情報セキュリティマネジメント過去問 2025年（SG）

情報セキュリティマネジメント過去問 2025年

令和7年度の情報セキュリティマネジメント試験（SG）について、CBT方式の試験問題のうち、実際に出題した試験問題を公開しています。

情報セキュリティマネジメント試験（SG）の実際の試験は60問で構成されますが、そのうちの一部の問題を公開しています。

1. JIS Q 31000:2019（リスクマネジメント－指針）におけるリスクマネジメントプロセスに関する記述のうち，適切なものはどれか。

ア .リスク対応の意義は，プロセスの設計，実施及び結末の質及び効果を保証し，改
善することである。

イ .リスク特定の意義は，リスクに対処するための選択肢を選定し，実施することで
ある。

ウ .リスク評価の意義は，組織の目的の達成を助ける又は妨害する可能性のあるリス
クを発見し，認識し，記述することである。

エ .リスク分析の意義は，必要に応じてリスクのレベルを含め，リスクの性質及び特
徴を理解することである。

2. SIEM 製品によるセキュリティ上の効果として，最も適切なものはどれか。

ア .様々な機器のログを集中管理することによって，横断的な分析や相関分析が可能
になり，単純な目視だけでは発見困難な兆候を検知，分析，可視化することが可能
になる。

イ .通信経路上を流れるパケットをキャプチャし，暗号化されたデータが改ざんされ
ていないかどうかをチェックすることが可能になる。

ウ .ファイアウォール，IDS，マルウェア対策といった複数のネットワークセキュリ
ティ機能を一つの機器で実現することが可能になる。

エ .ファイルの改ざんを検知すると，事前に取得済みのバックアップを用いて直ちに
修復することが可能になる。

3. ゼロトラストの説明として，最も適切なものはどれか。

ア .機器やソフトウェアの脆ぜい弱性のうち，開発元から対策方法，修正プログラムなどが提供されていない脆弱性が残っている状態のこと

イ .内部ネットワークであっても必ずしも安全ではないことを前提として対策を講じる考え方のこと

ウ .秘密情報そのものは明かさずに，自分が秘密情報を知っていることを相手に知らせる方法のこと

エ .マルウェア定義ファイルを用いず，PC の振る舞いからマルウェア感染を検知する手法のこと

4. 不正が発生する際には“不正のトライアングル”の 3 要素全てが存在すると考えられている。“不正のトライアングル”の構成要素の説明として，適切なものはどれか。

ア .“機会”とは，情報システムなどの技術や物理的な環境，組織のルールなど，内
部者による不正行為の実行を可能又は容易にする環境の存在である。

イ .“情報と伝達”とは，必要な情報が識別，把握及び処理され，組織内外及び関係
者相互に正しく伝えられるようにすることである。

ウ .“正当化”とは，ノルマによるプレッシャなどのことである。

エ .“動機”とは，良心のかしゃくを乗り越える都合の良い解釈や他人への責任転嫁
など，内部者が不正行為を自ら納得させるための自分勝手な理由付けである。

5. DNS キャッシュサーバでの DNS キャッシュポイズニング攻撃の対策はどれか。

ア .DNS サービスの待ち受けポートを 53 番に固定する。

イ .外部の DNS クライアントからの再帰的問合せを受け付けない設定にする。

ウ .権威 DNS サーバへの問合せに使用するトランザクション ID を固定する。

エ .権威 DNS サーバへの非再帰的問合せを行う設定にする。

6. CVSS v3 について，基本評価基準，現状評価基準，環境評価基準のうち，現状評価基準の特徴はどれか。

ア .攻撃コードの出現の有無，利用可能な対策のレベルなどに応じ，評価結果は時間の経過で変化する。

イ .脆ぜい弱性及び想定される脅威に応じ，製品利用者ごとに評価結果は異なる。

ウ .製品利用者が脆弱性への対応を決めるための評価に用いる基準であり，評価結果は時間の経過で変化しない。

エ .評価結果は利用環境によらず同じで，かつ，時間の経過でも変化しない。

7. 特定電子メール法の説明として，適切なものはどれか。

ア .特定電子メール法は，広告のための電子メールの送信を受託した事業者だけを規
制している。

イ .特定電子メール法の規制は，受信者から受信拒否の通知があった場合にだけ広告
宣伝メールを禁止するオプトアウト方式を採用している。

ウ .特定電子メール法の目的は，取引の公平の観点から広告宣伝メールを規制するこ
と及び犯罪捜査のための通信傍受である。

エ .特定電子メール法は，規制の対象となる電子メールの送信者及び送信委託者に対
する義務を規定している。

8. 情報セキュリティ違反を犯した従業員に対する懲戒手続を規定した就業規則を含む社内規程の内容について，情報セキュリティ管理基準（平成 28 年）に基づき監査を実施した。監査人が，指摘事項として監査報告書に記載すべきものはどれか。

ア .従業員による情報セキュリティ違反の可能性を認識したら，直ちに懲戒手続を開
始することを定めていた。

イ .懲戒手続は，情報セキュリティ違反による業務への影響度，違反を犯した従業員
に対する教育の実施状況などを考慮した段階別の対応を定めていた。

ウ .懲戒手続は，情報セキュリティ違反を犯した従業員に対する恣意性を排除した公
平な取扱いを定めていた。

エ .懲戒手続を具体化した細則を策定すること，及び従業員に周知徹底することを定
めていた。

9. サービス満足度の目標値を“サービス満足度に関する調査アンケートの満足度の平均点が 5 点満点中 4.0 点”と設定したサービスがある。調査アンケートの集計結果が表のとおりであるとき，目標達成率は幾らか。ここで，目標達成率は次式で計算するものとする。
目標達成率＝満足度の平均点 ÷ 満足度の目標値

ア 0.6

イ 0.72

ウ 0.8

エ 0.9

10. システムの信頼性指標である RASIS の，安全性を除く四つに関する記述のうち，適切なものはどれか。

ア .R の信頼性は，システムの MTBF によって表す。

イ .A の可用性は，システムが稼働している時間の平均値によって表す。

ウ .S の保守性は，システムの稼働率によって表す。

エ .I の完全性は，システムの故障率によって表す。

11. 企業全体で使用するデータを統合・整理したデータウェアハウスから，特定の分析目的のためにデータを加工して構築したものはどれか。

ア .データカタログ

イ .データマート

ウ .データリネージ

エ .データレイク

12. 経済産業省が取りまとめた“DX レポート 2”では，組織が DX 実現に至る段階をデジタイゼーション，デジタライゼーション，デジタルトランスフォーメーションに分けている。製造業のデジタル化事例において，デジタルトランスフォーメーションの段階に達しているものはどれか。

ア .3D 画像撮影用の高性能カメラを生産ラインに設置し，カメラの前を通過する製
造物のデジタル画像をリアルタイムで記録して，出荷検査の証拠データとする。

イ .技術継承のために，生産ラインに設置したカメラと，熟練工の手に装着したウェ
アラブルセンサーによって，熟練工の所作をデジタルデータとして保存した上で，
AI を用いて熟練工の動きをモデル化する。

ウ .顧客から販売・在庫情報を，部品メーカーから生産・在庫情報をデジタルデータ
で逐次入手し，AI を用いて複数の需給調整案を高速でシミュレーションすること
によって，サプライチェーン全体を最適化する。

エ .生産ラインで取得したデジタル画像データから良品，不良品の特徴を AI に学習
させた上で，AI で画像解析を行うことによって，自社の出荷時検品作業を効率化
する。

13. A 社は従業員 300 名の IT サービス企業であり，ヘルプデスク業務のアウトソーシングサービスを提供している。A 社はオンプレミスのシステムを所有しておらず，顧客向けサービスのほか，社内業務でもクラウドサービスを利用している。A 社では，各従業員に PC 及びスマートフォンを貸与している。スマートフォンは勤怠管理などの社内業務だけに利用している。A 社では，クラウドサービスについての可用性に関する重要度の評価（以下，可用性に関する重要度の評価を可用性評価という）を本来実施すべきであったが，実施できていなかった。そこで，A 社の情報セキュリティリーダーである B 主任が，表 1 のとおり，A 社がリスク評価で用いる可用性評価の基準を用いて可用性評価を実施することになった。

B 主任は A 社が利用しているクラウドサービスについて可用性評価を実施し，利用方法及び可用性に関する重要度を表 2 のとおりまとめた。

ア .a1 : 0 、a2 : 0

イ .a1 : 0 、a2 : １

ウ .a1 : 0 、a2 : 2

エ .a1 : 1 、a2 : 0

オ .a1 : 1 、a2 : 1

カ .a1 : 1 、a2 : 2

キ .a1 : 2 、a2 : 0

ク .a1 : 2 、a2 : 1

ケ .a1 : 2 、a2 : 2

14. A 社は，従業員 300 名の部品メーカーである。A 社ではこれまで，業務に必要なファイルを他社との間で受け渡す場合には電子メール（以下，メールという）を利用してきた。最近になって，取引先の B 社から，ファイルの受渡しについては，C サービスというクラウドストレージサービスを利用して欲しいとの要請を受けた。図 1 は，C サービスを利用した場合のファイル受渡しの流れである。

a に関する解答群

ア .a1 (一) 、a2 (二) 、a3 (三)

イ .a1 (一) 、a2 (二) 、a3(六)

ウ .a1 (一) 、a2 (四) 、a3 (三)

エ .a1 (一) 、a2 (四) 、 a3 (六)

オ .a1 (五) 、a2 (二) 、a3 (三)

カ .a1 (五) 、a2 (二) 、a3 (六)

キ .a1 (五) 、a2 (四) 、a3 (三)

ク .a1 (五) 、a2 (四) 、a3 (六)

15. A 社は，スマートフォン用ヘルスケア関連アプリケーションソフトウェア（以下，A アプリという）の開発，販売を行う会社である。A アプリは，ヘルスケアデータ収集機能によって，利用者の体重や歩数のデータを収集するとともに，アンケート機能によって，勤務先の業種，年収などのデータを収集している。営業部は，保険会社である B 社と共同のビジネスを検討している。その中で，A アプリで収集したデータ及び今後収集するデータから匿名加工情報を作成した上で，その匿名加工情報を B 社に第三者提供することを検討している。B 社では，提供を受けた匿名加工情報を分析して，B 社の保険商品のマーケティングに活用しようとしている。分析の対象は，年代，性別，年収区分，住んでいる地域区分及び勤務先の業種と体重及び歩数との関係である。ここで，地域区分とは，北海道，東北，南関東などの区分のことをいう。加工対象となる“個人情報データベース等”（以下，加工対象情報という）は，表1 の顧客属性データと表 2 のヘルスケアデータの 2 種類からなり，利用者番号によって関連付けられている。

営業部の情報セキュリティリーダーである C 課長は，加工対象情報に含まれる各情報の項目について，適用する匿名加工情報の作成に係る手法（以下，匿名加工情報の作成に係る手法を匿名加工手法という）を表 3 にまとめた。

C 課長は，加工対象情報である表 1 及び表 2 に示す各データに対して，表 3 の匿名加工手法を必要に応じて適用し匿名加工情報を作成する案を用意した。その案を法務部の D 課長に報告したところ，D 課長からは，想定するマーケティング用途にも有効であり，匿名加工手法の適用も適切であるとの回答を得た。

設問解答群に示した 3 項目それぞれについて，C 課長が適用した匿名加工手法はどれか。表 3 の手法のうち，適用したものの組合せを，解答群の中から選べ。なお，各項目に対して複数の匿名加工手法を適用しても構わないし，一つも適用せずに“加工なし”としても構わない。

ア .電子メールアドレス : 加工なし、勤務先の業種 : 加工なし、体重 :（三）

イ .電子メールアドレス : 加工なし、勤務先の業種 : 加工なし、体重 :（三），（四）

ウ .電子メールアドレス : 加工なし、勤務先の業種（一）、体重 :（一）

エ .電子メールアドレス : 加工なし、勤務先の業種（一）、体重 :（三）

オ .電子メールアドレス : 加工なし、勤務先の業種（一）、体重 :（三），（四）

カ .電子メールアドレス : （一）、勤務先の業種 : 加工なし、体重 :（三）

キ .電子メールアドレス : （一）、勤務先の業種 : 加工なし、体重 :（三），（四）

ク .電子メールアドレス :（一）、勤務先の業種 :（一）、体重 :（一）

ケ .電子メールアドレス :（一）、勤務先の業種 :（一）、体重 :（三）

コ . 電子メールアドレス :（一）、勤務先の業種 :（一）、体重 :（三），（四）

Rate this post

Visited 3 times, 1 visit(s) today

Related Posts

基本情報技術者試験過去問 FE 2025年

基本情報技術者試験過去問 FE 2024年

基本情報技術者試験過去問 FE 2023年

About itjisho.com