スタートページWeb教材目次選択肢試験目次

su05 情報セキュリティアドミニストレータ
平成17年度


問1[su05-01]

メモリの誤り制御方式で,2ビットの誤り検出機能と,1ビットの誤り訂正機能をもせるのに用いられるものはどれか。
 ア 奇数パリティ イ 水平パリティ ウ チェックサム エ ハミング符号

【解答】

正解:エ

パリティ:1ビットの誤り検出機能
ハミング符号:2ビットの誤り検出機能と,1ビットの誤り訂正機能
チェックサム:1桁の誤り検出機能

問2[fe121-21]

仮想記憶システムにおいて実記憶の容量が十分でない場合,プログラムの多重度を増加させるとシステムのオーバヘッドが増加し,アプリケーションのプロセッサ使用率が減少する状態を表すものはどれか。
 ア スラッシング イ フラグメンテーション ウ ページング エ ボトルネック

【解答】

正解:ア

アは○。参照:「仮想記憶方式」
イは×。参照:「磁気ディスクの断片化とデフラグ」
ウは×。参照:「仮想記憶方式」
エは×。隘路のこと。スケジュールではこの解決を重点に行う。
参照:「コンピュータの性能評価方法」

問3

あるクライアントサーバシステムにおいて,クライアントから要求された1件の検索を処理するために,サーバで平均100万命令が実行される。1件の検索につき,ネットワーク内で転送されるデータは,平均200kバイトである。このサーバの性能は100MIPSであり,ネットワークの転送速度は,80Mビット/秒である。このシステムにおいて,1秒間に処理できる検索要求は何件か。ここで,処理できる件数は,サーバとネットワークの処理能力だけで決まるものとする。
 ア 50    イ 100    ウ 400    エ 800

【解答】

正解:ア

       1件      性能              1秒あたりの処理件数
CPU処理  100万命令  100MIPS=100×百万命令/秒 100件/秒
ネットワーク 200kバイト 80Mビット/秒=10Mバイト/秒   50件/秒(ネック)
参照:「コンピュータの性能評価方法」(hs-mips

問4

フェールセーフの考え方として,適切なものはどれか。

【解答】

正解:ア

イはフェールソフト,ウはフォールトトレラント,エはフールプルーフ
参照:「フェイルセーフなど」(hs-failsafe

問5

データマイニングの説明として,適切なものはどれか。

【解答】

正解:ア

アは○。
イは×。データマートへの転送。
ウは×。データベースでのデータディクショナリのこと。
エは×。OLAPツール。
参考:「データマイニング」 (kj3-datamining-x), 「データウェアハウス」 (kj3-dwh)

問6

ソフトウェア開発に用いられるリポジトリシステムは,メタデータを管理するためのある種のDBMSである。一般のDBMSでは不要だが,リポジトリシステムでは必須の機能として,適切なものはどれか。
 ア 格納したデータに対する照会機能
 イ 格納したデータについての複数のバージョンを管理する機能
 ウ 多数の端末から入力されるデータ間の整合性を保証するための同時実行制御機能
 エ データごとの更新・照会操作の権限を管理する機能

【解答】

正解:イ

アはSQLなど。ウは排他制御ともいう。エはアクセス制御
これらはDBMS(データベース管理システム)

問7

ソフトウェアの再利用技術のうち,リバースエンジニアリングを説明したものはどれか。
 ア 既存のプログラムから,そのプログラムの仕様を導き出す技術である。
 イ 既存のプログラムから導き出された仕様を修正して,新規プログラムを開発する技術である。
 ウ 既存のプログラムを部品化し,それらの部品を組み立てて,新規プログラムを開発する技術である。
 エ クラスライブラリにある既存のクラスを再利用しながら,新規プログラムを開発する技術である。

【解答】

正解:ア

リバース=逆,2つの意味
ソースプログラム→ロジック(開発プロセスの逆)
ロードプログラム(実行機械語)→ソースプログラム

問8

システムの分析・設計に用いられる状態遷移図の特徴はどれか。
 ア システムの現在の状態と発生する事象および次の状態の関係を簡潔に記述できる。
 イ システムの状態遷移に要する処理時間を分析できる。
 ウ 発生した事象の時間的関係を分析できる。
 エ モジュールの制御構造を簡潔に記述できる。

【解答】

正解:ア

状態遷移図は「画面で何を操作するとどの画面が表示されるか」などを記述するのに,よく用いられる。

問9[sd03-16]

問10

あるプロジェクトでは,図に示すとおりに作業を実施する計画であったが,作業Aで1日の遅れが生じた。各作業の費用勾配を表の値とするとき,当初の予定日数で終了するために発生する追加費用を最も少なくするには,どの作業を短縮すべきか。ここで,費用勾配は(特急費用-標準費用)/(標準所要日数-特急所要日数)で求めている。

ア B    イ C    ウ D    エ E

【解答】

正解:エ

クリティカルパス:A→B→E→G
 このなかで費用勾配が最小のものを選ぶ
参照:「CPM」(or-pt-cpm

問11[su07-10]

ソフトウェアの開発規模と開発工数の関係を表すグラフはどれか。

【解答】

正解:エ

開発工数は開発規模の指数乗に比例する→ブルックスの法則
 各要素間の組合せ数が急激に増大。関係が複雑になる
参照:「システム規模と工数把握技法」(kj2-kousu

問12[ad032-43]

問13

セキュリティ対策を強化すると,対策費用は増加するがリスク費用は減少する。表に示すセキュリティ対策のうち,最も経済的なものはどれか。ここで,リスク費用とは対象となるセキュリティ対策をとっても発生しうる損失の推定額を表す。

                単位 万円
  セキュリティ対策 対策費用 リスク費用
     対策1    200  500
     対策2    300  250
     対策3    400  200
     対策4    700  100

ア 対策1    イ 対策2    ウ 対策3    エ 対策4

【解答】

正解:イ

対策費用+リスク費用を最小にする。
参照:「情報セキュリティの対策費用と被害損失」(sec-taisaku-higai

問14

TCP/IPのネットワークにおけるICMPの説明として,適切なものはどれか。
 ア MACアドレスだけが分かっているときにIPアドレスの解決を可能にする。
 イ グローバルなIPアドレスとプライベートなIPアドレスを相互に変換する。
 ウ 送信元ホストへのIPパケットの送信エラー報告などの制御メッセージを通知する。
 エ ネットワーク内のIPアドレスを一元管理し,クライアントに動的に割り当てる。

【解答】

正解:ウ

アはRARP,イはNAT,エはDHCP
参照:「ネットワーク層とIP」(nw-ip),「IPアドレス」(nw-ipaddress

問15

クラスBのIPアドレスでは,サブネット化を行うことによって64のサブネットワークと各サブネットワーク当たり1,022のホストを構成することができる。このときに指定するサブネットマスクはどれか。
 ア 255.255.252.0 イ 255.255.253.0
 ウ 255.255.254.0 エ 255.255.255.0

【解答】

正解:ア

ホストアドレス=ホスト数+2(サブネットワークアドレスとブロードキャストアドレス)=1,024→10ビット
11111111 11111111 11111100 00000000 → 255.255.252.0
参照:「IPアドレス」(nw-ipaddress

問16

符号長7ビット,情報ビット数4ビットのハミング符号による誤り訂正の方法を,次のとおりとする。
 受信した7ビットの符号語x(xk=0又は1)に対して
  c=x  +x  +x   +x
  c=  x+x     +x+x
  c=       x+x+x+x
(いずれもmod2での計算)
を計算し,c,c,cの中に少なくとも一つ0でないものがある場合は,
  i=c+c×2+c×4
を求めて,左からiビット目を反転することによって誤りを訂正する。
 受信した符号語が1000101であった場合,誤り訂正後の符号語はどれか。
 ア 1000001  イ 1000101  ウ 1001101  エ 1010101

【解答】

正解:エ

   1 2 3 4 5 6 7
   1 0 0 0 1 0 1
=1   0   1   1=3 mod2=1
=  0 0     0 1=1 mod2=1
=      0 1 0 1=2 mod2=0
0でないものが存在→誤りがある

i=1+1×2+0×4=3 →100101が誤り

問17

10Mビット/秒のLANで接続された4台のノード(A,B,C,D)のうち,2組(AとB,CとD)のノード間で次のファイル転送を行った場合,LANの利用率はおよそ何%か。ここで,転送時にはファイルサイズの30%に当たる各種制御情報が付加されるものとする。また,LANではリピータハブが使用されており,衝突は考えないものとする。
   1回当たりのファイルサイズ:平均1,000バイト
   ファイルの転送頻度:平均60回/秒(1組当たり)
 ア 2    イ 6    ウ 10    エ 12

【解答】

正解:エ

1回の転送量=1,000×1.3=1,300バイト→10,400ビット/回
1秒間の転送頻度=60回/秒×2組=120回/秒
1秒間の転送量=10,400ビット/回×120回/秒=1.2Mビット/秒
LANの効率=1.2Mビット/秒÷10Mビット/秒=0.12→12%

問18

図のネットワークで,数字は二つの地点間で同時に使用できる論理回線の多重度を示している。X地点からY地点までには同時に最大いくつの論理回線を使用することができるか。

ア 8    イ 9    ウ 10    エ 11

【解答】

正解:ウ

X→A、X→B、X→Cの区間:4+4+3=11回線
D→Y、E→Y、G→Yの区間:3+3+6=12回線
A→D、B→D、B→E、C→Fの区間:1+2+3+4=10回線
 (F→EとF→G:2+3=5回線。これは、C→F:4回線を上回るので除外)
このうちの最小のもの・・・10回線

問19

インターネットVPNを実現するために用いられる技術であり,ESP(Encapsulating Security Payload)やAH(Anthentication Header)などのプロトコルを含むものはどれか。
 ア IPsec    イ MPLS    ウ PPP    エ SSL

【解答】

正解:ア

問20

複数のLANを接続するために用いる装置で,OSI基本参照モデルのデータリンク層以下のプロトコルに基づいてデータを中継する装置はどれか。
 ア ゲートウェイ    イ ブリッジ    ウ リピータ    エ ルータ

【解答】

正解:イ

データリンク層→ブリッジ
参照:「LANの接続機器」(nw-lan-kiki

問21

SSLの機能を説明したものはどれか。

【解答】

正解:ア

問22

公開鍵暗号方式を用い,送受信メッセージを暗号化して盗聴されないようにしたい。送信時にメッセージの暗号化に使用する鍵はどれか。
 ア 受信者の公開鍵  イ 受信者の秘密鍵  ウ 送信者の公開鍵  エ 送信者の秘密鍵

【解答】

正解:ア

受信者公開鍵で暗号化,受信者秘密鍵で復号

参照:「公開鍵暗号方式」(sec-angou-koukai

問23

電子メールで用いるデジタル署名に関する記述のうち,適切なものはどれか。
 ア 電子メールの内容の改ざんを防ぐことはできないが,改ざんが行われた場合には検知できる。
 イ 電子メールの内容の改ざんを防ぐことはできるが,機密性を保証することはできない。
 ウ 電子メールの内容の機密性を保証することはできるが,改ざんを防ぐことはできない。
 エ 電子メールの内容の機密性を保証すると同時に,改ざんが行われた場合に修復できる。

【解答】

正解:ア

アは○。改ざんがあるとハッシュ値が変ってしまうので,改ざんされたことが判明する。
イ・ウは×。機密性を保証し改ざんの有無を検知できる。
エは×。修復はできない。
参照:「ハイブリッド暗号方式」(sec-angou-hybrid

問24

公開鍵暗号方式によるデジタル署名の手続とハッシュ値の使用方法に関する記述のうち,適切なものはどれか。

【解答】

正解:ア

イは×。送信者の公開鍵は他人も知っているので,送信者を特定できない。
ウは×。ハッシュ値から元のメッセージを得ることはできない。
エは×。公開鍵暗号方式は効率が悪いので,このように手の込んだ方法を使う
参照:「ハイブリッド暗号方式」(sec-angou-hybrid

問25

パケットフィルタリング型ファイアウォールがルール一覧のアクションに基づいてパケットを制御する場合,パケットAに対する処理はどれか。ここで,ファイアウォールでの処理は番号の順に行い,一つのルールが適合した場合には残りのルールを無効とする。

ルール一覧
 番号 送信元    送信先   プロトコル 送信元 送信先 アクション
    アドレス   アドレス        ポート ポート
 1  10.1.2.3 *      *    *   *   通過禁止
 2  *      10.2.3.* TCP  *   25  通過許可
 3  *      10.1.*  TCP  *   25  通過許可
 4  *      *      *    *   *   通過禁止
         注 *は任意のパターンを表す。
パケットA
 送信元     送信先    プロトコル 送信元  送信先
 アドレス    アドレス         ポート  ポート
 10.1.2.3  10.2.3.4  TCP  2100 25

 ア 番号1によって,通過が禁止される。
 イ 番号2によって,通過が許可される。
 ウ 番号3によって,通過が許可される。
 エ 番号4によって,通過が禁止される。

【解答】

正解:ア

      送信元     送信先    プロトコル 送信元  送信先  アクション
      アドレス    アドレス         ポート  ポート
パケットA 10.1.2.3  10.2.3.4  TCP  2100 25
番号1   10.1.2.3  任意      任意   任意   任意   通過禁止
比較結果  一致      一致      一致   一致   一致

すなわちパケットAは番号1のルールにより,ファイアウォールで通過禁止になる。
   単なる論理の問題!

問26

ぺネトレーションテストの主目的はどれか。
 ア 使用している暗号方式の強度の確認
 イ 対象プログラムの様々な入力に対する出力結果と仕様上の出力との一致の確認
 ウ ファイアウォールが単位時間当たりに処理できるセション数の確認
 エ ファイアウォールや公開サーバに対するセキュリティホールや設定ミスの有無の確認

【解答】

正解:エ

専門家が不正侵入を試みて,セキュリティの脆弱性を発見するテスト手法

問27

セキュリティ対策の「予防」に該当するものはどれか。
 ア アクセスログをチェックし,不正なアクセスがないかどうかを監視する。
 イ コンティンジェンシープランを策定し,訓練を実施する。
 ウ 重要ファイルのバックアップ処理を定期的に行う。
 エ セキュリティに関する社内教育を実施し,個人の意識を高める。

【解答】

正解:エ

アは×。検出
ウは×。対応
エは○。予防
イは×。コンティンジェンシープラン=緊急時対策

問28

ブラウザからWebサーバにアクセスするシステムのセキュリティに関する記述のうち,適切なものはどれか。

【解答】

正解:イ

問29

ISMS適合性評価制度における情報セキュリティポリシに関する記述のうち,適切なものはどれか。

【解答】

正解:ア

アは○。自社の環境に即したポリシーであること。他社のコピーでは不可
イは×。公開して徹底することが大切
ウは×。状況に合わせて変更するべき
エは×。情報資源全般を対象にする。事業所単位ではなく全社で審査
参照:「セキュリティポリシー」( sec-isms-policy

問30

 情報漏えいに関するリスク対策のうち,リスク回避に該当するものはどれか。
 ア 外部の者が侵入できないように,入退室をより厳重に管理する。
 イ 情報資産を外部のデータセンタに預ける。
 ウ 情報の重要性と対策費用を勘案し,あえて対策をとらない。
 エ メーリングリストの安易な作成を禁止し,不要なものを廃止する。

【解答】

正解:エ

アは損失制御,イは移転,ウは保有,エは回避
参照:「リスク・コントロールとリスク・ファイナンス」(sec-control-finance

問31

リスク分析の作業A~Eの適切な順序はどれか。
  A:損失の発生頻度と強度の推定 B:損失の財務的影響度の評価
  C:予測されるリスクの識別   D:リスク処理の優先順位の決定
  E:リスク処理方法の費用対効果の分析
 ア C→A→B→D→E
 イ C→B→A→D→E
 ウ D→A→B→C→E
 エ D→C→A→B→E

【解答】

正解:ア

JIS Q2001(リスクマネジメントシステム構築のための指針)
リスク分析→リスク評価→リスクマネジメントの目標の策定→リスク対策の選択→リスクマネジメントプログラムの策定

参照:「リスク分析の手順」(sec-risk-bunseki

問32

セキュリティレビュー,リスク分析,セキュリティ対策の計画策定,セキュリティ対策の実施のプロセスにおいて,リスク分析で得られる結果はどれか。

 ア 脆弱性の発見   イ セキュリティコントロールの組み込み
 ウ セキュリティ仕様 エ 損失の大きさと発生頻度

【解答】

正解:エ

リスク分析=リスクの大きさ=損失の大きさと発生頻度(発生確率)
アはセキュリティレビュー
イはセキュリティ対策の実施
ウはセキュリティ対策の計画策定

参照:「リスク分析の手順」(sec-risk-bunseki

問33

営業債権管理業務に関する内部統制のうち,適切なものはどれか。

【解答】

正解:ア

原則を理解しておくこと
不正の防止:当事者がすべて行うのではチェックができない→アは○

問34

データ入力の重複を発見し,修正するのに有効な内部統制手続はどれか。
 ア ドキュメンテーションの完備 イ 取引記録と入力データの照合
 ウ 入力時のフィールド検査   エ バックアップリカバリ手順の確立

【解答】

正解:イ

「重複の発見」→原本と突き合わせるのが単純→イ

問35[su07-35]

リスク対策の一つであるリスクファイナンスに該当するものはどれか。
 ア システムが被害を受けた場合を想定して保険をかけておく。
 イ システム被害につながるリスクの発生を抑える対策に資金を投資する。
 ウ システムを復旧するのにかかる費用を金融機関から借り入れる。
 エ リスクが顕在化した場合のシステム被害を小さくする対策に資金を投資する。

【解答】

正解:ア

アは○。保険,移転,保有がある。
イ・エは×。リスクコントロールである。
ウは×。積み立てているのならリスクファイナンス
参照:「リスク・コントロールとリスク・ファイナンス」(sec-control-finance

問36

ソフトウェアを中心としたシステム開発および取引のための共通フレーム(SLCP-JCF98)の適用方法に関する記述のうち,適切なものはどれか。
(旧版の共通フレームを対象にしていますが、本問は新版でも有効です)

【解答】

正解:エ

共通フレームでは、当事者間の環境により、テーラリング(修整)することを認めている。・・・エが○、ア・イは×
ウは×。利害関係者全体から要件を引き出すことが重要だとしている(要件定義プロセス)
参照:「共通フレーム」

問37

CMMI(Capability Maturity Model Integration)の5段階評価基準のうち,レベル3に相当するものはどれか。
 ア システム開発の経験が組織として共有され標準プロセスが確立している。
 イ システム開発の計画・コスト見積りの経験則ができている。
 ウ プロセスからの定量的なフィードバックによって,継続的に改善されている。
 エ プロセスの測定基準が定められ組織的に分析が進められている。

【解答】

正解:ア

イはレベル1,ウはレベル4,エはレベル5
参照:「成熟度モデル」(std-seijukudo

問38

UCS-2(Unicode)を説明したものはどれか。
 ア 主にUNIXで使用するコード体系であり,英数字は1バイト,漢字は2バイトで表現する。
 イ 現在,多くのパソコンで使用するコード体系であり,英数字は1バイト,漢字は2バイトで表現する。
 ウ すべての文字を1バイトで表現するコード体系である。
 エ すべての文字を2バイトで表現するコード体系であり,多くの国の文字体系に対応できる。

【解答】

正解:エ

アは×。EUC
イは×。シフトJISコード
ウは×。ASCIIコード

参照:「データの内部表現(文字列)」(hs-naibu-moji

問39

JANコードの特徴はどれか。
 ア 13桁の標準バージョンと8桁の短縮バージョンがある。
 イ JISに制定され日本だけで通用するコード体系である。
 ウ 商品の価格を示す5けたのコードがある。
 エ チェックディジットをもたないコード体系である。

【解答】

正解:ア

 13桁=国コード(2)+メーカーコード(5)+商品コード(5)+チェックディジット(1)
 8桁では商品コードが1桁
ウは×:PLUで価格を知る
イは×:UPCやEANと共通
参照:「JANコード」 (kj3-code-jan)

問40

インターネットやLAN上で動画や音声などを含むコンテンツを送受信するための,国際電気通信連合電気通信標準部会(ITU-T)が勧告している規格はどれか。
 ア H.323    イ MIDI    ウ MPEG    エ PCM

【解答】

正解:ア

アは○。覚えておこう
イは×。音声・音楽
ウは×。動画
エは×。音声などのアナログ信号をデジタルデータに変換する方式

参照:「マルチメディアと拡張子」(hs-multi

問41

経営戦略に用いるCSF分析の特徴はどれか。
 ア 業界内の競争に影響する要因と,自社の強みを分析する方法である。
 イ 競争環境の脅威と機会,企業の強み・弱みを分析する方法である。
 ウ 成功するための重要な機能や特性を明らかにする分析方法である。
 エ 保有する事業の成長性と収益性を分析する方法である。

【解答】

正解:ウ

アは×。ポータの競争要因→参照:「ポーターの競争戦略理論」(kj1-porter
イは×。SWOT分析→参照:「SWOT分析」(kj1-swot
ウは○。→参照:「KGI、CSF、KPI」(kj1-kgi-csf-kpi
エは×。財務分析→参照:「財務・会計の基礎」(kj-kaikei-kiso

問42

アンケートの結果をフィードバックすることによって,図のように整理する方法はどれか。

ア デルファイ法  イ マトリックス法 ウ ミニマックス法  エ モンテカルロ法

【解答】

正解:ア

問43[sd02-32]

問44[sd03-36]

問45

製造業のA社では,NC工作機械を用いて,四つの仕事a~dを行っている。各仕事間の段取り時間は表のとおりである。合計の段取り時間が最小になるように仕事を行った場合の合計段取り時間は何時間か。ここで,仕事はどの順序で行ってもよいものとし,FROMからTOへの段取り時間(仕事aから仕事bへは2)で検討する。

     TO 仕事a 仕事b 仕事c 仕事d
  F 仕事a  -   2   1   2
  R 仕事b  1   -   1   2
  O 仕事c  3   2   -   2
  M 仕事d  4   3   2   -

ア 4    イ 5    ウ 6    エ 7

【解答】

正解:ア

「a→b→c→d:2+1+2=5時間」というように,全組合せを計算すればよい。
でも,それはバカげている!
4時間でできるものがあれば,それが正解
  1のものを優先:a→c,b→a,b→c
  x→dはすべて2,d→xはd→cが2で最小
などと考えれば
  b→a→c→d=1+1+2=4時間

問46

Webページの著作権に関する記述のうち,適切なものはどれか。

【解答】

正解:エ

アは×。営利目的・非営利目的に関係なく著作権の侵害になる。
イは×。フリーウェアでも作成者が著作権を有する。
ウは×。データそのものは,作成手段とは無関係である。
    著作権は作成した時点(試用期間中)で発生する。
エは○。創作性のあるデータベースである。

参照:「プログラムと著作権」(std-chosakuken-program

問47

トレードシークレット(営業秘密)に関する記述のうち,適切なものはどれか。

【解答】

正解:ア

営業秘密→不正競争防止法
「営業秘密」の3要件=秘密管理性,有効性,非公然性
不正競争防止法の特徴=差止請求権,損害賠償請求権

参照:「不正競争防止法」(std-huseikyousou

問48[sd02-50]

問49

ソフトウェア製品を輸出する場合,「外国為替および外国貿易法(外為法)」による規制を考慮する必要があるものはどれか。
 ア 暗号化技術に関連するソフトウェア
 イ 会計処理専用ソフトウェア
 ウ 販売店の店頭で購入可能なソフトウェア
 エ 輸出地域の商取引法を考慮しないで作成されたソフトウェア

【解答】

正解:ア

外為法48条「国際的な平和及び安全の維持を妨げることとなると認められるものとして政令で定める特定の地域を仕向地とする特定の種類の貨物の輸出をしようとする者は、政令で定めるところにより、経済産業大臣の許可を受けなければならない。」とあり,具体的には輸出貿易管理令で指定されている。高度な情報技術も輸出規制されている。

そのようなことを知らなくても,武器に役立つ製品などに輸出規制があることは知っているだろう。イ・ウ・エがそれに合致するとは常識的にも思えない。

問50

個人情報保護法が対象としている個人情報はどれか。
 ア 行政機関に登録されている個人に関する情報に限られる。
 イ 個人が秘密にしているプライバシに関する情報に限られる。
 ウ 生存している個人に関する情報に限られる。
 エ 日本国籍の個人に関する情報に限られる。

【解答】

正解:ウ

個人情報保護法の第二条「この法律において個人情報とは,生存する個人に関する情報であって,当該情報に含まれる氏名,生年月日その他の記述等により特定の個人を識別することができるものをいう。」

参照:「個人情報保護法」(std-kojinjouhouhogo

問51

監査調書に関する記述のうち,適切なものはどれか。
 ア 記載事項について被監査部門の承認を受ける。
 イ 実施した内容を記載し,証拠資料は写しでなく原資料を添付し保管する。
 ウ 被監査部門から入手した証拠資料の写しに被監査部門の承認印を受けて添付する。
 エ 必要に応じて被監査部門から入手した証拠資料を添付する。

【解答】

正解:エ

証拠資料の添付は必要だが,
ア・ウは×。被監査部門に不都合な事項が記載できないこともある。
イは×。原資料は別用途に必要。

問52

情報システムの可監査性を説明したものはどれか。
 ア 監査証拠の十分性と監査報告書の完成度が保たれていること
 イ 企業がシステム監査の重要性を認識し,被監査部門の積極的な協力が得られること
 ウ システム監査人が,監査テーマの目的に合致した有効な監査を行える能力をもっていること
 エ 処理の正当性や内部統制を効果的に監査できるように,情報システムが設計・運用されていること

【解答】

正解:エ

可監査性=監査がしやすい
→情報システムが監査しやすいようになっている→エ

問53

システムテスト(統合テスト)についての監査を,システム管理基準に基づいて実施する場合,指摘事項となる状況はどれか。
 ア システム開発部門と利用部門が共同でテストを実施している。
 イ 本稼動環境とは別の開発環境でテストを実施している。
 ウ 本稼動用のデータファイルを使用してテストを実施している。
 エ 要求事項を網羅的に確認するテストケースを設定している。

【解答】

正解:ウ

テストに本稼働用のデータファイルを使用すると,誤ってファイルやデータを破壊する危険がある。運用面でも不適切。
「システム管理基準」→「III.開発業務」→の「5.システムテスト・ユーザ受入れテスト」→「(5)システムテストは、本番環境と隔離された環境で行うこと。」

参照:「システム監査基準の概要」(std-kansa-kijun-gaiyou

問54

情報セキュリティ監査基準の位置付けはどれか。

【解答】

正解:ウ

情報セキュリティ監査基準(Ver.1.0)前文「情報セキュリティ監査基準とは、情報セキュリティ監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範である。」
ア・イ・エは情報セキュリティ「管理」基準

参照:「情報セキュリティ監査基準/情報セキュリティ監査基準」

問55

外部保管のために専門業者にバックアップテープを引き渡す際の安全性について,情報セキュリティ管理基準に基づいてセキュリティ監査を実施した。指摘事項となる状況はどれか。
 ア 委託元が,専門業者との間で,機密保持条項を盛り込んだ業務委託契約を結んでいる。
 イ 委託元責任者が,一定期間ごとに,専門業者におけるテープ保管状況を確認している。
 ウ 委託元担当者が,専用の記録簿に,引渡しの都度,日付と内容を記入し,専門業者から受領印をもらっている。
 エ 委託元担当者が,バックアップテープをダンボール箱に入れ,専門業者に引き渡している。

【解答】

正解:エ

指摘事項=改善するべき事項=安全性に危険があるもの→エ

参照:「情報セキュリティ監査基準/情報セキュリティ監査基準」


本シリーズの目次へ