経営情報システム ①応用編_情報セキュリティ16問〜20問

2026.06.17

問16:マルウェアの分類のうち、「トロイの木馬(Trojan Horse)」の性質を説明したものとして、最も適切なものはどれか。

  • A:他の実在する正常なプログラム(ファイル)の一部を書き換えてそこに寄生し、そのプログラムが実行されることで自身を増殖させていくプログラム。
  • B:他のファイルに寄生することなく独立したプログラムとして存在し、ネットワークやUSBメモリなどを介して、自分自身の複製を他のPCへ自動的に感染・拡散させていくプログラム。
  • C:一見すると画像閲覧ソフトやゲームなど、ユーザーにとって有用で無害な通常のアプリケーションを装ってダウンロード・実行させ、その裏で密かに破壊活動や情報窃取を行うプログラム。
  • D:PCの起動時に最初に読み込まれるMBR(マスターブートレコード)と呼ばれる領域に感染し、OSが起動する前にシステム全体の制御を奪取するプログラム。
  • E:PCのキーボード入力をすべて記録し、特定のテキストファイルに保存して、攻撃者のサーバーへ定期的に自動送信することだけに特化したプログラム。
【第16問:正解と解説】

正解:C
【解説】
・A:不適切:これは狭義の「コンピュータウイルス(寄生型ウイルス)」の定義です。
・B:不適切:これは自立して自己増殖する「ワーム(Worm)」の定義です。
・C:適切:トロイの木馬の正確な定義です。ギリシャ神話の故事にちなみ、無害を装って内部に侵入する特徴を持ち、自己増殖(複製)機能を持たない点がウイルスやワームと異なります。
・D:不適切:これは「ブート型ウイルス」や「ルートキット(Rootkit)」の一種の説明です。
・E:不適切:これは「キーロガー(Keylogger)」と呼ばれるプログラム(スパイウェアの一種)の説明です。

問17:SSL/TLSによる暗号化通信(HTTPS)において提供されるセキュリティ機能に関する記述として、最も適切なものはどれか。

  • A:WebブラウザとWebサーバー間の通信を暗号化することにより、通信経路上のルータやWi-Fiの盗聴によるデータの漏洩を防止するが、通信データの改ざんを検知することはできない。
  • B:Webサーバー側に設置されたWAFと連携することにより、クライアントから送信された入力データに含まれるSQLインジェクションの攻撃コードを、SSL/TLS自体が自動的に解析・除去する。
  • C:SSL/TLSはアプリケーション層(L7)の中の特定のプロトコル(HTTP)専用に開発された技術であるため、電子メール(SMTP/IMAP)やファイル転送(FTP)の暗号化に流用することは原理的に不可能である。
  • D:認証局(CA)から発行されたサーバー証明書(デジタル証明書)を用いることで、アクセスしているWebサーバーが正当な組織によって運営されている本物であることを確認(なりすましを防止)できる。
  • E:通信の暗号化には「公開鍵暗号方式」のみが使用され、データの送信速度を維持するために「共通鍵暗号方式」は一切使用されない。
【第17問:正解と解説】

正解:D
【解説】
・A:不適切:SSL/TLSは通信の暗号化による「機密性」だけでなく、メッセージ認証コード(MAC)を用いてデータが途中で書き換えられていないかを検証する「完全性(改ざん検知)」も提供します。
・B:不適切:SSL/TLSはあくまで「通信の暗号化・カプセル化」を行う技術であり、データの中身(SQLの構文など)を解析して攻撃を除去する機能はありません(それはWAFの役割です)。
・C:不適切:SSL/TLSはトランスポート層の上位(セッション層近辺)で動作するため、HTTPだけでなく、SMTP(SMTPS)、IMAP(IMAPS)、FTP(FTPS)など、様々なアプリケーションプロトコルの下層に組み込んで暗号化を行えます。
・D:適切:SSL/TLSの重要な機能の1つです。サーバー証明書により、接続先サーバーの「真正性」を確認し、フィッシングサイトなどへのなりすましを防ぎます。
・E:不適切:SSL/TLSは「ハイブリッド暗号方式」を採用しています。鍵の交換には公開鍵暗号、実際のデータ通信の暗号化には高速な共通鍵暗号を使用します。

問18:企業における「BYOD(Bring Your Own Device:個人所有デバイスの業務利用)」を導入する際のセキュリティリスクとその管理手法に関する記述として、最も適切なものはどれか。

  • A:BYODを導入する場合、従業員が自宅のPCやスマートフォンをそのまま使用するため、端末管理(MDM)ツールによる遠隔制限やポリシーの強制設定を行うことは、法的に一切禁止されている。
  • B:BYODの最大のセキュリティリスクは、個人用アプリを介した業務データの漏洩や、紛失時の情報漏洩である。これに対抗するため、端末内に業務専用の隔離された暗号化領域(コンテナ)を作成して管理する手法(MAMなど)が有効である。
  • C:個人端末の通信経路はキャリア回線や自宅Wi-Fiとなるため、社内LAN(境界)を経由しないアクセスについては、VPN(Virtual Private Network)を導入してもセキュリティ上の効果は全く得られない。
  • D:BYOD端末がマルウェアに感染した場合であっても、個人所有の端末であるため、社内のネットワーク(Active Directory等)にその感染が拡大するリスクはない。
  • E:BYOD環境では、会社が端末代金を全額負担する必要がないため、企業のITセキュリティ予算を100%削減し、セキュリティ基本方針の適用対象からBYOD端末を除外することが推奨される。
【第18問:正解と解説】

正解:B
【解説】
・A:不適切:法的・就業規則上の合意(利用規約の整備等)があれば、業務データを保護するために個人端末に対してMDMツールを導入し、一定のセキュリティ制限を課すことは可能です。
・B:適切:BYODでは、私的な領域と業務的な領域を論理的に分離することが重要です。MAM(Mobile Application Management)などを用い、業務データが個人用アプリ(SNSやプライベートクラウド)にコピーされるのを防ぐ「コンテナ化」が有効な対策です。
・C:不適切:外部の通信経路から社内リソースにアクセスする際、VPN(またはゼロトラスト型のセキュアアクセス)を利用することで、通信の盗聴を防ぎ、安全な認証経路を確保できるため、極めて高い効果があります。
・D:不適切:BYOD端末が社内ネットワークやクラウド環境にログインした際、VPNなどを経由して社内サーバーや他の端末に感染が拡大(ラテラルムーブメント)するリスクが十分にあります。
・E:不適切:端末代金は削減できますが、管理コストやセキュリティリスクは増加するため、予算をゼロにすることはできません。また、BYOD端末こそセキュリティ基本方針やガイドラインで厳格に管理すべき対象です。

問19:「標的型攻撃(Targeted Attack)」の特徴とその防御対策に関する記述として、最も適切なものはどれか。

  • A:官公庁や特定の企業、およびそのサプライチェーン(取引先)などを明確な標的とし、業務連絡を装った極めて精巧な偽メール(ビジネスメール詐欺:BECや標的型攻撃メール)を送りつけて内部ネットワークへの侵入を試みる攻撃である。
  • B:不特定多数のインターネットユーザーに対して、無差別にウイルスメールを大量配信し、偶然感染したPCからネットバンキングのパスワードを盗み出す古典的な攻撃である。
  • C:標的型攻撃メールに添付されるファイルは、すべて拡張子が「.exe」の実行ファイル形式であるため、OSの設定で「拡張子を表示する」ようにしておけば、100%確実に検知・防御できる。
  • D:対策として、ネットワークの境界に設置するルータのパケットフィルタリングだけで完全に防ぐことができるため、PCごとのOSアップデートや従業員への訓練は不要である。
  • E:攻撃の第一段階として、必ず企業の基幹データベースサーバー(RDB)に対して直接Webブラウザから大量のリクエストを送りつけ、システムをクラッシュさせる手法が用いられる。
【第19問:正解と解説】

正解:A
【解説】
・A:適切:標的型攻撃の正確な定義です。ソーシャルエンジニアリングを組み合わせ、本物の業務メールと見分けがつかないような文面やファイル名が使われます。
・B:不適切:これは無差別型のマルウェア拡散やフィッシングの説明です。標的型攻撃は「特定の組織・個人」をピンポイントで狙います。
・C:不適切:添付ファイルは、PDF、Word(マクロ悪用)、Excel、あるいは二重拡張子やショートカットファイル(.lnk)、圧縮ファイル(.zip)など多岐にわたり、拡張子の表示だけでは防げません。
・D:不適切:メールによる侵入や人間の隙を突く攻撃であるため、ネットワーク境界のパケットフィルタリング(L3/L4)だけでは防げません。エンドポイント対策(EDR)や、不審なメールを開かないための「不審メール訓練」など、多層防御と人的対策が必要です。
・E:不適切:標的型攻撃の第一段階は、通常、一般従業員のPC(エンドポイント)をメール等でマルウェアに感染させて「足がかり(C2サーバーとの通信確立)」を作ることであり、いきなり基幹DBへ直接DoS攻撃を仕掛けるようなことは稀です。

問20:情報セキュリティにおける「ペネトレーションテスト(Penetration Test:侵入テスト)」に関する記述として、最も適切なものはどれか。

  • A:開発中のソースコードを自動解析ツールに投入し、セキュリティ上のバグ(バッファオーバーフローや未初期化変数など)を構文規則に基づいて静的に検出するテストである。
  • B:実際のサイバー攻撃者が用いる手法やツールを駆使して、対象のシステムやネットワークに実際に擬似侵入を試みることで、組織の防御態勢や検知能力、既知の脆弱性の悪用可能性を実証的に評価するテストである。
  • C:JIS Q 27001に基づき、社内の各部門がセキュリティ基本方針(セキュリティポリシー)を遵守しているかどうかを、社内の公認システム監査人がチェックシートを用いて確認する机上監査である。
  • D:Webアプリケーションの画面上のすべてのボタンや入力フォームをロボットツールでランダムにクリック・入力し、システムがフリーズ(ハングアップ)しないかを確認する負荷テストである。
  • E:PCのハードディスクの全セクターをセキュア消去(データ上書き)し、データ復旧ソフトを使っても過去の機密情報が絶対に復元できない状態になっているかを実証する廃棄前テストである。
【第20問:正解と解説】

正解:B
【解説】
・A:不適切:これは「静的コード解析(SAST)」またはコードレビューの説明です。
・B:適切:ペネトレーションテスト(侵入テスト)の正確な定義です。単に脆弱性を列挙する「脆弱性診断」とは異なり、「特定の標的(例:機密データの奪取)を達成できるか」をシナリオベースで実際に検証します。
・C:不適切:これは「情報セキュリティ監査」や「内部監査」の説明です。
・D:不適切:これは「モンキーテスト(ファジングの一種)」や「ストレス(負荷)テスト」に近い説明です。
・E:不適切:これは「データ消去確認(サニタイズ検証)」に関する説明です。

コメント

タイトルとURLをコピーしました