情報セキュリティマネジメント過去問 2023年（SG）

情報セキュリティマネジメント過去問 2023年

令和5年度の情報セキュリティマネジメント試験（SG）について、CBT方式の試験問題のうち、実際に出題した試験問題を公開しています。

情報セキュリティマネジメント試験（SG）の実際の試験は60問で構成されますが、そのうちの一部の問題を公開しています。

1. 情報セキュリティ管理基準（平成 28 年）に関する記述のうち，適切なものはどれか。

ア . “ガバナンス基準”，“管理策基準”及び“マネジメント基準”の三つの基準で構
成されている。

イ . JIS Q 27001:2014（情報セキュリティマネジメントシステム－要求事項）及び
JIS Q 27002:2014（情報セキュリティ管理策の実践のための規範）との整合性をと
っている。

ウ . 情報セキュリティ対策は，“管理策基準”に挙げられた管理策の中から選択する
こととしている。

エ . トップマネジメントは，“マネジメント基準”に挙げられている事項の中から，
自組織に合致する事項を選択して実施することとしている。

2. 入室時と退室時に ID カードを用いて認証を行い，入退室を管理する。このとき，入室時の認証に用いられなかった ID カードでの退室を許可しない，又は退室時の認証に用いられなかった ID カードでの再入室を許可しないコントロールを行う仕組みはどれか。

ア .TPMOR（Two Person Minimum Occupancy Rule）

イ .アンチパスバック

ウ .インターロックゲート

エ .パニックオープン

3. デジタルフォレンジックスの説明はどれか。

ア .サイバー攻撃に関連する脅威情報を標準化された方法で記述し，その脅威情報を
セキュリティ対策機器に提供すること

イ .受信メールに添付された実行ファイルを動作させたときに，不正な振る舞いがな
いかどうかをメールボックスへの保存前に確認すること

ウ .情報セキュリティインシデント発生時に，法的な証拠となるデータを収集し，保
管し，調査分析すること

エ .内部ネットワークにおいて，通信データを盗聴されないように暗号化すること

4. 暗号方式に関する記述のうち，適切なものはどれか。

ア. 公開鍵暗号方式，共通鍵暗号方式ともに，大きな合成数の素因数分解が困難であ
ることが安全性の根拠である。

イ .公開鍵暗号方式では原則としてセッションごとに異なる鍵を利用するが，共通鍵
暗号方式では一度生成した鍵を複数のセッションに繰り返し利用する。

ウ .公開鍵暗号方式は仕様が標準化されているが，共通鍵暗号方式はベンダーによる
独自の仕様で実装されることが一般的である。

エ .大量のデータを短い時間で暗号化する場合には，公開鍵暗号方式よりも共通鍵暗
号方式が適している。

5. セキュアハッシュ関数 SHA-256 を用いてファイル A 及びファイル B のハッシュ値を算出すると，どちらも全く同じ次に示すハッシュ値 n（16 進数で示すと 64 桁）となった。この結果から考えられることとして，適切なものはどれか。
ハッシュ値 n：86620f2f 152524d7 dbed4bcb b8119bb6 d493f734 0b4e7661 88565353 9e6d2074

ア .ファイル A とファイル B の各内容を変更せずに再度ハッシュ値を算出すると，フ
ァイル A とファイル B のハッシュ値が異なる。

イ .ファイル A とファイル B のハッシュ値 n のデータ量は 64 バイトである。

ウ .ファイル A とファイル B を連結させたファイル C のハッシュ値の桁数は 16 進数
で示すと 128 桁である。

エ .ファイル A の内容とファイル B の内容は同じである。

6. 迷惑メール対策の SPF（Sender Policy Framework）の仕組みはどれか。

ア .送信側ドメインの管理者が，正規の送信側メールサーバの IP アドレスを DNS に
登録し，受信側メールサーバでそれを参照して，IP アドレスの判定を行う。

イ .送信側メールサーバでメッセージにデジタル署名を施し，受信側メールサーバで
そのデジタル署名を検証する。

ウ .第三者によって提供されている，スパムメールの送信元 IP アドレスのデータベ
ースを参照して，スパムメールの判定を行う。

エ .ファイアウォールを通過した要求パケットに対する応答パケットかどうかを判断
して，動的に迷惑メールの通信を制御する。

7. Web アプリケーションにおけるセキュリティ上の脅威とその対策に関する記述のうち，適切なものはどれか。

ア .OS コマンドインジェクションを防ぐために，Web アプリケーションが発行するセ
ッション ID に推測困難な乱数を使用する。

イ .SQL インジェクションを防ぐために，Web アプリケーション内でデータベースへ
の問合せを作成する際にプレースホルダを使用する。

ウ .クロスサイトスクリプティングを防ぐために，Web サーバ内のファイルを外部か
ら直接参照できないようにする。

エ .セッションハイジャックを防ぐために，Web アプリケーションからシェルを起動
できないようにする。

8. 電子署名法に関する記述のうち，適切なものはどれか。

ア .電子署名には，電磁的記録ではなく，かつ，コンピュータで処理できないものも
含まれる。

イ .電子署名には，民事訴訟法における押印と同様の効力が認められる。

ウ .電子署名の認証業務を行うことができるのは，政府が運営する認証局に限られる。

エ .電子署名は共通鍵暗号技術によるものに限られる。

9. 情報システムのインシデント管理に対する監査で判明した状況のうち，監査人が，指摘事項として監査報告書に記載すべきものはどれか。

ア .インシデント対応手順が作成され，関係者への周知が図られている。

イ .インシデントによってデータベースが被害を受けた場合の影響を最小にするため
に，規程に従ってデータのバックアップをとっている。

ウ .インシデントの種類や発生箇所，影響度合いに関係なく，連絡・報告ルートが共
通になっている。

エ .全てのインシデントについて，インシデント記録を残し，責任者の承認を得るこ
とが定められている。

10. HTTP の cookie に関する記述のうち，適切なものはどれか。

ア .cookie に含まれる情報は HTTP ヘッダの一部として送信される。

イ .cookie に含まれる情報は Web サーバだけに保存される。

ウ .cookie に含まれる情報は Web ブラウザが全て暗号化して送信する。

エ .クライアントが cookie に含まれる情報の有効期限を設定する。

11. BPM の説明はどれか。

ア .企業活動の主となる生産，物流，販売，財務，人事などの業務の情報を一元管理
することによって，経営資源の全体最適を実現する。

イ .業務プロセスに分析，設計，実行，改善のマネジメントサイクルを取り入れ，業
務プロセスの改善見直しや最適なプロセスへの統合を継続的に実施する。

ウ .顧客データベースを基に，商品の販売から保守サービス，問合せやクレームへの
対応など顧客に関する業務プロセスを一貫して管理する。

エ .部品の供給から製品の販売までの一連の業務プロセスの情報をリアルタイムで交
換することによって，在庫の削減とリードタイムの短縮を実現する。

12. 品質管理において，結果と原因との関連を整理して，魚の骨のような図にまとめたものはどれか。

ア .管理図

イ .特性要因図

ウ .パレート図

エ .ヒストグラム

13. A 社は，分析・計測機器などの販売及び機器を利用した試料の分析受託業務を行う分析機器メーカーである。A 社では，図 1 の“情報セキュリティリスクアセスメント手順”に従い，年一度，情報セキュリティリスクアセスメントを行っている。

A 社の情報セキュリティリーダーである B さんは，年次の情報セキュリティリスク
アセスメントを行い，結果を情報資産管理台帳に表 1 のとおり記載した。

設問表 1 中の各情報資産のうち，保有以外のリスク対応を行うべきものはどれか。該当するものだけを全て挙げた組合せを，解答群の中から選べ。
解答群

ア (一)，(二) イ (一)，(二)，(三)
ウ (一)，(二)，(四) エ (一)，(三)
オ (一)，(三)，(四) カ (一)，(四)
キ (二)，(三) ク (二)，(三)，(四)
ケ (二)，(四) コ (三)，(四)

ア (一)，(二)

イ (一)，(二)，(三)

ウ (一)，(二)，(四)

エ (一)，(三)

オ (一)，(三)，(四)

カ (一)，(四)

キ (二)，(三)

ク (二)，(三)，(四)

ケ (二)，(四)

コ (三)，(四)

14. A 社は旅行商品を販売しており，業務の中で顧客情報を取り扱っている。A 社が保有する顧客情報は，A 社のファイルサーバ 1 台に保存されている。ファイルサーバは，顧客情報を含むフォルダにある全てのデータを磁気テープに毎週土曜日にバックアップするよう設定されている。バックアップは 2 世代分が保存され，ファイルサーバの隣にあるキャビネットに保管されている。A 社では年に一度，情報セキュリティに関するリスクの見直しを実施している。情報セキュリティリーダーである E 主任は，A 社のデータ保管に関するリスクを見直して図 1 にまとめた。

E 主任は，図 1 の 4 のリスクを低減するための対策を検討し，効果が期待できるものを選んだ。
設問次の対策のうち，効果が期待できるものを二つ挙げた組合せを，解答群の中から選べ。
(一) 週 1 回バックアップを取得する代わりに，毎日 1 回バックアップを取得して
7 世代分保存する。
(二) バックアップ後に，磁気テープ中のファイルのリストと，ファイルサーバの
バックアップ対象ファイルのリストとを比較し，合致しているかを確認する。
(三) バックアップ対象とするフォルダの設定を，必ず 2 名で行うようにする。
(四) バックアップ用の媒体を磁気テープから外付けハードディスクに変更する。
(五) バックアップを二組み取得し，うち一組みを遠隔地に保管する。

ア (一)，(二)

イ (一)，(三)

ウ (一)，(四)

エ (一)，(五)

オ (二)，(三)

カ (二)，(四)

キ (二)，(五)

ク (三)，(四)

ケ (三)，(五)

コ (四)，(五)

15. 消費者向けの化粧品販売を行う A 社では，電子メール（以下，メールという）の送受信にクラウドサービスプロバイダ B 社が提供するメールサービス（以下，B サービスという）を利用している。A 社が利用する B サービスのアカウントは，A 社の情報システム部が管理している。
〔B サービスでの認証〕
B サービスでの認証は，利用者 ID とパスワードに加え，あらかじめ登録しておいたスマートフォンの認証アプリを利用した 2 要素認証である。入力された利用者 IDとパスワードが正しかったときは，スマートフォンに承認のリクエストが来る。リクエストを 1 分以内に承認した場合は，B サービスにログインできる。
〔社外のネットワークからの利用〕
社外のネットワークから社内システム又はファイルサーバを利用する場合，従業員は貸与された PC から社内ネットワークに VPN 接続する。
〔PC でのマルウェア対策〕
従業員に貸与された PC には，マルウェア対策ソフトが導入されており，マルウェア定義ファイルを毎日 16 時に更新するように設定されている。マルウェア対策ソフトは，毎日 17 時に，各 PC のマルウェア定義ファイルが更新されたかどうかをチェックし，更新されていない場合は情報システム部のセキュリティ担当者に更新されていないことをメールで知らせる。
〔メールに関する報告〕
ある日の 15 時頃，販売促進部の情報セキュリティリーダーである C 課長は，在宅で勤務していた部下の D さんから，メールに関する報告を受けた。報告を図 1 に示す。

C 課長は，すぐに PC を会社に持参し，オフラインでマルウェア対策ソフトの定義ファイルを最新版に更新した後，フルスキャンを実施するよう，D さんに指示をした。スキャンを実行した結果，D さんの PC からマルウェアが検出された。このマルウェアは，マルウェア対策ソフトのベンダーが 9 時に公開した最新の定義ファイルで検出可能であることが判明した。
A 社では，今回のマルウェア感染による情報セキュリティインシデントの問題点を整理し，再発を防止するための対策を講じることにした。

設問 A 社が講じることにした対策はどれか。解答群のうち，最も適切なものを選べ。

ア .PC が起動したらすぐに自動的に VPN 接続するように，PC を構成する。

イ .これまでメールをやり取りしたことがない差出人からメールを受信した場合は，
添付されているファイルを開かず，すぐに削除するよう社内ルールに定める。

ウ .マルウェア定義ファイルは，10 分ごとに更新されるように，マルウェア対策
ソフトの設定を変更する。

エ .マルウェア定義ファイルは，8 時にも更新されるように，マルウェア対策ソフ
トの設定を変更する。

オ .メールに添付されたファイルを開く場合は，一旦 PC に保存し，マルウェア対
策ソフトでスキャンを実行してから開くよう社内ルールに定める。

Rate this post

Visited 3 times, 1 visit(s) today

Related Posts

基本情報技術者試験過去問 FE 2025年

基本情報技術者試験過去問 FE 2024年

基本情報技術者試験過去問 FE 2023年

About itjisho.com