情報セキュリティスペシャリスト過去問題

 EDI を説明したものはどれか。

 ア OSI 基本参照モデルに基づく電子メールサービスの国際規格であり,メッ
  セージの生成・転送・処理に関する総合的なサービスである。これによって,
  異機種間の相互接続が可能となる。

 イ 通信回線を介して,商取引のためのデータをコンピュータ(端末を含む)間
  で交換することである。その際,当事者間で必要となる各種の取決めには,
  標準的な規約を用いる。

 ウ ネットワーク内で伝送されるデータを蓄積したり,データのフォーマット
  を変換したりするサービスなど,付加価値を加えた通信サービスである。

 エ 発注情報をデータエントリ端末から入力することによって,本部又は仕入
  先に送信し,発注を行うシステムである。これによって,発注業務の省力化,
  物流・在庫管理の効率化を図ることができる。




『 平成16年 問40 解説 』


情報セキュリティスペシャリスト過去問題

 システム分析時の業務プロセスモデルの適切な定義方法はどれか。

 ア 実在する組織や現実の業務にとらわれることなく,必要な業務プロセスを
  定義する。

 イ 実在する組織を前提として,その企業にとって必要な業務プロセスを定義
  する。

 ウ できるだけ具体的な組織名や使用するシステム名称を用いて業務プロセス
  を定義する。

 エ ビジネスの職能的構造を重視して,必要な業務プロセスを定義する。




『 平成16年 問39 解説 』


情報セキュリティスペシャリスト過去問題

 企業経営における,ステークホルダ重視の目的はどれか。

 ア 企業存続の危機につながりかねない,経営者や社員の不法行為を防ぐ。

 イ 競合他社に対する差別化の源泉となる経営資源を保有し,強化する。

 ウ 経営者の権限行使をけん制し,適切な意志決定を行える仕組みを作る。

 エ 顧客,株主,地域,社員といった利害関係者の満足度を向上させ,企業
  の継続した発展を図る。



『 平成16年 問38 解説 』


情報セキュリティスペシャリスト過去問題

 マトリックス組織の特徴を説明したものはどれか。

 ア 権限の委譲,分権による新しいセクショナリズムが発生し,部門利益の部
  分極大化を追求したり,長期的成果よりも短期的成果を優先したりする傾向
  がある。

 イ 全社の製品やサービスよりも自己の職務に関心をもつようになり,過度の
  権限の集中が起こり,意志決定が遅延する傾向がある。

 ウ 組織上,業務上で同じような部門や職能が重複して設けられるという無駄
  が生じ,二重投資,三重投資が行われる傾向がある。

 エ 組織のメンバは,二つの異なる組織に属すことになり,複数の報告関係が
  公式に存在するので,責任を負うべき管理者があいまいになる傾向がある。




『 平成16年 問37 解説 』


情報セキュリティスペシャリスト過去問題

 ISMS の PDCA サイクルモデルにおいて,DO フェーズで実施される事項はどれ
か。

 ア 重要な不適合部分の是正

 イ セキュリティ教育

 ウ セキュリティポリシの策定

 エ 内部監査




『 平成16年 問36 解説 』


情報セキュリティスペシャリスト過去問題

 JIS X 5070(ISO 15408;情報技術セキュリティ評価基準)に関する記述のうち,
適切なものはどれか。

 ア 開発と並列して評価はできず,評価対象となる製品の開発が完了してから,
  評価を開始する。

 イ 情報資産に損害を与える危険性として,機密性,完全性を損なうだけでは
  なく,可用性を損なう脅威も対象としている。

 ウ 評価対象となる製品は,要件定義,概要設計,詳細設計を行った後にプロ
  グラム開発を行う,ウォータフォール型開発方式に従わなければならない。

 エ 保証維持の基準は含まれないが,セキュリティ要件や環境の変化などに伴っ
  て行われる評価済み製品の再評価の手順を対象範囲としている。





『 平成16年 問35 解説 』


情報セキュリティスペシャリスト過去問題

 JIS Q 9001(ISO 9001:2000) を適用して,ソフトウェアの品質マネジメントシ
ステムを構築する。その方針を示した次の文章中の a 〜 d に当てはまる組合せ
はどれか。

 トップマネジメントは,[a]に基づいた製品の品質保証に加えて顧客の満足
度の向上を目指し,[b]を組織全体のパフォーマンスと効率との継続的な改善
の手引きとして[c]を確立・実行・維持し,プロセスの改善を推進する。また,
[c]に基づいてコスト,納期,安全,環境などの経営要素の維持向上と併せて
[d]を推進する。

      ┌─────┬─────┬───┬───┐
        │   a    │    b    │   c  │   d  │
    ┌─┼─────┼─────┼───┼───┤
  |ア|JIS Q 9001│JIS Q 9004|  QMS |  TQM |
  |イ|JIS Q 9001│JIS Q 9004|  TQM |  QMS |
  |ウ|JIS Q 9004│JIS Q 9001|  QMS |  TQM |
  |エ|JIS Q 9004│JIS Q 9001|  TQM |  QMS |
   └─┴─────┴─────┴───┴───┘
  注 QMS(Quality Management System),TQM(Total Quality Management)






『 平成16年 問34 解説 』


情報セキュリティスペシャリスト過去問題

 リスクファイナンスを説明したものはどれか。

 ア 損失の発生率を低下させることによって保険料を節約し,損失防止を図る。

 イ 保険に加入するなど資金面での対策を講じ,リスク移転を図る。

 ウ リスクの原因を除去して保険を掛けずに済ませ,リスク回避を図る。

 エ リスクを扱いやすい単位に分解又は集約することによって、保険料を節約
  し,リスクの分離・結合を図る。




『 平成16年 問33 解説 』


情報セキュリティスペシャリスト過去問題

 コンピュータ犯罪の手口に関する記述のうち,適切なものはどれか。

 ア サラミ法とは,不正行為が表面化しない程度に,多数の資産から少しずつ
  詐取する方法である。

 イ スキャベンジング(ごみ箱あさり)とは,回線の一部に秘密にアクセスして
  他人のパスワードや ID を盗み出してデータを盗用する方法である。

 ウ トロイの木馬とは,プログラム実行後のコンピュータ内部又はその周辺に
  残っている情報をひそかに探索して,必要情報を入手する方法である。

 エ なりすましとは,ネットワークを介して送受信されている音声やデータを
  不正に傍受することである。




『 平成16年 問32 解説 』


情報セキュリティスペシャリスト過去問題

 インテグリティを脅かす攻撃はどれか。

 ア Web ページの改ざん

 イ システム停止をねらう DoS 攻撃

 ウ システム内に保管されているデータの不正取得

 エ 通信内容の盗聴




『 平成16年 問31 解説 』


情報セキュリティスペシャリスト過去問題

 "情報セキュリティ監査制度 : 情報セキュリティ管理基準"において,情報
セキュリティ基本方針の目的として記述されている内容はどれか。

 ア 情報セキュリティのための経営陣の指針及び支持を規定するため

 イ 人為的ミス,盗難,不正行為,又は設備誤用によるリスクを軽減するため

 ウ 組織内の情報セキュリティを管理するため

 エ 組織の資産を適切に保護し,管理するため





『 平成16年 問30 解説 』


情報セキュリティスペシャリスト過去問題

 SSL に関する記述のうち,適切なものはどれか。

 ア SSL で使用する個人認証用のディジタル証明書は,IC カードや USB デバ
  イスに格納できるので,格納場所を特定のパソコンに限定する必要はない。

 イ SSL は特定ユーザ間の通信のために開発されたプロトコルであり,事前の
  利用者登録が不可欠である。

 ウ ディジタル証明書には IP アドレスが組み込まれているので,SSL を利用
  する Web サーバの IP アドレスを変更する場合は,ディジタル証明書を再度
  取得する必要がある。

 エ 日本国内では,SSL で使用する共通かぎの長さは,128 ビット未満に制限
  されている




『 平成16年 問29 解説 』


情報セキュリティスペシャリスト過去問題

 ネットワークの非武装セグメント(DMZ)の構築や運用に関する記述のうち,適切
なものはどれか。

 ア DMZ のサーバの運用監視を内部ネットワークから行うことは,セキュリティ
  上好ましくないので,捜査員がサーバのコンソールから監視するようにする。

 イ データ保持用のサーバを,DMZ の Web サーバから切り離して内部ネット
  ワークに設置することによって,重要データが DMZ に置かれることを避け
  る。

 ウ 不正侵入をリアルタイムに検出するソフトウェアは,DMZ ではなく,重要
  なサーバが設置されている内部ネットワークで稼働させる。

 エ メールサーバを DMZ に設置することによって,電子メールの不正中継を
  阻止できる。





『 平成16年 問28 解説 』


情報セキュリティスペシャリスト過去問題

 情報システムへの脅威とセキュリティ対策の組合せのうち,適切なものはどれ
か。

  ┌───────────────┬────────────────┐
  │      脅威       │    セキュリティ対策    │
┌─┼───────────────┼────────────────┤
│ア│地震と火災          │フォールトトレラント方式のコン │
│ │               │ピュータによるシステムの二重化 │
├─┼───────────────┼────────────────┤
│イ│データの物理的な盗難と破壊  │ディスクアレイやファイアウォール│
├─┼───────────────┼────────────────┤
│ウ│伝送中のデータへの不正アクセス│HDLC プロトコルの CRC      │
├─┼───────────────┼────────────────┤
│エ│メッセージの改ざん      │公開かぎ暗号方式を応用したディジ│
│ │               │タル署名            │
└─┴───────────────┴────────────────┘




『 平成16年 問27 解説 』


情報セキュリティスペシャリスト過去問題

 ネットワーク監視型侵入検知ツール(NIDS)の導入目的はどれか。

 ア 管理下のサイトへの不正侵入の試みを記録し,管理者に通知する。

 イ 攻撃が防御できないときの損害の大きさを判定する。

 ウ サイト上のファイルやシステム上の資源への不正アクセスであるかどうか
  を判定する。

 エ 時間をおいた攻撃の関連性とトラフィックを解析する。





『 平成16年 問26 解説 』


情報セキュリティスペシャリスト過去問題

 マクロウイルスの感染に関する記述のうち,適切なものはどれか。

 ア 感染したプログラムを実行すると,マクロウイルスが主記憶にロードされ,
  その間に実行したほかのプログラムのプログラムファイルに感染する。

 イ 感染したフロッピーディスクからシステムを起動すると,マクロウイルス
  が主記憶にロードされ,ほかのフロッピーディスクのブートセクタに感染す
  る。

 ウ 感染した文書ファイルを開くと,テンプレートやスプレッドシートにマク
  ロウイルスが感染して,その後,別に開いたり新規作成したりした文書ファ
  イルに感染する。

 エ マクロがウイルスに感染しているかどうかは容易に判断できるので,文書
  ファイルを開く時点で感染を防止することができる。




『 平成16年 問25 解説 』


情報セキュリティスペシャリスト過去問題

 JPCERT/CC(JPCERT コーディネーションセンター)では,インシデントを六つの
タイプに分類している。

   Scan :    プローブ,スキャン,そのほかの不審なアクセス
   Abuse :   サーバプログラムの機能を悪用した不正中継
   Forged :   送信ヘッダを詐称した電子メールの配送
   Intrusion : システムへの侵入
   DoS :    サービス運用妨害につながる攻撃
   Other :   その他

 次の三つのインシデントとタイプの組合せのうち,適切なものはどれか。

  インシデント 1 : ワームの攻撃が試みられた形跡があるが,侵入されてい
          ない。
  インシデント 2 : ネットワークの輻輳による妨害を受けた。
  インシデント 3 : DoS 用の踏み台プログラムがシステムに設置されていた。

      ┌───────┬───────┬───────┐
      │インシデント 1│インシデント 2│インシデント 3│
    ┌─┼───────┼───────┼───────┤
    │ア│Abuse     │DoS      │Intrusion   │
    ├─┼───────┼───────┼───────┤
    │イ│Abuse     │Forged    │DoS      │
    ├─┼───────┼───────┼───────┤
    │ウ│Scan     │DoS      │Intrusion   │
    ├─┼───────┼───────┼───────┤
    │エ│Scan     │Forged    │DoS      │
    └─┴───────┴───────┴───────┘




『 平成16年 問24 解説 』


情報セキュリティスペシャリスト過去問題

 インターネット上で,安全なクレジット決済の取引処理を提供するために定め
られたプロトコルはどれか。

 ア CII

 イ RAS

 ウ SET

 エ SSL








『 平成16年 問23 解説 』


情報セキュリティスペシャリスト過去問題

 公開かぎ暗号を利用した証明書の作成,管理,格納,配布,破棄に必要な方式,
システム,プロトコル及びポリシの集合によって実現されるものはどれか。

 ア IPSec

 イ PKI

 ウ ゼロ知識証明

 エ ハイブリッド暗号






『 平成16年 問22 解説 』


情報セキュリティスペシャリスト過去問題

 暗号方式に関する記述のうち,適切なものはどれか。

 ア AES は公開かぎ暗号方式,RSA は共通かぎ暗号方式の一種である。

 イ 共通かぎ暗号方式では,暗号化かぎと復号かぎが同一である。

 ウ 公開かぎ暗号方式を通信内容の秘匿に使用する場合は、暗号化かぎを秘密
  にして,復号かぎを公開する。

 エ ディジタル署名は,公開かぎ暗号方式を使用せず,共通かぎ暗号方式を使用
  する。





『 平成16年 問21 解説 』


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。