スタートページWeb教材目次選択肢試験目次

su04 情報セキュリティアドミニストレータ
平成16年度


問1

図のアーキテクチャのシステムにおいて,CPUからみた,主記憶装置とキャッシュメモリを合わせた平均読込み時間を表す式はどれか。ここで,読み込みたいデータがキャッシュメモリに存在しない確率をrとし,キャッシュメモリ管理に関するオーバヘッドは無視できるものとする。

【解答】

正解:イ

         確率 時間  期待値
ヒットしたとき  1-r x (1-r)・x
ヒットしないとき r   y  r・y   +(
平均読込み時間       (1-r)・x+r・y
容量のデータは無関係
参照:「記憶階層とキャッシュメモリ」(hs-kioku-kaisou

問2

磁気ディスク装置の仕様と格納対象データの条件が次のとおりに与えられている。ブロック化因数が20のときの必要領域は何トラックか。ここで,ブロックはトラックをまたがらないように割り当てるものとし,ファイル編成は順編成とする。

  磁気ディスク装置の仕様
    1トラック当たりの記憶容量 25,200バイト
    ブロック間隔           500バイト
  格納対象データの条件
    レコード長            200バイト
    レコード件数        10,000件

ア 80   イ 83   ウ 89   エ 100

【解答】

正解:エ

1ブロックの容量:200[バイト/レコード]×20[レコード/ブロック]+500[バイト/ブロック]
   =4,500[バイト/ブロック]
データのブロック数:10,000[レコード]/20[レコード/ブロック]
   =500[ブロック]
1トラックのブロック数:25,200[バイト/トラック]/4,500[バイト/ブロック]
   =5.6(切捨て)→5[ブロック/トラック]
必要なトラック数:500[ブロック]/5[ブロック/トラック]
   =100[トラック]

参照:「磁気ディスクの容量計算」(hs-disk-youryo

問3

入出力管理におけるバッファキャッシュ機能の記述として,適切なものはどれか。

【解答】

正解:ア

バッファキャッシュ=CPU処理時間<<入出力時間
   読込みの例:エ
   書出しの例:プリンタのスプール
イ,ウは仮想記憶,エは部分的説明
参照:「記憶階層とキャッシュメモリ」(hs-kioku-kaisou

問4[sd04-04]

問5

あるシステムにおいて,MTBFとMTTRがともに1.5倍になったとき,アベイラビリティ(稼働率)は何倍になるか。
 ア 2/3    イ 1.5    ウ 2.25    エ 変わらない

【解答】

正解:エ

稼働率=MTBF/(MTBF+MTTR)・・・分母・分子が1.5倍になる→稼働率は不変
参照:「RAS,MTBF,MTTR」(hs-mtbf-mttr

問6[sd04-08]

問7[sd04-11]

問8[sd04-12]

問9

オブジェクト指向の概念で,上位のクラスのデータやメソッドを下位のクラスで再利用できる性質を何というか。
 ア インヘリタンス イ カプセル化 ウ 抽象化 エ ポリモーフィズム

【解答】

正解:ア

カプセル化:データとメソッドを一体化して外部から隠蔽
ポリモーフィズム:同じメッセージ(命令)でもオブジェクトにより異なる振る舞い
参照:「オブジェクト指向DB」(db-oodb

問10

データの検査方法に関する記述のうち,適切なものはどれか。

【解答】

正解:イ

アはチェックデジット。JANコードなどに用いられている。
フォーマットチェックは数値項目の文字の入力,桁数のチェックなど
リミットチェックとは,入力できるデータの最大小値
参照:「テストの方法」(kj2-test-kiso

問11

プログラムのテストに関する記述のうち,適切なものはどれか。

【解答】

正解:ア

イ:前半は正しい。早期に全体の構造をチェックするのに適する。
ウ:これはホワイトボックステスト
エ:バグがあることは証明できるが,バグのないことを証明する手段はない。
参照:「テストの方法」(kj2-test-kiso

問12

プロジェクトの工程管理や進捗管理に使用されるガントチャートの特徴として,適切なものはどれか。
 ア 各作業の開始時点と終了時点が一目で把握できる。
 イ 各作業の順序が明確になり,クリティカルパスが把握できる。
 ウ 各作業の余裕日数が容易に計算できる。
 エ プロジェクトの総所要日数が計算できる。

【解答】

正解:ア

イ,ウ,エはPERT
参照:「グラフ」( kj-graph-kiso), 「PERTの概要」(or-pt-intro

問13

運用開始後のネットワーク構成の変更に関する記述のうち,最も適切なものはどれか。

【解答】

正解:エ

すべて望ましいことではあるが・・・
ア:属人的な対応では困る。
イ:全業務停止は現実的ではない。
ウ:それができれば苦労はない。環境は変化する。
エ:これが最も基本的。

問14

TCP/IPにおけるARPの説明として,適切なものはどれか。
 ア IPアドレスからMACアドレスを得るプロトコルである。
 イ IPネットワークにおける誤り制御のためのプロトコルである。
 ウ ゲートウェイ間のホップ数によって経路を制御するプロトコルである。
 エ 端末に対して動的にIPアドレスを割り当てるためのプロトコルである。

【解答】

正解:ア

ア:ARP,イ:ICMP,エ:DHCP →参照:「ネットワーク層とIP」(nw-ip
ウ:RIP→参照:「経路制御(ルーティング)」(nw-routing

問15

クラスBのIPアドレスで,サブネットマスクが16進数のFFFFFF80である場合,利用可能なホスト数は最大いくつか。
 ア 126    イ 127    ウ 254    エ 255

【解答】

正解:ア

80→000 0000→7ビット→2→128
ネットワークアドレスとブロードキャストアドレスの2個が必要なので,
ホスト数=128-2=126個
参照:「IPアドレス」(nw-ipaddress

問16

無線LAN(IEEE802.11)で使用されるデータ暗号化方式はどれか。
 ア SSID    イ SSL    ウ WAP    エ WEP

【解答】

正解:エ

SSID(Service Set IDentifier):無線LANで子機に親機の存在を認識させる識別名・機能
SSL(Secure Soket Layer):通信でのセキュリティプロトコル →参照:「SSL」
WAP(Wireless Application Protocol):携帯電話などでの通信プロトコル
WEP(Wired Equivalent Privacy):無線通信における暗号化技術
参照:「無線LANとセキュリティ」

問17

ATM交換機に関する記述として,適切なものはどれか。

【解答】

正解:イ

アはPBX(構内電話交換機),ウはパケット交換,エはフレームリレー
ATM交換機は,これらを包含するが,最も特徴的なのはイ
参照:「データリンク層」(nw-datalink

問18

2台のコンピュータを伝送速度64,000ビット/秒の専用線で接続し,1Mバイトのファイルを転送する。このとき,転送に必要な時間は約何秒か。ここで,伝送効率を80%とする。
 ア 20    イ 100    ウ 125    エ 156

【解答】

正解:エ

転送量=1[Mバイト]×8[ビット/バイト]=8×10[ビット]
転送速度=64,000[ビット/秒]×0.8=64×0.8×10[ビット/秒]
転送時間=転送量/転送速度=156[秒]

問19

LANの制御方式に関する記述のうち,適切なものはどれか。

【解答】

正解:ア

イは×。トークンパッシング方式の説明
ウは×。TDMAは時分割→衝突は発生しない
エは×。急激に低下するのはCSMA/CD方式の特徴
参照:「データリンク層」(nw-datalink

問20

ネットワークを構成する装置の用途や機能に関する記述のうち,適切なものはどれか。

【解答】

正解:ア

イ:ブリッジはデータリンク層
ウ:リピータは物理層
エ:ルータはネットワーク層
すべて後半は正しい。
参照:「LAN接続機器」(nw-lan-kiki

問21[sd02-26]

問22[sd04-25]

問23

インターネット上で,安全なクレジット決済の取引処理を提供するために定められたプロトコルはどれか。
 ア CII    イ RAS    ウ SET    エ SSL

【解答】

正解:ウ

CII(Center for the Information of Industry):日本電子機械工業会の標準化機構
  あるいは同機構によるビジネスプロトコルのこと(EDIのようなもの)
RAS(Remote Access Service):リモートアクセス処理のこと
  RSA(公開鍵暗号方式の一つ)の誤植?
SSL:インターネット通信での暗号化方式

問24

JPCERT/CC(JPCERTコーディネーションセンター)では,インシデントを六つのタイプに分類している。

 Scan:    プローブ,スキャン,そのほかの不審なアクセス
 Abuse:   サーバブログラムの機能を悪用した不正中継
 Forged:   送信ヘッダを詐称した電子メールの配送
 Intrusion: システムへの侵入
 DoS:   サービス運用妨害につながる攻撃
 Other:   その他

次の三つのインシデントとタイプの組合せのうち,適切なものはどれか。
  インシデント1:ワームの攻撃が試みられた形跡があるが,侵入されていない。
  インシデント2:ネットワークの輻輳(ふくそう)による妨害を受けた。
  インシデント3:DoS用の踏み台プログラムがシステムに設置されていた。

  インシデント1 インシデント2 インシデント3
 ア  Abuse    DoS     Intrusion
 イ  Abuse    Forged     DoS
 ウ  Scan     DoS     Intrusion
 エ  Scan     Forged     DoS

【解答】

正解:ウ

インシデント1:攻撃が試みられた形跡→不審なアクセス→Scan
インシデント2:輻輳による妨害→サービス運用妨害→DoS
インシデント3:システムに設置→システムへの侵入→Intrusion

問25

マクロウイルスの感染に関する記述のうち,適切なものはどれか。

【解答】

正解:ウ

「マクロ」ウイルス=WordやExcelのマクロにウイルスを忍ばせる
アは×。通常のウイルスの説明
イは×。ブートセクタウイルス(ブーストラップウイルス)の説明
エは×。「容易に判断できる」が微妙だが,一般人がワクチンなして判断するのは困難

参照:「ウイルスの種類」(sec-virus-shurui

問26

ネットワーク監視型侵入検知ツール(NIDS)の導入目的はどれか。
 ア 管理下のサイトへの不正侵入の試みを記録し,管理者に通知する。
 イ 攻撃が防御できないときの損害の大きさを判定する。
 ウ サイト上のファイルやシステム上の資源への不正アクセスであるかどうかを判定する。
 エ 時間をおいた攻撃の関連性とトラフィックを解析する。

【解答】

正解:ア

NIDS(Network Intrusion Detection System):一般にIDSといわれる
   ホスト型とネットワーク型がある。
イのような事項はツールではなく,リスク分析での人間的判断
ウはホスト型IDS
エはIDSそのものではなく,その解析ツール(MRTGなど)
参照:「ネットワークセキュリティ技術」(nw-sec-gijutsu

問27

情報システムへの脅威とセキュリティ対策の組合せのうち,適切なものはどれか。

   脅威              セキュリティ対策
 ア 地震と火災           フォールトトレラント方式のコンピュータ
                   によるシステムの二重化
 イ データの物理的な盗難と破壊   ディスクアレイやファイアウォール
 ウ 伝送中のデータヘの不正アクセス HDLCプロトコルのCRC
 エ メッセージの改ざん       公開鍵暗号方式を応用したデジタル署名

【解答】

正解:エ

アは×。地震→耐震設備,火災→防火壁,消火設備など
イは×。アクセス制御,データの暗号化,バックアップなど
ウは×。暗号化など
エは○。

問28

ネットワークの非武装セグメント(DMZ)の構築や運用に関する記述のうち,適切なものはどれか。

【解答】

正解:イ

アは×。運用監視を内部ネットワークから行うことは,セキュリティ上好ましい。
イは○。これにより外部ネットワークからデータ保持用のサーバにアクセスされない。
ウは×。外部からDMZへのアクセスを監視するので,DMZにおくのが適切。
エは×。不正中継はサーバの設定による。

問29[su07-32]

SSLに関する記述のうち,適切なものはどれか。

【解答】

正解:ア

イは×。Webブラウザに標準装備されている。利用者登録は不要。
ウは×。デジタル証明書とIPアドレスとは直接の関係はない。
エは×。世界共通である。

問30

「情報セキュリティ監査制度:情報セキュリティ管理基準」において,情報セキュリティ基本方針の目的として記述されている内容はどれか。
 ア 情報セキュリティのための経営陣の指針および支持を規定するため
 イ 人為的ミス,盗難,不正行為,又は設備誤用によるリスクを軽減するため
 ウ 組織内の情報セキュリティを管理するため
 エ 組織の資産を適切に保護し,管理するため

【解答】

正解:ア

「情報セキュリティ管理基準」は
「1 セキュリティ基本方針
1.1 情報セキュリティ基本方針 目的:情報セキュリティのための経営陣の指針及び支持を規定するため」
となっている。
参照:「情報セキュリティ監査制度の概要」(std-security-kijun-gaiyou

問31[sd04-27]

問32[sd04-28]

問33[sd04-29]

問34

JISQ9001(ISO9001:2000)を適用して,ソフトウェアの品質マネジメントシステムを構築する。その方針を示した次の文章中のa~dに当てはまる組合せはどれか。
 トップマネジメントは,[  a  ]に基づいた製品の品質保証に加えて顧客の満足度の向上を目指し,[  b  ]を組織全体のパフォーマンスと効率との継続的な改善の手引として[  c  ]を確立・実行・維持し,プロセスの改善を推進する。また,[  c  ]に基づいてコスト,納期,安全,環境などの経営要素の維持向上と併せて[  d  ]を推進する。

      a         b      c    d
 ア JISQ9001 JISQ9004 QMS TQM
 イ JISQ9001 JISQ9004 TQM QMS
 ウ JISQ9004 JISQ9001 QMS TQM
 エ JISQ9004 JISQ9001 TQM QMS

注 QMS(Quality Management System),TQM(Total Quality Management)

【解答】

正解:ア

Q9001シリーズ:品質マネジメントシステム=QMS
  Q9000:基本及び用語
  Q9001:要求事項
  Q9004:パフォーマンス改善の指針
QMS:Q9001の継続的改善の仕組み
TQM:顧客満足,環境保全,従業員満足など広い意味でのQMS
参照:「ISO 9001(JIS Q 9001)」(std-iso9001

問35

JISX5070(ISO15408;情報技術セキュリティ評価基準)に関する記述のうち,適切なものはどれか。

【解答】

正解:イ

JISを知らなくても、情報セキュリティ対策=CIA(機密性,完全性,可用性)は知っているはず
参照:「情報セキュリティの3要件(機密性・完全性・可用性)」(sec-cia

問36

ISMSのPDCAサイクルモデルにおいて,DOフェーズで実施される事項はどれか。
 ア 重要な不適合部分の是正 イ セキュリティ教育 ウ セキュリティポリシの策定 エ 内部監査

【解答】

正解:イ

アはA(見直し・改善),ウはP(計画),エはC(チェック・監査)
参照:「ISMSとPDCAサイクル」(sec-isms-pdca

問37

マトリックス組織の特徴を説明したものはどれか。

【解答】

正解:エ

ア・ウは事業部制・分社化,イは職能制組織
参照:「代表的な組織形態」(kj4-soshiki-kanri

問38

企業経営において,ステークホルダを重視する目的はどれか。
 ア 企業存続の危機につながりかねない,経営者や従業員による不祥事の発生を抑制する。
 イ 競合他社に対する差別化の源泉となる経営資源を保有し,競争力を強化する。
 ウ 経営者の権力行使をけん制し,健全な経営を行うことができる仕組みを作る。
 エ 顧客,株主,従業員などの利害関係者の満足度を向上させ,企業の継続した発展を図る。

【解答】

正解:エ

ステークホルダ=(利害)関係者。株主,従業員,顧客,銀行・・・
ア,イ,ウは部分的
ア:コンプライアンス(法令遵守)
イ:コアコンピタンス
ウ:経営ガバナンス

問39[sd02-35]

問40

EDIを説明したものはどれか。

【解答】

正解:イ

EDIは商取引のビジネスプロトコル →参考:「EDI(標準プロトコル)」 (kj3-edi)
アは×。OSI基本参照モデルは技術的なプロトコルであり,これはMHS(Message Handling System)
ウは×。これはVAN(Value Added Network:付加価値通信網)サービス
エは×。EOS(Electronic Ordering System:オンライン発注システム) →参考:「EOS」 (kj3-kouri-eos)

問41

通信傍受法に関する記述のうち,適切なものはどれか。

【解答】

正解:エ

アは×:電気通信事業法の通信秘密の原則は生きている。通信傍受法は例外規定
イは×:傍受できるのは検察官と司法警察員
ウは×:組織的な殺人,薬物,銃器,密入国に限定
エは○:第十一条「検察官又は司法警察員は、通信事業者等に対して、傍受の実施に関し、傍受のための機器の接続その他の必要な協力を求めることができる。この場合においては、通信事業者等は、正当な理由がないのに、これを拒んではならない。」

問42[sd04-48]

問43[sd02-49]

問44[sd04-49]

問45

ボリュームライセンス契約を説明したものはどれか。

【解答】

正解:ア

ボリュームライセンスの説明としてはアが適切
エはその契約までのプロセスと考えられる
イはサイトライセンス
ウはシュリンクラップ契約という
参照:「購入ソフトウェアと著作権」(std-chosakuken-kounyu-soft

問46

システム監査で利用する統計的サンプリング法に関する記述のうち,適切なものはどれか。

【解答】

正解:ア

問47

システム監査の特質に関する記述のうち,適切なものはどれか。

【解答】

正解:ア

監査人は監査対象から独立
アは○。監査は,対象業務に実施に責任を負うものではない。
イは×。監査基準ではなく管理基準に準拠しているかである。
ウは×。本来は外部監査。内部監査では監査対象部署から独立するが経営者から独立する必要はない。
エは×。前半は正しいが,監査役が行ってはならない理由はない。

    法定監査の例=会計監査(強制的) ⇔ 任意監査
参照:「システム監査基準の概要」(std-kansa-kijun-gaiyou

問48

システムテスト(総合テスト)で使用するテストデータの作成に対する監査項目はどれか。

【解答】

正解:ア

「テストチーム」があいまいだが,受け入れテストとしてのシステムテストのテストデータは利用部門が作成するべき
ウは単体テスト,エは結合テストの段階
参照:「テストの方法」(kj2-test-kiso

問49

「ISMS認証基準」の詳細管理策を基に設定した,ノート型パソコンに対する物理的安全対策の妥当性を確認するための監査手続はどれか。

【解答】

正解:ア

セキュリティ対策
  物理的対策(ア)
  論理的対策(ウ)
  人的対策(イ)
  管理的対策(エ)
参照:「ISO27001、JIS Q 27001、ISMS適合性認定制度の関係」(std-iso27001-isms)、 「情報セキュリティ対策の種類」(sec-taisaku-kubun

問50

「情報セキュリティ監査制度:情報セキュリティ管理基準」における利用者のアクセス管理のコントロールはどれか。

【解答】

正解:イ

ア:「通信及び運用手順」,ウ:「システムの開発及び保守」
エは「アクセス制御」だが「利用者の責任」であり,コントロールとはいえない


本シリーズの目次へ