経営情報システム ①応用編_情報セキュリティ6問〜10問

2026.06.17

問6:EDR(Endpoint Detection and Response)に関する記述として、最も適切なものはどれか。

  • A:従来のアンチウイルスソフトと同様に、既知のマルウェアのシグネチャ(定義ファイル)とのパターンマッチングによって、感染を100%未然に防ぐことを主目的とした製品である。
  • B:ネットワークの境界に設置され、社内から外部へのWebアクセスを中継すると同時に、不適切なWebサイトへのアクセスをURLフィルタリングによって制限する装置である。
  • C:PCやサーバーなどの端末(エンドポイント)の挙動を常時監視・ログ記録し、マルウェア等による侵入や不審な挙動を検知した際に、迅速な調査、隔離、復旧などの事後対応を支援するシステムである。
  • D:従業員が個人所有するスマートフォンを業務利用(BYOD)する際に、端末内の業務データを一元管理し、紛失時に遠隔からデータを消去(リモートワイプ)する仕組みである。
  • E:電力供給が絶たれた場合でも、サーバーに対して一定時間クリーンな電力を供給し続け、安全にシャットダウンさせるための据え置き型バッテリー装置である。
【第6問:正解と解説】

正解:C
【解説】
・A:不適切:これは「EPP(Endpoint Protection Platform、従来のアンチウイルス等)」の説明です。EDRは「侵入されることを前提」とした事後対応に重きを置いています。
・B:不適切:これは「プロキシサーバー」や「セキュアWebゲートウェイ(SWG)」の説明です。
・C:適切:EDRはエンドポイントにおける不審な挙動を検知(Detection)し、ネットワーク隔離や原因調査などの迅速な応答(Response)を行うためのシステムです。
・D:不適切:これは「MDM(Mobile Device Management)」の説明です。
・E:不適切:これは「UPS(無停電電源装置)」の説明です。

問7:クラウドサービスにおける「責任分界点(Shared Responsibility Model)」に関する記述として、最も適切なものはどれか。

  • A:SaaS(Software as a Service)を利用する場合、基盤となるインフラやハードウェアのセキュリティはクラウド事業者が負うが、アプリケーションの脆弱性対策やパッチ適用はすべてユーザー企業が負う。
  • B:どの提供形態(IaaS、PaaS、SaaS)であっても、預けるデータの機密性を保持する法的な最終責任は、100%クラウド事業者に帰属するため、ユーザー側での対策は一切不要である。
  • C:PaaS(Platform as a Service)を利用する場合、データの暗号化やアクセス権の設定、アカウントの管理といったセキュリティ責任は、すべてクラウド事業者が負う。
  • D:IaaS(Infrastructure as a Service)を利用する場合、仮想サーバーのハードウェアやハイパーバイザ(仮想化層)のセキュリティはクラウド事業者が負うが、その上で稼働するOS、ミドルウェア、データの管理責任はユーザー企業が負う。
  • E:パブリッククラウドを利用する際、オンプレミス環境との間のVPN回線の暗号化設定やセキュリティ管理は、通信キャリアとクラウド事業者が連帯して責任を負うため、ユーザーは関与できない。
【第7問:正解と解説】

正解:D
【解説】
・A:不適切:SaaSでは、アプリケーションの脆弱性対策やパッチ適用も含めてクラウド事業者が責任を負います(ユーザーはデータやIDの管理などを担当)。
・B:不適切:データの管理・保護の最終責任や、適切なアクセス制御を行う責任は原則として常にユーザー(利用企業)にあります。
・C:不適切:PaaSにおいても、アカウント管理やデータのアクセス権設定、データの暗号化はユーザー企業の責任範囲です。
・D:適切:IaaSの責任分界点の典型例です。インフラより上のレイヤー(OS、ミドルウェア、アプリケーション、データ)はユーザーの責任範囲となります。
・E:不適切:オンプレミスとクラウドを繋ぐVPNの構成や設定、暗号化鍵の管理などは、原則としてユーザー企業が自身で設計・管理する責任があります。

問8:サイバー攻撃の手法の一つである「クロスサイトスクリプティング(XSS:Cross-Site Scripting)」とその対策に関する記述として、最も適切なものはどれか。

  • A:動的にWebページを生成するWebアプリケーションの不備を突き、攻撃者が用意した悪意のあるスクリプトをターゲットのブラウザに実行させ、クッキー(Cookie)情報の窃取などを行う攻撃である。
  • B:認証を必要とするWebサイトにおいて、ログイン状態にあるユーザーに意図しないリクエスト(パスワード変更や商品の購入など)を強制的に送信させる攻撃である。
  • C:有効な根本対策は、入力フォームに対して「プレースホルダ(バインドメカニズム)」を徹底し、SQL文の構造を固定化することである。
  • D:サーバーのディレクトリ階層を遡る特殊な文字列(「../」など)を入力し、公開を意図していないシステムファイルへ不正にアクセスする攻撃である。
  • E:暗号化通信(HTTPS)のネゴシエーションプロセスを妨害し、通信の暗号化強度を強制的に低下(ダウングレード)させて盗聴を行う攻撃である。
【第8問:正解と解説】

正解:A
【解説】
・A:適切:クロスサイトスクリプティング(XSS)の正確な定義です。対策としては、出力時のサニタイジング(エスケープ処理)などが有効です。
・B:不適切:これは「CSRF(Cross-Site Request Forgery:クロスサイトリクエストフォージェリ)」の説明です。
・C:不適切:バインドメカニズムが有効なのは「SQLインジェクション」の対策です。XSSの根本対策は出力時の「エスケープ処理(サニタイズ)」や「HTML特殊文字の変換」です。
・D:不適切:これは「ディレクトリトラバーサル攻撃」の説明です。
・E:不適切:これは「ダウングレード攻撃」の説明です。

問9:情報セキュリティの3大要素である「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」に関する記述として、最も適切なものはどれか。

  • A:機密性とは、システムやデータが改ざんや破壊をされることなく、正確かつ最新の状態に保たれていることを保証する特性である。
  • B:完全性とは、認可された者だけが情報にアクセスでき、認可されていない者には開示されないことを保証する特性である。
  • C:可用性とは、認可された者が、必要なときにいつでも中断されることなく情報や資産にアクセスし、利用できる状態を確保する特性である。
  • D:情報セキュリティ対策においては、常に機密性を最優先に高める必要があり、可用性や完全性を高めるために機密性を犠牲にすることはどのようなシステムでも許されない。
  • E:JIS Q 27001(ISMS適合性評価制度)において定義されているセキュリティ要素はこれら3つのみであり、真正性や否認防止といった概念は含まれない。
【第9問:正解と解説】

正解:C
【解説】
・A:不適切:これは「完全性(Integrity)」の説明です。
・B:不適切:これは「機密性(Confidentiality)」の説明です。
・C:適切:可用性(Availability)の正確な定義です。二重化、バックアップ、DoS対策などが可用性の向上に寄与します。
・D:不適切:システムの特性(例:24時間稼働のECサイトや医療システム)によっては、可用性が最も重視される場合もあり、3要素のバランスは情報資産の評価によって動的に決定されます。
・E:不適切:JIS Q 27001でも「真正性」「責任追跡性」「否認防止」「信頼性」といった追加的な特性が参照されており、3大要素のみに限定されるわけではありません。なお「7大要素」という公式な呼称が規格に明記されているわけではなく、これらはセキュリティ特性として包括的に考慮されるものです。

問10:A社(ターゲット企業)が利用するソフトウェアのアップデートが配信された。しかし実際には、そのソフトウェアの開発会社がサイバー攻撃を受けており、正規のアップデートファイルにマルウェアが仕込まれていた。A社はアップデートを実行したことで感染した。この攻撃手法として最も適切なものはどれか。

  • A:フィッシング:偽のメールや偽サイトでログイン情報を盗み取る攻撃
  • B:ソーシャルエンジニアリング:人間の心理的な隙を突いて情報を盗み出す手法
  • C:ランサムウェア:ファイルを暗号化して身代金を要求するマルウェア
  • D:ドライブバイダウンロード:Webサイト閲覧だけでマルウェアを自動的にインストールさせる攻撃
  • E:サプライチェーン攻撃
【第10問:正解と解説】

正解:E
【解説】
・A:不適切:フィッシングは偽メール・偽サイトによる情報詐取であり、正規の取引先・ソフトウェアベンダーを経由して感染させる本事例とは異なります。
・B:不適切:ソーシャルエンジニアリングは人間の心理的隙を突く手法であり、ソフトウェアサプライチェーンを悪用した本事例とは異なります。
・C:不適切:ランサムウェアはファイルを暗号化して身代金を要求するマルウェアの種類であり、攻撃のルートを示す「サプライチェーン攻撃」という分類とは異なります(なおサプライチェーン攻撃でランサムウェアが配布されることはあります)。
・D:不適切:ドライブバイダウンロードはWebサイト閲覧だけで自動的にマルウェアがインストールされる攻撃であり、正規のソフトウェアアップデート経路を悪用した本事例とは異なります。
・E:適切:取引先・ソフトウェアベンダー(サプライヤー)のシステムを先に攻略し、その信頼された配布経路を通じてターゲット企業へマルウェアを送り込む「サプライチェーン攻撃」の典型的な事例です。SolarWinds事件などが有名です。

コメント

タイトルとURLをコピーしました