にしのクエスト2

情報処理技術者試験と資格学校講師の日常

20221224103753

まいにちセキュマネ 令和元年秋午前1問題解説 問4 問5 問6

ニーズがあるのかないのか!

#KEEP LEARNING   #STAY HOME

f:id:koharuwest:20200419101216p:plain


情報処理技術者試験 セキュリティマネジメント令和
元年秋午前
問題(全50問)を解いていきます。

※レベルとしては応用情報のセキュリティくらいはあると
思います。結構難しいですよ。

問題の解き
方や考え方をわかりやすく、解説してみる
連載です。

※問題の引用についてはIPAのルールを遵守しています。

 

問4
退職する従業員による不正を防ぐための対策のうち、
IPA”組織における内部不正防止ガイドライン(第4
版)”に照らして、適切なものはどれか。

ア 在職中に知り得た重要情報を退職後に公開しない
  ように、退職予定者に提出させる秘密保持誓約書
  には、秘密保持の対象を明示せず、重要情報を客
  観的に特定できないようにしておく。
イ 退職後、同業他社に転職して重要情報を漏らすと
  いうことがないように、職業選択の自由を行使し
  ないことを明記した上で、具体的な範囲を設定し
  ない包括的な競業避止義務契約を入社時に締結す
  る。
ウ 退職者による重要情報の持出しなどの不正行為を
  調査できるように、従業員に付与した利用者ID
  や権限は退職後も有効にしておく。
エ 退職間際に重要情報の不正な持出しが行われやす
  いので、退職予定者に対する重要情報へのアクセ
  スや媒体の持出しの監視を強化する。

問5
JIS Q 27000:2019(情報セキュリテ
ィマネジメントシステム−用語)において、不適合が
発生した場合にその原因を除去し、再発を防止するた
めのものとして定義されているものはどれか。

ア 継続的改善
イ 修正
ウ 是正処置
エ リスクアセスメント

問6
ネットワークカメラなどのIoT機器ではTCP23
番ポートへの攻撃が多い理由はどれか。

ア TCP23番ポートはIoT機器の操作用プロト
  コルで使用されており、そのプロトコルを用いる
  と、初期パスワードを使って不正ログインが容易
  に成功し、不正にIoT機器を操作できることが
  多いから
イ TCP23番ポートはIoT機器の操作用プロト
  コルで使用されており、そのプロトコルを用いる
  と、マルウェアを添付した電子メールをIoT機
  器に送信するという攻撃ができることが多いから
ウ TCP23番ポートはIoT機器へのメール送信
  用プロトコルで使用されており、そのプロトコル
  を用いると、初期パスワードを使って不正ログイ
  ンが容易に成功し、不正にIoT機器を操作でき
  ることが多いから
エ TCP23番ポートはIoT機器へのメール送信
  用プロトコルで使用されており、そのプロトコル
  を用いると、マルウェアを添付した電子メールを
  IoT機器に送信するという攻撃ができることが
  多いから

 

 
(解答と解説)

問4
ア 秘密保持の対象を明示せず、重要情報を客観的に
  特定できないようにしておく。
  仕事できないです。
イ 職業選択の自由を行使しないことを明記
  ヤバすぎです。
ウ 従業員に付与した利用者IDや権限は退職後も有
  効にしておく。
  削除が望ましいですう。
エ 退職間際に重要情報の不正な持出しが行われやす
  いので、退職予定者に対する重要情報へのアクセ
  スや媒体の持出しの監視を強化する。
  これが正解。

問5
不適合が発生した場合にその原因を除去し、再発を防
止するためのもの


ウ 是正処置

問6
TCP23番ポートはTELENETだからです。遠隔操
作のプロトコルなんですよね。

ア TCP23番ポートはIoT機器の操作用プロト
  コルで使用されており、そのプロトコルを用いる
  と、初期パスワードを使って不正ログインが容易
  に成功し、不正にIoT機器を操作できることが
  多いから