情報処理安全確保支援士試験とは？傾向は？過去問は役に立つ？AIに予想問題を作らせてみた

情報処理安全確保支援士試験とは？傾向は？過去問は役に立つ？AIに予想問題を作らせてみた

情報処理安全確保支援士（通称：登録セキスペ）は、サイバーセキュリティに関する専門的な知識と技能を持つことを国が認定する国家資格です。この資格の大きな特徴は、単なる知識の証明にとどまらず、サイバー攻撃から情報システムを守るための「実践的な能力」が問われる点にあります。

この資格を持つ人は、情報セキュリティのプロフェッショナルとして、企業や組織の情報システムの企画、設計、開発、運用、そして監査といった、あらゆるフェーズで重要な役割を担うことが期待されています。具体的には、セキュリティポリシーの策定、脆弱性診断、インシデント発生時の対応、社員へのセキュリティ教育など、多岐にわたる業務を行います。

情報処理安全確保支援士試験は、情報処理技術者試験の一区分であり、その中でも特に高度な専門性を問う「高度試験」の一つに位置づけられています。同じ高度試験には、データベーススペシャリストやネットワークスペシャリストなどがありますが、情報処理安全確保支援士は、それらの技術要素をセキュリティの観点から統合的に理解し、活用する能力が求められる点で、少し性質が異なります。

試験の難易度と合格率について

この試験は、情報処理技術者試験の中でも特に難易度が高いとされています。合格率は毎回異なりますが、一般的には15%から20%前後で推移することが多いです。この数字からも、合格するためには、表面的な知識だけでなく、深い理解と応用力が不可欠であることがお分かりいただけるかと思います。

試験の出題傾向はどのように変わってきていますか？

情報処理安全確保支援士試験の出題傾向は、近年のサイバー攻撃の進化や、新しい技術の登場に合わせて、常に変化しています。単に過去の知識を問うのではなく、現代のセキュリティ課題を解決するための思考力や判断力を試す問題が増えているのが特徴です。

午前問題の傾向

午前問題は、選択式の四肢択一形式で、セキュリティ全般に関する広範な知識が問われます。

• 午前Ⅰ： 応用情報技術者試験の午前問題とほぼ同じレベルの内容が出題されます。マネジメント、テクノロジ、ストラテジの分野から幅広く出題され、基礎的な知識が問われます。
• 午前Ⅱ： セキュリティに関する専門的な知識が中心となります。暗号技術、ネットワークセキュリティ、認証技術、情報セキュリティマネジメントなど、情報処理安全確保支援士に特化した内容が出題されます。近年では、クラウドセキュリティやIoTセキュリティ、AIのセキュリティリスクといった、新しい技術トレンドに関する問題も増えています。

これらの問題は、単に用語を覚えるだけでなく、その技術がどのような仕組みで動いているのか、どのような場面で使われるのかといった深い理解が求められます。

午後問題の傾向

午後問題は、記述式で、長文の事例問題を読み解き、論理的に回答する形式です。これがこの試験の最大の難関と言えるでしょう。

• 午後Ⅰ： 企業の情報システム部門やセキュリティ担当者が直面するであろう、具体的なセキュリティ課題を解決する能力が問われます。例えば、ウェブサイトの脆弱性診断結果を分析し、対策を提案する問題や、マルウェア感染時の対応策を問う問題などが出題されます。
• 午後Ⅱ： より高度な視点から、組織全体のセキュリティ戦略や、セキュリティガバナンスに関する問題が出題されることが多いです。セキュリティインシデントの根本原因を分析し、再発防止策を策定する問題や、セキュリティポリシーの改善提案を問う問題などがあります。

午後問題の傾向として、単一の技術知識だけでなく、複数の技術要素やマネジメントの観点を組み合わせて回答させる問題が増えています。また、不正アクセスや情報漏えいといったインシデントが実際に起きた状況を想定し、その原因分析、対策立案、組織内でのコミュニケーションなど、より実践的な対応力が問われるようになっています。

さらに、出題される技術や事例も、日々進化するサイバー攻撃の動向を反映しています。最新の攻撃手法（ランサムウェア、サプライチェーン攻撃など）や、新しい技術（クラウド、IoT、ブロックチェーンなど）のセキュリティリスクに関する問題が増えており、日頃からセキュリティ関連のニュースや動向にアンテナを張っておくことが非常に大切です。

過去問は試験対策に役立ちますか？

過去問は情報処理安全確保支援士試験の対策において、非常に重要な役割を果たします。過去問を解くことは、単に問題の答えを覚えるためだけではなく、以下のような、より深い学習効果をもたらします。

• 出題傾向と形式の把握: 過去問を解くことで、どのような分野からどのような形式で問題が出題されるのか、その傾向を肌で感じることができます。特に午後問題では、長文の読み方、設問の意図の汲み取り方、記述の仕方など、独特のコツが必要になります。
• 時間配分の練習: 試験本番では、限られた時間内に膨大な量の問題を解き進める必要があります。特に午後問題は時間が足りなくなることが多いので、過去問を解くことで、どのくらいのペースで進めればよいのか、時間配分の感覚を養うことができます。
• 知識の定着と応用力の強化: 過去問を解いて間違えた問題は、ご自身の弱点を知る良い機会になります。解説をしっかり読み込むことで、なぜその答えになるのかを深く理解し、知識を定着させることができます。また、似たような問題でも少し視点を変えて出題されることが多いため、過去問を通して、学んだ知識を応用する力を鍛えることができます。

ただ、過去問をただ漫然と解くだけでは、十分な効果は得られません。大切なのは、「なぜその答えになるのか」を深く考察し、解説をしっかり読み込むことです。特に午後問題では、解答の根拠が本文のどこにあるのか、なぜその記述が求められているのかを丁寧に分析することが、合格への近道になります。

効果的な学習対策はありますか？

情報処理安全確保支援士試験に合格するためには、計画的で効率的な学習が不可欠です。以下に、おすすめの学習方法をいくつかご紹介しますね。

1. 午前問題対策の進め方

• 基礎知識の定着: まずは、午前Ⅰで問われる応用情報技術者試験レベルの基礎知識をしっかりと固めましょう。もし応用情報技術者試験に合格済みであれば、午前Ⅰは免除される場合がありますので、ご自身の状況を確認してみてください。
• 専門知識のインプット: 午前Ⅱ対策としては、セキュリティに関する専門書や参考書を使って、体系的に知識をインプットすることが大切です。特に、暗号技術や認証技術、情報セキュリティマネジメント、ネットワークセキュリティなどの分野は重点的に学習しましょう。
• 繰り返し問題を解く: 過去問や予想問題集を繰り返し解くことで、知識を定着させます。間違えた問題は、解説を読み、なぜ間違えたのかを理解することが重要です。

2. 午後問題対策の進め方

午後問題は、単なる知識問題ではないため、特別な対策が必要です。

• 過去問を徹底的に分析: 午後問題の対策は、何よりも過去問が最も重要です。過去5年分程度の過去問を、時間を測って実際に解いてみましょう。
• 解答の思考プロセスを学ぶ: 過去問を解いた後は、解説を丁寧に読み込み、正解に至るまでの思考プロセスを理解することが大切です。解説書によっては、解答の根拠が本文のどこにあるのか、どのような知識を組み合わせて解答を導き出すのかが詳しく書かれています。
• セキュリティ関連のニュースに触れる: 最新のサイバー攻撃の事例や、新しいセキュリティ技術に関するニュースを日頃からチェックしましょう。午後問題では、こうした最新の動向を背景にした問題が出題されることがよくあります。
• 実際に手を動かす経験を積む: 脆弱性診断ツールを使ってみたり、実際に仮想環境でセキュリティ設定を変更してみるなど、実践的な経験を積むことも、午後問題の理解を深める上で非常に役立ちます。

3. 専門用語を分かりやすく理解する

この試験には多くの専門用語が出てきます。例えば、「公開鍵暗号方式」や「ハッシュ関数」、「マルウェア」、「SQLインジェクション」などです。これらの用語をただ覚えるだけでなく、どのような仕組みで、何のために使われているのかを、身近な例え話などを交えて理解すると、記憶に残りやすくなります。

例えば、「公開鍵暗号方式」は、郵便ポストのようなものだと考えてみましょう。誰もが自由に手紙（データ）を投函（暗号化）できますが、鍵を持っている人（秘密鍵）しか中身を取り出せない（復号化できない）というイメージです。このように、専門用語を自分の言葉で説明できるようになることが、深い理解につながります。

どのような仕事に役立ちますか？

情報処理安全確保支援士の資格は、幅広い職種や業務であなたの専門性を証明し、キャリアアップに繋がります。

1. セキュリティエンジニア/アナリスト

最も直接的に役立つのがこの職種です。情報処理安全確保支援士は、セキュリティシステムの設計・構築、脆弱性診断、インシデント対応、マルウェア解析など、専門的なセキュリティ業務を行う上で、国が認めた専門家として大きな信頼を得ることができます。

2. システムコンサルタント

お客様の課題をヒアリングし、情報システム全体をセキュリティの観点から最適化する提案を行う仕事です。この資格を持つことで、お客様は「この人に任せれば安心だ」と感じ、信頼関係を築きやすくなります。

3. IT監査/リスクマネジメント

企業のITシステムが、適切なセキュリティ対策を取っているかを評価・監査する仕事です。情報処理安全確保支援士は、セキュリティに関する深い知識を持っているため、監査人として客観的で専門的な評価を行うことができます。

4. 社内情報システム部門

企業のITシステムを管理する部門でも、この資格は非常に重宝されます。社内のセキュリティポリシー策定、社員へのセキュリティ教育、日常的なセキュリティ運用の監視など、組織全体の情報セキュリティレベルを向上させるための中心的な役割を担うことができます。

5. 開発者/プログラマー

一見すると関係ないように思えるかもしれませんが、安全なソフトウェアを開発するためには、セキュリティの知識が不可欠です。この資格を持つことで、開発の初期段階からセキュリティを考慮した設計（セキュアプログラミング）を行うことができるようになり、開発者としての市場価値を高めることができます。

転職時には有利になりますか？

情報処理安全確保支援士の資格は、転職活動において非常に有利に働きます。特に、IT業界や、情報システム部門を持つ企業への転職を考えている方にとっては、大きな武器となります。

1. 専門性の証明

履歴書にこの資格を記載することで、あなたがサイバーセキュリティに関する専門的な知識と実践的な能力を持っていることを、明確にアピールできます。これは、採用担当者にとって、あなたのスキルレベルを判断する上で非常に分かりやすい指標となります。

2. 企業からの高い需要

近年、サイバー攻撃はますます巧妙化しており、多くの企業がセキュリティ対策に頭を悩ませています。そのため、情報セキュリティの専門家に対する需要は非常に高く、情報処理安全確保支援士の資格を持つ人材は、多くの企業で求められています。

3. 信頼性の向上

この資格は、国が認定する国家資格であるため、その信頼性は非常に高いです。お客様や取引先に対しても、あなたの専門家としての信頼性をアピールすることができ、ビジネスの場で有利に働くことがあります。

4. キャリアチェンジのきっかけに

今とは少し違う分野、例えば、開発者からセキュリティコンサルタントへのキャリアチェンジを考えている場合、この資格は、その第一歩を踏み出すための強力な後押しとなります。

ただし、資格を持っているだけでは十分ではありません。資格に加えて、これまでの実務経験や、ご自身がどのようにセキュリティの知識を活かしてきたのかを、具体的なエピソードを交えて説明できるよう準備しておくことが大切です。

AIに奪われる可能性は？これからも必要とされますか？

「AIが発展したら、セキュリティの仕事もAIに取って代わられるのでは？」というご不安は、多くの方がお持ちだと思います。結論から申し上げますと、情報処理安全確保支援士のような専門家は、これからも必要とされ続ける可能性が非常に高いです。むしろ、AIの進化によって、その役割はより重要になっていくと私は考えています。

AIとセキュリティの関係

たしかに、AIは膨大なデータを高速で分析し、マルウェアのパターンを検出したり、ネットワークの異常を検知したりする能力に長けています。すでに多くのセキュリティ製品にAIが活用されており、定型的なセキュリティ業務の一部はAIが担うようになっていくでしょう。

しかし、情報処理安全確保支援士が担う仕事は、単にパターンを検出するだけではありません。

• 総合的な判断力と戦略: AIは、与えられたデータに基づいて最適な答えを導き出すことは得意ですが、組織のビジネス目標や、複雑な人間関係、リスク許容度などを総合的に考慮した上で、最適なセキュリティ戦略を立案することは難しいです。
• 未知の脅威への対応: AIは、過去のデータから学習するため、まだ見ぬ新しいタイプのサイバー攻撃（ゼロデイ攻撃など）に対しては、人間のような創造的な思考力や、臨機応変な対応が難しい場合があります。
• コミュニケーションと教育: セキュリティ対策は、技術的な側面だけでなく、社員一人ひとりの意識改革も非常に重要です。AIが社員の心に響くようなセキュリティ教育を行ったり、緊急時に各部署と連携して指揮を執ったりすることは、現時点では困難です。

これからの情報処理安全確保支援士の役割

AIの進化は、情報処理安全確保支援士の仕事を奪うのではなく、むしろ、より高度で戦略的な業務に集中できる環境を整えてくれるものと捉えるべきです。

これからの情報処理安全確保支援士は、AIを「ツール」として使いこなしながら、以下のような役割を担っていくことになります。

• AIのセキュリティリスクを評価し、対策を講じる専門家: AIそのものが攻撃の対象となったり、AIが意図しない形でリスクを生み出したりする可能性も指摘されています。AIを安全に活用するための専門知識を持つ人材が求められるでしょう。
• AIが生み出すデータを活用し、より高度なセキュリティ戦略を立案する専門家: AIが検出した膨大なアラートを分析し、組織全体のセキュリティレベルをどう向上させるかという、より大きな視点での判断を下す役割です。
• 人間とAIの協業を円滑にする専門家: AIがセキュリティ業務を支援する中で、人間がどこに判断を下すべきか、AIの限界を理解した上でどう活用すべきかといった、人間とAIの協業を設計・管理する役割です。

このように、AIが進化すればするほど、その技術を深く理解し、適切に活用し、そしてAIが生み出す新しいリスクにも対応できる、情報処理安全確保支援士のような専門家の価値は、ますます高まっていくと私は考えています。

情報のまとめと次に進むためのアドバイス

情報処理安全確保支援士試験について、幅広くご説明してまいりました。最後に、これまでの内容を整理し、あなたがこれからの一歩を踏み出すためのアドバイスをお伝えしますね。

この記事の主要なポイント

• 情報処理安全確保支援士とは: サイバーセキュリティの専門家として、国が認める国家資格です。
• 試験の傾向: 近年のサイバー攻撃の進化を反映した、実践的な知識や思考力が問われる問題が増加しています。
• 過去問の活用: 単に問題を解くのではなく、なぜその答えになるのか、思考プロセスを理解することが非常に重要です。
• キャリアへのメリット: 専門性の証明、転職での優位性、そして幅広い職種での活躍が期待できます。
• AIとの未来: AIはツールであり、情報処理安全確保支援士はAIを使いこなし、より高度で戦略的な役割を担うことで、これからも必要とされる存在であり続けます。

もし、あなたがこの資格に少しでも興味を持たれたのでしたら、まずは情報処理推進機構（IPA）の公式サイトで、過去の試験問題やシラバス（出題範囲）をご覧になってみてください。特に午後問題の事例に目を通すだけでも、「このような問題が問われるのだな」という具体的なイメージが掴めるかと思います。

情報処理安全確保支援士試験の予想問題（AI作成）

問題1

組織の情報セキュリティにおけるCIA三要素に該当しないものはどれか。
選択肢:
A. 機密性
B. 可用性
C. 信頼性
D. 完全性

回答

C

解説

CIA三要素は機密性、完全性、可用性の三つで、情報資産を守る基本概念です。信頼性は品質や稼働の安定性を指す一般用語であり、セキュリティの三要素としては正式に含まれません。試験では用語の厳密な対応関係が問われます。

問題2

TLS通信で、サーバ証明書の主な目的として最も適切なものはどれか。
選択肢:
A. 通信速度の最適化
B. サーバの真正性の証明
C. パケットの順序制御
D. 物理回線の暗号化

回答

B

解説

サーバ証明書は認証局の署名により、接続先サーバが名乗るドメインの正当な所有者であることを検証するためのものです。これにより中間者攻撃を抑止できます。通信の暗号化自体はハンドシェイク後に確立される共通鍵方式で実施されます。

問題3

SQLインジェクション対策として最も効果が高い一般的手法はどれか。
選択肢:
A. 入力文字数の上限を小さくする
B. 準備済み文（プリペアドステートメント）を用いる
C. DBのポート番号を変更する
D. HTMLエスケープを施す

回答

B

解説

SQLインジェクションはSQL文の構造に不正な文字列を混入させる攻撃です。準備済み文はプレースホルダに値をバインドし、SQL文とデータを分離して解釈させるため構造改変を防げます。入力制限やHTMLエスケープだけでは根本対策になりません。

問題4

XSSのうち、サーバ側に悪性スクリプトが保存され再配布される形態はどれか。
選択肢:
A. 反射型
B. 格納型
C. DOM型
D. ブルートフォース型

回答

B

解説

格納型XSSはフォーラム投稿やコメント欄などにスクリプトを保存し、閲覧者に配信される攻撃です。反射型はリクエストに含まれる値が即座にレスポンスへ反映される場合、DOM型はクライアント側のDOM操作で発生します。対策は適切な出力エスケープと入力検証です。

問題5

CSRF対策として最も適切な実装はどれか。
選択肢:
A. 同一生成元ポリシー（SOP）の無効化
B. 予測困難なトークンの埋め込みと検証
C. 画像の外部ホスト化
D. キャッシュ制御ヘッダの削除

回答

B

解説

CSRFは利用者が意図せず認証済み状態で攻撃者の要求を送ってしまう問題です。フォームや重要操作に予測困難なCSRFトークンを含め、サーバで照合するのが基本対策です。同時にSameSite属性やReferer/Origin検証も併用すると堅牢性が高まります。

問題6

CookieのSameSite属性がStrictの場合の挙動として正しいものはどれか。
選択肢:
A. すべてのリクエストで送信される
B. クロスサイト遷移時は送信されない
C. サードパーティのみ送信される
D. HTTPSでのみ送信される

回答

B

解説

SameSite=StrictはクロスサイトのコンテキストではCookieを送信しません。これによりCSRFのリスクを低減します。HTTPS限定はSecure属性の役割であり、SameSiteとは別です。Laxは一部のナビゲーションで送る場合があり、NoneはSecureと併用が必須です。

問題7

パスワード保存の最適な方法として推奨されるものはどれか。
選択肢:
A. SHA-256で一回だけハッシュ
B. 平文で暗号化して保存
C. bcrypt/Argon2などのストレッチング+ソルト
D. MD5の二重化

回答

C

解説

近代的なパスワード保存では、遅延性とメモリ耐性を持つ専用KDF（bcrypt、scrypt、Argon2、PBKDF2）とユーザ固有のソルトを用います。これにより総当たり・レインボーテーブル攻撃への耐性が向上します。単純なハッシュや暗号化は不十分です。

問題8

レインボーテーブル攻撃を無効化する基本的な考え方はどれか。
選択肢:
A. ソルトを導入する
B. 文字数制限を設ける
C. 文字種を限定する
D. 2要素認証を外す

回答

A

解説

レインボーテーブルはあらかじめ計算したハッシュ値の逆引き表です。各ユーザごとにランダムなソルトを付与してハッシュ化すると、同一パスワードでも結果が異なり、事前計算表の効果を無力化できます。さらにストレッチングを組み合わせるとより強固です。

問題9

TLSで用いられる暗号方式の組み合わせとして正しいものはどれか。
選択肢:
A. 公開鍵で全通信を暗号化
B. 事前共有鍵のみで認証
C. 公開鍵で鍵交換し対称鍵で本通信
D. 平文で鍵交換し公開鍵で本通信

回答

C

解説

TLSは計算効率の観点から、鍵交換や認証に公開鍵暗号（RSA/ECDHE）を用い、実際のデータ送受信には高速な共通鍵（AES-GCMなど）を用います。公開鍵で全通信を暗号化するのは現実的ではなく、平文の鍵交換は安全ではありません。

問題10

WAF（Web Application Firewall）の主な役割はどれか。
選択肢:
A. OSの脆弱性をパッチ適用する
B. アプリ層の攻撃パターンを検知・遮断する
C. ネットワーク帯域を拡張する
D. 侵入後のマルウェア駆除

回答

B

解説

WAFはHTTP/HTTPSのリクエスト内容を解析し、SQLiやXSSなどアプリケーション層の攻撃パターンを検知・遮断します。OSパッチは構成管理の領域、帯域拡張はネットワーク設計、マルウェア駆除はエンドポイント対策の領域です。WAFは多層防御の一要素です。

問題11

IDSとIPSの違いとして適切な説明はどれか。
選択肢:
A. IDSは検知、IPSは検知と遮断
B. IDSは遮断、IPSは検知
C. 両者とも遮断機能のみ
D. 両者とも検知のみ

回答

A

解説

IDS（侵入検知）は不審な通信や挙動を検知して通知する仕組み、IPS（侵入防止）は検知に加えリアルタイムで遮断まで行います。配置場所や運用設計により誤検知・過検知のバランス調整が重要で、シグネチャとふるまい検知を併用することが多いです。

問題12

SIEMの主な目的はどれか。
選択肢:
A. ネットワーク遅延の削減
B. ログの集中管理と相関分析
C. CPU使用率の監視
D. クラウド料金の最適化

回答

B

解説

SIEMは多様な機器やアプリのログを収集・正規化し、相関ルールや機械学習で脅威を早期検出します。単一ログでは見えない横断的な異常を把握でき、インシデント対応の初動を迅速化します。可観測性とは目的が異なり、セキュリティ視点に特化します。

問題13

インシデント対応の一般的なライフサイクルで、封じ込めの直後に来る工程はどれか。
選択肢:
A. 検知・分析
B. 根絶
C. 準備
D. 復旧

回答

B

解説

代表的な流れは準備、検知・分析、封じ込め、根絶、復旧、教訓の共有（事後対策）です。封じ込めで影響拡大を止めた後、原因となるマルウェアや脆弱設定などを除去する根絶に進みます。復旧は安全が確保され、再発防止策が整った後に行います。

問題14

フォレンジックで証拠保全の妥当性を担保する文書はどれか。
選択肢:
A. サービスレベル合意書
B. 監査計画書
C. チェーン・オブ・カストディ
D. 作業分解構成図

回答

C

解説

チェーン・オブ・カストディは証拠物の取得から保管、移送、解析までの担当者・日時・手順を記録し、改ざんや不正なアクセスの疑いを排除するための重要な文書です。法的証拠能力を保持する上で不可欠で、追跡可能性と完全性の証明に用いられます。

問題15

ログの改ざん検知を強化する設計として最も適切なものはどれか。
選択肢:
A. 単一サーバに保存
B. ローカルで随時削除
C. ハッシュチェーンとリモート保管
D. 可逆圧縮のみ

回答

C

解説

ログ各行に連鎖的なハッシュ（前行のハッシュを含む）を付与し、さらに改ざん耐性の高いリモート・WORMストレージへ送ると、改ざんの困難性と検出力が向上します。単一保管や随時削除は攻撃者に都合が良く、監査証跡の信頼性を損ないます。

問題16

リスク評価の基本式として最も一般的な表現はどれか。
選択肢:
A. リスク＝脅威＋脆弱性
B. リスク＝影響×発生可能性
C. リスク＝コスト－便益
D. リスク＝機密性＋可用性

回答

B

解説

多くのフレームワークでリスクは「生じた場合の影響度」と「起こりやすさ（発生可能性）」の積として評価します。脅威や脆弱性は発生可能性側に影響し、コントロールの導入でこの値を低減させます。定量・定性の両手法を使い分けます。

問題17

CVSS基本指標に含まれるものはどれか。
選択肢:
A. 経営影響度
B. 攻撃元区分（ネットワーク等）
C. 年間発生件数
D. 復旧コスト

回答

B

解説

CVSS基本指標（Base Metrics）には攻撃元区分、攻撃条件の複雑さ、必要特権、ユーザ関与、機密性・完全性・可用性への影響などが含まれます。経営影響やコストは環境指標や独自評価で扱われることが多く、基本指標には入りません。

問題18

脅威モデリング手法STRIDEで「E」に該当するものはどれか。
選択肢:
A. Elevation of Privilege
B. Encryption
C. Enumeration
D. Eviction

回答

A

解説

STRIDEはSpoofing、Tampering、Repudiation、Information Disclosure、Denial of Service、Elevation of Privilegeの頭字語です。権限昇格はアプリやOSの境界設計で重要な観点で、入力検証や最小権限、境界の明確化が対策の鍵となります。

問題19

ゼロトラストの基本原則として最も適切なものはどれか。
選択肢:
A. 社内からの通信は全面的に信頼
B. 一度認証すれば永続的に信頼
C. 明示的検証と最小権限、継続的評価
D. 社外からの通信をすべて遮断

回答

C

解説

ゼロトラストは「決して信頼しない、常に検証する」を掲げ、ユーザ・デバイス・コンテキストを継続的に評価し最小権限でアクセスを許可します。境界型防御を前提とせず、マイクロセグメンテーションや強いアイデンティティ基盤と合わせて実装します。

問題20

ネットワークセグメンテーションの目的として適切なものはどれか。
選択肢:
A. ルータ台数の削減
B. 障害発生時の影響局所化と横展開の抑止
C. 電力消費の削減
D. 物理的な配線短縮

回答

B

解説

セグメンテーションはVLANやファイアウォールでネットワークを分割し、侵害時のラテラルムーブメントを抑えます。重要資産への直通経路を制限し、最小限のポリシで相互接続します。可用性や運用面でも障害影響を限定できます。

問題21

DMZに配置するのが一般的なサーバはどれか。
選択肢:
A. 開発用ソース管理サーバ
B. 社内人事情報DB
C. 公開Webサーバ/リバースプロキシ
D. バックアップサーバ

回答

C

解説

DMZは外部公開が必要なサーバを内部ネットワークから隔離して配置する領域です。代表例は公開Webサーバ、メールゲートウェイ、リバースプロキシなどです。社内機密DBやバックアップは内部で厳重に保護し、不要な外部露出を避けます。

問題22

BCP/DRでRTOが示すものはどれか。
選択肢:
A. データの最大損失許容時間
B. 復旧に許容される目標時間
C. 年間停止時間
D. 障害検知時間

回答

B

解説

RTO（Recovery Time Objective）は業務が中断した後、サービスを再開するまでに許容される時間目標です。RPO（Recovery Point Objective）は失ってよいデータの最大時間幅を示します。要件は業務影響分析（BIA）から導出します。

問題23

バックアップ戦略の3-2-1ルールの正しい説明はどれか。
選択肢:
A. 3日ごとに2回、1媒体
B. 3世代を2人で、1室保管
C. 3コピーを2種類の媒体で、1つはオフサイト
D. 3TBを2台で、1台はSSD

回答

C

解説

3-2-1は少なくとも3つのコピーを、2種類以上の異なる媒体に保存し、そのうち1つをオフサイト（またはオフライン/不変）で保管する原則です。ランサムウェアや災害に対するレジリエンスが高まり、復旧成功率を向上させます。

問題24

IAMにおける最小権限の具体化として適切な設計はどれか。
選択肢:
A. すべての管理者権限を付与
B. 役割ごとに必要な操作のみ許可
C. 期限のない一時的権限付与
D. 監査目的で読み書き権限を付与

回答

B

解説

最小権限は役割（ロール）や職務に基づき、必要な操作とリソース範囲だけを許可します。時間制限付きの昇格（JIT/PAM）や承認フロー、定期的な権限レビューを組み合わせると濫用や誤操作のリスクを大きく低減できます。

問題25

OAuth 2.0でサーバ側Webアプリに最も一般的なフローはどれか。
選択肢:
A. Resource Owner Password Credentials
B. Implicit
C. Authorization Code（PKCE推奨）
D. Device Authorization

回答

C

解説

サーバサイドWebアプリではAuthorization Codeフローが標準で、近年はPKCEを併用してコード奪取リスクを抑えます。Implicitはトークン露出の観点で非推奨、ROPCは資格情報を直接扱うためリスクが高く、限定用途に限られます。

問題26

OpenID ConnectのIDトークンに格納される主目的の情報はどれか。
選択肢:
A. リソースへのアクセス権
B. 利用者の認証に関するクレーム
C. 支払い情報
D. サーバの公開鍵

回答

B

解説

IDトークンは認証の結果を表すトークンで、ユーザ識別子（sub）や発行者（iss）、受信者（aud）、有効期限、認証時刻などのクレームを含みます。アクセス権は主にアクセストークンの役割であり、IDトークンとは目的が異なります。

問題27

S/MIMEとOpenPGPの共通点として正しいものはどれか。
選択肢:
A. どちらもX.509を用いない
B. どちらもメールの署名と暗号化を提供
C. どちらも企業内でのみ使用可能
D. どちらもTLSの代替である

回答

B

解説

S/MIMEもOpenPGPもメールコンテンツの署名と暗号化を実現します。S/MIMEはX.509のPKIを用いる一方、OpenPGPはWeb of Trustモデルや独自の鍵配布を採用します。TLSは転送路保護であり、エンドツーエンドの内容保護とは層が異なります。

問題28

SPF/DKIM/DMARCの役割として正しい組合せはどれか。
選択肢:
A. SPFは内容改ざん検出、DKIMは送信元IP認証
B. SPFは送信元IP認証、DKIMは内容署名、DMARCは方針提示
C. SPFは暗号化、DKIMは鍵交換、DMARCはTLS強制
D. すべて同じ機能

回答

B

解説

SPFはドメインが許可する送信IPの宣言、DKIMはメール本文やヘッダの署名で改ざん検出、DMARCはSPF/DKIMの評価方針と報告先を定義します。三者を併用することでなりすまし検出精度を高め、フィッシング対策を強化できます。

問題29

DNSSECの主な目的はどれか。
選択肢:
A. DNSトラフィックの暗号化
B. 応答の真正性検証と改ざん検出
C. 逆引きゾーンの高速化
D. TTLの延長

回答

B

解説

DNSSECは応答にデジタル署名を付与し、受信側が検証することで権威サーバからの応答が改ざんされていないことを保証します。通信の暗号化はDoT/DoHの領域であり、DNSSEC単独では秘匿化はしません。カミンスキー攻撃の緩和に有効です。

問題30

証明書失効確認でオンライン即時性が高い方式はどれか。
選択肢:
A. CRL
B. OCSP
C. CSR
D. HSTS

回答

B

解説

OCSP（Online Certificate Status Protocol）は証明書の失効状態をリアルタイムに照会できます。CRL（失効リスト）は定期配布で即時性に欠けます。CSRは証明書署名要求、HSTSはHTTPSのみの接続を指示するWebのセキュリティ機能です。

問題31

証明書ピンニングの目的として最も適切なものはどれか。
選択肢:
A. 任意のCAを信頼可能にする
B. 特定の公開鍵や証明書に接続先を固定
C. 有効期限を延長する
D. OCSPを不要にする

回答

B

解説

ピンニングは接続先で許容する証明書や公開鍵を限定し、中間者が別の正当なCAで不正証明書を発行しても接続を拒否できる仕組みです。運用にはローテーションや失効時のフォールバック設計が必要で、誤設定は接続障害を招きます。

問題32

タイミング攻撃の説明として最も適切なものはどれか。
選択肢:
A. 時刻同期を妨害する攻撃
B. 処理時間の差から秘密情報を推定
C. 時限式マルウェアの展開
D. 時刻改ざんでログを無効化

回答

B

解説

タイミング攻撃は比較処理や暗号演算の微小な時間差から鍵や一致・不一致情報を推定するサイドチャネル攻撃です。対策として定数時間比較やランダムディレイ、ハードウェア支援の利用が挙げられます。機密操作の時間漏えいを最小化します。

問題33

バッファオーバーフローの一般的対策として適切でないものはどれか。
選択肢:
A. ASLR
B. DEP/実行不可スタック
C. スタックカナリア
D. ポインタ演算の積極使用

回答

D

解説

バッファオーバーフロー対策にはアドレス空間配置のランダム化（ASLR）、実行不可領域（DEP/NX）、スタックカナリア、境界チェックなどがあります。むやみなポインタ演算は境界超過を誘発しやすく、セキュアコーディングの観点で不適切です。

問題34

入力検証の方針として最も望ましいものはどれか。
選択肢:
A. ブラックリスト方式のみ
B. ホワイトリスト方式を基本とする
C. いずれも不要
D. 出力時のみ対策

回答

B

解説

入力検証は許容される形式や範囲を明示するホワイトリスト方式が堅牢です。ブラックリストは抜け道が生じやすく、組み合わせ攻撃に弱い傾向があります。出力エスケープは別層の対策であり、両輪で実装することが重要です。

問題35

モバイルアプリの証明書検証を意図的に無効化すると主に増加するリスクはどれか。
選択肢:
A. 端末のバッテリー消費
B. 中間者攻撃による盗聴・改ざん
C. ストアの審査時間
D. 画面解像度の劣化

回答

B

解説

証明書検証を無効化すると、攻撃者が偽の証明書を用いてTLS通信を傍受し、認証情報や機密データが漏えいする危険が高まります。ピンニングや正しい証明書ストアの利用で、MITMの成立可能性を下げる設計が求められます。

問題36

クラウドの共有責任モデルで、IaaSにおいて利用者が主に責任を負う領域はどれか。
選択肢:
A. 物理データセンタの警備
B. ハイパーバイザの脆弱性修正
C. ゲストOSとアプリ設定・データ保護
D. 光回線の敷設

回答

C

解説

IaaSではクラウド事業者が物理層やハイパーバイザを担当し、利用者はゲストOSのパッチ、ミドル・アプリ設定、ネットワークポリシ、データ暗号化、ID管理などの責任を負います。責任分界を理解し対策の漏れを防ぐことが重要です。

問題37

コンテナセキュリティでビルド時に有効な対策はどれか。
選択肢:
A. 本番でrootユーザ必須化
B. 署名付きベースイメージの利用と脆弱性スキャン
C. すべてのポート開放
D. イメージのサイズを最大化

回答

B

解説

信頼できる署名付きベースイメージを用い、依存関係とOSパッケージの脆弱性をスキャンして最小構成にするのが基本です。実行時は非特権ユーザで動かし、不要ポートや能力を削減します。サイズ膨張は攻撃面の拡大につながります。

問題38

Kubernetesで機密情報を平文でConfigMapに保存した。適切な改善はどれか。
選択肢:
A. そのままでよい
B. Secretを用いKMS/Envelope暗号化を有効化
C. DaemonSetで全ノードに配布
D. NodePortで公開

回答

B

解説

認証情報や鍵はSecretで管理し、etcd上の保存時暗号化（KMS統合）を有効化して保護します。RBACでアクセスを最小化し、監査ログを有効にします。ConfigMapは非機密設定向けであり、平文の機密情報保存は不適切です。

問題39

サプライチェーン攻撃「依存関係混入（Dependency Confusion）」の説明として正しいものはどれか。
選択肢:
A. 公開レジストリに私設と同名パッケージを公開
B. 依存パッケージのサイズを圧縮
C. 署名済みパッケージのみ使用
D. テスト依存を本番から削除

回答

A

解説

組織内で私設レジストリに存在するパッケージ名を、攻撃者が公開レジストリに同名で登録し、解決順序の問題で悪意のコードが取得される手口です。スコープ指定、レジストリ固定、署名検証、バージョン解決ルールの厳格化が有効です。

問題40

SBOM（Software Bill of Materials）の主目的はどれか。
選択肢:
A. ソースコードの暗号化
B. ソフトウェア構成要素の可視化と追跡
C. バイナリの難読化
D. 開発者の匿名化

回答

B

解説

SBOMはソフトウェアが含むライブラリやバージョン、ライセンスなどの一覧で、脆弱性対応やコンプライアンス確認、インシデント時の影響範囲特定を迅速化します。供給網全体での透明性を高め、更新と監査に役立ちます。

問題41

DevSecOpsで「Shift Left」の意味として最も適切なものはどれか。
選択肢:
A. 運用段階でのみ検査
B. 開発の後半で検査を集中
C. 早期段階からセキュリティ検証を組み込む
D. セキュリティを外部委託

回答

C

解説

Shift Leftは要件定義や設計、コミット時など開発初期からSAST、依存性スキャン、IaC検査、セキュリティテストを組み込み、欠陥の早期発見と修正コスト低減を図る考え方です。CI/CDと連携し継続的に品質を保ちます。

問題42

セキュアSDLCのレビューで設計段階に特に適した手法はどれか。
選択肢:
A. ファジング
B. 脅威モデリング
C. 負荷試験
D. バックアップ検証

回答

B

解説

設計段階ではデータフローや境界を明らかにし、STRIDE等で脅威モデリングを行うと効果的です。実装後のテストでは検出が困難な設計上の欠陥を早期に洗い出せます。実行時のファジングや負荷試験は後工程での検証に適します。

問題43

匿名化と仮名化の違いとして正しいものはどれか。
選択肢:
A. 匿名化は元に戻せる、仮名化は戻せない
B. 匿名化は再識別不可能、仮名化は鍵で再識別可能
C. どちらも再識別不可能
D. どちらも個人情報ではない

回答

B

解説

匿名化は再識別が現実的に不可能な状態であり、統計利用などに適します。仮名化（擬似名化）は鍵や付随情報で元の主体に再連結が可能で、アクセス制御や監査の前提で取り扱う必要があります。規制・規格で取扱いが異なります。

問題44

日本の個人情報保護法において、本人からの請求で事業者が対応すべき事項として適切なものはどれか。
選択肢:
A. 無条件の完全削除のみ
B. 利用目的の通知・開示、訂正・利用停止等
C. 暗号鍵の開示
D. 監査ログの公開

回答

B

解説

個人情報保護法では、本人からの求めに応じて利用目的の通知や個人データの開示、訂正・追加・削除、利用停止・第三者提供停止などが定められています。事業者は適切な手続と期限内の対応、本人確認の実施が求められます。

問題45

ソーシャルエンジニアリングで、特定幹部を狙う手口を指す用語はどれか。
選択肢:
A. スミッシング
B. スピアフィッシング
C. ホエーリング
D. ウォーデライビング

回答

C

解説

ホエーリングは経営層など高価値標的に特化したフィッシングです。スピアフィッシングは個別にカスタマイズされた一般的な標的型攻撃、スミッシングはSMS経由、ウォーデライビングは無線LANの実地調査を指します。

問題46

物理セキュリティでテイルゲーティングの説明として正しいものはどれか。
選択肢:
A. 入退室ログの長期保管
B. 認証者に続いて無権限者が侵入
C. 防犯カメラの設置
D. 火災時の避難訓練

回答

B

解説

テイルゲーティングは認証を済ませた社員に密着して無権限者が入室する手口です。対策としてはアンチパスバック、二重扉、有人受付、教育・注意喚起などがあります。単に機器を置くだけでなく、運用と行動の改善が鍵です。

問題47

IoT機器の初期設定で最も優先して行うべき対策はどれか。
選択肢:
A. 既定の管理者パスワードを変更
B. 低速回線の契約
C. 24時間稼働の停止
D. UPnPの有効化

回答

A

解説

既定の資格情報は広く知られ、総当たりやボットネット化の入口になります。初期設定で強固なパスワードや鍵の導入、不要サービスの無効化、自動更新や署名付きファームウェアの利用を行うことが重要です。UPnPは原則無効が望ましいです。

問題48

ブロック暗号モードで、同じ平文ブロックが同じ暗号文になるため推奨されない方式はどれか。
選択肢:
A. ECB
B. CBC
C. CTR
D. GCM

回答

A

解説

ECBは同じブロックに同じ結果が出るためパターンが露出し、画像や規則的データで危険です。CBCやCTR、GCMは初期化ベクトルやカウンタを用いて均一性を崩し、機密性を高めます。現代のプロトコルではGCMのようなAEADが主流です。

問題49

ハッシュ関数の性質として「第二原像困難性」を最もよく表す説明はどれか。
選択肢:
A. 任意の出力に対する入力の発見が困難
B. 二つの異なる入力で同じ出力を見つけるのが困難
C. ある入力に対し同じ出力を与える別入力の発見が困難
D. 出力から元の入力が容易に求まる

回答

C

解説

第二原像困難性は既知の入力xに対し、同じハッシュ値を与える別の入力x’を見つけることが難しい性質です。原像困難性は出力yに対応する任意の入力xの発見が難しいこと、衝突耐性は異なる二入力で同一出力を見つけることが難しい性質です。

問題50

機械学習システムに対する「データ中毒（Poisoning）」攻撃の説明として適切なものはどれか。
選択肢:
A. 推論段階で微小摂動を与える
B. 学習データに悪性サンプルを混入しモデルを劣化
C. モデルを暗号化して秘匿化
D. 乱数初期値の固定

回答

B

解説

データ中毒は学習時に不正なデータを混入させ、決定境界を歪めたりバックドアを埋め込む攻撃です。対策はデータ供給元の検証、異常検知、ロバスト学習、データ完全性の監査などです。推論時の微小摂動は対例攻撃（Adversarial Example）です。

問題51

ランサムウェア感染が判明した初動対応として最も優先すべきものはどれか。
選択肢:
A. 直ちに全端末でフルスキャンを実施
B. 身代金の支払い交渉を開始
C. 影響端末やセグメントのネットワーク隔離
D. 広報発表を即時に行う

回答

C

解説

感染拡大を止めることが最優先です。まずは被害端末や同一セグメントを物理・論理の両面で隔離し、ラテラルムーブメントを防ぎます。証拠保全のため電源断や初期化は避け、通信遮断とイメージ取得の手順に沿って対応します。広報は状況把握後に行います。

問題52

WPA3の特徴として適切なものはどれか。
選択肢:
A. 事前共有鍵のみに依存
B. SAEにより辞書攻撃耐性を強化
C. WEP互換モードを標準化
D. 暗号化は任意

回答

B

解説

WPA3はSAE（Simultaneous Authentication of Equals）を採用し、オフライン辞書攻撃への耐性を高めています。WEP互換は推奨されず、暗号化は前提です。個人向けはWPA3-Personal、企業向けはWPA3-Enterpriseを用い、強固な保護を提供します。

問題53

SSHの公開鍵認証を安全に構成するための正しい手順はどれか。
選択肢:
A. 秘密鍵をサーバのauthorized_keysに登録
B. 公開鍵をクライアントのknown_hostsに登録
C. 公開鍵をサーバのauthorized_keysに登録
D. 秘密鍵を共有フォルダで配布

回答

C

解説

SSHはクライアントが秘密鍵を保持し、対応する公開鍵をサーバ側のauthorized_keysに登録します。秘密鍵は絶対に共有・転送しません。known_hostsはサーバ真正性の検証用で公開鍵認証の登録先ではありません。権限600などの適切なパーミッションも重要です。

問題54

JWTに関する適切な対策はどれか。
選択肢:
A. alg=noneを許可して互換性を確保
B. 受理する署名アルゴリズムを固定し検証を必須化
C. 署名より先にペイロードを信頼
D. 有効期限を無期限に設定

回答

B

解説

JWTは受理側で署名アルゴリズムを厳格に固定し、署名検証に失敗したトークンは拒否します。alg=noneの受理や無期限のトークンは乗っ取りリスクを高めます。発行者・受信者・有効期限・NotBeforeなどのクレームも検証し、スコープ最小化を徹底します。

問題55

SSO導入の主な利点として最も適切なものはどれか。
選択肢:
A. 認証強度は下がるが利便性が上がる
B. 各サービスでパスワードを再利用
C. 認証を一元化し多要素認証やアクセス制御を集中管理
D. 監査は不要になる

回答

C

解説

SSOは認証基盤を統合し、MFAや条件付きアクセス、アカウントライフサイクル管理を集中化できます。パスワード再利用を前提にせず、監査要件もむしろ明確化されます。利便性と統制を両立させ、離脱時の一括無効化も容易です。

問題56

APIのRate Limiting（レート制限）の主目的はどれか。
選択肢:
A. 暗号強度の向上
B. 帯域の恒久拡張
C. 乱用や総当たり・自動化攻撃の抑止
D. レスポンスの暗号化

回答

C

解説

レート制限は一定期間内のリクエスト数を制御し、総当たり、カード検証、スクレイピングなどの乱用を抑止します。IPやトークン単位、エンドポイント別など柔軟に設定し、Burstと平均値の両方で管理します。適切なエラー応答と監査も重要です。

問題57

SSRF対策として最も適切な組合せはどれか。
選択肢:
A. 外部URLを無条件許可
B. メタデータIPやローカルネットへのアクセス遮断、URLのAllowlist化
C. リダイレクトを常時許可
D. User-Agentのみで判定

回答

B

解説

SSRFはサーバ側から内部資源へ不正アクセスを誘発します。169.254.169.254等のメタデータやRFC1918宛を遮断し、解決後IPベースの検証も実施。さらにスキーマやホストのAllowlist、ヘッダ固定、DNS再解決チェックで保護します。

問題58

DNSリバインディング攻撃の説明として正しいものはどれか。
選択肢:
A. DNSを暗号化して盗聴を防ぐ
B. 同一生成元制約を回避するためDNS応答を切替
C. DNSキャッシュを強制的に消去
D. 逆引きが失敗する現象

回答

B

解説

DNSリバインディングは同一生成元制約を悪用するため、短TTLで最初は攻撃者ドメイン、次に内向きIPへ解決を切替えます。ブラウザは同一ドメインと認識し内部Webサービスへアクセスしてしまいます。DNSピンニングやネットワーク制御で緩和します。

問題59

フィッシング訓練の効果測定に適切なKPIはどれか。
選択肢:
A. メール送信総数
B. 開封率のみ
C. クリック率や資格情報入力率の低下
D. 端末台数

回答

C

解説

訓練の目的は行動変容です。クリック率、資格情報入力率、報告率、再受講者の再発率など時系列の改善を追います。単なる開封率や配信数は補助指標に過ぎず、リスク低減に直結しません。改善施策と組み合わせて評価します。

問題60

ハニーポットの主な活用目的はどれか。
選択肢:
A. 本番サービスの可用性向上
B. 攻撃手法の観測と早期検知
C. バックアップの自動化
D. ソースコードの暗号化

回答

B

解説

ハニーポットは意図的に魅力的な偽資産を設置し、攻撃の試行やTTPを観測します。検知の強化やインテリジェンス収集に有効ですが、本番の可用性向上策ではありません。設置場所や露出度を慎重に調整し、隔離を徹底します。

問題61

データ分類（機密・社外秘・公開など）の主目的として適切なものはどれか。
選択肢:
A. 文書の装飾を統一
B. 保護レベルと取り扱い手順を一貫させる
C. ストレージの節約
D. 監査不要化

回答

B

解説

データ分類は重要度に応じた保管、暗号化、共有、破棄などの扱いを明確化し、過剰・過小保護を防ぎます。ラベリング、アクセス制御、送信制御、持出し手順を紐付けることで、日常運用に落とし込みます。監査の基準にもなります。

問題62

SOCにおけるTier1アナリストの主業務として最も適切なものはどれか。
選択肢:
A. 戦略ロードマップの策定
B. アラートのトリアージと初期調査
C. フィールドでの機器交換
D. 暗号アルゴリズムの設計

回答

B

解説

Tier1はSIEMやEDRのアラートを受け、誤検知/真陽性を判定、必要に応じてエスカレーションします。プレイブックに沿い初期封じ込めやチケット化を行い、Tier2/3は深掘り分析や対応計画を担当します。役割分担で対応効率を高めます。

問題63

SOARの導入効果として最も適切なものはどれか。
選択肢:
A. すべての判断を自動化して人員不要
B. 定型的な対応手順の自動化と統合オーケストレーション
C. ネットワーク帯域の増加
D. 暗号鍵管理の代替

回答

B

解説

SOARはインシデント対応の自動化とシステム間連携を担い、反復作業を高速化します。人の判断を排除するのではなく、より重要な分析へ時間を割けるようにします。証跡の自動記録も強化され、再現性と品質が向上します。

問題64

NDR（Network Detection and Response）の説明として正しいものはどれか。
選択肢:
A. 端末振る舞いのみ監視
B. ネットワークトラフィックの可視化と脅威検知・対応
C. 物理障害の復旧支援
D. 暗号化通信の強制遮断のみ

回答

B

解説

NDRはネットワークレベルでの可視化と分析により、ラテラルムーブメントやC2などを検知します。EDRが端末寄りであるのに対し、NDRはトラフィック観点の補完を行います。暗号化通信はメタデータ解析や復号可能域でのミラーリングを活用します。

問題65

EDRの適用効果として適切なものはどれか。
選択肢:
A. 物理侵入検知
B. 端末のプロセス・ファイル操作の監視と隔離
C. ルータ設定の自動化
D. 電源品質監視

回答

B

解説

EDRは端末上の挙動を可視化し、疑わしいプロセスやメモリ操作、持続化の兆候を検知・隔離します。IOC/IOAに基づく対応や遠隔からの調査支援も行えます。ネットワーク機器の設定や物理監視は別領域のツールが担います。

問題66

OT/ICS環境における変更管理で特に優先すべき観点はどれか。
選択肢:
A. 常時最新化の自動パッチ適用
B. 可用性と安全性を確保した計画停止の実施
C. 本番での直接テスト
D. 現場の承認を省略

回答

B

解説

OTは停止が安全や生産に直結するため、検証環境での十分なテストと計画停止が重要です。パッチは互換性を確認し、冗長構成やロールバック計画を整えます。現場承認や手順化を軽視すると、思わぬ事故や停止につながります。

問題67

監査証跡に求められる要件として適切なものはどれか。
選択肢:
A. 可変で編集容易
B. 改ざん検出可能で時刻同期が取れている
C. ログは短期で自動削除
D. 利用者が自由に消去可能

回答

B

解説

監査証跡は完全性と追跡性が重要です。正確なタイムスタンプ（NTP冗長化）と改ざん検出（ハッシュチェーン、WORM、遠隔保存）が求められます。保持期間は規程で定め、自由削除は不可です。アクセス管理と定期検証も必要です。

問題68

クラウドKMSの鍵管理で適切な設定はどれか。
選択肢:
A. すべてのユーザに鍵管理者権限付与
B. 鍵の自動ローテーションとアクセスの最小権限
C. 監査ログを無効化
D. 鍵をアプリに埋め込む

回答

B

解説

KMSは鍵素材の厳格なアクセス制御、ロール分離、ローテーションの自動化が基本です。使用ログは監査に必須で、アプリへ埋め込みは漏えいの温床です。用途別に鍵を分け、暗号ポリシと整合させます。

問題69

mTLSの説明として最も適切なものはどれか。
選択肢:
A. サーバのみ認証
B. クライアントのみ認証
C. サーバ・クライアント双方が証明書で相互認証
D. 暗号化は行わない

回答

C

解説

mTLSは双方向で証明書を提示し合い、双方の真正性を検証します。API間通信やゼロトラストの一要素として有効です。証明書配布と失効管理、ローテーションの自動化が運用上の重要点です。

問題70

HSTSの主な効果はどれか。
選択肢:
A. HTTPを推奨
B. ブラウザにHTTPSのみで接続させダウングレード攻撃を防ぐ
C. 証明書の自動発行
D. ドメイン乗っ取りの防止

回答

B

解説

HSTSは対象ドメインへのアクセスを常にHTTPSへ強制し、初回以降の平文アクセスやダウングレード攻撃を防ぎます。プリロード登録で初回から保護可能です。証明書発行やドメイン保護は別の仕組みです。

問題71

SAMLとOpenID Connectの違いとして適切なものはどれか。
選択肢:
A. どちらも同一仕様
B. SAMLはXML/企業連携中心、OIDCはJSON/モバイル・Web向け
C. SAMLはモバイル特化
D. OIDCは署名を持たない

回答

B

解説

SAMLはXMLベースで企業間フェデレーションに多用され、OIDCはOAuth2上でJSON/JWTを用いWeb・モバイルに適します。どちらも署名・検証を伴います。要件に応じて使い分けます。

問題72

クラウド共有責任モデルでSaaSの利用者が主に担うべき事項はどれか。
選択肢:
A. データセンタの物理警備
B. アプリケーションコードの修正
C. ID管理、アクセス権、データ分類と設定
D. ハイパーバイザの更新

回答

C

解説

SaaSでは基盤とアプリは提供側が責任を持ちますが、利用者はID・権限、データ取扱い、構成の安全性（例えば共有設定、転送制御）を適切に管理します。誤設定は漏えいの主要因です。

問題73

パッチ適用の優先順位付けで重要な判断材料はどれか。
選択肢:
A. パッチサイズ
B. 公開からの経過日数のみ
C. 露出状況、悪用有無、CVSSとビジネス影響
D. ベンダ名

回答

C

解説

優先度は外部公開か、特権要件、既知のエクスプロイト有無、回避策の可否、影響資産の重要度などを総合評価します。単純な日数やサイズでは妥当性を欠きます。変更管理と検証を経て迅速に適用します。

問題74

リスク対応の類型として適切な組合せはどれか。
選択肢:
A. 吸収・拡散・放置
B. 低減・回避・移転・受容
C. 暗号・複製・監視
D. 遅延・先送り・停止

回答

B

解説

一般的にリスク対応は低減（コントロール導入）、回避（活動停止/変更）、移転（保険・契約）、受容（残余リスクの明確化）に分類されます。選択肢はBIAやリスク許容度と整合させて決定します。

問題75

DLPの主たる目的として適切なものはどれか。
選択肢:
A. 侵入防止のみ
B. 機密情報の不適切な持出し・送信の検知と抑止
C. パフォーマンス向上
D. アプリの自動配布

回答

B

解説

DLPは機密ラベルやパターン（番号、キーワード）、コンテキストに基づき、メール添付や外部アップロード、印刷などの行為を検出・遮断します。教育とポリシの周知を伴うことで、誤送信や意図的持出しのリスクを低減します。

問題76

ウォータリングホール攻撃の説明として正しいものはどれか。
選択肢:
A. 標的に無関係なサイトへ誘導
B. 標的がよく利用するサイトを改ざんしマルウェア配布
C. 物理侵入のみ
D. メール添付限定の攻撃

回答

B

解説

攻撃者は標的集団が訪れるサイトを特定し、そのサイトにエクスプロイトを埋め込みます。訪問者は信頼サイトだと考え防御が薄くなるため効果的です。脆弱性管理、ブラウザの隔離、コンテンツ検査が対策となります。

問題77

マクロ型マルウェア対策として優先すべき方針はどれか。
選択肢:
A. すべてのマクロを常時許可
B. 署名付き・信頼済みのみ許可し既定は無効
C. 受信者の判断に任せる
D. パスワード付Zipで回避

回答

B

解説

マクロは既定無効とし、信頼済み送信者や署名付きのみ例外許可とします。メールゲートウェイでの検査や保護ビュー、クラウドサンドボックスも有効です。パスワード付Zipは検査を回避し逆効果になり得ます。

問題78

OAuth 2.0利用時の最小権限化で適切な設計はどれか。
選択肢:
A. 広範なスコープを常時付与
B. 必要時のみ限定スコープと短寿命トークン
C. 期限無期限のリフレッシュトークン
D. スコープ未使用

回答

B

解説

スコープは最小限に限定し、トークンは短寿命で回転させます。高感度操作は再認証や段階的同意を要求します。リフレッシュトークンも利用条件を制限し、漏えい時の影響を最小化します。

問題79

BCPの演習として机上演習（Tabletop）を行う主な目的はどれか。
選択肢:
A. 実機を用いた性能測定
B. 災害時の役割・連絡・意思決定プロセスを確認
C. バックアップ容量の増加
D. 建物の耐震診断

回答

B

解説

机上演習は想定シナリオに基づき、関係者が手順の整合、連絡網、意思決定の迅速性を検証する場です。実機試験ではないため低コストに改善点を洗い出せます。定期実施とアクションの追跡が重要です。

問題80

時刻同期のセキュリティで適切な設計はどれか。
選択肢:
A. 単一点の外部NTPに依存
B. 署名付きNTPや複数階層で冗長化
C. 端末ごとに任意のNTPを設定
D. 時刻同期を無効化

回答

B

解説

ログ相関や証拠能力には正確な時刻が不可欠です。複数の上位NTPに冗長化し、内部NTPを設けて外部露出を減らします。可能なら認証付きNTPを用いて改ざんを防ぎます。単一点依存は単一障害点を生みます。

問題81

DB監査で優先的に対象とすべき操作はどれか。
選択肢:
A. すべてのSELECTのみ
B. 権限変更、スキーマ変更、機微データアクセス
C. バックアップ開始の記録を除外
D. 管理者操作を除外

回答

B

解説

機微データの参照・更新、権限変更、DDL、認証失敗、バックアップ/復元などは優先監査対象です。特に特権アカウントの操作は重点監視します。フィルタで過剰ログを避けつつ、改ざん耐性のある保管を行います。

問題82

ソース管理で秘密情報の混入を防ぐ適切な対策はどれか。
選択肢:
A. 平文で環境変数を共有
B. .gitignoreでバイナリのみ除外
C. シークレットスキャナとプリコミットフックの導入
D. 監査のみ年1回実施

回答

C

解説

API鍵や証明書の誤コミットを防ぐには、プリコミット段階で検出する仕組みと中央でのスキャンを併用します。秘密はボールトやKMSで管理し、環境変数も配布経路を保護します。発見時は失効と履歴の再書換えを実施します。

問題83

サイドチャネル攻撃の一種である電力解析への対策として適切なものはどれか。
選択肢:
A. 乱数未使用
B. 実装のマスキングやブラインディング
C. 平文鍵のハードコード
D. デバッグポート常時有効

回答

B

解説

電力・時間などの漏えいを減らすには、演算のランダム化（マスキング、ブラインディング）、一定時間化、ノイズ付与が有効です。物理的タンパ耐性やデバッグ無効化も併用します。鍵の露出は致命的です。

問題84

フィッシング対策でURLのPunycodeに関する正しい扱いはどれか。
選択肢:
A. 常に表示名だけで判断
B. Punycode表示や混在スクリプト検出で警告
C. すべてのUnicodeドメインを禁止
D. ブラウザ設定は無関係

回答

B

解説

見た目が似た文字で別ドメインを偽装する手口があり、ブラウザのPunycode表示や混在スクリプトの検出が有効です。ゲートウェイでのURLリライトや教育、メールでのリンクホバー確認も併用します。表示名のみの判断は危険です。

問題85

クラウドストレージの誤公開を防ぐ設計として適切なものはどれか。
選択肢:
A. バケットは既定で公開
B. IaCとポリシーasコードで違反設定をブロック
C. アクセスログは不要
D. 監査は手動のみ

回答

B

解説

セキュリティ境界はコード化し、バケットの公開設定や暗号化未設定などの違反をCIで検出・拒否します。継続的コンプライアンスとアクセスログの有効化により、逸脱を早期に特定し是正します。

問題86

ログに個人情報が含まれる場合の適切な対処はどれか。
選択肢:
A. 生データを全期間保存
B. マスキングやトークナイゼーションを行い最小限保持
C. 収集目的を未定義のまま保存
D. 認可なしに社外共有

回答

B

解説

目的限定・最小化の原則に従い、直接識別子はマスキングやトークン化で保護します。保持期間とアクセス権限を明確にし、必要時のみ復号・再結合します。社外共有は契約・同意に基づき管理します。

問題87

セッション固定攻撃の対策として適切なものはどれか。
選択肢:
A. ログイン前後でセッションIDを維持
B. ログイン成功時に新しいセッションIDを再発行
C. セッションIDをURLに常時付与
D. 有効期限を極端に延長

回答

B

解説

ログイン成功時にセッションIDを再生成し、攻撃者が事前に設定したIDを利用できないようにします。IDはクッキーで安全に保持し、Secure/HttpOnly/SameSiteを適切に設定します。URL付与は漏えいリスクを高めます。

問題88

CORS設定のベストプラクティスとして適切なものはどれか。
選択肢:
A. Originをに固定して許可
B. 必要なOriginをAllowlistで明示し認証時はを使わない
C. すべてのメソッド・ヘッダを許可
D. プリフライトを無効化

回答

B

解説

認証付きリクエストではワイルドカードを使わず、必要なOriginのみ許可します。許可メソッドやヘッダも最小化し、資格情報の許可は慎重に設定します。プリフライトは安全確保に必要な仕組みです。

問題89

NoSQLインジェクション対策として適切なものはどれか。
選択肢:
A. クエリを文字列連結
B. 型とスキーマの厳格バリデーション
C. ユーザ入力をBase64化
D. DBを匿名公開

回答

B

解説

NoSQLでも入力値の型や演算子を厳格に検証し、パラメータ化やODM/ORMの安全なAPIを用います。危険な演算子の除外、最小権限、監査ログの有効化も重要です。エンコードのみでは防げません。

問題90

PBKDF2を用いたパスワード保存で重要な設定はどれか。
選択肢:
A. 繰り返し回数を最小
B. ソルトを固定
C. 十分な繰り返し回数とユーザ固有ソルト
D. ソルト不要

回答

C

解説

PBKDF2は反復回数を十分に設定し、ユーザごとにランダムソルトを付与して計算コストを高めます。ハードウェア進歩に合わせた見直しも必要です。固定ソルトや低反復は攻撃に弱くなります。

問題91

企業合併時のID統合で優先すべき事項はどれか。
選択肢:
A. すべての権限を最大化
B. 一時的に両方のアカウントを放置
C. プロビジョニングの一元化と重複アカウントの統合計画
D. 監査ログを停止

回答

C

解説

ディレクトリ連携やフェデレーションでアカウントを統合し、重複・休眠の棚卸しを行います。権限はロールに基づき再設計し、移行中は監査を強化します。放置や権限過多はリスクを増大させます。

問題92

テレワーク端末の基本的なセキュリティ対策として適切な組合せはどれか。
選択肢:
A. 公開Wi-Fiでの管理コンソール操作推奨
B. EDRの導入と全ディスク暗号化
C. パスコード不要
D. 自動更新の無効化

回答

B

解説

端末の盗難・紛失時の保護にはフルディスク暗号化が有効で、EDRにより侵害検知と隔離が可能です。自動更新やVPN、MFAと併用して全体の防御力を高めます。公共Wi-Fiでの管理操作は避けます。

問題93

メール誤送信対策として効果的なものはどれか。
選択肢:
A. 宛先自動補完を最大化
B. 送信遅延・上長承認・DLPの組合せ
C. シグネチャの装飾強化
D. 添付ファイルを常に圧縮

回答

B

解説

高リスク宛先への送信は遅延キューや上長承認を導入し、DLPで機微情報の検出・遮断を行います。外部宛先の警告表示、宛先分割、再暗号化も有効です。見た目の装飾は効果に乏しいです。

問題94

内部監査の独立性を確保するための原則として適切なものはどれか。
選択肢:
A. 被監査部門が監査計画を決定
B. 監査人が被監査業務を日常運用
C. 組織上の独立と職務分離を確保
D. 監査範囲を限定しない

回答

C

解説

内部監査は組織上の独立性を持ち、被監査部門からの影響を受けない体制が必要です。職務分離により自己監査を避け、リスクベースで計画を立案します。是正状況のフォローアップも重要です。

問題95

オブジェクトの反序列化脆弱性への対策として適切なものはどれか。
選択肢:
A. 任意の型を受け入れる
B. 受信データを信頼して実行
C. 許可された型のホワイトリストと署名検証
D. 旧来形式のみ許可

回答

C

解説

反序列化は任意コード実行やリモート攻撃につながります。安全なフォーマットへの移行、型のホワイトリスト、署名やMACで完全性を検証します。不明な型は拒否し、危険なコールバックを無効化します。

問題96

パスワードポリシの設計として適切なものはどれか。
選択肢:
A. 複雑性のみ重視し短い長さ
B. 長さ重視と既知漏えいパスの拒否
C. 変更頻度を極端に高く設定
D. 共有アカウントを推奨

回答

B

解説

現在は長さを優先し、辞書・漏えいリストと照合して拒否する方針が推奨されています。過度な頻繁変更は使い回しやメモリスクを高めます。MFAと組み合わせ、ロックアウトやリスクベース認証を導入します。

問題97

秘密分散（Shamirなど）の適切な利用場面はどれか。
選択肢:
A. 画像圧縮
B. マスター鍵の分割保管と復元
C. 通信速度の向上
D. バックアップ圧縮

回答

B

解説

秘密分散は閾値kで復元可能な形に鍵を分割し、単独では情報を持たない複数者で保管します。内部不正や単一障害点を減らし、復元には合意が必要になります。鍵管理ポリシと組み合わせて運用します。

問題98

TPMの主な利用目的として適切なものはどれか。
選択肢:
A. ディスプレイ解像度の改善
B. ディスク暗号化鍵の安全な保管と測定起動
C. ネットワーク帯域の増加
D. 電源管理

回答

B

解説

TPMはセキュアな鍵保管、プラットフォーム状態の測定（PCR）と測定起動（Measured/Verified Boot）に用いられます。BitLocker等のフルディスク暗号化で鍵を保護し、改ざん検出に寄与します。

問題99

SFTPとFTPSの違いとして正しいものはどれか。
選択肢:
A. どちらもHTTPベース
B. SFTPはSSH、FTPSはTLSで保護
C. 両者とも暗号化無し
D. SFTPはFTPの拡張でポート共有

回答

B

解説

SFTPはSSHプロトコルに基づくファイル転送で単一ポート運用、FTPSはFTPにTLSを組み合わせます。ファイアウォール設定や互換性を考慮し、要件に合う方式を選びます。どちらも暗号化を提供します。

問題100

Webhookのセキュリティ対策として適切なものはどれか。
選択肢:
A. 受信した内容をそのまま実行
B. 送信元署名の検証やIP許可リスト、再送対策
C. すべての外部から許可
D. 認証不要

回答

B

解説

Webhookは外部からの呼び出しを受けるため、共有秘密や公開鍵で署名検証を行い、許可IPの制限、リプレイ防止（タイムスタンプ・Nonce）を実装します。タイムアウトや再送の冪等性設計、入力検証も不可欠です。