sg sg-past-exam
令和6年度 SG公式過去問
解き方
公式PDFを見ながら各問の選択肢を選び,「答えを見る」を押してください。正解・解説・判断ポイントを確認できます。 採点ボタンを押すと,回答済みの問題だけを集計します。
問題文と図表は,レイアウト崩れを避けるため公式PDFを参照する形にしています。解説は当サイト独自の学習用メモです。 IPAのPDFはブラウザ内での埋め込み表示が拒否される場合があるため,別タブで開いて参照してください。
公式PDF
問題冊子PDFを別タブで開き,このページに戻って回答を選んでください。
問1
リスクアセスメント▶ クリックして解説を読む(ここを開く)
正解:イ
解説
JIS Q 31000のリスクアセスメントは,リスク特定,リスク分析,リスク評価で構成されます。リスク対応やリスク受容は,アセスメント後の判断・処置に関わる要素です。
判断ポイント
リスクアセスメントは「特定・分析・評価」。
出典:令和6年度 情報セキュリティマネジメント試験 科目A・B 公開問題 問1
問2
情報のラベル付け▶ クリックして解説を読む(ここを開く)
正解:エ
解説
社外秘などの管理レベルを明示して周知するには,情報へのラベル付けが有効です。知らなかったという言い逃れを防ぎ,取扱基準と結び付けられます。
判断ポイント
情報の取扱いを徹底するには,分類とラベルで見える化する。
出典:令和6年度 情報セキュリティマネジメント試験 科目A・B 公開問題 問2
問3
マルウェア検出方法▶ クリックして解説を読む(ここを開く)
正解:エ
解説
ビヘイビア法は,プログラムを実行したときの振る舞いから不審な動作を検出します。パターンマッチングやチェックサムは,実行前の静的な検査でも使えます。
判断ポイント
振る舞いを見るのがビヘイビア法。
出典:令和6年度 情報セキュリティマネジメント試験 科目A・B 公開問題 問3
問4
サイバーキルチェーン▶ クリックして解説を読む(ここを開く)
正解:ウ
解説
サイバーキルチェーンは,攻撃者の行動を偵察から目的達成までの段階に分けて捉える考え方です。サプライチェーンリスクや中間者攻撃とは別です。
判断ポイント
攻撃の流れを段階で見るのがサイバーキルチェーン。
出典:令和6年度 情報セキュリティマネジメント試験 科目A・B 公開問題 問4
問5
リスクベース認証▶ クリックして解説を読む(ここを開く)
正解:イ
解説
リスクベース認証は,通常と異なるIPアドレスや端末など,リスクが高いと判断される場合に追加認証を求める仕組みです。
判断ポイント
いつもと違うアクセスなら追加確認する。
出典:令和6年度 情報セキュリティマネジメント試験 科目A・B 公開問題 問5
問6
TLSとサーバ証明書▶ クリックして解説を読む(ここを開く)
正解:ウ
解説
クライアントは認証局の公開鍵を使って,サーバ証明書が正当な認証局によって署名されたものかを検証します。通信データを認証局の公開鍵で暗号化するわけではありません。
判断ポイント
認証局の公開鍵は,サーバ証明書の検証に使う。
出典:令和6年度 情報セキュリティマネジメント試験 科目A・B 公開問題 問6
問7
個人情報保護法▶ クリックして解説を読む(ここを開く)
正解:ウ
解説
個人情報保護法の個人情報は,生存する個人に関する情報が対象です。企業の顧客情報や秘密のプライバシー情報だけに限定されません。
判断ポイント
個人情報は「生存する個人に関する情報」。
出典:令和6年度 情報セキュリティマネジメント試験 科目A・B 公開問題 問7
問8
内部統制の統制活動▶ クリックして解説を読む(ここを開く)
正解:ウ
解説
統制活動は,業務プロセスに組み込まれた承認,照合,検証などの具体的な手続です。リスク分析や内部監査は別の要素として扱われます。
判断ポイント
統制活動は,日々の業務に組み込まれた具体的なチェック。
出典:令和6年度 情報セキュリティマネジメント試験 科目A・B 公開問題 問8
問9
可用性とMTBF/MTTR▶ クリックして解説を読む(ここを開く)
正解:ウ
解説
可用性は `MTBF ÷ (MTBF + MTTR)` で考えます。MTBFを長くし,MTTRを変えなければ,故障しにくくなる分だけ可用性は向上します。
判断ポイント
可用性を上げるには,MTBFを伸ばすかMTTRを短くする。
出典:令和6年度 情報セキュリティマネジメント試験 科目A・B 公開問題 問9
問10
プロキシサーバ▶ クリックして解説を読む(ここを開く)
正解:エ
解説
社内からインターネットへのWebアクセスを中継し,キャッシュやフィルタリングにも使える仕組みはプロキシサーバです。
判断ポイント
Webアクセスの代理・中継・キャッシュはプロキシ。
出典:令和6年度 情報セキュリティマネジメント試験 科目A・B 公開問題 問10
問11
RPA導入▶ クリックして解説を読む(ここを開く)
正解:ア
解説
全社的にRPAを導入する場合は,対象業務の可視化と業務プロセスの見直しを行ってから導入するのが適切です。例外や変更が多い業務を優先すると運用が不安定になります。
判断ポイント
RPAは,定型的で見直された業務に適用する。
出典:令和6年度 情報セキュリティマネジメント試験 科目A・B 公開問題 問11
問12
特性要因図▶ クリックして解説を読む(ここを開く)
正解:ア
解説
特性要因図は,結果と原因の関係を魚の骨のように整理する図です。管理図,ヒストグラム,パレート図とは用途が異なります。
判断ポイント
原因と結果を魚の骨で整理するのが特性要因図。
出典:令和6年度 情報セキュリティマネジメント試験 科目A・B 公開問題 問12
問13
SaaSの認証強化▶ クリックして解説を読む(ここを開く)
正解:ア
解説
社外から利用できるようにするにはIPアドレス制限を無効にし,認証を強化するにはワンタイムパスワードを有効にするのが最も適切です。
判断ポイント
利用場所を広げる制限緩和と,認証強化をセットで考える。
出典:令和6年度 情報セキュリティマネジメント試験 科目A・B 公開問題 問13
問14
バックアップ媒体の冗長化▶ クリックして解説を読む(ここを開く)
正解:エ
解説
論理破損に備えるにはバックアップが必要で,テープの物理破損にも備えるには別媒体にも保存する対策が有効です。RAIDやレプリケーションだけでは論理破損の復旧に弱い場合があります。
判断ポイント
論理破損と媒体破損の両方に備えるには,復旧可能なバックアップを複数確保する。
出典:令和6年度 情報セキュリティマネジメント試験 科目A・B 公開問題 問14
問15
偽警告への対応▶ クリックして解説を読む(ここを開く)
正解:イ
解説
偽の警告画面では,表示された指示や電話番号に従わず,ブラウザを終了して組織の手順に沿って報告することが重要です。ツールのインストールや電話連絡は被害拡大につながります。
判断ポイント
偽警告は,画面の指示に従わず閉じて報告する。
出典:令和6年度 情報セキュリティマネジメント試験 科目A・B 公開問題 問15