経営情報システム ①応用編_情報セキュリティ21問〜25問

2026.06.17

問21:暗号化アルゴリズムやプロトコルの「危殆化(きたいか)」とその対応に関する記述として、最も適切なものはどれか。

  • A:危殆化とは、ハードディスクなどの物理的な記憶媒体が経年劣化により破損し、内部の暗号化データが読み出せなくなる物理的な障害のことである。
  • B:政府や国際機関(CRYPTRECなど)が推奨する「推奨暗号リスト」は、一度登録されれば、過去の互換性を維持するために100年間は内容が変更されないルールとなっている。
  • C:一度危殆化した暗号化アルゴリズム(例:暗号学的ハッシュ関数SHA-1や共通鍵暗号DESなど)であっても、パスワードの文字数を20文字以上に長くすれば、永久に安全に使用し続けることができる。
  • D:危殆化とは、コンピュータの計算能力の向上(量子コンピュータの実用化など)や新たな解読手法の発見により、従来は安全とされていた暗号アルゴリズムの安全性が低下し、容易に解読されるリスクが高まることを指す。
  • E:危殆化への対策としては、ハードウェアのCPUを最新のものに交換するだけで十分であり、システムが使用している暗号プロトコル(TLS 1.0からTLS 1.3へのバージョンアップなど)の変更は不要である。
【第21問:正解と解説】

正解:D
【解説】
・A:不適切:物理的なメディアの破損は「媒体の劣化・故障」であり、暗号の危殆化とは呼びません。
・B:不適切:CRYPTREC(電子政府推奨暗号リスト)などは、暗号技術の進展や危殆化の状況に合わせて定期的に評価・見直しが行われ、改定されています。
・C:不適切:アルゴリズムそのものの構造的欠陥や数学的弱点が発見されて危殆化した場合、鍵長やパスワードを長くしても根本的な安全性を確保することは困難であり、より安全な最新のアルゴリズム(SHA-256やAESなど)への移行が必要です。
・D:適切:危殆化(Cryptanalytic Compromise)の正確な定義です。技術進歩や解読ロジックの発見によって、暗号の理論的・実質的な安全性が失われることを意味します。
・E:不適切:アルゴリズムやプロトコル自体を最新のもの(TLS 1.2やTLS 1.3など)へ変更・マイグレーション(移行)するソフトウェア・設定面の対応が不可欠です。

問22:JIS Q 27001(ISMS:情報セキュリティマネジメントシステム)における「リスクアセスメント」のプロセスに関する記述として、最も適切なものはどれか。

  • A:リスクアセスメントとは、情報セキュリティインシデントが発生した「直後」に、被害総額を算定して損害保険会社へ保険金を請求するための事務手続きのことである。
  • B:リスクアセスメントは、ISMS認証を新規に取得する際に1度だけ実施すればよく、その後は組織の変更や新しいIT技術の導入があっても再実施する必要はない。
  • C:リスクアセスメントのプロセスにおいては、自社のすべての情報資産を一律の基準で評価しなければならず、経営状況や事業の特性に応じて評価基準をカスタマイズすることは規格上禁止されている。
  • D:リスク分析の結果、特定されたリスクについては、予算の有無に関わらず、すべてのリスクの発生確率を「ゼロ」にする(リスクの完全排除)までセキュリティ製品を導入しなければならない。
  • E:リスクアセスメントは、「リスク特定」「リスク分析」「リスク評価」の一連のプロセスから構成され、組織が保有する情報資産の脅威や脆弱性を洗い出し、機密性・完全性・可用性への影響度を評価して対策の優先順位を決める行為である。
【第22問:正解と解説】

正解:E
【解説】
・A:不適切:これはインシデントの事後処理や保険請求の手続きであり、リスクアセスメントではありません。リスクアセスメントは「予防的・計画的」に行うプロセスです。
・B:不適切:リスクアセスメントは、PDCAサイクルに基づいて定期的に、あるいは組織の重大な変更(新システムの導入、テレワークの開始など)があった際に、継続的かつ反復的に再実施する必要があります。
・C:不適切:組織の状況、ビジネスの目的、資産の重要度等に応じて、適切なリスク評価基準を独自に策定・決定することが求められます(一律である必要はありません)。
・D:不適切:リスクを完全にゼロにすることは不可能です。コスト対効果を考慮し、組織が許容できるレベル(リスク受容基準)までリスクを下げる、あるいは「リスク移転(保険など)」「リスク回避(事業の中止)」などを選択します。
・E:適切:JIS Q 27001 / ISO 27001におけるリスクアセスメントの定義およびプロセスの正確な説明です。

問23:情報セキュリティ対策における「多層防御(Defense in Depth)」の考え方に合致する記述として、最も適切なものはどれか。

  • A:ネットワークの境界(インターネットとの接続点)に、同一のメーカーが製造した全く同じ型番のファイアウォールを2台直列に並べて設置すること。
  • B:「境界防御(WAFやファイアウォール)」「エンドポイント対策(EDRやアンチウイルス)」「組織・人的対策(セキュリティ教育や監査)」「データ保護(暗号化やバックアップ)」のように、異なる性質の防御層を複数組み合わせることで、1つの防御層が突破されても次の層で被害を食い止める設計思想である。
  • C:社内のすべてのPCのログインパスワードの文字数を、毎年1文字ずつ増やしていくことで、認証の難易度を段階的(多層的)に高めていく運用手法である。
  • D:サーバー室の入り口に、ICカードキー、静脈認証、暗号番号、鍵による解錠、警備員の目視確認という、物理的な入室チェックを5段階連続で行い、ネットワーク上の対策を省略する手法である。
  • E:自社のセキュリティ運用を、5社の一流セキュリティベンダ(専門業者)に分割して並列に委託し、それぞれの業者に同じログを個別に監視させる体制のことである。
【第23問:正解と解説】

正解:B
【解説】
・A:不適切:全く同じ製品を並べるだけでは、その製品の脆弱性やバグが突かれた場合に両方とも同時に突破されてしまうため、多層防御(技術や性質の多様性)の本質に反します。
・B:適切:多層防御の正確な定義・設計思想です。攻撃のステップ(侵入、拡大、データ窃取など)ごとに異なる防御・検知手段を多層的に配置します。
・C:不適切:これは単なるパスワードポリシーの変更(強化)であり、多層防御の概念ではありません。
・D:不適切:物理セキュリティの強化にはなりますが、サイバー空間(ネットワークやアプリケーション層)からの攻撃に対する防御が抜け落ちているため、情報セキュリティ全体の多層防御としては不適切です。
・E:不適切:運用の複雑性とコストが爆発するだけであり、セキュリティ層(技術、物理、人、組織)の多層化とは異なります。

問24:不正アクセスを検知・防御するシステムである「IDS(侵入検知システム)」と「IPS(侵入防止システム)」の違いに関する記述として、最も適切なものはどれか。

  • A:IDSはネットワーク上のパケットを監視して不正侵入を検知し、管理者にアラート(警告)を通知する機能を持つが、通信を自律的に遮断する機能は持たない。一方、IPSは検知と同時に、その不正な通信をリアルタイムに遮断(防御)する機能を持つ。
  • B:IDSはWebアプリケーション層(L7)の攻撃(SQLインジェクションなど)のみを検知し、IPSはネットワーク層(L3)のIPアドレスのフィルタリングのみを行う。
  • C:IDSはソフトウェアとしてPC端末(エンドポイント)の内部にのみ導入される製品であり、IPSは専用のハードウェアとしてネットワークの境界にのみ設置される製品である。
  • D:IDSは未知のマルウェアを検知する「挙動(アノマリ)検知」しか行えず、IPSは既知の攻撃パターンを検知する「シグネチャ検知」しか行えない。
  • E:IDSを導入すれば通信の遅延(レイテンシ)が大幅に発生するが、IPSは通信経路に対してインライン(直列)で挿入されないため、通信遅延が全く発生しないという特徴がある。
【第24問:正解と解説】

正解:A
【解説】
・A:適切:IDS(Intrusion Detection System:検知)とIPS(Intrusion Prevention System:防止)の最も根本的な機能上の違いを正しく述べています。
・B:不適切:両者ともに主にネットワーク層からトランスポート層、アプリケーション層の一部(OSやミドルウェアの脆弱性攻撃など)をカバーしますが、Webアプリケーション専用のL7防御は主に「WAF」の役割です。
・C:不適切:IDS/IPSには、ネットワーク型(NIDS/NIPS)とホスト型(HIDS/HIPS)の両方が存在し、導入形態は限定されません。
・D:不適切:IDS、IPSのどちらの製品も、「シグネチャ型(誤検知が少ない)」と「アノマリ型(未知の攻撃を検知できる可能性がある)」の両方の検知ロジックを搭載しているものが一般的です。
・E:不適切:説明が逆です。通信を遮断する役割を持つIPSは通常、通信経路に直列(インライン)に設置されるため、パケットの検査によるわずかな遅延が発生します。IDSは通常、ミラーポートなどからパケットを複製して並列で検査するため、元の通信に遅延を与えません。

問25:無線LANのセキュリティ規格および暗号化プロトコルに関する記述として、最も適切なものはどれか。

  • A:WEP(Wired Equivalent Privacy)は、最新の非常に強固な暗号化アルゴリズム(AES)を採用しており、現在のオフィス環境における無線LANのデファクトスタンダード(標準規格)として推奨されている。
  • B:無線LANアクセスポイントの「SSIDステルス(SSIDの隠蔽)」機能を有効にすれば、専用のパケット解析ツールを使ってもSSIDを電波上から検知することは完全に不可能になるため、暗号化を省略しても安全である。
  • C:WPA3(Wi-Fi Protected Access 3)は、WPA2の脆弱性(KRACKsなど)への対策が施された最新の規格であり、辞書攻撃や総当たり攻撃に対する防御機能(SAE認証の導入)や、前方向秘匿性(Forward Secrecy)が強化されている。
  • D:「MACアドレスフィルタリング」を設定すれば、登録した端末以外の接続を完全に排除できるため、MACアドレスを偽装(スプーフィング)した第三者による不正接続の割り込みを100%防止できる。
  • E:WPA2-Enterprise(エンタープライズモード)は、個人の家庭用ルータ向けに設計された規格であり、すべての端末に同一の固定パスワード(事前共有鍵:PSK)を設定して運用する仕組みである。
【第25問:正解と解説】

正解:C
【解説】
・A:不適切:WEPは初期の無線LAN規格ですが、構造的な弱点があり、現在では数秒で解読可能なため「使用禁止」の危殆化した規格です。
・B:不適切:SSIDステルスは、ビーコン信号にSSIDを含めないようにするだけであり、端末が接続する際の通信パケット(プローブリクエスト等)をキャプチャすればSSIDは容易に判明します。セキュリティとしての効果は限定的であり、暗号化の省略は極めて危険です。
・C:適切:WPA3の特徴を正しく述べています。現在のWi-Fiセキュリティにおいて最も安全な規格です。
・D:不適切:MACアドレスは暗号化されずに電波上を流れているため、盗聴して自身のMACアドレスを書き換える「MACアドレスの偽装」が容易に行えます。そのため、100%防止する防壁にはなりません。
・E:不適切:説明が逆です。固定の共通パスワードを使うのは「WPA2-Personal(パーソナルモード)」です。Enterpriseモードは、RADIUSサーバーなどと連携し、ユーザー(端末)ごとに個別のID・パスワードやデジタル証明書を用いて個別に認証を行う、企業向けの強固な仕組みです。

コメント

タイトルとURLをコピーしました