にしのクエスト2

情報処理技術者試験と資格学校講師の日常

20240615101703

まいにちSC 令和元年秋午後2問題解説 問7 問8 問9

安全確保支援士はSCで表記しております。

f:id:koharuwest:20200126224911p:plain

情報処理安全確保支援士試験の令和元年秋午後2問題
を解いていきます。問題の解き方や考え方をなるべく
わかりやすく、解説してみる連載です。

※問題の引用についてはIPAのルールに則っております。

問7
JIS Q 27014:2015(情報セキュリティガバナンス)に
おける、情報セキュリティを統治するために経営陣が
実行するガバナンスプロセスのうちの「モニタ」はど
れか。


ア 情報セキュリティの目的及び戦略について、指
  示を与えるガバナンスプロセス
イ 戦略的目的の達成を評価することを可能にする
  ガバナンスプロセス
ウ 独立した立場からの客観的な監査、レビュー又
  は認証を委託するガバナンスプロセス
エ 利害関係者との間で、特定のニーズに沿って情
  報セキュリティに関する情報を交換するガバナ
  ンスプロセス


問8
総務省及び経済産業省が策定した"電子政府における
調達のために参照すべき暗号のリスト(CRYPTREC
暗号リスト)を構成する暗号リストの説明のうち、
適切なものはどれか。


ア 推奨候補暗号リストとは、CRYPTRECによって
  安全性及び実装性能が確認された暗号技術のう
  ち、市場における利用実績が十分であるか今後
  の普及が見込まれると判断され、当該技術の利
  用を推奨するもののリストである。
イ 推奨候補暗号リストとは、候補段階に格下げさ
  れ、互換性維持目的で利用する暗号技術のリス
  トである。
ウ 電子政府推奨暗号リストとは、CRYPTRECによ
  って安全性及び実装性能が確認された暗号技術
  のうち、市場における利用実績が十分であるか
  今後の普及が見込まれると判断され、当該技術
  の利用を推奨するもののリストである。
エ 電子政府推奨暗号リストとは、推奨段階に格下
  げされ、互換性維持目的で利用する暗号技術の
  リストである。

問9
基本評価基準、現状評価基準、環境評価基準の三つの
基準で情報システムの脆弱性の深刻度を評価するもの
はどれか。


ア  CVSS
イ  ISMS
ウ  PCI DSS
エ  PMS


 

 

 (解答と解説)

問7
経営陣が実行するガバナンスプロセスのうちの「モ
ニタ」は経営陣が目標達成を評価するプロセスです。


イ 戦略的目的の達成を評価することを可能にする
  ガバナンスプロセス

問8
推奨暗号リスト(普及はまだだが、利用を推奨)
候補暗号リスト(のちに推奨に入るかも)
運用監視暗号(型落ち・・・)


ウ 電子政府推奨暗号リストとは、CRYPTRECによ
  って安全性及び実装性能が確認された暗号技術
  のうち、市場における利用実績が十分であるか
  今後の普及が見込まれると判断され、当該技術
  の利用を推奨するもののリストである。

問9
ア  CVSS