模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティ ファンデーション 2015 年 08 月版 Copyright © 2015 EXIN All rights reserved. No part of this publication may be published, reproduced, copied or stored in a data processing system or circulated in any form by print, photo print, microfilm or any other means without written permission by EXIN. 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 2 目次 はじめに 模擬試験 解答と解説 評価 4 5 15 34 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 3 はじめに これは、「ISO/IEC 27002 準拠情報セキュリティファンデーション試験」で す。 この模擬試験では 40 問が多肢選択形式で出題されます。各多肢選択問題には 可能性のある解答が幾つもありますが、そのうち正解は 1 つのみです。 この試験の最高点は 40 点です。正解 1 つにつき 1 点とします。26 点以上獲得 すると合格となります。 この試験の制限時間は 60 分です。 この情報は、いかなる権利も発生させるものではありません。 ご健闘を祈ります。 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 4 模擬試験 1/40 データと情報はどのような関係にありますか? A. データは、体系化された情報である B. 情報は、一連のデータに意味と価値を割り当てたものである 2/40 火災保険に加入するために、総務部は、管理しているデータの価値を決定しなけ ればなりません。 組織のデータの価値を決定する際に重要ではない要素は、次のうちどれですか? A. データの内容 B. データの紛失、不完全または不正確なデータを復旧させる時の困難さ C. ビジネス・プロセスにとってデータが不可欠であるかどうか D. データを活用するビジネス・プロセスの重要性 3/40 ハッカーがウェブサーバーにアクセスし、クレジットカード番号を含むサーバー 上のファイルを閲覧しています。 クレジットカードファイルの機密性(C)、完全性(I)、可用性(A)(CIA原則)のう ち、どれが侵害されましたか? A. 可用性 B. 機密性 C. 完全性 4/40 あなたが勤務している会社の廊下にネットワークプリンタがあります。多くの従 業員が出力した紙をすぐに取りに行かず、プリンタに残したままにしています。 このことにより、情報の信頼性にどのような結果が生じますか? A. 情報の完全性が保証されなくなる B. 情報の可用性が保証されなくなる C. 情報の機密性が保証されなくなる 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 5 5/40 リスク分析を適切に実施することで、多くの有用な情報を得ることができます。 リスク分析には 4 つの主な目的があります。 リスク分析の主な目的ではないものは、次のうちどれですか? A. 資産とその価値の識別 B. 対策の実施 C. インシデントに係るコストとセキュリティ対策のコストのバランスの確保 D. 関連するぜい弱性と脅威の特定 6/40 総務部で、自部門がさらされている危険を判断しようとしています。 情報の信頼性に悪影響を及ぼす可能性のある事象は、何と呼ばれていますか? A. 依存性 B. 脅威 C. ぜい弱性 D. リスク 7/40 リスクマネジメントの目的は、次のうちどれですか? A. あるリスクが発生する可能性を決定すること B. 起こりうるセキュリティインシデントによって生じる損害を判断すること C. IT リソース(資源)がさらされる脅威の概要をまとめること D. 受容可能なレベルまでリスクを軽減する対策を取ること 8/40 あなたが数年前に設立した会社は、従業員数が 1 人から今や 20 人にまで成長しま した。会社の情報はますます価値を増し、あなたがすべて自分で情報を把握して おける時代は過ぎました。 あなたは対策を取る必要性を認識していますが、どのような対策を取ればよいか わかりません。 あなたは、コンサルタントを雇いました。彼は、定性的リスク分析から始めるこ とをアドバイスしてくれました。定性的リスク分析とは、次のうちどれですか? A. この分析は、損害によって生じる正確な損失を計算するために、正確な統計 的確率計算に従う B. この分析は、シナリオと状況に基づいて、脅威の可能性について主観的見解 を作成する 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 6 9/40 ミッドウエスト保険会社という企業の支社で火事が発生しました。すぐに消防隊 が現場に到着して消火したので、建物が全焼することはありませんでしたが、サ ーバが火事で破損しました。別の部屋に保管されていたバックアップテープは溶 け、その他多くの文書も永久に失われました。 この火事による間接的ダメージの例として適切なものは、次のうちどれですか? A. バックアップテープの溶解 B. コンピュータシステムの焼損 C. 文書の消失 D. 消火器からの消火剤による水濡れなどの損害 10/40 あなたは SpeeDelivery という宅配会社のオーナです。リスク分析を終えたところ で、リスク戦略を決定したいと考えています。大きなリスクについては対策を取 り、小さなリスクについては対策を取らないことにしました。 このリスク戦略は何と呼ばれていますか? A. リスク負担 (保有) B. リスク回避 C. リスク中立 11/40 人的脅威の例として適切なものは、次のうちどれですか? A. USB スティックからネットワークがウィルスに感染する B. サーバルームにほこりがたまりすぎている C. 漏電によって電力供給できなくなる 12/40 人的脅威の例として適切なものは、次のうちどれですか? A. 落雷 B. 火災 C. フィッシング 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 7 13/40 あなたは大企業のオフィスで勤務しています。あなたは、ヘルプデスクからだと 称する人から電話を受けました。彼はあなたのパスワードを尋ねています。 この脅威は、次のうちどの種類の脅威ですか? A. 自然の脅威 B. 組織的脅威 C. ソーシャルエンジニアリング 14/40 健康保険会社の支店で火災が発生しました。従業員は業務を継続するために近隣 の支店に移りました。 このようなスタンバイは、インシデントライフサイクルのどこに入りますか? A. 脅威とインシデントの間 B. 復旧と脅威の間 C. 損害と復旧の間 D. インシデントと損害の間 15/40 情報には信頼性の側面がいくつかあります。 信頼性は絶えず脅かされています。脅威の例として、ケーブルが外れる、誰かが 誤って情報を変更する、データが私的に使用されたり改ざんされたりする、など が挙げられます。 次の例のうち機密性に対する脅威はどれですか? A. 外れたケーブル B. データの誤った削除 C. データの私的利用 16/40 スタッフの 1 人が特定のメッセージを送信したことを否定しています。 ここで危険にさらされている情報の信頼性の側面は、次のうちどれですか? A. 可用性 B. 正確性 C. 完全性 D. 機密性 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 8 17/40 情報セキュリティ基本方針の目的を最も適切に説明しているものは、次のうちど れですか? A. 方針では、リスクの分析および対応策の模索について文書化する B. 方針は、情報セキュリティに関する管理の方向性と支援を規定する C. 方針は、セキュリティ計画に必要な詳細を規定することによって、セキュリ ティ計画を具体化する D. 方針は、脅威に対する洞察と起こりうる結果を提供する 18/40 ウェブサーバーに関するセキュリティインシデントが、ヘルプデスク従業員に報 告されました。彼の同僚はウェブサーバーについてより多くの経験を持っていま す。そのため、彼はその同僚にこのケースを委ねました。 この委ねる行為を示す用語は、次のどれですか? A. 機能的エスカレーション B. 階層的エスカレーション 19/40 保険会社 Euregio のある従業員が、知らない間に保険証券の有効期限が変更され ていることに気付きました。この変更の権限を持っているのは彼女だけです。彼 女は、このセキュリティインシデントをヘルプデスクに報告しました。ヘルプデ スクの従業員は、このインシデントに関する以下の情報を記録します。 • 日時 • インシデントの概要 • インシデントの起こりうる結果 インシデントに関する重要な情報でここに挙げられていないものは、次のうちど れですか? A. インシデントの報告者の名前 B. ソフトウェアパッケージの名前 C. PC 番号 D. インシデントについて通知される人のリスト 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 9 20/40 インシデントサイクルには4つの連続したステップがあります。 どのステップがインシデントの後に続きますか? A. 脅威 B. 損害 C. 復旧 21/40 予防的対策は、次のうちどれですか? A. システムにおける変更を認識できるようにするログ記録システムを導入する こと B. ハッカーが社内システムにアクセスした場合、すべてのインターネットトラ フィックをシャットダウンすること C. 機密情報を金庫に保管すること 22/40 火災の場合における制止的対策は、次のうちどれですか? A. 火災保険に加入すること B. 火災感知器により火災を検知して消火すること C. 火災で生じた損害を修復すること 23/40 情報分類の目的は、次のうちどれですか? A. モバイル機器の取り扱い方法についてマニュアルを作成すること B. 情報を認識しやすくする分類ラベルを付けること C. 情報をその機密度に応じて体系化すること 24/40 文書の分類の変更が許可されているのは、次のうち誰ですか? A. 文書の作成者 B. 文書の管理責任者(administrator アドミニストレータ) C. 文書のオーナ(Owner 所有者) D. 文書のオーナ(Owner)の管理者(Manager マネージャ) 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 10 25/40 コンピュータルームへのアクセスは、許可証(入退出許可カード)読取機を使用 して遮断されています。許可証を持っているのはシステム管理部だけです。 この対策は、次のうちどの種類のセキュリティ対策ですか? A. 是正的セキュリティ対策 B. 物理的セキュリティ対策 C. 論理的セキュリティ対策 D. 制止的セキュリティ対策 26/40 高度に保護された領域にアクセスするには強力な認証が必要です。強力な認証の 場合、個人のアイデンティティは 3 つの要素を使用して検証されます。 個人識別番号(PIN)を入力する必要がある場合、次のどの要素が検証されます か? A. あなたが何者であるか B. あなたが知っていること C. あなたが持っているもの 27/40 物理的にセキュリティを複層的に拡大していくゾーン(プロテクションリング) が適用されると、異なる対策をとることができます。 プロテクションリングではないものはどれでしょうか。 A. 建物 B. ミドルリング C. オブジェクト D. アウターリング 28/40 次の脅威のうち、物理的対策を行わない結果として発生する可能性があるものは どれですか? A. ユーザが他のユーザに属するファイルを閲覧することができる B. サーバが過熱により停止する C. 機密文書がプリンタに放置される D. ハッカーがコンピュータ・ネットワークに自由に侵入できる 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 11 29/40 次のセキュリティ対策のうち技術的対策はどれですか? A. 情報には、管理責任者を特定すること B. ファイルを暗号化すること C. 電子メールで許可されることと許可されないことを定める方針を策定するこ と D. システム管理パスワードを金庫に保管すること 30/40 中央サーバのバックアップが、サーバと同じ閉鎖された(仕切られた)室内で施 錠保管されています。 組織が直面するリスクは、次のうちどれですか? A. サーバがダウンした場合、サーバが再び運用可能になるまでに長時間を要す る B. 火災が発生した場合、システムを以前の状態に戻すことができない C. 誰もバックアップの責任を負っていない D. 無許可者が容易にバックアップにアクセスできる 31/40 ウィルス感染したコンピュータのネットワークを構築するのは、次のうちどの種 類のマルウェアですか? A. ロジック(論理)爆弾 B. Storm Worm またはボットネット C. トロイの木馬 D. スパイウェア 32/40 組織内で、セキュリティオフィサーが従業員のワークステーションが悪意のある ソフトウェアに感染していることを検知しました。フィッシング攻撃の標的とさ れたため、この悪意のあるソフトウェアがインストールされてしまいました。 将来このようなインシデントを防ぐために、どのアクションが最も有効ですか? A. MAC 技術の導入 B. セキュリティ認識プログラムの開始 C. ファイアウォール規則の更新 D. スパムフィルターのシグネチャーの更新 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 12 33/40 あなたは中堅企業の IT 部門に勤務しています。機密情報が漏洩したことが数回あ り、それによって企業のイメージが損なわれました。あなたは企業のノートブッ ク PC について、組織的なセキュリティ対策を提案するように求められました。 あなたが取る必要がある最初のステップは何ですか? A. モバイルメディア(PDA、ノートブック PC、スマートフォン、USB スティッ ク)に関する方針を策定する B. セキュリティ要員を任命する C. ノートブック PC のハードディスクドライブおよび USB スティックを暗号化す る D. アクセス制御方針を策定する 34/40 組織内で情報セキュリティの一貫性を保証するシステムは何と呼ばれています か? A. 情報セキュリティマネジメントシステム(ISMS) B. ルートキット C. 政府(行政)機関向け特別情報関連セキュリティ法規 35/40 「ある人物のアイデンティティを確認する」ことを何といいますか? A. 認証 B. 認可 C. 識別 36/40 災害復旧計画を最新の状態に保ち、定期的にテストする必要があるのはなぜです か? A. 事務所外にある最近取得したバックアップに常にアクセスできるようにする ため B. 日常的に発生する障害に対処できるようにするため C. テストを行わなければ、影響が広範囲に及ぶ中断の場合に、行う対策および 計画したインシデント手順が不適切であったり、現状に即していない可能性 があるため D. 個人情報保護法によって要求されているため 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 13 37/40 自分について登録されているデータの閲覧の要求は、次のどの法律に基づいて行 うことができますか? A. 公的記録法 B. 個人情報保護法 C. コンピュータ犯罪法 D. 情報公開法 38/40 情報セキュリティに関して、すべての組織に適用される法律または規制は、次の うちどれですか? A. 知的所有権 B. ISO/IEC 27001:2005 C. ISO/IEC 27002:2005 D. 個人情報(データ)保護関連法規 39/40 あなたはスピー配達会社という宅配会社のオーナです。雇用している数人の従業 員に、配送待ちの間にほかの仕事をさせています。しかし、従業員がこの時間を 使って、個人的な電子メールを送受信したり、インターネットを閲覧したりして いることに気付きました。 法的に、インターネットおよび電子メール機能の使用を規制する最適な方法は、 次のうちどれですか? A. 特定のウェブサイトへのアクセスを禁止し、電子メールの添付ファイルをフ ィルタリングするアプリケーションをインストールする B. インターネットと電子メールの使用に関する行動規範を策定し、雇用者とス タッフの双方の権利と義務を規定する C. プライバシに関する規制を導入する D. ウィルス対策ソフトをインストールする 40/40 職場でインターネットと電子メール・サービスが私的に使用されているかどうか をチェックすることを雇用主が認められるのは、次の状況のうちどれですか? A. チェック後にその都度、従業員が通知を受ける場合に、雇用主はチェックを 認められる B. 従業員がチェックされる可能性を認識していれば、雇用主はチェックを認め られる C. ファイアウォールも設置していれば、雇用主はチェックを認められる 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 14 解答と解説 1/40 データと情報はどのような関係にありますか? A. データは、体系化された情報である B. 情報は、一連のデータに意味と価値を割り当てたものである A. 不正解。情報は、体系化されたデータです。 B. 正解。情報はその受け手との何らかのつながりにおいて意味を持つデータで す。3 章を参照。 2/40 火災保険に加入するために、総務部は、管理しているデータの価値を決定しなけ ればなりません。 組織のデータの価値を決定する際に重要ではない要素は、次のうちどれですか? A. データの内容 B. データの紛失、不完全または不正確なデータを復旧させる時の困難さ C. ビジネス・プロセスにとってデータが不可欠であるかどうか D. データを活用するビジネス・プロセスの重要性 A. 正解。データの内容は、データの価値を左右するものではありません。4 章を 参照。 B. 不正解。欠落のあるデータ、不完全なデータ、または不正確なデータのうち、 容易に再現できるものは、再現が困難または不可能なデータより価値が低くなり ます。 C. 不正解。ビジネス・プロセスにとってデータが不可欠であるかどうかは、価値 の決定を左右します。 D. 不正解。重要なビジネス・プロセスに不可欠なデータには価値があります。 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 15 3/40 ハッカーがウェブサーバーにアクセスし、クレジットカード番号を含むサーバー 上のファイルを閲覧しています。 クレジットカードファイルの機密性(C)、完全性(I)、可用性(A)(CIA原則)のう ち、どれが侵害されましたか? A. 可用性 B. 機密性 C. 完全性 A. 不正解。ハッカーはファイルを消去したとか、許可されたエンティティからの アクセスを妨げたわけではありません。よって可用性は損なわれていません。 B. 正解。ハッカーはファイルを読むことができます(機密性)。3 章を参照。 C. 不正解。クレジットカードファイルの情報は変更されていません。よって、フ ァイルの完全性は侵されていません。 4/40 あなたが勤務している会社の廊下にネットワークプリンタがあります。多くの従 業員が出力した紙をすぐに取りに行かず、プリンタに残したままにしています。 このことにより、情報の信頼性にどのような結果が生じますか? A. 情報の完全性が保証されなくなる B. 情報の可用性が保証されなくなる C. 情報の機密性が保証されなくなる A. 不正解。印刷された情報の完全性は紙であるため、依然として保証されていま す。 B. 不正解。作成や印刷のために利用されたシステム内の情報は、利用可能なまま です。 C. 正解。情報は、その情報にアクセスするべきでない者に渡ってしまうか、ある いは、読まれてしまう可能性があります。3 章を参照。 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 16 5/40 リスク分析を適切に実施することで、多くの有用な情報を得ることができます。 リスク分析には 4 つの主な目的があります。 リスク分析の主な目的ではないものは、次のうちどれですか? A. 資産とその価値の識別 B. 対策の実施 C. インシデントに係るコストとセキュリティ対策のコストのバランスの確保 D. 関連するぜい弱性と脅威の特定 A. 不正解。これはリスク分析の主な目的の一つです。 B. 正解。これはリスク分析の目的ではありません。リスク分析においては、どの リスクがセキュリティ対策を必要とするかを決定した後に、対策が選択され、実 施されます。3 章を参照。 C. 不正解。これはリスク分析の主な目的の一つです。 D. 不正解。これはリスク分析の主な目的の一つです。 6/40 総務部で、自部門がさらされている危険を判断しようとしています。 情報の信頼性に悪影響を及ぼす可能性のある事象は、何と呼ばれていますか? A. 依存性 B. 脅威 C. ぜい弱性 D. リスク A. 不正解。依存性は事象ではありません。 B. 正解。脅威は、情報の信頼性に悪影響を及ぼす可能性のある事象です。3 章を 参照。 C. 不正解。ぜい弱性は、対象物が、脅威の影響をどの程度受けやすいかの度合い です。 D. 不正解。リスクとは、中断を引き起こす 1 つ以上の脅威の結果として、一定期 間に見込まれる損害の平均です。 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 17 7/40 リスクマネジメントの目的は、次のうちどれですか? A. あるリスクが発生する可能性を決定すること B. 起こりうるセキュリティインシデントによって生じる損害を判断すること C. IT リソース(資源)がさらされる脅威の概要をまとめること D. 受容可能なレベルまでリスクを軽減する対策を取ること A. 不正解。これはリスク分析の一部です。 B. 不正解。これはリスク分析の一部です。 C. 不正解。これはリスク分析の一部です。 D. 正解。リスクマネジメントの目的は、受容可能なレベルにリスクを軽減するこ とです。3 章を参照。 8/40 あなたが数年前に設立した会社は、従業員数が 1 人から今や 20 人にまで成長しま した。会社の情報はますます価値を増し、あなたがすべて自分で情報を把握して おける時代は過ぎました。 あなたは対策を取る必要性を認識していますが、どのような対策を取ればよいか わかりません。 あなたは、コンサルタントを雇いました。彼は、定性的リスク分析から始めるこ とをアドバイスしてくれました。定性的リスク分析とは、次のうちどれですか? A. この分析は、損害によって生じる正確な損失を計算するために、正確な統計 的確率計算に従う B. この分析は、シナリオと状況に基づいて、脅威の可能性について主観的見解 を作成する A. 不正解。定量的リスク分析では、様々なイベントが発生する確率とある特定の イベントが発生した場合に見込まれる損失の度合いを、数値的に決定する試みが なされます。 B. 正解。定性的リスク分析は、様々な脅威を定義し、ぜい弱性の度合いを決定 し、攻撃された場合の対策を考案することです。3 章を参照。 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 18 9/40 ミッドウエスト保険会社という企業の支社で火事が発生しました。すぐに消防隊 が現場に到着して消火したので、建物が全焼することはありませんでしたが、サ ーバが火事で破損しました。別の部屋に保管されていたバックアップテープは溶 け、その他多くの文書も永久に失われました。 この火事による間接的ダメージの例として適切なものは、次のうちどれですか? A. バックアップテープの溶解 B. コンピュータシステムの焼損 C. 文書の消失 D. 消火器からの消火剤による水濡れなどの損害 A. 不正解。 バックアップテープの溶解は火事による直接的ダメージです。 B. 不正解。コンピュータシステムの焼損は火事による直接的ダメージです。 C. 不正解。文書の消失は火事による直接的ダメージです。 D. 正解。消火器からの消化剤による水漏れなどの損害は、火事による間接的ダメージ です。火事によるダメージを最小限にしようとの意図で、消火をおこなう際に起こる 副次的影響です。3 章を参照。 10/40 あなたは SpeeDelivery という宅配会社のオーナです。リスク分析を終えたところ で、リスク戦略を決定したいと考えています。大きなリスクについては対策を取 り、小さなリスクについては対策を取らないことにしました。 このリスク戦略は何と呼ばれていますか? A. リスク負担 (保有) B. リスク回避 C. リスク中立 A. 正解。これはある一定のリスクを受け入れることを意味しています。3 章を参 照。 B. 不正解。これは対策が講じられ、その結果、インシデントに至らない程度まで 脅威が緩和されたことを意味します。 C. 不正解。これはセキュリティ対策が講じられ、脅威がもはや出現しないか、存 在しても結果としてのダメージが最小化されていることを意味します。 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 19 11/40 人的脅威の例として適切なものは、次のうちどれですか? A. USB スティックからネットワークがウィルスに感染する B. サーバルームにほこりがたまりすぎている C. 漏電によって電力供給できなくなる A. 正解。USB スティックは必ず人によって挿入されます。そのため、USB スティ ックの挿入によってネットワークにウィルスが侵入した場合、それは人的脅威で す。3 章を参照。 B. 不正解。ほこりは人的脅威ではありません。 C. 不正解。漏電は人的脅威ではありません。 12/40 人的脅威の例として適切なものは、次のうちどれですか? A. 落雷 B. 火災 C. フィッシング A. 不正解。落雷は非人的脅威の例です。 B. 不正解。火災は非人的脅威の例です。 C. 正解。フィッシング(ユーザを虚偽のウェブサイトに誘導すること)は人的脅 威の 1 つの形態です。3 章を参照。 13/40 あなたは大企業のオフィスで勤務しています。あなたは、ヘルプデスクからだと 称する人から電話を受けました。彼はあなたのパスワードを尋ねています。 この脅威は、次のうちどの種類の脅威ですか? A. 自然の脅威 B. 組織的脅威 C. ソーシャルエンジニアリング A. 不正解。電話は人的行為であり自然の脅威ではありません。 B. 不正解。「組織的脅威」という用語は、脅威に関して一般的に用いられませ ん。 C. 正解。適宜な表現、あるいは、既知の人の名や部署名を用いて同僚であるとの 印象を与え、企業や取引の機密を得ようとすることです。本当にヘルプデスクと 話しているのかチェックしなければなりません。ヘルプデスクの従業員は決して あなたのパスワードを尋ねることはありません。3 章を参照。 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 20 14/40 健康保険会社の支店で火災が発生しました。従業員は業務を継続するために近隣 の支店に移りました。 このようなスタンバイは、インシデントサイクルのどこに入りますか? A. 脅威とインシデントの間 B. 復旧と脅威の間 C. 損害と復旧の間 D. インシデントと損害の間 A. 不正解。最初にインシデントがないのにスタンバイを実施すると、非常に費用 がかかります。 B. 不正解。復旧はスタンバイを実施した後に行います。 C. 不正解。損害と復旧は、実際にはスタンバイによって限定されます。 D. 正解。スタンバイは、損害を限定するために取られる制止的対策です。3 章を 参照。 15/40 情報には信頼性の側面がいくつかあります。 信頼性は絶えず脅かされています。脅威の例として、ケーブルが外れる、誰かが 誤って情報を変更する、データが私的に使用されたり改ざんされたりする、など が挙げられます。 次の例のうち機密性に対する脅威はどれですか? A. 外れたケーブル B. データの誤った削除 C. データの私的利用 A. 不正解。ゆるんだケーブルは情報の可用性に対する脅威です。 B. 正解。偶発的なデータの変更はデータの完全性に対する脅威です。 C. 不正解。私的目的でのデータの使用は、不正利用の 1 つの形態であり、機密性 に対する脅威です。3 章を参照。 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 21 16/40 スタッフの 1 人が特定のメッセージを送信したことを否定しています。 ここで危険にさらされている情報の信頼性の側面は、次のうちどれですか? A. 可用性 B. 正確性 C. 完全性 D. 機密性 A. 不正解。可用性に対する脅威の例には、インフラの過負荷があります。 B. 不正解。正確性は信頼性の側面ではありません。これは完全性の特性です。 C. 正解。メッセージ送信の否定は否認防止に関係し、完全性に対する脅威です。 3 章を参照。 D. 不正解。機密性に対する脅威には、データの不正利用や漏えいがあります。 17/40 情報セキュリティ基本方針の目的を最も適切に説明しているものは、次のうちど れですか? A. 方針では、リスクの分析および対応策の模索について文書化する B. 方針は、情報セキュリティに関する管理の方向性と支援を規定する C. 方針は、セキュリティ計画に必要な詳細を規定することによって、セキュリ ティ計画を具体化する D. 方針は、脅威に対する洞察と起こりうる結果を提供する A. 不正解。リスクの分析および対応策の模索、リスク分析とリスクマネジメント の目的です。 B. 正解。セキュリティ基本方針は、情報セキュリティに関する管理の方向性と支 援を規定します。5 章を参照。 C. 不正解。セキュリティ計画によって情報セキュリティ基本方針が具体化されま す。計画には、どの対策が選択されたか、誰が何に責任を負うか、対策の導入に 対するガイドラインなどが含まれます。 D. 不正解。これは脅威分析の目的です。 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 22 18/40 ウェブサーバーに関するセキュリティインシデントが、ヘルプデスク従業員に報 告されました。彼の同僚はウェブサーバーについてより多くの経験を持っていま す。そのため、彼はその同僚にこのケースを委ねました。 この委ねる行為を示す用語は、次のどれですか? A. 機能的エスカレーション B. 階層的エスカレーション A. 正解。ヘルプデスク従業員がインシデントを自力で処理できない場合、そのイ ンシデントはさらに専門知識を有し問題を解決する可能性のある人物に報告する ことができます。これは機能的(水平的)エスカレーションと呼ばれます。16 章 を参照。 B. 不正解。この行為(同僚に委ねる)は機能的(水平的)エスカレーションと呼 ばれます。階層的エスカレーションはタスクがさらに上位の権限を持った人物に 委ねられた場合です。 19/40 保険会社 Euregio のある従業員が、知らない間に保険証券の有効期限が変更され ていることに気付きました。この変更の権限を持っているのは彼女だけです。彼 女は、このセキュリティインシデントをヘルプデスクに報告しました。ヘルプデ スクの従業員は、このインシデントに関する以下の情報を記録します。 • 日時 • インシデントの概要 • インシデントの起こりうる結果 インシデントに関する重要な情報でここに挙げられていないものは、次のうちど れですか? A. インシデントの報告者の名前 B. ソフトウェアパッケージの名前 C. PC 番号 D. インシデントについて通知される人のリスト A. 正解。インシデントを報告する際、最小限、報告者の名前を記録する必要があ ります。16 章を参照。 B. 不正解。これは後から追加可能な情報です。 C. 不正解。これは後から追加可能な情報です。 D. 不正解。これは後から追加可能な情報です。 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 23 20/40 インシデントサイクルには4つの連続したステップがあります。 どのステップがインシデントの後に続きますか? A. 脅威 B. 損害 C. 復旧 A. 不正解。インシデントの後に続くのは損害です。正しいステップの順番は、脅 威、インシデント、損害、復旧です。 B. 正解。インシデントサイクルのステップの順番は、脅威、インシデント、損 害、復旧です。16 章を参照。 C. 不正解。インシデントに続くのは損害です。正しいステップの順番は、脅威、 インシデント、損害、復旧です。 21/40 予防的対策は、次のうちどれですか? A. システムにおける変更を認識できるようにするログ記録システムを導入する こと B. ハッカーが社内システムにアクセスした場合、すべてのインターネットトラ フィックをシャットダウンすること C. 機密情報を金庫に保管すること A. 不正解。インシデント発生後にログ記録システムを通してリサーチできること は、何が起きたかということだけです。これはインシデントを検知するための検 知的対策です。 B. 不正解。すべてのインターネットトラフィックをシャットダウンすることは、 インシデントを制限するための制止的対策です。 C. 正解。金庫は予防的対策で、金庫に納められた機密情報に起こりうる損害を防 ぎます。3 章を参照。 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 24 22/40 火災の場合における制止的対策は、次のうちどれですか? A. 火災保険に加入すること B. 火災感知器により火災を検知して消火すること C. 火災で生じた損害を修復すること A. 不正解。保険に加入することは、火事の結果もたらされる経済的窮状からの保 護を意味します。 B. 正解。制止的対策は火事による損害を最小化します。3 章を参照。 C. 不正解。これは制止的対策ではありません。火事による損害を最小化するもの ではありません。 23/40 情報分類の目的は、次のうちどれですか? A. モバイル機器の取り扱い方法についてマニュアルを作成すること B. 情報を認識しやすくする分類ラベルを付けること C. 情報をその機密度に応じて体系化すること A. 不正解。マニュアルの作成はユーザーガイドラインに関するもので、情報の分 類ではありません。 B. 不正解。情報に分類ラベルを付けることは分類の後に続く作業で、情報をカテ ゴライズする特定のフォームで表示化することです。 C. 正解。情報の分類は異なる機密度のレベルを定義することに用いられ、よって 情報が体系化できるようになります。3 章および 8 章を参照。 24/40 文書の分類の変更が許可されているのは、次のうち誰ですか? A. 文書の作成者 B. 文書の管理責任者(administrator アドミニストレータ) C. 文書のオーナ(Owner 所有者) D. 文書のオーナ(Owner)の管理者(Manager マネージャ) A. 不正解。作成者は文書の内容を変更できるかもしれませんが、文書の分類を変 更することはできません。 B. 不正解。アドミニストレータは文書の分類を変更することはできません。 C. 正解。オーナは資産が分類、必要なら再分類されていることを確かめなければ なりません。よって文書の分類を変更することが許可されています。3 章および 8 章を参照。 D. 不正解。オーナのマネージャはこれに関する権限を持ちません。 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 25 25/40 コンピュータルームへのアクセスは、許可証(入退出許可カード)読取機を使用 して遮断されています。許可証を持っているのはシステム管理部だけです。 この対策は、次のうちどの種類のセキュリティ対策ですか? A. 是正的セキュリティ対策 B. 物理的セキュリティ対策 C. 論理的セキュリティ対策 D. 制止的セキュリティ対策 A. 不正解。是正的セキュリティ対策は復旧対策です。 B. 正解。これは物理的セキュリティ対策です。3 章および 11 章を参照。 C. 不正解。論理的セキュリティ対策は、ソフトウェアおよび情報へのアクセスを 制御するものであり、室内への物理的アクセスを制御するものではありません。 D. 不正解。制止的セキュリティ対策は中断の影響を最小限に抑えることを意図し たものです。 26/40 高度に保護された領域にアクセスするには強力な認証が必要です。強力な認証の 場合、個人のアイデンティティは 3 つの要素を使用して検証されます。 個人識別番号(PIN)を入力する必要がある場合、次のどの要素が検証されます か? A. あなたが何者であるか B. あなたが知っていること C. あなたが持っているもの A. 不正解。PIN コードはあなたが何者であるかの例ではありません。 B. 正解。PIN コードはあなたが知っていることです。 C. 不正解。PIN コードはあなたが持っているものではありません。11 章を参照。 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 26 27/40 物理的にセキュリティを複層的に拡大していくゾーン(プロテクションリング) が適用されると、異なる対策をとることができます。 プロテクションリングではないものはどれでしょうか。 A. 建物 B. ミドルリング C. オブジェクト D. アウターリング A. 不正解。建物は該当するゾーンの一つで、施設内へのアクセスを扱います。 B. 正解。プロテクションリングは以下の通りです。アウターリング(建物敷地周 囲のエリア)、建物(施設内へのアクセス)、ワーキングスペース(施設内の部 屋、一般に「インナーリング」と呼ばれる)、オブジェクト(保護されるべき資 産)。ミドルリングというものはありません。11 章を参照。 C. 不正解。オブジェクトは該当するゾーンの一つで、保護すべき資産を扱いま す。 D. 不正解。アウターリングは該当するゾーンの一つで、建物敷地周囲のエリアを 扱います。 28/40 次の脅威のうち、物理的対策を行わない結果として発生する可能性があるものは どれですか? A. ユーザが他のユーザに属するファイルを閲覧することができる B. サーバが過熱により停止する C. 機密文書がプリンタに放置される D. ハッカーがコンピュータ・ネットワークに自由に侵入できる A. 不正解。他のユーザーの文書に許可なくアクセスすることを妨くための論理ア クセス制御は、技術的対策です。 B. 正解。物理的セキュリティは、環境管理(空調、湿度)を通し設備機器を保護 することを含みます。11 章を参照。 C. 不正解。機密文書をどのように取り扱うかといったルールは、セキュリティ方 針等がカバーするものです。全従業員はこの方針を認知し、そのルールを実行し なければなりません。セキュリティ方針等の策定は、組織的対策です。 D. 不正解。コンピュータ、あるいはネットワークへのハッカーの侵入を妨げるこ とは技術的対策です。 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 27 29/40 次のセキュリティ対策のうち技術的対策はどれですか? A. 情報には、管理責任者を特定すること B. ファイルを暗号化すること C. 電子メールで許可されることと許可されないことを定める方針を策定するこ と D. システム管理パスワードを金庫に保管すること A. 不正解。管理責任者への情報の割り当ては分類であり、組織的対策です。 B. 正解。これは無許可者が情報を読み取ることを防止する技術的対策です。6 章 を参照。 C. 不正解。これは雇用契約等に記載される行動規範であり、組織的対策です。 D. 不正解。これは物理的対策です。 30/40 中央サーバのバックアップが、サーバと同じ閉鎖された(仕切られた)室内で施 錠保管されています。 組織が直面するリスクは、次のうちどれですか? A. サーバがダウンした場合、サーバが再び運用可能になるまでに長時間を要す る B. 火災が発生した場合、システムを以前の状態に戻すことができない C. 誰もバックアップの責任を負っていない D. 無許可者が容易にバックアップにアクセスできる A. 不正解。反対に、これはシステムをより迅速に運用可能な状態にするのに役立 ちます。 B. 正解。火災でバックアップも破損する可能性が非常に高くなります。11 章を 参照。 C. 不正解。責任は保管場所とは関係がありません。 D. 不正解。コンピュータルームは施錠されています。 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 28 31/40 ウィルス感染したコンピュータのネットワークを構築するのは、次のうちどの種 類のマルウェアですか? A. ロジック(論理)爆弾 B. Storm Worm またはボットネット C. トロイの木馬 D. スパイウェア A. 不正解。ロジック爆弾は常にマルウェアとは限りません。ソフトウェアシステ ムの中に組み込まれたコードの一部です。 B. 正解。ワームは故意に自らを複製する小さなコンピュータプログラムで、オリ ジナルのコピーが自らをホストとするネットワークを介して拡散されます。12 章 を参照。 C. 不正解。トロイの木馬はプログラムの一つで、実行を伴うある機能に追加さ れ、ユーザーに気付かれることなく第二のアクション(例えば、バックドアが作 成される)を故意に実行するものです。 D. 不正解。スパイウェアはコンピュータプログラムで、コンピュータユーザーの 情報を収集し、その情報を第三者に送ります。 32/40 組織内で、セキュリティオフィサーが従業員のワークステーションが悪意のある ソフトウェアに感染していることを検知しました。フィッシング攻撃の標的とさ れたため、この悪意のあるソフトウェアがインストールされてしまいました。 将来このようなインシデントを防ぐために、どのアクションが最も有効ですか? A. MAC 技術の導入 B. セキュリティ認識プログラムの開始 C. ファイアウォール規則の更新 D. スパムフィルターのシグネチャーの更新 A. 不正解。MAC はアクセス制御に関するものです。これは、標的とされた攻撃の 結果としてユーザーが何らかのアクションを実行させられてしまうという事態を 防ぐものではありません。 B. 正解。この脅威の基になるぜい弱性はユーザーの認識不足です。これらの攻撃 ではユーザーはポリシーに違反する(例えば不審なソフトウェアをインストー ル)といったコードを実行させられます。セキュリティ認識プログラムでこれら の攻撃を扱うことは将来の再発の可能性を減じるでしょう。12 章を参照。 C. 不正解。ファイアウォールがあっても、悪意のあるソフトウェアのインストー ルの結果としてトラフィックが妨害されているなどの可能性があります。ファイ アウォールは再発の脅威を妨げるためには役に立ちません。 D. 不正解。標的とされた攻撃は必ずしも電子メールを使うわけではありません。 攻撃者は犠牲者とコンタクトするために、例えばソーシャルメディアを、あるい は電話すら使います。 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 29 33/40 あなたは中堅企業の IT 部門に勤務しています。機密情報が漏洩したことが数回あ り、それによって企業のイメージが損なわれました。あなたは企業のノートブッ ク PC について、組織的なセキュリティ対策を提案するように求められました。 あなたが取る必要がある最初のステップは何ですか? A. モバイルメディア(PDA、ノートブック PC、スマートフォン、USB スティッ ク)に関する方針を策定する B. セキュリティ要員を任命する C. ノートブック PC のハードディスクドライブおよび USB スティックを暗号化す る D. アクセス制御方針を策定する A. 正解。モバイルメディアをどのように使うかといった方針は組織的対策で、ノ ートブック PC に対するセキュリティ対策が必須となります。6 章を参照。 B. 不正解。セキュリティ要員の任命は組織的対策です。誰かがノートブック PC を事務所の外に持ち出せば、情報漏洩のリスクは依然として存在します。 C. 不正解。ノートブック PC のハードディスクドライブおよび USB スティックを 暗号化することは、技術的対策です。これは組織的対策に基づき実行されるもの です。 D. 不正解。アクセス制御方針の策定は組織的対策ですが、建物あるいは IT シス テムへのアクセスのみをカバーしています。 34/40 組織内で情報セキュリティの一貫性を保証するシステムは何と呼ばれています か? A. 情報セキュリティマネジメントシステム(ISMS) B. ルートキット C. 政府(行政)機関向け特別情報関連セキュリティ法規 A. 正解。ISMS は ISO/IEC 27001 に記載されています。3 章を参照。 B. 不正解。ルートキットは、しばしば第三者(通常ハッカー)に用いられる悪意 のあるソフトウェアツールのセットです。 C. 不正解。これは、政府が特別情報をどのように扱うかを定めた一連の法規で す。 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 30 35/40 「ある人物のアイデンティティを確認する」ことを何といいますか? A. 認証 B. 認可 C. 識別 A. 正解。ある人物のアイデンティティを確認する行為は認証と呼ばれます。9 章 を参照。 B. 不正解。エンティティがコンピュータあるいはネットワークにアクセスする権 利を与えられた時、認可と呼ばれます。 C. 不正解。識別はアイデンティティを知らしめるプロセスです。 36/40 災害復旧計画を最新の状態に保ち、定期的にテストする必要があるのはなぜです か? A. 事務所外にある最近取得したバックアップに常にアクセスできるようにする ため B. 日常的に発生する障害に対処できるようにするため C. テストを行わなければ、影響が広範囲に及ぶ中断の場合に、行う対策および 計画したインシデント手順が不適切であったり、現状に即していない可能性 があるため D. 個人情報保護法によって要求されているため A. 不正解。これはシステムを復旧するために行う技術的対策の 1 つです。 B. 不正解。通常の中断においては、通常行う対策およびインシデント手順で十分 です。 C. 正解。影響が広範囲に及ぶ中断の場合の場合、最新のテスト済みの計画が必要 です。17 章を参照。 D. 不正解。個人情報保護法は個人データのプライバシに関するものです。 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 31 37/40 自分について登録されているデータの閲覧の要求は、次のどの法律に基づいて行 うことができますか? A. 公的記録法 B. 個人情報保護法 C. コンピュータ犯罪法 D. 情報公開法 A. 不正解。公的記録法は、公文書の保管および破棄を規制します。 B. 正解。閲覧の権利は、個人情報保護法で規制されます。18 章を参照。 C. 不正解。コンピュータ犯罪法は、先進情報技術による犯罪への対処を容易にす るための、刑法および刑事訴訟法の改正です。新しい犯罪の例にはコンピュー タ・ハッキングがあります。 D. 不正解。情報公開法は、政府文書の閲覧を規制します。個人データは政府文書 ではありません。 38/40 情報セキュリティに関して、すべての組織に適用される法律または規制は、次の うちどれですか? A. 知的所有権 B. ISO/IEC 27001:2013 C. ISO/IEC 27002:2013 D. 個人情報(データ)保護関連法規 A. 不正解。この法規は、組織に向けた情報セキュリティに関するものではありま せん。 B. 不正解。これは、組織が情報セキュリティプロセスの仕組みを、どう構築する かといったガイドラインを伴った規範の一つです。 C. 不正解。この規範は「情報セキュリティマネジメントの実践のための規範」と して知られ、情報セキュリティ方針や対策に向けたガイドラインを含みます。 D. 正解。全ての組織は、個人情報(データ)保護に向けた方針と手続きを持たな ければなりません。それらは個人情報(データ)を扱うすべての人に周知される べきものです。18 章を参照。 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 32 39/40 あなたはスピー配達会社という宅配会社のオーナです。雇用している数人の従業 員に、配送待ちの間にほかの仕事をさせています。しかし、従業員がこの時間を 使って、個人的な電子メールを送受信したり、インターネットを閲覧したりして いることに気付きました。 法的に、インターネットおよび電子メール機能の使用を規制する最適な方法は、 次のうちどれですか? A. 特定のウェブサイトへのアクセスを禁止し、電子メールの添付ファイルをフ ィルタリングするアプリケーションをインストールする B. インターネットと電子メールの使用に関する行動規範を策定し、雇用者とス タッフの双方の権利と義務を規定する C. プライバシに関する規制を導入する D. ウィルス対策ソフトをインストールする A. 不正解。この種のソフトウェアをインストールすることはインターネットと電 子メール使用を部分的に規制しますが、私的使用に時間を費やすことを規制でき るわけではありません。これは技術的対策です。 B. 正解。行動規範の中で、どのウェブサイトを閲覧して良いか良くないか、ま た、どの程度私的使用が許されるかといったインターネットと電子メール使用に つき明文化することができます。18 章を参照。 C. 不正解。プライバシに関する規制は人事関連と顧客の個人情報(データ)の使 用のみを規制するものです。インターネットと電子メールの使用は対象ではあり ません。 D. 不正解。ウィルス対策ソフトは受信電子メールと悪意のあるソフトウェアへの インターネットアクセスのみをチェックします。インターネットと電子メール使 用を規制するものではありません。また、これは、技術的対策です。 40/40 職場でインターネットと電子メール・サービスが私的に使用されているかどうか をチェックすることを雇用主が認められるのは、次の状況のうちどれですか? A. チェック後にその都度、従業員が通知を受ける場合に、雇用主はチェックを 認められる B. 従業員がチェックされる可能性を認識していれば、雇用主はチェックを認め られる C. ファイアウォールも設置していれば、雇用主はチェックを認められる A. 不正解。チェックの後で、従業員にチェックしたことを知らせる必要はありま せん。 B. 正解。従業員は、雇用主が IT サービスの使用をモニターする権利があること を知っていなければなりません。3 章および 18 章を参照。 C. 不正解。ファイアウォールは外部からの侵入を防ぐものです。これは雇用主が IT サービスの使用をモニターする権利に何ら影響を及ぼすものではありません。 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 33 評価 以下の表に、本サンプル試験問題の正解を示します。 番号 1 正解 B 得点 1 21 番号 C 正解 1 2 A 1 22 B 1 3 B 1 23 C 1 4 C 1 24 C 1 5 B 1 25 B 1 6 B 1 26 B 1 7 D 1 27 B 1 8 B 1 28 B 1 9 D 1 29 B 1 10 A 1 30 B 1 11 A 1 31 B 1 12 C 1 32 B 1 13 C 1 33 A 1 14 D 1 34 A 1 15 B 1 35 A 1 16 C 1 36 C 1 17 B 1 37 B 1 18 A 1 38 D 1 19 A 1 39 B 1 20 B 1 40 B 1 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 34 模擬試験 EXIN ISO/IEC 27002 準拠情報セキュリティファンデーション (ISFS.JP) 35 EXIN の連絡先 www.exin.com
© Copyright 2024 ExpyDoc