「情報セキュリティマネジメント試験」はIPAが新しくH28春から新設する、基本情報技術者試験などと並ぶ資格試験です。
ITパスポートの上位に位置付けられ、共通キャリア・スキルフレームワーク(CCSF)レベル2相当(基本情報と同じ難易度)とされています。
試験についての考察は別記事で行うとして、さしあたってIPAから公開されたサンプル問題の解説を載せます。
本試験では午前50問/午後3問の出題数ですが、サンプル問題は午前3問、午後1問のみ。
(サンプル作るの大変なのは理解しつつ、もうちょっと欲しいな・・・)
■情報セキュリティマネジメント試験 サンプル問題(午前試験)
問1 情報セキュリティにおいて、業務で利用しているシステムに影響を与える事象a~dのうち、脅威によって直接的に引き起こされたものだけを全て挙げたものはどれか。
a CD-ROMの劣化によって、保存しておいた顧客リストが利用できなくなる。
b 自然災害による停電や断水によって、システムが利用できなくなる。
c 定期的なメンテナンスによって、メンテナンス期間中はシステムが利用できなくなる。
d メールサーバーの設定ミスによって、メールサーバーと連携して動作する自動問合せ業務システムが利用できなくなる。
ア a, b イ a, b, d ウ b, c エ c, d
「脅威」とは情報システムやデータに損害を与えるリスク要因となるもの。
主に以下が存在。
・人為的脅威(意図的):攻撃(なりすましや改ざん、など) ※技術的脅威とも言われます
・人為的脅威(偶発的):操作ミスや故障など ※故障は人為的でない偶発かも
・環境的脅威:自然災害(地震や火事など)
a:偶発的脅威
b:環境的脅威
c:脅威ではない(必要な停止)
d:人為的脅威(偶発的)
問2 ディジタルフォレンジックスの活動に含まれるものはどれか。
ア インシデントの原因究明に必要となるデータの収集と保全
イ 自社システムを攻撃して不正侵入を試みるテストの実施
ウ 定期的なウイルスチェック
エ パスワード認証方式からバイオメトリクス認証方式への切替え
「ディジタルフォレンジックス」は「デジタル鑑識」とも呼ばれ、不正アクセス等が発生した際に原因や証拠を明らかにする電子記録を収集・解析する手段などの総称。
ア:ディジタルフォレンジックスの説明
イ:ペネトレーションテストの説明
ウ:該当する用語はない?
エ:該当する用語はない?
問3 電子的な文書ファイルの機密性を維持するために使用するセキュリティ対策技術として、適切なものはどれか。
ア アクセス制御 イ タイムスタンプ ウ ディジタル署名 エ ホットスタンバイ
「機密性」とは正しい(権限のある者)だけが情報にアクセスできる状態を指す
ア:「機密性」の対策。「アクセス制御」はアクセス(読み込みや書き込みなど)を人ごとに制御する仕組み。
イ:「否認防止」の対策。「タイムスタンプ」は電子データに日時情報を付与すること(改ざん等検知)。
ウ:「否認防止」/「真正性」の対策。「ディジタル署名」は鍵情報を用いて本人証明や改ざん検知を行う仕組み。
エ:「可用性」の対策。「ホットスタンバイ」は冗長構成の1つで、主系/従系において従系側がアプリ起動状態で待機する。
あとで午後の解説も作る予定です。