情報セキュリティマネジメント試験(SG)科目A対策 / 全10問
情報セキュリティの3要素(CIA)のうち「完全性(インテグリティ)」を維持するための対策として最も適切なものはどれか。
完全性とは、情報が正確で改ざんされていない状態を保つことです。デジタル署名やハッシュ値は内容が書き換えられていないか検証でき、これを守るので正解です。バックアップや回線二重化は「可用性」、アクセス権による閲覧制限は「機密性」の対策であり、完全性とは別の要素を守るものなので誤りです。
JIS Q 27000で定義されている「リスクアセスメント」を構成するプロセスの組合せとして正しいものはどれか。
リスクアセスメントは「リスク特定(洗い出し)」「リスク分析(大きさを見積もる)」「リスク評価(対応が必要か判断)」の3段階で構成されます。回避・低減・移転などはアセスメントの後に行う「リスク対応」の手段なので誤りです。脅威分析や影響度分析は分析の一部にすぎず、全体の構成としては不正確です。
リスク対応のうち「リスク移転(共有)」に該当するものはどれか。
リスク移転(共有)は、保険や外部委託などによってリスクによる損失を他者に肩代わりしてもらう方法です。サイバー保険がこれにあたるので正解です。業務をやめるのは「回避」、ソフト導入で確率を下げるのは「低減」、対策せず許容するのは「受容」であり、それぞれ別の対応方法なので誤りです。
情報セキュリティポリシーの3階層において、最上位に位置する「基本方針」の説明として最も適切なものはどれか。
基本方針は最上位の文書で、経営者が「なぜ・どのように情報セキュリティに取り組むか」という方針や目的を宣言するものです。よって正解です。守るルールを項目別に定めるのは「対策基準」、具体的な手順や設定値を示すのは「実施手順」であり、いずれも下位の階層なので誤りです。
ISMS(情報セキュリティマネジメントシステム)におけるPDCAサイクルで、「C(Check)」の段階で行う活動として最も適切なものはどれか。
PDCAのCheckは、内部監査や有効性レビューによって計画どおり運用できているかを点検・評価する段階なので正解です。方針決定や計画立案はP(Plan)、管理策の導入・運用はD(Do)、是正処置による改善はA(Act)にあたり、それぞれ別の段階の活動なので誤りです。
組織におけるCSIRT(シーサート)の役割の説明として最も適切なものはどれか。
CSIRTは、情報セキュリティインシデントへの対応を専門に行うチームで、検知・初動対応・原因分析・再発防止などを担うので正解です。勤怠管理や財務の内部統制は対象外です。なお、通信を常時監視する設備や組織はSOC(Security Operation Center)に近い役割であり、CSIRTとは区別されるため誤りです。
事業継続計画(BCP)の説明として最も適切なものはどれか。
BCP(Business Continuity Plan)は、災害・大規模障害・パンデミックなどの非常時でも、重要な事業を止めない、または早期に復旧させるための計画なので正解です。アクセス制御は技術的対策、教育研修は人的対策、システム開発計画は別の計画であり、いずれも事業継続を主目的とするものではないため誤りです。
リスクを金額で評価する際に用いられる「年間予想損失額(ALE)」の算出式として正しいものはどれか。
年間予想損失額(ALE)は、1回あたりの損失額(SLE)に年間の予想発生回数(ARO)を掛けて求めます。これにより1年でどれだけ損失が見込まれるかを金額で表せるので正解です。資産価値と脆弱性の数の積や、脅威の数と対策費用の積などは定義された計算式ではなく、RTOは復旧目標時間を示す別の指標なので誤りです。
情報セキュリティにおける「情報資産」の考え方として最も適切なものはどれか。
情報資産とは、組織にとって価値があり守るべき対象全般を指し、電子データだけでなく紙の書類、ソフトウェア、人が持つ知識、機器なども含みます。よって幅広く捉える選択肢が正解です。ハードウェアだけ、固定資産だけ、公開可能な情報だけ、とする選択肢は対象を狭く限定しすぎており誤りです。
ITガバナンスと内部統制に関する説明として最も適切なものはどれか。
ITガバナンスは、経営者が主体となってIT活用を経営方針に沿って方向づけ・統制し、企業価値の向上につなげる仕組みなので正解です。内部統制は業務の適正性を確保する組織的な仕組みであり、ファイアウォール設定という技術作業ではありません。ITガバナンスは経営者の責任であり担当者だけのものではなく、内部統制はむしろ求められるものなので、他の選択肢は誤りです。