212.ビジネスメール詐欺(BEC)の典型的な手口はどれか。
- ア.Webサイトを改ざんしてマルウェアを仕込む
- イ.経営層・取引先を装ったメールで送金指示等を実行させる
- ウ.パスワード辞書で総当たり
- エ.通信を盗聴して暗号鍵を窃取
正解:イ.経営層・取引先を装ったメールで送金指示等を実行させる
解説:BECは企業の担当者をだまし送金を実行させる詐欺。多要素確認・電話確認等が対策。
-
問213.ボットネットの説明として正しいものはどれか。
- ア.1台の高性能サーバ
- イ.パスワード辞書のデータベース
- ウ.攻撃者が遠隔制御する多数の感染端末で構成されるネットワーク
- エ.暗号化通信の総称
正解:ウ.攻撃者が遠隔制御する多数の感染端末で構成されるネットワーク
解説:DDoS・スパム配信・暗号資産マイニング等に悪用される。
-
問214.ファイルレスマルウェアの特徴はどれか。
- ア.ハードウェアを物理破壊する
- イ.必ず.exeファイルとして配布される
- ウ.Webブラウザでのみ動作する
- エ.ディスクに実行ファイルを残さずメモリ上で実行される
正解:エ.ディスクに実行ファイルを残さずメモリ上で実行される
解説:正規ツール(PowerShell等)を悪用する手法もあり、従来のシグネチャ型対策で検知困難。
-
問215.ドライブバイダウンロード攻撃の説明はどれか。
- ア.利用者がサイトを訪問しただけで(クリック等なしに)マルウェアが自動ダウンロード・実行される
- イ.DVDからダウンロードする
- ウ.車から無線で攻撃する
- エ.クラウド経由でダウンロードする
正解:ア.利用者がサイトを訪問しただけで(クリック等なしに)マルウェアが自動ダウンロード・実行される
解説:ブラウザやプラグインの脆弱性を悪用する。最新版維持で対策。
-
問216.パスワードリスト攻撃とは何か。
- ア.パスワードに記号を必ず含めるよう強要する仕組み
- イ.他サービスから漏洩したID・パスワードの組合せを別サービスにも試す攻撃
- ウ.パスワード一覧を作成する作業
- エ.暗号鍵のリストを管理する仕組み
正解:イ.他サービスから漏洩したID・パスワードの組合せを別サービスにも試す攻撃
解説:パスワード使い回しを悪用する。多要素認証で被害を抑えられる。
-
問217.リバースブルートフォース攻撃の特徴はどれか。
- ア.暗号鍵を総当たりする
- イ.同一IDに対して複数パスワードを試行する
- ウ.特定のパスワードを固定し、ID側を総当たりで試行する
- エ.管理者権限を直接奪う
正解:ウ.特定のパスワードを固定し、ID側を総当たりで試行する
解説:通常のブルートフォースとは逆方向の試行。よく使われる弱パスワードが狙われる。
-
問218.ディレクトリトラバーサル攻撃の説明はどれか。
- ア.SQL文を注入する
- イ.ファイル名を順番に列挙する
- ウ.DNS情報を改ざんする
- エ.相対パス(../等)を使って公開外のファイルにアクセスする
正解:エ.相対パス(../等)を使って公開外のファイルにアクセスする
解説:Webサーバ側で入力パスを正規化・サニタイズして対策する。
-
問219.バッファオーバーフロー攻撃で発生し得る被害はどれか。
- ア.確保領域を超える書込みで任意コードが実行される可能性がある
- イ.通信が遅くなるだけ
- ウ.ファイル名が変更される
- エ.DNSレコードが書き換わる
正解:ア.確保領域を超える書込みで任意コードが実行される可能性がある
解説:C/C++等メモリ管理が必要な言語で問題化しやすい。境界チェック・スタック保護で対策。
-
問220.セッションハイジャックとはどのような攻撃か。
- ア.セッションを強制終了させる
- イ.利用者のセッションIDを奪取してなりすましを行う
- ウ.新規セッションを作成する
- エ.セッションタイムアウトを延長する
正解:イ.利用者のセッションIDを奪取してなりすましを行う
解説:HTTPS化・SecureFlag・短いタイムアウト等で対策する。
-
問221.RAT(Remote Access Trojan)の主な目的はどれか。
- ア.広告を表示する
- イ.ファイルを圧縮する
- ウ.攻撃者が感染端末を遠隔操作するためのバックドアを設置する
- エ.データのバックアップを取る
正解:ウ.攻撃者が感染端末を遠隔操作するためのバックドアを設置する
解説:標的型攻撃で侵入後の継続的支配・データ窃取に使われる。
-
問222.DDoS攻撃でよく使われる手法はどれか。
- ア.巨大ファイルを送りつける
- イ.ファイアウォールの無効化
- ウ.DNSサーバの停止
- エ.ボットネットによる大量同時アクセス
正解:エ.ボットネットによる大量同時アクセス
解説:近年はリフレクション攻撃・アンプ攻撃も併用される。
-
問223.メールヘッダインジェクションとはどのような攻撃か。
- ア.メール送信機能の入力欄に改行を含むデータを注入し、ヘッダを改ざん・追加する
- イ.メールサーバを物理破壊する
- ウ.ヘッダから個人情報を抜き取る
- エ.HTMLメールを送信する
正解:ア.メール送信機能の入力欄に改行を含むデータを注入し、ヘッダを改ざん・追加する
解説:問い合わせフォーム等で入力検証していないと、勝手にCcを追加されてスパム送信される等の被害がある。
-
問224.クロスサイトリクエストフォージェリ(CSRF)攻撃で起きる典型的な被害はどれか。
- ア.パスワードがハッシュ化されない
- イ.ログイン中ユーザの権限で意図しない操作(送金・退会等)が実行される
- ウ.DNSが書き換わる
- エ.通信が暗号化されない
正解:イ.ログイン中ユーザの権限で意図しない操作(送金・退会等)が実行される
解説:CSRFトークン・SameSite Cookie・Refererチェック等で対策する。
-
問225.スパムボット感染端末の特徴として最も適切なものはどれか。
- ア.ディスプレイが赤くなる
- イ.端末が物理的に動かなくなる
- ウ.端末から大量のスパムメールが自動送信される
- エ.ハードウェアの保証が切れる
正解:ウ.端末から大量のスパムメールが自動送信される
解説:感染するとボットネットの一部となり、攻撃者の指令でスパム配信や攻撃に加担する。
-
問226.OSI参照モデルは通信機能を7階層に分けてモデル化したものである。
正解:○(正しい)
解説:物理・データリンク・ネットワーク・トランスポート・セッション・プレゼンテーション・アプリケーションの7層。
-
問227.TCPはコネクション型のプロトコルで、3ウェイハンドシェイクで接続を確立し信頼性のあるデータ転送を保証する。
正解:○(正しい)
解説:TCPはコネクション型プロトコルで、3ウェイハンドシェイク(SYN→SYN-ACK→ACK)で接続を確立する。再送制御・順序制御・フロー制御・輻輳制御等により信頼性のあるデータ転送を保証する。HTTP・SSH・SMTP等で利用。
-
問228.UDPはコネクションレス型のプロトコルで、信頼性は保証しないが低オーバヘッドで高速通信が可能である。
正解:○(正しい)
解説:DNS・ストリーミング・VoIP等で利用。
-
問229.IPアドレスはネットワーク部とホスト部に分かれ、サブネットマスクで境界を識別する。
正解:○(正しい)
解説:IPv4は32ビット・IPv6は128ビット。
-
問230.NAT(Network Address Translation)はプライベートIPアドレスとグローバルIPアドレスを相互変換する技術である。
正解:○(正しい)
解説:NATはプライベートIPアドレス(社内ネットワーク等)とグローバルIPアドレス(インターネット)を相互変換する技術。IPv4アドレス枯渇対策の中核技術で、ルータやファイアウォールで実装される。NAPT(PAT)はポート番号も変換する派生方式。
-
問231.DNSはドメイン名とIPアドレスを相互に変換する仕組みである。
正解:○(正しい)
解説:階層構造で運用され、キャッシュ機能で効率化されている。
-
問232.ファイアウォールはネットワーク境界で通信を制御し、不正なアクセスを遮断する仕組みである。
正解:○(正しい)
解説:パケットフィルタ型・ステートフル型・アプリケーションゲートウェイ型がある。
-
問233.IDS(侵入検知システム)はネットワークやホストを監視し不正な通信や挙動を検知して通報する仕組みである。
正解:○(正しい)
解説:IDSはネットワーク(NIDS)またはホスト(HIDS)を監視し、不正な通信や挙動を検知して管理者に通報する仕組み。検知方式にはシグネチャ型(既知パターン照合)とアノマリ型(異常検知)があり、近年は機械学習も活用される。
-
問234.IPS(侵入防止システム)はIDSの検知機能に加えて不正通信を自動的に遮断する機能を持つ。
正解:○(正しい)
解説:IPSはIDSの検知機能に加え、不正通信を自動的に遮断する能動的防御機能を持つ。インライン(通信経路上)に設置され、リアルタイムでパケットをドロップする。誤検知対策として例外設定・チューニングが重要。
-
問235.WAF(Web Application Firewall)はWebアプリケーションへの攻撃(SQLi・XSS等)を検知・遮断する。
正解:○(正しい)
解説:通常のFWでは防げないアプリ層攻撃に対応。
-
問236.VPN(Virtual Private Network)は公衆回線上に仮想的な専用線を構築する技術である。
正解:○(正しい)
解説:IPsec-VPN・SSL-VPNが代表的方式。
-
問237.プロキシサーバはクライアントとインターネットの間で通信を中継するサーバである。
正解:○(正しい)
解説:アクセス制御・キャッシュ・ログ取得・匿名化等の役割。
-
問238.IPv6は128ビット長のアドレスで、アドレス枯渇問題を解決する次世代インターネットプロトコルである。
正解:○(正しい)
解説:IPv6は128ビット長のアドレス空間(約340澗個)で、IPv4(32ビット・約43億個)の枯渇問題を抜本的に解決する。NATが不要になり、IPsecが標準実装、自動構成等の利点がある一方、移行コストや運用知識の差が普及の課題。
-
問239.WPA3は無線LANのセキュリティ規格で、WPA2より強化された暗号化と認証を提供する。
正解:○(正しい)
解説:個人向けWPA3-Personalと企業向けWPA3-Enterpriseがある。
-
問240.仮想化(仮想マシン)は1台の物理サーバ上に複数の独立した仮想サーバを動作させる技術である。
正解:○(正しい)
解説:仮想化は1台の物理サーバ上に複数の独立したVM(仮想マシン)を動作させる技術。ハイパーバイザ型(ベアメタル)はハードウェア上で直接動作(VMware ESXi・Hyper-V等)、ホスト型はOS上で動作(VirtualBox等)。
-
問241.コンテナ仮想化はホストOSのカーネルを共有し、仮想マシンより軽量で高速に動作する仮想化方式である。
正解:○(正しい)
解説:Docker・Kubernetesが代表的。
-
問242.クラウドサービスのIaaS・PaaS・SaaSはそれぞれインフラ・実行環境(プラットフォーム)・アプリ提供形態である。
正解:○(正しい)
解説:責任分界点が異なるため利用時に確認が必要。
-
問243.パブリッククラウドは複数組織が共有し、プライベートクラウドは特定組織専用、ハイブリッドはそれらを組み合わせる形態である。
正解:○(正しい)
解説:クラウド配備モデルにはパブリック(複数組織共有・AWS/Azure/GCP等)、プライベート(特定組織専用)、ハイブリッド(両者の組合せ)があり、オンプレミスと併用するケースも一般的。コスト・統制・セキュリティ要件で選択する。
-
問244.バックアップの3-2-1ルールは『3つのコピー・2種類の媒体・1つは遠隔地』に保管する考え方である。
正解:○(正しい)
解説:バックアップの3-2-1ルールは『3つのコピー・2種類の媒体・1つは遠隔地(オフサイト)』。ランサムウェア対策にも有効で、近年はオフライン保管(エアギャップ)・改ざん不能ストレージ(イミュータブル)も推奨される。
-
問245.フルバックアップは全データの完全コピー、増分バックアップは前回バックアップ以降の変更分のみのバックアップである。
正解:○(正しい)
解説:差分バックアップは前回フルバックアップ以降の変更分。
-
問246.データベースのACID特性は原子性(Atomicity)・一貫性(Consistency)・独立性(Isolation)・耐久性(Durability)である。
正解:○(正しい)
解説:トランザクション処理の信頼性を担保する4要件。
-
問247.セキュアコーディングは開発段階からセキュリティを考慮してコードを書く考え方である。
正解:○(正しい)
解説:OWASP Top 10等のガイドラインを参照する。
-
問248.DevSecOpsは開発(Dev)・セキュリティ(Sec)・運用(Ops)を統合し、開発初期からセキュリティを組み込むアプローチである。
正解:○(正しい)
解説:DevSecOpsは開発(Dev)・セキュリティ(Sec)・運用(Ops)を統合し、開発初期からセキュリティを組み込むアプローチ。シフトレフト(前工程化)の実践で、CI/CDパイプラインへの脆弱性スキャン・SAST・DAST組み込み等を行う。
-
問249.セキュリティバイデザインは企画・設計段階からセキュリティを組み込む考え方である。
正解:○(正しい)
解説:後付けより低コスト・高品質なセキュリティを実現できる。
-
問250.MDM(Mobile Device Management)は企業がモバイル端末を一元管理・制御する仕組みである。
正解:○(正しい)
解説:BYOD導入時のセキュリティ対策に有効。
-
問251.OSI参照モデルは通信機能を5階層に分けてモデル化したものである。
正解:×(誤り)
解説:誤り。OSI参照モデルは7階層(物理・データリンク・ネットワーク・トランスポート・セッション・プレゼンテーション・アプリケーション)。5階層はTCP/IPモデル等の簡略モデル。
-
問252.TCPはコネクションレス型で信頼性を保証しないプロトコルである。
正解:×(誤り)
解説:誤り。TCPはコネクション型で3ウェイハンドシェイクと再送制御により信頼性を保証する。コネクションレスはUDP。
-
問253.UDPはコネクション型でデータの順序や再送を保証するプロトコルである。
正解:×(誤り)
解説:誤り。UDPはコネクションレス型で信頼性は保証しない。コネクション型で信頼性保証はTCP。
-
問254.NAT(Network Address Translation)はドメイン名とIPアドレスを相互に変換する技術である。
正解:×(誤り)
解説:誤り。NATはプライベートIPとグローバルIPを変換する技術。ドメイン名とIPの変換はDNS。
-
問255.DNSはプライベートIPとグローバルIPを変換する仕組みである。
正解:×(誤り)
解説:誤り。DNSはドメイン名とIPアドレスを変換する仕組み。プライベートIPとグローバルIPの変換はNAT。
-
問256.IDSは検知した不正通信を自動的に遮断する機能を持つ。
正解:×(誤り)
解説:誤り。IDSは検知して通報するのみ。自動遮断機能を持つのはIPS。
-
問257.IPSは検知のみで通信遮断機能は持たない。
正解:×(誤り)
解説:誤り。IPSはIDSの検知機能に加えて不正通信を自動遮断する。検知のみはIDS。
-
問258.WAFはWebサーバのハードウェア故障を検知する仕組みである。
正解:×(誤り)
解説:誤り。WAFはWebアプリへの攻撃(SQLi・XSS等)を検知・遮断する仕組み。ハードウェア故障検知は監視ツールの役割。
-
問259.VPNは暗号化や認証を行わない公衆回線をそのまま使う通信方式である。
正解:×(誤り)
解説:誤り。VPNは公衆回線上に暗号化等で仮想的な専用線を構築する技術。暗号化なしはVPNではない。
-
問260.IPv6は64ビット長のアドレス空間を持つ。
正解:×(誤り)
解説:誤り。IPv6は128ビット。64ビットは誤り。IPv4は32ビット。
-
問261.WPA3はWPA2より暗号化が弱く、家庭でのみ使われる古い規格である。
正解:×(誤り)
解説:誤り。WPA3はWPA2より強化された暗号化と認証を提供する新世代の無線LANセキュリティ規格。
-
問262.コンテナ仮想化は各コンテナが独自のOSカーネルを持つことで強い分離を実現する。
正解:×(誤り)
解説:誤り。コンテナはホストOSのカーネルを共有する仮想化方式で軽量化を実現。独自OSカーネルを持つのはハイパーバイザ型仮想化(VM)。
-
問263.IaaS・PaaS・SaaSの中で、IaaSは完成したアプリケーションをサービスとして提供する形態である。
正解:×(誤り)
解説:誤り。IaaSはインフラ(仮想サーバ・ストレージ等)を提供する形態。完成アプリ提供はSaaS。
-
問264.バックアップの3-2-1ルールは『3つの場所・2人の管理者・1つの方式』を意味する。
正解:×(誤り)
解説:誤り。3-2-1ルールは『3つのコピー・2種類の媒体・1つは遠隔地(オフサイト)』。
-
問265.増分バックアップとは前回フルバックアップ以降の変更分をバックアップする方式である。
正解:×(誤り)
解説:誤り。それは差分バックアップの説明。増分バックアップは前回バックアップ(種類問わず)以降の変更分のみを取得する。
-
問266.差分バックアップは前回バックアップ(種類問わず)以降の変更分のみを取得する方式である。
正解:×(誤り)
解説:誤り。それは増分バックアップの説明。差分バックアップは前回フルバックアップ以降の変更分を取得する。
-
問267.データベースのACID特性のうち『A』はAvailability(可用性)を意味する。
正解:×(誤り)
解説:誤り。ACIDの『A』はAtomicity(原子性)。可用性はAvailabilityでセキュリティ要素CIAの一部。
-
問268.ACID特性の『C』はConcurrency(並行性)を意味する。
正解:×(誤り)
解説:誤り。ACIDの『C』はConsistency(一貫性)。並行性は別概念。
-
問269.ACID特性の『D』はDistribution(分散性)を意味する。
正解:×(誤り)
解説:誤り。ACIDの『D』はDurability(耐久性)。分散性は別概念。
-
問270.セキュリティバイデザインは開発・運用が完了した後にセキュリティ機能を後付けする考え方である。
正解:×(誤り)
解説:誤り。セキュリティバイデザインは『企画・設計段階から』セキュリティを組み込む考え方。後付けはアンチパターン。
-
問271.DevSecOpsは開発と運用のみを統合し、セキュリティは別チームで後工程として実施する。
正解:×(誤り)
解説:誤り。DevSecOpsは開発・セキュリティ・運用を統合し、開発初期からセキュリティを組み込むアプローチ(シフトレフト)。
-
問272.MDMはサーバの集中管理を行う仕組みである。
正解:×(誤り)
解説:誤り。MDM(Mobile Device Management)はモバイル端末の管理。サーバの集中管理は別の仕組み。
-
問273.プロキシサーバはクライアント側で動作するアンチウイルスソフトの一種である。
正解:×(誤り)
解説:誤り。プロキシサーバはクライアントとインターネットの間で通信を中継するサーバ。アンチウイルスは別カテゴリ。
-
問274.パブリッククラウドは特定組織専用のクラウド環境である。
正解:×(誤り)
解説:誤り。それはプライベートクラウドの説明。パブリッククラウドは複数組織が共有するクラウドサービス。
-
問275.IPv4のグローバルアドレスは無限に存在し枯渇問題は存在しない。
正解:×(誤り)
解説:誤り。IPv4は32ビット約43億個で枯渇問題が深刻化、IPv6(128ビット)への移行が進行中。NATは枯渇対策の一つ。
-
問276.OSI参照モデルの第3層(ネットワーク層)の役割はどれか。
- ア.電気信号やビット伝送
- イ.IPアドレスを用いたルーティング
- ウ.セッションの確立・維持・終了
- エ.アプリ間通信
正解:イ.IPアドレスを用いたルーティング
解説:第3層はIPルーティング。第1層は物理伝送、第5層がセッション、第7層がアプリ。
-
問277.OSI参照モデル第4層(トランスポート層)で動作するプロトコルはどれか。
- ア.IP
- イ.HTTP
- ウ.TCP/UDP
- エ.Ethernet
正解:ウ.TCP/UDP
解説:TCP/UDPがトランスポート層。IPはネットワーク層、HTTPはアプリ層、Ethernetはデータリンク層。
-
問278.TCPの特徴として正しいものはどれか。
- ア.コネクションレス型・信頼性なし
- イ.コネクション型・信頼性なし
- ウ.コネクションレス型・信頼性あり
- エ.コネクション型・3ウェイハンドシェイクで接続確立・信頼性あり
正解:エ.コネクション型・3ウェイハンドシェイクで接続確立・信頼性あり
解説:TCPはコネクション型で再送制御により信頼性を保証。
-
問279.UDPの特徴として正しいものはどれか。
- ア.コネクションレス型・信頼性なし・低オーバヘッド
- イ.コネクション型・信頼性あり
- ウ.コネクション型・低オーバヘッド
- エ.暗号化通信専用
正解:ア.コネクションレス型・信頼性なし・低オーバヘッド
解説:UDPはコネクションレスで高速だが信頼性は保証しない。DNS・ストリーミング等で利用。
-
問280.NATの主な役割はどれか。
- ア.ドメイン名とIPを変換
- イ.プライベートIPとグローバルIPを相互変換
- ウ.ファイアウォール機能
- エ.DNSキャッシュ
正解:イ.プライベートIPとグローバルIPを相互変換
解説:NATはプライベートIPとグローバルIPを相互変換する技術で、IPv4アドレス枯渇対策の中核。ドメイン名とIPの変換はDNS、IPv4とIPv6の変換はNAT64等であり混同しないこと。
-
問281.DNSの主な役割はどれか。
- ア.パスワード認証
- イ.IPv4とIPv6を変換
- ウ.ドメイン名とIPアドレスを相互変換
- エ.暗号化通信
正解:ウ.ドメイン名とIPアドレスを相互変換
解説:DNSは階層構造(ルート→TLD→権威サーバ→下位)で名前解決を行う。ドメイン名→IPアドレスを引くのが正引き、IP→ドメイン名が逆引き。キャッシュDNSサーバが利用者側でキャッシュし応答を高速化する。
-
問282.IDS(侵入検知システム)の特徴として正しいものはどれか。
- ア.不正通信を自動遮断する
- イ.暗号化を行う
- ウ.ファイアウォールの代替
- エ.不正通信を検知して通報する
正解:エ.不正通信を検知して通報する
解説:検知のみがIDS。自動遮断機能を持つのはIPS。
-
問283.IPS(侵入防止システム)の特徴として正しいものはどれか。
- ア.検知に加えて自動的に通信を遮断する
- イ.検知のみで遮断はしない
- ウ.アンチウイルス機能
- エ.ファイル暗号化
正解:ア.検知に加えて自動的に通信を遮断する
解説:IDSの検知機能+自動遮断機能を持つ。インライン設置。
-
問284.WAFが防御する代表的な攻撃はどれか。
- ア.DDoS
- イ.SQLインジェクション・XSS等のWebアプリ攻撃
- ウ.物理侵入
- エ.電源遮断
正解:イ.SQLインジェクション・XSS等のWebアプリ攻撃
解説:通常FWでは防げないアプリ層の攻撃に対応。
-
問285.VPNの代表的な方式はどれか。
- ア.DNS-VPN
- イ.HTTP-VPN
- ウ.IPsec-VPN・SSL-VPN
- エ.FTP-VPN
正解:ウ.IPsec-VPN・SSL-VPN
解説:IPsec-VPN(ネットワーク層)とSSL-VPN(アプリ層)が主流。
-
問286.IPv6のアドレス長として正しいものはどれか。
- ア.32ビット
- イ.64ビット
- ウ.256ビット
- エ.128ビット
正解:エ.128ビット
解説:IPv6は128ビット。IPv4の32ビットから大幅に拡張。
-
問287.WPA3が提供するセキュリティ機能として正しいものはどれか。
- ア.WPA2より強化された暗号化と認証
- イ.WPA2より弱い暗号化
- ウ.暗号化なし
- エ.パスワードの強制リセットのみ
正解:ア.WPA2より強化された暗号化と認証
解説:個人向けWPA3-Personal、企業向けWPA3-Enterpriseで強化された保護を提供。
-
問288.コンテナ仮想化(Docker等)の特徴はどれか。
- ア.各コンテナが独自OSを持つ
- イ.ホストOSのカーネルを共有し軽量・高速
- ウ.ハードウェアエミュレーション
- エ.物理サーバが必要
正解:イ.ホストOSのカーネルを共有し軽量・高速
解説:VMより軽量で起動高速。マイクロサービス基盤として広く採用。
-
問289.IaaS(Infrastructure as a Service)の説明として正しいものはどれか。
- ア.完成したアプリケーションを提供
- イ.開発実行環境を提供
- ウ.仮想サーバ・ストレージ等のインフラを提供
- エ.物理建屋を提供
正解:ウ.仮想サーバ・ストレージ等のインフラを提供
解説:IaaS=インフラ、PaaS=実行環境、SaaS=完成アプリ。
-
問290.PaaS(Platform as a Service)の説明として正しいものはどれか。
- ア.物理ハードウェアそのもの
- イ.データセンター施設
- ウ.完成したアプリを提供
- エ.アプリ実行環境(OS・ミドルウェア等)を提供
正解:エ.アプリ実行環境(OS・ミドルウェア等)を提供
解説:OS・ミドルウェアまでクラウド側が管理し、利用者はアプリ開発・運用に集中。
-
問291.SaaS(Software as a Service)の代表例はどれか。
- ア.GoogleドキュメントやMicrosoft 365
- イ.AWS EC2
- ウ.Heroku
- エ.Azure VM
正解:ア.GoogleドキュメントやMicrosoft 365
解説:SaaSは完成したアプリ提供。AWS EC2やAzure VMはIaaS、HerokuはPaaS。
-
問292.バックアップの3-2-1ルールが意味する内容として正しいものはどれか。
- ア.3人の管理者・2拠点・1暗号化
- イ.3つのコピー・2種類の媒体・1つは遠隔地
- ウ.3バックアップ/年・2回確認・1検証
- エ.3週間保管・2年保存・1廃棄
正解:イ.3つのコピー・2種類の媒体・1つは遠隔地
解説:3コピー、2種媒体、1オフサイトでランサムウェア対策にも有効。
-
問293.増分バックアップの説明として正しいものはどれか。
- ア.全データの完全コピー
- イ.前回フルバックアップ以降の変更分
- ウ.前回バックアップ(種類問わず)以降の変更分
- エ.データを削除する操作
正解:ウ.前回バックアップ(種類問わず)以降の変更分
解説:差分バックアップは前回フル以降。増分は前回バックアップ以降。
-
問294.差分バックアップの説明として正しいものはどれか。
- ア.全データの完全コピー
- イ.前回バックアップ以降の変更分
- ウ.データを暗号化
- エ.前回フルバックアップ以降の変更分
正解:エ.前回フルバックアップ以降の変更分
解説:増分(前回バックアップ)と差分(前回フル)の違いを区別。
-
問295.ACID特性のうち『A』が意味するものはどれか。
- ア.Atomicity(原子性)
- イ.Availability(可用性)
- ウ.Authenticity(真正性)
- エ.Authorization(認可)
正解:ア.Atomicity(原子性)
解説:Atomicityはトランザクション内処理が全実行か全未実行かを保証する性質。
-
問296.ACID特性のうち『D』が意味するものはどれか。
- ア.Distribution
- イ.Durability(耐久性・永続性)
- ウ.Decentralization
- エ.Disclosure
正解:イ.Durability(耐久性・永続性)
解説:Durabilityはコミットされた結果がシステム障害でも失われないことを保証。
-
問297.DevSecOpsの説明として最も適切なものはどれか。
- ア.開発と運用を分離する
- イ.セキュリティ専任チームを廃止
- ウ.開発・セキュリティ・運用を統合し開発初期からセキュリティを組み込む
- エ.開発工程からセキュリティを排除
正解:ウ.開発・セキュリティ・運用を統合し開発初期からセキュリティを組み込む
解説:シフトレフト(前工程化)の実践。早期発見でコスト削減と品質向上。
-
問298.セキュリティバイデザインの考え方として正しいものはどれか。
- ア.完成後にセキュリティ機能を追加
- イ.セキュリティ機能を最小化
- ウ.セキュリティを利用者に任せる
- エ.企画・設計段階からセキュリティを組み込む
正解:エ.企画・設計段階からセキュリティを組み込む
解説:後付けより低コストで高品質なセキュリティ実現。
-
問299.MDMの主な役割はどれか。
- ア.モバイル端末(スマホ・タブレット等)を一元管理・制御
- イ.メールサーバの管理
- ウ.データベース管理
- エ.ファイアウォールの設定
正解:ア.モバイル端末(スマホ・タブレット等)を一元管理・制御
解説:BYOD導入時の端末紛失・情報漏洩対策として広く採用。
-
問300.セキュアコーディングの実践に役立つガイドラインはどれか。
- ア.ISO 9001
- イ.OWASP Top 10
- ウ.CMMI
- エ.ITIL
正解:イ.OWASP Top 10
解説:OWASP Top 10はWebアプリの主要セキュリティリスクを示すデファクト標準。