情報セキュリティマネジメント試験対策
専門資格
00:00
950問収録
情報セキュリティマネジメント試験対策
情報セキュリティマネジメント試験対策試験対策950問以上。全領域完全網羅。
1000問+大量問題
全領域カバー
60%合格基準
1 / 10
30 問に回答後、「採点する」ボタンを押してください。問題番号をタップして飛べます。
0 / 30 回答済み
正解率
正解
不正解
所要時間
解答振り返り
」というスクリプトコードが含まれているものをそのまま記事として出力すると、ブラウザは実行コマンドと解釈し「hello」というメッセージを表示します。クロスサイトスクリプティングはこのような脆弱性を悪用し、クライアント上で任意のコマンド"}, {id:761,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ",q:"X.509におけるCRL(Certificate Revocation List)についての説明のうち,適切なものはどれか。",opts:["PKIの利用者は,認証局の公開鍵がブラウザに組み込まれていれば,CRLを参照しなくてもよい。", "認証局は,発行したすべてのデジタル証明書の有効期限をCRLに登録する。", "認証局は,発行したデジタル証明書のうち,失効したものは,失効後1年間CRLに登録するよう義務付けられている。", "認証局は,有効期限内のデジタル証明書をCRLに登録することがある。"],ans:3,expl:"X.509は、ITU-Tが1988年に勧告したデジタル証明書及びCRLの標準仕様で、ISO/IEC 9594-8として国際規格化されています。CRL(Certificate Revocation List,証明書失効リスト)秘密鍵の漏洩・紛失、証明書の被発行者の規則違反などの理由で、公開鍵基盤(PKI)において失効した(信用性のない)公開鍵証明書のリストブラウザに組み込まれている公開鍵の有効性を検証するためにはCRLを参照しなくてはなりません。CRLはデジタル証明書の有効期限を記述するものではありません。CRLでの公開期限は失効状態になったデジタル証明書の有効期限が切れるまでです。正しい。秘密"}, {id:762,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ",q:"RLO(Right-to-Left Override)を利用した手口の説明はどれか。",opts:["\"コンピュータウイルスに感染している\"といった偽の警告を出して利用者を脅し,ウイルス対策ソフトの購入などを迫る。", "脆弱性があるホストやシステムをあえて公開し,攻撃の内容を観察する。", "ネットワーク機器のMIB情報のうち監視項目の値の変化を感知し,セキュリティに関するイベントをSNMPマネージャに通知するように動作させる。", "文字の表示順を変える制御文字を利用し,ファイル名の拡張子を偽装する。"],ans:3,expl:"RLOは、Unicodeで定義されている制御文字で、ファイル名の並びを「左→右」から「右→左」に変える働きを持ちます。例えば、ABCDEFという文字列の前にRLOを挿入すると、コンピュータ上では(RLO)FEDCBAというファイル名に見えることになります。RLOは、文字列を右から左へ読み進めるアラビア語などで使用される制御文字ですが、これを文字を左から右へと読む日本語や英語で悪用すると、ファイル名を偽装することが可能になります。具体的には、abcdeffdp.exeというウイルス実行ファイルがあったとして、2つの\"f\"の間にRLOが挿入された場合、コンピュータ上では以下のようなファイル名として"}, {id:763,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ",q:"サイドチャネル攻撃の説明はどれか。",opts:["暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量(処理時間や消費電流など)やエラーメッセージから,攻撃対象の機密情報を得る。", "企業などの機密情報を詐取するソーシャルエンジニアリングの手法の一つであり,不用意に捨てられた機密情報の印刷物をオフィスの紙ゴミから探し出す。", "通信を行う2者間に割り込んで,両者が交換する情報を自分のものとすり替えることによって,気付かれることなく盗聴する。", "データベースを利用するWebサイトに入力パラメータとしてSQL文の断片を与えることによって,データベースを改ざんする。"],ans:0,expl:"正しい。サイドチャネル攻撃は、漏洩電磁波・電力消費等のサイドチャネル情報から暗号鍵推定等を行う「非破壊攻撃」での総称です。スキャベンジングの説明です。MITM攻撃(Man in the middle attack:中間者攻撃)の説明です。SQLインジェクションの説明です。"}, {id:764,cat:"テクノロジ系 » セキュリティ » セキュリティ実装技術",q:"SSLを使用して通信を暗号化する場合,SSL-VPN装置に必要な条件はどれか。",opts:["SSL-VPN装置は,FQDN又はIPアドレスを含むデジタル証明書を組み込む必要がある。", "SSL-VPN装置は,装置メーカーが用意した機器固有のデジタル証明書を組み込む必要がある。", "SSL-VPN装置は,装置メーカーから提供される認証局を利用する必要がある。", "同一ドメイン内で複数拠点にSSL-VPN装置を設置する場合は,同一のデジタル証明書を利用する必要がある。"],ans:0,expl:"SSL-VPNは、SSLの仕組みを利用してVPNを構築する技術です。使用するアプリケーションがHTTPSで通信を行う場合はブラウザのみで使用可能であるため、クライアント側への影響が少なく、容易に導入することができるメリットがあります。SSL-VPN装置(SSL-VPNゲートウェイ)は、企業内ネットワークとインターネットの境に設置され、クライアントからの要求を受け付けサーバへの要求を代理するリバースプロキシの役割をもつ機器です。正しい。SSL通信ではサーバ認証が必須になっているため、例え同一ドメイン内に設置する場合であっても、装置ごとに固有のデジタル証明書を組み込む必要があります。SSL-VPN"}, {id:765,cat:"テクノロジ系 » セキュリティ » セキュリティ技術評価",q:"JVN(Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCWE(Common Weakness Enumeration)はどれか。",opts:["基本評価基準,現状評価基準,環境評価基準の三つの基準でIT製品の脆弱性を評価する手法", "製品を識別するためのプラットフォーム名の一覧", "セキュリティに関連する設定項目を識別するための識別子", "ソフトウェアの脆弱性の種類の一覧"],ans:3,expl:"CWE(Common Weakness Enumeration)は、1999年頃から米国政府の支援を受けた非営利団体のMITREが中心となり仕様策定が行われたソフトウェアにおけるセキュリティ上の弱点(脆弱性)の種類を識別するための共通の基準です。CWEでは多種多様な脆弱性の種類を脆弱性タイプとして分類し、それぞれにCWE識別子(CWE-ID)を付与して階層構造で体系化しています。脆弱性タイプは、ビュー(View)、カテゴリー(Category)、脆弱性(Weakness)、複合要因(Compound Element)の4種類に分類されます。現在、ビュー(View)として22個、カテゴリー(Ca"}, {id:766,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ管理",q:"JIS Q 27001:2006における情報システムのリスクとその評価に関する記述のうち,適切なものはどれか。",opts:["脅威とは,脆弱性が顕在化する源のことであり,情報システムに組み込まれた技術的管理策によって脅威のレベルと発生の可能性が決まる。", "脆弱性とは,情報システムに対して悪い影響を与える要因のことであり,自然災害,システム障害,人為的過失及び不正行為に大別される。", "リスクの特定では,脅威が管理策の脆弱性に付け込むことによって情報資産に与える影響を特定する。", "リスク評価では,リスク回避とリスク低減の二つに評価を分類し,リスクの大きさを判断して対策を決める。"],ans:2,expl:"脅威とは、情報システムに悪い影響を与える要因です。脆弱性とは、組織や情報システムに内在する欠点や弱点です。正しい。リスクの特定は、リストアップされた脅威と脆弱性の関連性を分析し、リスクを洗い出す作業です。リスク評価は、リスクが顕在化した場合の損害の大きさ、およびその発生確率などの情報をもとにリスクの大きさ(強度)を決定する作業です。また、リスク評価には「定量的評価」「定性的評価」の2つの評価方法があります。記述にあるリスクへの対策を決定する作業はリスク対応になります。"}, {id:767,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ対策",q:"PCなどに内蔵されるセキュリティチップ(TPM:Trusted Platform Module)がもつ機能はどれか。",opts:["TPM間の共通鍵の交換", "鍵ペアの生成", "デジタル証明書の発行", "ネットワーク経由の乱数発信"],ans:1,expl:"TPM(Trusted Platform Module)は、PCやサーバのマザーボード上に直付けされるハードウェアベースのセキュリティチップで、暗号鍵の生成・保管・管理や、システムの真正性確認を安全に行うための次の機能を提供します。公開鍵暗号の鍵ペアの生成・保管暗号化/復号ハッシュ値の計算カウンター、タイマー、乱数の生成デジタル署名の生成・検証TPMは内部で秘密鍵の生成および安全な保存を行うことにより、秘密鍵をモジュール外に出すことなく厳重に保護する仕組みを備えています。物理的なチップであるため、ソフトウェアによる攻撃のみならず、物理的な改ざんに対しても高い耐タンパ性を持ちます。なお、TPMの"}, {id:768,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ",q:"ワームの侵入に関する記述のうち,適切なものはどれか。",opts:["公開サーバへのワームの侵入は,IDSでは検知できない。", "未知のワームの侵入は,パターンマッチング方式で検知できる。", "ワームは,アプリケーションソフトの脆弱性を突いて侵入できる。", "ワームは,仮想OS環境内のゲストOSに侵入できない。"],ans:2,expl:"IDS(Intrusion Detection System,侵入検知システム)で検知することが可能です。パターンマッチング方式では、既知のウイルスのシグネチャと一致するものがあるか否かで検出するので未知のウイルスに対しては効果が期待できません。正しい。OSや電子メールの他、Webブラウザ上で動作するAdobe FlashやPDFソフトなどのアプリケーションの不備をついて感染活動を行います。ワームは仮想環境にも感染します。"}, {id:769,cat:"テクノロジ系 » セキュリティ » セキュリティ実装技術",q:"送信元を詐称した電子メールを拒否するために,SPF(Sender Policy Framework)の仕組みにおいて受信側が行うことはどれか。",opts:["Resent-Sender:,Resent-From:,Sender:,From: などのメールヘッダーの送信者メールアドレスを基に送信メールアカウントを検証する。", "SMTPが利用するポート番号25の通信を拒否する。", "SMTP通信中にやり取りされるMAIL FROMコマンドで与えられた送信ドメインと送信サーバのIPアドレスの適合性を検証する。", "電子メールに付加されたデジタル署名を検証する。"],ans:2,expl:"SPF(Sender Policy Framework)は、SMTP接続してきたメールサーバのIPアドレスを基に、正規のサーバから送られた電子メールかどうかを検証する技術です。受信メールサーバ側にて電子メールの送信元ドメインが詐称されていないかを検査できます。SPFでは以下の手順で送信元IPアドレスの検証を行います。送信側は、送信側ドメインのDNSサーバのSPFレコード(又はTXTレコード)に正当なメールサーバのIPアドレスやホスト名を登録し、公開しておく。送信側から受信側へ、SMTPメールが送信される。受信側メールサーバは、受信側ドメインのDNSサーバを通じて、MAIL FROMコマンドに記"}, {id:770,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ対策",q:"無線LANにおけるWPA2の特徴はどれか。",opts:["AHとESPの機能によって認証と暗号化を実現する。", "暗号化アルゴリズムにAESを採用したCCMP(Counter-mode with CBC-MAC Protocol)を使用する。", "端末とアクセスポイントの間で通信を行う際に,SSL Handshake Protocolを使用して,お互いが正当な相手かどうかを認証する。", "利用者が設定する秘密鍵と,製品で生成するIV(Initialization Vector)とを連結した数字を基に,データをフレームごとにRC4で暗号化する。"],ans:1,expl:"WPA2(Wi-Fi Protected Access 2)は、無線LANのセキュリティプロトコルWPAの脆弱性を改善した次期バージョンです。暗号化アルゴリズムがWEP、WPAで使用されていた脆弱性のある「RC4」からNIST標準の「AES」に変更され、解読攻撃に対する耐性が高められています。AHとESPを使用するのはIPsecです。正しい。WPA2には、SSLを使用する規定はありません。WPA2における暗号化には128ビット以上のAESが使用されます。"}, {id:771,cat:"テクノロジ系 » セキュリティ » セキュリティ実装技術",q:"ブラウザがWebサーバとの間でSSLで通信する際,デジタル証明書に関する警告メッセージが表示される原因となり得るものはどれか。",opts:["Webサーバが,SSL通信の暗号化方式として,ハンドシェイク終了後に共通鍵暗号化方式でSSLセッションを開始した。", "ブラウザがCRLの妥当性をVAに問い合わせる際に,OCSPやSCVPが用いられた。", "ブラウザがWebサーバのデジタル証明書の検証に成功した後に,WebサーバからSSLセッションを確立した。", "ルートCAのデジタル証明書について,Webサーバのデジタル証明書のものがブラウザで保持しているどのものとも一致しなかった。"],ans:3,expl:"SSLではハンドシェイクプロトコルによるサーバ・クライアントの相互認証、および鍵交換を公開鍵暗号方式で行い、セッション確立後は認証時に交換した共通鍵によって通信を行います。したがって警告の原因とはなりません。VA(Validation Authority,電子証明書検証機関)は、デジタル証明書の失効情報の管理やCRL(証明書失効リスト)の確認などの役割を担う機関です。OCSP(Online Certificate Status Protocol)やSCVP(Simple Certificate Validation Protocol)は、証明書の有効性をリアルタイムで検証する仕組みで、これらの"}, {id:772,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ対策",q:"有料の公衆無線LANサービスにおいて実施される,ネットワークサービスの不正利用に対するセキュリティ対策の方法と目的はどれか。",opts:["利用者ごとに異なるSSIDを割り当てることによって,利用者PCへの不正アクセスを防止する。", "利用者ごとに異なるサプリカントを割り当てることによって,利用者PCへの不正アクセスを防止する。", "利用者ごとに異なるプライベートIPアドレスを割り当てることによって,第三者によるアクセスポイントへのなりすましを防止する。", "利用者ごとに異なる利用者IDを割り当て,パスワードを設定することによって,契約者以外の利用者によるアクセスを防止する。"],ans:3,expl:"無線LANでは電波の届く範囲であれば誰でも通信ができてしまいます。公衆の無線LANアクセスポイントにサービス契約者のみを接続させるためには、利用者の認証が必要になります。無線LANの接続時認証に使用する規格「IEEE 802.1X」では、IDとパスワード,デジタル証明書などのいくつかの認証方式を選択できますが、公衆無線LANで利用者PCのすべてにデジタル証明書を組み込むのは困難であるため、IDとパスワードによる認証を行うことで不正利用を防ぐのが最良の方法となります。したがって正解は「エ」です。"}, {id:773,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ対策",q:"ステガノグラフィの機能はどれか。",opts:["画像データなどにメッセージを埋め込み,メッセージの存在そのものを隠す。", "メッセージの改ざんやなりすましを検出し,否認の防止を行う。", "メッセージの認証を行って改ざんの有無を検出する。", "メッセージを決まった手順で変換し,通信途中での盗聴を防ぐ。"],ans:0,expl:"ステガノグラフィ(Steganography)とは、音声や画像などのデータの中に、別のデータ(多くの場合文字列)を秘密裏に埋め込む技術や考え方のことです。デジタルデータの世界では著作物に著作者名や利用者の情報などを埋め込む「電子透かし技術」として応用されています。正しい。ステガノグラフィの機能です。デジタル署名(改ざん・なりすまし)とタイムスタンプ(否認防止)の機能です。MAC(Message Authentication Code)の機能です。暗号化通信の機能です。"}, {id:774,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ",q:"表に示すテーブルX,Yへのアクセス要件に関して,JIS Q 27001:2006(ISO/IEC 27001:2005)が示す\"完全性\"の観点からセキュリティを脅かすおそれのあるアクセス権付与はどれか。",opts:["GRANT INSERT ON Y TO A", "GRANT INSERT ON Y TO B", "GRANT SELECT ON X TO A", "GRANT SELECT ON X TO B"],ans:0,expl:"完全性は、情報が完全で、改ざん・破壊されていない特性を示す概念で、JIS Q 27001で使用されている用語が定義されているJIS Q 27000では「正確さ及び完全さの特性」と定義されています。GRANT文は、表などのオブジェクトに対する権限を付与するSQLです。設問に登場するのは表に行を挿入する権限「INSERT」と表を参照する権限「SELECT」ですが、表の参照権限を付与するSELECTだけでは表のデータを変更することは不可能なので完全性が損なわれる可能性は生じません。したがってこの時点で「ウ」「エ」は選択肢から除外することができます。残る「ア」と「イ」ですが、利用者BはテーブルYのデー"}, {id:775,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ",q:"チャレンジレスポンス方式として,適切なものはどれか。",opts:["SSLによって,クライアント側で固定パスワードを暗号化して送信する。", "トークンという装置が表示する毎回異なったデータをパスワードとして送信する。", "任意長のデータを入力として固定長のハッシュ値を出力する。", "利用者が入力したパスワードと,サーバから送られてきたランダムなデータとをクライアント側で演算し,その結果を確認用データに用いる。"],ans:3,expl:"チャレンジレスポンス方式は、通信経路上に固定パスワードを流さないようにすることで盗聴によるパスワードの漏えいを防ぐことができる認証方式です。チャレンジレスポンス方式では以下の手順で認証を行います。サーバはクライアントから要求があるたびに異なる予測困難な値(チャレンジ)を生成して保持するとともに、クライアントへ送る。クライアントは利用者が入力したパスワードのメッセージダイジェストを計算し、(1)でサーバから送られた\"チャレンジ\"と合わせたものから、さらに、メッセージダイジェスト(レスポンス)を計算する。クライアントは(2)で生成した\"レスポンス\"と利用者が入力した利用者IDをサーバに送る。サーバ"}, {id:776,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ",q:"SHA-1を説明したものはどれか。",opts:["160ビットの出力データを生成し,改ざんの検出に利用するアルゴリズム", "IPsecで使用される暗号化アルゴリズム", "公開鍵暗号方式において暗号化鍵を生成するアルゴリズム", "データの暗号化が正常に完了したことの確認に利用するアルゴリズム"],ans:0,expl:"SHA-1(Secure Hash Algorithm 1)は、入力データを固定長(160ビット)のメッセージダイジェストに変換する「ハッシュ関数」です。TLS,SSL,PGP,SSH,S/MIME,IPSecなどの様々なセキュリティ技術に採用されていますが、アルゴリズムに脆弱性が発見されているためSHA-2やSHA-3への移行が進められています。したがって「ア」が適切な記述です。"}, {id:777,cat:"テクノロジ系 » セキュリティ » セキュリティ実装技術",q:"WebサーバがHTTPS通信の応答でcookieにSecure属性を設定したときのブラウザの処理はどれか。",opts:["ブラウザは,cookieの\"Secure=\"に続いて指定された時間を参照し,指定された時間を過ぎている場合にそのcookieを削除する。", "ブラウザは,cookieの\"Secure=\"に続いて指定されたホスト名を参照し,指定されたホストにそのcookieを送信する。", "ブラウザは,cookieの\"Secure\"を参照し,HTTPS通信時だけそのcookieを送信する。", "ブラウザは,cookieの\"Secure\"を参照し,ブラウザの終了時にそのcookieを削除する。"],ans:2,expl:"Secure属性は、cookieの動作を制御する属性の1つで、これが設定されたcookieは「HTTPS通信の場合のみブラウザからサーバに送信される」ようになります。したがって適切な記述は「ウ」です。また、cookieを発行する際に指定できる属性には\"Secure\"の他に以下の属性があります。Domain - cookieを送信するドメインを指定するPath - cookieを送信するURLディレクトリを指定するExpires - cookieの有効期限を指定するHttpOnly - JavaScriptからのアクセスを禁止するSameSite - サイトをまたがるリクエストの際のcookie"}, {id:778,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ対策",q:"WAF(Web Application Firewall)のブラックリスト又はホワイトリストの説明のうち,適切なものはどれか。",opts:["ブラックリストは,脆弱性のあるサイトのIPアドレスを登録したものであり,該当する通信を遮断する。", "ブラックリストは,問題のある通信データパターンを定義したものであり,該当する通信を遮断するか又は無害化する。", "ホワイトリストは,暗号化された受信データがどのように復号するかを定義したものであり,復号鍵が登録されていないデータを遮断する。", "ホワイトリストは,脆弱性のないサイトのFQDNを登録したものであり,登録がないサイトへの通信を遮断する。"],ans:1,expl:"ブラックリストおよびホワイトリストはファイアウォールにおけるルール設定で、次のようなものです。ブラックリストパケットをすべて「許可」する初期状態に、通信を「拒否」するルールを記述したリストホワイトリストパケットをすべて「拒否」する初期状態に、通信を「許可」するルールを記述したリストしたがって適切な記述は「イ」になります。"}, {id:779,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ管理",q:"経済産業省\"ソフトウェア管理ガイドライン\"に定められた,ソフトウェアを使用する法人,団体などが実施すべき基本的事項の記述のうち,適切なものはどれか。",opts:["ウイルスからソフトウェアを保護するため,関係法令や使用許諾契約などについて利用者の教育啓発を行う。", "セキュリティ対策に責任を負うセキュリティ管理責任者を任命し,適切な管理体制を整備する。", "ソフトウェアの違法複製などの有無を確認するため,すべてのソフトウェアを対象として,その使用状況についての監査を実施する。", "ソフトウェアの脆弱性を突いた不正アクセスから保護するため,ソフトウェアの使用手順や管理方法などを定めたソフトウェア管理規則を制定する。"],ans:2,expl:"ソフトウェア管理ガイドラインは、ソフトウェアの違法複製を防止するため,法人,団体などを対象として,ソフトウェアを使用するに当たって実施されるべき事項をとりまとめたものです。この基準の目的は「ソフトウェアの違法複製の防止」であるため、適切な記述は「ウ」になります。その他の記述は「情報セキュリティ管理基準」で記述されている事項です。"}, {id:780,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ対策",q:"テンペスト技術の説明とその対策として,適切なものはどれか。",opts:["ディスプレイやケーブルなどから放射される電磁波を傍受し,表示内容などを盗み見る技術であり,電磁波を遮断することによって対抗する。", "データ通信の途中でパケットを横取りし,内容を改ざんする技術であり,デジタル署名を利用した改ざん検知によって対抗する。", "マクロウイルスにおいて使われる技術であり,ウイルス対策ソフトを導入し,最新の定義ファイルを適用することによって対抗する。", "無線LANの信号を傍受し,通信内容を解析する技術であり,通信パケットを暗号化することによって対抗する。"],ans:0,expl:"テンペスト技術は、モニターやキーボード,ネットワークケーブルなどから放射されている微弱な電磁波を傍受し解析することで元の情報の再現を試みる技術です。一般に知られている実験では、ブラウン管ディスプレイやケーブルから発生する電磁波を3m離れた地点で傍受して、表示されている画像を再現した例があります。傍受を防ぐための対策としては、ブラウン管ディスプレイから液晶ディスプレイに切り替える,ケーブル等を電磁シールドで包む,PCを使用する部屋全体をシールドしてしまうなど、機器から放射される電磁波を極めて少量に抑える方法が効果的です。"}, {id:781,cat:"テクノロジ系 » セキュリティ » セキュリティ実装技術",q:"SQLインジェクション対策について行う特殊文字の無効化操作はどれか。",opts:["クロスサイトスクリプティング", "サニタイジング", "パケットフィルタリング", "フィッシング"],ans:1,expl:"サニタイジング(sanitizing)は、ユーザーの入力値を受け取り処理するWebアプリケーションにおいて、入力データ中のスクリプトやコマンドとして特別な意味を持つ文字があった場合、HTML出力やコマンド発行の直前でエスケープ処理し無害化する操作です。クロスサイトスクリプティング(XSS)は、動的にWebページを生成するアプリケーションのセキュリティ上の不備を意図的に利用し、サイト間を横断して悪意のあるスクリプトを混入させることでユーザーを攻撃する方法です。正しい。パケットフィルタリングは、パケットのIPアドレスやポート番号情報に基づき不正パケットの遮断を行う対策です。しかしデータ部については"}, {id:782,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ管理",q:"情報システムのリスク分析に関する記述のうち,適切なものはどれか。",opts:["リスクには,投機的リスクと純粋リスクとがある。情報セキュリティのためのリスク分析で対象とするのは,投機的リスクである。", "リスクの予想損失額は,損害予防のために投入されるコスト,復旧に要するコスト,及びほかの手段で業務を継続するための代替コストの合計で表される。", "リスク分析では,現実に発生すれば損失をもたらすリスクが,情報システムのどこに,どのように潜在しているかを識別し,その影響の大きさを測定する。", "リスクを金額で測定するリスク評価額は,損害が現実になった場合の1回当たりの平均予想損失額で表される。"],ans:2,expl:"投機的リスク相場などのように利益と損失のどちらかが生じる可能性のある不確実性のこと純粋リスク損失のみが生じる可能性のある不確実性のことリスク分析の対象となるのは「純粋リスク」です。予防のために投入されるコストは予想損失額に含まれません。正しい。リスク評価額は、1回当たりの平均予想損失額にリスクの発生確率を加味して計算されます。"}, {id:783,cat:"テクノロジ系 » セキュリティ » セキュリティ実装技術",q:"インターネットVPNを実現するために用いられる技術であり,ESP(Encapsulating Security Payload)やAH(Authentication Header)などのプロトコルを含むものはどれか。",opts:["IPsec", "MPLS", "PPP", "SSL"],ans:0,expl:"正しい。IPsecは、カプセル化したパケットをAHやESPなどの認証・暗号化プロトコルを用いてIPsecプロトコル上で安全にやり取りすることができるのでVPNの構築に用いられます。Multi Protocol Label Switchingの略。IP-VPNで使用される技術で、IPルーティングによるパケット転送よりも高速な転送処理を実現します。Point-to-Point Protocolの略。2点間を接続してデータ通信を行うための通信プロトコルです。SSLでもインターネットVPNを構築できますが、ESPやAHといったプロトコルは使われません。"}, {id:784,cat:"テクノロジ系 » セキュリティ » セキュリティ実装技術",q:"SMTP-AUTHにおける認証の動作を説明したものはどれか。",opts:["SMTPサーバへ電子メールを送信する前に,電子メールを受信し,その際にパスワード認証が行われたクライアントのIPアドレスは,一定時間だけ電子メールの送信が許可される。", "クライアントがSMTPサーバにアクセスしたときに利用者認証を行い,許可された利用者だけから電子メールを受け付ける。", "サーバは認証局のデジタル証明書をもち,クライアントから送信された認証局の署名付きクライアント証明書の妥当性を確認する。", "利用者が電子メールを受信する際の認証情報を秘匿できるように,パスワードからハッシュ値を計算して,その値で利用者認証を行う。"],ans:1,expl:"SMTP-AUTH(SMTP-Authentication)は、メール投稿にあたってユーザー認証の仕組みがないSMTPにユーザー認証機能を追加した方式です。使用するにはメールサーバとクライアントの双方が対応していなければなりませんが、メール送信するときに「ユーザー名とパスワード」「チャレンジレスポンス」などで認証を行い、認証されたユーザーのみからのメール送信を許可することで不正な送信要求を遮断することができます。POP before SMTPによる認証動作です。正しい。SMTP-AUTHによる認証動作です。SMTP over SSL(TLS)による相互認証です。APOP(Authenticat"}, {id:785,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ",q:"マルウェアの活動傾向などを把握するための観測用センサーが配備されるダークネットはどれか。",opts:["インターネット上で到達可能,かつ,未使用のIPアドレス空間", "組織に割り当てられているIPアドレスのうち,コンピュータで使用されているIPアドレス空間", "通信事業者が他の通信事業者などに貸し出す光ファイバ設備", "マルウェアに狙われた制御システムのネットワーク"],ans:0,expl:"ダークネットは、インターネット上で到達可能かつ未使用のIPアドレス空間のことを指します。通常のインターネット利用を考えれば特定のホストに割り当てられていない未使用のIPアドレス宛にパケットが送信されることは稀なはずですが、実際にダークネットを観測すると相当数のパケットが未使用のIPアドレス宛に送信されているようです。これらは、マルウェアが次の感染対象を探すためのスキャンマルウェアが脆弱性を攻撃するためのパケット送信元IPアドレスが詐称されたパケットへの応答パケットなどの不正な活動を目的とするパケットに因るものです。つまりダークネットを観測することで、インターネット上で行われている不正活動を把握"}, {id:786,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ",q:"APT(Advanced Persistent Threats)の説明はどれか。",opts:["攻撃者はDoS攻撃及びDDoS攻撃を繰り返し組み合わせて,長期間にわたって特定組織の業務を妨害する。", "攻撃者は興味本位で場当たり的に,公開されている攻撃ツールや脆弱性検査ツールを悪用した攻撃を繰り返す。", "攻撃者は特定の目的をもち,特定組織を標的に複数の手法を組み合わせて気付かれないよう執拗(よう)に攻撃を繰り返す。", "攻撃者は不特定多数への感染を目的として,複数の攻撃を組み合わせたマルウェアを継続的にばらまく。"],ans:2,expl:"APT攻撃(Advanced Persistent Threats)は、複数の攻撃方法を組み合わせて、特定の組織や個人に対して長期間にわたり持続的に行われるサイバー攻撃の総称です。単なる標的型攻撃と異なる点は、準備や攻撃が長い期間を通じて持続的に行われる点です。最初にメールや外部メディア等で組織内部の従業員(組織の幹部を含む)の端末への不正侵入を試み、そこから組織の内部へ更に入り込んでいくなど目的達成のために数か月から数年にわたって攻撃が継続します。最終的には組織にとって非常に重要な情報(知財情報や個人情報)を盗み出すことなどを目的としています。「APT」というのは海外での呼び名で、日本では持"}, {id:787,cat:"テクノロジ系 » セキュリティ » セキュリティ技術評価",q:"ISO/IEC 15408を評価基準とする\"ITセキュリティ評価及び認証制度\"の説明として,適切なものはどれか。",opts:["暗号モジュールに暗号アルゴリズムが適切に実装され,暗号鍵などが確実に保護されているかどうかを評価及び認証する制度", "主に無線LANにおいて,RADIUSなどと連携することで,認証されていない利用者を全て排除し,認証された利用者だけの通信を通過させることを評価及び認証する制度", "情報技術に関連した製品のセキュリティ機能の適切性,確実性を第三者機関が評価し,その結果を公的に認証する制度", "情報セキュリティマネジメントシステムが,基準にのっとり,適切に組織内に構築,運用されていることを評価及び認証する制度"],ans:2,expl:"ITセキュリティ評価及び認証制度(JISEC※)」とは、IT関連製品のセキュリティ機能の適切性・確実性を、セキュリティ評価基準の国際標準であるISO/IEC 15408に基づいて第三者(評価機関)が評価し、その評価結果を認証機関が認証する制度です。この制度は主に政府調達などにおいて調達者が求めるセキュリティの要件を満たしていること、つまり想定される脅威に対し適切な対抗となっていること、またその対抗手段が正確に実装されていることを、第三者が評価・認証を行うものです。現在IPAがこの制度の認証機関として運営を行っています。暗号モジュール試験及び認証制度(JCMVP)の説明です。Wi-Fi Prot"}, {id:788,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ",q:"S/KEYワンタイムパスワードに関する記述のうち,適切なものはどれか。",opts:["クライアントは認証要求のたびに,サーバへシーケンス番号と種(Seed)からなるチャレンジデータを送信する。", "サーバはクライアントから送られた使い捨てパスワードを演算し,サーバで記憶している前回の使い捨てパスワードと比較することによって,クライアントを認証する。", "時刻情報を基にパスワードを生成し,クライアント,サーバ間でパスワードを時刻で同期させる。", "利用者が設定したパスフレーズは1回ごとに使い捨てる。"],ans:1,expl:"S/KEYは、ワンタイムパスワードにより認証を行う方式の1つで、フリーウェアとして公開されています。S/KEYの認証手順は次の通りです。クライアントは、サーバにユーザーIDを送り認証要求をするサーバはユーザーごとに記録しているシーケンス番号(n)から1を減じた値(n-1)と種(Seed)をクライアントに送信するクライアントは、パスワードと種(Seed)を連結したデータにハッシュ関数を(n-1)回繰り返してパスフレーズPn-1を生成するクライアントは、3.で生成したパスフレーズをサーバに送信するサーバは、受け取ったパスフレーズにもう1回だけハッシュ関数を適用して得たPnと、前回の認証時にユーザー"}, {id:789,cat:"テクノロジ系 » セキュリティ » セキュリティ実装技術",q:"DNSSEC(DNS Security Extensions)の機能はどれか。",opts:["DNSキャッシュサーバの設定によって再帰的な問合せの受付範囲が最大になるようにする。", "DNSサーバから受け取るリソースレコードに対するデジタル署名を利用して,リソースレコードの送信者の正当性とデータの完全性を検証する。", "ISPなどのセカンダリDNSサーバを利用してDNSコンテンツサーバを二重化することで名前解決の可用性を高める。", "共通鍵暗号技術とハッシュ関数を利用したセキュアな方法で,DNS更新要求が許可されているエンドポイントを特定し認証する。"],ans:1,expl:"DNSSEC(DNS Security Extensions)は、DNSにおける応答の正当性を保証するための拡張仕様です。DNSSECでは、次の手順によって応答レコードが改ざんされておらず、正当な管理者によって生成された応答レコードであることを検証します。DNSキャッシュサーバは、DNSコンテンツ(権威)サーバに対してドメイン問合せを行う(通常と同じ)DNSコンテンツサーバは、ドメイン応答に自身のデジタル署名を付加してDNSキャッシュサーバに送信する応答を受け取ったDNSキャッシュサーバは、DNSコンテンツサーバの公開鍵を使用してデジタル署名を検証し、内容の正当性を確認する"}, {id:790,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ",q:"rootkitに含まれる機能はどれか。",opts:["OSの中核であるカーネル部分の脆弱性を分析する。", "コンピュータがウイルスやワームに感染していないことをチェックする。", "コンピュータやルータのアクセス可能な通信ポートを外部から調査する。", "不正侵入してOSなどに組み込んだものを隠蔽する。"],ans:3,expl:"ルートキット(rootkit)は、システムへのアクセスを確保した攻撃者が、その後の不正な活動を行いやすくするために作動中のプロセスやファイル、ログやシステムデータを隠ぺいするためのソフトウェア群です。ユーザーやシステム管理者に見られたとしてもrookitが侵入の痕跡を隠ぺいすることで攻撃者は\"root\"権限を確保し続ける可能性が高まります。脆弱性検査ツールの機能です。アンチウィルスソフトの機能です。ポートスキャンツールの機能です。正しい。rootkitの機能です。"}, {id:791,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ対策",q:"ステガノグラフィを説明したものはどれか。",opts:["データの複写を不可能にする(コピーできないようにする)技術のことをいう。", "データを第三者に盗み見られても解読できないようにするため,決まった規則に従ってデータを変換することをいう。", "文書の正当性を保証するために付けられる暗号化された署名情報のことをいう。", "メッセージを画像データや音声データなどに埋め込み,その存在を隠す技術のことをいう。"],ans:3,expl:"ステガノグラフィ(Steganography)とは、音声や画像などのデータの中に、別のデータ(多くの場合文字列)を秘密裏に埋め込む技術や考え方のことです。デジタルデータの世界では著作物に著作者名や利用者の情報などを埋め込む「電子透かし技術」として応用されています。コピーガードの説明です。クリプトグラフィ(暗号化)の説明です。デジタル署名の説明です。正しい。ステガノグラフィの説明です。"}, {id:792,cat:"テクノロジ系 » セキュリティ » セキュリティ実装技術",q:"セキュリティ上,脆弱性のあるホストやシステムをあえて公開し,受けた攻撃の内容を観察するためのものはどれか。",opts:["IDS", "インシデントレスポンス", "スパイウェア", "ハニーポット"],ans:3,expl:"ハニーポット(Honeypot)は、侵入者をおびき寄せるために脆弱性を含む本物そっくりのシステムを設置し、侵入者の挙動などを監視する仕組みです。記録されたログを分析することでシステムのセキュリティ対策に繋げたり、デジタルフォレンジックスのための証拠を収集したりする目的があります。本来は「蜜(の詰まった)壷」の意味で、蜜につられた者を集めるトラップの語意をもちます。Intrusion Detection Systemの略で、侵入検知システムのこと。ネットワークやホストをリアルタイムで監視し、異常を検知した場合に管理者に通知するなどの処置を行うシステムです。インシデントレスポンスは、コンピュータセ"}, {id:793,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ",q:"共通鍵暗号の鍵を見つけ出す,ブルートフォース攻撃に該当するものはどれか。",opts:["1組の平文と暗号文が与えられたとき,全ての鍵候補を一つずつ試して鍵を見つけ出す。", "平文と暗号文と鍵の関係を代数式に表して数学的に鍵を見つけ出す。", "平文の一部分の情報と暗号文の一部分の情報との間の統計的相関を手掛かりに鍵を見つけ出す。", "平文を一定量変化させたときの暗号文の変化から鍵を見つけ出す。"],ans:0,expl:"ブルーフォース攻撃は、特定の文字数、および、文字種で設定される可能性のあるすべての組合せを試すことで不正ログインやパスワード解析を試みる攻撃手法で、総当たり攻撃とも呼ばれます。パスワード長が短く、使用可能な文字種が少ない場合には、この手法によって破られる可能性が高くなってしまいます。オンライン上での攻撃では数回の試行でロックアウトになってしまうため、主にオフライン環境で使用される解読手法です。正しい。ブルートフォース攻撃に該当します。暗号化関数の線形近似式を発見することを基本とした「線形解読法」の説明です。RC4の解読攻撃に使用される「関連鍵攻撃」の説明です。入力値の差分が出力値の差分にどのよ"}, {id:794,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ対策",q:"パケットフィルタリング型ファイアウォールのフィルタリングルールを用いて,本来必要なサービスに影響を及ぼすことなく防げるものはどれか。",opts:["外部に公開していないサービスへのアクセス", "サーバで動作するソフトウェアのセキュリティの脆(ぜい)弱性を突く攻撃", "電子メールに添付されたファイルのマクロウイルスの侵入", "電子メール爆弾などのDoS攻撃"],ans:0,expl:"パケットフィルタリングとは、通過するパケットのIPアドレス(送信元・送信先)やポート番号,通信の方向などの情報をもとに中継の可否を判断する方式です。ただしパケットのペイロード(データ部分)に関してはチェックを行いません。正しい。外部に公開していないサービス、若しくは業務に不要なサービスのポートへの通信を遮断するルールを設定することで、必要なサービスに影響を与えることなく不正アクセスを防ぐことが可能です。脆弱性をもつサーバをあて先IPアドレスとする通信を遮断することで攻撃を防ぐことはできますが、正当な処理要求までも遮断してしまうことになるため不適切です。電子メールを転送するSMTP(TCP25番"}, {id:795,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ",q:"SEO(Search Engine Optimization)ポイズニングの説明はどれか。",opts:["Web検索サイトの順位付けアルゴリズムを悪用して,キーワードで検索した結果の上位に,悪意のあるサイトを意図的に表示させる。", "ウイルス検索エンジンのセキュリティ上の脆弱性を悪用して,システム権限で不正な実行を処理させる。", "車などで移動しながら,無線LANのアクセスポイントを探し出して,ネットワークに不正侵入する。", "ネットワークを流れるパケットから,不正侵入のパターンに合致するものを検出して,管理者への通知や,検出した内容の記録を行う。"],ans:0,expl:"SEO(Search Engine Optimization)とは、Webサイトを制作するときに、Googleなどの検索エンジンの検索で上位に表示されるようにページやサイト全体を最適化することをいいます。上位表示を狙うサイトが悪意のないサイトであれば問題ないのですが、SEOポイズニングでは、ウイルスなどを仕込んだ悪意のあるページ(又はそのページへの入口となるページ)に様々なSEO対策を施すことで検索結果の上位に表示させようとします。キーワードの検索などによって訪れたユーザーがそのサイトを見ると「マルウェアのダウンロード」「不正サイトへのリダイレクト」などが実行されるなどの攻撃が行われます。正し"}, {id:796,cat:"テクノロジ系 » セキュリティ » セキュリティ実装技術",q:"Webサーバを使ったシステムにおいて,インターネットから受け取ったリクエストをWebサーバに中継する仕組みはどれか。",opts:["DMZ", "フォワードプロキシ", "プロキシARP", "リバースプロキシ"],ans:3,expl:"DeMilitarized Zoneの略。非武装地帯の意で、公開サーバなどの外部からアクセスされる可能性のある情報資源を設置するためのファイアウォールの中でも外でもない中間的なエリアのことです。単にプロキシともいいます。クライアントとWebサーバの間のクライアント側に位置し、クライアントの要求を受け取り、クライアントに代わってWebサーバにアクセスする機能です。プロキシARPは、あるホスト宛てのARP要求に対して代理でARP応答をする機能で、ルータなどに備わっています。正しい。リバースプロキシは、クライアントとWebサーバの間のWebサーバ側に位置し、Webサーバの代理でクライアントの要求を受"}, {id:797,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ",q:"クラウドサービスにおける,従量課金を利用したEDoS(Economic Denial of Service,Economic Denial of Sustainability)攻撃の説明はどれか。",opts:["カード情報の取得を目的に,金融機関が利用しているクラウドサービスに侵入する攻撃", "課金回避を目的に,同じハードウェア上に構築された別の仮想マシンに侵入し,課金機能を利用不可にする攻撃", "クラウド利用企業の経済的な損失を目的に,リソースを大量消費させる攻撃", "パスワード解析を目的に,クラウド環境のリソースを悪用する攻撃"],ans:2,expl:"EDoSは、DoS攻撃の1つで攻撃対象にE(Economic)、つまり経済的な損失を与えることを目的とする攻撃です。クラウドサービスでは、サービスの利用量に応じて料金を支払う従量課金の料金体制となっているサービスがいくつもあります。攻撃者はこのことを悪用し、外部から不要なリクエストを大量に送りつけることで意図的にトラフィックを増加させ、契約者に本来不必要な多額の利用料を支払わせるように仕向けます。したがって適切な記述は「ウ」です。"}, {id:798,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ",q:"水飲み場型攻撃(Watering Hole Attack)の手口はどれか。",opts:["アイコンを文書ファイルのものに偽装した上で,短いスクリプトを埋め込んだショートカットファイル(LNKファイル)を電子メールに添付して標的組織の従業員に送信する。", "事務連絡などのやり取りを行うことで,標的組織の従業員の気を緩めさせ,信用させた後,攻撃コードを含む実行ファイルを電子メールに添付して送信する。", "標的組織の従業員が頻繁にアクセスするWebサイトに攻撃コードを埋め込み,標的組織の従業員がアクセスしたときだけ攻撃が行われるようにする。", "ミニブログのメッセージにおいて,ドメイン名を短縮してリンク先のURLを分かりにくくすることによって,攻撃コードを埋め込んだWebサイトに標的組織の従業員を誘導する。"],ans:2,expl:"水飲み場型攻撃は、特定の組織や人に狙いを定める標的型攻撃の一つで、標的ユーザーが良く利用するWebサイトにドライブバイダウンロードのコードなどを仕込み、アクセスした標的ユーザーにマルウェアやウイルスを感染させる攻撃です。一般的には標的対象のみに感染するマルウェアが用いられ、標的以外の第三者がアクセスしても何も起こらないため、脅威の存在やWebサイトの改ざんなどが発覚しにくくなっています。「水飲み場型攻撃」の名称は攻撃者を肉食獣のライオンに、標的ユーザーが良く利用するWebサイトを草食獣が集まる水飲み場に見立て、ライオンが水飲み場に来る獲物を待ち伏せする様子になぞらえています。したがって正しい説"}, {id:799,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ",q:"次の攻撃において,攻撃者がサービス不能にしようとしている標的はどれか。〔攻撃〕A社ドメイン配下のサブドメイン名を,ランダムに多数生成する。(1)で生成したサブドメイン名に関する大量の問合せを,多数の第三者のDNSキャッシュサーバに分散して送信する。(2)で送信する問合せの送信元IPアドレスは,問合せごとにランダムに設定して詐称する。",opts:["A社ドメインの権威DNSサーバ", "A社内の利用者PC", "攻撃者が詐称した送信元IPアドレスに該当する利用者PC", "第三者のDNSキャッシュサーバ"],ans:0,expl:"クライアントからのDNSクエリを受け取ったDNSキャッシュサーバ(フルサービスリゾルバ)は、有効期限内のキャッシュが存在すればそれを返し、そうでなければそのドメインを管理する権威DNSサーバ(DNSコンテンツサーバ)に問合せを行った結果をクライアントに返します。"}, {id:800,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ管理",q:"JVN(Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCVE(Common Vulnerabilities and Exposures)識別子の説明はどれか。",opts:["コンピュータで必要なセキュリティ設定項目を識別するための識別子である。", "脆弱性を利用して改ざんされたWebサイトのスクリーンショットを識別するための識別子である。", "製品に含まれる脆弱性を識別するための識別子である。", "セキュリティ製品を識別するための識別子である。"],ans:2,expl:"CVEは、米国MITRE社が管理運営を行っている、一般公表されている公知の脆弱性情報を掲載している脆弱性情報辞書(データベース)です。CVEは世界各国の製品開発企業、セキュリティ関連企業、調整機関等が広く利用しています。「CVE番号」は、このデータベースに収録された脆弱性情報を一意に識別するために割り当てられる番号です。(JPCERT Webサイトより引用)※採番形式は「CVE--」と規定されています。したがって正しい記述は「ウ」になります。"}, {id:801,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ",q:"不正が発生する際には\"不正のトライアングル\"の3要素全てが存在すると考えられている。\"不正のトライアングル\"の構成要素の説明のうち,適切なものはどれか。",opts:["\"機会\"とは,情報システムなどの技術や物理的な環境及び組織のルールなど,内部者による不正行為の実行を可能,又は容易にする環境の存在である。", "\"情報と伝達\"とは,必要な情報が識別,把握及び処理され,組織内外及び関係者相互に正しく伝えられるようにすることである。", "\"正当化\"とは,ノルマによるプレッシャーなどのことである。", "\"動機\"とは,良心のかしゃくを乗り越える都合の良い解釈や他人への責任転嫁など,内部者が不正行為を自ら納得させるための自分勝手な理由付けである。"],ans:0,expl:"不正のトライアングルとは、不正行動は「動機・プレッシャー」「機会」「正当化」の3要素がすべて揃ったときに起こると説明する理論です。1950年代に米国の組織犯罪研究者であるドナルド・R・クレッシーにより提唱されました。"}, {id:802,cat:"テクノロジ系 » セキュリティ » セキュリティ実装技術",q:"ファイアウォールにおけるダイナミックパケットフィルタリングの特徴はどれか。",opts:["IPアドレスの変換が行われるので,ファイアウォール内部のネットワーク構成を外部から隠蔽できる。", "暗号化されたパケットのデータ部を復号して,許可された通信かどうかを判断できる。", "パケットのデータ部をチェックして,アプリケーション層での不正なアクセスを防止できる。", "戻りのパケットに関しては,過去に通過したリクエストパケットに対応したものだけを通過させることができる。"],ans:3,expl:"ダイナミックパケットフィルタリングは、通信の状況に応じて動的にフィルタリングテーブルの更新を行うファイアウォールです。静的なフィルタリング・テーブルの場合だと、1つの通信に対して発信パケットと戻りパケットの両方を登録しておかなければならないのですが、ダイナミックパケットフィルタリングの初期フィルタリング・テーブルには、内部から外部に向けて通信の開始時に開始させるパケットのみを通過許可に設定しておきます。実際に通信要求があると、接続要求に対する応答、それに付随するコネクションなどの通信が自動的にフィルタリング・テーブルに追加され、通信後のセッション終了に伴い、自動的に追加されたルールも破棄されま"}, {id:803,cat:"テクノロジ系 » セキュリティ » セキュリティ実装技術",q:"スパムメールの対策であるDKIM(DomainKeys Identified Mail)の説明はどれか。",opts:["送信側メールサーバでデジタル署名を電子メールのヘッダーに付与して,受信側メールサーバで検証する。", "送信側メールサーバで利用者が認証されたとき,電子メールの送信が許可される。", "電子メールのヘッダーや配送経路の情報から得られる送信元情報を用いて,メール送信元のIPアドレスを検証する。", "ネットワーク機器で,内部ネットワークから外部のメールサーバのTCPポート25番への直接の通信を禁止する。"],ans:0,expl:"DKIM(DomainKeys Identified Mail)は、送信する電子メールにデジタル署名を付加し、受信側で発信元DNSサーバに登録されている公開鍵を使用しデジタル署名の確認を行うことで発信元メールサーバの正当性を検証する仕組みです。正しい。DKIMの説明です。SMTP-AUTHの説明です。SPF(Sender Policy Framework)やSender IDの説明です。OP25B(Outbound Port 25 Blocking)の説明です。"}, {id:804,cat:"テクノロジ系 » セキュリティ » セキュリティ実装技術",q:"SSLに関する記述のうち,適切なものはどれか。",opts:["SSLで使用するWebサーバのデジタル証明書にはIPアドレスの組込みが必須なので,WebサーバのIPアドレスを変更する場合は,デジタル証明書を再度取得する必要がある。", "SSLで使用する個人認証用のデジタル証明書は,ICカードなどに格納できるので,格納場所を特定のPCに限定する必要はない。", "SSLはWebサーバを経由した特定の利用者間の通信のために開発されたプロトコルであり,Webサーバ提供者への事前の利用者登録が不可欠である。", "日本国内では,SSLで使用する共通鍵の長さは,128ビット未満に制限されている。"],ans:1,expl:"SSL(Secure Sockets Layer)は、通信の暗号化、デジタル証明書を利用した改ざん検知、ノード認証を含む統合セキュアプロトコルです。主にWebブラウザとWebサーバ間でデータを安全にやり取りするための業界標準プロトコルとして使用されています。デジタル証明書では、証明書が有効なサーバ(コモンネーム)を記述するのにIPアドレスだけでなくFQDNも使用できます。FQDNで指定した場合にはIPアドレスが変わっても再発行の必要はありません。正しい。デジタル証明書の内容はデジタルデータなので様々な媒体に格納することができます。個人認証用のデジタル証明書は電子証明書と呼ばれ、公的認証サービス"}, {id:805,cat:"テクノロジ系 » セキュリティ » セキュリティ実装技術",q:"OAuth2.0において,WebサービスAの利用者Cが,WebサービスBにリソースDを所有している。利用者Cの承認の下,WebサービスAが,リソースDへの限定的なアクセス権限を取得するときのプロトコルOAuth2.0の動作はどれか。",opts:["WebサービスAが,アクセストークンを発行する。", "WebサービスAが,利用者Cのデジタル証明書をWebサービスBに送信する。", "WebサービスBが,アクセストークンを発行する。", "WebサービスBが,利用者Cのデジタル証明書をWebサービスAに送信する。"],ans:2,expl:"OAuth2.0は、異なるドメインやプラットフォーム間で、 サードパーティーアプリケーションによるHTTPサービスへの限定的なアクセスを可能にするオープンな認可フレームワークです。"}, {id:806,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ対策",q:"迷惑メールの検知手法であるベイジアンフィルタリングの説明はどれか。",opts:["信頼できるメール送信元を許可リストに登録しておき,許可リストにない送信元からの電子メールは迷惑メールと判定する。", "電子メールが正規のメールサーバから送信されていることを検証し,迷惑メールであるかどうかを判定する。", "電子メールの第三者中継を許可しているメールサーバを登録したデータベースに掲載されている情報を基に,迷惑メールであるかどうかを判定する。", "利用者が振り分けた迷惑メールから特徴を学習し,迷惑メールであるかどうかを統計的に解析して判定する。"],ans:3,expl:"ベイジアンフィルタリングは、ユーザーが迷惑メールに指定した電子メールの特徴を解析し、学習した内容と同等の迷惑メールを受信したときには、迷惑メールとして分類するフィルターです。フィルターが振り分けを間違えた場合にはユーザーが正しい判定をし直すことで記憶されている学習内容を更新することができ、学習量が増えるほど検出精度が増す自己学習機能を備えています。ホワイトリストによる対策です。SPFやDKIMによる対策です。迷惑メールの発信・中継元のIPアドレスをまとめたRBL(Realtime Blackhole List)による対策です。正しい。"}, {id:807,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ対策",q:"メールサーバ(SMTPサーバ)の不正利用を防止するために行う設定はどれか。",opts:["ゾーン転送のアクセス元を制御する。", "第三者中継を禁止する。", "ディレクトリに存在するファイル名の表示を禁止する。", "特定のディレクトリ以外でのCGIプログラムの実行を禁止する。"],ans:1,expl:"SMTP(Simple Mail Transfer Protocol)を使用した一部のメールサーバソフトウェアは、誰からのメールでも受け付けるというの初期設定になっていました。さらにSMTPには、投稿者を認証する仕組みがないためにネットワーク外の第三者から別の第三者へのメールを無制限に受け付け中継してしまいます。このような第三者中継を禁止することで迷惑メールの発信者などの不正利用からメールサーバを防ぐことができます。不正なゾーン転送を防ぐためにプライマリDNSサーバに行う設定です。正しい。メールサーバに行う設定です。Webサーバでディレクトリにアクセスしたときにファイルの一覧が表示されてしまう"}, {id:808,cat:"テクノロジ系 » セキュリティ » セキュリティ実装技術",q:"リモートアクセス環境において,認証情報やアカウンティング情報をやり取りするプロトコルはどれか。",opts:["CHAP", "PAP", "PPTP", "RADIUS"],ans:3,expl:"RADIUS(Remote Authentication Dial In User Service)は、認証および利用ログの記録を単一のサーバに一元化することを目的としたプロトコルです。常時接続方式のインターネット接続サービス、無線LAN、VLAN、コンテンツ提供サービスなどのサービス提供者側設備において、認証とアカウンティング(利用の事実の記録)を実現するプロトコルとして広く利用されています。Challenge Handshake Authentication Protocolの略。PPPで利用できる認証プロトコルで、チャレンジレスポンス方式で認証を受ける方式です。認証情報をやり取りしますが"}, {id:809,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ",q:"作成者によってデジタル署名された電子文書に,タイムスタンプ機関がタイムスタンプを付与した。この電子文書を公開する場合のタイムスタンプの効果のうち,適切なものはどれか。",opts:["タイムスタンプを付与した時刻以降に,作成者が電子文書の内容をほかの電子文書へコピーして流用することを防止する。", "タイムスタンプを付与した時刻以降に,第三者が 電子文書の内容をほかの電子文書へコピーして流用することを防止する。", "電子文書が,タイムスタンプの時刻以前に存在したことを示すことによって,作成者が電子文書の作成を否認することを防止する。", "電子文書が,タイムスタンプの時刻以前に存在したことを示すことによって,第三者が電子文書を改ざんすることを防止する。"],ans:2,expl:"タイムスタンプは、対象とする電子文書に対して、信頼できる第三者機関である時刻認証局(TSA:Time Stamp Authority)が発行する時刻情報を含んだ電子データです。タイムスタンプは、付与時点での「存在性」、およびその時刻以後の「完全性」を証明することを目的としています。タイムビジネス推進協議会ガイドラインではタイムスタンプを「特定の電子情報と時刻情報を結合する事により、その時刻以前にその電子データが存在していたことの証明(存在証明)と、その時刻から検証した時刻までの間にその電子情報が変更・改ざんされていないことの証明(非改ざん証明)することができる手段、およびその証拠に結びつく情報"}, {id:810,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ",q:"ゼロデイ攻撃の特徴はどれか。",opts:["セキュリティパッチが提供される前にパッチが対象とする脆弱性を攻撃する。", "特定のサイトに対し,日時を決めて,複数台のPCから同時に攻撃する。", "特定のターゲットに対し,フィッシングメールを送信して不正サイトへ誘導する。", "不正中継が可能なメールサーバを見つけた後,それを踏み台にチェーンメールを大量に送信する。"],ans:0,expl:"ゼロデイ攻撃(zero-day attack)とは、あるOSやソフトウェアに脆弱性が存在することが判明し、ソフトウェアの修正プログラムがベンダーから提供されるより前に、その脆弱性を悪用して行われる攻撃のことを指します。問題解決のための修正パッチが提供された日を1日目としたとき、それ以前に始まった攻撃という意味で「ゼロデイ攻撃」と呼ばれます。正しい。DDoS攻撃の特徴です。フィッシングの特徴です。スパムメール送信行為の特徴です。SMTPの脆弱性を攻撃者に悪用されることでコンピュータが踏み台にされてしまいます。"}, {id:811,cat:"テクノロジ系 » セキュリティ » セキュリティ実装技術",q:"図はIPv4におけるIPsecのデータ形式を示している。ESPトンネルモードの電文中で,暗号化されているのはどこか。",opts:["ESPヘッダーからESPトレーラまで", "TCPヘッダーからESP認証データまで", "オリジナルIPヘッダーからESPトレーラまで", "新IPヘッダーからESP認証データまで"],ans:2,expl:"ESP(Encapsulating Security Payload)は、IPsecにおいてペイロード部を暗号化するためのプロトコルです。IPsecでは「トランスポートモード」と「トンネルモード」の2つの通信モードを利用できます。設問に登場する「トンネルモード」は、元のIPパケットの先頭に新しいIPヘッダーとESPヘッダーを付加してカプセル化したパケットをIPsec対応機器同士でやり取りする方式です。設問の電文中では、「オリジナルIPヘッダーからデータまで」がカプセル化前のIPパケットで、その他の「新IPヘッダー」「ESPヘッダー」「ESPトレーラ」「ESP認証データ」はカプセル化によって追加"}, {id:812,cat:"テクノロジ系 » セキュリティ » セキュリティ実装技術",q:"ISP\"A\"管理下のネットワークから別のISP\"B\"管理下の宛先へSMTPで電子メールを送信する。電子メール送信者がSMTP-AUTHを利用していない場合,スパムメール対策OP25Bによって遮断される電子メールはどれか。",opts:["ISP\"A\"管理下の固定IPアドレスから送信されたが,受信者の承諾を得ていない広告の電子メール", "ISP\"A\"管理下の固定IPアドレスから送信されたが,送信元IPアドレスがDNSで逆引きできなかった電子メール", "ISP\"A\"管理下の動的IPアドレスからISP\"A\"のメールサーバを経由して送信された電子メール", "ISP\"A\"管理下の動的IPアドレスからISP\"A\"のメールサーバを経由せずに送信された電子メール"],ans:3,expl:"OP25B(Outbound Port 25 Blocking)は、名前の通り、外向き(インターネット方向)のポート25番宛て(SMTP)パケットを遮断することでスパムメールを防ぐ仕組みです。ISP管理下の動的IPアドレスからの電子メール送信について、管理外ネットワークのメールサーバへSMTP通信を禁止することで、ISPのメールサーバを介さずに送信側のメールサーバと直接コネクションを確立して送信されるスパムメールを防ぎます。OP25Bでは、1.動的IPアドレスからの送信である,2.ISPのメールサーバを経由しない という2つの条件を満たした場合のみTCP/25宛てのパケットを遮断します。またI"}, {id:813,cat:"テクノロジ系 » セキュリティ » セキュリティ技術評価",q:"ISO/IEC 15408の評価対象になるものはどれか。",opts:["暗号アルゴリズムの品質", "認証業務の運用受託サービスの管理手順", "パケットフィルタリング機能をもつファイアウォール用ソフトウェア", "表示装置からの電磁波放射による情報漏えいの防止方法"],ans:2,expl:"ISO/IEC 15408は、情報技術の製品及びシステムのセキュリティ特性を評価するための国際規格です(JIS版は JIS X 5070)。評価対象はソフトウェアだけでなく、ハードウェア、ファームウェア、あるいは、システム全体も含まれます。また、製品の形態としては、ファイアウォールのように、直接セキュリティに関係する機能を提供する製品に限らず、オペレーティングシステム、データベース、あるいはグループウェアなど、保護すべき資源を保有する製品はすべて評価対象となります。日本では ISO/IEC 15408に基づいて第三者機関が評価する「ITセキュリティ評価及び認証制度(JISEC)」がIPAにより"}, {id:814,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ",q:"XMLデジタル署名の特徴はどれか。",opts:["XML文書中の,指定したエレメントに対して署名することができる。", "エンベローピング署名(Enveloping Signature)では一つの署名対象に必ず複数の署名を付ける。", "署名形式として,CMS(Cryptographic Message Syntax)を用いる。", "署名対象と署名アルゴリズムをASN.1によって記述する。"],ans:0,expl:"XMLデジタル署名は、XML文書にデジタル署名を埋め込むための仕様で、RFC 3075として標準化されています。デジタル署名と同様に完全性・認証・否認防止などのセキュリティ機能を提供します。"}, {id:815,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ対策",q:"VLAN機能をもった1台のレイヤー3スイッチに複数のPCを接続している。スイッチのポートをグループ化して複数のセグメントに分けると,セグメントを分けない場合に比べて,どのようなセキュリティ上の効果が得られるか。",opts:["スイッチが,PCから送出されるICMPパケットを全て遮断するので,PC間のマルウェア感染のリスクを低減できる。", "スイッチが,PCからのブロードキャストパケットの到達範囲を制限するので,アドレス情報の不要な流出のリスクを低減できる。", "スイッチが,PCのMACアドレスから接続可否を判別するので,PCの不正接続のリスクを低減できる。", "スイッチが,物理ポートごとに,決まったIPアドレスのPC接続だけを許可するので,PCの不正接続のリスクを低減できる。"],ans:1,expl:"VLAN(Virtual LAN)は、スイッチに接続された端末を物理的な構成に関係なくグループ化する機能、またはその機能で形成されたネットワークのことです。VLANにはセグメントの分割を基準により幾つかの方式があります。ポートベースVLANスイッチの接続ポート単位でグルーピングアドレスベースVLANMACアドレスやIPアドレスを基準にグルーピングポリシーベースVLAN IP、IPX、AppleTalkなどのネットワークプロトコルごとにグルーピングタグVLANパケット内の拡張タグに指定された情報によってグルーピングポートベースVLANでは以下のように同一のグループにするポートに\"VLAN ID\""}, {id:816,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ対策",q:"ファイアウォールにおいて,自ネットワークのホストへの侵入を防止する対策のうち,IPスプーフィング(spoofing)攻撃の対策について述べたものはどれか。",opts:["外部から入るTCPコネクション確立要求パケットのうち,外部へのインターネットサービスの提供に必要なもの以外を破棄する。", "外部から入るUDPパケットのうち,外部へのインターネットサービスの提供や利用したいインターネットサービスに必要なもの以外を破棄する。", "外部から入るパケットのあて先IPアドレスが,インターネットとの直接の通信をすべきでない自ネットワークのホストのものであれば,そのパケットを破棄する。", "外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば,そのパケットを破棄する。"],ans:3,expl:"IPスプーフィングは、攻撃者が身元を隠すためや応答パケットを攻撃対象に送りつけるために、IPヘッダーに含まれる送信元IPアドレスを偽装する攻撃手法です。単純にこの方法だけで不正アクセスを試みる攻撃のほか、「ポートスキャン」や「DoS攻撃」などの他の攻撃手法を成功させるために併用されるケースもあります。IPスプーフィング対策なので、注目すべき点は「送信元IPアドレス」です。外部から内部向けパケットの送信元IPアドレスに、内部のIPアドレス(プライベートアドレス等)が設定されている場合には、送信元IPアドレスが詐称されていると判断できます。これらの不自然なIPパケットをファイアウォールで破棄するこ"}, {id:817,cat:"テクノロジ系 » セキュリティ » セキュリティ実装技術",q:"DNSSECで実現できることはどれか。",opts:["DNSキャッシュサーバからの応答中のリソースレコードが,権威DNSサーバで管理されているものであり,改ざんされていないことの検証", "権威DNSサーバとDNSキャッシュサーバとの通信を暗号化することによる,ゾーン情報の漏えいの防止", "長音\"ー\"と漢数字\"一\"などの似た文字をドメイン名に用いて,正規サイトのように見せかける攻撃の防止", "利用者のURLの打ち間違いを悪用して,偽サイトに誘導する攻撃の検知"],ans:0,expl:"DNSSEC(DNS Security Extensions)は、DNSにおける応答の正当性を保証するための拡張仕様です。DNSSECでは、以下の手順で応答レコードが改ざんされておらず、正当な管理者によって生成された応答レコードであることを検証します。DNSキャッシュサーバは、DNSコンテンツ(権威)サーバに対してドメイン問合せを行う。(通常と同じ)DNSコンテンツサーバは、ドメイン応答に自身のデジタル署名を付加してDNSキャッシュサーバに送信する。応答を受け取ったDNSキャッシュサーバは、DNSコンテンツサーバの公開鍵を使用してデジタル署名を検証し、内容の正当性を確認する。DNSSECで実現"}, {id:818,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ対策",q:"ダウンローダ型マルウェアが内部ネットワークのPCに感染したとき,そのマルウェアによってインターネット経由で他のマルウェアがダウンロードされることを防ぐ対策として,最も有効なものはどれか。",opts:["URLフィルターを用いてインターネット上の危険なWebサイトへの接続を遮断する。", "インターネットから内部ネットワークに向けた要求パケットによる不正侵入行為をIPSで破棄する。", "スパムメール対策サーバでインターネットからのスパムメールを拒否する。", "メールフィルターで他サイトへの不正メール発信を遮断する。"],ans:0,expl:"ダウンローダ型マルウェアは、感染したコンピュータのユーザーに気付かれないようにインターネット上の悪意のあるWebサイトに接続し、他のマルウェアをダウンロードして感染を拡散させるタイプのウイルス(またはマルウェア)です。ダウンロードの際のHTTPセッションは、組織内部の感染したPCから通常のインターネットアクセスと同じようにWeb上のサーバに対して確立され、そのセッションのレスポンスとしてウイルスがダウンロードされる流れになるため、ファイアウォールで善悪を区別して遮断することは困難です。正しい。Webアクセスに対してフィルタリングを行い怪しいサイトへの接続を遮断することで、さらなるウイルスのダウ"}, {id:819,cat:"テクノロジ系 » セキュリティ » セキュリティ実装技術",q:"暗号化や認証機能を持ち,遠隔にあるコンピュータを操作する機能をもったものはどれか。",opts:["IPsec", "L2TP", "RADIUS", "SSH"],ans:3,expl:"SSH(Secure SHell)は、公開鍵公開鍵暗号や認証の技術を用いて、遠隔地にあるコンピュータ(リモートコンピュータ)との間で安全にリモート通信をするためのプロトコルです。ネットワークを介して遠隔地のコンピュータを操作する「rlogin」や「rsh」などのUNIX系コマンドや「TELNET」などを安全に利用するための方式です。またポートフォワーディング機能を使ってFTP,POP,SMTPなどの暗号化機能をもたないプロトコルを安全に利用する手段としても使用されています。Security Architecture for IPの略。IP(Internet Protocol)を拡張してセキュリ"}, {id:820,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ対策",q:"DNSの再帰的な問合せを使ったサービス不能攻撃(DNS amp)の踏み台にされることを防止する対策はどれか。",opts:["DNSキャッシュサーバとコンテンツサーバに分離し,インターネット側からDNSキャッシュサーバに問合せできないようにする。", "問合せされたドメインに関する情報をWhoisデータベースで確認する。", "一つのDNSレコードに複数のサーバのIPアドレスを割り当て,サーバへのアクセスを振り分けて分散させるように設定する。", "他のDNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性をデジタル署名で確認するように設定する。"],ans:0,expl:"DNS ampは、脆弱性のある公開DNSキャッシュサーバを踏み台として悪用することで行われる分散型サービス妨害(Distributed Denial of Service: DDoS)攻撃の一種です。攻撃者は、以下の手順で攻撃対象をサービス不能状態に陥れます。攻撃者は、脆弱性のある複数の公開DNSキャッシュサーバに対して、送信元を攻撃対象としたDNSクエリをボットを介して発行する(このとき応答パケットのサイズができるだけ多くなるようにする)クエリを受け取ったDNSキャッシュサーバは、クエリの送信元に設定されている攻撃対象に対して応答パケットを一斉に送信する大量の応答パケットを受け取った攻撃対象"}, {id:821,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ管理",q:"2011年に経済産業省が公表した\"クラウドサービス利用のための情報セキュリティマネジメントガイドライン\"が策定された目的について述べたものはどれか。",opts:["JIS Q 27002の管理策を補完し,クラウドサービス利用者が情報セキュリティ対策を円滑に行えるようにする。", "クラウドサービス提供事業者に対して情報セキュリティ監査を実施する方法を利用者に提示する。", "クラウドサービスの利用がもたらすセキュリティリスクをサービス提供事業者の視点で提示する。", "セキュリティリスクの懸念の少ないクラウドサービス提供事業者を利用者が選択できるような格付け基準を提供する。"],ans:0,expl:"\"クラウドサービス利用のための情報セキュリティマネジメントガイドライン\"は、クラウド利用者が、経済産業省により策定されたガイドラインで、クラウドサービス利用の際に情報セキュリティ対策の観点から活用することを企図して策定されたものです(ガイドラインより引用)。具体的には、クラウド利用者がクラウドサービスを全面的に利用する際の以下の事項について記載されています。クラウド利用者自ら行うべきことクラウド事業者に対して求める必要のあることクラウドコンピューティング環境における情報セキュリティマネジメントの仕組みまた、本ガイドラインは情報セキュリティマネジメントシステムの実践規範であるJIS Q 2700"}, {id:822,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ対策",q:"サイドチャネル攻撃の手法であるタイミング攻撃の対策として,最も適切なものはどれか。",opts:["演算アルゴリズムに対策を施して,演算内容による処理時間の差異が出ないようにする。", "故障を検出する機構を設けて,検出したら機密情報を破棄する。", "コンデンサを挿入して,電力消費量が時間的に均一となるようにする。", "保護層を備えて,内部のデータが不正に書き換えられないようにする。"],ans:0,expl:"サイドチャネル攻撃は、対象の動作状況を観察し、漏洩電磁波・電力消費等のサイドチャネル情報から暗号鍵推定等を行う非破壊型解析攻撃の総称です。サイドチャネル(Side Channel)には、非正規の入出力経路という意味があります。具体的な攻撃方法としては、故障利用攻撃、タイミング攻撃や電力解析攻撃、電磁波解析攻撃などがあります。タイミング攻撃は、暗号処理のタイミングが暗号鍵の論理値に依存して変化することに着目し、暗号化や復号に要する時間の差異を統計的に解析して暗号鍵を推定する手法です。暗号アルゴリズムの実装方法に対する攻撃方法なので、次のような対策が有効となります。すべての演算がデータによらず一定"}, {id:823,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ",q:"DNSキャッシュポイズニングに分類される攻撃内容はどれか。",opts:["DNSサーバのソフトウェアのバージョン情報を入手して,DNSサーバのセキュリティホールを特定する。", "PCが参照するDNSサーバに誤ったドメイン管理情報を注入して,偽装されたWebサーバにPCの利用者を誘導する。", "攻撃対象のサービスを妨害するために,攻撃者がDNSサーバを踏み台に利用して再帰的な問合せを大量に行う。", "内部情報を入手するために,DNSサーバが保存するゾーン情報をまとめて転送させる。"],ans:1,expl:"DNSキャッシュポイズニングは、DNSサーバからの名前解決要求があった場合に正常な応答に加えて偽の名前解決情報を付加して送信することで、そのサーバのキャッシュに偽の情報を登録させるという攻撃手法です。この汚染されたDNSサーバを利用したユーザーが、偽のキャッシュ情報をもとに悪意のあるサイトに誘導され、機密情報を盗まれるなどの被害が発生する可能性があります。フットプリンティングの説明です。サーバソフトウェアのバージョン情報等の収集には、ポートスキャニングツールが用いられることがあります。正しい。DNSリフレクション攻撃の説明です。ゾーン転送を悪用した登録情報の収集です。"}, {id:824,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ",q:"Webアプリケーションの脆弱性を悪用する攻撃手法のうち,Perlのsystem関数やPHPのexec関数など外部プログラムの呼出しを可能にするための関数を利用し,不正にシェルスクリプトや実行形式のファイルを実行させるものはどれに分類されるか。",opts:["HTTPヘッダーインジェクション", "OSコマンドインジェクション", "クロスサイトリクエストフォージェリ", "セッションハイジャック"],ans:1,expl:"OSコマンドインジェクションは、ユーザーの入力を元に一部のOSコマンドを使用して動的にページを生成するシステムにおいて、入力値として不正な値を与えることでファイルの不正操作,パスワードの不正取得などを行う攻撃です。HTTPヘッダーインジェクションは、動的にHTTPヘッダーを生成するシステムにおいて、HTTPヘッダー内に改行コードなどを挿入することによって\"Set-Cookie\",\"Location\"などの攻撃のための不正なヘッダー情報を挿入したり、メッセージボディに任意の記述を挿入する攻撃です。正しい。クロスサイトリクエストフォージェリは、Webサイトに設置されたハイパーリンクや実行されるスク"}, {id:825,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ",q:"サイドチャネル攻撃の説明はどれか。",opts:["暗号化装置における暗号化処理時の消費電力などの測定や統計処理によって,当該装置内部の機密情報を推定する攻撃", "攻撃者が任意に選択した平文とその平文に対応した暗号文から数学的手法を用いて暗号鍵を推測し,同じ暗号鍵を用いて作成された暗号文を解読する攻撃", "操作中の人の横から,入力操作の内容を観察することによって,IDとパスワードを盗み取る攻撃", "無線LANのアクセスポイントを不正に設置し,チャネル間の干渉を発生させることによって,通信を妨害する攻撃"],ans:0,expl:"サイドチャネル攻撃は、漏洩電磁波・電力消費等のサイドチャネル情報から暗号鍵推定等を行う「非破壊攻撃」での総称です。正しい。サイドチャネル攻撃の説明です。関連平文攻撃の説明です。ソーシャルエンジニアリングの説明です。ジャミング(Jamming)の説明です。"}, {id:826,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ",q:"米国NISTが制定した,AESにおける鍵長の条件はどれか。",opts:["128ビット,192ビット,256ビットから選択する。", "256ビット未満で任意に指定する。", "暗号化処理単位のブロック長より32ビット長くする。", "暗号化処理単位のブロック長より32ビット短くする。"],ans:0,expl:"AES(Advanced Encryption Standard)は、アメリカ合衆国の次世代暗号方式として規格化された共通鍵暗号方式です。ブロックと呼ばれる固定長のデータを単位として暗号化を行う「ブロック暗号」に分類され、ブロック長は128ビット,使用する鍵の長さは128/192/256ビットから選択可能となっています。したがって正しい記述は「ア」です。"}, {id:827,cat:"テクノロジ系 » セキュリティ » セキュリティ実装技術",q:"サンドボックスの仕組みについて述べたものはどれか。",opts:["Webアプリケーションの脆弱性を悪用する攻撃に含まれる可能性が高い文字列を定義し,攻撃であると判定した場合には,その通信を遮断する。", "侵入者をおびき寄せるために本物そっくりのシステムを設置し,侵入者の挙動などを監視する。", "プログラムの影響がシステム全体に及ばないように,プログラムが実行できる機能やアクセスできるリソースを制限して動作させる。", "プログラムのソースコードでSQL文の雛(ひな)形の中に変数の場所を示す記号を置いた後,実際の値を割り当てる。"],ans:2,expl:"サンドボックス(Sandbox)は、外部から受け取ったプログラムを保護された領域で動作させることによってシステムが不正に操作されるのを防ぎ、セキュリティを向上させる仕組みです。JavaアプレットやAdobe Flash、Webブラウザのプラグインなどでは外部プログラムの機能を制限することで脆弱性を低減させています。子供を安全である砂場(サンドボックス)内だけで遊ばせるイメージからこう呼ばれています。WAF(Web Application Firewall)の仕組みです。ハニーポットの仕組みです。正しい。サンドボックスの仕組みです。SQLインジェクション対策であるバインド機構またはプレースホルダ"}, {id:828,cat:"テクノロジ系 » セキュリティ » セキュリティ実装技術",q:"IPsecのAHに関する説明のうち,適切なものはどれか。",opts:["IPパケットを暗号化する対象部分によって,トランスポートモード,トンネルモードの方式がある。", "暗号化アルゴリズムや暗号化鍵のライフタイムが設定される管理テーブルで,期間を過ぎると新しいデータに更新される。", "暗号化アルゴリズムを決定し,暗号化鍵を動的に生成する鍵交換プロトコルで,暗号化通信を行う。", "データの暗号化は行わず,SPI,シーケンス番号,認証データを用い,完全性の確保と認証を行う。"],ans:3,expl:"AH(Authentication Header:認証ヘッダー)は、IPsecにおいて通信データの認証のために使用されるプロトコルで暗号化の機能はありません。AHヘッダーに含まれる主なパラメータについては以下の通りです。SPI(セキュリティパラメータインデックス)データを通信するためのコネクションであるIPsecSAを識別するのに使用される情報シーケンス番号リプレイアタックを防止するために各パケットごとに付与される順序番号認証データIPヘッダーも含めたパケット全体の完全性をチェックするデータで、HMACを用いて生成されるAHは暗号化機能をもっていないため正しい記述は「エ」になります。"}, {id:829,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ管理",q:"特定の情報資産の漏えいに関するリスク対応のうち,リスク回避に該当するものはどれか。",opts:["外部の者が侵入できないように,入退室をより厳重に管理する。", "情報資産を外部のデータセンターに預託する。", "情報の新たな収集を禁止し,収集済みの情報を消去する。", "情報の重要性と対策費用を勘案し,あえて対策をとらない。"],ans:2,expl:"リスク分析・リスク評価の結果をうけ、予算や組織などの条件を考慮し、実際に実施するリスク対応策をそれぞれのリスクに対して決定します。情報セキュリティマネジメントにおけるリスク対応策は、移転、回避、低減および受容の4つに大別することができます。リスク移転(リスク共有)保険への加入やリスク業務のアウトソーシングなどにより、 他者にリスクを移転・分散することリスク回避リスク源を除去して、リスクの発現確率をゼロにすることリスク低減リスクの発現確率やリスクが現実化したときの損失を低下させることリスク受容(リスク保有)リスクに対してあえて何の対策もとらないこと。発生頻度が低く損害も小さいリスクに対して選択さ"}, {id:830,cat:"テクノロジ系 » セキュリティ » セキュリティ実装技術",q:"SMTP-AUTHの特徴はどれか。",opts:["ISP管理下の動的IPアドレスからの電子メール送信について,管理外ネットワークのメールサーバへSMTP接続を禁止する。", "PCからメールサーバへの電子メール送信時に,ユーザーアカウントとパスワードによる利用者認証を行う。", "PCからメールサーバへの電子メール送信は,POP接続で利用者認証済の場合にだけ許可する。", "電子メール送信元のサーバが,送信元ドメインのDNSに登録されていることを確認して,電子メールを受信する。"],ans:1,expl:"メールを送信・転送するプロトコルであるSMTPには、送信処理と転送処理を同一の仕組みで扱っているメールの投稿をするユーザーを認証する仕組みがない暗号化機能が標準で実装されていないため通信経路上を平文のメッセージが流れるなどの脆弱性があり、特に上記2つの原因によって複数のメールサーバの第三者中継を利用した迷惑メールの温床となっていました。SMTP-AUTH(SMTP-Authentication)は、本来メール投稿にあたってユーザー認証の仕組みがなく、迷惑メールの温床となってたSMTPにユーザー認証機能を追加した方式です。使用するにはメールサーバとクライアントの双方が対応していなければなりません"}, {id:831,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ",q:"AESの暗号化方式を説明したものはどれか。",opts:["鍵長によって,段数が決まる。", "段数は,6回以内の範囲で選択できる。", "データの暗号化,復号,暗号化の順に3回繰り返す。", "同一の公開鍵を用いて暗号化を3回繰り返す。"],ans:0,expl:"AES(Advanced Encryption Standard)は、アメリカ合衆国の次世代暗号方式として規格化された共通鍵暗号方式です。暗号化に用いるブロック長は128ビット,使用する鍵の長さは128/192/256ビットから選択が可能となっています。正しい。段数(ラウンド数)は鍵長によって10段、12段、14段と3種類に変化します。段数は10段以上です。暗号化の際には段数の分だけ暗号化処理を繰り返し、復号処理は行われません。AESは共通鍵暗号方式なので公開鍵は使用しません。"}, {id:832,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ",q:"PKIを構成するOCSPを利用する目的はどれか。",opts:["誤って破棄してしまった秘密鍵の再発行処理の進捗状況を問い合わせる。", "デジタル証明書から生成した鍵情報の交換がOCSPクライアントとレスポンダの間で失敗した際,認証状態を確認する。", "デジタル証明書の失効情報を問い合わせる。", "有効期限の切れたデジタル証明書の更新処理の進捗状況を確認する。"],ans:2,expl:"OCSP(Online Certificate Status Protocol)は、リアルタイムでデジタル証明書の失効情報を検証し、有効性を確認するプロトコルです。クライアントは、確認対象となるデジタル証明書のシリアル番号をOCSPレスポンダに送信し、有効性検証の結果を受け取ります。この仕組みを利用することで、クライアント自身がCRLを取得・検証する手間を省くことができます。したがって「ウ」が正しい記述です。"}, {id:833,cat:"テクノロジ系 » セキュリティ » セキュリティ実装技術",q:"DNSキャッシュサーバに対して外部から行われるキャッシュポイズニング攻撃への対策のうち,適切なものはどれか。",opts:["外部ネットワークからの再帰的な問合せに応答できるように,コンテンツサーバにキャッシュサーバを兼ねさせる。", "再帰的な問合せに対しては,内部ネットワークからのものだけに応答するように設定する。", "再帰的な問合せを行う際の送信元のポート番号を固定する。", "再帰的な問合せを行う際のトランザクションIDを固定する。"],ans:1,expl:"DNSキャッシュポイズニング攻撃は、DNSキャッシュサーバに偽のDNS情報をキャッシュとして登録させることで、利用者を偽のWebサイトに誘導する攻撃です。まず設問に登場する「再帰的な問合せ」について確認しておきます。DNSの名前解決はその性質によって「再帰的な問合せ」と「反復(非再帰的)問合せ」に区別されます。再帰的な問合せリゾルバから名前解決要求を受けたDNSサーバが他のDNSサーバに代理して問合せを行い、最終的な結果をリゾルバに返す必要のある問合せのこと反復問合せリゾルバから再帰的問合せを受けたDNSサーバが、それを解決できるまで繰り返し他のDNSサーバに行う問合せのこと"}, {id:834,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ対策",q:"ウイルス調査手法に関する記述のうち,適切なものはどれか。",opts:["逆アセンブルは,バイナリコードの新種ウイルスの動作を解明するのに有効な手法である。", "パターンマッチングでウイルスを検知する方式は,暗号化された文書中のマクロウイルスの動作を解明するのに有効な手法である。", "ファイルのハッシュ値を基にウイルスを検知する方式は,ウイルスのハッシュ値からウイルスの亜種かを特定するのに確実な手法である。", "不正な動作からウイルスを検知する方式では,ウイルス名を特定するのに確実な手法である。"],ans:0,expl:"実行ファイルをアセンブリ言語に逆変換することを逆アセンブルといいます。ソースコードを入手することができないソフトウェアの動作を知りたい場合、機械語ではなくプログラマが理解しやすいアセンブリ言語に変換した後で解析を行います。正しい。パターンマッチングは、「パターンファイル」「ウイルス定義ファイル」等を用いて、何らかの特徴的なコードをパターンとしてウイルス検査対象と比較することで検出する手法ですが、暗号化されたウィルスには効果を発揮しません。他のファイル中に埋め込まれたウィルスが暗号化された場合、ファイル中の正常なデータや暗号化手法によって、もとのウィルスのパターンと異なるデータとしてファイル内に"}, {id:835,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ",q:"テンペスト(TEMPEST)攻撃を説明したものはどれか。",opts:["故意に暗号化演算を誤動作させて正しい処理結果との差異を解析する。", "処理時間の差異を計測し解析する。", "処理中に機器から放射される電磁波を観測し解析する。", "チップ内の信号線などに探針を直接当て,処理中のデータを観測し解析する。"],ans:2,expl:"テンペスト攻撃は、モニターやキーボード,ネットワークケーブルなどから放射されている微弱な電磁波を傍受し、それを解析することで元の情報の再現を試みる攻撃手法です。一般に知られている実験では、ブラウン管ディスプレイやケーブルから発生する電磁波を3m離れた地点で傍受して、表示されている画像を再現した例があります。故障利用攻撃の説明です。タイミング攻撃の説明です。正しい。テンペスト攻撃の説明です。プロ―ビングの説明です。"}, {id:836,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ",q:"デジタル署名を利用する目的はどれか。",opts:["受信者が署名鍵を使って暗号文を元の平文に戻すことができるようにする。", "送信者が固定文字列を付加した平文を署名鍵を使って暗号化し,受信者がメッセージの改ざん部位を特定できるようにする。", "送信者が署名鍵を使って署名を作成し,それを平文に付加することによって,受信者が送信者を確認できるようにする。", "送信者が署名鍵を使って平文を暗号化し,平文の内容を関係者以外に分からないようにする。"],ans:2,expl:"デジタル署名は、公開鍵暗号方式を使ってデジタル文書の正当性を保証する技術です。メッセージにデジタル署名を付加することによって「発信者が正当であるか」と「改ざんの有無」の2点の確認が可能となります。なお、改ざんの検知はできますが、改ざん部位の特定や訂正機能は有しません。デジタル署名の生成と検証の手順は次のとおりです。送信者は、送信するメッセージのハッシュ値(メッセージダイジェスト)を生成し、それに送信者の秘密鍵で署名して、署名データを作成する送信者は、署名データをメッセージに付加して送信する受信者は、署名データ付きのメッセージを受信する受信者は、受信したメッセージのハッシュ値と送信者の公開鍵を使"}, {id:837,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ管理",q:"CRYPTRECの活動内容はどれか。",opts:["暗号技術の安全性,実装性及び利用実績の評価・検討を行う。", "情報セキュリティ政策に係る基本戦略の立案,官民における統一的,横断的な情報セキュリティ政策の推進に係る企画などを行う。", "組織の情報セキュリティマネジメントシステムについて評価し認証する制度を運用する。", "認証機関から貸与された暗号モジュール試験報告書作成支援ツールを用いて暗号モジュールの安全性についての評価試験を行う。"],ans:0,expl:"CRYPTREC(Cryptography Research and Evaluation Committees)は、電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討するプロジェクトです。(CRYPTREC公式サイトより引用)暗号の安全性に関する情報を提供することを目的として「共通鍵暗号」「公開鍵暗号」「ハッシュ関数」「擬似乱数生成系」の4種類の暗号技術に対して国内外の暗号研究者による評価を行い、評価レポートや推奨可能な暗号のリストを作成することを主な活動内容としています。正しい。CRYPTRECの活動内容です。国家サイバー統括室(NCO)の活動内容です。情報"}, {id:838,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ",q:"標準化団体OASISが,Webサイト間で認証,属性及び認可の情報を安全に交換するために策定したフレームワークはどれか。",opts:["SAML", "SOAP", "XKMS", "XML Signature"],ans:0,expl:"正しい。SAML(Security Assertion Markup Language:サムエル)は、XMLベースのメッセージのやり取りによって、複数のシステムやサービスの間で認証情報、属性情報、権限の認可情報を交換するための仕様です。標準化団体OASISによって策定されていて、2022年現在の最新バージョンは2005年にリリースのSAML2.0です。主に複数のドメインにまたがったセキュアなシングルサインオンを実現するための仕組みとして使用されています。SOAPは、ネットワークを介して、他のコンピュータ上にあるアプリケーションやサービスを遠隔呼出しするためのXMLベースのRPCプロトコルです。"}, {id:839,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ対策",q:"通信を要求したPCに対し,ARPの仕組みを利用して実現できる通信の可否の判定方法のうち,最も適切なものはどれか。",opts:["PCにインストールされているソフトウェアを確認し,登録されているソフトウェアだけがインストールされている場合に通信を許可する。", "PCのMACアドレスを確認し,事前に登録されているMACアドレスをもつ場合だけ通信を許可する。", "PCのOSのパッチ適用状況を確認し,最新のパッチが適用されている場合だけ通信を許可する。", "PCのマルウェア対策ソフトの定義ファイルを確認し,最新になっている場合だけ通信を許可する。"],ans:1,expl:"ARP(Address Resolution Protocol)は、IPアドレスから対応する機器のMACアドレスを取得するプロトコルです。無線LANルータなどでは、あらかじめMACアドレスを登録しておいた機器からのみの接続を許可するMACアドレスフィルタリングの機能を備えています。無線LANルータ側では接続を要求するPCのIPアドレスからARPを用いることで対応するMACアドレスを取得し、それを登録済みMACアドレスと比較することで正規の利用者以外からの接続を防止しています。"}, {id:840,cat:"テクノロジ系 » セキュリティ » セキュリティ実装技術",q:"セキュリティプロトコルのSSL/TLSの機能はどれか。",opts:["FTPなどの様々なアプリケーションに利用されて,アプリケーション層とトランスポート層(TCP)との間で暗号化する。", "MIMEをベースとして,電子署名とメッセージの暗号化によって電子メールのセキュリティを強化する。", "PPPとL2Fが統合された仕様で,PPPをトンネリングする。", "特定のアプリケーションの通信だけでなく,あらゆるIPパケットをIP層で暗号化する。"],ans:0,expl:"正しい。SSL/TLSの機能です。HTTP,SMTP,POP,FTPなどの通信を平文で行うプロトコルに暗号化の機能を提供します。S/MIMEの機能です。PPTPの機能です。IPsecの機能です。"}, {id:841,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ",q:"XML署名において署名対象であるオブジェクトの参照を指定する表記形式はどれか。",opts:["OIDの形式", "SSIDの形式", "URIの形式", "デジタル証明書のシリアル番号の形式"],ans:2,expl:"XML署名は、XML文書にデジタル署名を埋め込むための技術で、RFC3075として標準化されています。任意のデータファイルに対する署名の他にも、指定したエレメントなどのXML文書の一部に対しても署名を付することが可能です。XML署名は、「Signature要素」といくつかの子要素を組合わせて記述されますが、この中でオブジェクトの参照を指定するのが「Reference要素」であり、この要素には署名されるリソースをURIによって指定します。"}, {id:842,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ",q:"ルートキット(rootkit)を説明したものはどれか。",opts:["OSの中核であるカーネル部分の脆(ぜい)弱性を分析するツール", "コンピュータがウイルスやワームに感染していないことをチェックするツール", "コンピュータやルータのアクセス可能な通信ポートを外部から調査するツール", "不正侵入してOSなどに不正に組み込んだものを隠ぺいする機能をまとめたツール"],ans:3,expl:"ルートキット(rootkit)は、システムへのアクセスを確保した攻撃者が、その後の不正な活動を行いやすくするために作動中のプロセスやファイル、ログやシステムデータを隠ぺいするためのソフトウェア群です。ユーザーやシステム管理者に見られたとしてもrookitが侵入の痕跡を隠ぺいすることで攻撃者は\"root\"権限を確保し続ける可能性が高まります。脆弱性検査ツールの説明です。アンチウィルスソフトの説明です。ポートスキャナーの説明です。正しい。rootkitの説明です。"}, {id:843,cat:"テクノロジ系 » セキュリティ » セキュリティ技術評価",q:"PCIデータセキュリティ基準(PCI DSS Version2.0)の要件のうち,詳細要件の選択肢として,WAFの導入を含むものはどれか。",opts:["要件1:カード会員データを保護するために,ファイアウォールをインストールして構成を維持すること", "要件3:保存されるカード会員データを保護すること", "要件6:安全性の高いシステムとアプリケーションを開発し,保守すること", "要件7:カード会員データへのアクセスを,業務上必要な範囲内に制限すること"],ans:2,expl:"Payment Card Industry(PCI)データセキュリティ基準(DSS)は、カード会員のデータセキュリティを強化し、均一なデータセキュリティ評価基準の採用をグローバルに推進するためにクレジットカードの国際ブランド大手5社共同(VISA,MasterCard,JCB,AmericanExpress,Diners Club)により策定された基準です。クレジットカード関連サービスを提供する企業は、カード会員データを保護するためにPCI DSSに規定された技術面および運用面の要件をセキュリティ基準のベースラインとして利用することができます。(PCI DSS本文より一部引用)PCI DSSで"}, {id:844,cat:"テクノロジ系 » セキュリティ » セキュリティ実装技術",q:"IEEE802.1Xで使われるEAP-TLSによって実現される認証はどれか。",opts:["CHAPを用いたチャレンジレスポンスによる利用者認証", "あらかじめ登録した共通鍵によるサーバ認証と,時刻同期のワンタイムパスワードによる利用者認証", "デジタル証明書による認証サーバとクライアントの相互認証", "利用者IDとパスワードによる利用者認証"],ans:2,expl:"EAP-TLSは、EAP(Extensible Authentication Protocol)でサポートされている方式の1つで認証にTLSの機構を用いたものです。TLSではサーバ-クライアント間でデジタル証明書を用いた相互認証を行うため、適切な記述は「ウ」になります。EAP-OTPによる認証です。EAP-MD5の認証方式です。正しい。EAP-TLSの認証方式です。PEAP(Protected EAP)やEAP-TTLS(EAP Tunneled TLS)の認証方式です。これらの方式ではデジタル証明書によるサーバ認証後、ID/パスワード認証を含む様々な方式を用いて利用者認証を行います。"}, {id:845,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ",q:"暗号方式に関する記述のうち,適切なものはどれか。",opts:["AESは公開鍵暗号方式,RSAは共通鍵暗号方式の一種である。", "共通鍵暗号方式では,暗号化及び復号に使用する鍵が同一である。", "公開鍵暗号方式を通信内容の秘匿に使用する場合は,暗号化鍵を秘密にして,復号鍵を公開する。", "デジタル署名に公開鍵暗号方式が使用されることはなく,共通鍵暗号方式が使用される。"],ans:1,expl:"記述とは逆で、AESは共通鍵暗号方式,RSAは公開鍵暗号方式です。正しい。公開鍵暗号方式では、暗号化鍵を公開し復号鍵は厳重に管理します。デジタル署名は共通鍵暗号方式ではなく公開鍵暗号方式を応用した技術です。"}, {id:846,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ管理",q:"コンティンジェンシープランにおける留意点はどれか。",opts:["企業のすべてのシステムを対象とするのではなく,システムの復旧の重要性と緊急性を勘案して対象を決定する。", "災害などへの対応のために,すぐに使用できるよう,バックアップデータをコンピュータ室内又はセンター内に保存しておく。", "バックアップの対象は,機密情報の中から機密度を勘案して選択する。", "被害のシナリオを作成し,これに基づく\"予防策策定手順\"を策定する。"],ans:0,expl:"コンティンジェンシープランは、事件・事故や災害などのようにリスクは特定されているが発生が不確実というような既知のリスクに対して、リスクが顕在化した場合の対応策をまとめた計画です。IPAの資料では「コンティンジェンシープランとは、その策定対象が潜在的に抱える脅威が万一発生した場合に、その緊急事態を克服するための理想的な手続きが記述された文書である」と定義されています。正しい。コンティンジェンシープランでは、システムごとにプライオリティ(優先度)が設定され、緊急事態発生時には、本作業で設定されたプライオリティが高い業務から順に継続・復旧作業が行われます。バックアップデータは、運用場所とは別の遠隔地"}, {id:847,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ",q:"ハッシュ関数の性質の一つである衝突発見困難性に関する記述のうち,適切なものはどれか。",opts:["SHA-256の衝突発見困難性を示す,ハッシュ値が一致する二つのメッセージの探索に要する最大の計算量は,256の2乗である。", "SHA-256の衝突発見困難性を示す,ハッシュ値の元のメッセージの探索に要する最大の計算量は,2の256乗である。", "ハッシュ値が与えられたときに,元のメッセージの探索に要する計算量の大きさによる,探索の困難性のことである。", "ハッシュ値が一致する二つのメッセージの探索に要する計算量の大きさによる,探索の困難性のことである。"],ans:3,expl:"ハッシュ関数には、暗号解読攻撃への耐性をもつために次の特性が必須です。衝突発見困難性(強衝突耐性)ハッシュ値が一致する、すなわち、hash(M1)=hash(M2)となるようなメッセージM1とM2を探索することが困難であること第二原像計算困難性(弱衝突耐性)既知のメッセージM1に対するハッシュ値が与えられた時に、ハッシュ値が一致する、すなわち、hash(M1)=hash(M2)となるようなメッセージM2を探索することが困難であること原像計算困難性ハッシュ値から元の入力値を探すことが困難であること、すなわち、hash(M)から元のメッセージMを探索することが困難であることsha-256は256ビ"}, {id:848,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ対策",q:"ステートフルインスペクション方式のファイアウォールの特徴はどれか。",opts:["WebブラウザとWebサーバとの間に配置され,リバースプロキシサーバとして動作する方式であり,WebブラウザからWebサーバへの通信に不正なデータがないかどうかを検査する。", "アプリケーションプロトコルごとにプロキシプログラムを用意する方式であり,クライアントからの通信を目的のサーバに中継する際に,不正なデータがないかどうかを検査する。", "特定のアプリケーションプロトコルだけを通過させるゲートウェイソフトウェアを利用する方式であり,クライアントからのコネクションの要求を受け付けて,目的のサーバに改めてコネクションを要求することによって,アクセスを制御する。", "パケットフィルタリングを拡張した方式であり,過去に通過したパケットから通信セッションを認識し,受け付けたパケットを通信セッションの状態に照らし合わせて通過させるか遮断させるかを判断する。"],ans:3,expl:"ステートフルインスペクション方式は、ダイナミックパケットフィルター方式とも呼ばれ、ファイアウォールを通過する個々のセッションの状態を管理し、その情報に基づき動的にポートを開閉することで詳細なアクセス制御を行うファイアウォールです。個々のセッションごとに過去の通信を保持しているため「順序の矛盾した攻撃パケットを遮断することができる」ことや、常に最小限の許可ルールが追加されるため「アクセス制御リストの設定不備を突く攻撃を受けにくい」という優れた点があり、多くのファイアウォール製品に採用されています。ステートフル(stateful)とは、システムが一連のセッション状態を保持し、個々の通信とセッション"}, {id:849,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ対策",q:"セキュリティ対策の\"予防\"に該当するものはどれか。",opts:["アクセスログをチェックし,不正なアクセスがないかどうかを監視する。", "コンティンジェンシープランを策定し,訓練を実施する。", "重要ファイルのバックアップ処理を定期的に行う。", "セキュリティに関する社内教育を実施し,個人の意識を高める。"],ans:3,expl:"情報セキュリティ対策には、「抑止・抑制」「予防・防止」「検知・追跡」「回復」に大別され、情報セキュリティ対策と呼ばれるものはこれらの機能のうち1つ、又は複数を持っています。検知・追跡に該当します。回復に該当します。回復に該当します。正しい。予防に該当します。"}, {id:850,cat:"テクノロジ系 » セキュリティ » セキュリティ実装技術",q:"DNSSECの説明として,適切なものはどれか。",opts:["DNSサーバへのDoS攻撃を防止できる。", "IPsecによる暗号化通信が前提となっている。", "代表的なDNSサーバの実装であるBINDの代替として使用する。", "デジタル署名によってDNS応答の正当性を確認できる。"],ans:3,expl:"DNSSECは、DNS Security Extensionsの略で、DNSにおける応答の正当性を保証するための拡張仕様です。DNSSECではドメイン応答に電子署名を付加することで、正当な管理者によって生成された応答レコードであること、また応答レコードが改ざんされていないことの検証が可能になります。したがって適切な記述は「エ」です。"}, {id:851,cat:"テクノロジ系 » セキュリティ » 情報セキュリティ管理",q:"経済産業省告示の\"ソフトウェア等脆弱性関連情報取扱基準\"におけるWebアプリケーションに関する脆弱性関連情報の適切な取扱いはどれか。",opts:["Webアプリケーションの脆弱性についての情報を受けた受付機関は,発見者の氏名・連絡先をWebサイト運営者に通知する。", "Webアプリケーションの脆弱性についての通知を受けたWebサイト運営者は,当該脆弱性に起因する個人情報の漏えいなどが発生した場合,事実関係を公表しない。", "受付機関は,Webサイト運営者からWebアプリケーションの脆弱性が修正されたという通知を受けたら,それを速やかに発見者に通知する。", "受付機関は,一般利用者に不安を与えないために,Webアプリケーションの脆弱性関連情報の届出状況は,受付機関の中で管理し,公表しない。"],ans:2,expl:"ソフトウェア等脆弱性関連情報取扱基準は、ソフトウェア等に係る脆弱性関連情報等の取扱いについての推奨行為を定めることで、「発見者」「受付機関」「調整機関」「製品開発者」「ウェブサイト運営者」などの関係者が脆弱性情報を適切に取り扱うこと、およびその脆弱性によって引き起こされる被害を予防することを目的とした基準です。対象がソフトウェア製品とウェブアプリケーションである場合のぞれぞれについて各関係者ごとに推奨される行動が項目としてまとめられています。各記述を取扱基準に照らすと以下のようになります。「受付機関は、氏名、連絡先等の発見者を特定し得る情報を適切に管理し、当該発見者の同意がない場合は他者(ウェ"}, {id:852,cat:"ストラテジ系 » 法務 » 知的財産権",q:"著作権法の保護の対象となるものはどれか。",opts:["通信規約", "パソコン本体の色や形状", "パソコンの取扱説明書", "プログラム言語"],ans:2,expl:"著作権とは、知的財産権の中でも文化・芸術に関するものにおいて、創作者を保護するための権利です。著作権法第10条の3には、著作物に対するこの法律の例外として以下のような記述があります。プログラム言語 プログラムを表現する手段としての文字その他の記号及びその体系をいう。規約 特定のプログラムにおける前号のプログラム言語の用法についての特別の約束をいう。解法 プログラムにおける電子計算機に対する指令の組合せの方法をいう。この条文により、プログラム言語,プログラム規約,及び解法(アルゴリズム)は著作権保護の対象とならないことになっています。プログラム言語は対象外ですが、プログラム言語によってつくられた"}, {id:853,cat:"ストラテジ系 » 法務 » セキュリティ関連法規",q:"自社の給与マスタの更新権限をもつ社員が,自身の給与を増額するよう給与マスタの内容を改ざんした。その事実が,給与支給前に発覚した。データの改ざんを行ったこの社員を処罰する法律として,適切なものはどれか。",opts:["刑法", "個人情報保護法", "電気通信事業法", "不正アクセス禁止法"],ans:0,expl:"設問事例は、一見すると不正アクセスに該当しそうなのですが、不正アクセス禁止法によれば不正アクセス行為となるには、以下の4要件を満たす必要があります。特定電子計算機、すなわちコンピュータ・ネットワークに接続されているコンピュータに対して行われたものであること。コンピュータ・ネットワークを通じて特定電子計算機へのアクセスが行われたものであること。他人の識別符号又はアクセス制御機能による特定利用の制限を免れることができる情報又は指令が入力されたものであること。アクセス制御機能によって制限されている特定利用をすることができる状態にさせたもの(一部のセキュリティ・ホール攻撃のように、特定利用をすることが"}, {id:854,cat:"ストラテジ系 » 法務 » 標準化関連",q:"Unicodeの説明として,適切なものはどれか。",opts:["ANSI(米国標準規格協会)で定めた,7ビットの文字コード体系である。", "JIS(日本エ業規格)で定めた文字コード体系であり,英数字とカタカナを扱う8ビットのコードと,全角文字を扱う16ビットのコードがある。", "拡張UNIXコードとも呼ばれ,全角文字と半角カタカナ文字を2バイト又は3バイトで表現する。", "多国籍文字を扱うために,日本語や中国語などの形の似た文字を同一コードに割り当てて2バイトの文字コードで表現する。"],ans:3,expl:"Unicode(ユニコード)は、世界の主要な言語で使われている文字を共通の文字集合で表現することを目指した文字コード体系で、1文字を2バイト以上で表現します。ASCIIコードの説明です。シフトJISの説明です。EUC(Extended Unix Code)の説明です。正しい。Unicodeの説明です。"}, {id:855,cat:"ストラテジ系 » 法務 » 標準化関連",q:"デファクトスタンダードの意味として,最も適切なものはどれか。",opts:["工業製品に関して,日本産業規格として定めたもの", "工業や科学技術に関して,国際標準化機構が定めた規格", "特定の企業やグループなどが採用した仕様が広く使用されるようになり,事実上の業界標準になったもの", "特定の国や地域,企業などに限られた基準ではなく,世界中どこでも適用される規格"],ans:2,expl:"デファクトスタンダードとは、公には特段定められているわけでないのに、市場のシェアやユーザーからの支持により事実上その分野で標準的なものと認識されている状態のことをいいます。例えば表計算ソフトといえばMicrosoftの「Excel」が有名ですし、画像処理ではAdobe社の「Photoshop」がプロアマ問わず最も使用されています。このようなソフトウェアのことをデファクトスタンダードといいます。日本産業規格(JIS)の説明です。ISOの説明です。正しい。デファクトスタンダードはその地域などによって異なることもあります。"}, {id:856,cat:"ストラテジ系 » 法務 » 標準化関連",q:"図書を特定するために世界標準として使用されているコードはどれか。",opts:["ISBN", "ITF", "JAN", "QR"],ans:0,expl:"ISBN(International Standard Book Number)は、世界共通で書籍を一意に特定するために付けられている番号です。日本語では国際標準図書番号と訳されます。現行のISBNコードは13桁(ISBN-13)で※「出版された国・言語圏」「出版者」「書籍名」を表す記号が含まれています。"}, {id:857,cat:"ストラテジ系 » 法務 » セキュリティ関連法規",q:"個人情報の取得,活用事例に関する記述a~cのうち,個人情報保護法で禁止されていない行為だけを全て挙げたものはどれか。自社商品の情報を送ることを明示して,景品付きアンケートを実施して集めた応募者リストを使い,新商品のキャンペーンメールを送信した。テレビの故障についてメールで問い合わせてきた個人に,冷蔵庫のキャンペーン案内のファイルを回答のメールに添付して送信した。転職者が以前の職場の社員住所録を使い,転職の挨拶状も兼ねて新会社のキャンペーンチラシを送付した。",opts:["a", "a,b", "b,c", "c"],ans:0,expl:"個人情報取扱事業者が個人情報を取得する場合には、その利用目的をできる限り特定しなくてはならず、その使用に当たっては、本人の同意を得ないで予め定められた利用目的の範囲を超えて取り扱うことはできません。取得時の利用目的の範囲内なので禁止されません。キャンペーン情報の送信は、故障対応の範囲外なので禁止される行為です。一部の例外を除き、本人の同意を得ないで取得者以外の第三者が個人データを使用することは禁止されています。したがって、禁止されていない行為は「a」のみです。"}, {id:858,cat:"ストラテジ系 » 法務 » 労働関連・取引関連法規",q:"NDA(Non Disclosure Agreement)の事例はどれか。",opts:["ITサービスを提供する前に,サービスの提供者と顧客の間で提供されるサービス内容について契約で定めた。", "コンピュータ設備の売主が財産権を移転する義務を負い,買主がその代金を支払う義務を負うことについて契約で定めた。", "システム開発などに際して,委託者と受託者間でお互いに知り得た相手の秘密情報の守秘義務について契約で定めた。", "汎用パッケージ導入の委託を受けた者が自己の裁量と責任によって仕事を行い,仕事の完了をもって報酬を受けることについて契約で定めた。"],ans:2,expl:"NDAは、守秘義務契約と訳され、営業秘密や個人情報などをやり取りする取引を行う場合に、その情報の開示の目的,範囲,管理方法,禁止事項などを明確にするために締結される契約を指します。したがって「ウ」が正解です。SLA(Service Level Agreement)の事例です。売買契約の事例です。正しい。NDAの事例です。請負契約の事例です。"}, {id:859,cat:"ストラテジ系 » 法務 » 知的財産権",q:"著作権法に関する記述のうち,適切なものはどれか。",opts:["インターネット上に流れる情報は有形な複製物を介さずに流通するので,著作物の複製に関する規定は適用されない。", "絵画などのアナログ情報をコンピュータ処理によってデジタル情報に変換する行為は,情報の質を変化させるので,著作権法でいう複製には該当しない。", "写真集に掲載された写真を無断で複製して自宅の居間に飾ることは,私的使用になるので著作権の侵害にはならない。", "他人の著作物を無断で個人のホームページに掲載しても,だれからも参照されていなければ,権利の侵害にはならない。"],ans:2,expl:"著作権法には、著作権を侵害する自動公衆送信(インターネット通信など)を受信して行うデジタル方式の録音又は録画に対しても複製に関する規定があります。著作物を録画・録音したり、印刷や写真にしたり、スキャナーなどによって電子的に読み取ることも複製行為に該当します。正しい。自分自身や家族など限られた範囲内で利用するために著作物を複製することは「私的使用のための複製」として著作権法上でも許可されています。ホームページに掲載された著作物は誰もが自由にダウンロード(受信)できる状態になるため、著作者の公衆送信権を侵害する行為になります。"}, {id:860,cat:"ストラテジ系 » 法務 » 労働関連・取引関連法規",q:"図のような契約の下で,A社,B社,C社の開発要員がプロジェクトチームを組んでソフト開発業務を実施するとき,適法な行為はどれか。",opts:["A社の担当者がB社の要員に直接作業指示を行う。", "A社のリーダーがプロジェクトチーム全員の作業指示を行う。", "B社の担当者がC社の要員に業務の割り振りや作業スケジュールの指示を行う。", "B社の担当者が業務の進捗によってC社の要員の就業条件の調整を行う。"],ans:2,expl:"請負契約では、受注側の要員は受注側の指揮命令の下で業務を行います。よって、A社はB社の要員に直接作業指示を行うことはできません。A社とB社は請負契約です。B社は成果物を完成させる責任があり、その方法は問われません。よって、A社のプロジェクトの下で作業を行う必要はありません。正しい。派遣契約では、派遣元の要員は派遣先の指揮命令の下で作業に従事することになります。B社とC社に所属している要員との間に雇用契約はありません。派遣元企業に所属する要員の就業条件の調整は派遣元企業が行います。"}, {id:861,cat:"ストラテジ系 » 法務 » 労働関連・取引関連法規",q:"S社が備品を購入するとき,購入先のK社と図の手順で取引を行っている。この取引手順の中で,売買契約が成立するのはどの時点か。ここで,取引の内容は見積書以降の取引手順を通じて変わらないものとする。",opts:["①", "②", "③", "④"],ans:1,expl:"民法では、売買契約は双方(売主と買主)の「合意」があったときに成立するとされています。設問の事例では、買主からの申し込みの意思表示が「注文書」、売主の承諾の意思表示が「注文請書」になるので売買契約が成立するのは、購入元が購入先からの注文請書を受理した②の時点になります。ネット通販の場合でも同様に、売主からの注文承諾メールなどが読み取り可能な状態で注文者に届いた時点で売買契約が成立します。"}, {id:862,cat:"ストラテジ系 » 法務 » 知的財産権",q:"著作権の帰属に関する説明のうち,適切なものはどれか。ここで,著作権に関する特段の契約や取決めはないものとする。",opts:["映画の著作権は,その原作者だけに帰属する。", "原稿がない即興の講演であっても著作権は,講演者に帰属する。", "憲法や法令,裁判所の判決の著作権は,国や地方公共団体に帰属する。", "新聞連載小説の著作権は,原作者ではなく新聞社に帰属する。"],ans:1,expl:"著作権とは、言語、音楽、絵画、建築、図形、映画、写真、コンピュータプログラムなどの表現形式によって自らの思想・感情を創作的に表現したものに認められる、それらの創作物の利用を支配することを目的とする権利で、著作権法は、著作物とそれを創作した著作者の権利を保護するための法律です。制作、監督、演出、撮影、美術等を担当してその映画の著作物の全体的形成に創作的に寄与した者が著作者となると定められています(16条)。正しい。原稿やイラストのような紙などに書かれたものだけでなく、講演会等における講演や即興演奏された音楽なども著作物になります(7条)。 憲法や法令、裁判所の判決も著作物ですが、著作権法上の権利"}, {id:863,cat:"ストラテジ系 » 法務 » 知的財産権",q:"コンピュータプログラムなどの著作物に関する記述のうち,適切なものはどれか。",opts:["共同開発によるプログラムの著作権は,開発費用を負担した割合に従って権利が帰属する。", "著作権は,プログラムには認められるが,データベースについては認められていない。", "著作権法では,プログラム及びプログラムを作成するためのノウハウを保護の対象としている。", "著作物を作成するために用いるプログラム言語や規約は,著作権法による保護の対象外である。"],ans:3,expl:"2人以上の者が共同して創作した著作物であって、その各人の寄与を分離して個別的に利用することができないものを共同著作物といいます。共同著作物の著作権は、複数人の著作権者の準共有となるため、契約等に別段の定めがある場合を除いて、各人の権利割合は等しくなります。著作権法ではデータベースの著作物というものを定義しています。情報の選択や体系的な構成によって創作性を有していればデータベースについても著作権が認められます。著作権法は、現実に創作されたモノを保護対象とする法律なので、作成のためのノウハウやアイディアは保護の対象外となります。正しい。著作権法では、著作物を作成するために用いる「プログラム言語」「"}, {id:864,cat:"ストラテジ系 » 法務 » 標準化関連",q:"QRコードの特徴として,適切なものはどれか。",opts:["漢字を除くあらゆる文字と記号を収めることができる。", "収納できる情報量はバーコードと同等である。", "上下左右どの方向からでも,コードを読み取ることができる。", "バーコードを3層積み重ねた2次元構造になっている。"],ans:2,expl:"QRコードは、1994年にデンソーウェーブが開発した2次元コードの規格で、携帯電話でのURLの読取りや、販売店や工場における在庫管理などにも利用されています。バーコードが横方向にしか情報を持たないのに対し、QRコードは縦横に情報を持っているため、格納できる情報量が多く、数字だけでなく英字や漢字など多言語のデータも格納することが可能です。また3隅の四角い位置検出パターンによって360度読み取り可能、汚れなどがあっても正確に読み取れるように、誤り訂正語を含むなどの特徴があります。"}, {id:865,cat:"ストラテジ系 » 法務 » 労働関連・取引関連法規",q:"訪問販売や通信販売などのトラブルが生じやすい取引において,消費者を保護するために,事業者が守るべきルールを定めた法律はどれか。",opts:["PL法", "独占禁止法", "特定商取引法", "不正競争防止法"],ans:2,expl:"特定商取引法(特商法)は、特定商取引を公正にし、購入者等が受けることのある損害の防止を図ることにより、購入者等の利益を保護することを目的とする法律です。対象となる取引類型は次の7種です。訪問販売通信販売電話勧誘販売連鎖販売取引特定継続的役務提供業務提供誘引販売取引訪問購入インターネットでの店舗販売やインターネットオークションでの販売は、上記区分のうち「通信販売」に含まれます。対象となる取引では、氏名等の明示の義務づけ不当な勧誘行為の禁止虚偽・誇大な広告の禁止クーリング・オフ制度の適用などのトラブル防止のための規制・ルールが定められていて、違反した場合には行政処分や罰則の対象となります。PL法は"}, {id:866,cat:"ストラテジ系 » 法務 » セキュリティ関連法規",q:"アクセス管理者は,不正アクセスからコンピュータを防御する役割を担う。不正アクセス禁止法において,アクセス管理者が実施するよう努力すべきこととして定められている行為はどれか。",opts:["アクセス制御機能の有効性を検証する。", "アクセスログを定期的に監督官庁に提出する。", "複数の人員でアクセス状況を常時監視する。", "利用者のパスワードを定期的に変更する。"],ans:0,expl:"不正アクセス禁止法は、コンピュータネットワークに接続できる環境で、本人の承諾なしに他人のID・パスワード等を使って認証が必要なページに接続する行為、および、本人に許可なく第三者へIDとパスワードを教えるなどの助長行為の禁止を定めた法律です。この法律では第8条で「アクセス管理者は、IDやパスワードの適切な管理に努めるとともに、常にアクセス制御機能の有効性を検証し、必要な場合はシステムを防御するための措置を講じるように努めるものとする」というようにアクセス管理者の努力義務を定めています。したがって「ア」がアクセス管理者の行うべき行為となります。"}, {id:867,cat:"ストラテジ系 » 法務 » 労働関連・取引関連法規",q:"ボリュームライセンス契約を説明したものはどれか。",opts:["企業などソフトウェアの大量購入社向けに,マスタを提供して,インストールの許諾数をあらかじめ取り決める契約", "使用場所を限定した契約であり,特定の施設の中であれば台数や人数に制限なく使用が許される契約", "ソフトウェアをインターネットからダウンロードしたとき画面に表示される契約内容に同意すると指定することで,使用が許される契約", "標準の使用許請条件を定め,その範囲で一定量のパッケージの包装を解いたときに,権利者と購入者との間に使用許諾契約が自動的に成立したとみなす契約"],ans:0,expl:"正しい。ボリュームライセンス契約の説明です。サイトライセンス契約の説明です。クリックラップ契約の説明です。シュリンクラップ契約の説明です。"}, {id:868,cat:"ストラテジ系 » 法務 » その他の法律・ガイドライン",q:"A社は,B社に委託して開発したハードウェアに,C社が開発して販売したソフトウェアパッケージを購入して実装し,組込み機器を製造した。A社はこの機器を自社製品として出荷した。小売店のD社は,この製品を仕入れて販売した。ソフトウェアパッケージに含まれていた欠陥が原因で,利用者が損害を受けた時,製造物責任法(PL法)上の責任を負うのはだれか。ここで,A社,B社,C社,D社及び損害を受けた利用者はすべて日本国内の法人又は個人とする。",opts:["機器を製造し出荷したA社が責任を負う。", "ソフトウェアを開発し販売したC社が責任を負う。", "ハードウェアを開発したB社が責任を負う。", "販売したD社が責任を負う。"],ans:0,expl:"製造物責任法(PL法)は、製造物の安全性上の欠陥により人の生命、身体、財産に被害が生じた場合に、消費者が製造業者に対して損害賠償を請求できることを定めた法律です。製造物責任法2条3項には、製造業者について以下のように定義しています。当該製造物を業として製造、加工又は輸入した者(以下単に「製造業者」という。) 自ら当該製造物の製造業者として当該製造物にその氏名、商号、商標その他の表示(以下「氏名等の表示」という。)をした者又は当該製造物にその製造業者と誤認させるような氏名等の表示をした者 前号に掲げる者のほか、当該製造物の製造、加工、輸入又は販売に係る形態その他の事情からみて、当該製造物にその実"}, {id:869,cat:"ストラテジ系 » 法務 » 標準化関連",q:"POSシステムなどで商品を一意に識別するために,バーコードとして商品に印刷されたコードはどれか。",opts:["JAN", "JAS", "JIS", "QR"],ans:0,expl:"POS(Point Of Sales)は、販売時点管理と訳され販売した情報をリアルタイムで情報システムに取り込む販売店の管理方法です。商品識別には「JANコード」というバーコードが用いられ日本では8桁または13桁です。"}, {id:870,cat:"ストラテジ系 » 法務 » 労働関連・取引関連法規",q:"ソフトウェア開発を外部業者へ委託する際に,納品後一定の期間内に発見された不具合を無償で修復してもらう根拠となる項目として,契約書に記載するものはどれか。",opts:["疵(かし)担保責任", "善管注意義務", "損害賠償責任", "秘密保持義務"],ans:0,expl:"契約不適合責任は、売買契約や請負契約において引き渡された目的物や権利関係が契約内容に適合しない場合に、売主等が買主等に対して負う責任のことをいいます。不適合が見つかった場合、買主等は、売主等に対して目的物の修補や代替物や不足物の引渡しを請求したり、代金減額を請求したり、損害賠償を請求したりすることができます。ソフトウェア開発の委託は請負契約に該当しますから、契約不適合責任の適用があります。契約書に記載がなくても法律の定める範囲の責任は生じますが、個別具体的に責任の内容やその対応、責任を負う期間などを契約書に定めておくことにより、トラブルの防止につながります。正しい。契約不適合責任は、引き渡され"}, {id:871,cat:"ストラテジ系 » 法務 » その他の法律・ガイドライン",q:"経済産業省“ソフトウェア管理ガイドライン”におけるソフトウェア管理責任者が実施すべき要求事項はどれか。",opts:["ソフトウェア使用許諾契約に規定された使用条件を,すべてのソフトウェアユーザーに周知徹底すること", "ソフトウェアのインストールを一括して行うこと", "ソフトウェアの不正使用を防止する観点から,ソフトウェアの使用等の責任者を任命し,ソフトウェアの管理体制を整備すること", "法人が保有するコンピュータに,個々の担当者が必要とするソフトウェアをインストールすることを,資産管理上及び安全上の観点から禁止すること"],ans:0,expl:"ソフトウェア管理ガイドライン(平成7年)は、ソフトウェアの違法複製等を防止するため、法人、団体などを対象として、ソフトウェアを使用するに当たって実行されるべき事項をとりまとめたものです。本ガイドラインは、法人等、ソフトウェア管理責任者、ソフトウェアユーザーのそれぞれの立場で実施すべき事項が規定されています。このうち、ソフトウェア管理責任者が実施すべき事項として次の3点が挙げられています。法人等におけるソフトウェアの使用状況を常時把握するため,すべてのソフトウェアの使用状況を記録したソフトウェア管理台帳を整備すること。ソフトウェア監査等によりソフトウェアの違法複製等を発見した場合は,事情を調査し"}, {id:872,cat:"ストラテジ系 » 法務 » 労働関連・取引関連法規",q:"A社では,自社で働いている派遣会社B社からの派遣社員の就業管理用に,B社のWeb版の派遣社員就業管理システムをインターネット経由で使用している。このシステムを用いた当該派遣社員の日常の就業時間の承認者として,最も適切なものはどれか。",opts:["派遣先A社のシステム管理者", "派遣先A社の業務責任者", "派遣元B社のシステム管理者", "派遣元B社の管理責任者"],ans:1,expl:"労働者派遣法において、派遣先は、派遣先管理台帳を作成し、その台帳に派遣労働者ごとに次に掲げる事項を記載しなければならないことになっています。派遣元事業主の氏名又は名称派遣就業をした日派遣就業をした日ごとの始業し、及び終業した時刻並びに休憩した時間従事した業務の種類派遣労働者から申出を受けた苦情の処理に関する事項紹介予定派遣に係る派遣労働者については、当該紹介予定派遣に関する事項その他厚生労働省令で定める事項労働者派遣契約では、派遣スタッフが日々の作業時間を入力し、派遣先企業の指揮命令者・管理監督者が承認することになります。"}, {id:873,cat:"ストラテジ系 » 法務 » 労働関連・取引関連法規",q:"請負契約の下で,自己の雇用する労働者を契約先の事業所などで働かさせる場合,適切なものはどれか。",opts:["勤務時間,出退勤時刻などの労働条件は,契約先が調整する。", "雇用主は自らの指揮命令の下で当該労働者を業務に従事させる。", "当該労働者は,契約先で働く期間は,契約先との間にも雇用関係が生じる。", "当該労働者は,契約先の指示によって配置変更が行える。"],ans:1,expl:"請負契約とは、請負人がある仕事を完成することを約し、注文者がその仕事の結果に対してその報酬を支払うことを内容とする契約です。以下のような特徴があります。労働ではなく仕事の完成に対して報酬が支払われる仕事の完成責任がある請負企業の従業員は、請負企業の指揮命令によって業務に従事する請負企業の従業員の労働条件は、請負企業が管理する当該労働者の雇用主は契約先ではなく請負企業なので、勤務時間、出退勤時刻、休日などの労働条件は請負企業が管理します。正しい。請負契約では、請負企業が自社の従業員に対して指揮命令を行って仕事を完成させます。当該労働者の雇用主は請負企業なので、雇用関係は請負企業との間にあります。"}, {id:874,cat:"ストラテジ系 » 法務 » 標準化関連",q:"JIS Q 9000:2006で規定されている妥当性確認はどれか。",opts:["客観的証拠を提示することによって,規定要求事項が満たされていることを確認すること", "客観的証拠を提示することによって,特定の意図された用途又は適用に関する要求事項が満たされていることを確認すること", "手順に従って特性を明確にすること", "必要に応じて測定,試験又はゲージ合わせを伴う,観察及び判定による適合性を評価すること"],ans:1,expl:"JIS Q 9000は、ISO(国際標準化機構)が制定した品質マネジメントシステムに関する一連の国際規格「ISO 9000」、日本国内版です。企業や自治体などあらゆる組織に適用可能で、顧客の要求する品質を満たした製品を安定的に供給するための、品質管理と品質保証の仕組みを規定しています。この品質マネジメントシステム構築にかかわる用語である妥当性確認(validation)は、「定められた用途に対する特有の要求事項が満たされていることを、客観的証拠の調査及び提出によって確認すること」という意味を持っています。検証(verification)の説明です。正しい。試験(test)の説明です。検査(in"}, {id:875,cat:"ストラテジ系 » 法務 » セキュリティ関連法規",q:"通信傍受法に関する記述のうち,適切なものはどれか。",opts:["通信傍受法の制定に伴い,電気通信事業法に定められた通信の秘密に関する条文が変更された。", "犯罪が予見できる場合は,電気通信事業者の判断によって傍受することができる。", "傍受が許可される期間は,関与する犯罪の重大さによって決定され,期間の上限は特に定められていない。", "傍受を実施する際,電気通信事業者は正当な理由なく協力を拒んではならない。"],ans:3,expl:"通信傍受法(つうしんぼうじゅほう)は、犯罪捜査の手段としての傍受について要件や手続きなどを規定した法律です。この法律では、電話(携帯,固定)、PHS、FAX、インターネット通信などが対象となる「通信」に該当します。また傍受が許容される犯罪は、捜査のために通信傍受が必要不可欠である組織的な殺人、薬物及び銃器の不正取引に係る犯罪等の重大犯罪に限定されています。制定に伴って条文の変更はありません。※「通信の秘密」とは個人間の通信の秘匿を保障するという憲法や電気通信事業法の規定です。この法律は厳格な規定によりプライバシーへの配慮がなされていますが憲法の「通信の秘密」を侵すものであるという意見が少なから"}, {id:876,cat:"ストラテジ系 » 法務 » セキュリティ関連法規",q:"個人情報に該当しないものはどれか。",opts:["50音別電話帳に記載されている氏名,住所,電話番号", "自社の従業員の氏名,住所が記載された住所録", "社員コードだけで構成され,他の情報と容易に照合できない社員リスト", "防犯力メラに記録された,個人が識別できる映像"],ans:2,expl:"個人情報保護法によると、個人情報とは生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるものとされています。氏名と住所、または電話番号で個人が特定可能なので個人情報に該当します。氏名と住所で個人が特定可能なので個人情報に該当します。正しい。社員コード単独では個人の識別は不可能なため個人情報に該当しません。個人が識別できる情報なので個人情報に該当します。"}, {id:877,cat:"ストラテジ系 » 法務 » 労働関連・取引関連法規",q:"労働者派遣における派遣元の責任はどれか。",opts:["派遣先での時間外労働に関する法令上の届出", "派遣労働者に指示する業務の遂行状況の管理", "派遣労働者の休日や休憩時間の適切な取得に関する管理", "派遣労働者の日々の就業で必要な職場環境の整備"],ans:0,expl:"派遣労働者はまぎれもない労働者であるため、言うまでもなく労働基準法などの各種の労働法が適用されます。労働基準法第32条には「1週40時間、1日8時間」という法定労働時間が定められていて、これを超える労働を行うためには労使間で36協定を締結し、所轄の労働基準監督署長に届け出を行わなくてはなりません。(労働基準法第36条)派遣労働者と雇用関係にあるのは「派遣元事業者」ですから、派遣労働者が派遣先で時間外労働を行うためには、労働者派遣契約に時間外労働や休日労働の条項を記載するとともに、派遣元事業者が派遣労働者と36協定を締結し届出を行う必要があります。したがって派遣元の責任で行われることとして適切な"}, {id:878,cat:"ストラテジ系 » 法務 » セキュリティ関連法規",q:"電子署名法に関する記述のうち,適切なものはどれか。",opts:["電子署名技術は共通鍵暗号技術によるものと規定されている。", "電子署名には,電磁的記録以外の,コンピュータ処理の対象とならないものも含まれる。", "電子署名には,民事訴訟法における押印と同様の効力が認められている。", "電子署名の認証業務を行うことができるのは,政府が運営する認証局に限られる。"],ans:2,expl:"電子署名法は、デジタル署名などの電子署名の付された電磁的記録が手書きの署名や押印の付された文書と同等に通用する法的基盤の確立、および電子署名の認証業務と認定制度について定めた法律です。(平成13年4月から施行)そのような規定はありません。現在、普及しているデジタル署名は公開鍵暗号技術を応用した技術です。コンピュータで処理するものだけが対象です。正しい。主務大臣の認定を受ければ民間組織でも認証業務を行うことができます。"}, {id:879,cat:"ストラテジ系 » 法務 » 知的財産権",q:"特許権の付与に関して二つ以上の同一特許出願が競合した場合,我が国の特許法において優先的に取り扱われる者はどれか。",opts:["抽選によって選ばれた者", "特許の出願実績が最も多い者", "最も先に出願した者", "最も先に発明した者"],ans:2,expl:"特許法は、発明をした者にその発明を独占して使用できる権利を与えることで、発明者の権利を保護し、その発明を公開することにより産業の発展を促進させる目的で制定された法律です。本問のように同一特許出願が競合した場合については、特許法39条に規定が置かれています。「同一の発明について異なつた日に2以上の特許出願があつたときは、最先の特許出願人のみがその発明について特許を受けることができる」上記の通り、日本の特許権は「先願主義」を採用しているので、2つ以上の同じ内容の出願があった場合は、最も先に出願した者のみが特許を受ける権利を有することになります。したがって正解は「ウ」です。"}, {id:880,cat:"ストラテジ系 » 法務 » 知的財産権",q:"事業者の取り扱う商品やサービスを,他者の商品やサービスと区別するための文字,図形,記号など(識別標識) を保護する法律はどれか。",opts:["意匠法", "商標法", "特許法", "著作権法"],ans:1,expl:"商標とは、商品やサービスを認識可能とするために使用される文字や図形の組み合わせたトレードマーク,サービスマークのことです。商標法では、特許庁に出願され審査を経て登録された商標についてその権利を保護する法律です。意匠法は、工業上の利用性があり、製品の価値や魅力を高める形状・デザインを保護する法律です。正しい。特許法は、自然の法則や仕組みを利用した産業上価値ある発明を保護する法律です。著作権法は、主に文芸,学術,美術,音楽など芸術分野、およびコンピュータの分野におけるプログラムやデータベースなどの創作物とその著作者の権利を保護する法律です。"}, {id:881,cat:"ストラテジ系 » 法務 » 知的財産権",q:"他社に損害を与える目的で,他社のサービス名と類似したドメイン名を取得して使用するような行為を禁止している法律はどれか。",opts:["個人情報保護法", "電気通信事業法", "不正アクセス行為の禁止等に関する法律", "不正競争防止法"],ans:3,expl:"不正競争防止法は、事業者間の公正な競争等を確保するため、営業秘密侵害、原産地偽装、コピー商品の販売などの不正競争を規制する法律です。この法律の第2条には「不正競争」に該当する行為が定められていて、ドメイン名については、不正の利益を得る目的で、又は他人に損害を加える目的がある他人の特定商品等表示(人の業務に係る氏名、商号、商標、標章)と類似している使用する権利をもつ、または保有し、そのドメイン名を使用するという3要件を満たすと不正競争として扱われます。ドメイン名のタイプミスを狙ったり、有名ブランドと類似したドメイン名を使用してビジネスを行うなどの行為が横行したために不正競争防止法での規制対象とな"}, {id:882,cat:"ストラテジ系 » 法務 » 労働関連・取引関連法規",q:"労働者派遣に関する記述のうち,適切なものはどれか。",opts:["派遣先企業には派遣労働者からの苦情処理に当たることは認められていない。", "派遣された労働者を別会社へ再派遣することは認められていない。", "派遣労働者の就業場所の変更を伴う配置転換は,派遣先企業に認められている。", "派遣労働者への指揮命令権は派遣元企業に認められている。"],ans:1,expl:"労働者派遣契約では、労働者と雇用関係にあるのは派遣元企業、指揮命令関係があるのは派遣先企業と労働者になります。"}, {id:883,cat:"ストラテジ系 » 法務 » 知的財産権",q:"Webページの著作権に関する記述のうち,適切なものはどれか。",opts:["営利目的でなく趣味として,個人が開設しているWebページに他人の著作物を無断掲載しても,私的使用であるから著作権の侵害とはならない。", "作成したプログラムをインターネット上でフリーウェアとして公開した場合,配布されたプログラムは,著作権法による保護の対象とはならない。", "試用期間中のシェアウェアを使用して作成したデータを,試用期間終了後もWebページに掲載することは,著作権の侵害に当たる。", "特定の分野ごとにWebページのURLを収集し,独自の解釈を付けたリンク集は,著作権法で保護される。"],ans:3,expl:"著作権法上の私的利用とは「自分自身や家族など限られた範囲内で利用するために著作物を複製することができる」とされている第30条に拠るものです。Webページ上に公開されたコンテンツは不特定多数の人がダウンロードして利用できる状態になるため、この私的利用を超えていると判断されます。本行為は著作者の公衆送信権を侵害するものです。著作権法では「プログラム言語」「規約」「アルゴリズム」を保護の対象外としています。C言語、Javaなどのプログラム言語自体は保護対象外ですが、プログラム言語を用いて作られたプログラム(ソースコードの集合)は保護対象となります。特段の取り決めがない場合、作成したデータの著作権は作"}, {id:884,cat:"ストラテジ系 » 法務 » その他の法律・ガイドライン",q:"PL法(製造物責任法)の保護の対象はどれか。",opts:["小売業者", "消費者", "メーカー", "輸入業者"],ans:1,expl:"製造物責任法(PL法)は、製造物の欠陥により人の生命、身体又は財産に係る被害が生じた際に、その製造業者が損害賠償責任を負う旨を定めた法律です。製造物責任法1条では法律の目的を以下のように規定しています。「この法律は、製造物の欠陥により人の生命、身体又は財産に係る被害が生じた場合における製造業者等の損害賠償の責任について定めることにより、被害者の保護を図り、もって国民生活の安定向上と国民経済の健全な発展に寄与することを目的とする」一般には製造物は小売店を介して販売されることが多く、製造業者と消費者は直接的な契約関係にないので、消費者がメーカーに対して直接的に売主の担保責任や債務不履行責任を追及す"}, {id:885,cat:"ストラテジ系 » 法務 » セキュリティ関連法規",q:"プライバシーマーク制度で評価されるマネジメントシステムが,管理の対象とするものはどれか。",opts:["営業秘密", "個人情報", "肖像権", "情報システム"],ans:1,expl:"プライバシーマーク制度は、「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に則り、個人情報を適切に取り扱っている企業を公的機関が認定し、マークを付与する制度です。この制度の運営を行う機関に申請し、個人情報を適切に扱う社内体制を整備していると認められた企業だけが事業活動に関してプライバシーマークを使用できます。したがって管理対象となるのは個人情報になります。なおプライバシーマーク制度は、一般財団法人日本情報経済社会推進協会(JIPDEC)により審査、認定が行われています。"}, {id:886,cat:"ストラテジ系 » 法務 » 知的財産権",q:"著作権法で保護されるものはどれか。",opts:["アルゴリズム", "コンパイラのプログラム", "プログラム言語", "プロトコル"],ans:1,expl:"著作権は、知的財産権の中でも文化・芸術に関するものにおいて、創作者を保護するための権利で著作権法はこれらを保護するための法律です。情報産業の分野では、プログラムやデータベースなどが著作物に該当し、これらも保護対象になっています。著作権法第10条の3には、著作物に対するこの法律の例外として以下のような記述があります。プログラム言語 プログラムを表現する手段としての文字その他の記号及びその体系をいう。規約 特定のプログラムにおける前号のプログラム言語の用法についての特別の約束をいう。解法 プログラムにおける電子計算機に対する指令の組合せの方法をいう。この条文により、プログラム言語,プログラム規約,"}, {id:887,cat:"ストラテジ系 » 法務 » 知的財産権",q:"コンピュータプログラムの開発や作成に関する行為のうち,著作権侵害となるものはどれか。",opts:["インターネットからダウンロードしたHTMLのソースを流用して,別のWebページを作成した。", "インターネットの掲示板で議論されていたアイディアを基にプログラムを作成した。", "学生のころに自分が作成したプログラムを使い,会社業務の作業効率を向上させるためのプログラムを作成した。", "購入した書籍に掲載されていた流れ図を基にプログラムを作成した。"],ans:0,expl:"著作権(ちょさくけん)とは、言語、音楽、絵画、建築、図形、映画、写真、コンピュータプログラムなどの表現形式によって自らの思想・感情を創作的に表現したものに認められる、それらの創作物の利用を支配することを目的とする権利です。特許権などの産業財産権とは異なり、申請をしなくても創作された時点で権利が発生するのが特徴です。他人の著作物を、自分のものとして使用しているので著作権侵害です。もちろん再使用目的の素材として、公開されているソースコードの場合は別です。著作権で保護されるのは、「思想を創作的に表現したもの」で、アイディアは保護の対象外です。アイディアを保護する権利としては、産業財産権の一つである実"}, {id:888,cat:"ストラテジ系 » 法務 » 知的財産権",q:"コンピュータプログラムに関する著作権の説明として,最も適切なものはどれか。",opts:["改変が認められているフリーソフトウェアを改変した場合,改変部分も含めてその著作権は,別段の定めがない限り,元のフリーソフトウェアの著作者だけに帰属する。", "外部のソフトウェアハウスに委託して開発したプログラムの著作権は,別段の定めがない限り,委託元の会社に帰属する。", "派遣社員が派遣先で,業務上,作成したプログラムの著作権は,別段の定めがない限り,派遣元の会社に帰属する。", "法人の発意に基づき,その法人の従業員が職務上作成するプログラムの著作権は,別段の定めがない限り,その法人が著作者となる。"],ans:3,expl:"著作権とは、著作者が著作物を独占的に扱うことを認める権利で、日本では特に登録などの手続きなどをすることなく著作物の創作と同時に発生します。情報産業の分野では、プログラムやデータベースなどが該当し、これらも著作権法の保護対象となっています。例外としてプログラム言語,規約,アルゴリズムの3つは保護の対象外とされているので注意が必要です。法人などの業務に従事する者が職務上作成した著作物の著作権は、契約や就業規則等で特に定めがない限り、その法人に帰属します。※著作物…思想または感情を創作的に表現したもの改変部分に関しては改変した作成者の著作物となるので、プログラムの著作権は作成した部分ごと元の作者と改"}, {id:889,cat:"ストラテジ系 » 法務 » 標準化関連",q:"日本産業標準調査会を説明したものはどれか。",opts:["経済産業省に設置されている審議会で,産業標準化法に基づいて産業標準化に関する調査・審議を行っており,JISの制定,改正などに関する審議を行っている。", "電気機械器具・材料などの標準化に関する事項を調査審議し,JEC規格の制定及び普及の事業を行っている。", "電気・電子技術に関する非営利の団体であり,主な活動内容としては,学会活動,書籍の発行,IEEEで始まる規格の標準化を行っている。", "電子情報技術産業の総合的な発展に資することを目的とした団体であり,JEITAで始まる標準規格の制定及び普及の事業を行っている。"],ans:0,expl:"日本産業標準調査会(Japanese Industrial Standards Committee:JISC)は、産業標準化法に基づいて設置され、日本産業規格(JIS)の制定・改正・確認・廃止に関する審議などを行う機関です。標準化対象とする分野は、鉱工業品、プログラムその他の電磁的記録、建築物、役務等です。日本産業標準調査会のホームページでは、JIS規格がPDF形式で閲覧可能です。正しい。日本産業標準調査会は、産業標準化法に基づいてJIS規格の制定等を行う機関です。JEC:電気学会電気規格調査会の説明です。IEEEの説明です。JEITA:電気情報技術産業協会の説明です。参考URL: JISC "}, {id:890,cat:"ストラテジ系 » 法務 » 知的財産権",q:"著作者に断ることなく,コピーや改変を自由に行うことのできる無料のソフトウェアはどれか。",opts:["シェアウェア", "パッケージソフトウェア", "パブリックドメインソフトウェア", "ユーティリティソフトウェア"],ans:2,expl:"パブリックドメイン(public domain)とは、著作者が著作権を放棄するなどして知的財産権が消滅している状態のことをいいます。パブリックドメインソフトウェアはコピーや改変しても著作権侵害を理由として利用差し止めや損害賠償を請求されることはないため、誰もが自由に利用することができます。シェアウェアは、一定の試用期間の間は無料で利用することができ、継続して利用する場合には料金を支払うことで権利を得るライセンス形態です。パッケージソフトウェアは、内容が記録メディアに記録され、店頭で包装された(packaged)状態で販売されているソフトウェアの総称です。正しい。ユーティリティ(Utility)"}, {id:891,cat:"ストラテジ系 » 法務 » セキュリティ関連法規",q:"広告や宣伝目的の電子メールを一方的に送信することを規制する法律はどれか。",opts:["電子消費者契約法", "特定電子メール法", "不正競争防止法", "情報流通プラットフォーム対処法"],ans:1,expl:"電子消費者契約法は、インターネットサイトからの商品やサービスの申込みに関して、民法に定める錯誤取消しを強化する法律です。ネット取引では画面上で注文を行う性質上、特に注文間違いが起きやすいので、事業者が操作ミスを防止するための措置を講じていない限り、錯誤が重大な過失によるものであっても契約を取り消すことができるようになっています。正しい。特定電子メール法は、広告や宣伝など営利目的で送信される迷惑メール(特定電子メール)を規制する法律です。取引関係者などの一部の例外を除き、事前に同意した(オプトインした)者以外に対して広告・迷惑メールを送信することを禁止しています。不正競争防止法は、事業者間の公正"}, {id:892,cat:"ストラテジ系 » 法務 » 労働関連・取引関連法規",q:"従業員の賃金や就業時間,休暇などに関する最低基準を定めた法律はどれか。",opts:["会社法", "民法", "労働基準法", "労働者派遣法"],ans:2,expl:"労働基準法は、労働者の労働条件(賃金,労働時間,休憩など)の最低基準を定めた法律で、一人以上の労働者を雇用するすべての事業所に適用されます。労働基準法に定められる水準以下で労働者を雇用した場合には、罰則が適用されます。会社法は、会社の設立、組織、運営及び管理が適正に行われるように定められた法律です。民法は、公権力をもたない市民同士でさまざまなことを行う場合の当事者間の責任分配やルールを決めた法律です。正しい。労働者派遣法は、必要な技術をもった労働者を企業に派遣する事業に関しての法律です。"}, {id:893,cat:"ストラテジ系 » 法務 » 知的財産権",q:"特許法による保護の対象となるものはどれか。",opts:["自然法則を利用した技術的思想の創作のうち高度なもの", "思想又は感情を創作的に表現したもの", "物品の形状,構造又は組合せに係る考案", "物品の形状,模様又は色彩など,視覚を通じて美感を起こさせるもの"],ans:0,expl:"特許法は、発明(自然法則を利用した技術的思想の創作のうち高度のもの)の保護や利用を図ることによって発明を奨励し、産業の発達に寄与することを目的とした法律です。特許の要件や権利の取り扱いなどについて定められています。正しい。特許法による保護の対象です著作権法による保護の対象です。実用新案法による保護の対象です。意匠法による保護の対象です。"}, {id:894,cat:"ストラテジ系 » 法務 » その他の法律・ガイドライン",q:"\"経営戦略に沿って効果的な情報システム戦略を立案し,その戦略に基づき,効果的な情報システム投資のための,またリスクを低減するためのコントロールを適切に整備・運用するための実践規範\"はどれか。",opts:["システム監査基準", "システム管理基準", "情報セキュリティ監査基準", "情報セキュリティ管理基準"],ans:1,expl:"システム管理基準は、情報戦略を立案し,効果的な情報システム投資とリスクを低減するためのコントロールを適切に整備・運用するための事項をとりまとめたもので、全部で287項目から成っています。システム監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的としたシステム監査人の行為規範となる基準です。正しい。情報セキュリティ監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした情報セキュリティ監査人の行為規範となる基準です。情報資産を保護するために、情報セキュリティに関する、マネジメント及びコントロールの項目を規定した基準です。"}, {id:895,cat:"ストラテジ系 » 法務 » 標準化関連",q:"WTO加盟国の政府関係機関での採用が見込まれる製品の開発に際して,どの規格を採用すべきか。",opts:["ANSI規格", "IEEE規格", "ISO規格", "JIS規格"],ans:2,expl:"WTO(World Trade Organization,世界貿易機関)は、自由貿易促進を主たる目的として創設された国際機関で、物品貿易だけでなく金融、情報通信、知的財産権やサービス貿易も含めた包括的な国際通商ルールを協議する場でもあります。WTO加盟国の政府関係機関での採用とのことなので、選択肢の中で唯一国際規格であるISOに基づく開発が最も適していると言えます。ANSI規格は、米国国家規格協会が工業分野の事項について定める規格です。IEEE規格は、アメリカ合衆国に本部を持つ電気・電子技術の学会が定めた規格です。正しい。JIS規格(日本産業規格)は、産業標準化法に基づき、日本産業標準調査会の"}, {id:896,cat:"ストラテジ系 » 法務 » 標準化関連",q:"\"JIS Q 27001:2006(ISO/IEC 27001:2005)情報セキュリティマネジメントシステム-要求事項\"に規定されているものはどれか。",opts:["ISMSが適切に運用されているかどうかを評価するために,定期的に外部監査を受けなければならない。", "経営者の責任が重要であり,コミットメント,経営資源の提供,マネジメントレビューなどに関与しなければならない。", "附属書の管理策は,すべて適用しなければならない。", "リスクアセスメントで明らかになったすべてのリスクに対し,リスク管理策を適用しなければならない。"],ans:1,expl:"定期的に実施しなくてはならないのは内部監査です。正しい。組織の規模や費用対効果などを勘案して管理目的、管理策を選択することができます。発生可能性が著しく低いケースや、損失額が許容できるリスクについては特に対策をたてずにリスクを受容する方策をとることもあります。"}, {id:897,cat:"ストラテジ系 » 法務 » その他の法律・ガイドライン",q:"コンプライアンス経営を説明したものはどれか。",opts:["株主に対して企業活動の正当性を保持するために,経営管理が適切に行われているかどうかを監視し,点検する。", "株主やそのほかの利害関係者に対して,経営活動の内容,実績に関する説明責任を負う。", "企業倫理に基づき,ルール,マニュアル,チェックシステムなどを整備し,法令や社会規範を遵守した企業活動を行う。", "投資家やアナリストに対して,投資判断に必要な正確な経営情報を適時に,かつ継続して提供する。"],ans:2,expl:"コンプライアンスとは「法令遵守」という意味です。コンプライアンス経営は、企業倫理に基づき、ルール、マニュアル、チェックシステムなどを整備し、法令や社内規則、業界ガイドライン、倫理、道徳を遵守した企業活動を行うことを言います。似たような言葉にコアコンピタンスがありますが、こちらは長年の企業活動により蓄積された他社と差別化できる企業独自のノウハウや技術という意味です。コーポレートガバナンスの説明です。アカウンタビリティの説明です。正しい。コンプライアンス経営の説明です。ディスクロージャーの説明です。"}, {id:898,cat:"ストラテジ系 » 法務 » 労働関連・取引関連法規",q:"民法では,請負契約における注文者と請負人の義務が定められている。記述a~cのうち,民法上の請負人の義務となるものだけを全て挙げたものはどれか。請け負った仕事の欠陥に対し,期間を限って責任を負う。請け負った仕事を完成する。請け負った全ての仕事を自らの手で行う。",opts:["a", "a,b", "a,b,c", "a,c"],ans:1,expl:"請負契約は、請負人がある仕事を完成することを約束し、発注者がその仕事の結果に対してその報酬を支払うことを内容とする労務供給契約の一種であり、請負元が自社の社員に対して、請負事業の指揮命令をするものです。正しい。完成した仕事に欠陥があった場合に、注文者は請負人に対して相当の期間内(通常は1年以内)であれば補償を請求することができます。正しい。請負契約において、請負人には仕事の完成義務が生じます。誤り。請負人は仕事の完成義務を負いますが、その方法については特約のない限り請負人が適宜選択することができます。つまり請負人は履行代行者を用いて仕事の完成にあたらせてもよいことになります。正しいのはaとbな"}, {id:899,cat:"ストラテジ系 » 法務 » セキュリティ関連法規",q:"不正アクセス禁止法で禁止されている行為はどれか。",opts:["インターネットのオークションサイトで架空の商品を販売し,落札者から現金をだまし取った。", "他人のブログに誹謗(ひぼう)中傷を大量に書き込んだ。", "他人の利用者IDとパスワードを無断で使用して,他人の電子メールを閲覧した。", "不正にコピーして作成した海賊版の音楽CDを販売した。"],ans:2,expl:"不正アクセス禁止法(ふせいあくせすきんしほう)は、ネットワークを介して、本人の許可なく、他人のID・パスワード等をアクセス制限がされたコンピュータに入力して利用可能にすることを禁止する法律です。また、ネットワークを介してアクセス制限を不正に回避してコンピュータを利用可能にする行為や、本人に無断で認証が必要なページにアクセス可能となるパスワードを第三者に教える行為も禁止しています。不正アクセス禁止法での禁止事例を判断する問題は、度々出題されていますが、ネットワークに接続できる環境であること(スタンドアロンのPCは対象外)本人に許可なくIDやパスワードを使い、認証が可能なページにアクセスする行為本"}, {id:900,cat:"ストラテジ系 » 法務 » 知的財産権",q:"外部技術の導入手法の一つとして,企業が互いに有する特許の実施権を相互に許諾するものはどれか。",opts:["アライアンス", "クロスライセンス", "ジョイントベンチャー", "ロイヤルティ"],ans:1,expl:"特許クロスライセンスは、2つ以上の企業や団体が互いに自らの持つ特許の実施権を許諾しあうことをいいます。一般に相手が持つ特許を使用する際には使用料を支払わなければなりませんが、クロスライセンスを結んだ場合には自分の特許実施権を許諾するかわりに、使用料を支払わずに相手の特許を利用することができるので、ライセンス契約を締結するお互いにメリットがあります。アライアンスは、企業合併や資本提携、販売提携など企業同士の連携を意味する言葉です。正しい。ジョイントベンチャーは、日本語では合弁企業と言われ、複数の企業が出資し合って相互の利益のために共同で経営を行っている企業のことです。ロイヤルティは、特許権や著作"}, {id:901,cat:"ストラテジ系 » 法務 » その他の法律・ガイドライン",q:"コーポレートガバナンスの観点から,経営の意思決定プロセスを監視・監督する機能を強化する方法として,最も適切なものはどれか。",opts:["社長室への出入りを監視するためのカメラを設置する。", "定期的に私立探偵に経営者の素行調査を依頼する。", "取締役の一部を社外取締役にする。", "法学部出身者を内部監査部門の社員として雇用する。"],ans:2,expl:"コーポレートガバナンスは、企業統治とも訳され、企業の経営について利害関係者が監視・規律することで「企業の収益力の強化」と「企業の不祥事を防ぐ」という2つの目的を達成するための仕組みです。社外取締役とは、社外にいながら取締役を務める人物のことで、経営判断を監督することを目的として選任されます。会社の代表取締役などと直接の利害関係をもたない独立した立場からの監督機能が加わることで、一部の経営者のワンマン経営や組織ぐるみの不正行為が防止されるので、コーポレートガバナンスの強化に繋がります。したがって「ウ」が適切です。"}, {id:902,cat:"ストラテジ系 » 法務 » 知的財産権",q:"不正競争防止法で保護されるものはどれか。",opts:["特許権を取得した発明", "頒布されている独自の開発手順書", "秘密として管理している事業活動用の非公開の顧客名簿", "秘密としての管理を行っていない,自社システムを開発するために重要な設計書"],ans:2,expl:"不正競争防止法は、事業者間の公正な競争等を確保するため、営業秘密侵害、原産地偽装、コピー商品の販売などの不正競争を規制する法律です。この法律の第2条6項では、保護の対象となる営業秘密について「秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないものをいう」と規定しています。すなわち、営業秘密と認められるためには以下の三要件を満たさなければなりません。秘密として管理されていること(秘密管理性)事業活動に有用な技術上又は経営上の情報であること(有用性)公然と知られていないこと(非公知性)不正競争防止法ではなく特許法の保護対象です。非"}, {id:903,cat:"ストラテジ系 » 法務 » 労働関連・取引関連法規",q:"発注者と受注者の間でソフトウェア開発における請負契約を締結した。ただし,発注者の事業所で作業を実施することになっている。この場合,指揮命令権と雇用契約に関して,適切なものはどれか。",opts:["指揮命令権は発注者にあり,更に,発注者の事業所での作業を実施可能にするために,受注者に所属する作業者は,新たな雇用契約を発注者と結ぶ。", "指揮命令権は発注者にあり,受注者に所属する作業者は,新たな雇用契約を発注者と結ぶことなく,発注者の事業所で作業を実施する。", "指揮命令権は発注者にないが,発注者の事業所で作業を実施可能にするために,受注者に所属する作業者は,新たな雇用契約を発注者と結ぶ。", "指揮命令権は発注者になく,受注者に所属する作業者は,新たな雇用契約を発注者と結ぶことなく,発注者の事業所で作業を実施する。"],ans:3,expl:"請負契約は、請負人がある仕事を完成することを約束し、発注者がその仕事の結果に対してその報酬を支払うことを内容とする労務供給契約の一種で、「雇用契約」「指揮命令関係」ともに受注者と受注者の従業員の間にあります。したがって適切な記述は「エ」になります。"}, {id:904,cat:"ストラテジ系 » 法務 » セキュリティ関連法規",q:"不正アクセス禁止法において,処罰の対象となる行為はどれか。",opts:["Webサイトで使用している他人のID・パスワードを無断で第三者に教える行為", "個人が開設しているアクセス制御機能のないWebサイトに対する侵害行為", "コンピュータウイルスを添付した電子メールをメールサーバに送信する行為", "ネットワーク接続されていないスタンドアロンのコンピュータに対する侵害行為"],ans:0,expl:"不正アクセス禁止法は、正式名称を「不正アクセス行為の禁止等に関する法律」といい、インターネットなどのネットワークの通信における不正アクセス行為とそれを助長する行為を規制する法律です。この法律の中で「不正アクセス行為」とは主に以下の3つの行為を指しています。アクセス制御機能を持つコンピュータにネットワークを介してアクセスし、他人のIDやパスワードを使って本来制限されている機能を利用可能な状態にする行為アクセス制御機能を持つコンピュータにネットワークを介してアクセスし、不正な手段(セキュリティホールへの攻撃・コンピュータウィルス等)で本来制限されている機能を利用可能な状態にする行為他のコンピュータ"}, {id:905,cat:"ストラテジ系 » 法務 » 労働関連・取引関連法規",q:"ソフトウェアパッケージのライセンス契約形態のうち,サイトライセンスを説明したものはどれか。",opts:["特定の企業や団体などにある複数のコンピュータでの使用を一括して認める。", "特定のコンピュータ又は一定数のコンピュータでの使用を認める。", "特定のサーバにインストールし,そのクライアントでの使用を認める。", "特定のユーザー又は一定数のユーザーに使用を認める。"],ans:0,expl:"サイトライセンスは、企業や学校など特定の施設(サイト)内に限り複数のコンピュータへの使用権を認めるライセンス形態です。1本のソフトウェアで1つのコンピュータへの使用権が与えられる通常のライセンス契約と比較して、1ライセンスあたりの単価が低く抑えられるため、同一の施設に同じソフトウェアを大量導入するときに利用されます。サイトライセンスの説明です。ボリュームライセンスの説明です。サーバライセンスの説明です。ボリュームライセンスの説明です。"}, {id:906,cat:"ストラテジ系 » 法務 » 標準化関連",q:"共通フレームの目的はどれか。",opts:["ISO/IECのSLCPの内容を基にして,対象範囲にシステム監査プロセスを加え,ソフトウェア取引に関する提案責任と管理責任を明確化すること", "ソフトウェア開発作業全般に渡って\"共通の物差し\"を使うことによって,作業範囲・作業内容を明確にし,取得者と供給者の取引内容を明確にすること", "ソフトウェアを適切に購入・使用するためのガイドラインを示すことによって,ソフトウェアの違法複製行為や違法複製品の使用を防止し,ソフトウェアの適正な取引及び管理を促進すること", "特定の業種やシステム形態・開発方法論などに極力依存しないように配慮し,社内の部門間での取引を除く受発注契約をスムーズに遂行すること"],ans:1,expl:"共通フレームは、日本のソフトウェア産業界においての\"共通の枠組み\"、\"共通の物差し\"となることを目的として作成された規格です。取得者と供給者双方または、システム開発に関わる全ての人が、ソフトウェアを中心としたシステムの企画, 要件定義,開発,運用,保守の作業内容を共通に参照できるよう詳細に表現したり、ソフトウェア取引を明確化するための基準が記述されています。SLCP-JCFは、Software Life Cycle Process-Japan Common Frameの略で、ISO/IEC 12207によって規格化されたSLCPモデルに適合しつつ、日本の環境における独自の事項を加えた規格という"}, {id:907,cat:"ストラテジ系 » 法務 » 知的財産権",q:"知的財産権のうち,権利の発生のために申請や登録の手続を必要としないものはどれか。",opts:["意匠権", "実用新案権", "著作権", "特許権"],ans:2,expl:"知的財産権は、人間の知的活動によって創作された財産を保証する権利で、「著作権」と「産業財産権」に分類することができます。産業財産権は関係機関に申請をして認められれば権利として登録されるのに対して、著作権は特に申請を必要とせず創作物が創作された時点で著作物の創作者に対して発生する権利です。産業財産権には以下の4種類があり、権利設定を受けるにはいずれも特許庁への申請・登録が必要です。特許権自然の法則や仕組みを利用した価値ある発明を保護する、存続期間は出願日から20年実用新案権物品の形状、構造または組み合わせに係る考案のうち発明以外のものを保護する、存続期間は出願日から10年意匠権製品の価値を高める"}, {id:908,cat:"ストラテジ系 » 法務 » 労働関連・取引関連法規",q:"請負契約を締結していても,労働者派遣とみなされる受託者の行為はどれか。",opts:["休暇取得のルールを発注者側の指示に従って取り決める。", "業務の遂行に関する指導や評価を自ら実施する。", "勤務に関する規律や職場秩序の保持を実施する。", "発注者の業務上の要請を受託者側の責任者が窓口となって受け付ける。"],ans:0,expl:"請負契約は、委託先(受託者)の従業員が委託先の指揮命令のもとで業務に従事する労働契約です。請負契約では、受託者と受託者が雇用している従業員の間に指揮命令関係があるので、始業・就業時間、休憩時間、勤務日など勤務形態に関するルールは発注者ではなく受託者自らが自社の従業員への指示を行います。「ア」のように契約上では業務委託の形式をとっているのに、実態は委託先従業員が委託元の責任者の指揮命令で業務にあたるという労働者派遣のようになっている状態を偽装請負といいます。"}, {id:909,cat:"ストラテジ系 » 法務 » 標準化関連",q:"デジタルテレビ,DVDレコーダなどで使われている,音声や映像を転送するインタフェースの規格のうち,適切なものはどれか。",opts:["D端子は,デジタル映像信号に直接対応した規格である。", "HDMIは,音声と映像を合わせて送受信する規格である。", "IEEE1394は,PCを介して映像などを送受信する規格である。", "S端子は,コンポーネント映像信号に対応した規格である。"],ans:1,expl:"HDMI(High-Definition Multimedia Interface)は、PCとディスプレイの接続標準規格であるDVIを基に音声伝送機能や著作権保護機能(デジタルコンテンツ等の不正コピー防止)、色差伝送機能を加えるなどAV家電向けに改良したデジタル家電向けのインタフェースです。非圧縮デジタル形式の音声と映像を伝達し音質、画質とも理論的には劣化しないという特徴があり、これがRCA端子やD端子と異なる点です。映像機器のアナログ映像信号を伝送するために規格された日本独自の接続端子です。正しい。IEEE1394は、ホストとなる機器を必要としません。機器同士を接続することでデータ転送が可能"}, {id:910,cat:"ストラテジ系 » 法務 » 労働関連・取引関連法規",q:"派遣契約に基づいて就労している派遣社員に対する派遣先企業の対応のうち,適切なものはどれか。ここで,就業条件などに特段の取決めはないものとする。",opts:["営業情報システムのメンテナンスを担当させている派遣社員から,直接に有給休暇の申請があり,業務に差し障りがないと判断して,承認した。", "グループウェアのメンテナンスを行うために,自社社員と同様に作業を直接指示した。", "生産管理システムへのデータ入力を指示したところ,入力ミスによって,欠陥製品ができたので,派遣元企業に対して製造物責任を追及した。", "販売管理システムのデータ処理が定時に終了しなかったので,自社社員と同様の残業を行うよう指示した。"],ans:1,expl:"派遣元企業と派遣先企業が締結する労働者派遣契約には、業務の内容、就業場所、派遣期間、就業日、就業時間、休憩時間などが定められます。派遣労働者は、この労働者派遣契約の範囲内で働くことになりますし、派遣先には労働者派遣契約に反することのないように適切な措置を講じる義務があります。労働者派遣契約に反する指示や許可は、労働者派遣法違反にあたる行為となります。派遣労働者の休日は、派遣元企業の定めに従います。派遣先企業が、休日を決めることは適切ではありません。正しい。派遣先企業は、派遣元企業との労働者派遣契約の定めに従い、契約の就業時間・場所・業務の範囲内で派遣労働者を直接指揮命令することができます。派遣"}, {id:911,cat:"ストラテジ系 » 法務 » 労働関連・取引関連法規",q:"A社で雇用しているオペレーターのQ氏を,B社に派遣することになった。労働者派遣法で定められているものはどれか。",opts:["A社は,Q氏がA社を辞めてB社に雇用されることを禁止できる。", "B社は A社に対して,Q氏を指名して派遣を要請できる。", "Q氏の派遣契約期間は,最長1年間である。", "Q氏は,B社の定められた指揮命令者の下で労働に従事する。"],ans:3,expl:"雇用関係はA社とオペレーターQ氏にありますが、指揮命令関係はB社とオペレーターQ氏の間にあります。このように請負企業の社員が契約先の指揮命令で働くことができるようにした契約を「労働者派遣契約」といいます。"}, {id:912,cat:"ストラテジ系 » 法務 » 標準化関連",q:"\"JIS Q 9001:2000(ISO 9001:2000)品質マネジメントシステム-要求事項\"の規定に関する記述のうち,適切なものはどれか。",opts:["組織の品質方針については,組織の経営者ではなく,供給者が定め,文書化する。", "組織は,製品が規格要求事項に適合することを確実にする手段として,品質マネジメントシステムを確立し,文書化してISOに報告する。", "内部監査においては,内部目的のためにその組織自身又は代理人が,品質マネジメントシステムの規格要求事項への適合性を監査する。", "内部監査は,監査される活動の状況及び重要性に基づいて予定を立て,監査される活動の直接責任者を含めたチームで行う。"],ans:2,expl:"JIS Q 9001:2000(ISO 9001:2000)は、顧客の要求する品質を満たした製品・サービスを安定的に供給するための、品質管理や品質保証の仕組みについて国際標準化機構(ISO)が定めた世界共通の規格です。組織の品質方針は経営陣が設定をします。品質マネジメントシステムの一般要求事項として「組織は、この規格の要求事項に従って、品質マネジメントシステムを確立し、文書化し、実施し、かつ、維持すること。また、その品質マネジメントシステムの有効性を継続的に改善すること」と規定しています。ISOへの報告義務はありません。正しい。内部監査では「品質マネジメントシステムが、個別製品の実現の計画に適"}, {id:913,cat:"ストラテジ系 » 法務 » セキュリティ関連法規",q:"サイバーセキュリティ基本法において,サイバーセキュリティの対象として規定されている情報の説明はどれか。",opts:["外交,国家安全に関する機密情報に限られる。", "公共機関で処理される対象の手書きの書類に限られる。", "個人の属性を含むプライバシー情報に限られる。", "電磁的方式によって,記録,発信,伝送,受信される情報に限られる。"],ans:3,expl:"サイバーセキュリティ基本法は、日本国におけるサイバーセキュリティに関する施策の推進にあたっての基本理念、及び国及び地方公共団体の責務等を明らかにし、サイバーセキュリティ戦略の策定その他サイバーセキュリティに関する施策の基本となる事項を定めた法律です。この法律の第2条においてサイバーセキュリティの対象となる情報は「電磁的方式により記録され、又は発信され、伝送され、若しくは受信される情報」と定義され、サイバーセキュリティとは「それらの情報の安全性・信頼性を確保するために必要な措置が講じられ、適切に維持されていること」と規定されています。したがって正解は「エ」です。"}, {id:914,cat:"ストラテジ系 » 法務 » セキュリティ関連法規",q:"刑法における,いわゆるコンピュータウイルスに関する罪となるものはどれか。",opts:["ウイルス対策ソフトの開発,試験のために,新しいウイルスを作成した。", "自分に送られてきたウイルスに感染した電子メールを,それとは知らずに他者に転送した。", "自分に送られてきたウイルスを発見し,ウイルスであることを明示してウイルス対策組織へ提供した。", "他人が作成したウイルスを発見し,後日これを第三者のコンピュータで動作させる目的で保管した。"],ans:3,expl:"コンピュータウイルスに関する罪は、正式名称を「不正指令電磁的記録に関する罪」といい2011年7月より施行された法律です。この罪では、正当な理由がなく他人のコンピュータで実行させる目的で、「ウイルスのプログラム」や「ウイルスのソースコード等が記述された電磁的記録・媒体」を作成・提供・保管した場合に罰せられます。正当な目的があるため罪になりません。他人のコンピュータで実行させる目的ではないので罪になりません。正当な理由があるので罪になりません。正しい。他人のコンピュータで動作させる目的でウイルスを保管する行為は罪となります。"}, {id:915,cat:"ストラテジ系 » 法務 » 労働関連・取引関連法規",q:"労働者派遣法において派遣先の責任として定められているものはどれか。",opts:["雇用関係終了後の雇用に関する制限を行わないこと", "派遣契約内容を派遣労働者を指揮命令する者やその他の関係者に周知すること", "労働者の希望や能力に応じた就業の機会を確保すること", "労働者の教育訓練の機会を確保すること"],ans:1,expl:"派遣労働者に対して、雇用終了後に派遣先に雇用されることなどを制限してはならないのは、派遣元事業主の講ずべき措置です(33条)正しい。労働者派遣を受け入れる者(派遣先)は、派遣先責任者を選任し、①労働者派遣法の規定、②労働者派遣契約の内容、③派遣元から通知を受けた派遣労働者の情報、について派遣労働者の業務遂行を指揮命令する者や関係者に周知させる義務を負います(41条1号)。派遣労働者の希望、能力、経験に応じた就業の機会を確保するのは、派遣元事業主の講ずべき措置です(30条の7)。派遣労働者が派遣就業に必要な技能や知識を習得できるように教育訓練を行うのは、派遣元"}, {id:916,cat:"ストラテジ系 » 法務 » 知的財産権",q:"新製品の開発に当たって生み出される様々な成果のうち,著作権法による保護の対象となるものはどれか。",opts:["機能を実現するために考え出された独創的な発明", "機能を実現するために必要なソフトウェアとして作成されたプログラム", "新製品の形状,模様,色彩など,斬新な発想で創作されたデザイン", "新製品発表に向けて考え出された新製品のトレードマーク"],ans:1,expl:"知的財産権は、産業財産権と著作権に分類されます。問題の選択肢のうち、著作権法による保護の対象となるものは、「機能を実現するために必要なソフトウェアとして作成されたプログラム」になります。その他の創作物は産業財産権の法律で保護されます。特許法の保護対象です。正しい。著作権法による保護対象です。意匠法の保護対象です。商標法の保護対象です。"}, {id:917,cat:"ストラテジ系 » 法務 » 標準化関連",q:"UCS-2(Unicode)を説明したものはどれか。",opts:["JISから派生したコード体系であり,英数字は1バイト,漢字は2バイトで表現する。", "主にUNIXで使用するコード体系であり,英数字は1バイト,漢字は2バイトで表現する。", "すべての文字を1バイトで表現するコード体系である。", "すべての文字を2バイトで表現するコード体系であり,多くの国の文字体系に対応できる。"],ans:3,expl:"UCSは、Universal multiple-octet coded Character Setの略で,ISO 10646で制定されている世界統一文字コード規格です。UCS-2は1文字を2バイトで表現するので、最大65536文字を割り当てることができます。しかし世界中の文字を表現するのに65536種では足りないため、現在は1文字を4バイトで表現し,最大21億文字を割り当てることができるUCS-4が定義されています。シフトJISの説明です。EUC(Extended Unix Code)の説明です。UCS-2ではすべての文字を2バイトで表現することを目指した文字コード体系です。正しい。"}, {id:918,cat:"ストラテジ系 » 法務 » セキュリティ関連法規",q:"特定電子メールとは,広告や宣伝といった営利目的に送信される電子メールのことである。特定電子メールの送信者の義務となっている事項だけを全て挙げたものはどれか。電子メールの送信拒否を連絡する宛先のメールアドレスなどを明示する。電子メールの送信同意の記録を保管する。電子メールの送信を外部委託せずに自ら行う。",opts:["a,b", "a,b,c", "a,c", "b,c"],ans:0,expl:"日本国内において、広告や宣伝など営利目的で送信される迷惑メールを規制し、電子メールの利用についての良好な環境を整備する目的で「特定電子メールの送信の適正化等に関する法律」(特定電子メール法)という法律が制定されています。設問の記述を法律の条文に照らしてみると、正しい。送信者には、氏名や名称および電子メールアドレスなどの表示義務があります。(4条)正しい。特定電子メールは同意が得られた受信者にだけ送信をすることが認められています。送信者は、受信者から同意があったことを証明する記録を保存しなければならないことになっています。(3条)誤り。自ら行うことは義務ではありません。(条文には送信を外部委託す"}, {id:919,cat:"ストラテジ系 » 法務 » その他の法律・ガイドライン",q:"コーポレートガバナンスを説明したものとして,適切なものはどれか。",opts:["企業が企業活動を行う上で守るべき道徳や価値規範のこと", "企業のメンバーが共有する価値観,思考・行動様式,信念などのこと", "企業の目的に適合した経営が行われるように,経営を統治する仕組みのこと", "企業も社会を構成する一市民としての義務を負うべきとする考え方のこと"],ans:2,expl:"コーポレートガバナンス(corporate governance)は、企業統治とも訳され、企業の経営について利害関係者が監視・規律することで「企業の収益力の強化」と「企業の不祥事を防ぐ」という2つの目的を達成するための仕組みです。企業倫理の説明です。経営理念の説明です。正しい。コーポレートガバナンスの説明です。CSR(Corporate Social Responsibility)の説明です。"}, {id:920,cat:"ストラテジ系 » 法務 » 知的財産権",q:"不正競争防止法で保護される,自社にとっての営業秘密に該当するものはどれか。ここで,いずれの場合も情報はファイリングされており,ファイルには秘密であることを示すラベルを貼ってキャビネットに施錠保管し,閲覧者を限定して管理しているものとする。",opts:["新製品開発に関連した,化学実験の未発表の失敗データ", "専門家,研究者の学会で発表した,自社研究員の重要レポート", "特許公報に基づき調査した,他社の特許出願内容", "不正に取得した,他社の重要顧客リスト"],ans:0,expl:"不正競争防止法は、事業者間の公正な競争と国際約束の的確な実施を確保するため、不正競争の防止を目的として設けられた法律で、この法律上の営業秘密とされるには次の3つの要件を満たすことが求められます。生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報であること(有用性)公然と知られていないこと(非公知性)組織内で秘密として管理されていること(秘密管理性)これらの要件と各事例を照らし合わせると、正しい。「新製品に関連した…」→有用性、「未発表の…」→非公知性・秘密管理性 となり3要件全てを満たしています。学会で発表済みなので非公知性を満たしません。特許公報に掲載されているということは広く"}, {id:921,cat:"ストラテジ系 » 法務 » 知的財産権",q:"著作者の了解を得ないで次の行為を行った場合,著作権法に照らして適法な行為はどれか。",opts:["購入したCDの楽曲を自分のPCにコピーし,PCで毎日聴いている。", "購入したCDの楽曲を自分のホームページからダウンロードできるようにしている。", "自社製品に関する記事が掲載された雑誌のコピーを顧客に配布している。", "録画したテレビドラマを動画共有サイトにアップロードしている。"],ans:0,expl:"著作権法では、私的利用の範囲での複製を認めています。私的利用の範囲というと、データのバックアップなどの目的で複製をつくるなどの行為がそれに該当します。したがって私的利用の範囲内である「ア」は著作権法上での適法行為となります。正解以外の選択肢では、自分以外の不特定多数の人が自由に利用できる状態になってしまっているので著作権法的には違法行為になります。"}, {id:922,cat:"ストラテジ系 » 法務 » その他の法律・ガイドライン",q:"ソフトウェアやデータに瑕疵(かし)がある場合に,製造物責任法の対象となるものはどれか。",opts:["ROM化したソフトウェアを内蔵した組込み機器", "アプリケーションがCD-ROMに入ったソフトウェアパッケージ", "利用者がOSをインストールしたPC", "利用者によってネットワークからダウンロードされたデータ"],ans:0,expl:"製造物責任法(PL法)は、製造物の安全性上の欠陥により消費者側に被害が生じた際に製造業者の損害賠償の責任について定めることで、被害者の保護を目的とした法律です。この法律にいう製造物は、「製造又は加工された動産」と定義されています。したがってサービス、不動産、未加工のものは、この定義上の製造物には含まれず欠陥があっても製造物責任法の対象外となります。同じくコンピュータプログラムのような無体物も動産ではないため対象外となりますが、欠陥があるプログラムを組み込んだハードウェア(製造物)の使用によって損害が生じた場合は、その動産であるハードウェアに欠陥があるものとして製造物責任法の対象となります。また"}, {id:923,cat:"ストラテジ系 » 法務 » 労働関連・取引関連法規",q:"偽装請負となるものはどれか。",opts:["請負契約の要員が業務で使用するコンピュータや開発ツールなどは請負業者側で調達し管理する。", "請負契約の要員が発注先の事務所で業務を行う場合の規律,服装などの管理は,請負業者側で行う。", "請負契約の要員と発注者の社員が混在しているチームで,発注者側の責任者が業務の割振り,指示を行う。", "請負契約の要員の時間外労働,休日労働は,業務の進捗状況などを見て請負業者の責任者が決める。"],ans:2,expl:"請負契約は、請負人がある仕事を完成することを約束し、発注者がその仕事の結果に対してその報酬を支払うことを内容とする契約であり、請負元が自社の社員に対して、請負事業の指揮命令をするものです。請負事業となるためには、「労働者派遣事業と請負により行われる事業との区分に関する基準」に基づく以下の基準をすべて満たさなければならないとされています。労働者に対する業務の遂行方法に関する指示その他の管理を自ら行うこと。労働者の業務の遂行に関する評価等に係る、指示その他の管理を自ら行うこと。労働者の始業、終業の時刻、休憩時間、休日、休暇等に関する指示その他の管理を自ら行うこと。労働者の労働時間を延長する場合又は"}, {id:924,cat:"ストラテジ系 » 法務 » 労働関連・取引関連法規",q:"労働者派遣法に基づいた労働者の派遣において,労働者派遣契約関係が存在するのはどの当事者の間か。",opts:["派遣先事業主と派遣労働者", "派遣先責任者と派遣労働者", "派遣元事業主と派遣先事業主", "派遣元事業主と派遣労働者"],ans:2,expl:"労働者派遣契約に関わる、派遣先事業主、派遣労働者および派遣元事業主の間には下図のような関係があります。"}, {id:925,cat:"ストラテジ系 » 法務 » その他の法律・ガイドライン",q:"製造物責任法によって責任を問われるのはどのケースか。",opts:["再販売価格を維持することを条件に小売店に製品を販売した。", "実際には無い機能をもっていると誤解される広告をして製品を販売した。", "取扱説明書に従った使い方をしていても過熱してやけどするなどの危険がある製品を販売した。", "兵器として転用可能な製品を担当省庁の許可なしにテロ支援の懸念がある国家に販売した。"],ans:2,expl:"製造物責任法(PL法)は、製造物の欠陥により消費者側に被害が生じた際に製造業者の損害賠償の責任について定めることで、被害者の保護を目的とした法律です。この法律にいう欠陥とは「当該製造物の特性、その通常予見される使用形態、その製造業者等が当該製造物を引き渡した時期その他の当該製造物に係る事情を考慮して、当該製造物が通常有すべき安全性を欠いていること」と定義されており(2条2項)、設計上の問題や製造上の問題,及び取扱説明書の記述に不備がある場合なども欠陥に該当します。小売店の販売価格(再販売価格)を拘束することは、独占禁止法第二条第九項第四号(再販売価格の拘束)に該当するため、独占禁止法上の責任が"}, {id:926,cat:"ストラテジ系 » 法務 » 標準化関連",q:"JANコード中にデータとして組み込まれている情報はどれか。",opts:["商品の製造会社", "商品の製造日", "商品の流通経路", "商品のロット番号"],ans:0,expl:"JANコードは、商品識別コードおよびバーコード規格のひとつで、13桁のタイプと8桁のタイプがあります。データの格納パターンは2種類ありますが、組み込まれているデータは共通で、国コード(日本は 49 または 45)メーカーコード商品コードチェックディジット(最後1桁)という順番で記録されています。"}, {id:927,cat:"ストラテジ系 » 法務 » セキュリティ関連法規",q:"個人情報保護法における\"個人情報\"だけを全て挙げたものはどれか。記号や数字だけからなるハンドルネームを集めたファイル購入した職員録に載っている取引先企業の役職と社員名電話帳に載っている氏名と住所,電話番号取引先企業担当者の名刺データベース",opts:["a,b", "a,c,d", "b,c", "b,c,d"],ans:3,expl:"個人情報保護法によると、個人情報とは生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるものとされています。ハンドルネームとはインターネット上で使用されるニックネームです。ハンドルネームだけでは個人の特定はできないので個人情報ではありません。所属する企業名と役職・氏名がわかれば個人を特定することができるので個人情報です。氏名と住所がわかれば個人を特定することができるので個人情報です。名刺の情報から個人を特定することができるので個人情報です。したがって「b,c,d」の組合せが適切です。"}, {id:928,cat:"ストラテジ系 » 法務 » セキュリティ関連法規",q:"特段の措置をとらずになされた個人情報取扱事業者の行為のうち,個人情報保護法に照らして適法な行為はどれか。",opts:["開催したセミナで回収した,商品企画立案を目的としたアンケートに記載された参加者の氏名及び住所を,自社の販売促進セミナ案内用ダイレクトメール発送先住所録に登録した。", "開設しているWebサイトの問合せページで自社製品販売促進ダイレクトメール送付可否欄に可と記入した依頼者の氏名及び住所を,自社の製品販売促進用ダイレクトメール発送先住所録に登録した。", "自社が主催した市場動向に関する勉強会の参加者リストの内容を,自社の子会社の製品販売促進用メールマガジン発送先アドレスリストに登録した。", "従業員が参加した同窓会で配布された同窓生名簿に記載されている,同窓生の氏名及び電話番号を,自社製品販売促進用コールセンターのアウトバウンド用電話番号リストに登録した。"],ans:1,expl:"個人情報保護法は、個人情報の適正な取扱いに関し基本的な事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする法律です。個人情報取扱事業者の義務においては、第4章(第15条~第36条)に、「事業者が個人情報を取り扱う際は利用目的を明らかにし、あらかじめ本人の同意を得ないで、その特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない」とされています。また「利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められ"}, {id:929,cat:"ストラテジ系 » 法務 » セキュリティ関連法規",q:"刑法の電子計算機使用詐欺罪が適用される違法行為はどれか。",opts:["インターネット上にいわゆるねずみ講方式により取引形態のWebページを開設する。", "インターネット上に,実際よりも良品と誤認させる商品カタログを掲載し,粗悪な商品を販売する。", "インターネットを経由して銀行のシステムに虚偽の情報を与え,不正な振込や送金をさせる。", "企業のWebページを不法な手段で変造し,その企業の信用を傷つける情報を流す。"],ans:2,expl:"無限連鎖講の防止に関する法律における違法行為となります。金品等をだまし取った場合には詐欺罪が適用されます。景品表示法における違法行為となります。正しい。電子計算機使用詐欺罪が適用されます。電子計算機損壊等業務妨害罪が適用されます。"}, {id:930,cat:"ストラテジ系 » 法務 » 標準化関連",q:"QRコードの特徴はどれか。",opts:["3個の検出用シンボルで,回転角度と読取り方向が認識できる。", "最大で英数字なら128文字,漢字なら64文字を表すことができる。", "バイナリ形式を除いた文字をコードで表現することができる。", "プログラム言語であり,携帯電話で実行できる。"],ans:0,expl:"QRコードは、現在普及している二次元コードです。バーコードが横方向にしか情報を持たないのに対し、QRコードは縦横に情報を持っています。そのため、格納できる情報量が多く、数字だけでなく英字や漢字など多言語のデータも格納することができます。また3隅の四角い位置検出パターンによって360度読み取り可能、汚れなどがあっても正確に読み取れるように、誤り訂正語を含むなどの特徴があります。"}, {id:931,cat:"ストラテジ系 » 法務 » 労働関連・取引関連法規",q:"労働基準法において,時間外および休日の労働を認めるために規定されていることはどれか。",opts:["会社の就業規則が作成されていること", "本人の労働意思が個別に確認されていること", "労使の協定を書面で締結し,行政官庁に届け出ること", "割増賃金について,支給細目が決まっていること"],ans:2,expl:"労働基準法には、労働基準法第36条に基づき「使用者とその事業場の労働者の過半数で組織する労働組合又は事業場の労働者の過半数の代表者とが時間外労働、休日労働について協定を書面で締結し、これを行政官庁に届け出た場合」(いわゆる三六(さぶろく・さんろく)協定)に時間外労働が許されるという条文があります。したがって「ウ」が正解です。"}, {id:932,cat:"ストラテジ系 » 法務 » 知的財産権",q:"インターネットを利用した新たなビジネスモデルを保護する法律はどれか。",opts:["意匠法", "商標法", "著作権法", "特許法"],ans:3,expl:"特許法は、物や技術の発明を保護するものだと認識されていることが多いですが、ビジネス方法に係る発明も保護の対象となります。これらビジネスモデルに係る発明は「ビジネスモデル特許」と呼ばれ、一般にはより狭義の、コンピュータ・ソフトウェアを使ったビジネス方法に係る発明に与えられる特許という意味で用いられています。意匠法は、工業上の利用性があり、製品の価値や魅力を高める形状・デザインを保護する法律です。商標法は、商品の名称やロゴマークなどを保護する法律です。著作権法は、知的財産権の中でも文化・芸術に関するものにおいて、著作者が自身の著作物を独占的に扱う権利を保護する法律です。正しい。"}, {id:933,cat:"ストラテジ系 » 法務 » 知的財産権",q:"意匠法における意匠の説明として,最も適切なものはどれか。",opts:["自然法則を利用した技術的思想に基づいて発明されたもの", "思想又は感情を文章や音,絵などで創造的に表現したもの", "文字や図形,記号,立体的形状などで表した商品のマーク", "物の形状や模様,色彩などで表した商品のデザイン"],ans:3,expl:"意匠権とは、知的財産権のうち特許権などと共に産業財産権に分類されている権利です。工業上利用できる物品の形状、模様や色彩などの形態で処理された視覚を通じて生じる美感の保護及び利用を図ることによって、意匠の創作を奨励し、もって産業の発達に寄与することを目的とする法律が意匠法です。特許法における特許の説明です。著作権法における著作物の説明です。商標法における商標の説明です。正しい。"}, {id:934,cat:"ストラテジ系 » 法務 » セキュリティ関連法規",q:"利用権限をもたない第三者が,他人のIDやパスワードを使ってネットワークに接続されたコンピュータを利用可能にする行為及びその助長行為を処罰の対象にしている法律はどれか。",opts:["刑法", "通信傍受法", "電気通信事業法", "不正アクセス禁止法"],ans:3,expl:"不正アクセス禁止法は、正式名称を「不正アクセス行為の禁止等に関する法律」といい、インターネットなどのネットワークの通信における不正アクセスとそれを助長する行為を規制する法律です。この法律の中で不正アクセスとは主に3つの行為を指しています。他人のIDやパスワードを使ってアクセス制御機能を持ち本来制限されている機能を利用可能な状態にする行為アクセス制御機能を持つコンピュータにアクセスし不正な手段(セキュリティホールへの攻撃・コンピュータウィルス等)で本来制限されている機能を利用可能な状態にする行為アクセス制御機能を持つ他のコンピュータ(認証サーバ等)によって制限されているコンピュータにアクセスし不"}, {id:935,cat:"ストラテジ系 » 法務 » 知的財産権",q:"著作権法に照らして適法な行為はどれか。",opts:["ある自社製品のパンフレットで使用しているスポーツ選手の写真を,撮影者に無断で,ほかの自社製品のパンフレットに使用する。", "経済白書の記載内容を説明の材料として,出所を明示してWebページに転載する。", "新聞の写真をスキャナーで取り込んで,提案書に記載する。", "ユーザー団体の研究会のように限られた対象者に対し,雑誌の記事をコピーして配布する。"],ans:1,expl:"著作権法は、著作物(思想または感情を創作物に表現したもの)や、著作者の権利を保護する法律です。著作物には文芸,学術,音楽,美術のほかにプログラムやデータベースも含まれます。著作権法31条第2項には白書などの政府刊行物の転載について以下の記述があります。「国若しくは地方公共団体の機関、独立行政法人又は地方独立行政法人が一般に周知させることを目的として作成し、その著作の名義の下に公表する広報資料、調査統計資料、報告書その他これらに類する著作物は、説明の材料として新聞紙、雑誌その他の刊行物に転載することができる。ただし、これを禁止する旨の表示がある場合は、この限りでない」条件を満たせば政府刊行物の転"}, {id:936,cat:"ストラテジ系 » 法務 » 知的財産権",q:"不正競争防止法の不正競争に該当するものはどれか。",opts:["競争関係にある他社の信用の低下につながる,反社会的な行為を公表した。", "自社で使っているドメイン名が,偶然他社のドメイン名と類似していた。", "新聞に記載されていた掃除用具開発の着想を参考にして,オリジナルな文房具を開発した。", "取引先から入手した情報が他社の営業秘密に当たるものであることを知っていながら,自社で使用した。"],ans:3,expl:"不正競争防止法(ふせいきょうそうぼうしほう)は、事業者間の公正な競争及びこれに関する国際約束の的確な実施を確保するため、不正競争の定義や罰則について定められた法律です。この法律の第2条では「不正競争」の定義として20以上の事例が定められています。公表の目的は、反社会的な行為を社会に広く知らせるためであり、不正の利益を得たり、保有者に損害を加える目的ではないので違反ではありません。不正の利益を得る目的で、又は他人に損害を加える目的で、他人の特定商品等表示のドメインを取得・使用した場合は不正競争に該当しますが、このケースでは「偶然」とされているので違反ではありません。他人の商品の形態をコピーした商"}, {id:937,cat:"ストラテジ系 » 法務 » セキュリティ関連法規",q:"\"コンピュータ不正アクセス対策基準\"に適合しているものはどれか。",opts:["監視効率を向上させるためにすべてのネットワークを相互接続する。", "業務上必要な場合は,利用者 ID を個人間で共有して使用できる。", "システム管理者が,すべての権限をもつ利用者 ID を常に使用できる。", "組織のセキュリティ方針を文書化し,定期的に研修を開催する。"],ans:3,expl:"コンピュータ不正アクセス対策基準は、コンピュータ不正アクセスによる被害の予防,発見,再発防止などについて,組織及び個人が実行すべき対策をとりまとめたものです。基準は、システムユーザー基準、システム管理者基準、ネットワークサービス事業者基準及びハードウェア・ソフトウェア供給者基準の4つから構成されています。システムユーザー基準システムを利用する者が実施すべき対策についてまとめたもので、27項目からなる。システム管理者基準システムユーザーの管理並びにシステム及びその構成要素の導入、維持、保守等の管理を行う者が、実施すべき対策についてまとめたもので、58項目からなる。ネットワーク事業者サービス基準ネ"}, {id:938,cat:"ストラテジ系 » 法務 » 労働関連・取引関連法規",q:"ユーザーから請負うソフトウェア開発を中小受託事業者に委託する場合,中小受託取引適正化法で禁止されている行為はどれか。",opts:["交通費などの経費については金額を明記せず,実費負担とする旨を発注書面に記載する。", "中小受託事業者に委託する業務内容は決まっているが,ユーザーとの契約代金が未定なので,製造委託等代金の取決めはユーザーとの契約決定後とする。", "発注書面を交付する代わりに,中小受託事業者の承諾を得て,必要な事項を記載した電子メールで発注を行う。", "ユーザーの事情で委託予定の業務内容の一部が未定なので,その部分及び製造委託等代金は別途取り決める。"],ans:1,expl:"中小受託取引適正化法(旧称:下請法)は、委託事業者(発注側)と中小受託事業者(受注側)の公平な取引関係を確保し、受託側の利益保護と取引の公正化を図るための法律です。一定規模以上の委託事業者を「優越的地位にある」ものと位置付け、受託取引における委託事業者の不当な行為を規制することを狙いとしています。具体的な規制内容として、委託事業者に対し、発注内容等の明示、書類等の作成・保存、代金の支払期日の設定、遅延利息の支払といった義務を課すとともに、受領拒否、返品、代金減額、支払遅延など11類型の禁止行為を定めています。委託事業者の4つの義務は以下のとおりです。発注内容等を明示する義務発注に当たって、発注"}, {id:939,cat:"ストラテジ系 » 法務 » 知的財産権",q:"特に取決めのない場合,労働者派遣契約によって派遣された派遣労働者が,派遣先企業の指示の下に開発したプログラムの著作権の帰属先はどれか。",opts:["派遣先企業", "派遣先企業の直接指揮命令者", "派遣元企業", "派遣労働者"],ans:0,expl:"労働者派遣契約は、派遣元企業の従業員が、派遣先企業の指揮命令の下で業務に従事できるようにした労働契約です。"}, {id:940,cat:"ストラテジ系 » 法務 » 知的財産権",q:"著作権法によるソフトウェアの保護範囲に関する記述のうち,適切なものはどれか。",opts:["アプリケーションプログラムは著作権法によって保護されるが,OSなどの基本プログラムは権利の対価がハードウェアの料金に含まれるので,保護されない。", "アルゴリズムやプログラム言語は,著作権法によって保護される。", "アルゴリズムを記述した文書は著作権法で保護されるが,プログラムは保護されない。", "ソースプログラムとオブジェクトプログラムの両方とも著作権法によって保護される。"],ans:3,expl:"OSも著作権法で保護されます。著作権法に「著作物に対するこの法律による保護は、その著作物を作成するために用いるプログラム言語、規約及び解法に及ばない。(第10条3項)」と規定されているため、アルゴリズムやプログラム言語は保護対象外です。アルゴリズムは保護対象外ですが、それを記述した文書およびプログラムは著作権法で保護されます。正しい。プログラムは著作権法における保護対象です。"}, {id:941,cat:"ストラテジ系 » 法務 » 標準化関連",q:"JIS Q 9000では,品質とは\"本来備わっている特性の集まりが,要求事項を満たす程度\"と定義されている。この定義に基づいて評価したとき,品質の良い製品として,最も適切なものはどれか。",opts:["クレームが少なく顧客満足度が高い製品", "製造を外部に委託せず自社で生産している製品", "設計や製造にCAD/CAMを導入している製品", "良質の材料や部品を使用している製品"],ans:0,expl:"クレームが少ないということは、購入した顧客の要求を満たしているということであるので、問題文の品質の定義\"本来備わっている特性の集まりが、要求事項を満たす程度\"に最も合致していると言えます。他の項目については、\"顧客の要求事項を満たす程度\"について考慮されていません。品質とは、ある一部分の良し悪しで決まるものではなく、すべての工程を経たのち顧客の手元に届いた品質がすべてです。手元に届くまでのどの工程に不備があっても顧客満足を得る品質にすることはできません。したがって一般にクレームが少なければ、品質がよいと言えるのではないかと思います。"}, {id:942,cat:"ストラテジ系 » 法務 » 標準化関連",q:"コンピュータで使われている文字符号の説明のうち,適切なものはどれか。",opts:["ASCII符号はアルファベット,数字,特殊文字及び制御文字からなり,漢字に関する規定はない。", "EUCは文字符号の世界標準を作成しようとして考案された16ビット以上の符号体系であり,漢字に関する規定はない。", "Unicodeは文字の1バイト目で漢字かどうかが分かるようにする目的で制定され,漢字とASCII符号を混在可能にした符号体系である。", "シフトJIS符号はUNIXにおける多言語対応の一環として制定され,ISOとして標準化されている。"],ans:0,expl:"正しい。ASCII(アスキー)コードは、2進数7桁で表現できる128種類(0~127)に英数字や記号,改行やタブなどの制御文字などを割り当てた文字コードです。Unicodeの説明です。SJIS(Shift_JIS)の説明です。EUC(Extended UNIX Code)の説明です。"}, {id:943,cat:"ストラテジ系 » 法務 » 労働関連・取引関連法規",q:"A社がシステム開発を行うに当たり,外部業者B社を利用する場合の契約に関する記述のうち,適切なものはどれか。",opts:["委託契約ではB社に成果物の完成責任がないので,A社がB社の従業員に対して直接指揮命令権を行使できる。", "請負契約によるシステム開発では,特に契約を定めない限り開発されたプログラムの著作権はB社に帰属する。", "請負契約,派遣契約によらず,いずれの場合のシステム開発でも,B社にはシステムの完成責任がある。", "派遣契約では,開発されたプログラムに重大な欠陥が発生した場合,B社に瑕疵(かし)担保責任がある。"],ans:1,expl:"委託契約では、B社の従業員はB社の指揮命令の下で業務に従事します。正しい。請負契約では、特段の取り決めがない場合著作物の権利は受託側に帰属します。請負契約では完成責任が生じますが、派遣契約では完成責任はありません。派遣契約では、B社の従業員がA社の指揮命令の下で作業することになり、完成物の欠陥の責任は指揮命令を行ったA社にあります。"}, {id:944,cat:"ストラテジ系 » 法務 » その他の法律・ガイドライン",q:"企業の活動a~dのうち,コンプライアンスの確立に関するものだけを全て挙げたものはどれか。芸術や文化活動を支援する。従業員に対して行動規範の教育を行う。地球の砂漠化防止の取組みを行う。内部通報の仕組みを作る。",opts:["a,b", "a,c", "b,d", "c,d"],ans:2,expl:"コンプライアンスとは、企業倫理に基づき、ルール、マニュアル、チェックシステムなどを整備し、法令や社会規範を遵守した企業活動を行うことです。コンプライアンス=法令遵守と覚えましょう。近年、法令違反による信頼の失墜や、それが波及した法律の厳罰化などが事業継続に大きな影響を与える事例が頻発しているため、法律違反を防ぐ企業活動というものが今まで以上に重要視されています。事例のうちコンプライアンス確立に寄与する活動は「b,d」です。"}, {id:945,cat:"ストラテジ系 » 法務 » 知的財産権",q:"著作権法によるプログラムの保護に関する記述のうち,適切なものはどれか。",opts:["他人の著作物であるプログラムを購入し,自社のパソコンでより効果的に利用するために改変を加えることができる。", "特に許可されていない場合,バックアップが目的であっても,購入したプログラムを複製すると著作権法違反となる。", "プログラムの著作権を侵害して作成された複製物を使用する場合,複製物を取得したときに侵害の事実を知らなくても,使用時点で知っていれば,著作権法違反となる。", "プログラムは,そのアルゴリズムも含め,著作権法によって著作物として保護される。"],ans:0,expl:"正しい。著作物の改変は著作物の同一性保護権を侵害することになりますが、購入したプログラムを自社の環境に適用させるためや、より効果的に利用するために必要な改変は認められています(著作権法20条2項3号)。私的利用の範囲でバックアップコピーをとることを認めています。ただし元のプログラムを売却・廃棄した場合にはバックアップも廃棄しなくてはなりません(著作権法30条)。取得時点で侵害の事実を知らなかった場合には、複製されたプログラムの使用は著作権侵害となりません(著作権法113条2項)。アルゴリズム、規約、プログラム言語の3つは著作権法の保護対象外と定義されています(著作権法10条3項)。"}, {id:946,cat:"ストラテジ系 » 法務 » セキュリティ関連法規",q:"個人情報保護法では個人情報取扱事業者に対して安全管理措置を講じることを求めている。経済産業分野のガイドラインでは,安全管理措置は技術的安全管理措置,組織的安全管理措置,人的安全管理措置,物理的安全管理措置に分類している。このうち,人的安全管理措置の具体例として,適切なものはどれか。",opts:["安全管理に対する規程と従業員による体制の整備", "安全管理に対する従業員の役割及び責任についての周知や教育の実施", "個人データを取り扱う情報システムへの従業員ごとのアクセス制御", "従業員の入退出管理や個人データを記録した媒体の施錠管理"],ans:1,expl:"個人情報保護の経済産業分野のガイドラインでは、それぞれの安全措置を以下のように定義しています。技術的安全管理措置個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等、個人データに対する技術的な安全管理措置をいう。組織的安全管理措置安全管理について従業者の責任と権限を整備運用し、その実施状況を確認することをいう。人的安全管理措置従業者に対する、業務上秘密と指定された個人データの非開示契約の締結や教育・訓練等を行うことをいう。物理的安全管理措置入退館(室)の管理、個人データの盗難の防止等の措置をいう。このうち人的管理措置として講じなければならない事項"}, {id:947,cat:"ストラテジ系 » 法務 » 労働関連・取引関連法規",q:"準委任契約の説明はどれか。",opts:["成果物の対価として報酬を得る契約", "成果物を完成させる義務を負う契約", "善管注意義務を負って作業を受託する契約", "発注者の指揮命令下で作業を行う契約"],ans:2,expl:"準委任契約は、通常の委託契約(請負契約)と同様に委託先に業務を依頼することは同様ですが、仕事の完成を契約の目的とする請負契約と異なり、業務(依頼された仕事)の実施自体を目的とする契約形態です。業務分析やIT戦略のコンサルティングなど、作業や事務の遂行を約束する契約であり、仕事の完成は約束されないが、委託元の求めに応じて報告の義務があります。[契約目的の違い]請負契約…受託した業務の完成準委任契約…受託した業務の遂行請負契約の説明です。請負契約の説明です。正しい。準委任契約の説明です。労働者派遣契約の説明です。善管注意義務委託業務において職業や能力から考えて一般的・客観的に要求される注意をしなけ"}, {id:948,cat:"ストラテジ系 » 法務 » 知的財産権",q:"A社では新たなシステムの開発を予定している。そのシステムの著作権をA社に帰属させるために必要なことだけを全て挙げたものはどれか。ここで,著作権に関する特段の契約や取決めはない。A社は開発の全てを委託する。A社は開発を委託した会社と機密保持契約を締結する。A社の社員と派遣社員によって開発する。",opts:["①,②", "①,③", "②,③", "③"],ans:3,expl:"著作権は著作物を創作した者に自動的に発生する権利であり、委託開発(請負契約)によって作成されたシステムについては、原則として開発を請け負った受託者側に帰属します。このため、発注者が納品後も自由に利用するためには、契約書に\"著作権の譲渡\"と\"著作者人格権の不行使\"に関する条項を盛り込むことが不可欠です。委託開発(請負契約)となるので、開発したシステムの著作権は委託先に帰属します。著作権と秘密保持契約は無関係です。①と同様に請負契約となるので著作権は委託先に帰属します。自社で開発した場合、システムの著作権は自社に帰属します。①②のように委託開発契約の場合、成果物"}, {id:949,cat:"ストラテジ系 » 法務 » 知的財産権",q:"特許権の付与に関して二つ以上の同一特許出願が競合した場合,我が国の特許法において優先的に取り扱われる者はどれか。",opts:["抽選によって選ばれた者", "特許の出願実績が最も多い者", "最も先に出願した者", "最も先に発明した者"],ans:2,expl:"特許法は、発明をした者にその発明を独占して使用できる権利を与えることで、発明者の権利を保護し、その発明を公開することにより産業の発展を促進させる目的で制定された法律です。本問のように同一特許出願が競合した場合については、特許法39条に規定が置かれています。「同一の発明について異なつた日に二以上の特許出願があつたときは、最先の特許出願人のみがその発明について特許を受けることができる」上記の通り、日本の特許権は「先願主義」を採用しているので、2つ以上の同じ内容の出願があった場合は、最も先に出願した者のみが特許を受ける権利を有することになります。したがって正解は「ウ」です。"}, {id:950,cat:"ストラテジ系 » 法務 » その他の法律・ガイドライン",q:"経済産業省が策定した“ソフトウェア管理ガイドライン”はどれか。",opts:["アプリケーションソフトウェアの開発工程で,開発管理者が最低限実施すべき事項を取りまとめたもの", "ソフトウェアの違法複製などを防止するために,法人,団体などがソフトウェアを使用するに当たって実施すべき事項を取りまとめたもの", "ソフトウェアの品質保証のために,ソフトウェア管理者がチェックすべき事項をガイドラインとして示したもの", "ソフトウェアパッケージの適正な利用を促進するために,ソフトウェア管理者が策定すべき管理規則や,ソフトウェアの利用手順のひな形を示したもの"],ans:1,expl:"ソフトウェア管理ガイドラインは、ソフトウェアの違法複製を防止するため,法人,団体などを対象として,ソフトウェアを使用するに当たって実行されるべき事項をとりまとめたものです。ソフトウェア管理責任者、ソフトウェアユーザーといった対象ユーザーごとに実施すべき事項を、管理方法や管理体制といった点から具体的に取りまとめています。参考URL: 経済産業省「ソフトウェア管理ガイドライン」 http://www.meti.go.jp/policy/netsecurity/downloadfiles/softkanri-guide.htm"} ]; // ── Premium (signed license) ───────────────────────────── const LK='jyohosecu_lic'; const APP_SLUG='jyohosecu'; const PUBJWK={"kty":"EC","crv":"P-256","x":"yBuyi1pYrTRwI6edd-HdVm19ZeA4Ul6YRliA0Dyyc-k","y":"OhCcyNZUdDjeOaXC-ogmeqSY2Q9u0jRi_eFSFr5rrWk"}; let PREM_OK=false; function _b2b(s){s=s.replace(/-/g,'+').replace(/_/g,'/');while(s.length%4)s+='=';var bin=atob(s),b=new Uint8Array(bin.length);for(var i=0;ipl.exp)return null;if(pl.app!=='all'&&pl.app!==APP_SLUG)return null;return pl}catch(e){return null}} async function refreshPrem(){var sp=new URLSearchParams(location.search),inc=sp.get('license');if(inc){var pl=await _verLic(inc);if(pl)localStorage.setItem(LK,inc);history.replaceState({},'',location.pathname)}var st=localStorage.getItem(LK);PREM_OK=st?!!(await _verLic(st)):false;if(!PREM_OK&&st)localStorage.removeItem(LK)} function isPrem(){return PREM_OK} function reqPrem(cb){if(isPrem())cb();else $('pw').classList.add('show')} function enterLicense(){var t=prompt('ライセンスコードを入力してください');if(!t)return;_verLic(t.trim()).then(function(pl){if(pl){localStorage.setItem(LK,t.trim());PREM_OK=true;$('pw').classList.remove('show');alert('プレミアム機能が有効になりました!')}else alert('ライセンスコードが無効です。')})} refreshPrem(); // ───────────────────────────────────────────────────────── let mode='',qList=[],cur=0,answers={},startTime=0,timerInterval=null,answered=false,wrongMode=false; const STOR={history:'jyohosecu_h',wrong:'jyohosecu_w',wc:'jyohosecu_wc',backlog:'jyohosecu_b'}; function shuffle(a){const r=[...a];for(let i=r.length-1;i>0;i--){const j=Math.floor(Math.random()*(i+1));[r[i],r[j]]=[r[j],r[i]]}return r} function $(i){return document.getElementById(i)} function labels(i){return['ア','イ','ウ','エ'][i]} function fmtT(ms){const s=Math.floor(ms/1000);return Math.floor(s/60)+':'+String(s%60).padStart(2,'0')} function showScr(n){document.querySelectorAll('.scr').forEach(s=>s.classList.remove('on'));$('scr-'+n).classList.add('on');const bk=$('backBtn'),td=$('timerDisp');if(n==='home'){bk.style.display='none';td.style.display='none';$('hdrTitle').textContent='情報セキュリティマネジメント試験対策';$('hdrSub').textContent='専門資格'}else{bk.style.display='block';const tk={quick:'さっくりテスト',mock:'模擬テスト',result:'テスト結果',history:'テスト履歴',wrong:'誤答集',backlog:'バックログ'};$('hdrTitle').textContent=tk[n]||'情報セキュリティマネジメント試験対策';$('hdrSub').textContent='情報セキュリティマネジメント試験対策'}} function goHome(){stopTimer();showScr('home')} function startTimer(){startTime=Date.now();timerInterval=setInterval(updateTimer,1000);$('timerDisp').style.display='block';updateTimer()} function stopTimer(){if(timerInterval){clearInterval(timerInterval);timerInterval=null}$('timerDisp').style.display='none'} function updateTimer(){const el=$('timerDisp'),e=Date.now()-startTime;if(mode==='mock'){const r=Math.max(0,36*60*1000-e);el.textContent='残り '+fmtT(r);el.classList.toggle('warn',r<5*60*1000);if(r===0)submitMock()}else{el.textContent=fmtT(e)}} function startQuick(){mode='quick';wrongMode=false;qList=shuffle(Q).slice(0,10);cur=0;answers={};answered=false;startTimer();showScr('quick');renderQuick()} function renderQuick(){const q=qList[cur];$('quickProg').style.width=(cur/10*100)+'%';$('quickProgTxt').textContent=(cur+1)+' / 10';$('quickCatTxt').textContent=q.cat;$('quickCat').textContent=q.cat;$('quickQ').textContent='Q'+(cur+1)+'. '+q.q;$('quickExpl').style.display='none';$('quickNext').style.display='none';answered=false;updBkm('quickBkm',q.id);const opts=$('quickOpts');opts.innerHTML='';q.opts.forEach((o,i)=>{const b=document.createElement('button');b.className='opt';b.innerHTML=''+labels(i)+''+o;b.onclick=()=>ansQuick(i,q);opts.appendChild(b)})} function ansQuick(c,q){if(answered)return;answered=true;answers[q.id]=c;$('quickOpts').querySelectorAll('.opt').forEach((b,i)=>{b.disabled=true;if(i===q.ans)b.classList.add('correct');if(i===c&&c!==q.ans)b.classList.add('wrong')});$('quickExplText').textContent=q.expl;$('quickExpl').style.display='block';const nb=$('quickNext');if(cur<9){nb.textContent='次の問題へ';nb.onclick=nextQuick}else{nb.textContent='結果を見る';nb.onclick=showResult}nb.style.display='block'} function nextQuick(){cur++;renderQuick()} const MOCK_SIZE=30; function startMock(){mode='mock';wrongMode=false;qList=shuffle(Q).slice(0,Math.min(MOCK_SIZE,Q.length));cur=0;answers={};const td=$('mockTotalDisp');if(td)td.textContent=qList.length;startTimer();showScr('mock');buildGrid();renderMock()} function buildGrid(){const g=$('mockGrid');g.innerHTML='';qList.forEach((_,i)=>{const b=document.createElement('button');b.className='mock-num'+(i===0?' current':'');b.id='mn'+i;b.textContent=i+1;b.onclick=()=>jumpMock(i);g.appendChild(b)})} function updGrid(){qList.forEach((q,i)=>{const b=$('mn'+i);b.className='mock-num';if(answers[q.id]!==undefined)b.classList.add('done');if(i===cur)b.classList.add('current')});const d=Object.keys(answers).length;$('mockProg').style.width=(d/qList.length*100)+'%';$('mockProgTxt').textContent=d+' / '+qList.length+' 回答済み'} function renderMock(){const q=qList[cur];$('mockCat').textContent=q.cat;$('mockQ').textContent='Q'+(cur+1)+'. '+q.q;updBkm('mockBkm',q.id);const opts=$('mockOpts');opts.innerHTML='';q.opts.forEach((o,i)=>{const b=document.createElement('button');b.className='opt'+(answers[q.id]===i?' selected-mock':'');b.innerHTML=''+labels(i)+''+o;b.onclick=()=>{answers[q.id]=i;renderMock()};opts.appendChild(b)});updGrid()} function jumpMock(i){cur=i;renderMock()} function mockMove(d){const n=cur+d;if(n>=0&&nanswers[q.id]===undefined).length;if(u>0&&!confirm('まだ'+u+'問未回答です。このまま採点しますか?'))return;stopTimer();showResult()} function showResult(){stopTimer();const e=Date.now()-startTime;saveRes(e);updWrong();const c=qList.filter(q=>answers[q.id]===q.ans).length,t=qList.length,p=Math.round(c/t*100),pass=p>=60;$('resEmoji').textContent=pass?'🎉':'📚';$('resMode').textContent=mode==='quick'?'さっくりテスト':'模擬テスト';$('resScore').textContent=p+'%';$('resScore').className='res-score '+(pass?'pass':'fail');$('resBadge').textContent=pass?'合格ライン達成!':'もう少し!頑張ろう';$('resBadge').className='res-badge '+(pass?'pass':'fail');$('statCorrect').textContent=c;$('statWrong').textContent=t-c;$('statTime').textContent=fmtT(e);const rb=$('retryBtn');if(mode==='quick'){rb.textContent='もう一度';rb.onclick=startQuick;rb.className='btn btn-green'}else{rb.textContent='もう一度';rb.onclick=startMock;rb.className='btn btn-purple'}const list=$('reviewList');list.innerHTML='';qList.forEach((q,i)=>{const ch=answers[q.id],ok=ch===q.ans,div=document.createElement('div');div.className='review-item '+(ok?'ok':'ng');div.innerHTML='
Q'+(i+1)+'. '+q.q+'
'+(ch!==undefined&&!ok?'あなた: '+labels(ch)+' '+q.opts[ch]+'
':'')+(ch===undefined?'未回答
':'')+'正解: '+labels(q.ans)+' '+q.opts[q.ans]+'
';list.appendChild(div)});showScr('result')} function getH(){return JSON.parse(localStorage.getItem(STOR.history)||'[]')} function getW(){return JSON.parse(localStorage.getItem(STOR.wrong)||'{}')} function getWC(){return JSON.parse(localStorage.getItem(STOR.wc)||'{}')} function getB(){return JSON.parse(localStorage.getItem(STOR.backlog)||'[]')} function inB(id){return getB().includes(id)} function saveRes(e){if(!qList.length)return;const c=qList.filter(q=>answers[q.id]===q.ans).length,h=getH();h.unshift({id:Date.now(),date:new Date().toISOString(),mode,correct:c,total:qList.length,pct:Math.round(c/qList.length*100),elapsed:e});if(h.length>50)h.length=50;localStorage.setItem(STOR.history,JSON.stringify(h))} function updWrong(){const w=getW(),wc=getWC();qList.forEach(q=>{const ic=answers[q.id]===q.ans,an=answers[q.id]!==undefined;if(an&&!ic){w[q.id]=(w[q.id]||0)+1;wc[q.id]=0}else if(wrongMode&&an&&ic&&w[q.id]!==undefined){wc[q.id]=(wc[q.id]||0)+1;if(wc[q.id]>=3){delete w[q.id];delete wc[q.id]}}});localStorage.setItem(STOR.wrong,JSON.stringify(w));localStorage.setItem(STOR.wc,JSON.stringify(wc))} function togB(id){let b=getB();if(b.includes(id))b=b.filter(x=>x!==id);else b.push(id);localStorage.setItem(STOR.backlog,JSON.stringify(b));return b.includes(id)} function updBkm(bid,qid){const btn=$(bid),a=inB(qid);btn.classList.toggle('active',a);btn.textContent=a?'★':'☆'} function toggleBkmQuick(){const id=qList[cur].id;togB(id);updBkm('quickBkm',id)} function toggleBkmMock(){const id=qList[cur].id;togB(id);updBkm('mockBkm',id)} function showHistory(){showScr('history');const h=getH(),c=$('histContent'),cb=$('histClearBtn');if(!h.length){c.innerHTML='
📋
テスト履歴がありません
テストを受けると記録されます
';cb.style.display='none';return}cb.style.display='block';c.innerHTML=h.map(r=>{const d=new Date(r.date),ds=(d.getMonth()+1)+'/'+(d.getDate())+' '+String(d.getHours()).padStart(2,'0')+':'+String(d.getMinutes()).padStart(2,'0'),pass=r.pct>=60;return'
'+r.pct+'%
'+(r.mode==='quick'?'さっくりテスト':'模擬テスト')+'
'+ds+'
'+r.correct+'/'+r.total+'問正解 '+fmtT(r.elapsed)+'
'+(pass?'合格':'不合格')+'
'}).join('')} function clearHistory(){if(!confirm('履歴をすべて削除しますか?'))return;localStorage.removeItem(STOR.history);showHistory()} function showWrong(){showScr('wrong');const w=getW(),ids=Object.keys(w).map(Number).sort((a,b)=>w[b]-w[a]),qs=ids.map(id=>Q.find(q=>q.id===id)).filter(Boolean),c=$('wrongContent'),br=$('wrongBtnRow');if(!qs.length){c.innerHTML='
誤答集が空です
テストで間違えた問題が自動記録されます
';br.style.display='none';return}br.style.display='flex';c.innerHTML=qs.map(q=>'
'+q.q+'
'+q.cat+'🔴 '+w[q.id]+'回ミス
').join('')} function rmWrong(id){const w=getW();delete w[id];localStorage.setItem(STOR.wrong,JSON.stringify(w));showWrong()} function clearWrong(){if(!confirm('誤答集をリセットしますか?'))return;localStorage.removeItem(STOR.wrong);showWrong()} function startFromWrong(){const qs=Object.keys(getW()).map(id=>Q.find(q=>q.id===Number(id))).filter(Boolean);if(!qs.length){alert('問題がありません');return}mode='quick';wrongMode=true;qList=shuffle(qs).slice(0,Math.min(10,qs.length));cur=0;answers={};answered=false;startTimer();showScr('quick');renderQuick()} function showBacklog(){showScr('backlog');const b=getB(),qs=b.map(id=>Q.find(q=>q.id===id)).filter(Boolean),c=$('backlogContent'),br=$('backlogBtnRow');if(!qs.length){c.innerHTML='
🔖
バックログが空です
テスト中に☆で保存できます
';br.style.display='none';return}br.style.display='flex';c.innerHTML=qs.map(q=>'
'+q.q+'
'+q.cat+'
').join('')} function rmBacklog(id){localStorage.setItem(STOR.backlog,JSON.stringify(getB().filter(x=>x!==id)));showBacklog()} function clearBacklog(){if(!confirm('バックログをすべて削除しますか?'))return;localStorage.removeItem(STOR.backlog);showBacklog()} function startFromBacklog(){const qs=getB().map(id=>Q.find(q=>q.id===id)).filter(Boolean);if(!qs.length){alert('問題がありません');return}mode='quick';qList=shuffle(qs).slice(0,Math.min(10,qs.length));cur=0;answers={};answered=false;startTimer();showScr('quick');renderQuick()}
🔑

プレミアムプラン

模擬テストなど全機能を利用するには
プレミアムプランへのご加入が必要です。

¥480/月
7日間無料トライアル付き
✓ さっくりテスト(無制限)
✓ 模擬テスト(全30問・本番形式)
✓ 誤答集でテスト・弱点強化
✓ バックログでテスト
今すぐ始める(7日無料)
🔒 Stripeで安全に処理されます
← アプリ一覧