安全確保支援士はSCで表記しております。
情報処理安全確保支援士試験の令和元年秋午後2問題
を解いていきます。問題の解き方や考え方をなるべく
わかりやすく、解説してみる連載です。
※問題の引用についてはIPAのルールに則っております。
問7
JIS Q 27014:2015(情報セキュリティガバナンス)に
おける、情報セキュリティを統治するために経営陣が
実行するガバナンスプロセスのうちの「モニタ」はど
れか。
ア 情報セキュリティの目的及び戦略について、指
示を与えるガバナンスプロセス
イ 戦略的目的の達成を評価することを可能にする
ガバナンスプロセス
ウ 独立した立場からの客観的な監査、レビュー又
は認証を委託するガバナンスプロセス
エ 利害関係者との間で、特定のニーズに沿って情
報セキュリティに関する情報を交換するガバナ
ンスプロセス
問8
総務省及び経済産業省が策定した"電子政府における
調達のために参照すべき暗号のリスト(CRYPTREC
暗号リスト)を構成する暗号リストの説明のうち、
適切なものはどれか。
ア 推奨候補暗号リストとは、CRYPTRECによって
安全性及び実装性能が確認された暗号技術のう
ち、市場における利用実績が十分であるか今後
の普及が見込まれると判断され、当該技術の利
用を推奨するもののリストである。
イ 推奨候補暗号リストとは、候補段階に格下げさ
れ、互換性維持目的で利用する暗号技術のリス
トである。
ウ 電子政府推奨暗号リストとは、CRYPTRECによ
って安全性及び実装性能が確認された暗号技術
のうち、市場における利用実績が十分であるか
今後の普及が見込まれると判断され、当該技術
の利用を推奨するもののリストである。
エ 電子政府推奨暗号リストとは、推奨段階に格下
げされ、互換性維持目的で利用する暗号技術の
リストである。
問9
基本評価基準、現状評価基準、環境評価基準の三つの
基準で情報システムの脆弱性の深刻度を評価するもの
はどれか。
ア CVSS
イ ISMS
ウ PCI DSS
エ PMS
(解答と解説)
問7
経営陣が実行するガバナンスプロセスのうちの「モ
ニタ」は経営陣が目標達成を評価するプロセスです。
イ 戦略的目的の達成を評価することを可能にする
ガバナンスプロセス
問8
推奨暗号リスト(普及はまだだが、利用を推奨)
候補暗号リスト(のちに推奨に入るかも)
運用監視暗号(型落ち・・・)
ウ 電子政府推奨暗号リストとは、CRYPTRECによ
って安全性及び実装性能が確認された暗号技術
のうち、市場における利用実績が十分であるか
今後の普及が見込まれると判断され、当該技術
の利用を推奨するもののリストである。
問9
ア CVSS