第1問 CIAトライアドと情報資産管理
ある企業で、顧客データベースの一部が不正に書き換えられ、同時にシステム障害によりサービスが数時間停止した。また、内部関係者以外が閲覧できないはずの情報が外部に漏えいした疑いも生じている。これらの事象を踏まえ、情報資産の保護原則に基づいて考える。
情報資産を保護する三要素の総称は(1)である。
外部に漏えいした疑いがあるという事象は、三要素のうちどれが損なわれたと考えられるか。(2)を選べ。
データベースの記録が不正に書き換えられた場合に問題となる性質はどれか。(3)を選べ。
数時間にわたりサービスが停止した状態は、どの性質の低下に該当するか。(4)を選べ。
通信中のデータが改変されていないことを検証する技術として適切な組合せはどれか。(5)を選べ。
次の各文について◯か✗か答えなさい。
アクセス制御や暗号化は、許可された者のみが情報を閲覧できる状態の確保に寄与する。(6)
冗長化やバックアップは、主としてデータの改ざん防止を目的とする技術である。(7)
システム障害によるサービス停止は、必要なときに情報へアクセスできない状態を生む。(8)
第2問 マルウェアの特徴と被害
社内ネットワークで、不審なプログラムが他の実行ファイルに付着して増殖し始めた。別の拠点では、利用者の操作なしにネットワーク経由で急速に拡散する事例も報告されている。さらに、業務ファイルが暗号化され、金銭の支払いを要求する画面が表示された。
他のプログラムに寄生して自己複製する特徴をもつものはどれか。(9)を選べ。
独立したプログラムとしてネットワーク経由で拡散するものはどれか。(10)を選べ。
正規のソフトウェアを装って侵入し、内部に不正な出入口を設けるものはどれか。(11)を選べ。
業務ファイルを利用不能な状態に変換し、金銭を要求する攻撃に該当するものはどれか。(12)を選べ。
次のうち、悪意のあるソフトウェアの総称を表す用語はどれか。(13)を選べ。
第3問 認証と人的要因への対策
ある社員が、正規の企業を装った電子メールに記載されたリンクから偽サイトへ誘導され、認証情報を入力してしまった。また、別の事例では攻撃者が電話で管理者になりすまし、パスワードを聞き出している。社内ではパスワードの強化と多要素認証の導入が検討されている。
不特定多数に対して正規組織を装い、情報を詐取する手法はどれか。(14)を選べ。
特定の個人や組織を標的とし、事前収集した情報を用いて信憑性を高める攻撃はどれか。(15)を選べ。
電話で管理者になりすましてパスワードを聞き出す手口は、どの分類に該当するか。(16)を選べ。
安全なパスワードの条件として適切なものをすべて選べ。(17)
知識情報・所持情報・生体情報のうち二つ以上を組み合わせる認証方式は(18)である。
第4問 ネットワーク防御と暗号技術
テレワークの拡大に伴い、自宅から社内システムへ安全に接続する仕組みが求められている。また、外部との通信を監視し、不正なパケットを遮断する装置の設定も見直されている。暗号方式の選定や組織的な管理体制の整備も重要な課題である。
ネットワーク間の通信を監視し、設定ルールに基づいてパケットの通過を制御する装置はどれか。(19)を選べ。
公衆ネットワーク上に仮想的な専用線を構築し、安全なリモートアクセスを実現する技術はどれか。(20)を選べ。
暗号化と復号に同じ鍵を用い、高速な処理が可能な方式はどれか。(21)を選べ。
暗号化と復号に異なる鍵を用い、鍵の配達問題を解決する方式はどれか。(22)を選べ。
組織全体で情報セキュリティを管理し、ISO/IEC 27001に基づきリスクアセスメントや教育などを実施する仕組みは(23)である。
ファイアウォールの種類として挙げられているものをすべて選べ。(24)