HOME»情報セキュリティマネジメント試験掲示板»サンプル2022年4月25日公開分(3問)について
投稿する

サンプル2022年4月25日公開分(3問)について [1519]

 momochanさん(No.1) 
管理人様、いつも有用なコンテンツ掲載ありがとうございます。
新制度サンプル問題について、基本情報技術者試験ドットコムサイトでは2022年4月25日公開分もコンテンツに含まれておりますが、情報セキュリティマネジメント試験ドットコムサイトでは4月25日公開分(3問)が掲載されておりません。
たかが3問、されど3問、過去問が公開されない中、貴重なサンプル問題だと思います。
SG受験者はもちろん、FE受験者も科目B対策で活用されておりますので、ぜひコンテンツに取り入れていただきたいと思いました。

2022年4月25日公開分の情報セキュリティマネジメント試験科目Bのサンプル問題
https://www.ipa.go.jp/shiken/syllabus/henkou/2022/gmcbt80000007cfs-att/sg_kamoku_b_sample.pdf
2023.08.11 07:33
管理人(No.2) 
ご提案ありがとうございます。
おっしゃるとおり新制度のサンプル問題は貴重ですので、掲載する方向で進めさせていただきます。まずは令和5年分問題の解説を完成させてからになると思います。
2023.08.11 20:23
 momochanさん(No.3) 
管理人様、ありがとうございます。
以前にAgentTakaさんよりドラフト版を作成していただきましたが、雑談交じりで恥ずかしいので解説部分のみ抜粋してコピー・アンド・ペーストさせていただきます。
管理人様の解説作成の負担軽減になると思いましたので、投稿複製の件ご了承くださいますようお願い申し上げます。
AgentTakaさんへこの場をお借りして感謝申し上げます。
2023.08.11 23:57
 momochanさん(No.4) 
「情報セキュリティマネジメント試験科目B試験のサンプル問題」(2022年4月25日掲載)

問1解説

ア  誤り
注意喚起のためとは言え、不審メールの添付ファイルを付けたまま、又は本文中のURLを記載したまま同じ部の全従業員に転送すると、従業員が添付ファイルを開いたり本文中のURLをクリックするリスクが大きく被害の拡大が想定されます。初動は問い合わせ対応者に連絡して指示を仰ぐべきです。

イ  誤り
注意喚起のためとは言え、不審メールの添付ファイルを付けたまま、又は本文中のURLを記載したまま全従業員への連絡用のメーリングリストに転送すると、従業員が添付ファイルを開いたり本文中のURLをクリックするリスクが大きく被害の拡大が想定されます。初動は問い合わせ対応者に連絡して指示を仰ぐべきです。

ウ  誤り
注意喚起のためとは言え、不審メールの添付ファイルを付けたまま、又は本文中のURLを記載したまま共有サーバに保存し同じ部の全従業員がアクセスできるようにしておくと、従業員が添付ファイルを開いたり本文中のURLをクリックするリスクが大きく被害の拡大が想定されます。初動は問い合わせ対応者に連絡して指示を仰ぐべきです。

エ  誤り
不審メールの受信やウィルスの感染などが疑われる場合は、システム管理者など知識や経験のある人に報告してから、指示通りに対処すべきです。本題では問い合わせ対応者に連絡して指示通りに対処することになります。指示がない不審メールの転送は被害の拡大を招きかねません。

オ  正解
不審メールの受信やウィルスの感染などが疑われる場合、自分勝手な判断や行動は被害の拡大を招きかねず慎むべきです。当選択肢の行動は問い合わせ対応者に連絡して指示通りに対処しているので正しい行動と言えます。
2023.08.11 23:58
 momochanさん(No.5) 
問2解説

B社サイトの点検結果がA社グループ基準を満たしている項番を全て選択します。当問題の様に設問で問われていることに、素直に解答することが正解への近道です。

(一)誤り
A社グループ基準では、Webアプリの新規開発時、および機能追加時に脆弱性診断を行うことになっています。B社サイトは8月にログイン機能を追加しているので、8月にWebアプリに対する脆弱性診断を行わなければ基準を満たしていません。よって誤りです。

(二) 正しい
OS及びミドルウェアに対する脆弱性診断を年1回以上行う基準です。毎年10月にB社サイトに対して脆弱性診断を行っているので基準を満たしています。軽微な脆弱性が4件検出されていますが、(二)は脆弱性診断を年1回以上行うことを基準としていますので、脆弱性の有無はここでは考慮しなくても問題ありません。

(三) 誤り
A社グループ基準では、Webアプリ、OS及びミドルウェアに対する脆弱性診断の結果を、各社の情報セキュリティ委員会に報告することになっていますが、OS及びミドルウェアに対する診断結果を、脆弱性が軽微であることを理由に情報システム部内での共有にとどめ、情報セキュリティ委員会に報告していないので誤りです。例え軽微な脆弱性でも大きな問題に発展する前に報告すべきです。

(四) 正しい
脆弱性診断結果の対応はA社グループ基準で、緊急を要する脆弱性については速やかに対応し,その他の脆弱性については診断後1か月以内に対応することになっています。点検結果でWebアプリの脆弱性2件は1週間、OS及びミドルウェアの脆弱性4件について2週間後に対応しています。脆弱性の回避策(ワークアラウンド)や修正(パッチ)は、プログラムの開発やテスト、本番環境へ適用するための計画や審査など経て適用されます。
Webアプリ、OS及びミドルウェアに対する脆弱性への対応としては妥当な対応までの時間と考えられます。

よって(二)と(四)の組み合わせであるキが正解となります。
2023.08.11 23:59
 momochanさん(No.6) 
問3解説

(一)正しい
11時頃Dさんのスマートフォンに承認のリクエストが来たが、Dさんがログインしたタイミングではなかった、と報告しています。問題文〔B サービスでの認証〕で、入力された利用者IDとパスワードが正しかったときはスマートフォンに承認のリクエストが来る。と説明されており第3者が不正ログインした可能性が考えられます。今後の不正ログインを防止する為、Bサービスのパスワードを変更するのは正しい行動です。

(二) 誤り
Dさんからの報告時点で既にマルウェアに感染している可能性があります。マルウェアに感染したPCのフルバックアップを実施してもマルウェアも一緒にバックアップされるので被害防止の効果はありません。

(三) 正しい
マルウェアの感染が疑われる場合は速やかにネットワークから切り離し、マルウェア定義ファイルを最新に更新してフルスキャンを実施し、感染の有無やマルウェアの駆除などを行います。

(四) 誤り
マルウェア感染が疑われるPCを社内ネットワークに接続すると、ネットワークを介して感染の被害が拡大する恐れがあります。また、ファイルサーバに怪しい添付ファイルをコピーするのは感染拡大を助長する行為なので止めるべきです。

(五) 誤り
怪しい添付ファイルを再度開いて挙動を確認するのは正しい行動とは言えません。

よって(一)と(三)の組み合わせであるイが正解となります。

当問題は解答群に注目すると必ず2つ選択することが分かります。こういった出題では正しい選択肢を2つ選べなくても、3つ消去出来れば正解となります。(二)(四)(五)は比較的分かりやすい誤りで、これらを除外できれば正解となります。
2023.08.11 23:59
管理人(No.7) 
参考にさせていただきます。

最初に土台となる文があると解説も捗るので非常に助かります。いつもありがとうございます。
2023.09.05 13:16

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2015-2024 情報セキュリティマネジメント試験ドットコム All Rights Reserved.

Pagetop