HOME»情報セキュリティマネジメント試験掲示板»来年度試験サンプル問題セット60問公開(IPA)

情報セキュリティマネジメント試験掲示板


[1474] 来年度試験サンプル問題セット60問公開(IPA)

 momochanさん(No.1) 
2023年4月に開始予定の通年試験に関して、サンプル問題セットがIPAより公開されました。
科目Aが48問、科目Bが12問ありますので、来年に向けて勉強いたしましょう!
2022.12.27 10:03
AgentTakaさん(No.2) 
momochanさん
こんばんは

>来年に向けて勉強いたしましょう!
さすが率先垂範!自ら先頭に立っていらっしゃる!
ぜひ2023年もいい一年にして頂きたく存じます。
応援しております!
2022.12.27 23:59
 momochanさん(No.3) 
AgentTakaさん、おはようございます。

いつも応援どうもありがとうございます。
IPAからの新着情報のご紹介だけで、どんな問題なのやら怖くて確認できません。
Takaさん代わりにぜひ解いてみてください。
無料、しかもIPAセキュリティ問題、それに最新とくれば解かずにはいられないでしょう!
もしかするとTakaさんのSC対策に役立つかもしれませんよ。
今年も残りわずか、来年もよい年でありますように!
2022.12.28 07:34
AgentTakaさん(No.4) 
momochanさん
こんばんは

ちょっとまってー。
SG試験のサンプル解けなかったらSCくじけちゃうっしょー。
わたしも怖くて確認できません。あーっはっはっは汗
いけー!momochanさんなら出来る!
2022.12.28 20:57
 momochanさん(No.5) 
もうー、Takaさん面白いなぁ…。
正月返上の強化合宿がんばってねっ!!
2022.12.28 21:19
AgentTakaさん(No.6) 
応援ありがとー
momochanさんの思いも背負って頑張ります!
momochanさんも頑張ってー!
2022.12.29 19:09
 momochanさん(No.7) 
管理人様、
【サンプル問題セット】(2022年12月26日掲載)60問
【サンプル問題】(2022年4月25日掲載)3問
合計63問を解説付きでSG試験ドットコムに掲載していただきたくお願い申し上げます。
2023.01.21 15:07
AgentTakaさん(No.8) 
momochanさん
こんばんは

なるほどねー。確かに「サンプル問題&解説」がドットコムさんに掲載されていて通年試験化に伴って更新が必要そうですね。
しかも解説付きですもんね。1問だけですが解説のドラフト版を作ってみました。
ふー、けっこう神経使うし疲れるもんですねぇ。
しかーし、momochanさんのリクエストであれば協力を惜しみません。

管理人様
こんばんは

いつも大変お世話になっております。
1問だけですが使えるところあれば使って下さい。
出来れば他の問題もドラフト版を献上出来る様に頑張ってみます。まずは1問!

【サンプル問題】(2022年4月25日掲載)
「情報セキュリティマネジメント試験科目B試験のサンプル問題」

問1解説

ア  誤り
注意喚起のためとは言え、不審メールの添付ファイルを付けたまま、又は本文中のURLを記載したまま同じ部の全従業員に転送すると、従業員が添付ファイルを開いたり本文中のURLをクリックするリスクが大きく被害の拡大が想定されます。初動は問い合わせ対応者に連絡して指示を仰ぐべきです。

イ  誤り
注意喚起のためとは言え、不審メールの添付ファイルを付けたまま、又は本文中のURLを記載したまま全従業員への連絡用のメーリングリストに転送すると、従業員が添付ファイルを開いたり本文中のURLをクリックするリスクが大きく被害の拡大が想定されます。初動は問い合わせ対応者に連絡して指示を仰ぐべきです。

ウ  誤り
注意喚起のためとは言え、不審メールの添付ファイルを付けたまま、又は本文中のURLを記載したまま共有サーバに保存し同じ部の全従業員がアクセスできるようにしておくと、従業員が添付ファイルを開いたり本文中のURLをクリックするリスクが大きく被害の拡大が想定されます。初動は問い合わせ対応者に連絡して指示を仰ぐべきです。

エ  誤り
不審メールの受信やウィルスの感染などが疑われる場合は、システム管理者など知識や経験のある人に報告してから、指示通りに対処すべきです。本題では問い合わせ対応者に連絡して指示通りに対処することになります。指示がない不審メールの転送は被害の拡大を招きかねません。

オ  正解
不審メールの受信やウィルスの感染などが疑われる場合、自分勝手な判断や行動は被害の拡大を招きかねず慎むべきです。当選択肢の行動は問い合わせ対応者に連絡して指示通りに対処しているので正しい行動と言えます。

ゴーストライターAgentTakaより(正体バラしてる)
2023.01.23 20:10
管理人(No.9) 
ご提案ありがとうございます。
早期に追加して解説もつけたいところですが、年末から色々とバタバタしてまして予定より遅れております。今回は問題形式が変わるのでデータの保持の仕方を変えたり、一括して出力するプログラムを改修したりなどの作業もあるんです。

基本情報のほうは先週掲載できましたので、情報セキュマネもなる早でアップできるようがんばります。
2023.01.23 20:26
AgentTakaさん(No.10) 
管理人様

お忙しいのは重々承知しておりますのでご安心ください。
momochanさんとドットコムさんのためにわたしも頑張ります。
>作業もあるんです。
って、そんなにすねないでください。
問2ドラフト版献上させて頂きます。

【サンプル問題】(2022年4月25日掲載)
「情報セキュリティマネジメント試験科目B試験のサンプル問題」

問2解説

B社サイトの点検結果がA社グループ基準を満たしている項番を全て選択します。当問題の様に設問で問われていることに、素直に解答することが正解への近道です。

 (一)誤り
A社グループ基準では、Webアプリの新規開発時、および機能追加時に脆弱性診断を行うことになっています。B社サイトは8月にログイン機能を追加しているので、8月にWebアプリに対する脆弱性診断を行わなければ基準を満たしていません。よって誤りです。

(二) 正しい
OS及びミドルウェアに対する脆弱性診断を年1回以上行う基準です。毎年10月にB社サイトに対して脆弱性診断を行っているので基準を満たしています。軽微な脆弱性が4件検出されていますが、(二)は脆弱性診断を年1回以上行うことを基準としていますので、脆弱性の有無はここでは考慮しなくても問題ありません。

(三) 誤り
A社グループ基準では、Webアプリ、OS及びミドルウェアに対する脆弱性診断の結果を、各社の情報セキュリティ委員会に報告することになっていますが、OS及びミドルウェアに対する診断結果を、脆弱性が軽微であることを理由に情報システム部内での共有にとどめ、情報セキュリティ委員会に報告していないので誤りです。例え軽微な脆弱性でも大きな問題に発展する前に報告すべきです。

(四) 正しい
脆弱性診断結果の対応はA社グループ基準で、緊急を要する脆弱性については速やかに対応し,その他の脆弱性については診断後1か月以内に対応することになっています。点検結果でWebアプリの脆弱性2件は1週間、OS及びミドルウェアの脆弱性4件について2週間後に対応しています。脆弱性の回避策(ワークアラウンド)や修正(パッチ)は、プログラムの開発やテスト、本番環境へ適用するための計画や審査など経て適用されます。
Webアプリ、OS及びミドルウェアに対する脆弱性への対応としては妥当な対応までの時間と考えられます。

よって(二)と(四)の組み合わせであるキが正解となります。
2023.01.23 21:50
AgentTakaさん(No.11) 
管理人様

問3のドラフト版です。ふー疲れました。解説作るのって大変ですね。
いつも分かりやすい解説で大変勉強になっております。どうもありがとうございます。

【サンプル問題】(2022年4月25日掲載)
「情報セキュリティマネジメント試験科目B試験のサンプル問題」

問3解説

 (一)正しい
11時頃Dさんのスマートフォンに承認のリクエストが来たが、Dさんがログインしたタイミングではなかった、と報告しています。問題文〔B サービスでの認証〕で、入力された利用者IDとパスワードが正しかったときはスマートフォンに承認のリクエストが来る。と説明されており第3者が不正ログインした可能性が考えられます。今後の不正ログインを防止する為、Bサービスのパスワードを変更するのは正しい行動です。

(二) 誤り
Dさんからの報告時点で既にマルウェアに感染している可能性があります。マルウェアに感染したPCのフルバックアップを実施してもマルウェアも一緒にバックアップされるので被害防止の効果はありません。

(三) 正しい
マルウェアの感染が疑われる場合は速やかにネットワークから切り離し、マルウェア定義ファイルを最新に更新してフルスキャンを実施し、感染の有無やマルウェアの駆除などを行います。

(四) 誤り
マルウェア感染が疑われるPCを社内ネットワークに接続すると、ネットワークを介して感染の被害が拡大する恐れがあります。また、ファイルサーバに怪しい添付ファイルをコピーするのは感染拡大を助長する行為なので止めるべきです。

(五) 誤り
怪しい添付ファイルを再度開いて挙動を確認するのは正しい行動とは言えません。

よって(一)と(三)の組み合わせであるイが正解となります。

当問題は解答群に注目すると必ず2つ選択することが分かります。こういった出題では正しい選択肢を2つ選べなくても、3つ消去出来れば正解となります。(二)(四)(五)は比較的分かりやすい誤りで、これらを除外できれば正解となります。


【サンプル問題】(2022年4月25日掲載)解説コンプリートということで一旦ここまで!
2023.01.23 22:41
 momochanさん(No.12) 
AgentTakaさん、こんばんは。

こっ、これは、ちょっと待ってください。
科目Bの解説しかも私の専任講師であるTakaさんから直々に教えてもらえて感激です!
おっと、私だけのTakaさんではなく、みんなのTakaさんでした。失礼いたしました。

私だけでなく全国1万5千名のSG受験者にとって待望のサンプル問題解説ですね。
今後ドットコムサイトも更新されると思いますが、私の中ではTakaさん解説は永久保存版。
感謝してもしきれないほどです。
普通のセキュリティ解説が、なぜか心に沁みます!
本当にありがとうございます!
2023.01.23 23:23
AgentTakaさん(No.13) 
momochanさん
やあ、こんばんは

そんなに感激してもらえて、秀樹感激!
正式にアップされるまでmomochanさんの修正依頼攻撃はショックだからやめてね。
なーーーんつってな!修正依頼、ダメ出し、ブラッシュアップ、ブレーンストーミングでいい解説にしていきましょう。

そう、momochanさんとドットコムさんのために爺やは頑張った!
もう一回言う、爺やは頑張った!
そう、あなたのなかでわたしも永久に保存しておくんなされや〜ハッシュ値で。(夜中の寝ぼけ爺さん炸裂)

じゃあねーおやすみなさーい。

momochanさんの専属生徒より  See You!!!
2023.01.23 23:51
 momochanさん(No.14) 
管理人様

私は以前、ITパスポート試験ドットコム過去問道場で大変お世話になりました。
管理人様には何とお礼を申し上げればよいか、感謝の気持ちでいっぱいです。

情報処理技術者試験は更新が頻繁でドットコムサイト更新も本当に大変だと思いますが、
今後のバージョンアップした情報セキュリティマネジメント試験ドットコムが楽しみです。
今でもITパスポート試験ドットコムでも過去問や用語クイズで有難く利用しております。
修正依頼もするかもしれませんが、今後もよろしくお願い申し上げます。
2023.01.24 07:32
 momochanさん(No.15) 
私からはIPAサイト内でSG学習に役立つ情報をピックアップしてみました。
一部ではありますがご紹介いたします。

情報漏えい対策のしおり
企業(組織)で働くあなたへ7つのポイント!!
https://www.ipa.go.jp/security/antivirus/documents/05_roei.pdf

情報漏えい発生時の対応ポイント集
情報が漏えいしてしまった時、何をすべきか!!
https://www.ipa.go.jp/security/awareness/johorouei/rouei_taiou.pdf

サイバー攻撃を受けた組織における対応事例集
(実事例における学びと気づきに関する調査研究)
https://www.ipa.go.jp/security/economics/mailmag/20220518.html#section5

中小企業の情報セキュリティ対策ガイドライン
https://www.ipa.go.jp/security/keihatsu/sme/guideline/index.html

組織内部者の不正行為によるインシデント調査  ー調査報告書ー
https://www.ipa.go.jp/files/000014169.pdf

組織における内部不正防止ガイドライン
https://www.ipa.go.jp/files/000097099.pdf
2023.01.24 12:28
AgentTakaさん(No.16) 
momochanさん
管理人様
こんばんは

今日から
【サンプル問題セット】(2022年12月26日掲載)
情報セキュリティマネジメント試験 サンプル問題(60問)セット
https://www.jitec.ipa.go.jp/1_13download/sg_set_sample_qs.pdf

科目Bの解説ドラフト版を捧げます。
「サンプル問題&解説」の更新時に役にたつと信じてます。
解答のコツやポイントも書けるものはプラスしています。No1サイトとしてプラスワンでオンリーワンです。
------------------------

問49解説

一見どの選択肢も正解に当てはまりそうですが、問題文中の情報セキュリティリスクの評価で発見された「図3 発見事項」に注目することで必要な対策を絞り込めます。
解答時のポイントとして問題文の状況設定から設問に素直に解答することが大切です。筋の通らない自論を主張する必要はありません。

ア  誤り
「図2 複合機のスキャン機能(抜粋)」から、従業員ごとに利用者IDとパスワードを付与しているので、他の従業員になりすまして複合機のスキャン機能を使用する情報セキュリティリスクは発見されていません。

イ  正解
「図2 複合機のスキャン機能(抜粋)」から、PDFファイルが大きい場合は(中略)保存先のURLを電子メールの本文に記載して送信しています。さらに「図3 発見事項」から、複合機のスキャン機能では電子メールの差出人アドレス、件名、本文及び添付ファイル名を初期設定の状態で使用しており、誰がスキャンを実行しても同じである。ことと、初期設定情報はベンダーのWeb サイトで公開されており誰でも閲覧可能です。
これが情報セキュリティリスクとして発見されています。
攻撃者は公開されている初期設定の差出人アドレス、件名、本文及び添付ファイル名と同じ偽造メールに偽のURLを張り付けて、攻撃者が用意したWebサイトにアクセスさせマルウェアに感染させます。その結果、A社の採用予定者の個人情報が漏えいしてしまいます。

ウ  誤り
攻撃者が脆弱性を抱えたPCやサーバをロック、暗号化して身代金を要求するマルウェアをランサムウェアといい、ランサムはRansom:身代金の意味です。暗号化するのはPCやサーバ単位、最近ではシステム丸ごとといった規模で、電子メールの添付ファイルのみ暗号化することは通常ありません。また、脆弱性によってランサムウェアに感染する情報セキュリティリスクは発見されていません。

エ  誤り
攻撃者が複合機から送信される電子メールを盗聴しURLをSNSに公開しても、保存先は社内ネットワーク上に設置したサーバで、外部からアクセスされる情報セキュリティリスクは発見されていません。

------------------------
まずは1問どうぞ。
2023.01.24 20:46
管理人(No.17) 
AgentTakaさん

いつぞや応用情報の情報セキュリティの解説をご提供いただいたときもそうしたが、本当に助かります!!解説のベースとなる文章があるだけで一から作るのとはだいぶ違います。
2023.01.24 20:55
AgentTakaさん(No.18) 
問50解説

図や表が多く解答する数値の根拠を見つけるのが大変そうに見えますが、慌てずに一つ一つ埋めていけば難易度はそれ程高くありません。解答するのは全て自社Webサイトにあるコンテンツだけで、問題文中の根拠も探しやすくなっています。

a1  機密性の評価値=0
「表1 情報資産の機密性,完全性,可用性の評価基準」で、自社Webサイト掲載情報は公開情報として評価されており、評価値は0です。

a2  完全性の評価値=2
A社で分析機器を購入した顧客は,A社のWebサイトからマニュアルをダウンロードして利用することが多い。ことから「表1 情報資産の機密性,完全性,可用性の評価基準」で、改ざんされると顧客に大きな影響があり評価値は2です。


a3  情報資産の重要度=2
「図1 情報セキュリティリスクアセスメント手順」から、情報資産の機密性,完全性,可用性の評価値の最大値を,その情報資産の重要度とする。ことと、評価値は0〜2の3段階としていることから完全性、可用性のどちらでも評価値は2です。

a4  リスク値=8
「図1 情報セキュリティリスクアセスメント手順」から、リスク値=情報資産の重要度(2)×脅威の評価値(2)×脆弱性の評価値(2)=8となり、評価値は8です。

よって、適切な組合せはa1=0、a2=2、a3=2、a4=8で、正解はエとなります。

------------------------
次行ってみます。
2023.01.24 21:13
AgentTakaさん(No.19) 
問51解説

EDRやIT資産管理ツール、SIEMといったセキュリティの専門用語が登場し、知識がないと正答が難しい様に見えますが設問でこれらの説明が記載されています。OSやソフトウェアを常に最新の状態にするための対策という観点で絞り込むと正答に近づきます。また多岐選択肢ですが解答群を見ると必ず2つの正解を見つければ良く、見つけられなくても間違いを3つ消去出来れば正答になります。

(一) 不正解
設問の記載通り、EDRはPC上のプロセスの起動・終了を記録するソフトウェアの総称で、OSやソフトウェアを常に最新の状態にするための対策にはなりません。

(二)  不正解
PCのOS及び標準ソフトを最新の状態に更新するという設定ルールは、問題文の自動更新機能を使用して最新の状態に更新している。状況から既に導入されています。

(三)  正解
設問の記載通り、全てのPCへの脆弱性修正プログラムの自動適用を行うことで、OSやソフトウェアを常に最新の状態に保つことが出来ます。

(四)  正解
問題文から、非標準ソフトはどの程度利用されているか分からない、大半のPCで利用され最新の状態に更新されていないPCも存在していた。ことより、非標準ソフトのインストール禁止及び強制アンインストールを行うことが有効な対策になります。

(五)  不正解
設問の記載通り、SIEMはログデータを一括管理,分析して,セキュリティ上の脅威を発見するための仕組みでOSやソフトウェアを常に最新の状態にするための対策にはなりません。

よって、考えられる対策だけを全て挙げた組合せは(三)(四)で、正解はクとなります。

------------------------
管理人様に喜んで頂けそうでわたしも嬉しいです。
2023.01.24 21:45
AgentTakaさん(No.20) 
問52解説

設問にある通り「表1 A社PC規程へのB社の対応状況の評価結果(抜粋)」の項番4に対する追加対策を考慮すればよく、項番3,5は考慮しなくてもいい条件です。この様に問題文だけではなく設問もよく読んで、問われていることをよく理解しましょう。
かつ項番1,2は省略されていますので、難しそうに見える表も省けるものを除けば実質項番4のたった一行に注目するだけで解答出来ます。
また、注1)などの記載は当問題でも過去問題でも、重要なヒントが埋め込まれていますので、見落とさない様に注意しましょう。
注1)で、外部記憶媒体からNPCへのコピーは許可していることを踏まえ、追加対策で低減できる情報セキュリティリスクを解答します。すなわち、外部記憶媒体→NPCの方向だけ考えれば良く、逆方向のNPC→外部記憶媒体は無視出来ます。

(一) 正解
外部記憶媒体→NPCの方向で許可されたアクセスです。追加対策を実施することで当該NPCがマルウェアに感染するリスクを低減出来ます。

(二)  不正解
NPC→外部記憶媒体の方向でそもそも許可されていないアクセス(出来ないアクセス)のため、追加対策の効果はありません。

(三)  正解
外部記憶媒体→NPCの方向で許可されたアクセスです。追加対策を実施することで当該NPCがマルウェアに感染するリスクを低減出来ます。

(四)  不正解
NPC→外部記憶媒体の方向でそもそも許可されていないアクセス(出来ないアクセス)のため、追加対策の効果はありません。

よって、低減できるものだけを全て挙げた組合せは(一)(三)で、正解はエとなります。

------------------------
科目B全12問のうち今日は4問のご提出、残り8問については1月29日(日)までを目途に宿題とさせて頂きたく存じます。
科目Aは今のところ解説作成は考えていません、過去問によく似たものも多数あるとの印象で、ここは管理人様にお任せした方が速いとの判断です。
わたしの判断ミスであればご指摘ください。
さ、さ、作成しよっかな?  はは、、、ははは、、、涙
2023.01.24 22:41
 momochanさん(No.21) 
AgentTakaさん、こんばんは。

科目Bの分かりやすい解説ありがとうございます。
途中で割り込んで申し訳ございませんが、科目Aの解説です。
ご覧の通り過去問の寄せ集めでした。
------------------------

【サンプル問題セット】(2022年12月26日掲載)
科目A(問1〜問48)解答解説
問1
令和元年秋期 問3
https://www.sg-siken.com/kakomon/01_aki/q3.html
問2
令和元年秋期 問4
https://www.sg-siken.com/kakomon/01_aki/q4.html
問3
令和元年秋期 問5
https://www.sg-siken.com/kakomon/01_aki/q5.html
問4
平成31年春期 問4
https://www.sg-siken.com/kakomon/31_haru/q4.html
問5
平成31年春期 問6
https://www.sg-siken.com/kakomon/31_haru/q6.html
問6
平成30年秋期 問31 類題
https://www.sg-siken.com/kakomon/30_aki/q31.html
平成28年秋期 問3 類題
https://www.sg-siken.com/kakomon/28_aki/q3.html
問7
平成31年春期 問3
https://www.sg-siken.com/kakomon/31_haru/q3.html
問8
平成28年秋期 問25
https://www.sg-siken.com/kakomon/28_aki/q25.html
問9
令和元年秋期 問8
https://www.sg-siken.com/kakomon/01_aki/q8.html
問10
平成28年春期 問16
https://www.sg-siken.com/kakomon/28_haru/q16.html
問11
平成28年春期 問20
https://www.sg-siken.com/kakomon/28_haru/q20.html
問12
平成28年秋期 問14 類題
https://www.sg-siken.com/kakomon/28_aki/q14.html
問13
令和元年秋期 問1
https://www.sg-siken.com/kakomon/01_aki/q1.html
問14
令和元年秋期 問15 類題
https://www.sg-siken.com/kakomon/01_aki/q15.html
問15
平成31年春期 問19
https://www.sg-siken.com/kakomon/31_haru/q19.html
2023.01.24 23:34
 momochanさん(No.22) 
 momochanさん(No.23) 
問31
平成31年春期 問34
https://www.sg-siken.com/kakomon/31_haru/q34.html
問32
令和元年秋期 問31
https://www.sg-siken.com/kakomon/01_aki/q31.html
問33
平成29年秋期 問32
https://www.sg-siken.com/kakomon/29_aki/q32.html
問34
令和元年秋期 問34
https://www.sg-siken.com/kakomon/01_aki/q34.html
問35
平成29年春期 問37 類題
https://www.sg-siken.com/kakomon/29_haru/q37.html
問36
令和元年秋期 問40
https://www.sg-siken.com/kakomon/01_aki/q40.html
問37
基本情報技術者平成30年秋期 問60
問38
令和元年秋期 問42
https://www.sg-siken.com/kakomon/01_aki/q42.html
問39
平成28年秋期 問42
https://www.sg-siken.com/kakomon/28_aki/q42.html
問40
平成30年秋期 問43
https://www.sg-siken.com/kakomon/30_aki/q43.html
問41
基本情報技術者平成25年春期 問52
問42
基本情報技術者平成17年春期 問32
問43
平成30年秋期 問45
https://www.sg-siken.com/kakomon/30_aki/q45.html
問44
基本情報技術者平成17年秋期 問56 類題
問45
平成31年春期 問47
https://www.sg-siken.com/kakomon/31_haru/q47.html
問46
応用情報技術者平成29年春期 問73
問47
基本情報技術者平成27年秋期 問78
問48
平成30年春期 問50
https://www.sg-siken.com/kakomon/30_haru/q50.html
2023.01.24 23:35
AgentTakaさん(No.24) 
momochanさん
こんばんは

すごいですねー、よく見つけますねー。
本当にビックリしております。
momochanさんが科目Aの解説を提供し、わたしが科目Bの解説ドラフト版を提供する。
これって二人初めての共同作業じゃないですか?
あっはっはーーー、照れるしー。

10年に一度の大寒波、関東は大丈夫でしょうか。
負けずにこのスレッドみたいにホットに乗り切りましょう!
2023.01.25 00:00
 momochanさん(No.25) 
AgentTakaさん、おはようございます。

不正解の選択肢も詳しく解説そして解答のコツやポイントも満載でありがたいですね。
途中で不正解選択肢の説明が面倒だなーなんて誘惑に駆られ、省略したい気持ちも出てきそう
ですが、そんなことは微塵も感じさせないドットコム愛溢れるTakaさんを尊敬いたします。

科目A、新規問題も登場するかと期待しましたが10割過去問流用とはガッカリです。
世の中そんなに甘くないですね。
不安が解消されない!と情報セキュリティ安心相談窓口に相談が殺到しているとか。(嘘)
今日も寒いけど何とか耐えています。ぶるぶる。
2023.01.25 07:20
AgentTakaさん(No.26) 
寒波に負けるなカンパニーCISO momochanさん
こんばんは

朝早い忙しい時間を割かせてしまって恐縮です。
途中で不正解選択肢の説明が面倒だなー、省略したいなー、なんて誘惑に駆られまくってます!
見抜かれたか!こりゃおじさん一本取られたわい!たっはっは

にしてもですよ、科目Aの流用問題はどうやって調べたのでしょうか。
差し支えなければご教授頂ければ幸いでございます。
わたしの「目からうつろが落ちる」かも知れませ(うろこだよね)

さあ、今日もサンプル問題の解説作成いってみまーす。
解説インジェクション攻撃だ!(意味わかって言ってるのか)
2023.01.25 19:41
AgentTakaさん(No.27) 
問53解説

共連れとは、入場権限を持つ人と一緒に入室権限を持たない人が入退場する不正行為です。問題文の状況設定で、顧客の個人情報を大量に扱うようになってきたため、オフィス内に通販事業部エリアを設け個人情報が漏えいしないよう対策した。とあるようにオフィスの一角を改築しています。
データセンタや情報システム機器を設置するためのマシン室の様な堅牢な設計ではないことが分かります。この様なケースでは通販事業部エリアを設けるための費用、発見された問題の改善にかける費用も限られてくることが想定でき、費用対効果を考慮した対策を選択することが現実的で正答を導きやすくなります。

(一) 不正解
監視カメラの設置は、捕まるリスクを高める(やると見つかる)効果が期待できますが、1年に1回の映像確認では適切な周期チェックとは言えません。

(二) 正解
共連れのもたらすリスクを知らせる標語を掲示することは、犯行の誘因を減らす(その気にさせない)効果と費用も抑えられ現実的な改善案です。

(三) 不正解
ICカードドアをAES(Advanced Encryption Standard:共通鍵暗号方式の一種)に変更しても、共連れ行為を改善できません。

(四) 不正解
ICカードの認証に加えて指静脈認証も行うことを、2要素認証又は多要素認証といい、所有物(ICカード等)、知識(パスワード等)、生体(指紋等、バイオメトリクスとも言う)の複数の要素を組み合わせて認証を行う方式です。認証プロセスの強化になりますが、共連れ行為を改善できません。

(五) 不正解
正門内側にアンチパスバックを導入しても通販事業部エリアの共連れ行為を改善できません。また、正門内側にアンチパスバックを導入すると来客の対応が煩雑になると共に、正門外側にも導入して内外で一対の管理が必要になり費用も高額になります。アンチパスバックを導入するなら通販事業部エリアの出入り口に導入するべきです。

(六) 不正解
通販事業部エリア内で従業員証を携帯しても共連れ行為を改善できません。

(七) 正解
共連れを発見した場合、従業員同士で注意しあうことにより捕まるリスクを高める(やると見つかる)効果と費用も抑えられ現実的な改善案です。

よって、改善案として適切なものだけを全て挙げた組合せは(二)(七)で、正解はオとなります。

「組織における内部不正防止ガイドライン」では、内部不正防止の基本5原則を示しています。
・犯行を難しくする(やりにくくする):対策を強化することで犯罪行為を難しくする
・捕まるリスクを高める(やると見つかる):管理や監視を強化することで捕まるリスクを高める
・犯行の見返りを減らす(割に合わない):標的を隠す/排除する、利益を得にくくすることで犯行を防ぐ
・犯行の誘因を減らす(その気にさせない):犯罪を行う気持ちにさせないことで犯行を抑止する
・犯罪の弁明をさせない(言い訳させない):犯行者による自らの行為の正当化理由を排除する

参考リンク
「組織における内部不正防止ガイドライン」
https://www.ipa.go.jp/files/000097099.pdf

----------------------------------
参考リンクは古くなると参照できずに削除されてきたのを多く見てきたので、貼る判断はお任せ致します。
2023.01.25 20:51
AgentTakaさん(No.28) 
問54解説

本問題はファイルサーバのファイルを毎週土曜日にバックアップしている状況設定について、データ保管に関する観点でリスクを見直しています。「図1 A社のデータ保管に関するリスク(抜粋)」では、ランサムウェアによってデータが暗号化され,最新のデータが利用できなくなることによって,最大1週間分の更新情報が失われる。というリスクがまとめられています。このリスクをより低減するための対策をデータ保管に関する観点で選択します。ポイントとして「データ保管に関する観点」で素直に対策を選択すれば正答を簡単に導き出せます。

ア 正解
最大1週間分の更新情報が失われるリスクをデータ保管に関する観点で考慮すると、1週間より短いサイクルでバックアップすることで低減出来ます。毎日1回バックアップを取得して7世代分保存するのがより良い対策です。ここでは運用の手間や時間は考慮せず素直に解答しましょう。

イ 不正解
差分がないことを確認するのは完全性を確保する手段で、最大1週間分の更新情報が失われるリスクは低減出来ていません。

ウ 不正解
高速な製品に交換することはバックアップ時間の短縮になりますが、最大1週間分の更新情報が失われるリスクは低減出来ていません。

エ 不正解
磁気テープからハードディスクに変更しても媒体を変えただけで、最大1週間分の更新情報が失われるリスクは低減出来ていません。

オ 不正解
バックアップを二組み取得し,うち一組みを遠隔地に保管するのは、地震など災害の脅威に対するBCM(Business Continuity Management:事業継続マネジメント)の一環で取り組まれますが、最大1週間分の更新情報が失われるリスクは低減出来ていません。

カ 不正解
ファイルサーバにマルウェア対策ソフトを導入するのは、マルウェア感染リスクをより低減するための観点での対策になります。マルウェア対策ソフトを導入しても、最大1週間分の更新情報が失われるリスクは低減出来ていません。この様に、何のための対策を問われているかを理解して素直に解答しましょう。

-----------------------
ふー、ちょっとコーフィーブレイク
2023.01.25 21:33
AgentTakaさん(No.29) 
問55解説

2022年度までの午後問題は問題一つに設問が複数ありましたが、2023年度からの科目Bは問題一つに設問は一つだけです。設問で何を問われているか先に確認して問題文を読み進めるのも有効なテクニックです。
「表1 20XX年下期のH訓練計画案(抜粋)」で想定している標的型攻撃メールはどれか選択する設問です。Aアカウントはロックされていると騙して、偽解除サイトに誘導して個人情報を入力させていることに注目します。この様に表に解答が記載されていることに気が付けば、読解力だけでも正答は容易です。

ア 不正解
従業員をAサービスに誘導していません。偽解除サイトに誘導しています。また、Aアカウントはもともとロックされていません。ロックされていると騙しているだけです。

イ 不正解
Aアカウントがロックされない連続失敗回数の上限を、発見する攻撃ではありません。従業員の個人情報を入力させています。

ウ 正解
表1の通り、従業員の個人情報を入力させています。

エ 不正解
複数の従業員をAサービスに同時に誘導していません。また、Aサービスを利用不可にする攻撃ではありません。従業員の個人情報を入力させています。

-----------------------
もう1問いってみましょうか!
2023.01.25 22:19
AgentTakaさん(No.30) 
問56解説

Webブラウザに塾生管理システムの利用者IDとパスワードを保存しており、情報セキュリティリスクを指摘されています。「図1 塾生の個人データ管理業務と塾生管理システムの概要」から、利用者IDとパスワードを保存していることによって起こり得るリスクを解答します。
図1を要約すると、端末を共用し塾生管理システムへのログインには、利用者IDとパスワードを利用する。利用者IDは共用せず、教務部員は担当しない塾生の個人データの参照権限及び更新権限はありません。この状況設定でWebブラウザに利用者IDとパスワードを保存すると、どの様なリスクがあるか解答群から選択します。

ア 不正解
Webブラウザに利用者IDとパスワードを保存していることと、通信の盗聴は関連がありません。

イ 不正解
Webブラウザに利用者IDとパスワードを保存していることと、共用端末が不正に持ち出されることは関連がありません。

ウ 不正解
Webブラウザに利用者IDとパスワードを保存していることと、情報システム部員によってアクセス権限が不正に変更されることは関連がありません。

エ 不正解
共用端末のパスワードは情報システム部が設定,変更できます。教務部員は共用端末のパスワードを設定,変更できません。また、Webブラウザに利用者IDとパスワードを保存していることと関連がありません。

オ 正解
Webブラウザに利用者IDとパスワードを保存していると、他人が保存されている利用者IDとパスワードでログインできます。つまり、正当ではない教務部員が保存されている利用者IDの教務部員になりすまして、担当しない塾生の個人データにアクセス出来てしまう事になります。

-----------------------
今日はここまでにしましょうか。続きは明日以降にさせて頂きます。
いやー、解説作るのって相当なエネルギー消費しますねー。ドットコムさんはこれを当たり前の様に作成されていたんですね。
それを当たり前の様に利用させて頂いていたことにハッとしています。
ドットコムさんには感謝しかございません。いつもありがとうございます!
2023.01.25 22:56
 momochanさん(No.31) 
AgentTakaさん、こんばんは。

強烈寒波で札幌市の映像をニュースで見る度、Takaさん凍ってないかと心配になります。
明日は晴れの予報で一安心です。

科目Aの流用問題についてですが、問題のキーワードとなる部分をドットコムトップページの
過去問題解説から年を指定して各問題の論点と見比べて探しました。
過去問8個を行ったり来たりしましたが、どうしても見つからないときはキーワードをコピー
してドットコムトップページ右上の検索ボックスに貼り付けて検索しました。
だんだん面倒になってきて、最後の方はブラウザ上部のアドレスバーに貼り付けて検索したり
それはもうお祭り騒ぎです。

そういえば、4月掲載のサンプル問題出たての頃解いたとき、問2の項番(一)の不正解の
理由がわからなかったのですが、Takaさん解説でやっとスッキリしました。
私、表1しか見ていなくて問題文を見逃していました。
問題文にログイン機能を8月に追加したと書いてありましたね。
大事なポイントを見逃しているようではだめですねー。トホホ
2023.01.25 23:14
AgentTakaさん(No.32) 
IPAアナリストの第一人者 momochanさん
こんばんは

わたし凍ってます。冷凍保存中です。
解凍はどうすればいいのか解答が見つからないっていう回答になっちゃいます。

科目Aの流用問題を探すの大変な手間だったんですね。
簡単に見つけたように見えただけでバックステージではfestival騒ぎだったんですね。
ご教示頂きありがとうございました。

科目Bの解説作成もなかなか難しいです。どうでしょうか、分かりますかね。
理解できない個所とか、変なところあったらご指摘頂ければ修正致します。

科目Bを実際に解いて解説ドラフトしながら、これは思ったより読解問題でセキュリティの専門的な知識は無くても解けそうだな、と感じました。
何しろ選択肢に登場する略語を選択肢の中で説明してくれている問51のようなのもありますからねえ。
後はやっぱり設問で問われていることに素直に答えること、問題文から状況設定をよく理解することが大事じゃないか、と改めて思っております。
今までの午後問題っていくつも設問があるから先に設問見ても問題文読んでるうちにわすれちゃうんですよね。それが2023年度から設問が一つになるから先に設問見ておくのも有効かな。
科目Aの方がセキュリティの勉強していないと解けないですね。
これらを2時間で60問でしょ。うーん、科目Aはmomochanさん投稿にある様に過去問道場で正解の理由と外れ選択肢の理由を理解する様に意識して繰り返し解いておけば秒で解けるようになるはず。
そうやってさっさと科目Aは終わらせて科目Bにいかに時間を配分できるかが本番で重要な要素になってきそうです。

>大事なポイントを見逃しているよう
最初はそうやって失敗しながらコツや嗅覚、呼吸感を掴んでゆくんです。次第に慣れていきますよ、大丈夫です。どこに注目すればよかったのか振り返りをすればちゃーんと解決します。

あら、長文になってしまいました、失礼致しました。
さてそろそろ寝ましょうかね。
続きは夢の中でチャレンジレスポンスしましょう!
おやすみなさーい。
2023.01.26 00:29
 momochanさん(No.33) 
AgentTakaさん、こんにちは。

>問題文の状況設定から設問に素直に解答することが大切です。
>筋の通らない自論を主張する必要はありません。
思い込みや先入観で問題に接していると間違いの元ですね。
問題文の状況に合わせて素直に解答することが大事だと肝に銘じます!

夢の中でチャレンジレスポンスしていたら、素敵な曲名が浮かびました。
「素直になれなくて2023札幌 feat.AgentTaka」
(何を言っているんだー、意味わからん。くだらなくてごめんなさい)
もしこんな曲があったら聴いてみたいなーと想像を膨らませてしまいました。
代わりにYouTubeでこちらの曲を聴いてしまいました。シカゴ「素直になれなくて」です。
Takaさん解説あと4問、まだかな、まだかな〜、待ち遠しいなー。
2023.01.26 12:08

返信投稿用フォーム

スパム防止のために初投稿日から30日経過したスレッドへの書き込みは禁止しています。

© 2015-2023 情報セキュリティマネジメント試験ドットコム All Rights Reserved.

Pagetop