su04 情報セキュリティアドミニストレータ 平成16年度 <選択肢試験問題<Web教材<木暮

スタートページWeb教材目次選択肢試験目次

su04 情報セキュリティアドミニストレータ
平成16年度


[su04-01]

図のアーキテクチャのシステムにおいて,CPUからみた,主記憶装置とキャッシュメモリを合わせた平均読込み時間を表す式はどれか。ここで,読み込みたいデータがキャッシュメモリに存在しない確率をrとし,キャッシュメモリ管理に関するオーバヘッドは無視できるものとする。

【解答】

[su04-02]

磁気ディスク装置の仕様と格納対象データの条件が次のとおりに与えられている。ブロック化因数が20のときの必要領域は何トラックか。ここで,ブロックはトラックをまたがらないように割り当てるものとし,ファイル編成は順編成とする。

  磁気ディスク装置の仕様
    1トラック当たりの記憶容量 25,200バイト
    ブロック間隔           500バイト
  格納対象データの条件
    レコード長            200バイト
    レコード件数        10,000件

ア 80   イ 83   ウ 89   エ 100

【解答】

[su04-03]

入出力管理におけるバッファキャッシュ機能の記述として,適切なものはどれか。

  • ア 一度アクセスしたデータブロックは再利用される可能性が高いので,入出力に利用したバッファ域をすぐには解放せずに,しばらく保持する。
  • イ 仮想記憶に複数のバッファを用意してデータの参照と更新を行い,プログラム終了時に一括して磁気ディスクに書き込む。
  • ウ 頻繁に使用するファイルに高速にアクセスするために,主記憶の一部を仮想的な記録媒体として割り当てる。
  • エ ファイルの読取りを高速に行うために,複数のバッファを用意して,連続ブロックの先読みを行う。

【解答】

[su04-04]

垂直分散システムの処理形態を説明したものはどれか。

  • ア 一連の処理を複数の階層に分割し,その階層に対応するシステムが分散して処理を行う。
  • イ 同じアプリケーションを複数のコンピュータで実行することによって,それぞれのコンピュータにかかる負荷を分散する。
  • ウ 端末からネットワークを経由して遠隔地のホストコンピュータに接続し,ホスト側で一括したデータ処理を行う。
  • エ ファイルサーバ,プリントサーバなどを用意して,ネットワーク上のクライアントからこれらを共同で使用できるようにする。

【解答】

[su04-05]

あるシステムにおいて,MTBFとMTTRがともに1.5倍になったとき,アベイラビリティ(稼働率)は何倍になるか。
 ア 2/3    イ 1.5    ウ 2.25    エ 変わらない

【解答】

[su04-06]

図は,既存の電話機を使用した企業内PBXの内線網を,IPネットワークに統合する場合の接続構成を示している。図中のa~cに該当する装置の適切な組合せはどれか。

    a          b          c
 ア PBX        VoIPゲートウェイ ルータ
 イ PBX        ルータ        VoIPゲートウェイ
 ウ VoIPゲートウェイ PBX        ルータ
 エ VoIPゲートウェイ ルータ        PBX

【解答】

[su04-07]

サーバでの実行を前提とし,基幹業務を意識したオブジェクト指向開発によるコンポーネントソフトウェアの仕様はどれか。
 ア EAI(Enterprise Application Integration)
 イ EJB(Enterprise JavaBeans)
 ウ ERP(Enterprise REsource Planning)
 エ UML(Unified Modeling Language)

【解答】

[su04-08]

システム開発工程の外部設計局面で行う作業はどれか。

ア 業務分析  イ 帳票設計  ウ テストケース設計  エ 物理データ設計

【解答】

[su04-09]

オブジェクト指向の概念で,上位のクラスのデータやメソッドを下位のクラスで再利用できる性質を何というか。
 ア インヘリタンス イ カプセル化 ウ 抽象化 エ ポリモーフィズム

【解答】

[su04-10]

データの検査方法に関する記述のうち,適切なものはどれか。

  • ア 検査数字による検査では,数字項目に1けたを追加し,ほかのけたの数字を使用して一定の計算を行い,計算値が追加した数字を超えないことを検査する。
  • イ バランスチェックでは,仕訳データの借方と貸方のように,最終的な合計が一致すべき取引データを別々に集計して,両者が一致することを検査する。
  • ウ フォーマットチェックでは,必ず入力しなければならない項目が漏れなく入力されているかどうかを検査する。
  • エ リミットチェックでは,ファイル中のデータの最大値又は最小値が何であるかを検査する。

【解答】

[su04-11]

プログラムのテストに関する記述のうち,適切なものはどれか。

  • ア 静的テストとは,プログラムを実行することなくテストする手法であり,コード検査,静的解析などがある。
  • イ トップダウンテストは,仮の下位モジュールとしてのスタブを結合してテストするので,テストの最終段階になるまで全体に関係するような欠陥が発見しにくい。
  • ウ ブラックボックステストは,分岐,反復などの内部構造を検証するため,すべての経路を通過するように,テストケースを設定する。
  • エ プログラムのテストによって,プログラムにバグがないことが証明できる。

【解答】

[su04-12]

プロジェクトの工程管理や進捗管理に使用されるガントチャートの特徴として,適切なものはどれか。
 ア 各作業の開始時点と終了時点が一目で把握できる。
 イ 各作業の順序が明確になり,クリティカルパスが把握できる。
 ウ 各作業の余裕日数が容易に計算できる。
 エ プロジェクトの総所要日数が計算できる。

【解答】

[su04-13]

運用開始後のネットワーク構成の変更に関する記述のうち,最も適切なものはどれか。

  • ア ネットワーク構成が複雑になるほどネットワーク管理ソフトウェアでの管理が困難となるので,経験豊富な担当者がその構成を変更する必要がある。
  • イ ネットワーク構成を変更する場合は,ネットワークセキュリティを確保するため,すべてのユーザ業務を停止させてから実施する必要がある。
  • ウ ネットワーク構築時にネットワーク構成の十分な検討を行い,運用開始後は変更しないようにする必要がある。
  • エ 必要に応じていつでもネットワーク構成の変更を行うことができるように,機器台帳・管理台帳などの更新を適時実施する必要がある。

【解答】

[su04-14]

TCP/IPにおけるARPの説明として,適切なものはどれか。
 ア IPアドレスからMACアドレスを得るプロトコルである。
 イ IPネットワークにおける誤り制御のためのプロトコルである。
 ウ ゲートウェイ間のホップ数によって経路を制御するプロトコルである。
 エ 端末に対して動的にIPアドレスを割り当てるためのプロトコルである。

【解答】

[su04-15]

クラスBのIPアドレスで,サブネットマスクが16進数のFFFFFF80である場合,利用可能なホスト数は最大いくつか。
 ア 126    イ 127    ウ 254    エ 255

【解答】

[su04-16]

無線LAN(IEEE802.11)で使用されるデータ暗号化方式はどれか。
 ア SSID    イ SSL    ウ WAP    エ WEP

【解答】

[su04-17]

ATM交換機に関する記述として,適切なものはどれか。

  • ア 事業所などの限られた範囲の構内に設置された内線電話機相互間の接続や,加入者電話回線と内線電話機との接続に用いる構内交換機の総称である。
  • イ データをセルと呼ばれる固定長のブロックに分割し,各セルにあて先情報を含むヘッダを付加することによって,種々のデータを統一的に扱う交換機である。
  • ウ データをブロック化された単位に区切って転送する蓄積型の交換機であり,伝送速度は数十kビット/秒程度までである。
  • エ フレームと呼ばれる単位に区切られたデータを交換する交換機であり,伝送誤りに対する再送を行わないので,ネットワーク内の処理を高速化することができる。

【解答】

[su04-18]

2台のコンピュータを伝送速度64,000ビット/秒の専用線で接続し,1Mバイトのファイルを転送する。このとき,転送に必要な時間は約何秒か。ここで,伝送効率を80%とする。
 ア 20    イ 100    ウ 125    エ 156

【解答】

[su04-19]

LANの制御方式に関する記述のうち,適切なものはどれか。

  • ア CSMA/CD方式では,単位時間当たりの送出フレーム数が増していくと,衝突の頻度が増すので,スループットはある値をピークとして,その後下がる。
  • イ CSMA/CD方式では,一つの装置から送出されたフレームが順番に各装置に伝送されるので,リング状のLANに適している。
  • ウ TDMA方式では,伝送路上におけるフレームの伝搬遅延時間による衝突が発生する。
  • エ トークンアクセス方式では,トークンの巡回によって送信権を管理しているので,トラフィックが増大すると,CSMA/CD方式に比べて伝送効率が急激に低下する。

【解答】

[su04-20]

ネットワークを構成する装置の用途や機能に関する記述のうち,適切なものはどれか。

  • ア ゲートウェイは,主にトランスポート層以上での中継を行う装置であり,異なったプロトコル体系のネットワーク間の接続などに用いられる。
  • イ ブリッジは,物理層での中継を行う装置であり,フレームのフィルタリング機能をもつ。
  • ウ リピータは,ネットワーク層での中継を行う装置であり,伝送途中で減衰した信号レベルの補正と再生増幅を行う。
  • エ ルータは,データリンク層のプロトコルに基づいてフレームの中継と交換を行う装置であり,フロー制御や最適経路選択などの機能をもつ。

【解答】

[su04-21][sd02-26]

暗号方式に関する記述のうち,適切なものはどれか。
 ア AESは公開鍵暗号方式,RSAは共通鍵暗号方式の代表例である。
 イ 共通鍵暗号方式では,暗号化鍵と復号鍵は同じである。
 ウ 公開鍵暗号方式では,暗号化鍵を秘密にして,復号鍵を公開する。
 エ ディジタル署名に利用するには,公開鍵暗号方式よりも共通鍵暗号方式のほうがよい。

【解答】

[su04-22]

公開鍵暗号を利用した証明書の作成,管理,格納,配布,廃棄に必要な方式,システム,プロトコルおよびポリシーの集合によって実現できるものはどれか。
 ア IPsec  イ PKI  ウ ゼロ知識証明  エ ハイブリッド暗号

【解答】

[su04-23][su02-23]

インターネット上で,安全なクレジット決済の取引処理を提供するために定められたプロトコルはどれか。
 ア CII    イ RAS    ウ SET    エ SSL

【解答】

[su04-24]

JPCERT/CC(JPCERTコーディネーションセンター)では,インシデントを六つのタイプに分類している。

 Scan:    プローブ,スキャン,そのほかの不審なアクセス
 Abuse:   サーバブログラムの機能を悪用した不正中継
 Forged:   送信ヘッダを詐称した電子メールの配送
 Intrusion: システムへの侵入
 DoS:   サービス運用妨害につながる攻撃
 Other:   その他

次の三つのインシデントとタイプの組合せのうち,適切なものはどれか。
  インシデント1:ワームの攻撃が試みられた形跡があるが,侵入されていない。
  インシデント2:ネットワークの輻輳(ふくそう)による妨害を受けた。
  インシデント3:DoS用の踏み台プログラムがシステムに設置されていた。

  インシデント1 インシデント2 インシデント3
 ア  Abuse    DoS     Intrusion
 イ  Abuse    Forged     DoS
 ウ  Scan     DoS     Intrusion
 エ  Scan     Forged     DoS

【解答】

[su04-25]

マクロウイルスの感染に関する記述のうち,適切なものはどれか。

  • ア 感染したプログラムを実行すると,マクロウイルスが主記憶にロードされ,その間に実行したほかのプログラムのプログラムファイルに感染する。
  • イ 感染したフロッピーディスクからシステムを起動すると,マクロウイルスが主記憶にロードされ,ほかのフロッピーディスクのブートセクタに感染する。
  • ウ 感染した文書ファイルを開くと,テンプレートやスプレッドシートにマクロウイルスが感染して,その後,別に開いたり新規作成したりした文書ファイルに感染する。
  • エ マクロがウイルスに感染しているかどうかは容易に判断できるので,文書ファイルを開く時点で感染を防止することができる。

【解答】

[su04-26]

ネットワーク監視型侵入検知ツール(NIDS)の導入目的はどれか。
 ア 管理下のサイトへの不正侵入の試みを記録し,管理者に通知する。
 イ 攻撃が防御できないときの損害の大きさを判定する。
 ウ サイト上のファイルやシステム上の資源への不正アクセスであるかどうかを判定する。
 エ 時間をおいた攻撃の関連性とトラフィックを解析する。

【解答】

[su04-27][su02-26]

情報システムへの脅威とセキュリティ対策の組合せのうち,適切なものはどれか。

   脅威              セキュリティ対策
 ア 地震と火災           フォールトトレラント方式のコンピュータ
                   によるシステムの二重化
 イ データの物理的な盗難と破壊   ディスクアレイやファイアウォール
 ウ 伝送中のデータヘの不正アクセス HDLCプロトコルのCRC
 エ メッセージの改ざん       公開鍵暗号方式を応用したデジタル署名

【解答】

[su04-28]

ネットワークの非武装セグメント(DMZ)の構築や運用に関する記述のうち,適切なものはどれか。

  • ア DMZのサーバの運用監視を内部ネットワークから行うことは,セキュリティ上好ましくないので,操作員がサーバのコンソールから監視するようにする。
  • イ データ保持用のサーバを,DMZのWebサーバから切り離して内部ネットワークに設置することによって,重要データがDMZに置かれることを避ける。
  • ウ 不正侵入をリアルタイムに検出するソフトウェアは,DMZではなく,重要なサーバが設置されている内部ネットワークで稼働させる。
  • エ メールサーバをDMZに設置することによって,電子メールの不正中継を阻止できる。

【解答】

[su04-29]

SSLに関する記述のうち,適切なものはどれか。

  • ア SSLで使用する個人認証用のデジタル証明書は,ICカードやUSBデバイスに格納できるので,格納場所を特定のパソコンに限定する必要はない。
  • イ SSLは特定ユーザ間の通信のために開発されたプロトコルであり,事前の利用者登録が不可欠である。
  • ウ デジタル証明書にはIPアドレスが組み込まれているので,SSLを利用するWebサーバのIPアドレスを変更する場合は,デジタル証明書を再度取得する必要がある。
  • エ 日本国内では,SSLで使用する共通鍵の長さは,128ビット未満に制限されている。

【解答】

[su04-30]

「情報セキュリティ監査制度:情報セキュリティ管理基準」において,情報セキュリティ基本方針の目的として記述されている内容はどれか。
 ア 情報セキュリティのための経営陣の指針および支持を規定するため
 イ 人為的ミス,盗難,不正行為,又は設備誤用によるリスクを軽減するため
 ウ 組織内の情報セキュリティを管理するため
 エ 組織の資産を適切に保護し,管理するため

【解答】

[su04-31]

インテグリティを脅かす攻撃はどれか。
 ア Webページの改ざん
 イ システム停止をねらうDoS攻撃
 ウ システム内に保管されているデータの不正取得
 エ 通信内容の盗聴

【解答】

[su04-32]

コンピュータ犯罪の手口に関する記述のうち,適切なものはどれか。

  • ア サラミ法とは,不正行為が表面化しない程度に,多数の資産から少しずつ詐取する方法である。
  • イ スキャベンジング(ごみ箱あさり)とは,回線の一部に秘密にアクセスして他人のパスワードやIDを盗み出してデータを盗用する方法である。
  • ウ トロイの木馬とは,プログラム実行後のコンピュータ内部又はその周囲に残っている情報をひそかに探索して,必要情報を入手する方法である。
  • エ なりすましとは,ネットワークを介して受送信されている音声やデータを不正に傍受することである。

【解答】

[su04-33]

リスクファイナンスを説明したものはどれか。

  • ア 損失の発生率を低下させることによって保険料を節約し,損失防止を図る。
  • イ 保険に加入するなど資金面での対策を講じ,リスク移転を図る。
  • ウ リスクの原因を除去して保険を掛けずに済ませ,リスク回避を図る。
  • エ リスクを扱いやすい単位に分解するか集約することによって,保険料を節約し,リスクの分離又は結合を図る。

【解答】

[su04-34]

JISQ9001(ISO9001:2000)を適用して,ソフトウェアの品質マネジメントシステムを構築する。その方針を示した次の文章中のa~dに当てはまる組合せはどれか。
 トップマネジメントは,[  a  ]に基づいた製品の品質保証に加えて顧客の満足度の向上を目指し,[  b  ]を組織全体のパフォーマンスと効率との継続的な改善の手引として[  c  ]を確立・実行・維持し,プロセスの改善を推進する。また,[  c  ]に基づいてコスト,納期,安全,環境などの経営要素の維持向上と併せて[  d  ]を推進する。

      a         b      c    d
 ア JISQ9001 JISQ9004 QMS TQM
 イ JISQ9001 JISQ9004 TQM QMS
 ウ JISQ9004 JISQ9001 QMS TQM
 エ JISQ9004 JISQ9001 TQM QMS

注 QMS(Quality Management System),TQM(Total Quality Management)

【解答】

[su04-35]

JISX5070(ISO15408;情報技術セキュリティ評価基準)に関する記述のうち,適切なものはどれか。

  • ア 開発と並行して評価はできず,評価対象となる製品の開発が完了してから,評価を開始する。
  • イ 情報資産に損害を与える危険性として,機密性,完全性を損なうだけではなく,可用性を損なう脅威も対象としている。
  • ウ 評価対象となる製品は,要件定義,概要設計,詳細設計を行った後にプログラム開発を行う,ウォータフォール型開発方式に従わなければならない。
  • エ 保証維持の基準は含まれないが,セキュリティ要件や環境の変化などに伴って行われる評価済み製品の再評価の手順を対象範囲としている。

【解答】

[su04-36]

ISMSのPDCAサイクルモデルにおいて,DOフェーズで実施される事項はどれか。
 ア 重要な不適合部分の是正 イ セキュリティ教育 ウ セキュリティポリシの策定 エ 内部監査

【解答】

[su04-37]

マトリックス組織の特徴を説明したものはどれか。

  • ア 権限の委譲,分権による新しいセクショナリズムが発生し,部門利益の部分極大化を追求したり,長期的成果よりも短期的成果を優先したりする傾向がある。
  • イ 全社の製品やサービスよりも自己の職務に関心をもつようになり,過度の権限の集中が起こり,意思決定が遅延する傾向がある。
  • ウ 組織上,業務上で同じような部門や職能が重複して設けられるという無駄が生じ,二重投資,三重投資が行われる傾向がある。
  • エ 組織のメンバは,二つの異なる組織に属することになり,複数の報告関係が公式に存在するので,責任を負うべき管理者があいまいになる傾向がある。

【解答】

[su04-38]

企業経営において,ステークホルダを重視する目的はどれか。
 ア 企業存続の危機につながりかねない,経営者や従業員による不祥事の発生を抑制する。
 イ 競合他社に対する差別化の源泉となる経営資源を保有し,競争力を強化する。
 ウ 経営者の権力行使をけん制し,健全な経営を行うことができる仕組みを作る。
 エ 顧客,株主,従業員などの利害関係者の満足度を向上させ,企業の継続した発展を図る。

【解答】

[su04-39][sd02-35]

システム分析におけるビジネスプロセスのモデル設計に関する記述のうち,適切なものはどれか。

  • ア 実在する組織や現実の業務にとらわれることなく,必要な機能を業務の流れに沿って定義する。
  • イ 実在する組織を前提として,その企業にとって業務上必要な機能を定義する。
  • ウ ビジネスの職能的構造を重視して,必要な業務機能を定義する。
  • エ プロセスは,できるだけ具体的な組織名や使用するシステム名称を用いて定義する。

【解答】

[su04-40]

EDIを説明したものはどれか。

  • ア OSI基本参照モデルに基づく電子メールサービスの国際規格であり,メッセージの生成・転送・処理に関する総合的なサービスである。これによって,異機種間の相互接続が可能となる。
  • イ 通信回線を介して,商取引のためのデータをコンピュータ(端末を含む)間で交換することである。その際,当事者間で必要となる各種の取決めには,標準的な規約を用いる。
  • ウ ネットワーク内で伝送されるデータを蓄積したり,データのフォーマットを変換したりするサービスなど,付加価値を加えた通信サービスである。
  • エ 発注情報をデータエントリ端末から入力することによって,本部又は仕入先に送信し,発注を行うシステムである。これによって,発注業務の省力化,物流・在庫管理の効率化を図ることができる。

【解答】

[su04-41]

通信傍受法に関する記述のうち,適切なものはどれか。

  • ア 通信傍受法の制定に伴い,電気通信事業法に定められた通信の秘密に関する条文が変更された。
  • イ 犯罪が予見できる場合は,電気通信事業者の判断によって傍受することができる。
  • ウ 傍受が許可される期間は,関与する犯罪の重大さによって決定され,期間の上限は特に定められていない。
  • エ 傍受を実施する際,電気通信事業者は正当な理由なく協力を拒んではならない。

【解答】

[su04-42]

ソフトウェアの著作権に関する記述のうち,適切なものはどれか。

  • ア 開発委託契約に明記されていなければ,著作者がもつすべての権利を譲渡することができる。
  • イ ソフトウェアには,著作権の移転や権利の設定に関わる登録制度が設けられている。
  • ウ ソフトウェアの開発にあたって作成される設計書およびマニュアルは,ソフトウェア一体となることで著作物として保護される。
  • エ 法人の業務に従事する者が職務上作成するプログラムは,別段の定めがない限りその個人が著作権者となる。

【解答】

[su04-43][sd02-49]

知的財産に関する次の記述と密接に関連する法律はどれか。
 企業の経営計画や経営方針又は各店舗ごとの売上や顧客情報などの営業秘密にあたる情報を保護するために,企業とその情報に触れる者との間で秘密保持契約を締結する必要がある。

ア 実用新案法  イ 商標法  ウ 著作権法  エ 不正競争防止法

【解答】

[su04-44]

図は,企業と労働者の雇用関係を表している。企業Bと労働者Cの関係はどれか。

    ┌────┐      ┌────┐
    │ 企業A │←────→│ 企業B │
    └────┘ 「契約」 └────┘
       ↑
   雇用関係│
       ↓
    ┌────┐
    │労働者C│
    └────┘

  • ア 「契約」が請負契約で,企業Aが受託者,企業Bが委託者であるとき,企業Bと労働者Cとの間には,指揮命令関係が生じる。
  • イ 「契約」が出向に関わる契約で,企業Aが企業Bに労働者Cを出向させたとき,企業Bと労働者Cとの間には,指揮命令関係が生じる。
  • ウ 「契約」が労働者派遣契約で,企業Aが派遣元,企業Bが派遣先であるとき,企業Bと労働者Cとの間にも,雇用関係が生じる。
  • エ 「契約」が労働者派遣契約で,企業Aが派遣元,企業Bが派遣先であるとき,企業Bに労働者Cが出向しているといえる。

【解答】

[su04-45]

ボリュームライセンス契約を説明したものはどれか。

  • ア 企業などソフトウェアの大量購入者向けに,マスタを提供して,インストールの許諾数をあらかじめ取り決める契約
  • イ 使用場所を限定した契約であり,特定の施設の中であれば台数や人数に制限なく使用が許される契約
  • ウ 標準の使用許諾条件を定め,その範囲で一定量のパッケージの包装を解いたときに,権利者と購入者との間に使用許諾契約が自動的に成立したと見なす契約
  • エ ユーザ側が使用を許諾する量的条件を示し,ソフトウェアメーカがそれを記載した契約

【解答】

[su04-46]

システム監査で利用する統計的サンプリング法に関する記述のうち,適切なものはどれか。

  • ア サンプルの抽出に無作為抽出法を用い,サンプルの監査結果に基づく母集団に関する結論を出すに当たって,確率論の考え方を用いる。
  • イ 抽出されるサンプル数は,統計的サンプリングと非統計的サンプリングの選択を決定付ける重要な判断基準である。
  • ウ 抽出するサンプルを統計的に決定する手法ではなく,サンプルに対して監査手続を実施した結果を統計的に評価する方法である。
  • エ 無作為抽出法を用いるだけではなく,システム監査人が経験的判断を加味して,サンプルを抽出する。

【解答】

[su04-47]

システム監査の特質に関する記述のうち,適切なものはどれか。

  • ア システム監査は,監査対象から独立した立場で行う情報システムの監査であり,システムの企画・開発・運用・保守に責任を負うものではない。
  • イ システム監査は,情報システムが「システム監査基準」に準拠しているかどうかを確かめる監査である。
  • ウ システム監査は,内部監査として行われるが,監査人は経営者および監査対象部署から独立していなければならない。
  • エ システム監査は,法定監査ではないので,監査役が行ってはならない。

【解答】

[su04-48]

システムテスト(総合テスト)で使用するテストデータの作成に対する監査項目はどれか。

  • ア テストチームが,業務活動の中でシステムが使用されるケースを想定してテストデータを作成しているか。
  • イ 品質保証部門が,要求仕様を満たしているシステムであることをテストするテストデータを作成しているか。
  • ウ プログラマが,自分で作成したプログラムのすべての経路をテストするテストデータを作成しているか。
  • エ プログラミングチームが,プログラム間のインタフェースをテストするテストデータを作成しているか。

【解答】

[su04-49]

「ISMS認証基準」の詳細管理策を基に設定した,ノート型パソコンに対する物理的安全対策の妥当性を確認するための監査手続はどれか。

  • ア オフィス内を視察し,不在者のノート型パソコンが施錠されたキャビネットに保管されていることを確認する。
  • イ 教育計画および教育記録を閲覧し,ノート型パソコンの安全管理についての社員教育が適切に行われていることを確認する。
  • ウ 実際にノート型パソコンを操作して,パスワードを入力しないと起動できない仕組みになっていることを確認する。
  • エ ノート型パソコンの管理ルールを調べ,社外に持ち出す場合には申請書を提示し,セキュリティ管理者の許可を得るルールになっていることを確認する。

【解答】

[su04-50]

「情報セキュリティ監査制度:情報セキュリティ管理基準」における利用者のアクセス管理のコントロールはどれか。

  • ア 悪意のあるソフトウェアからシステムを保護するための検出および防止の管理策,並びに利用者に認知させるための手順を導入すること
  • イ 情報システムにおける特権の割当ておよび使用を制限し,管理すること
  • ウ 取扱いに慎重を要する情報や重要な情報の機密性を保護するために,暗号化をすること
  • エ 利用者のパスワード選択および使用は,正しいセキュリティ慣行に従うこと

【解答】


本シリーズの目次へ