情報セキュリティマネジメント試験とは?傾向は?過去問は役に立つ?AIに予想問題を作らせてみた
情報セキュリティマネジメント(通称:SG)は、情報処理技術者試験の一つで、組織の情報セキュリティを確保・維持するための基本的な知識と実践的なスキルを証明する国家資格です。この試験は、ITを専門とする人だけでなく、営業、人事、経理など、あらゆる職種の方を対象としています。
この資格を持つ人は、情報セキュリティの専門家(情報処理安全確保支援士など)と協力しながら、情報セキュリティポリシーの策定や、従業員へのセキュリティ教育、日常的なセキュリティ運用の管理など、組織全体の情報セキュリティレベルを向上させるための重要な役割を担うことが期待されます。
具体的には、情報セキュリティの三大要素である「機密性」「完全性」「可用性」を確保するための知識や、リスク分析、インシデント発生時の対応、そして法令遵守に関する知識などが問われます。この資格は、ITセキュリティの「管理者」としての基礎力を証明できるのが大きな特徴です。
試験の難易度と合格率について
情報処理技術者試験の中では、比較的挑戦しやすい試験として位置づけられています。合格率は、年によって変動しますが、おおよそ50%から60%前後で推移しています。この数字からも、しっかりと学習すれば合格できる可能性が高いことがお分かりいただけるかと思います。
試験の出題傾向はどのように変わってきていますか?
情報セキュリティマネジメント試験は、2023年4月に大幅な試験制度の変更がありました。これまでの午前・午後の二部構成から、科目A・科目Bの二部構成に変わり、通年で受験できるCBT方式(コンピュータでの受験)に移行しました。 この変更は、近年のセキュリティ脅威の多様化をより反映し、実践的なスキルを重視する意図があります。
科目Aの傾向
科目Aは、これまでの午前問題に相当する内容で、情報セキュリティに関する基礎知識が問われます。
- 出題分野: 情報セキュリティ、ネットワーク、データベース、法務、経営管理、技術要素など、幅広い分野から出題されます。
- 出題形式: 四肢択一形式で、知識を問う問題が中心です。
- 傾向: 旧試験から大きな変更はありませんが、クラウドセキュリティや、サプライチェーンにおけるセキュリティリスク、そしてデジタル社会における法務知識など、新しいトレンドに関する問題が増えています。
科目Bの傾向
科目Bは、これまでの午後問題に相当する内容ですが、出題形式が大きく変更されました。
- 出題分野: 情報セキュリティマネジメントの実践的な内容に特化しています。情報セキュリティポリシーの策定、リスク分析、インシデント対応、法令遵守など、管理者としての判断力が問われます。
- 出題形式: 複数選択式や、空欄補充形式で、与えられた事例を読み解き、適切な対策や判断を論理的に回答する能力が問われます。
- 傾向: これまでの長文記述式ではなく、より短時間で多くの問題を解く形式に変わりました。これにより、単なる知識だけでなく、多様なケースに対応できる実践的な判断力が問われるようになりました。
科目Bは、単に知識を問うだけでなく、問題解決能力や論理的思考力を試す内容に変わったため、過去問を解く際も、新しい出題形式に合わせた対策が必要です。
過去問は試験対策に役立ちますか?
過去問は情報セキュリティマネジメント試験の対策において、非常に重要な役割を果たします。特に、新しい試験制度になったことで、過去問の活用方法にも少し工夫が必要になりました。
旧試験の過去問の活用法
- 午前問題: 旧試験の午前問題は、現在の科目Aの対策にそのまま活用できます。特に、情報セキュリティ、ネットワーク、法務といった頻出分野を見つけるために、多くの過去問を解くことが有効です。
- 午後問題: 旧試験の午後問題は、現在の科目Bとは出題形式が異なりますが、「問題解決の考え方」や「情報セキュリティマネジメントのプロセス」を学ぶ上で非常に役立ちます。事例を読み解き、どこにリスクがあるのか、どのような対策が考えられるのかを考える練習になります。
新試験(科目A・科目B)の過去問の活用法
- 科目A: 過去に実施された科目Aの試験問題は、そのまま本番の練習として活用できます。
- 科目B: 新しい試験制度になってから公開された過去問は、現在の試験形式に最も近いので、これを徹底的に解くことが最も重要です。短時間で多くの問題に対応する練習を重ねましょう。
過去問を解く際は、「なぜその答えになるのか」を深く考察し、解説をしっかり読み込むことが大切です。また、時間配分の感覚を養うためにも、本番と同じように時間を測って解く練習をすることをおすすめします。
効果的な学習対策はありますか?
情報セキュリティマネジメント試験に合格するためには、計画的で効率的な学習が不可欠です。以下に、おすすめの学習方法をいくつかご紹介しますね。
1. 科目A対策の進め方
- 基礎知識のインプット: 市販の参考書を使って、情報セキュリティの三大要素、リスクマネジメント、法務、技術要素などを体系的に学習しましょう。特に、情報セキュリティの専門用語は、単語だけでなく、その背景にある考え方まで理解することが大切です。
- 過去問の反復演習: 過去問や予想問題集を繰り返し解くことで、知識を定着させます。間違えた問題は、解説を読み、なぜ間違えたのかを理解することが重要です。
2. 科目B対策の進め方
- 事例問題の読み解き練習: 科目Bは、事例を読み解く力が問われます。まずは、問題文に書かれている組織の状況や課題、そして登場人物の役割を正確に把握する練習を重ねましょう。
- 情報セキュリティマネジメントのプロセス学習: 「リスク分析→対策立案→実施→評価」という情報セキュリティマネジメントの基本的なサイクルを理解しておくことが、事例問題を解く上で非常に重要です。
- 実践演習: 科目Bの過去問を解く際は、「この状況で、管理者はどのような判断を下すべきか?」という視点を持って取り組むと、より実践的な力が身につきます。
3. 専門用語を分かりやすく理解する
この試験には多くの専門用語が出てきます。例えば、「ISMS」や「ファイアウォール」、「マルウェア」、「フィッシング」などです。これらの用語をただ覚えるだけでなく、どのような仕組みで、何のために使われているのかを、身近な例え話などを交えて理解すると、記憶に残りやすくなります。
例えば、「フィッシング」は、「偽の情報を使い、相手をだまして大切な情報を盗む」という手法です。これは、魚釣り(フィッシング)のように、餌(偽のメールなど)を使って、相手を騙し、情報を釣り上げるというイメージです。このように、専門用語を自分の言葉で説明できるようになることが、深い理解につながります。
どのような仕事に役立ちますか?
情報セキュリティマネジメント試験の資格は、IT業界だけでなく、あらゆる業界・職種であなたのスキルを証明し、キャリアアップに繋がります。
1. IT部門や情報システム部門の担当者
組織の情報セキュリティポリシーを策定したり、従業員へのセキュリティ教育を行ったり、日々のセキュリティ運用を管理したりする上で、この資格で得られる知識は必須となります。
2. プロジェクトマネージャ/プロジェクトリーダー
新しいシステム開発プロジェクトを立ち上げる際、最初からセキュリティを考慮した計画を立てることは非常に重要です。この資格を持つことで、セキュリティリスクを適切に評価し、プロジェクトの成功確率を高めることができます。
3. 企業の経営企画部門/総務部門
全社的な情報セキュリティ対策を推進したり、新しい法改正に対応したりする上で、この資格で得られる知識は非常に役立ちます。組織全体のセキュリティレベルを向上させるための中心的な役割を担うことができます。
4. あらゆる職種のビジネスパーソン
営業、人事、経理など、ITを専門としない職種でも、顧客情報や機密情報を扱う機会は多いですよね。この資格を持つことで、セキュリティリスクを理解し、適切な情報管理ができるようになり、企業全体のセキュリティ意識を高めることができます。
転職時には有利になりますか?
情報セキュリティマネジメント試験の資格は、転職活動において非常に有利に働きます。特に、情報セキュリティへの意識が高い企業や、ITコンサルティングファーム、事業会社の情報システム部門への転職を考えている方にとっては、大きな武器となります。
1. 意欲と基礎力の証明
履歴書にこの資格を記載することで、「情報セキュリティに関する基礎を体系的に学び、実践的なスキルを身につけようという意欲がある」ことを、採用担当者に明確にアピールできます。情報セキュリティへの意識が高い企業では、この点が非常に高く評価されます。
2. 企業からの高い需要
近年、サイバー攻撃の増加により、多くの企業が情報セキュリティ対策に力を入れています。そのため、情報セキュリティに関する知識を持つ人材に対する需要は非常に高く、この資格を持つ人材は、多くの企業で求められています。
3. 信頼性の向上
この資格は、国が認定する国家資格であるため、その信頼性は非常に高いです。お客様や取引先に対しても、あなたの情報セキュリティに関する基礎知識を証明することができ、ビジネスの場で有利に働くことがあります。
AIに奪われる可能性は?これからも必要とされますか?
「AIが発展したら、セキュリティ管理の仕事もAIに取って代わられるのでは?」というご不安は、多くの方がお持ちだと思います。結論から申し上げますと、情報セキュリティマネジメントの専門家は、これからも必要とされ続ける可能性が非常に高いです。むしろ、AIの進化によって、その役割はより重要になっていくと私は考えています。
AIと情報セキュリティマネジメントの関係
たしかに、AIは膨大なデータを高速で分析し、マルウェアのパターンを検出したり、不正アクセスを自動で検知したりする能力に長けています。すでに多くのセキュリティ製品にAIが活用されており、定型的なセキュリティ監視業務の一部はAIが担うようになっていくでしょう。
しかし、情報セキュリティマネジメントが担う仕事は、単にパターンを検出するだけではありません。
- 総合的なリスク判断と戦略: AIは、企業のビジネス目標や、組織文化、そして法令遵守といった複雑な要素を総合的に考慮した上で、最適なセキュリティ戦略を立案することは難しいです。
- 従業員への啓発と教育: セキュリティ対策は、技術的な側面だけでなく、従業員一人ひとりの意識改革も非常に重要です。AIが社員の心に響くようなセキュリティ教育を行ったり、組織全体を巻き込んでセキュリティ意識を高めたりすることは、現時点では困難です。
- 未知の脅威への対応と法令遵守: AIは、過去のデータから学習するため、まだ見ぬ新しいタイプのサイバー攻撃に対しては、人間の臨機応変な対応や、法務部門と連携した判断が不可欠です。
これからの情報セキュリティマネジメントの役割
AIの進化は、情報セキュリティマネジメントの仕事を奪うのではなく、むしろ、より高度で戦略的な業務に集中できる環境を整えてくれるものと捉えるべきです。
これからの情報セキュリティマネジメントの専門家は、AIを「ツール」として使いこなしながら、以下のような役割を担っていくことになります。
- AIを活用したセキュリティ監視の設計者: AIが効率的にセキュリティ監視を行えるよう、その仕組みを設計・構築する専門家が求められます。
- AIが生成したリスク分析結果の評価者: AIが分析した膨大なリスク情報の中から、本当に対応すべき重要なリスクを判断し、経営層に報告する役割です。
- 組織全体のセキュリティ文化を醸成するリーダー: 経営層と現場をつなぎ、AIを効果的に活用するための組織変革や、従業員へのセキュリティ教育を主導する役割です。
このように、AIが進化すればするほど、その技術を深く理解し、適切に活用し、そして複雑なビジネス課題を解決できる、情報セキュリティマネジメントの専門家の価値は、ますます高まっていくと私は考えています。
情報のまとめと次に進むためのアドバイス
情報セキュリティマネジメント試験について、幅広くご説明してまいりました。最後に、これまでの内容を整理し、あなたがこれからの一歩を踏み出すためのアドバイスをお伝えしますね。
この記事の主要なポイント
- 情報セキュリティマネジメントとは: 組織の情報セキュリティを管理・運用する「管理者」としての基礎力を証明する国家資格です。
- 試験の傾向: 2023年4月に試験制度が変更され、より実践的なスキルやマネジメント力が問われるようになりました。
- 過去問の活用: 新旧両方の過去問を活用することで、知識の定着と実践的な判断力の両方を鍛えることができます。
- キャリアへのメリット: 意欲と基礎力の証明、転職での優位性、そしてあらゆる職種での活躍が期待できます。
- AIとの未来: AIはツールであり、情報セキュリティマネジメントで得られる知識は、AIを使いこなす上で不可欠なものとなり、これからも必要とされる存在であり続けます。
もし、あなたがこの資格に少しでも興味を持たれたのでしたら、まずは情報処理推進機構(IPA)の公式サイトで、新しい試験制度の概要や、サンプル問題をご覧になってみてください。特に科目Bの事例問題に目を通すだけでも、「どのような問題が問われるのだな」という具体的なイメージが掴めるかと思います。
情報セキュリティマネジメント試験・予想問題(AI作成)
問題1
情報セキュリティの基本特性CIAのうち、業務継続の観点で「必要なときに使えること」を最も直接的に表すものはどれか。
A. 機密性 B. 完全性 C. 可用性 D. 責任追跡性
回答
C
解説
可用性はシステムや情報資産が必要なときに利用可能である特性を指す。障害・災害・攻撃時にもサービスを継続できる設計、冗長化、監視、バックアップ、復旧計画などが対策の中心となる。
問題2
パスワード運用の方針として最も適切なものはどれか。
A. 期限を短くし強制変更を毎月行う B. 使い回しを避け、MFAを併用する C. 管理者が代行保管する D. 辞書にある単語を推奨する
回答
B
解説
現在は「頻繁な強制変更」よりも「強固なパスフレーズ+使い回し防止+多要素認証併用」が推奨。管理者の一括保管は単一障害点となり不適切で、辞書単語は総当たりや辞書攻撃に弱い。
問題3
メールで請求書の差し替えを装い、振込先を攻撃者口座に誘導する手口はどれか。
A. スミッシング B. BEC C. ワテリングホール D. ドライブバイダウンロード
回答
B
解説
BEC(Business Email Compromise)は取引先や経営者になりすまし、支払い口座変更や送金を誘導する詐欺。メールの正当性検証、送金前の複線確認、DMARC等の導入、教育が有効対策となる。
問題4
Webアプリの入力を適切にエスケープせず、ユーザのブラウザでスクリプトが実行される脆弱性はどれか。
A. SQLインジェクション B. XSS C. CSRF D. クリックジャッキング
回答
B
解説
XSSは信頼されたサイトに悪意あるスクリプトが混入し、ユーザのブラウザで実行される。出力エスケープ、コンテキスト別対策、CSP導入、入力検証、HttpOnly属性などの多層防御が有効。
問題5
インシデント発生直後の初動として最も優先すべき行動はどれか。
A. すぐに機器を廃棄する B. 記者発表を行う C. 影響範囲の特定と封じ込め D. 全端末の電源を落とす
回答
C
解説
初動は被害拡大防止が最優先。ログ取得・影響範囲特定・隔離などで封じ込める。証拠保全や関係者連絡は計画に基づき順序立てて行う。無差別な電源断や廃棄は証拠喪失や業務停止を招く。
問題6
暗号化で「同一平文が同一暗号文になりにくい」よう初期化ベクトルを用いるモードはどれか。
A. ECB B. CBC C. SHA-256 D. RSA
回答
B
解説
CBCはブロック暗号の連鎖化に初期化ベクトルを用い、同じ平文ブロックでも異なる暗号文になる。ECBはパターンが残るため機密性が低い。SHA-256はハッシュ、RSAは公開鍵暗号で別用途。
問題7
個人情報保護法における「要配慮個人情報」に該当する例として最も適切なものはどれか。
A. 住所 B. メールアドレス C. 人種・信条 D. 役職名
回答
C
解説
要配慮個人情報は差別や不利益が生じ得る情報で、人種、信条、医療・健康情報、犯罪被害歴などが含まれる。取得時は原則本人同意が必要で、通常の個人情報より厳格な取り扱いが求められる。
問題8
ISMSのPDCAで、内部監査の位置付けとして最も適切な段階はどれか。
A. Plan B. Do C. Check D. Act
回答
C
解説
内部監査はISMSの運用状況や適合性を評価し改善点を明らかにする活動で、PDCAではCheckに該当。結果はマネジメントレビューを通じてActに反映され、継続的改善につながる。
問題9
在宅勤務端末から社内へ安全に接続する一般的な方式はどれか。
A. NAT B. VPN C. WOL D. CDN
回答
B
解説
VPNは暗号化トンネルで拠点外から社内資源に安全接続する仕組み。NATはアドレス変換、WOLは遠隔起動、CDNは配信最適化であり、機密通信の保護には直接的ではない。
問題10
バックアップ方針として「毎日差分、週1回フル」を採用する目的として適切なものはどれか。
A. 復旧時間の最長化 B. 保存容量の削減と復旧容易性の両立 C. 暗号化不要化 D. バックアップ停止
回答
B
解説
週1フル+日次差分は、保存容量を抑えつつ復旧時の連結が少なく手順が簡素。増分方式よりリストアが容易な一方、差分バックアップサイズは週末に向けて増えやすい点を考慮する。
問題11
「最小権限の原則」の説明として最も適切なものはどれか。
A. すべての権限を付与し迅速化 B. 必要最小限の権限のみ付与 C. 一時的権限は付与しない D. 監査ログを削除
回答
B
解説
最小権限の原則は、業務遂行に必要な最小のアクセス権のみを与える設計思想。誤操作や内部不正、マルウェア感染時の被害範囲を抑える。職務分掌やJIT権限付与と併用すると効果が高い。
問題12
脅威、脆弱性、資産の関係として正しいものはどれか。
A. 脅威=脆弱性 B. 脅威×脆弱性×影響でリスク C. 資産=影響 D. 脆弱性は外部要因
回答
B
解説
一般にリスクは「脅威が脆弱性を突いた際の可能性と影響」により評価する。資産は価値のある対象、脆弱性は内在する弱点、脅威は外部・内部の悪影響要因であり、性質が異なる概念である。
問題13
Webサーバ前段でHTTP要求を解析し、アプリ脆弱性攻撃を遮断する機器はどれか。
A. L3スイッチ B. WAF C. IDS D. ルータ
回答
B
解説
WAFはWebアプリ層のリクエストを解析し、SQLiやXSSなど特有の攻撃を遮断する。IDSは検知中心、IPSは遮断機能も持つが、WAFはアプリケーション特化でサーバ保護に有効。
問題14
電子署名の主目的として最も適切なものはどれか。
A. 機密性の確保 B. 可用性の向上 C. 改ざん検知と本人性の証明 D. 圧縮率の向上
回答
C
解説
電子署名は送信者の秘密鍵で署名し、受信者が公開鍵で検証することで、改ざんされていないことと署名者が誰かを確認できる。暗号化は別機能であり、署名のみでは機密性は得られない。
問題15
ログ管理の基本として適切でないものはどれか。
A. 時刻同期 B. 改ざん防止 C. 必要最小限の取得 D. 誰でも閲覧可
回答
D
解説
ログは機密性も持つためアクセス制御が必要。時刻同期(NTP)は相関分析や証跡の信頼に必須。改ざん防止のための保全やWORM保管、目的に応じた最小限+十分な粒度の取得が求められる。
問題16
クラウド責任共有モデルで、IaaSにおける「OSのパッチ適用」責任主体は誰か。
A. クラウド事業者 B. 利用者 C. 規制当局 D. 通信事業者
回答
B
解説
IaaSでは物理層やハイパーバイザは事業者だが、OS・ミドルウェア・アプリ設定やパッチ適用は利用者の責任。SaaSではアプリ層まで事業者が担い、PaaSはOS含め事業者が多くを担う。
問題17
DevSecOpsで「シフトレフト」の説明として適切なものはどれか。
A. 運用に問題を先送り B. 開発後にまとめて脆弱性対応 C. 早期段階からセキュリティ検証を組み込む D. 左利き対応
回答
C
解説
シフトレフトは要件定義・設計・実装の早期からセキュリティ検証や静的解析、依存関係スキャンを組み込み、後工程での手戻りやコストを削減する考え方。自動化とパイプライン連携が鍵。
問題18
フィッシング対策としてユーザ教育で特に強調すべきポイントはどれか。
A. 画像が鮮明なら安全 B. 送信元表示名のみ確認 C. URLの正当性と不審時の報告手順 D. 迷惑メールは必ず開封
回答
C
解説
偽装は表示名やロゴでも可能。リンク先ドメインや証明書、文面の不自然さに注意し、不審メールは添付やリンクを開かず所定の連絡経路で報告する手順を徹底することが重要。
問題19
無線LANの安全な構成として適切なものはどれか。
A. 暗号なしのゲスト開放 B. WEP採用 C. WPA3と強固な認証の利用 D. SSID非公開のみで対応
回答
C
解説
WPA3は現行推奨の暗号化方式。WEPは脆弱で不適切。SSID非公開は隠ぺいであり安全対策とはならない。ゲスト開放時は分離、帯域制御、利用規約提示なども含めた設計が必要。
問題20
マルウェア「ランサムウェア」の被害軽減に最も効果的な備えはどれか。
A. 重要データの定期バックアップと復旧演習 B. ファイル名の難読化 C. すべてのメールを自動削除 D. 常時管理者権限で作業
回答
A
解説
暗号化されても復元できる体制が最重要。オフサイト・オフラインバックアップ、復旧訓練、最小権限、パッチ適用、振る舞い検知など多層対策を組み合わせるのが実効性を高める。
問題21
事例:人事部が社員の健康診断結果を業務委託先へメール送付する。適切な措置はどれか。
A. 暗号化せず添付 B. 委託契約で安全管理義務を明確化し暗号化送信 C. 口頭で伝達 D. CCで全社員に共有
回答
B
解説
健康情報は要配慮個人情報。委託時は契約で安全管理措置を義務付け、暗号化やパス分離、誤送信防止、アクセス制御、ログ管理、再委託制限などの管理策を講じる必要がある。
問題22
サプライチェーン攻撃の説明として最も適切なものはどれか。
A. 物流倉庫への物理侵入 B. 取引先や開発ライブラリを経由して侵害 C. CDN高速化 D. 価格交渉
回答
B
解説
サプライチェーン攻撃は、取引先の弱点やソフトウェア供給元の改ざんを通じて標的に侵入する。ベンダリスク評価、SBOM、署名検証、最小権限、ネットワーク分離が有効な抑止策となる。
問題23
脆弱性対応の優先度付けで最も重視すべき観点はどれか。
A. 影響スコアと露出状況、事業影響 B. パッチのサイズ C. リリース企業の知名度 D. 管理者の好み
回答
A
解説
CVSS等の重大度、インターネット露出や攻撃コード有無、資産価値、代替策有無、業務停止影響を総合評価して優先順位を決める。単純なパッチサイズや主観では適切な配分にならない。
問題24
BCPにおけるRTOの説明として正しいものはどれか。
A. 許容データ損失量 B. 復旧目標時間 C. 年間停止回数 D. 予算上限
回答
B
解説
RTOは事業やシステムが停止してから復旧し、目標とする稼働状態に戻るまでの時間目標。RPOは許容データ損失量(時間)であり、両者を基に冗長化やバックアップ・復旧設計を行う。
問題25
特定ユーザの操作を否認できないようにするため最も有効なのはどれか。
A. 匿名アクセス B. 電話確認 C. 認証+詳細な監査証跡 D. 自動ログ削除
回答
C
解説
否認防止には、強固な認証と改ざん耐性のある詳細ログ(タイムスタンプ、操作内容、端末情報等)が重要。ログの保全、相関分析、定期監査により不正の抑止と事後追跡が可能になる。
問題26
事例:開発チームがOSSライブラリを導入。適切な管理はどれか。
A. バージョン固定せず最新自動更新 B. ライセンス遵守と脆弱性監視、署名検証 C. 出典不明のフォーク採用 D. 依存関係の記録不要
回答
B
解説
OSS利用はライセンス条件の確認、SBOM作成、脆弱性情報の継続監視、署名やハッシュの検証、更新手順の整備が欠かせない。無制御な自動更新や出所不明コードはリスクが高い。
問題27
ソーシャルエンジニアリング対策として不適切なものはどれか。
A. 来訪者の本人確認と入退室管理 B. クリーンデスク C. 机上にパスワードメモ D. 社員教育
回答
C
解説
物理的・人的対策では、入退室や持込み制限、クリーンデスク、廃棄物管理、教育が基本。パスワードの紙メモ放置は典型的な情報漏えい要因であり厳禁である。
問題28
データベースへのSQLインジェクションを根本的に防ぐ手法はどれか。
A. 動的SQL文字連結 B. プリペアドステートメント C. 画面デザイン変更 D. CSS最適化
回答
B
解説
プリペアドステートメント(バインド変数)は、SQLとデータを分離し、入力が命令化しないようにする根本対策。入力検証や最小権限、エラーメッセージ制御などと併用して強化する。
問題29
DLP(Data Loss Prevention)の主な目的はどれか。
A. ネットワーク遅延削減 B. データの不正持出し検知・防止 C. 画像最適化 D. 電源管理
回答
B
解説
DLPは機密データの流出を検知・遮断し、ポリシー違反を防ぐ。内容検査、指紋化、暗号化強制、持出し制御などを提供し、ログ監査や教育と合わせて運用することで効果が高まる。
問題30
事例:共有フォルダで誤って全社公開権限を付与。最も適切な初動はどれか。
A. 放置 B. 権限を即座に適正化しアクセスログを確認 C. フォルダ削除のみ D. 社内周知は不要
回答
B
解説
まず公開範囲を即時是正し、アクセスログで閲覧者・ダウンロード有無を確認。必要に応じて影響分析、関係者への通知、再発防止策(承認フロー、テンプレ権限、監視)を実施する。
問題31
多要素認証で「所持情報」に該当する例はどれか。
A. パスワード B. スマホの認証アプリ C. 指紋 D. 行動分析
回答
B
解説
多要素は「知識(パスワード)」「所持(トークン・スマホ)」「生体(指紋等)」の組合せ。行動分析は補助的な継続認証要素。所持要素は紛失時の無効化手順や登録管理が重要。
問題32
秘密鍵の保管方法として最も適切なものはどれか。
A. 平文で共有フォルダ保管 B. 個人PCのデスクトップ C. HSMや暗号化ストレージで厳格管理 D. メールで自分宛送信
回答
C
解説
秘密鍵は流出が直ちに信頼崩壊に直結するため、HSM等の専用装置や暗号化ストレージでアクセス制御し、バックアップも分離管理する。平文保管やメール送付は漏えいリスクが高い。
問題33
パッチ適用の本番展開前に必要な活動として最も適切なものはどれか。
A. ぶっつけ本番適用 B. 検証環境での適用テストとロールバック計画 C. ベンダに一任 D. 影響分析なし
回答
B
解説
パッチは互換性や性能影響があるため、検証環境でテストし、万一の障害時に戻せるロールバック計画を準備する。適用優先度はリスクに基づき、変更管理の手続きに従う。
問題34
物理セキュリティで「多層防御」に該当する組合せはどれか。
A. 受付のみ B. 受付+ゲート+サーバ室施錠+監視カメラ C. 表札大型化 D. 駐車場無料化
回答
B
解説
多層防御は複数の独立した防御層で侵入難易度を高める考え方。受付での本人確認、入退室管理、サーバ室施錠、監視・記録などを重ねることで単一障害点を避け抑止効果を高める。
問題35
事例:退職者のアカウントが残存。最優先の対応はどれか。
A. 放置 B. すぐに無効化し権限を回収 C. 退職祝いメール送信 D. 次回棚卸しまで待機
回答
B
解説
退職者アカウントは不正利用の格好の標的。退職プロセスで即時無効化・鍵回収・端末返却・アクセス権棚卸しを行い、共有資格情報も変更する。証跡の保存と監査も重要である。
問題36
侵入検知システム(IDS)の主目的はどれか。
A. 攻撃の自動遮断のみ B. 不審な挙動の検知・通知 C. 負荷分散 D. バックアップ
回答
B
解説
IDSはシグネチャや異常検知で不審通信や挙動を検知し、管理者に通知する。遮断まで行うのはIPS。ログ相関やSIEMと連携して可視化・分析を強化すると効果が高まる。
問題37
テレワーク端末の私物USBメモリ使用を制限する目的として適切でないものはどれか。
A. マルウェア感染防止 B. データ持出し抑止 C. 転送速度向上 D. 管理の一元化
回答
C
解説
私物メディアはマルウェア経路や情報漏えいの温床。使用禁止や会社貸与の暗号化メディア限定、デバイス制御、ログ管理などでリスクを下げる。速度向上は目的ではない。
問題38
事例:取引先からの請求書PDFがマクロ付Excelに変換されて届いた。不審な点への適切な対応はどれか。
A. すぐ開いて内容確認 B. 取引先に別経路で真偽確認 C. 送信者の表示名のみ確認 D. セキュリティ無効化
回答
B
解説
想定と異なる形式やマクロ付ファイルは高リスク。不審時は既存連絡先で送信事実を確認し、添付は開かない。サンドボックス検査やメールゲートウェイの強化も併用する。
問題39
個人情報のマスキングとして適切な例はどれか。
A. 000-0000で統一 B. 末尾4桁のみ表示し他は伏字 C. 全面公開 D. 乱数に置換し復元不可
回答
B
解説
業務で必要な最小限だけ表示する部分マスキングは漏えいリスク低減に有効。完全な匿名化・仮名化が必要な場合は復元不可の処理や鍵管理を伴う方式を選択する。
問題40
ファイルのハッシュ値計算の主目的はどれか。
A. 圧縮率向上 B. 改ざん検知 C. 暗号化 D. 透過性向上
回答
B
解説
ハッシュは固定長の要約を生成し、同一ファイルで同じ値になる性質を利用して改ざん有無を検出する。SHA-256等が一般的。機密性は提供しないため、必要に応じて暗号化と併用する。
問題41
事例:社外でノートPCを紛失。まず行うべき対応はどれか。
A. 発見者に任せる B. 管理部門へ速やかに報告し遠隔ロック・ワイプ C. SNSで公開募集 D. パスワードを紙で配布
回答
B
解説
迅速な報告と遠隔操作でデータ保護を最優先。暗号化ドライブ、認証強化、位置情報、ログ記録の活用が被害軽減に有効。関係先通知や再発防止策の見直しも後続で実施する。
問題42
ゼロトラストの基本思想として最も適切なものはどれか。
A. 社内ネットワークは全面信頼 B. 一度認証すれば永続的に信頼 C. 常に検証し最小権限でアクセスを許可 D. VPNがあれば不要
回答
C
解説
ゼロトラストは境界内部でも信頼せず、コンテキストに基づく継続的検証と最小権限でアクセスを制御する。端末健全性や位置情報も評価し、マイクロセグメンテーションで横展開を抑止する。
問題43
メール認証技術の組合せで正しいものはどれか。
A. SPF=本文署名 B. DKIM=ドメイン鍵でヘッダ署名 C. DMARC=暗号化 D. SPF=添付検査
回答
B
解説
DKIMは送信ドメインの鍵でヘッダ等に署名し改ざん検知と正当性を提供。SPFは送信サーバIPの正当性確認、DMARCはSPF/DKIMの整合性とポリシーを定義しなりすまし対策を強化する。
問題44
事例:監査で「特権IDの共有利用」が発見。是正として最も適切なのはどれか。
A. 共有のままパスワード強化 B. 個別付与と特権ID管理ツール導入 C. ログを削除 D. 監査人のアクセス遮断
回答
B
解説
特権IDは個人単位で払い出し、貸出し時はワークフロー承認・記録・ワンタイム化・セッション監視を行う。共有は責任追跡性を損ない内部不正や事故時の追跡を困難にする。
問題45
パブリッククラウドに機密データを保存する際の基本対策として不適切なものはどれか。
A. 保存時・転送時の暗号化 B. KMS等で鍵管理 C. アクセス制御と監査ログ D. 全世界公開のバケット
回答
D
解説
機密データの公開設定は致命的。ストレージはデフォルト非公開、最小権限、暗号化、鍵のローテーション、監査ログ、有事のアラート設定などを組み合わせてリスクを抑える。
問題46
事例:WebアプリでCSRF対策を検討。適切な方法はどれか。
A. GETで重要処理 B. リファラのみ確認 C. 同一サイト属性のCookieとCSRFトークン検証 D. 画像圧縮
回答
C
解説
CSRFは正規ユーザの権限を悪用する攻撃。不可視トークンの照合、SameSite属性のCookie、重要処理のPOST化、二段階確認、Originチェックなどを組み合わせて防止する。
問題47
情報資産台帳の主な目的はどれか。
A. 備品管理のみ B. 脅威情報の収集 C. 資産の所在・責任・重要度を把握しリスク管理へ反映 D. 監査の免除
回答
C
解説
資産台帳は所有者、場所、機密性・完全性・可用性の要求度、分類、依存関係を整理し、評価と対策優先度に直結させる。最新性の維持と変更管理との連携が重要である。
問題48
事例:監視で深夜に大量の認証失敗が検出。最も適切な初動はどれか。
A. 無視 B. 影響端末の隔離、強制パスワードリセット、IPブロック等の封じ込め C. 翌朝まで待機 D. 広報発表を先行
回答
B
解説
総当たり攻撃の疑いがあるため、試行元の遮断、対象アカウントの保護、MFA強制、ログ相関で被害範囲を確認する。必要に応じて追加検知ルールを設定し再発を抑止する。
問題49
標的型攻撃メール訓練のKPIとして適切なものはどれか。
A. 総受信数 B. クリック率・報告率・再発率 C. 送信者の年齢 D. フォント種類
回答
B
解説
訓練の改善指標は、疑似メールのクリック率や添付開封率の低下、報告率の上昇、同一人物の再発率低下など。これらを継続測定し、教育内容や技術的対策の見直しに活かす。
問題50
事例:新規SaaS導入前のセキュリティ確認で最も重要な観点はどれか。
A. 画面デザインの好み B. 事業者の認証・暗号化・ログ・データ所在・契約条件の確認 C. 価格のみ D. 競合の噂
回答
B
解説
SaaSは責任共有の境界が異なるため、認証方式(SAML/OIDC、MFA)、暗号化、監査ログ、データ保存地域、可用性、バックアップ、脆弱性対応、契約・責任範囲を事前に評価することが不可欠。
問題51
内部不正防止の観点で「職務分掌」を最も適切に表すものはどれか。
A. 一人に権限集中 B. 作業と評価を別担当が行う C. 全員が全権限を持つ D. 権限を日替わりで交替
回答
B
解説
職務分掌は、申請・承認・実施・記録などの役割を分離し、単独では不正が完結しないようにする統制である。権限集中は誤操作や不正の温床となるため避ける。権限移譲は明確な基準と記録が重要。
問題52
情報資産の分類で最も適切な方針はどれか。
A. すべて機密 B. すべて公開 C. 重要度に応じて区分し取扱いを規定 D. 個人の判断に任せる
回答
C
解説
資産分類は機密・内部・公開などの区分と取り扱いルールを定め、ラベリングやアクセス制御に反映する。過度な機密指定は業務阻害、無秩序は漏えいリスクを招く。定期的な見直しが不可欠。
問題53
脅威モデリングの代表的手法として適切なものはどれか。
A. ウォーターフォール B. STRIDE C. PERT D. MTBF
回答
B
解説
STRIDEはなりすまし、改ざん、否認、情報漏えい、サービス拒否、特権昇格の観点で脅威を洗い出す枠組み。設計段階で適用することで対策の漏れを低減できる。他の選択肢は開発や信頼性指標。
問題54
APIセキュリティで最も重要な基本対策はどれか。
A. エンドポイントの隠蔽のみ B. 強固な認証・認可と入力検証 C. ドメイン名の短縮 D. レスポンスを英語にする
回答
B
解説
APIは自動化攻撃の対象になりやすい。OAuth/OIDC等での認証・認可、スコープ制御、レート制限、入力検証、詳細エラーメッセージ抑制、監査ログなどの多層対策が必須である。
問題55
SAML連携の主な目的はどれか。
A. 画像圧縮 B. シングルサインオン C. データ圧縮 D. バックアップ
回答
B
解説
SAMLはIdPとSP間で認証情報を安全にやり取りし、複数サービスへのシングルサインオンを実現する標準。パスワード分散を避け、アカウントライフサイクル管理も容易にする利点がある。
問題56
パスワードレス認証の例として最も適切なものはどれか。
A. 4桁PINのみ B. FIDO2による公開鍵認証 C. 秘密の質問のみ D. メールの表示名確認
回答
B
解説
FIDO2は公開鍵基盤とハードウェア要素を用い、フィッシング耐性と強固な本人確認を提供する。PINや秘密の質問は推測や詐取に弱く、単独使用は現在の実務では推奨されない。
問題57
ソフトウェアの変更管理で最も適切な手順はどれか。
A. 本番で直接修正 B. 申請・評価・承認・テスト・展開のプロセス化 C. 開発者の裁量に任せる D. ログは不要
回答
B
解説
変更は影響範囲やリスクを評価し、承認後に検証環境でテストしてから本番へ反映する。ロールバック手順やコミュニケーション計画、記録の保存が安定運用と証跡の両面で重要となる。
問題58
情報漏えい時の外部公表に関して最も適切な考え方はどれか。
A. 常に即公表 B. 常に非公表 C. 事実確認と法令・契約要件に基づき適時適切に公表 D. 広報の判断のみ
回答
C
解説
公表は被害状況、法令・ガイドライン、契約義務、顧客保護の観点から決定する。早すぎる公表は誤情報の拡散、遅すぎる公表は二次被害や信頼失墜を招くため、計画的対応が必要である。
問題59
モバイル端末管理(MDM)の主目的はどれか。
A. 端末のデザイン変更 B. 設定統制と紛失時の遠隔ロック・ワイプ C. バッテリー交換 D. 端末の個人利用促進
回答
B
解説
MDMはパスコード要件、暗号化、アプリ配布、構成プロファイル、遠隔制御などで端末セキュリティを統制する。BYODでも業務データ領域を分離し、紛失時の被害を最小化できる。
問題60
OT(制御系)ネットワークの特性として適切なものはどれか。
A. 可用性優先で停止に敏感 B. 機密性のみ重視 C. 頻繁な再起動が前提 D. インターネット直結が推奨
回答
A
解説
OTは生産停止が事業に直結するため可用性と安全性が最優先。変更は検証が必須で、ネットワーク分離やホワイトリスト制御が効果的。安易なインターネット接続はリスクが高い。
問題61
クラウドでのアイデンティティ管理における最重要基本原則はどれか。
A. 永続的全権限付与 B. 最小権限とJIT(必要時一時付与) C. 共有ID推奨 D. MFA不要
回答
B
解説
クラウドは権限が強力で誤設定の影響が大きい。ロールベースで最小権限を設計し、必要時のみ一時的に昇格するJITを導入、MFAを必須化することで被害範囲を抑えられる。
問題62
リスク対応の選択肢として誤っているものはどれか。
A. 低減 B. 移転 C. 受容 D. 拡大
回答
D
解説
リスク対応は低減、移転(保険・契約)、回避、受容が基本。拡大は目的に反する。受容は残余リスクを経営が理解し文書化したうえで選択する必要がある。
問題63
監査証跡の品質要件として最も重要な組合せはどれか。
A. 可変・匿名・削除可能 B. 完整性・時刻同期・改ざん耐性 C. 圧縮・翻訳・匿名 D. 端末依存・短期保存
回答
B
解説
監査証跡は正確な時刻、完全性、改ざん耐性、責任追跡性が不可欠。WORM保管やハッシュ、署名、集中管理を組み合わせる。過度な匿名化は追跡性を損ねるため目的に応じた設計が必要。
問題64
脆弱性診断とペネトレーションテストの違いとして適切な説明はどれか。
A. 同義 B. 診断は網羅的検査、ペンテストは侵入可否の実証 C. 逆の意味 D. どちらも不要
回答
B
解説
脆弱性診断は既知の弱点の有無を広く検査する。ペンテストは攻撃者視点で侵入シナリオを実証し、連鎖的な影響を評価する。目的と範囲を明確化し、法的同意の下で実施する。
問題65
表計算に個人情報を保管する場合の基本的な留意点はどれか。
A. 共有リンクで全社公開 B. アクセス権限の最小化と版管理 C. バックアップ不要 D. パスワード平文共有
回答
B
解説
ファイル共有はアクセス制御、編集履歴、暗号化、バックアップを整備する。無制限公開や平文共有は漏えいの主因。収集最小化と保管期間の明確化も併せて定める。
問題66
マルウェアが正規プロセスに注入して活動する手口の呼称はどれか。
A. ファジング B. プロセスインジェクション C. サイドチャネル D. サンドボックス
回答
B
解説
プロセスインジェクションは検知回避や権限昇格に使われる。EDRやふるまい検知、アプリの整合性検証、メモリ保護機構、最小権限などの対策が必要となる。
問題67
バックアップの3-2-1原則の説明として正しいものはどれか。
A. 3日ごとに2回1台で保存 B. 3世代を2媒体に1つはオフサイト C. 3台で2週間に1回1世代 D. 3TBを2拠点1人管理
回答
B
解説
3-2-1は、バックアップを少なくとも3つのコピー、2種類の媒体(または異なる場所)、1つはオフサイトで保管する原則。災害やランサムウェアに対するレジリエンスを高める。
問題68
プライバシー・バイ・デザインの要点として適切なものはどれか。
A. 後付けで対応 B. 収集最小化と目的限定を設計段階から組み込む C. 無期限保存 D. 同意は不要
回答
B
解説
プライバシー・バイ・デザインは、初期設計からデータ最小化、目的限定、透明性、アクセス権、保管期間、デフォルトでの保護を実装する考え方。後付けではコストとリスクが増大する。
問題69
ファイル転送時の安全な手段として最も適切なものはどれか。
A. 平文メール添付 B. 暗号化+パス別送+到達確認 C. SNSのDM D. 共有端末に保存
回答
B
解説
誤送信対策として宛先制御、暗号化、パスワード分離送付、到達確認、期限付きダウンロードなどを組み合わせる。共有端末やSNSは管理が難しく、機微情報には不適切である。
問題70
サイバー保険の適切な位置づけはどれか。
A. 対策の代替 B. 残余リスクへの移転手段 C. 監査の代替 D. インシデントの隠蔽
回答
B
解説
サイバー保険は完全な防止が困難な残余リスクの経済的移転であり、技術・組織的対策や教育を前提に補完するもの。加入要件として一定の管理水準が求められることが多い。
問題71
クリーンデスク・クリーンスクリーンの主目的はどれか。
A. 机の美観 B. 情報の見える化 C. のぞき見や置き忘れによる漏えい防止 D. 電気代節約
回答
C
解説
紙資料や端末画面、外部記憶媒体の放置は漏えいリスクを高める。離席時の画面ロック、施錠保管、印刷物回収、廃棄の徹底などと合わせて実施することが有効である。
問題72
無停電電源装置(UPS)を導入する主な目的はどれか。
A. 通信速度向上 B. 停電時の可用性確保と安全停止 C. 画質向上 D. 電力消費増加
回答
B
解説
UPSは停電や瞬低時に短時間の電力を供給し、システムの安全停止や冗長電源切替までの橋渡しを行う。可用性維持とデータ破損防止に有効で、定期点検とバッテリー交換が必要。
問題73
残存リスクに対する経営の関与として適切なものはどれか。
A. 担当者一任 B. 文書化した受容の承認と定期見直し C. 口頭了承 D. 放置
回答
B
解説
リスク受容は経営層が責任を持って承認し、根拠と条件を文書化する。環境変化に応じて見直し、KPI/KRIで状況をモニタリングすることがガバナンス上重要である。
問題74
DDoS対策として適切でないものはどれか。
A. トラフィックのスクラビング B. オートスケール C. 1台サーバに集約 D. レート制限
回答
C
解説
単一サーバ集約はDoSに脆弱。クラウド型DDoS対策、CDN、スクラビング、レート制限、キャッシュ、冗長構成を組み合わせ、攻撃面の縮小と吸収を図ることが効果的である。
問題75
端末のディスク暗号化の主な目的はどれか。
A. 速度向上 B. 盗難・紛失時のデータ保護 C. 画面の明るさ制御 D. ソフトの自動更新
回答
B
解説
暗号化は物理的に端末を奪われてもデータを秘匿する。強力な認証とTPM連携、プリブート保護、鍵管理、復旧手順を整えることで実効性が高まる。バックアップ暗号化も忘れない。
問題76
脆弱性情報の入手源として最も適切な組合せはどれか。
A. 口コミのみ B. ベンダ情報・CVE/CVSS・JPCERT/CSIRT C. 社内チャットのみ D. 無料掲示板
回答
B
解説
正確な情報源として、ベンダアドバイザリ、CVEとCVSS、JPCERTや各種CERT、脆弱性データベースを参照する。社内共有は有効だが一次情報の確認と評価が前提となる。
問題77
ネットワーク分離の目的として最も適切なものはどれか。
A. 配線短縮 B. 重要系と一般系のリスク分離と横展開抑止 C. 監査回避 D. 電力節約
回答
B
解説
分離は侵害時の被害拡大を抑える。VLANやファイアウォール、マイクロセグメンテーション、プロキシやゲートウェイの制御で通信経路を限定し、監視点も明確化できる。
問題78
クラウドSaaSのアカウントライフサイクルで最優先のコントロールはどれか。
A. 任意登録自由化 B. HR連携による自動プロビジョニング/デプロビジョニング C. 担当者手作業のみ D. 無期限有効
回答
B
解説
人事情報と連動して入社・異動・退職に応じたアカウント管理を自動化することで、過剰権限や残存アカウントを防止し、監査証跡も一元化できる。定期的な権限棚卸しも重要。
問題79
ゼロデイ脆弱性への初動として適切なものはどれか。
A. 無視 B. 回避策・緩和策の適用と露出資産の隔離 C. 本番停止不可のため放置 D. 広報のみ
回答
B
解説
パッチ未提供時はWAFルール、設定変更、権限縮小、ネットワーク遮断などでリスクを下げる。攻撃有無の監視とログ分析を強化し、パッチ提供後は優先的に適用する。
問題80
電子取引データの保存で適切な要件はどれか。
A. 改ざん可能でも可 B. 真実性・可視性・可読性の確保 C. 任意の形式でのみ保管 D. 保存期間は任意
回答
B
解説
電子取引は改ざん防止や検索性、見読性の確保が求められる。タイムスタンプ、ハッシュ、アクセス制御、監査ログ、適切な保存期間の順守により、証跡としての信頼性を保つ。
問題81
人的セキュリティ教育の効果測定として適切なものはどれか。
A. 受講者数のみ B. テスト結果、疑似攻撃のクリック率低下、報告率向上 C. 会場満足度 D. 司会者の評価
回答
B
解説
学習成果は行動変容で測る。訓練メールのクリック率や報告率、再発率、実務KPIの改善などの定量指標を継続的に追跡し、カリキュラムや技術対策の見直しに活用する。
問題82
端末のパッチ管理で優先順位付けの要素として適切でないものはどれか。
A. CVSS重大度 B. 攻撃コードの有無 C. インターネット露出 D. アイコンの色
回答
D
解説
優先順位は重大度、悪用状況、露出、業務影響、代替策の有無などを考慮して決める。アイコン色といった見た目に依存する判断は誤った配分を招くため適切ではない。
問題83
クラウドストレージの共有リンク設定で最も安全なのはどれか。
A. 誰でもアクセス可 B. 組織内限定+有効期限+ダウンロード禁止 C. 永久リンク D. パスワードなし外部公開
回答
B
解説
共有は最小範囲、期限、操作制限、透かしや監査ログを有効化する。外部共有は契約と必要性を確認し、アクセスレビューを定期的に行うことで不正な公開を防止する。
問題84
電子メールの誤送信対策として適切なものはどれか。
A. 自由記述のみ B. 宛先制御、送信前再確認、時間差送信、上長承認 C. 送信履歴削除 D. 署名を外す
回答
B
解説
宛先制御や複数ドメイン混在時の警告、送信保留や上長承認、メーリングリスト管理の適正化などを組み合わせる。技術と運用の両面で誤送信の発生確率と影響を下げる。
問題85
暗号方式の選定で「前方秘匿性(PFS)」を提供するのはどれか。
A. 静的鍵のみのTLS B. エフェメラル鍵交換(ECDHE) C. RC4 D. MD5
回答
B
解説
ECDHEはセッションごとに一時鍵を用いるため、後に長期鍵が漏れても過去通信が解読されにくい。RC4やMD5は安全性の問題が知られており、現行の推奨から外れている。
問題86
ソフトウェアBOM(SBOM)の主目的はどれか。
A. UI改善 B. 依存関係と部品構成の可視化によるリスク管理 C. 価格交渉 D. 画像生成
回答
B
解説
SBOMはソフトウェアを構成するコンポーネントとバージョンを一覧化し、脆弱性影響の特定・修正を迅速化する。サプライチェーンリスク管理やライセンス遵守にも役立つ。
問題87
CSIRTの主な役割として適切でないものはどれか。
A. インシデント対応 B. 脆弱性情報の調整 C. 広報と関係部門連携 D. 私的SNS運営
回答
D
解説
CSIRTは検知、分析、封じ込め、根絶、復旧、再発防止、情報共有を担う組織機能。社内外の関係者と連携し、教訓をナレッジ化することが継続的改善に直結する。
問題88
多拠点の時刻同期に用いるプロトコルはどれか。
A. FTP B. NTP C. SMTP D. DNS
回答
B
解説
NTPはネットワーク上で正確な時刻同期を実現する。ログ相関、証跡の信頼性、証明書検証などに不可欠。内部NTPサーバの階層化や外部との冗長構成が望ましい。
問題89
IoT機器のセキュリティ強化で最も基本的な対策はどれか。
A. 既定ID/パスワードの変更と不要サービス無効化 B. 物理サイズ縮小 C. LED点灯 D. 常時公開
回答
A
解説
IoTは既定資格情報のまま運用されがちで攻撃対象になりやすい。初期設定の変更、ファーム更新、ネットワーク分離、最小権限、監視などの基本対策が不可欠である。
問題90
情報セキュリティ基本方針の適切な特徴はどれか。
A. 技術詳細の手順書 B. 経営の意思表明と全社的な原則を示す上位文書 C. 個人メモ D. 暗号鍵の一覧
回答
B
解説
基本方針は経営のコミットメント、目的、適用範囲、遵守事項を示す。下位規程として標準・手順が整備され、一貫した統制体系を構成する。定期的な見直しと周知が重要。
問題91
クラウド責任共有モデルでSaaS利用者の主な責任はどれか。
A. 物理施設保護 B. アプリの設定・権限・データ分類・利用者教育 C. ハイパーバイザ更新 D. データセンター火災保険
回答
B
解説
SaaSでは基盤は事業者が担うが、テナント設定、アクセス制御、データの保護、利用者管理、ログ監視、法令遵守は利用者責任。誤設定による漏えいが多いため注意が必要。
問題92
テーブルの個人情報を集計して匿名統計を公開する。適切なリスク低減策はどれか。
A. 小さいセルもそのまま公開 B. k-匿名化やしきい値処理の適用 C. 元データ同時公開 D. 期間無限定公開
回答
B
解説
匿名統計でも小規模セルから個人が推測され得る。k-匿名化、セル抑制、ノイズ付与、属性一般化などの手法で再識別リスクを下げる。公開範囲・期間の管理も重要である。
問題93
業務委託先管理の初期評価で最も重視すべきものはどれか。
A. 社長の趣味 B. セキュリティ要求事項への適合と監査証跡 C. 事務所の広さ D. 広告の量
回答
B
解説
委託先の管理策、認証取得、監査結果、インシデント体制、再委託管理、契約での義務化などを確認し、リスクに応じて監視する。価格だけで選定すると重大な不具合を招く。
問題94
端末の持出し申請ワークフローで適切な要素はどれか。
A. 申請不要 B. 目的・期間・データ種別の明記と承認・返却確認 C. 口頭OK D. 無期限貸与
回答
B
解説
持出しは目的、期間、保護措置、責任者を明確にし、返却と消去の確認を行う。ログと台帳を整備し、紛失時の報告と遠隔措置が即時実施できる体制を整えることが重要。
問題95
クラウド環境の秘密情報(API鍵等)の安全な管理として最も適切なものはどれか。
A. ソースに直書き B. 秘密管理サービス(Vault/KMS)で暗号化保管し最小権限で配布 C. 共同編集ドキュメントに記載 D. 口頭伝達
回答
B
解説
シークレットは専用の管理基盤に保存し、ローテーション、アクセス制御、監査ログ、環境ごとの分離を行う。コード直書きは漏えい時の影響が大きく、回収も困難である。
問題96
テストデータに実データを用いる場合の適切な対策はどれか。
A. 無加工で利用 B. マスキングや匿名化を施す C. 社外公開 D. USBで配布
回答
B
解説
テストでは本来、合成データが望ましいが、やむを得ず実データを使う場合は識別子の削除や置換、乱数化、権限制限、期限付き保管などで漏えいリスクを低減する。
問題97
クラウド費用の急増が監視で検知された。まず取るべき行動として適切なのはどれか。
A. 放置 B. 原因となるリソースとアクセスの特定、権限と自動化の見直し C. 予算追加 D. 監視停止
回答
B
解説
費用急増は侵害や誤設定、不要リソースの可能性がある。タグ・ログ・アラートで原因を特定し、停止・権限見直し・予算ガードレール設定などの是正を優先的に行う。
問題98
認証情報の保管に適切なハッシュの条件はどれか。
A. 高速な一般ハッシュのみ B. ソルト付与+伸長可能な遅延ハッシュ(PBKDF2/BCrypt/Argon2) C. 平文保存 D. 圧縮
回答
B
解説
パスワードはレインボーテーブル攻撃への耐性のためソルトが必須で、総当たりを困難にする遅延ハッシュを用いる。平文や高速ハッシュのみでは漏えい時の被害が甚大となる。
問題99
インシデント後レビュー(ポストモーテム)の適切な方針はどれか。
A. 個人非難を中心 B. 学習重視で再発防止策と行動アイテムを明確化 C. 成果隠蔽 D. 記録不要
回答
B
解説
ノーブレーム文化で原因を構造的に分析し、監視や自動化、手順、教育の改善策を具体化する。期限と責任者を定め、効果測定を行うことで継続的に耐性を高められる。
問題100
クラウドの公開バケット誤設定検知に有効な方法はどれか。
A. 手作業の月次確認のみ B. 継続的な設定監査ツールと違反時の自動アラート C. 監査を停止 D. ユーザ任せ
回答
B
解説
設定監査サービスやポリシーエンジンを用いて継続的にスキャンし、公開や過剰権限を自動検知・通知する。変更管理と併用し、是正のワークフローを迅速に回すことで漏えいを防ぐ。
問題101
マルチファクタ認証の疲労攻撃(プッシュ爆撃)への対策として適切なものはどれか。
A. 通知回数上限なし B. プッシュに番号一致や生体確認を要求 C. すべてメール認証へ戻す D. 対策不要
回答
B
解説
プッシュ認証は押し間違いや承認誘導に弱い。番号一致や端末生体、地理・時間のコンテキスト評価、試行回数制限、アラート教育で誤承認を防止することが効果的である。
問題102
電子署名の検証で必要なものはどれか。
A. 送信者の秘密鍵 B. 送信者の公開鍵と証明書の検証 C. 受信者の秘密鍵 D. タイムゾーン情報のみ
回答
B
解説
受信側は署名と原文に対し、送信者の公開鍵で検証する。証明書の有効性や失効状態、信頼できるルートへの連鎖も確認し、検証時の時刻やポリシーに整合することが必要。
問題103
EDRの主な目的として最も適切なものはどれか。
A. データ圧縮 B. 端末での脅威の検知・調査・封じ込め C. 電源管理 D. 画面分割
回答
B
解説
EDRは端末のふるまいを監視し、侵害の兆候を検知・可視化して迅速な封じ込めや根絶を支援する。EPPと併用し、検知ルールや隔離機能、インシデント対応の自動化が鍵である。
問題104
サンドボックスの役割として最も適切なものはどれか。
A. 本番で直接実行 B. 隔離環境で不審ファイルの動作解析 C. UI変更 D. 暗号鍵管理
回答
B
解説
サンドボックスは隔離環境でファイルやURLの挙動を観察し、未知マルウェアの検知に役立つ。メールゲートウェイやWebプロキシと連携し、多層防御の一部として運用する。
問題105
標準化文書のISO/IEC 27001で求められるものはどれか。
A. 暗号アルゴリズムの開発 B. ISMSの構築・運用・改善 C. 電源の規格統一 D. データ圧縮規格
回答
B
解説
ISO/IEC 27001は情報セキュリティ管理の要求事項を定め、リスクベースで統制を選択し運用・改善する枠組みである。付属書Aの管理策や27002の実践規範と併せて適用する。
問題106
ランサムウェア初動で「感染端末の電源をむやみに切る」ことが不適切な理由として最も近いものはどれか。
A. 電気代がかかる B. 証拠保全や復旧手順を妨げる可能性 C. 速度低下 D. 画面が暗くなる
回答
B
解説
無計画な電源断はメモリ上の証拠消失や暗号化継続、復旧処理の失敗につながる。まずネットワーク隔離と証拠保全、連絡手順に従った封じ込めを優先することが望ましい。
問題107
BCPで代替サイトの種類として適切な組合せはどれか。
A. コールド/ウォーム/ホットサイト B. 湿/乾 C. 青/赤 D. 左/右
回答
A
解説
コールドは設備のみ、ウォームは一部資源あり、ホットは即時稼働可能な構成。RTO/RPOやコストに応じて選定し、実働確認のための定期的な訓練が必要である。
問題108
PKIでCRLやOCSPが担う役割はどれか。
A. 鍵生成 B. 証明書失効状態の配布・照会 C. 署名の生成 D. 乱数供給
回答
B
解説
失効リスト(CRL)やオンライン照会(OCSP)は、証明書が無効化されていないかを検証側が確認する仕組み。リアルタイム性や可用性を考慮して実装する。
問題109
データ分類で「機密」区分の送信先管理として適切なものはどれか。
A. 宛先無制限 B. ホワイトリスト化や承認制 C. 公開掲示 D. 共有フォルダに全社公開
回答
B
解説
機密データは送信先制限、暗号化、持出し記録、DLPでの検知を組み合わせる。組織外送付は契約や目的確認、宛先の正当性検証を徹底し、不要な共有は解除する。
問題110
クラウドのタグ運用の目的として最も適切なものはどれか。
A. 色分けを楽しむ B. 資産の所有者・目的・機密度・コスト配賦の可視化 C. 暗号化の代替 D. 監査不要化
回答
B
解説
タグは責任者、環境(本番・検証)、機密度、システム名、コストセンターなどのメタ情報を付与し、棚卸し・監査・費用管理・自動化の基盤となる。標準化と必須化が重要。
問題111
VPNの分割トンネル(Split Tunnel)のリスクとして適切なものはどれか。
A. 帯域が増えるのみ B. 社内網とインターネットの同時接続で迂回経路が生まれる C. 認証が不要になる D. 暗号化が強化される
回答
B
解説
分割トンネルは利便性と帯域最適化の利点がある一方、端末が踏み台となるリスクがある。端末健全性検査、ZTA移行、必要時のみの適用などでリスクを軽減する。
問題112
セキュア開発で静的解析(SAST)の説明として最も適切なものはどれか。
A. 実行時の挙動検査 B. ソースを解析して欠陥や脆弱性を早期検出 C. 本番監視 D. ネットワーク負荷試験
回答
B
解説
SASTはコードを解析して入力検証不足、危険API、認証不備などを検出する。CIに組み込み、しきい値を設定し、結果のトリアージを行うことで開発初期から品質を高める。
問題113
ブルーチームの主な活動はどれか。
A. 攻撃実行 B. 防御・監視・ハンティング・改善 C. 販売促進 D. 在庫管理
回答
B
解説
ブルーチームは組織の防御を担い、監視、検知、インシデント対応、脆弱性管理、手順の整備などを行う。レッドチームの演習結果を反映し、継続的に強化する。
問題114
データベースの権限で「ビュー」を用いる主な利点はどれか。
A. 性能低下のみ B. 必要列のみを公開しアクセスを制限 C. 暗号化の代替 D. バックアップの代替
回答
B
解説
ビューは特定の列や行のみを抽出して見せ、基表への直接アクセスを避けることで権限制御や監査を簡素化する。列レベル・行レベルのセキュリティと併用すると効果的。
問題115
業務継続訓練(BCP演習)の方式として適切でないものはどれか。
A. テーブルトップ演習 B. 通知・召集訓練 C. 実動切替テスト D. 完全未実施
回答
D
解説
BCPは机上演習から実動まで段階的に行う。連絡体制の確認、復旧手順の実証、代替拠点の立ち上げなどを計画的に実施し、教訓を計画へ反映することが重要である。
問題116
ブラウザのCookie属性でCSRFや盗難対策に有効な組合せはどれか。
A. Secure/HttpOnly/SameSite B. Public/Share C. Fast/Small D. None
回答
A
解説
SecureはHTTPSのみ送信、HttpOnlyはスクリプトからの参照を防ぎ、SameSiteは第三者コンテキストでの自動送信を制御する。これらを適切に設定し、トークン検証と併用する。
問題117
Shadow ITの主なリスクはどれか。
A. 革新促進のみ B. 統制外でのデータ保管や誤設定による漏えい C. 電力消費増加 D. 画質低下
回答
B
解説
部門が無許可ツールを使うと、契約・設定・バックアップ・監査が未整備となり、法令や契約違反の恐れがある。承認された代替手段の提供と可視化が抑止に有効である。
問題118
電子契約におけるタイムスタンプの主な役割はどれか。
A. 文書の美観 B. 存在時刻の証明と改ざん検知 C. PDF圧縮 D. フォント統一
回答
B
解説
タイムスタンプは信頼された時刻に基づき文書の存在を証明し、改ざん検知に用いる。署名と組み合わせることで、長期にわたり証跡の信頼性を維持できる。
問題119
クラウドで公開鍵証明書を用いた相互TLS(mTLS)の利点はどれか。
A. 暗号不要化 B. クライアント・サーバ双方の本人性確認 C. 帯域節約 D. 認証削減
回答
B
解説
mTLSは双方が証明書で認証し、API間通信やサービス間通信の信頼を高める。証明書配布・失効管理の自動化とローテーション設計が成功の鍵となる。
問題120
業務で生成されたログの保存期間設定に関する基本姿勢はどれか。
A. 無期限保存 B. 規制・契約・調査ニーズとコストを踏まえた期間設定 C. 即時削除 D. 部門ごと任意
回答
B
解説
保存期間は法規制や監査要件、調査に必要な時効、運用コスト・プライバシーを考慮して定める。最小限原則に沿い、満了後は適切に削除・匿名化し、例外は記録する。
問題121
E-mailの添付ファイルを自動的に隔離し、サンドボックスで動作検査した後に配信するのはどれか。
A. DLP B. MDM C. メールゲートウェイ D. NTP
回答
C
解説
メールゲートウェイは受信段階で添付やURLを検査し、危険なものを遮断・隔離できる。サンドボックス連携で未知マルウェアの振る舞いも確認可能。DLPは持ち出し防止、MDMは端末統制、NTPは時刻同期であり役割が異なる。
問題122
多層防御の狙いとして最も適切なものはどれか。
A. 単一策で完璧を目指す B. バックアップを廃止 C. 複数の独立した対策で突破確率を低下 D. コスト削減のみ
回答
C
解説
多層防御は、複数の異なる防御策を重ねて配置し、一つの失敗が即侵害に直結しないようにする考え方。ネットワーク、アプリ、端末、認証、監視などを組合せると攻撃者の手間と時間が増し、検知・封じ込めが容易になる。
問題123
NIST CSFの機能群に含まれるものはどれか。
A. 計画・実行・確認・改善 B. 識別・防御・検知・対応・復旧 C. 開発・運用・廃止 D. 収集・分析・破棄
回答
B
解説
NIST CSFは組織のサイバーセキュリティを「識別・防御・検知・対応・復旧」の5機能で整理する枠組み。現状評価と目標のギャップを明示し、優先度付けやロードマップ策定に活用できる。PDCAやライフサイクルとは目的が異なる。
問題124
DNSSECの主な効果はどれか。
A. 全通信の暗号化 B. 応答の真正性検証 C. 帯域の最適化 D. キャッシュ削除
回答
B
解説
DNSSECは署名付きDNS応答により、改ざんやキャッシュポイズニングを検知できる。通信自体の暗号化はDoT/DoHが担う。名前解決の信頼性を高め、フィッシングや偽サイト誘導のリスク低減に寄与するが、運用の整合性が重要。
問題125
ブラウザの安全設定で、XSS対策として有効なヘッダはどれか。
A. Cache-Control B. Content-Security-Policy C. ETag D. Accept-Language
回答
B
解説
CSP(Content-Security-Policy)は許可されたスクリプトの出所や実行方針を制御し、XSSによる任意コード実行を抑止する。出力エスケープや入力検証と併用して多層防御を構成することが望ましい。その他ヘッダは目的が異なる。
問題126
事例:開発チームが機密設定をソースに直書きしていた。最優先の是正はどれか。
A. コメント化して残す B. 秘密管理基盤へ移行し履歴からも除去 C. 別ブランチへ移動 D. 変数名を難読化
回答
B
解説
API鍵やパスワードは秘密管理(KMSやVault等)に移し、参照は環境変数や短命トークン化する。履歴に残った値は回収不能なため、強制ローテーションとリライトが必要。難読化やブランチ移動では漏えいリスクを解消できない。
問題127
安全なログ収集の要件として最も適切なものはどれか。
A. 端末内ローカル保存のみ B. 中央集約と改ざん耐性・時刻同期 C. 圧縮だけ D. 週次で手動コピー
回答
B
解説
ログは改ざん防止のため中央集約サーバへ安全に転送し、WORMや署名で完全性を保つ。NTPで時刻を統一し、相関分析しやすい形式で保存する。ローカルのみや手作業では消失や改ざんのリスクが高い。
問題128
UEBAの主な目的はどれか。
A. 回線速度の測定 B. ユーザやエンティティの異常行動検知 C. 画面解像度の調整 D. 印刷制御
回答
B
解説
UEBAは通常行動のベースラインから逸脱を検知し、内部不正やアカウント乗っ取りの兆候を早期発見する。SIEMやEDRと連携し、優先度付けや自動化(SOAR)につなげると対応効率が向上する。
問題129
ゼロトラストで推奨されるネットワーク設計はどれか。
A. フラットな社内LAN B. マイクロセグメンテーション C. 全通信フル許可 D. VLAN未使用
回答
B
解説
マイクロセグメンテーションはワークロード間通信を細粒度に制御し、侵害時の横展開を抑える。ID・端末状態・アプリ・データのコンテキストに基づき、きめ細かいポリシーを適用することが鍵となる。
問題130
暗号プロトコルの前方秘匿性を得るために用いられる鍵交換はどれか。
A. 静的RSA B. ECDHE C. PSKのみ D. MD5
回答
B
解説
ECDHEはエフェメラル鍵でセッションごとに異なる秘密を共有し、長期鍵流出時の過去通信解読を困難にする。静的RSAはPFSを提供しない。MD5はハッシュであり安全性の問題がある。
問題131
CSIRTとSOCの関係で適切な説明はどれか。
A. 同義 B. SOCは監視・検知、CSIRTは対応・調整 C. 逆の役割 D. どちらも広報部門
回答
B
解説
SOCは常時監視や相関分析でイベントを検知し、CSIRTはインシデントハンドリングや関係部門との調整、再発防止までを担う。両者が連携し、プレイブックや自動化を整えることで応答速度が向上する。
問題132
GDPRに相当する日本の法令はどれか。
A. 個人情報保護法 B. 労働基準法 C. 電波法 D. 著作権法
回答
A
解説
日本の個人情報保護法は個人情報の扱いに関する基本ルールを定める。要配慮個人情報や第三者提供、委託、外国移転、漏えい報告などの要件があり、事業者は安全管理措置を講じる必要がある。
問題133
S/MIMEの主な用途はどれか。
A. メールの暗号化と署名 B. DNS応答の検証 C. Webサーバ認証 D. 時刻配布
回答
A
解説
S/MIMEは公開鍵基盤を用いてメールの機密性(暗号化)と完全性・本人性(署名)を提供する。証明書発行や失効管理が必要で、相手側の鍵公開が前提となる。DNSSECやTLSとは用途が異なる。
問題134
クラウドの共有責任で、PaaSにおけるアプリケーションコードのセキュリティ責任主体は誰か。
A. 事業者 B. 利用者 C. 規制当局 D. データセンター警備
回答
B
解説
PaaSはOSやランタイムの多くを事業者が担う一方、アプリコード、設定、データ、アクセス権限は利用者の責任。脆弱性管理や秘密情報の扱いは利用者側で適切な統制が求められる。
問題135
事例:公開Webでディレクトリリスティングが有効だった。適切な対応はどれか。
A. 放置 B. リスティング無効化と不要ファイル削除、権限是正 C. ファイル名難読化のみ D. キャッシュ削除のみ
回答
B
解説
ディレクトリリスティングは内部情報の露出を招く。サーバ設定で無効化し、不要ファイルを削除、権限や配置を見直す。内部用は認証下に配置し、公開範囲を最小化することが基本である。
問題136
バックアップの不変(イミュータブル)ストレージの利点はどれか。
A. 容量無制限 B. ランサムウェアによる暗号化・削除から保護 C. 転送が不要 D. 監査が不要
回答
B
解説
イミュータブル保管は一定期間変更不可とし、攻撃者や誤操作による改変・削除を防ぐ。3-2-1原則やオフサイト保管と併用すると事業継続性が大きく高まる。監査や復旧訓練は依然として必要である。
問題137
フォレンジックで優先的に収集すべき「揮発性が高い」情報はどれか。
A. メモリ内容 B. 電源オフ端末のHDD C. 紙の書類 D. アーカイブDVD
回答
A
解説
揮発性の高い証拠(プロセス、ネットワーク接続、暗号鍵など)は電源断で消失するため、まずメモリ取得を優先する。その後ディスクやログなどの永続データを保全するのが一般的手順である。
問題138
危険なファイル種別のメール受信制御として適切なものはどれか。
A. すべて許可 B. 実行形式のブロックとコンテンツ分解 C. 画像のみ許可 D. 添付は自動実行
回答
B
解説
実行形式やスクリプトはゲートウェイでブロックし、アーカイブ内も分解・再圧縮で検査する。業務必要性に応じて許可リスト運用とし、到達後もサンドボックス検査を併用するのが望ましい。
問題139
クラウドSaaSの監査ログで重要な要素はどれか。
A. 画面色 B. 誰が・いつ・どこから・何をしたか C. 端末の壁紙 D. 文字サイズ
回答
B
解説
監査ログは認証・操作・権限変更・共有設定・API利用などを記録し、時刻同期と改ざん耐性を確保する。検索性と保管期間を定め、インシデントや監査時に迅速に遡及できる状態が理想である。
問題140
事例:公開バケットに「全員読み取り」が付与されていた。初動として適切なのはどれか。
A. 一旦削除のみ B. 直ちにアクセス制御を是正し、アクセスログで影響確認 C. 広報発表のみ D. 無視
回答
B
解説
公開設定を即時修正し、過去のアクセスログで外部アクセスの有無や範囲を特定する。必要に応じ通知や鍵のローテーション、再発防止のポリシー・監視を強化する。削除だけでは証跡が失われる。
問題141
リスクアセスメントで「影響」と「発生可能性」を掛け合わせる目的はどれか。
A. 予算の固定化 B. 優先順位の可視化 C. ベンダ選定 D. 形式的報告
回答
B
解説
影響度と発生可能性のマトリクスでリスクを評価すると、限られた資源で対策をどこに集中すべきかが明確になる。事業目標との整合や許容度の設定にも役立ち、説明責任を果たしやすい。
問題142
Cookieの属性でJavaScriptからの窃取を防ぎやすいのはどれか。
A. HttpOnly B. Max-Age C. Domain D. Expires
回答
A
解説
HttpOnly属性はスクリプトからの参照を禁止し、XSS時のトークン窃取リスクを下げる。SecureやSameSiteも併用して送信条件を厳格化し、サーバ側のセッション無効化や更新戦略と合わせて運用する。
問題143
サプライチェーン対策としてOSSコンポーネントの入手先で望ましいのはどれか。
A. 不明なミラー B. 公式レジストリや署名検証済みの信頼できるリポジトリ C. 個人ブログ D. 添付メール
回答
B
解説
供給源の真正性は極めて重要。公式レジストリで署名やハッシュを検証し、SBOMで依存関係を記録する。転送途中の改ざんやマルウェア混入を避けるため、チェックサム検証も徹底する。
問題144
クラウドの権限設計で「デフォルト拒否」を徹底する理由はどれか。
A. 設定が簡単 B. 余計な監査不要 C. 意図しない公開や過剰権限を防ぐ D. コストが下がる
回答
C
解説
最小権限とデフォルト拒否を原則にすると、新規リソースや変更時にも過剰なアクセスが自動的に付与されることを防げる。許可は必要性を示した上で限定的に与え、定期的に棚卸しする。
問題145
事例:深夜に未知の国から管理コンソールへの認証成功が検知。初動として適切なのはどれか。
A. 様子見 B. 直ちにセッション無効化、MFA強制、範囲と変更の調査 C. 全社へ一斉メール D. OS再インストール
回答
B
解説
乗っ取りの疑いが高い。まず該当アカウントのセッションを無効化し、パスワードリセットとMFA適用、監査ログで操作範囲や設定変更を確認する。アクセス制御に地理的制限を設け、検知ルールを強化する。
問題146
SOCの相関分析で用いるデータとして不適切なものはどれか。
A. 認証ログ B. ネットワークフロー C. 壁紙変更履歴 D. EDRイベント
回答
C
解説
相関分析は多様なテレメトリ(認証、プロキシ、DNS、フロー、端末イベント等)を組み合わせて脅威を炙り出す。壁紙の変更は通常、セキュリティ上の有意なシグナルにならない。
問題147
データの外国移転に関する適切な対応はどれか。
A. 国を問わず自由に移転 B. 契約・法令に基づく条件確認と利用者への通知・同意 C. 口頭で了承 D. 技術対策のみ
回答
B
解説
国外移転は法令や契約の要件を満たす必要がある。相手国の制度や受領者の管理水準、移転目的を確認し、必要に応じ本人同意や公表を行う。技術対策だけでは適法性を担保できない。
問題148
開発で「依存ライブラリの既知脆弱性」を検出するツール分類はどれか。
A. DAST B. SCA C. 負荷試験 D. 可用性監視
回答
B
解説
SCA(Software Composition Analysis)は依存コンポーネントとバージョンを解析し、CVEとの突合で脆弱性を特定する。SAST/DASTと組み合わせることでアプリのセキュリティ品質を高められる。
問題149
Windows端末の攻撃横展開抑止で有効な設定はどれか。
A. すべてのSMBを常時公開 B. LAPSやパスワード再利用防止 C. ローカル管理者共通化 D. RDP無制限公開
回答
B
解説
同一ローカル管理者資格情報の使い回しはPass-the-Hash等を容易にする。LAPSで端末ごとにランダムな管理者パスワードを運用し、RDP/SMB公開は必要最小に限定することが重要。
問題150
メールのドメインなりすまし対策の評価で使うレコードはどれか。
A. MXのみ B. SPF/DKIM/DMARC C. CNAMEのみ D. PTRのみ
回答
B
解説
SPFは送信元IPの正当性、DKIMはヘッダ署名、DMARCは整合性とポリシーを規定する。三者を組み合わせることでなりすましを検知・拒否し、受信側での評価も改善されやすい。
問題151
事例:端末がC2通信らしき外部ドメインへ周期的に接続。適切な初動はどれか。
A. 放置 B. 端末隔離・メモリ取得・プロセス調査・DNSブロック C. 再起動のみ D. 画面輝度を下げる
回答
B
解説
C2の疑いがあるため通信を遮断し、証拠保全を行いながらプロセスや自動起動の痕跡を調査する。他端末への横展開も確認し、インジケータを共有して組織全体で封じ込める。
問題152
リモートワークでの安全なプリント管理として適切なものはどれか。
A. 個人宅で自由印刷 B. セキュアプリントやウォーターマーク、印刷記録 C. すべて印刷禁止 D. ルールなし
回答
B
解説
リモート環境では紙媒体の管理が盲点になりやすい。印刷時に利用者認証、透かしや宛先情報の自動付与、記録の保存を行い、回収と廃棄を含めた運用ルールを明確にすることが重要である。
問題153
クラウド原則で「設計段階から障害を前提にする」考え方を指すものはどれか。
A. フェイルセーフ B. フェイルオープン C. フェイルストップ D. フェイルバック
回答
A
解説
フェイルセーフは障害発生時でも安全側に倒れる設計。冗長化、セルフヒーリング、ヘルスチェック、サーキットブレーカーなどを組み合わせ、可用性と安全性を高めることができる。
問題154
機密文書の閲覧にDLPクライアントを用いる主な理由はどれか。
A. 画質向上 B. コピー・印刷・画面キャプチャの制御と記録 C. ネット速度改善 D. バックアップ代替
回答
B
解説
DLPは機密の持出し経路(USB、印刷、画面)を制御・記録し、違反時の警告や遮断を行う。技術だけでなく、分類・教育・監査と併用して運用成熟度を高めることが効果的である。
問題155
業務端末のブラウザ拡張機能管理で適切な方針はどれか。
A. 全面許可 B. ホワイトリスト方式と権限監査 C. 利用者任せ D. 禁止せず監査なし
回答
B
解説
拡張機能は権限が強く、データ窃取の経路になり得る。許可されたもののみ利用可とし、権限や更新元を監査する。自動更新と署名検証、脆弱性情報の追跡も重要である。
問題156
OAuth 2.0でリソースアクセス範囲を限定する仕組みはどれか。
A. スコープ B. リフレッシュ C. ノンス D. ステートレス
回答
A
解説
スコープはクライアントに許可する権限の範囲(例:readのみ)を定義する。過剰権限を避け、同意画面で利用者に明示できる。OIDCはOAuthの上に認証を追加する仕様である。
問題157
クラウド費用ガードレールの例として適切なものはどれか。
A. コスト無制限 B. 予算アラートと自動停止ポリシー C. 毎月手動集計 D. 部門任せ
回答
B
解説
タグや予算を設定し、閾値超過時に通知・自動是正(停止や縮退)を行う。異常増加は侵害の兆候でもあるため、監査ログと合わせて原因究明できる体制が望ましい。
問題158
フィッシングサイト検出で有効なブラウザ技術はどれか。
A. プリロードHSTS B. HTTPのみ使用 C. フレーム許可 D. Mixed Content許可
回答
A
解説
HSTSはHTTPSのみの接続を強制し、ダウングレード攻撃や中間者攻撃のリスクを下げる。プリロードは初回からHTTPSを強制でき、偽サイト誘導の一部手口を抑止する効果がある。
問題159
インシデント・プレイブックの利点はどれか。
A. 属人的対応 B. 手順の標準化と迅速な初動 C. 証跡省略 D. 影響評価の省略
回答
B
解説
プレイブックは検知から封じ込め、根絶、復旧、報告までの手順を標準化し、役割・判断基準・連絡先を明示する。訓練で磨くことで、実際の対応速度と品質が安定する。
問題160
コンテナイメージの安全性確保で最も基本的な対策はどれか。
A. 不明なベースイメージ使用 B. 署名検証と脆弱性スキャン C. すべてrootで実行 D. レジストリ匿名公開
回答
B
解説
署名で供給元の真正性を確認し、SCA/スキャンで既知脆弱性を検出する。実行時は最小権限ユーザを用い、不要なパッケージを削除し、イメージの肥大化と攻撃面を減らす。
問題161
クラウドIAMで「条件付きアクセス」の代表的条件はどれか。
A. 壁紙色 B. 端末準拠状態・IP・位置・時間帯 C. ユーザの好み D. 画面サイズ
回答
B
解説
条件付きアクセスはコンテキストに応じて認証強度やアクセス可否を動的に決める。非準拠端末や未知の場所からのアクセスにMFAを要求したり拒否したりできるため、リスク低減に有効。
問題162
パスワード管理ツールの導入目的として最も適切なものはどれか。
A. 使い回し助長 B. 強固な一意パスワードの生成・保管 C. 共有ID促進 D. 平文配布
回答
B
解説
管理ツールは長くランダムなパスワードを自動生成し、安全に保存・自動入力できる。使い回しを避け、デバイス間で同期しつつ二要素認証で保護することが望ましい。
問題163
アクセストークンの盗難対策で適切なものはどれか。
A. 無期限トークン B. 短寿命+リフレッシュトークン保護 C. ログ未収集 D. 共有端末で保存
回答
B
解説
短寿命化は盗難時の悪用期間を短くできる。リフレッシュトークンは機密度が高いため安全に保護し、継続的なReAuthやデバイスバインド、トークン綴り替え(ローテーション)を組み合わせる。
問題164
事例:A社の担当者が社外SNSで機密の画面写真を投稿。適切な対応はどれか。
A. 放置 B. 直ちに削除要請・拡散防止・原因調査と教育 C. 全員投稿禁止の通知のみ D. 法的措置のみ
回答
B
解説
公開範囲の縮小と削除要請を迅速に行い、どの情報が露出したかを確認する。再発防止としてポリシーの明確化、教育、画面透かしやDLPの導入など技術・運用両面での見直しが必要。
問題165
侵入テストの前提として必須の事項はどれか。
A. テスターの匿名性 B. 明確な範囲・同意・時間帯・終了条件の合意 C. 本番への無制限攻撃 D. 記録不要
回答
B
解説
ペンテストは法的・倫理的合意の下で実施する。対象範囲や手法、時間、影響緩和策、報告書形式を事前に取り決め、万一の障害時の連絡・停止手順も決めておく必要がある。
問題166
VPNでスプリットトンネルを採用する際の補うべき対策はどれか。
A. 端末健全性検査とEPP/EDRの強化 B. 監査停止 C. すべてHTTP化 D. パスワード共有
回答
A
解説
インターネット直通と社内接続が併存するため、端末の防御力が要となる。健全性検査やEDR、ZTA移行を進め、機密系はフルトンネルに限定するなどの分離設計が望ましい。
問題167
マルウェアが生成する疑似ランダムドメインを用いた通信の検出に有効なのはどれか。
A. 文字数だけを見る B. DGA検知(統計的特徴の分析) C. 壁紙で判断 D. 週1で目視
回答
B
解説
DGA検知は文字分布、辞書性、クエリ頻度、NXDomain率などの特徴から機械的に異常ドメインを識別する。DNSログの可視化と相関分析でC2を早期発見できる可能性が高まる。
問題168
ソーシャルエンジニアリングの「肩越しのぞき見」を防ぐ物理対策はどれか。
A. 画面大型化 B. プライバシーフィルタ C. 壁紙変更 D. 解像度低下
回答
B
解説
プライバシーフィルタは視野角外からの閲覧を困難にする。併せて座席配置の見直し、離席時ロック、印刷物管理、会議室の遮蔽なども実施すると効果が高まる。
問題169
クラウドの「鍵管理」を事業者に委ねる場合の確認事項として適切でないものはどれか。
A. キーの冗長化と可用性 B. ローテーション方針 C. 監査ログの取得方法 D. 画面テーマ
回答
D
解説
KMSの可用性、暗号化方式、鍵のライフサイクル、ローテーション、アクセス制御、監査ログは重要な確認項目。UIテーマはセキュリティとは無関係である。
問題170
クラウドの設定変更が本番に与える影響を最小化する方法はどれか。
A. 本番で直接試行 B. インフラをコード化してレビュー・段階的適用 C. 変更記録を残さない D. 個人任せ
回答
B
解説
IaCで変更をコードとして管理し、レビュー・テスト・段階的リリース(カナリア等)で安全に反映する。変更は追跡可能となり、ロールバックも容易。手作業の本番変更はリスクが高い。
