ケンテイラボ

情報セキュリティマネジメント 問題一覧

320問を分野別に一覧表示しています。各問題タイトルをクリックすると詳しい解説ページが開きます。

クイズモードで挑戦 →

① 情報セキュリティ基礎

40

情報セキュリティの土台を学ぶ分野です。機密性・完全性・可用性という3要素に、真正性・責任追跡性・否認防止性を加えた考え方や、脅威・脆弱性・情報資産の関係を押さえます。マルウェア(ワーム・ランサムウェア・トロイの木馬など)の種類、標的型攻撃・フィッシング・SQLインジェクション・DoS/DDoS・パスワードクラックといった代表的な攻撃手法、ソーシャルエンジニアリングや不正のトライアングルまで幅広く問われます。用語量が多いので、攻撃の名称と「何を狙い、どう防ぐか」をセットで整理すると、以降の分野の理解にもつながります。

1情報へのアクセスが許可されていない人に対して、情報が守られている特性を何というか。2情報を正確に保ち、改ざん・破壊されないように維持する情報セキュリティの特性はどれか。3「DDoS攻撃によってWebサイトがダウンした」という状況で損なわれた情報セキュリティの要素はどれか。4誰がいつ何をしたのかを後から追跡できる情報セキュリティの要素はどれか。5システムや組織に対して、損害を与える原因となる可能性があるものを何というか。6大雨によってサーバ室に水が入り、機器が停止した。これはどの脅威に分類されるか。7悪意のあるソフトウェアの総称を何というか。8単体で動作し、自ら増殖してネットワークを通じて拡散するマルウェアはどれか。9データを暗号化するだけでなく、データをリークサイトに公開すると脅して金銭を要求するマルウェアはどれか。10ボットネットにおいて、攻撃者からの命令をボットに伝える役割を果たすものはどれか。11OSに元々組み込まれている正規の機能を悪用し、メモリ上で実行されるため検知されにくいマルウェアはどれか。12有益なソフトウェアに見せかけて侵入し、感染したコンピュータを遠隔操作できるようにするマルウェアはどれか。13「動機」「機会」「正当化」の3つの要素が揃ったときに不正が起きるという考え方を何というか。14軽微な不正や犯罪を放置することによって、より大きな不正や犯罪が誘発されるという理論を何というか。15高度な知識を持たず、インターネット上のツールを悪用して興味本位で攻撃を行う者はどれか。16政治的・社会的な主張を目的としてサイバー攻撃を行う動機や行為を何というか。17攻撃の準備として、対象の各ポートに順番にアクセスし、稼働しているサービスや入り口を探す行為はどれか。18ディスプレイなどの機器から漏れ出る微弱な電磁波を検知して、元の情報を読み取る攻撃手法はどれか。19サイバーキルチェーンの7段階のうち、最初の段階はどれか。20攻撃者が二者間の通信に割り込み、双方をだまして情報を盗み取ったり改ざんしたりする攻撃はどれか。21Webサイトが発行する固有の識別子を盗むなどして、認証されたユーザになりすます攻撃手法はどれか。22レジストラやドメイン管理アカウントを乗っ取り、正規ドメインの登録情報やネームサーバ設定を不正に変更する攻撃はどれか。23インターネットバンキングなどで、通信を行う端末とは別の小型機器で生成した署名を用いて改ざんを検知する仕組みはどれか。24通信の送信元のIPアドレスを他人のものに偽装して身元を隠す攻撃手法はどれか。25公衆のフリーWi-Fiに似せた偽のアクセスポイントを用意し、接続した機器の通信内容を盗む攻撃はどれか。26DNS設定を不正に変更するなどして、正しいURLを入力したユーザを悪意あるWebページに誘導する攻撃はどれか。27仕事上の関係性(上司や取引先など)を装ってメールを送付し、入金を促す詐欺手法はどれか。28Webサイトのボタンを見えないように偽装し、ユーザの意図しない操作を実行させる手法はどれか。29ユーザがWebサイトを訪問しただけで、マルウェアが自動的にダウンロードされる攻撃手法はどれか。30標的型攻撃のうち、ターゲットが頻繁に利用する特定のWebサイトにマルウェアを仕掛ける手法はどれか。31不特定多数ではなく、特定の組織や個人を狙い、受信者が関心を持つ話題で巧妙に作られたメールによる攻撃はどれか。32Webアプリケーションの「リクエストを処理する機能」の不備を突き、ログイン中のユーザに意図しない処理を実行させる攻撃はど...33Webアプリケーションの入力フォームに悪意のあるデータベース操作言語を入力し、情報を抜き取る攻撃はどれか。34URLのパス指定を悪用し、本来ユーザがアクセスできない上位のディレクトリやファイルに不正アクセスする攻撃はどれか。351つのパスワードに対して、複数のIDを総当たりで試す攻撃手法はどれか。36どこかのWebサイトから流出したIDとパスワードのリストを用いて、他のサイトへのログインを試す攻撃はどれか。37あらかじめ用意したハッシュ値と平文の対応表を利用して、不正に入手したハッシュ値から元のパスワードを特定する攻撃はどれか。38ボットなどが仕込まれた多数のコンピュータを踏み台にし、一斉に大量のリクエストを送信してサービスを妨害する攻撃はどれか。39自然言語で命令を与えるAIに対し、不正な命令を入力して出力が禁止されているデータを出力させる攻撃はどれか。40パソコン起動時にOSやプログラムのデジタル署名を検証し、不正なものが読み込まれないようにする仕組みはどれか。

② 暗号・デジタル署名・PKI・認証

40

情報を守る技術の中核となる暗号と認証を学ぶ分野です。共通鍵暗号(AES)と公開鍵暗号(RSA・楕円曲線暗号)の仕組みと使い分け、ハイブリッド暗号、ハッシュ関数、デジタル署名による改ざん・なりすまし・否認の防止が頻出です。あわせてPKI(認証局・デジタル証明書・CRL/OCSP)や、知識・所有物・生体による認証、多要素認証・FIDO・シングルサインオンといった認証方式も問われます。「どの鍵で暗号化し、どの鍵で復号・検証するか」を図で整理すると、混同しやすい署名と暗号化の違いが定着します。

41暗号化と復号に同じ鍵を使用する方式はどれか。42現在広く用いられている共通鍵暗号方式のアルゴリズムはどれか。43公開鍵暗号方式で、AさんがBさんに機密データを送る際、暗号化に使用する鍵はどれか。44非常に大きな数の素因数分解が困難なことを利用した暗号方式はどれか。45楕円曲線暗号(ECC)の特徴として正しいものはどれか。46ハイブリッド暗号方式における暗号化の手順として正しいものはどれか。47100人が相互に暗号化通信を行う場合、共通鍵暗号方式でネットワーク全体として必要な鍵の総数はいくつか。48電子政府で利用を推奨する暗号技術の安全性を評価・監視するプロジェクトに基づくリストはどれか。49暗号アルゴリズムの危殆化の説明として正しくないものはどれか。50ハッシュ関数の特徴として誤っているものはどれか。51安全に入手した正しいダイジェストと、受信データから計算したダイジェストを比較することで検知できることはどれか。52SHA-256が出力するハッシュ値のデータ長はどれか。53メッセージ認証符号(MAC)によって防ぐことができないものはどれか。54デジタル署名において、「署名」とは具体的にどのような処理を指すか。55デジタル署名の検証に用いる鍵はどれか。56デジタル署名によって実現できることの組み合わせとして正しいものはどれか。57デジタル署名の検証手順において、受信者が比較する2つのダイジェストの組み合わせとして正しいものはどれか。58公開鍵が確かに主張する本人のものであることを証明するデータはどれか。59PKIにおいて、デジタル証明書の発行や管理を行う機関はどれか。60秘密鍵の漏えいなどの理由で無効化されたデジタル証明書のリストを何というか。61PKIの階層構造の最上位に位置し、トラストアンカーと呼ばれるものはどれか。62認証局(CA)を運用する上での手続きやセキュリティ基準などを規定した文書は何か。63デジタル証明書の失効状況を、Webページへのアクセス時などにリアルタイムで確認するためのプロトコルはどれか。64システムを操作している人が、主張する通りの人であることを確認する認証はどれか。65生体認証の精度を示す指標についての説明で正しいものはどれか。66「知識・所有物・生体」の3つの認証要素のうち、パスワードやPINが該当するものはどれか。67多要素認証(MFA)の適切な組み合わせはどれか。68FIDO認証の説明として正しいものはどれか。69普段東京からログインしているユーザが、大阪からログインしようとした際に追加の認証を求める方式はどれか。70パスワードを直接ネットワーク上で送信せずに認証を行う仕組みはどれか。71チャレンジレスポンス認証において、サーバが生成してクライアントに送る乱数のことを何と呼ぶか。72使い捨てのパスワードを利用し、漏えい時の不正アクセスリスクを下げる認証方式はどれか。731度の認証で複数の連携サービスにログインできる仕組みはどれか。74コンピュータではなく人間が操作していることを確認する技術(不鮮明な画像の読み取りなど)はどれか。75オンラインで完結する顧客の本人確認方法を指す言葉はどれか。76パスワードを忘れた際、母親の旧姓などの「秘密の質問」で認証する仕組みはどれか。77メッセージ認証に分類される技術はどれか。78タイムスタンプ(時刻認証)が証明する2つの事項はどれか。79公開鍵暗号方式について誤っている記述はどれか。80メッセージ認証符号(MAC)による送信者の確認が完全ななりすまし検知にならない理由はどれか。

③ セキュリティ実装技術

40

実際に組織を守るための対策技術を学ぶ分野です。ファイアウォール(パケットフィルタリング)・IDS/IPS・WAF・UTM・EDRなど、防御の役割ごとに得意とする通信や攻撃が異なる点を押さえます。DMZの構成やアクセス制御ルール、ゼロトラストの考え方、SSL/TLS・IPsec・S/MIMEといった通信の暗号化プロトコル、無線LANのセキュリティ(WPA2/WPA3)、MDMやDLPによる端末・情報の管理も頻出です。各製品が「ネットワークのどこで何を守るか」を配置図でイメージすると、役割の違いを整理しやすくなります。

81ファイアウォールのパケットフィルタリングにおいて、通信の許可・拒否を判断するために監視する情報はどれか。82ファイアウォールの設定において、特定のIPアドレスからの接続のみを許可する場合に使用されるリストはどれか。83IDSとIPSの違いについて、最も適切な説明はどれか。84WAF(Web Application Firewall)が防御の対象とする通信はどれか。85WAFが防ぐことができる攻撃の例として、適切なものはどれか。86エンドポイント(PCやスマートフォンなど)に導入され、振る舞い検知機能によってマルウェア感染などを検知・対処するセキュリ...87UTM(統合脅威管理)を導入する主なメリットはどれか。88マルウェア対策ソフトの「ビヘイビア法(振る舞い検知)」の特徴として正しいものはどれか。89従業員に貸与するスマートフォンなどのモバイルデバイスを一元的に管理し、リモートワイプなどの機能を提供する仕組みはどれか。90組織が正式に許可していないIT機器やクラウドサービスを、従業員が勝手に業務利用する状態を指す用語はどれか。91DLP(Data Loss Prevention)の主な目的はどれか。92セキュリティ製品の「フォールスポジティブ(誤検知)」が多発した場合に発生しやすい問題はどれか。93Webサーバやメールサーバなど、外部からのアクセスが必要なシステムを配置するために、内部ネットワークから分離されたエリア...94DMZを設けたネットワーク構成において、一般的なアクセス制御のルールのうち【誤っているもの】はどれか。95「誰も、何も信用せず常に検証する」という考え方を基本とし、利用者やデバイスの認証・認可を都度確認するセキュリティモデルは...96WPA2-PSKに関する記述のうち、正しいものはどれか。97Wi-Fiのアクセスポイントにおいて、ネットワーク名(SSID)が周囲の機器に自動で表示されないようにする設定はどれか。98アプリケーション間の通信を暗号化するプロトコルであり、現在は脆弱性対策のため後継規格と併記して呼ばれることが多いものはど...99主にVPN(仮想プライベートネットワーク)で使用され、IPパケット自体を暗号化・メッセージ認証してネットワーク間の通信全...100電子メールの暗号化とデジタル署名の機能を提供するプロトコルはどれか。101SSHの仕組みを利用して、ファイルを暗号化して安全に転送するためのプロトコルはどれか。102データベースのセキュリティ対策に関する記述のうち、【誤っているもの】はどれか。103サイバー攻撃手法やマルウェアの調査を目的として、意図的に脆弱性を持たせて設置される「おとり」のコンピュータはどれか。104マルウェアの詳細な調査などを、実環境に影響を与えないように隔離されたテスト用環境で行う仕組みはどれか。105割り当てられているが通常は利用されていないIPアドレス空間であり、ここを出入りする通信を監視することで潜在的な脅威を検出...106NIDSとHIDSの違いとして正しいものはどれか。107パーソナルファイアウォールの説明として最も適切なものはどれか。108マルウェア対策ソフトの「パターンマッチング法」の弱点として正しいものはどれか。109情報セキュリティ製品の精度に関する用語「フォールスネガティブ」の意味として正しいものはどれか。110従業員の個人所有端末を業務にも利用できるようにする仕組みを指す略語はどれか。111セキュリティ対策を「入口対策・内部対策・出口対策」のように多層で組み合わせる主な目的はどれか。112利用者に直接ではなく「役割(ロール)」に権限を割り当て、利用者をロールに紐づけて管理するアクセス制御方式はどれか。113ファイアウォール、IDS/IPS、WAFの違いに関する記述のうち、【誤っているもの】はどれか。114「エンドポイントセキュリティ」と「ゲートウェイセキュリティ」の違いについて適切な説明はどれか。115SSL/TLSとIPsecの暗号化の対象範囲の違いとして適切なものはどれか。116拒否リスト(ブラックリスト)方式のファイアウォール設定として正しい挙動はどれか。117IDSとIPSの機能に関する記述のうち、【誤っているもの】はどれか。118マルウェア対策における「ビヘイビア法」に関する記述のうち、【正しくないもの】はどれか。119情報セキュリティの用語に関する説明のうち、【誤っているもの】はどれか。120DMZの構成に関する説明として【不適切なもの】はどれか。

④ 情報セキュリティ管理

42

組織としてリスクにどう向き合うかを学ぶマネジメント分野です。JIS Q 31000などに基づくリスクの定義、リスクアセスメント(特定・分析・評価)の流れ、リスク対応(回避・低減・移転・保有)の考え方が中心です。ベースラインアプローチや詳細リスク分析などのリスク分析手法、リスク受容基準、情報資産の重要度評価も問われます。ISMS(情報セキュリティマネジメントシステム)やPDCAサイクルとあわせ、「技術ではなく仕組みで守る」視点を、用語の定義と手順の順序を軸に整理していきましょう。

121JIS Q 31000において、リスクはどのように定義されているか。122リスクレベルは、どの2つの要素の組み合わせによって表現されるか。123リスクの管理について権限を持ち、リスクが現実に起こった場合にその責任を取る人のことを何と呼ぶか。124情報セキュリティリスクを生じさせる要因について、不適切な説明はどれか。125リスクアセスメントを実施する際の正しいプロセスの順序はどれか。126リスクアセスメントの「準備」プロセスで行う作業として適切なものはどれか。127情報資産の重要度を決定する際、一般的に評価基準として用いられる「情報セキュリティの3要素」の組み合わせはどれか。128リスク分析手法のうち「ベースラインアプローチ」の特徴として適切なものはどれか。129リスク分析手法に関する説明のうち、不適切なものはどれか。130どのくらいのリスクレベルであればリスク対応を行うのかという基準のことを何と呼ぶか。131リスクレベルが大きいと評価した情報システムを使用するサービスの提供をやめる、といった対応はどれに該当するか。132ある企業が、自社のECサイトを運営するサーバの故障に備え、予備のサーバを準備して冗長化を図った。この対応はリスク対応のど...133データセンターの災害リスクに備え、設備の拠点を国内の複数地域に分けて設置した。この対応はどれに該当するか。134リスク対応後に残る「残留リスク」に関する説明として正しいものはどれか。135リスク対応のうち「リスクファイナンシング」に該当する対応はどれか。136情報セキュリティ管理を適切に行うための枠組みである「ISMS」は、どの規格シリーズによって規格化されているか。137ある企業が、ISMSのPDCAサイクルの一環として「セキュリティ教育の実施」と「アクセス権限の定期見直し」を運用し始めた...138組織における情報セキュリティを統括する責任者としての役割を担い、経営層としてのリーダーシップも求められる役職はどれか。139情報セキュリティポリシーを構成する3つの文書の組み合わせとして正しいものはどれか。140情報セキュリティポリシーを構成する文書の取り扱いに関する説明のうち、誤っているものはどれか。141情報セキュリティポリシーにおける「基本方針」を策定する役割を担うのは誰か。142情報システムの利用者からの問い合わせや障害対応において、一次担当者だけでは解決できない場合に、上位の担当者や管理者に引き...143不適合が発生した場合にその原因を除去し、再発を防止するための対策や取り組みのことを何と呼ぶか。144情報セキュリティ事象とインシデントに関する記述のうち、最も適切なものはどれか。145マルウェア感染が疑われるPCが発見された際、被害を抑えるためにそのPCをネットワークから切断した。この対応は、インシデン...146専門家が実際にシステムに対して侵入を試みることで、脆弱性の有無を確認するテストを何というか。147開発中のソフトウェアに対し、専用のツールを用いてランダムで異常なデータを大量に入力し、予期せぬエラーが起きないかテストし...148情報セキュリティにおける脆弱性を評価するための国際的に統一された基準であり、深刻度を0.0から10.0のスコアで表すもの...149脆弱性情報に関連する用語のうち、各脆弱性に割り当てられる「世界で一意のID」を指すものはどれか。150脆弱性に関する用語とその説明の組み合わせとして、誤っているものはどれか。151ソフトウェアがどのようなコンポーネント(部品)から作られているのかを整理した一覧表であり、脆弱性発見時の影響範囲把握に役...152自社のECサイトでクレジットカード決済を安全に処理するために、業界全体で一貫されたセキュリティ要件を満たしたい。参考とす...153省庁などの政府機関が新たなクラウドサービスを導入する際、政府が求めるセキュリティ要求を満たしているかを確認するための制度...154情報セキュリティ監査などにおいて、別の部署の従業員や外部の専門家など、中立の立場にある人が行う評価方法を何というか。155「事業継続計画(BCP)」と「緊急時対応計画(コンティンジェンシー計画)」の違いとして適切なものはどれか。156組織内で発生した情報セキュリティインシデントへの対応を行う組織の総称であり、復旧対応や原因究明などを担うものはどれか。157情報セキュリティ組織に関する説明のうち、不適切なものはどれか。158インターネットに接続できるIoT家電を開発している企業が、製品出荷後に発見される脆弱性やインシデントに専門的に対応するた...159金融機関同士が、互いに検知したサイバー攻撃の手口や脅威情報を共有し、業界全体のセキュリティレベルを向上させるために連携す...160日本の政府機関に対するサイバー攻撃の監視や、重大事象が発生した際の原因究明調査を実施するため、2025年にNISCを改組...161情報処理推進機構(IPA)の内部組織であり、標的型サイバー攻撃に対する相談窓口を運営し、被害の低減や攻撃の連鎖を断ち切る...162ISP(プロバイダ)が連携し、パスワードが初期設定のままなど危険な状態にあるIoT機器を調査し、利用者に注意喚起を行う取...

⑤ 情報セキュリティ対策

38

日常の運用で行う具体的な対策を学ぶ分野です。職務分掌や相互牽制など内部不正を防ぐ組織的対策、最小権限の原則やneed-to-knowといったアクセス管理、多層防御の考え方が頻出です。パスワード管理(アカウントロック等)や、電子メールのなりすまし対策(SPF・DKIM・DMARC・POP before SMTP)、CTF・レッドチーム/ブルーチームといった演習の用語も問われます。「人的・組織的対策」と「技術的対策」を区別しつつ、それぞれの目的(不正防止・被害拡大の抑止)を意識して整理すると得点が安定します。

163内部不正やミスの発生を防止するため、一人で業務を完結させず複数人で確認を取り合う仕組みを何というか。164セキュリティのスキルを競い合う競技で、意図的に用意された脆弱性を利用して隠されたコードを探し出すものを何というか。165IPAが発行しており、誰でも無料で閲覧できる、内部不正を防ぐ取り組みをまとめたものはどれか。166情報セキュリティ訓練において、防御する側のブルーチームに対して、模擬的に攻撃を行う専門家チームを何というか。167パスワード管理において、連続してログインに失敗した場合にアカウントへのログインを拒否する設定の主な目的はどれか。168コアパスワードを利用したパスワード管理に関する記述として、最も適切なものはどれか。169ユーザがアクセスできる情報を、その人の業務に必要な範囲に限定すべきという考え方を何というか。170システム上のあらゆる操作を行うことができる権限を与えられたユーザを何というか。171「最小権限の原則」と「need-to-knowの原則」の違いについて、正しい記述はどれか。172単一の対策ではなく、多様な攻撃手法に対応できるように複数のセキュリティ対策を併用する方針を何というか。173POP3の認証機能を利用し、認証後一定期間だけSMTPでのメール送信を許可する仕組みはどれか。174電子メールの送信元ドメインが詐称されていないかを検査する仕組みのうち、送信元の「IPアドレス」を検証するものはどれか。175電子メールの送信元ドメインを「デジタル署名」によって検証する技術はどれか。176認証失敗時の取り扱いルールを事前に定め、SPFとDKIMの二つを活用してより安全なメール認証を実現する仕組みはどれか。177ISPが自社ネットワーク内部から外部の特定のポートへの接続を制限し、迷惑メールの発信を防ぐ対策はどれか。178SMTP-AUTHに関する記述として正しいものはどれか。179パスワードをハッシュ化する際、安全性を高めるために追加するランダムな文字列を何というか。180パスワードとソルトの組み合わせに対してハッシュ関数を複数回繰り返し用い、解析を困難にする手法はどれか。181ランサムウェア対策において推奨される「3-2-1ルール」の説明として適切なものはどれか。182ランサムウェアによる暗号化を防ぐため、一度書き込まれたデータを後から変更・削除できなくする仕組みを何というか。183画像や音声データの中に、秘密にしたい情報を他者に気づかれることなく埋め込む技術はどれか。184不正アクセスなどの犯罪捜査において、証拠となるデータを収集・保全・解析することを何というか。185ユーザの操作やシステムへの変更などの重要なイベントを記録するログを特に何と呼ぶか。186複数の機器からログを収集して相関分析を行う際、正確に時刻を同期するために利用されるプロトコルはどれか。187さまざまな機器から集められたログを総合的に分析し、アラート通知などによって管理者を支援するシステムはどれか。188コンピュータシステムの特性を表すRASにおいて、「A(Availability)」が意味するものはどれか。189RASの指標のうち、障害からの「復旧やメンテナンスのしやすさ」を表すものはどれか。190RASISはRASの3要素に何を付け加えた概念か。191長時間の停電に備え、エンジンなどで自ら発電して電力供給を続ける装置はどれか。192入退室管理システムにおいて、入室記録がないIDカードでの退室や再入室を拒否することで、共連れやカードの使い回しを防ぐ仕組...193機密情報を画面上に残さないようにするため、離席時にコンピュータの画面をロックするなどの対策を何というか。194データを複製して2つの場所に保存し、片方に障害が発生しても停止期間なくシステムを使用し続けられる技術はどれか。195ソフトウェアの脆弱性が発見された際に開発元から提供される修正プログラムを何というか。196著作権者や購入者IDなどの権利管理情報を、人間が知覚できない形でデジタルメディアに埋め込む技術を何というか。197マルウェア対策として適切でないものはどれか。198パスワード管理において適切でない行動はどれか。199施設内を必要なセキュリティレベルごとに区分けすることを何というか。200標的型攻撃メールを模したメールを従業員に配信する訓練の主な目的はどれか。

⑥ 法務・標準化

39

セキュリティに関わる法律と標準を学ぶ分野です。サイバーセキュリティ基本法、不正アクセス禁止法、刑法(電子計算機損壊等業務妨害罪・不正指令電磁的記録に関する罪)、個人情報保護法(要配慮個人情報・匿名加工情報・漏えい報告義務)などが頻出です。電子署名法や特定電子メール法(オプトイン)といった関連法規、各種標準・ガイドラインも問われます。似た名称の法律が多いため、「どの行為を禁止・規制する法律か」を条文の趣旨とともに一覧化し、混同しないよう整理するのが効率的な学習法です。

201サイバーセキュリティ戦略の5つの基本原則に含まれないものはどれか。202サイバーセキュリティ基本法において、国民の責務・努力義務として定められている内容はどれか。203不正アクセス禁止法において、保護の対象となる「識別符号」に該当するものはどれか。204不正アクセス禁止法で禁止されている行為はどれか。205刑法の「電子計算機損壊等業務妨害罪」に該当する行為はどれか。206刑法における「不正指令電磁的記録に関する罪」が禁止している対象は何か。207個人情報保護法において、「要配慮個人情報」に該当するものはどれか。208「匿名加工情報」の説明として適切なものはどれか。209個人情報保護委員会への報告が義務付けられる漏えい等の事案に該当しないものはどれか。210匿名加工情報を作成する手法の一つである「k-匿名化」の説明として適切なものはどれか。211広告宣伝メールの送信において、希望するユーザにのみ配信を行う方式を何というか。212デジタル署名に対して、手書き署名や捺印と同じ法的効力を認める法律はどれか。213インターネット上の誹謗中傷などの被害者救済を目的に、プロバイダ等に発信者情報の開示を請求できる権利を定めた法律はどれか。214GDPR(一般データ保護規則)に関する説明として正しいものはどれか。215労働基準法において、法定労働時間外の労働をさせる場合に必要となる、労働者の代表と企業との間で結ぶ協定を何というか。216労働者派遣契約に関する説明として適切なものはどれか。217常時何人以上の労働者を使用する企業において、就業規則の作成と労働基準監督署長への届出が義務付けられているか。218成果物の完成を目的とし、受託した企業が完成責任や契約不適合責任を負う契約形態はどれか。219準委任契約において、受託企業が負う義務として適切なものはどれか。220著作権法による保護の対象とならないものはどれか。221著作者人格権に含まれる権利はどれか。222産業財産権のうち、自然法則を利用した新規かつ高度な「発明」を保護する権利はどれか。223法人の業務として従業員がプログラムを創作した場合、特段の定めがないときの著作権の帰属先はどこか。224意匠権の保護対象として適切なものはどれか。225著作財産権の存続期間は原則としていつまでか。226不正競争防止法において「営業秘密」として保護されるための3つの要件に含まれないものはどれか。227不正競争防止法で規制されている行為はどれか。228デジタルデータなどの不正な複製を制限するための著作権管理の仕組みを何というか。229標準化団体が定めた規格ではなく、自然の流れとして結果的に多くの場所で使われるようになった「事実上の標準」を何というか。230「JIS Q 27001」などのJIS規格は、どの組織または国家が定めた規格か。231国際標準化機構(ISO)が定めている規格の例として適切なものはどれか。232「仮名加工情報」の説明として適切なものはどれか。233IEEEが主に定めている規格の分野はどれか。234実用新案権の保護期間として正しいものはどれか。235クーリング・オフなどの消費者を守るルールを定めている法律はどれか。236「e-文書法」の主な目的はどれか。237著作権に関する説明のうち、誤っているものはどれか。238労働基準法において、就業規則を作成・変更する際に求められる手続きはどれか。239ソフトウェア開発などの請負契約において、委託先の企業が負う責任はどれか。

⑦ テクノロジ

39

科目Aで問われるIT基礎技術を学ぶ分野です。クライアントサーバやシンクライアントなどのシステム構成、デュアル/デュプレックスシステム、RAIDによる冗長化、フェールセーフ・フールプルーフといった信頼性設計が頻出です。あわせて、稼働率の計算、MTBF・MTTRといった信頼性指標、レスポンスタイム・スループットなどの性能評価も問われます。計算問題が含まれるため、稼働率や所要時間の求め方は公式を暗記するだけでなく、簡単な数値で手を動かして確実に得点できるようにしておきましょう。

240現代のコンピュータシステムの基本であり、データやサービスを提供するコンピュータと利用するコンピュータで役割分担をする構成...241クライアントサーバシステムをベースとし、クライアント側の処理能力を必要最小限に抑え、処理のほとんどをサーバ側で行うシステ...242平常時から2組のシステムを稼働させ、同一の処理を行って結果を比較することで誤作動の有無を確認できるシステム構成はどれか。243障害発生時に備えるデュプレックスシステムにおいて、最も切り替えに時間がかかる待機方式はどれか。244複数のドライブにデータを分散して保存し、復元のためのパリティを同時に書き込むことで、1台のドライブ故障に耐えられるRAI...245RAID 0に関する記述として、最も適切なものはどれか。246障害発生時に、システムを完全停止させることを避けるため、機能が低下しても稼働を継続させる設計方針はどれか。247人間はミスをするという前提のもと、誤った操作をしようとしてもできないようにする設計の工夫はどれか。248「システムに故障や障害が起きないように部品の品質を向上させる」という考え方を表す用語はどれか。249処理の依頼から、最初の応答が返ってくるまでの時間を示すシステム性能評価の指標はどれか。250システムの稼働率を求める計算式として正しいものはどれか。251MTTR(平均修理時間)に関する説明として適切なものはどれか。252ネットワーク通信を設計する際のガイドラインとして、機能を7つの階層に分けて定義したモデルはどれか。253ネットワーク機器のうち、OSI参照モデルの第3層(ネットワーク層)のIPアドレスを利用して経路を判断し転送を行う機器はど...254OSI参照モデルの第2層(データリンク層)において、MACアドレスを学習し必要なデータのみを転送する機器はどれか。255ポート番号も併用してプライベートIPアドレスとグローバルIPアドレスを相互に変換し、一つのグローバルIPアドレスで複数の...256約340澗という膨大な数のIPアドレスを割り当てることができる、128ビットで構成されたIPのバージョンはどれか。257MACアドレスに関する記述として、最も適切なものはどれか。258クライアントの代わりにインターネット上のWebサーバにアクセスし、セキュリティ向上やキャッシュによる表示速度向上を図るサ...259公衆ネットワーク上に仮想的な専用回線(トンネル)を構築し、暗号化技術を組み合わせて安全な通信を実現する技術はどれか。260URLのドメイン名とIPアドレスの対応付けを行うシステムはどれか。261電子メールの送信と、メールサーバ間でのメール転送に使用されるプロトコルはどれか。262サーバに蓄積された電子メールを、端末にダウンロードせずネットワーク経由で直接閲覧できる受信用のプロトコルはどれか。263Webページの送受信に使用されるHTTP通信を、SSL/TLSを用いて暗号化したプロトコルはどれか。264コンピュータをネットワーク経由で遠隔操作するためのプロトコルであり、通信内容が暗号化されるため安全性が高いものはどれか。265TCP/IP通信において、IPアドレスを「マンションの住所」としたとき、「部屋番号」に例えられ、サービスを指定するための...266電子メールに画像や音声などのテキスト以外の情報を添付して送信できるようにする標準仕様はどれか。267リレーショナルデータベース(RDB)において、2次元の表の「行方向」の一連のデータを指す用語はどれか。268リレーショナルデータベースを操作するために、データの抽出や組み合わせなどの命令を出すコンピュータ言語はどれか。269トランザクション処理において、一連の処理が全て正常に完了し、データベースに処理結果を確定させることを何というか。270トランザクション処理の途中で障害が発生した場合、実行中の処理を無かったことにして、トランザクション開始前の状態に戻す処理...271データベース全体に障害が発生した場合、バックアップファイルを復元し、ジャーナルファイルを用いて障害発生直前の状態まで処理...272データベースの排他制御において、「他のユーザによるデータの読み込みは許可するが、書き込みは許可しない」ロック方式はどれか...273複数のトランザクションがお互いに相手がロックしているデータの解放を待ち合い、処理が完全に停止してしまう状態はどれか。274分析のために整理されたデータを保管する場所であり、特に意思決定のために時系列に沿って蓄積するデータベースはどれか。275データに対して統計学や機械学習などの手法を用いて分析し、傾向やパターンを見つけ出して新たな知見を導出する活動はどれか。276扱うデータの定義や種類、データ同士の関係性などをまとめた「データベースのデータベース」を指す用語はどれか。277前回のバックアップ(フル・差分・増分のいずれか)から変更された分のみを対象とするバックアップ方式はどれか。278ネットワークに直接接続する記憶装置であり、同じネットワーク内の複数のコンピュータからアクセスできる機器はどれか。

⑧ マネジメント・ストラテジ・科目B

42

プロジェクト管理・サービス管理と、科目Bの実践的な題材を学ぶ分野です。PMBOKの知識エリア、スコープやWBS、アローダイアグラムとクリティカルパス、最短所要日数の算出が頻出です。ITサービスマネジメントではSLA/SLO、RTO、ITILのプラクティスなどが問われます。科目Bは知識単体ではなく、インシデント対応や情報資産管理といった実際の場面に知識を当てはめて考える読解型の出題が中心です。①〜⑦で学んだ知識を「業務の状況でどう判断・対処するか」に結びつける練習が、得点力の鍵になります。

279プロジェクトマネジメントにおける「プロジェクト」の定義として適切なものはどれか。280プロジェクトの利害関係者を指す用語はどれか。281プロジェクトが行う作業の範囲のことを何というか。282PMBOKの知識エリアに関する記述のうち誤っているものはどれか。283アローダイアグラムにおいて最も作業日数がかかる経路のことを何と呼ぶか。284あるプロジェクトのアローダイアグラムにおいて経路1が12日、経路2が15日、経路3が14日かかる場合、このプロジェクトの...285WBS(Work Breakdown Structure)の説明として適切なものはどれか。286顧客のニーズに応えるITサービスを提供するために自社のサービスを適切に管理することを何というか。287サービスの提供者とユーザの間で維持するサービスレベルを事前に合意する書面を何というか。288SLAとSLOの違いに関する説明として適切なものはどれか。289システム障害時に業務を停止してから復旧するまでに許容できる最大時間を示す指標はどれか。290サービスマネジメントの代表的なガイドでありプラクティスという単位で事例がまとめられている書籍群はどれか。291次のうちファシリティマネジメントの活動に該当するものはどれか。292組織内において情報システムが適切に運用されているかを第三者が確認・評価する行為はどれか。293システム監査の手順において監査証拠を集める本調査の次に行う工程はどれか。294情報セキュリティ監査基準と情報セキュリティ管理基準に関する記述のうち適切なものはどれか。295システム監査人の外観上の独立性を担保するための措置として最も適切なものはどれか。296監査結果を外部に公開し基準に沿っていることを証明して信頼性をアピールする目的で行われる監査はどれか。297健全な組織運営のために組織が自らルールを策定し運用する仕組みを何というか。298ソフトウェアやハードウェアをインターネット経由でユーザに提供するサービス形態はどれか。299クラウドサービスのうちハードウェアとOS(インフラ)のみをサービスとして提供するものはどれか。300DaaSとVDIの違いに関する説明として適切なものはどれか。301自国の法令などの影響を受けないよう特定の国や地域の法的規制に従ってデータ管理・保存されるクラウドサービスを何というか。302部門ごとではなく企業全体で統合されたシステムを使うことで効率化を図る経営管理手法はどれか。303顧客情報や購買履歴を一貫して管理し顧客と良好な関係を構築することで売上拡大を目指す手法はどれか。304BPOとBPRの違いとして正しい説明はどれか。305システム開発の初期段階において開発するシステムの概要やコストやスケジュールなどを決定するプロセスはどれか。306システムの要件定義において非機能要件に該当するものはどれか。307システム開発をITベンダに依頼する際ベンダの基本情報や開発実績などの提供を求める書類はどれか。308企画・設計段階から個人情報保護を考慮してシステム開発を行う考え方を何というか。309企業の会計において株主や金融機関などの外部の利害関係者に対して財務状況を報告することを目的としたものはどれか。310財務諸表のうち一定時点の資産・負債・純資産を表し企業の財政状態を示す書類はどれか。311損益計算書において売上総利益を算出するための計算式として正しいものはどれか。312損益計算書において売上総利益から販売費及び一般管理費を差し引いて求められる利益はどれか。313損益計算書において災害時の損失など臨時に発生した損失・利益を示す項目はどれか。314マルウェア感染を想定した標的型攻撃メール訓練において不審メールに気づいた従業員が行うべき対応として最も適切なものはどれか...315クラウドサービス(SaaS)を利用する場合のセキュリティ管理について正しい記述はどれか。316PC上の定型的な業務を自動化するソフトウェアでありコピー&ペーストなどの作業時間を短縮できるものはどれか。317企業の不正を防ぐために株主や従業員などの利益の最大化を目的として経営陣を監視・統制する仕組みを何というか。318マルウェア感染が疑われるPCに対する初動対応として被害拡大を防ぐために最も優先すべき行動はどれか。319継続的に業務プロセスを改善していく取り組みでありPDCAサイクルを回して日々の業務効率化を図る手法はどれか。320システム開発の調達フェーズにおいて発注元がベンダに対して調達対象システムや条件などを示し具体的な提案書の提出を依頼する文...
情報セキュリティマネジメントトップへ戻る