情報セキュリティマネジメント試験は、IT業界に限らずあらゆる業種で求められる情報セキュリティの基礎知識を問う国家資格です。就職活動でも自己PRの材料になりやすく、興味のある人は早めに対策を始めておくと安心です。
この記事では、キャリアコンサルタントの野村さんとともに、解き方のポイントや学習のコツを解説します。試験範囲は広いため、押さえておくべき知識を効率よく確認していきましょう。
後半では練習問題を16問用意しています。まだ十分に対策できていないと感じる人は、ぜひ実際に解いて自分の理解度を確かめてみてください。
例題を解く前に確認! 情報セキュリティマネジメント試験の解答のコツ
情報セキュリティマネジメント試験の概要
- 問題パターン:4択選択式(科目A)/多肢選択・シナリオ読解式(科目B)
- 1問あたりの時間:約75秒(科目A)/約200秒(科目B)
- 出題頻度:テストセンター(あり)ペーパーテスト(なし)Webテスティング(なし)
- 情報セキュリティマネジメント試験対策のコツを教えてください!
基本を理解してから過去問に挑戦! 判断基準を考えながら解くのが大切
情報セキュリティマネジメント試験は、就活生にとって比較的取り組みやすい資格です。難しいプログラミング知識よりも、情報管理、リスク対応、法務、社内ルールといった「社会人として知っておきたい基本」が問われます。
対策の優先順位としては、まず頻出用語と基本概念を押さえ、その後に過去問で出題形式や問われ方に慣れるのがおすすめです。
単なる暗記ではなく、「この場面ならどう判断するか」を考えながら解くことが、得点にも実務理解にもつながります。
本番で焦らないために!WEBテスト模試を試してください
書類の準備や面接対策に時間を割いて、WEBテストの対策まで手がまわらない人は多いです。
「WEBテスト模試」なら、スマホやパソコンで簡単に頻出問題の対策をすることができます。言語と非言語の問題を網羅的に出題。テストを受け終わったら、解説を見ながらすぐに復習して苦手分野の対策が出来ますよ。
WEBテストの対策は効率的に進めながら、他の対策に力を入れて選考を突破しましょう!
情報セキュリティマネジメント試験の練習問題16問|野村さんによる解き方の解説付き!
ここからは、情報セキュリティマネジメントの練習問題を野村さんの解説付きで16問紹介します。専門用語の意味を正確に理解できているかが得点を左右するので、わからなかった問題こそ解説をしっかり読み込んでおきましょう。
初めて情報セキュリティマネジメントの対策に取り組む人は、まず「例題を解く前に確認! 情報セキュリティマネジメントの解答のコツ」を読んでから挑戦すると、効率よく学習を進められます。
問題1(難易度:★★★☆☆)
問題
我が国の情報セキュリティ推進体制において、情報処理の促進に関する法律にもとづき経済産業省の所管のもとに設立され、IT人材の育成や、情報セキュリティ対策の強化、産業サイバーセキュリティセンターの運営などをおこなう独立行政法人はどれか。
選択肢
正解:A
IPA(情報処理推進機構)は、日本のIT社会の動向分析や情報セキュリティ対策の強化、情報処理技術者試験などのIT人材の育成を一体的に推進する独立行政法人である。JIPDECはプライバシーマーク制度の運営などをおこなう一般財団法人、JPCERT/CCはインシデントへの対応支援などをおこなう一般社団法人、NISCは内閣官房に設置された政府機関であり、いずれも設立の根拠や組織の形態が異なる。
この問題は、情報セキュリティ分野の関係機関の役割を区別できるかを問う基本問題です。
IPAは、IT人材育成、情報処理技術者試験、情報セキュリティ対策支援などを担う独立行政法人です。JIPDEC、JPCERT/CC、NISCはよく混同されますが、それぞれ法人形態や役割が異なります。
組織名だけでなく、「何をする機関か」「どの立場の組織か」をセットで覚えると、類題にも対応しやすくなります。
問題2(難易度:★★★☆☆)
問題
我が国の情報セキュリティ推進体制や関連機関に関する次の問題を読み、最も適切なものを一つ選びなさい。
遠隔地のデータセンターで運用している重要サーバーについて、攻撃者が物理的にデータセンター内へ侵入し、稼働中のサーバーからストレージドライブを直接抜き取って持ち去る、あるいはその場で不正にデータを複製するリスクを想定した。このとき、データを不正に読み取られることを防ぐための対策として、最も適切なものはどれか。
選択肢
正解:C
ストレージの物理的な抜き取りに対しては、ストレージ内のデータを暗号化しておくことが最も有効な対策となる。データを暗号化しておけば、別の機材に接続されても暗号鍵がない限りデータを読み取られることはない。AおよびBは、いずれもOSが正常に起動しているなかでの論理的な制御であるため、ストレージを物理的に抜き取られて別のシステムに接続された場合には効果がない。Dのファームウェアパスワードは該当のサーバー機自体の起動を制限するものであるため、ストレージ単体を持ち去られた場合の対策としては機能しない。
この問題は、サイバー攻撃ではなく「物理的に機器や記憶媒体を持ち去られた場合」の対策を問う点がポイントです。
OSのパスワードやアクセス権設定は、サーバー本体の中で動く論理的な対策です。そのためストレージを抜き取られて別の機器につながれると効果がありません。最も有効なのはストレージ全体の暗号化です。
情報セキュリティでは、「不正アクセス」と「物理持ち出し」で有効な対策が異なることを整理して理解することが大切です。
問題3(難易度:★★★☆☆)
問題
組織における内部不正防止に関する次の問題を読み、最も適切なものを一つ選びなさい。
企業の重要情報を取り扱う部署において、従業員による情報の不正持出しや漏えいを防止するための対策として、IPA「組織における内部不正防止ガイドライン」に照らして最も適切なものはどれか。
選択肢
正解:B
重要情報へのアクセス履歴(ログ)を定期的に取得して監査をおこなうことは、不正の早期発見や事後の追跡に役立つとともに、従業員の不正行為に対する心理的な抑止効果を持つ。Aは必要最小限の原則に反するため不適切である。Cは対象情報が明確に特定できないため、誓約書としての効力が著しく低下する。Dは個人の特定が困難になり、責任追及や原因究明を妨げるため不適切である。
この問題は、内部不正防止の基本である「必要最小限の権限付与」「個人単位での識別」「ログの取得と監査」を理解しているかを問う問題です。
正解のBは、不正の抑止と事後追跡の両方に有効な対策です。
Aは権限が広すぎますし、Cは誓約内容が曖昧で実効性に欠けます。そして、Dは共通IDにより誰が何をしたか追えなくなるため不適切です。
内部不正対策では「あとで追える仕組み」を持つことが重要だと押さえておくと判断しやすくなります。
問題4(難易度:★★★☆☆)
問題
ネットワークセキュリティにおけるマルウェアの通信制御に関する次の問題を読み、最も適切なものを一つ選びなさい。
社内ネットワークのPCに感染したマルウェアが、外部にある攻撃者の指令サーバーと通信をおこなう際、宛先ポートとしてTCPポート番号443を使用する場合がある。この理由に関する記述として、最も適切なものはどれか。
選択肢
正解:A
TCPポート443は、暗号化されたWebサイトの閲覧(HTTPS)で標準的に用いられるポートである。多くの組織では業務上の必要性から、内部から外部へのポート443による通信を一律で許可していることが多いため、マルウェアが指令サーバーと通信する際の経路として悪用されやすい。Bの電子メール送信はおもにポート25や587、CのDNSは通常UDPポート53であり、Dのリモートデスクトップは通常TCPポート3389が使用される。
この問題は、マルウェアがなぜTCPポート443を使うのか、その「技術的な理由」と「運用上の抜け道」を理解しているかを問う問題です。
443番はHTTPS通信で日常的に使われるため、多くの組織で外部通信が許可されやすく、監視上も不自然に見えにくい点が重要な点となります。
選択肢B・C・Dは、それぞれSMTP、DNS、リモートデスクトップの代表的なポート番号と用途を混同させる引っかけです。
よく使われるポート番号と代表的な通信内容はセットで覚えておきましょう。
もうWEBテストは受けた?模試で実力をチェックしよう!
問題集だけで対策すると、本番の時間制限などに慣れず焦る場合もありますよね。
「WEBテスト模試」なら、簡単に本番を想定した対策が出来ます。スマホやパソコンで、実際のテストを想定した模試を受けることが出来ますよ。
今すぐWEBテスト模試を受けて、自分の実力をチェックしてみましょう。
問題5(難易度:★★★☆☆)
問題
DNSキャッシュポイズニング攻撃の影響範囲に関する次の問題を読み、最も適切なものを一つ選びなさい。
攻撃者によって細工された偽のDNS応答により、X社が運営するECサイトのFQDNに対応するIPアドレスとして、Y社が管理するDNSキャッシュサーバーに攻撃者の用意した偽のサーバーのIPアドレスが記憶された。このとき、意図せず攻撃者の偽のサーバーに誘導されてしまう利用者はどれか。なお、X社およびY社の各従業員は、それぞれ自社が提供するDNSキャッシュサーバーを利用して名前解決をおこなうものとする。
選択肢
正解:B
DNSキャッシュポイズニングによって偽の情報が記憶されたのは「Y社のDNSキャッシュサーバー」であり、その内容は「X社のECサイトのFQDNが偽のサーバーを指す」というものである。したがって、被害に遭うのは、Y社のDNSキャッシュサーバーを利用する「Y社の従業員」のうち、名前解決の対象となる「X社のECサイトにアクセスしようとする」者となる。この二つの条件を同時に満たすのはBだけであり、X社の従業員は自社のサーバーを参照するため影響を受けない。
この問題は、「どのDNSキャッシュサーバーに偽情報が入ったか」と「誰がそのサーバーを使うか」を切り分けて考えましょう。
今回、汚染されたのはY社のDNSキャッシュサーバーで、偽情報の対象はX社ECサイトのFQDNです。したがって、影響を受けるのはY社のDNSキャッシュサーバーを利用し、かつX社ECサイトにアクセスしようとする人と判断できます。
被害範囲は「対象のFQDN」と「利用するDNSサーバー」の両方で決まると押さえると整理しやすくなります。
問題6(難易度:★★☆☆☆)
問題
暗号技術に関する次の問題を読み、最も適切なものを一つ選びなさい。
無線LANのセキュリティ規格やスマートカードなどで広く用いられており、暗号化と復号で同一の鍵を使用する共通鍵暗号方式はどれか。
選択肢
正解:D
3DES(Triple DES)は、従来の共通鍵暗号方式であるDESを三度繰り返すことで安全性を高めた共通鍵暗号方式であり、暗号化と復号に同じ鍵を使用する。AのECDSAは公開鍵暗号技術を応用したデジタル署名方式であり、BのRSAは暗号化やデジタル署名に異なる鍵を使用する公開鍵暗号方式である。CのSHA-3はハッシュ関数であり、データの改ざん検知などに用いられるものであって、暗号化や復号をおこなう方式ではない。
この問題は、暗号技術の基本的な分類を正しく区別できるかを問う問題となります。
ポイントは、「共通鍵暗号方式」は暗号化と復号で同じ鍵を使うという点です。選択肢の中でこれに当てはまるのは3DESですね。
RSAは公開鍵暗号方式、ECDSAはデジタル署名方式、SHA-3はハッシュ関数であり、いずれも用途が異なります。
情報セキュリティ分野では、「暗号」「署名」「ハッシュ」の違いを整理して覚えることが大切です。
問題7(難易度:★★☆☆☆)
問題
電子メールのセキュリティ技術に関する次の問題を読み、最も適切なものを一つ選びなさい。
DKIM(DomainKeys Identified Mail)を利用する目的はどれか。
選択肢
正解:A
DKIMは、電子メールにデジタル署名を付与することで、送信元ドメインのなりすましや、通信の途中でのメール本文の改ざんを検知する仕組みである。送信側は秘密鍵を用いてデジタル署名を作成し、受信側はDNSサーバーから取得した公開鍵を用いて検証をおこなう。Bはアンチウイルス機能、Cは誤送信防止や情報漏えい対策(DLP)、DはS/MIMEやPGPなどの説明であり、いずれもDKIMの目的とは異なる。
この問題は、DKIMの役割を「なりすまし対策」と「改ざん検知」の観点で理解しているかを問う問題です。
DKIMはメール自体を暗号化する仕組みではなく、送信元ドメインの正当性と、送信途中で内容が改ざんされていないかを確認するための技術です。
Bはマルウェア検査、Dは暗号化メールの説明であり、目的が異なります。
電子メールのセキュリティ技術は、SPF・DKIM・DMARCの役割の違いを整理して覚えましょう。
問題8(難易度:★★★☆☆)
問題
「行政手続における特定の個人を識別するための番号の利用等に関する法律」および関連するガイドラインにもとづく、特定個人情報の取り扱いに関する次の問題を読み、最も適切なものを一つ選びなさい。
個人情報保護委員会「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に照らして、事業者が個人番号を含む特定個人情報ファイルを作成することが禁止されている場合はどれか。
選択肢
正解:C
個人番号は社会保障、税、災害対策の手続きに必要な範囲を超えて利用あるいは収集してはならず、それらの目的以外で特定個人情報ファイルを作成することは禁止されている。社内サークルの名簿管理は法律で定められた利用目的に該当しないため、個人番号を紐付けたファイルを作成することはできない。AおよびBは税や社会保障の適正な手続きのための利用であり、Dは業務を安全におこなうための管理措置として認められる。
この問題は、個人番号を含む特定個人情報ファイルが「どの目的なら作成できるか」を理解しているかを問う問題です。
ポイントは、個人番号は社会保障・税・災害対策など、法律で定められた目的に限って利用できるという点にあります。
Cの社内サークル名簿は福利厚生や管理の便宜のためであり、法定の利用目的に当たりません。A・B・Dは法定手続きやその適正な運用にかかわるため認められます。
個人番号は「便利だから使う」は許されないと押さえましょう。
問題9(難易度:★★★★☆)
問題
ITサービスマネジメントにおけるインシデント管理に関する次の問題を読み、最も適切なものを一つ選びなさい。
ある企業で顧客管理システムの運用サービスを提供している。以下の事象において、ITIL(IT Infrastructure Library)におけるインシデントに該当するものはどれか。
【事象】
日中のオンライン業務中に、データベースの空き容量が不足したため、顧客情報の検索処理が全く受け付けられない状態となった。運用担当者が即座に検知し、不要な一時ファイルを削除してディスク容量を確保することで検索サービスを復旧させた。後日、根本原因である容量監視設定の不備を修正した。
選択肢
正解:B
ITサービスマネジメントにおいて、インシデントとは「ITサービスの計画外の中断、または品質の低下」を指す。顧客情報の検索処理が全く受け付けられない状態は、提供しているITサービスが中断している事実そのものであるため、インシデントに該当する。Aはインシデントを解決するための暫定対処(ワークアラウンド)、Cは問題(根本原因)、Dはイベントの検知であり、インシデント(=サービスの中断・低下)の『状態・事実』そのものを指すのはBのみである。
この問題は、ITILでいう「インシデント」「問題」「イベント」「復旧対応」の違いを整理できているかを問う問題です。
インシデントは、サービスが実際に止まったり、品質が落ちたりしている「状態そのもの」を指します。したがって、検索処理が受け付けられない状態であるBが正解です。
Aは復旧作業、Cは根本原因である問題、Dは検知した出来事であるイベントに当たります。
用語の定義を場面と結び付けて理解しましょう。
WEBテスト本番まで余裕がない方は、頻出問題を必ず押さえておこう!
志望度の高い企業にWEBテストで落ちるのは本当にもったいないですよね。でも、何冊も問題集を解く時間はありませんよね。
そこで「WEBテストパーフェクト問題集」を使えば、重要なポイントを絞った解説で効率的に学べます。さらに本番形式の模試で実践力を磨けるので、限られた時間で最大の成果を得られます!
ぜひこの問題集を活用して、WEBテストを突破してください。
問題10(難易度:★★★☆☆)
問題
財務会計における製造原価および利益の計算に関する次の問題を読み、最も適切なものを一つ選びなさい。
あるIT機器製造企業における当期の各勘定科目の残高が次の通りであるとき、売上総利益は何千円か。
【勘定科目と残高】(単位:千円)
期首材料棚卸高:200
当期材料仕入高:600
期末材料棚卸高:150
労務費:400
製造経費:300
期首仕掛品棚卸高:100
期末仕掛品棚卸高:150
期首製品棚卸高:250
期末製品棚卸高:200
売上高:2000
選択肢
正解:D
まず当期材料費は200+600-150=650となる。これに労務費と製造経費を加えた当期総製造費用は650+400+300=1,350である。次に、期首仕掛品を加えて期末仕掛品を引いた当期製品製造原価は1,350+100-150=1,300となる。さらに、期首製品を加えて期末製品を引いた売上原価は1,300+250-200=1,350となる。したがって、売上高から売上原価を引いた売上総利益は2,000-1,350=650千円だと求められる。
この問題は、材料費→当期総製造費用→製品製造原価→売上原価→売上総利益、という流れを順にたどれるかがポイントです。
仕掛品と製品の期首・期末棚卸高の加減を混同しないよう注意しましょう。
まず材料費を出し、次に製造原価、最後に売上原価を求めると整理しやすくなります。
会計分野の計算問題では、いきなり答えを出そうとせず、どの段階の原価を求めているのかを意識して順番に計算してください。
問題11(難易度:★★★☆☆)
問題
下記の文章を読んで答えなさい。
C社は、精密部品の製造を行っている従業員80名の実績ある企業である。同業他社におけるサプライチェーンを狙ったサイバー攻撃の報道が増え、C社の社長は情報セキュリティに対する取組が最も重要であると考え、新たに情報セキュリティ責任者をおくことにした。
社長は、どのような取組が良いかを検討するよう、情報セキュリティ責任者に任命されたD課長に指示した。D課長は、調査の結果、独立行政法人情報処理推進機構(IPA)が実施しているSECURITY ACTIONへの取組を社長に提案した。
SECURITY ACTIONとは、中小企業自らが、情報セキュリティ対策に取り組むことを自己宣言する制度であるとの説明を受けた社長は、SECURITY ACTIONの一つ星を宣言するために「情報セキュリティ5か条」に取り組むことを決め、D課長に、情報セキュリティ5か条への自社での取組状況を評価するように指示した。
D課長が「情報セキュリティ5か条」の1項目目である「OSやソフトウェアは常に最新の状態にしよう」について自社の状況を評価した結果は次のとおりであった。
C社が従業員に貸与しているPCのOSと、全社で共通して利用している基幹業務ソフトウェア(以下、共通ソフトという)は、自動更新機能を使用して常に最新の状態に更新されている。
しかし、それ以外の各部署で独自に導入したフリーウェアやデザイン用ソフトウェア(以下、固有ソフトという)はどの程度利用されているか分からない。試しにいくつかの部署のPCを確認したところ、多くのPCで利用されていた。さらに、最新の脆弱性修正プログラムが適用されていないPCも存在した。
C社ではこの項目の評価結果を「実施している」にするために新たに追加すべき対策として2案を考え、どちらかを採用することにした。
設問:C社において、固有ソフトの脆弱性対策として「OSやソフトウェアは常に最新の状態にしよう」の評価結果を「実施している」にするために新たに追加すべき対策として考えられるものは次のうちどれか。考えられる対策だけを全て挙げた組合せを、解答群の中から選べ。
(一)PC内の不審な挙動やマルウェア感染を早期に検知して対処するEndpoint Detection and Response(EDR)の導入
(二)共通ソフトの自動更新設定が有効になっていることを定期的に目視で確認する運用ルールの導入
(三)ネットワークに接続された全てのPCに脆弱性修正プログラムを一斉配信・自動適用できるIT資産管理ツールの導入
(四)業務に不要な固有ソフトのインストール禁止及び許可されていないソフトウェアの強制削除
(五)各種機器から出力されるログデータを一括管理・分析して、サイバー攻撃の兆候を発見するSecurity Information and Event Management(SIEM)の導入
選択肢
正解:H
正解は(三)と(四)の組み合わせである。
(一)EDRはマルウェア感染などの不審な挙動を検知して対処するツールであり、ソフトウェアの脆弱性そのものを解消する対策にはならない。
(二)共通ソフトはすでに自動更新で最新状態が維持されているため、この運用ルールを追加しても固有ソフトの脆弱性対策にはならない。
(三)IT資産管理ツールを用いて一斉配信や自動適用をおこなうことは、固有ソフトの脆弱性修正に対応するため、有効な対策に該当する。
(四)不要な固有ソフトの禁止や強制削除は、脆弱性が存在する対象そのものを組織内からなくせるため、有効な対策に該当する。
(五)SIEMはログの統合分析による脅威検知ツールであり、ソフトウェアの脆弱性を解消する対策にはならない。
この問題は、「脆弱性対策として本当に効果があるもの」を一つずつ見分けて、最後に正しい組合せを選ぶ問題です。
ポイントは、不正を見つける対策と、脆弱性そのものを減らす対策を区別することにあります。
(三)は修正プログラムを適用して弱点を減らす対策、(四)は不要なソフトを削除してリスクをなくす対策なので適切です。
したがって、正しい組合せは H(三)(四) になります。
問題12(難易度:★★★★☆)
問題
次の問題を読み、情報セキュリティリスクの観点から最も適切な記述を一つ選びなさい。
E社は経理業務の効率化のため、請求書や領収書のスキャン・データ化・送信業務をF社に委託することを検討している。F社のスキャナー付き複合機の送信機能では、電子メールの差出人アドレス、件名、本文、および添付ファイル名が初期設定のまま使用されており、どの従業員がスキャンをおこなってもすべて同じ内容になる仕様である。また、この初期設定情報は製造ベンダーのWebサイトで一般に公開されている。この状態でE社が評価した情報セキュリティリスクとして最も適切なものはどれか。
選択肢
正解:B
正解はBである。
初期設定のままでは差出人アドレスや件名、本文が固定されており、その仕様がWebサイトで公開されているため、誰でも情報を入手できる。攻撃者はその情報を悪用し、複合機から自動送信されたように見せかけた偽メールを容易に作成できる。業務従事者がこれを本物と信じてURLをクリックした場合、マルウェア感染を招き情報漏えいにつながる。
Aは、初期設定の送信仕様を知っていても、複合機内に保存された過去のデータを引き出せるわけではないため不適切である。
CとDは、電子メールの盗聴リスクに関する記述であり、初期設定情報が公開されていることによって高まる偽メールの作成リスクという本質的な問題とは合致しないため不適切である。
この問題では、複合機の初期設定情報が公開されていることで、どのような現実的なリスクが高まるかを考えましょう。
ポイントは、「盗聴」や「機器内部データの直接取得」ではなく、公開情報を悪用したなりすましメールが作られやすくなる点です。
差出人や件名、本文がいつも同じなら、本物らしい偽メールを作りやすくなります。その結果、業務従事者が信用してURLを開き、マルウェア感染につながる流れが最も自然です。したがって正解はBとなります。
時間がない人におすすめ!
WEBテスト対策問題集&模試が受けられます
志望度が高い企業にWEBテストで落ちてしまうのは本当にもったいないです。しかし何冊も問題集を解くのは時間が足りないですよね。
そこで「WEBテストパーフェクト問題集」を活用しましょう。この問題集を使えば、解くうえで重要なポイントの解説を見ながら、効率よく勉強することができます。
また本番形式の模試も付いているので、前もって本番の感覚をつかむことができますよ。
ぜひ活用してWEBテストを突破しましょう。
問題13(難易度:★★☆☆☆)
問題
次の問題を読み、データ消失リスクを低減する対策として最も適切なものを一つ選びなさい。
G社の開発用サーバは、ソースコードの変更履歴を毎週金曜日の夜間にバックアップし、3世代分をサーバラック内の専用ケースに保管している。ランサムウェアによってサーバ内のデータが暗号化された場合、最大1週間分の開発成果(更新情報)が失われるリスクがある。このリスクをより低減する対策として最も適切なものはどれか。
選択肢
正解:A
正解はAである。
問題の本質は、バックアップの間隔が1週間あるため、ランサムウェア被害に遭ったときに最大1週間分の更新情報が失われることである。このリスクを低減するには、バックアップをおこなう頻度を週1回から毎日1回に増やすことが最も適切である。これにより、失われる可能性のあるデータを最大1日分に抑えることができる。他の選択肢は、消失するデータの期間(最大1週間分)を直接短縮する対策にはならない。
この問題は、「どの対策がデータ消失期間を直接短くできるか」を見極める問題です。
ポイントは、ランサムウェア対策全般ではなく、最大1週間分失われるというリスクそのものを減らすことにあります。
そのため、最も有効なのはバックアップ頻度を上げるAです。これにより、失われる可能性のある更新情報を最大1日分まで縮められます。
Eの遠隔地保管は災害対策としては有効ですが、消失期間の短縮には直結しません。
問題14(難易度:★★★☆☆)
問題
次の問題を読み、情報セキュリティリスクの観点から最も適切な記述を一つ選びなさい。
H社が運営する個別指導塾では、各教室の講師が共用端末から生徒管理システムにアクセスして指導報告書などを入力している。利用者IDは講師個人別に発行され、アクセス権限はそれぞれが担当する生徒のデータのみに限定されている。内部監査をおこなったところ、一部の共用端末のWebブラウザに、複数の講師のログインIDとパスワードが保存されていることが判明した。この状態における情報セキュリティリスクとして最も適切なものはどれか。
選択肢
正解:E
WebブラウザにログインIDとパスワードが保存されていると、同じ共用端末を利用する他の講師がその情報を容易に呼び出してログインできてしまう。本来は担当外の生徒のデータを見る権限がない講師であっても、保存された他人の認証情報を悪用してシステムにアクセスするリスクがある。A、B、C、Dは、Webブラウザへのパスワード保存という今回の問題点から直接発生するリスクとはいえないため不適切である。
この問題は、アクセス権限が適切に設定されていても、認証情報の管理が甘いと不正アクセスが起こりうることを問う問題です。
ブラウザに他人のID・パスワードが保存されていれば、別の講師がその認証情報を使ってログインし、本来は見られない担当外の生徒情報にアクセスできてしまいます。
つまり、今回のリスクの本質は「通信」や「端末盗難」ではなく、「保存された認証情報の使い回しによるなりすまし」です。
アクセス制御と認証情報管理は別の対策として考えることが大切です。
問題15(難易度:★★★★☆)
問題
次の問題を読み、ビジネスメール詐欺の手口に関する記述として最も適切な組合せを解答群の中から選びなさい。
J社の購買部K課長が、主要な取引先であるL社のMさんから、取引代金の振込先口座の変更を依頼する不審な電子メールを受信した。調査をおこなった結果、以下の事項が確認された。
[項番1]Mさんが通常おこなわないような、期限を明記した極めて急ぎの対応を求めていた。
[項番2]添付されていた変更申請書は、L社が4カ月前から使用している正式な書式を利用したものであった。
[項番3]新たな振込先として指定された口座が、L社の本拠地とは全く異なる国の銀行口座であった。
[項番4]電子メールのヘッダー情報を解析したところ、送信元のタイムゾーンがL社の地域とは異なっていた。
[項番5]送信者の電子メールアドレスに、L社の正式なドメインと一文字だけ異なる類似したドメインが使われていた。
[項番6]返信先(Reply-To)の設定が、Mさんの社内アドレスではなく、無料のフリーメールアドレスになっていた。
[項番7]電子メールの本文中で、K課長とMさんが5カ月前に実際にやり取りした商談の具体的な内容を引用していた。
K課長に不審に思われないようにするために、サイバー攻撃者が本物らしく見せる意図で使った手口として該当するものの組合せはどれか。
選択肢
正解:F
正解は[項番2]、[項番5]、[項番7]の組み合わせである。
攻撃者が「不審に思われないようにするため」に用いた、本物らしく偽装する工作を特定する。
[項番2]は、実際の正式な書式を模倣することで、書類の真正性を偽装している。
[項番5]は、一見すると見分けがつかない類似ドメインを使い、取引先からの連絡であるように偽装している。
[項番7]は、過去の実際のやり取りを引用することで、関係者間の継続的な対話を装い信頼させている。
[項番1]、[項番3]、[項番6]は、受信者に違和感や不審を抱かせる要因であり、偽装工作とはいえない。
[項番4]は、攻撃者の隠蔽失敗による痕跡である。
この問題では、ビジネスメール詐欺で「本物らしく見せる工夫」と、「逆に不審点となる要素」を切り分けて考えましょう。
正式な書式を使う[項番2]、本物に似せたドメインを使う[項番5]、過去のやり取りを引用する[項番7]は、相手に信用させるための典型的な偽装手口です。
一方、急がせる表現や不自然な返信先、地域と合わない送信情報は不審点になります。
「攻撃者が本物らしく見せる意図で使った手口」に注目して選ぶことが大切です。
問題16(難易度:★★★☆☆)
問題
次の問題を読み、インシデント発生時の初動対応として最も適切なものを一つ選びなさい。
N社のネットワーク管理者が、機密情報を保管している社内データベースサーバへの不審なログインを検知した。アクセスログを確認すると、休日の深夜に通常ではありえないリモートワーク用IPアドレスからの接続が複数回記録されており、特定の顧客データにアクセスされた形跡があった。このとき、ネットワーク管理者が最初におこなうべき対応として最も適切なものはどれか。
選択肢
正解:C
インシデント発生時の初動対応においては、被害の拡大を防止する封じ込め措置が最優先される。不審なアクセスが現在も継続しているか、あるいは再びおこなわれる可能性があるため、まずは悪用されたアカウントを無効化し、対象サーバをネットワークから隔離することで攻撃者の侵入経路を断つことが最も適切である。
Aは、接続中のセッションが維持されたままになる可能性があり、不十分である。
Bは、事後の調査フェーズでおこなうべきことである。
Dは、被害拡大防止の手続きを速やかにおこなった後、あるいは並行しておこなうべきことである。
インシデント対応で最初に優先すべきことは「原因調査」や「報告」ではありません。この問題では、まず被害の拡大を止めることが最優先だと理解しているかを問うています。
不審なアクセスが続いている可能性がある以上、最初におこなうべきは、悪用されたアカウントを無効化し、対象サーバをネットワークから切り離すことです。
調査や報告も重要ですが、それは封じ込めの後または並行して実施します。
初動対応は「まず止める」が基本だと理解して判断しましょう。
情報セキュリティマネジメント試験を対策する際のポイント
執筆・編集 PORTキャリア編集部
明日から使える就活ノウハウ情報をテーマに、履歴書・志望動機といった書類の作成方法や面接やグループワークなどの選考対策の方法など、多様な選択肢や答えを提示することで、一人ひとりの就活生の意思決定に役立つことを目指しています。 国家資格を保有するキャリアコンサルタントや、現役キャリアアドバイザーら専門家監修のもと、最高品質の記事を配信しています。
> コンテンツポリシー
アドバイザーのリアル・アドバイス!全体を押さえてから頻出を攻める! 40時間程度の時間を確保しよう
キャリアコンサルタント/キャリアシンク・オフィス代表
野村 芳克
プロフィールを見る情報セキュリティマネジメント試験の対策で大切なのは、広く知識を押さえながら、頻出分野を重点的に繰り返すことです。
特に、情報資産の管理、脅威と脆弱性、リスク対応、マルウェア、不正アクセス、標的型攻撃、個人情報保護、内部統制、インシデント対応などはよく出るため、優先して学びましょう。
勉強法としては、最初に参考書やまとめで全体像をつかみ、その後に過去問を解いて、間違えた用語や判断のポイントを復習する流れがおすすめです。
学習時間の目安は、初学者なら20~40時間程度、ITの基礎がある人なら15~25時間程度が一つの目安でしょう。
ITリテラシーを強みにできる! 具体的な場面と結び付けて覚えよう
就活生がこの資格を持っているメリットは、IT企業だけでなく、一般企業でも「情報管理への意識がある」「基本的なITリテラシーがある」と伝えやすい点です。
苦手意識がある人は、すべてを完璧にしようとせず、頻出分野と過去問の反復を優先してください。用語の丸暗記ではなく、具体的な仕事の場面と結び付けて理解することが、合格にも就活でのアピールにもつながります。