アー 1 ー 2 1 ー 3 2 ー 1 2 ー 2 2 ー 3 2 ー 4 2 標準化 リティポリシ , 個人情報保護 , ネットワークセキュリティ , タベースセキュリティ , セキュリティ関連法規など リスク管理に関すること リスクの分析・対策・種類 , 内部統制など ガイドラインに関すること 情報システム安全対策基準 , ソフトウェア管理ガイドライン , コ ンピュータウイルス対策基準 , コンピュータ不正アクセス対策基 準 , 情報セキュリティ監査制度など OSI, IEEE, EDIFACT, OMG, CORBA, RFC, ISMS, ISO/IEC 情報システム基盤の標準化に関すること ISO 9000 , SLCP-JCF98 など 開発と取引の標準化に関すること 15408 など テータの標準化に関すること 各種コード ( 文字コード , バーコード , タフォーマット , データの圧縮など 標準化組織に関すること 2 次兀コードほか ) デー 内外の標準化組織の役割と活動内容など 情報化と経営 1 2 情報戦略 1 ー 1 経営管理に関すること 情報化構想 , システム化計画 , 業務改善 , 業務分析・設計 , 企業 1 ー 2 情報化戦略に関すること マンリソースマネジメントなど 経営戦略 , 組織 , 経営管理 , マーケティング , 行動科学 , ヒュー 情報システムなど 企業会計 2 ー 1 財務会計に関すること 会計基準 , 財務諸表 , 連結会計 , 減価償却など 2 ー 2 管理会計に関すること 損益分岐点 , 経済性計算 , 経営・財務指標 , 原価 , タル , 資金計画・管理 , 資産管理など 522 リース・レン

前提印知識解答・解説 の改善は図れない。ちなみに , 物理バックアップとは , ディスクの格納状態を そのままバックアップするもので , これをリストアしても , 格納状態は変化し ない。再編成を行うためには , 論理バックアップしたデータが必要である。 問 75 ウ 771621 K ISO/IEC27001 は , 情報セキュリティマネジメントシステムの要求事項である 英国規格の BS7799 part2 をもとに 2005 年に ISO 化された規格である。 ISMS 適合性評価制度の認証基準は ISO/IEC 27001 を JIS 化した JIS Q 27001 の発行 ( 2006 年 5 月 ) に伴い , 従来の ISMS 認証基準 Ver. 2 から JIS Q 27001 に移行 した。したがって , ( ウ ) が正解である。 ア : ISO/IEC 15408 は , 情報システムや製品に対して , 信頼できる IT 機能を装 備するために制定された規格である。日本では , ISO/IEC 15408 に対応する JIS 規格の JISX5070 に基づいて , IT セキュリティ評価・認証制度が運営され ている。 イ : ISO/IEC 17799 は情報セキュリティマネジメントの実践のための規範で , れを受けて JISX5080 が制定された。 工 : ISO/IEC 27002 は ISO/IEC 17799 : 2005 の後継となる ISO 規格で , 2007 年 に移行予定である。なお , JIS はこれを先取りし , ISO/IEC 17799 : 2005 を 2006 年 5 月 , 訂 ISQ27002 として制定した。これに伴い , JISX5080 は廃止された。 問 76 ア 713 6 1 ( ) K ISO/IEC 15408 ( 情報技術セキュリティ評価基準 ) は , OS や DBMS, IC カー ド , ファイアウォールや暗号化システムなど情報技術に関連した製品やシステム が , 情報セキュリティの観点から適切に設計され , その設計が正しく実装されて いるかどうかを評価するための国際基準である。米国の TCSEC やヨーロッパの ITSEC などを統合した CC (Common Criteria ; コモンクライテリア ) をもとに ISO/IEC 規格として承認された。したがって , ( ア ) が適切である。 イ : ISO/IEC 17799 に関する説明である。 ウ : ソフトウェア開発プロセスの成熟度を評価する手法には CMM (CapabiIity Maturity Model) などがあり , 関連する国際基準としては ISO/IEC 15504 が ある。 工 : IS09001 に関する説明である。 問 77 ア 田 17 f'k-NW 間 55K ) インターネットや LAN 上で動画や音声などを含むコンテンツを送受信するた めの , 国際電気通信連合電気通信標準部会 (ITU-T) が勧告した規格が H. 323 ( ア ) 353

イ : 個人情報を売買する事業者だけではなく , 個人情報を取り扱うすべての事業 者が対象である。例えば , 従業員の個人情報も対象である。 ウ : 個人情報保護措置を登録する義務はない。 問 1 ー 78 イ ( H16 秋 -SS 問 36K ) ISMS ( 情報セキュリティマネジメントシステム ) は , PLAN ( 計画 ) → DO ( 実 施 ) → CHECK ( チェックあるいは監査 ) → ACT ( 見直し ) のサイクルを繰り返 すことで , セキュリティレベルを継続的に維持・向上させていく組織的な仕組み である。 DO フェーズではセキュリティ教育を行い , ISMS を実際に運用する。 したがって , ( イ ) が正解である。 ア : 重要な不適合部分の是正・・・・・・ CHECK フェーズで実施した情報セキュリティ 監査などに基づいて ISMS の見直しを行うことなので ACT フェーズに該当す る。 ウ : セキュリティポリシの策定・・・・・・ PLAN フェーズで行うことである。 ( H15 秋 -AN/PM/AE 間 35K ) 工 : 内部監査・・・・・・ CHECK フェーズで行うことである。 問 1 ー 79 工 390 る名称ではないので , これが使われている選択肢は誤りである。 ア , イ , ウ : 「自己増殖機能」は , コンピュータウイルス対策基準で定義されてい 以上のコンピュータウイルスの定義から , 正解は ( 工 ) である。 図しない動作をしたりする。 ③発病機能 : プログラム , データなどのファイルの破壊を行ったり , 設計者の意 せて , 発病するまで症状を出さない。 ②潜伏機能 : 発病するための特定時刻 , 一定時間 , 処理回数などの条件を記憶さ て , ほかのシステムに伝染する。 はシステム機能を利用して自らをほかのシステムにコピーすることによっ ①自己伝染機能 : 自らの機能によってほかのプログラムに自らをコピーし , また うに作られたプログラムであり , 次の機能を一つ以上有するもの。 第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすよ ( 参照 http://www.meti.go.jp/policy/netsecuritY/CvirusCMG.htm ) スを次のように定義している。 コンピュータウイルス対策基準 ( 経済産業省主管 ) では , コンピュータウイル

きましよう。なお , セキュリティ技術の中でもネットワーク技術と関連する最近 の話題として , ネットワーク検疫に関する出題も予想されますので , 最新技術と して , Web 上で公開されている IT 関連ページや , セキュリティ関連および IT 関 連の雑誌などで , 情報を収集しておきましよう。 ( 4 ) 開発の管理に関すること このテーマは , 幅広くセキュリティ関連の問題を考える場合に含まれる内容と いえます。特に午後Ⅱ試験問題の中で関連する設問が含まれる可能性があります。 システム開発の中での機密事項の管理 , 関連ドキュメントやデータの保管・アク セス管理などのテーマから設問が出されると思われます。 午後の問題では , 情報セキュリティ技術の基本を十分に理解したうえで , それ らの技術知識によって解答する問題が多いので , 技術知識のレベルを高めておく ことが必要です。また , 解答形式は , ほとんどが記述式です。しかし , 解答作成 にあたっては , 問題文にヒントとなる記述があるので , それらをうまく見つけ出 す能力も必要になってきます。問題文を繰返し読み直し , 解答を見つけ出すとい う習慣を身につけるようにしておきましよう。

765188 web サイトのセキュリティ侵害に関する次の文章を読んで設問 1 ~ 5 に答えな さい。 N 社は社員数が 600 名で 50 社の販売代理店を持っ洋服卸販売会社である。本 社は東京にあり , 大阪営業所には 100 名の社員が勤務している。本社と大阪の LAN は , IP - VPN サービスを利用して接続されており , 社内 LAN は , 複数のネ ットワークアドレスで運用されている。データセンタは本社に集約されており , Web システムを社外に公開している。最近 , インターネットによる販売が売上げ を伸ばしていることから , N 社では , 受発注用の Web システム ( 以下 , Web シ ステムという ) を新たに追加することにした。新しいシステムでは , ホームペー ジを見た人から会員登録をしてもらい , 会員特典として , 電子メールによる割引 情報の定期配信を実施することになった。 Web システムの開発は N 社の情報シ ステム部門が担当することになり , Y 主任が担当者として要件の洗出しと , Web システムのセキュリティ診断等の業務に従事することになった。 本社 DMZ eb システム DNS インターネット 大阪ル 外部 LAN PC 内部 LAN ータ 外部 LAN PC PC 内部 LAN PC 図 1 N 社システム構成 ( 抜粋 ) 〔セキュリティ要件の導出〕 260 値や , 情報の価値に基づく公開範囲と機密レベルの設定を行った。その際には情 明確にするため , サービス部門から提示された要求をまとめ , 取り扱う情報の価 Y 主任は , Web システムの設計前に , どのようなセキュリティ対策を行うかを

問 5 ー 5 ロロロ A 社の営業部門は営業 1 課と営業 2 課に分かれている。顧客情報を有効利用す るために業務サーバに共有ディレクトリを作成し , 課ごとの顧客情報ファイルを 格納する。顧客情報の新規登録は自部門だけで行い , 他部門の顧客情報は原則と して参照だけを可能とするが , 他部門を応援したときは業務履歴を入力する。共 有ディレクトリと , 営業 1 課の顧客情報ファイルに対する営業 2 課の社員のアク セス権設定として適切なものはどれか。なお , 共有ディレクトリは , ューザごと のアクセス権の設定は行わないものとする。 営業 1 課の顧客情報ファイルに対する 共有ディレクトリ 営業 2 課の社員のアクセス権 READ WRITE CREATE UPDATE READ DELETE 〇 〇 〇 〇 771355 〇〇〇〇 〇〇 x x 〇〇 x 〇 アイウェ X X (D X 問 5 ー 6 ロロロ スタッフのセキュリティについて , 適切なものはどれか。 アスタッフの採用時には , 契約条件の一部として , 秘密保持契約を結ぶ。そ の目的は , 企業秘密を利用して商売を始めないためである。 イスタッフへのセキュリティ規定には , 著作権法や個人情報保護法などの責 任と権利を明確にする必要があるが , 違反した場合の懲戒措置については定 める必要はない。 ウ人間関係や金銭的トラブル , 欠勤が目立っといった兆候が現れたときには , そのスタッフがセキュリティ問題を引き起こさないよう , 注意が必要である。 工人によるエラー , 窃盗 , 詐欺などのリスクを軽減するために , 情報システ ムにかかわるスタッフについては , 守秘義務を口頭で結ぶ必要がある。 771096 1 44

・試験制度解説編 願書受付・合格発表の日程は予定です ( 平成 19 年 10 月現在 ) 。 2 ー 2 試験制度の運用時期 電話 03-5978-7600 FAX 03-5978-7610 文京グリーンコートセンターオフィス 15 階 本部〒 113-8663 東京都文京区本駒込 2-28-8 実施します。 「独立行政法人情報処理推進機構情報処理技術者試験センター」が試験を 2 ー 1 試験を実施する機関 2. 受験ガイド 試験実施時期 試験区 システム監査技術者試験 受験願書 分 受付 テクニカルエンジニア ( データベース ) 試験 テクニカルエンジニア ( システム管理 ) 試験 1 月中旬 テクニカルエンジニア から ( 工ンべデッドシステム ) 試験 4 月 第 3 日曜日 - - 約 1 か月間 ( 予定 ) 合格発表 ( 官報公示 ) 6 月下旬 ( 予定 ) 試験実施の 期 秋 10 月 第 3 日曜日 期 テクニカルエンジニアセキュリティ ) ソフトウェア開発技術者試験 初級システムアドミニストレータ試験 基本情報技術者試験 システムアナリスト試験 プロジェクトマネージャ試験 アプリケーションエンジニア試験 テクニカルエンジニア ( ネットワーク ) 試験 情報セキュリティアドミニストレータ試験 図表 1 - 3 試験制度の運用時期 基本情報技術者試験 初級システムアドミニストレータ試験 ソフトウェア開発技術者試験 上級システムアドミニストレータ試験 12 月下旬 7 月中旬 ( 予定 ) から - 約 1 か月間 ( 予定 ) 約 1 か月後 ( 予定 ) 試験実施の 約 1 か月後 ( 予定 )

問 6-40 ロロロ セキュリテイインシデント対応に関する記述として , 適切なものはどれか。 アインシデント対応は迅速に行う必要があるので , 作業の記録は後日 , 時間 をかけて作成する。 765199 ェ不正アクセスが想定された場合には , 現状を確認する前にサーバ群をネッ ンインストールも考慮する。 ウシステムの復旧では完全性が確認できないバックアップは使わず , クリー プショットを保存する。 イインシデントの影響が想定された場合には , システム復旧のためにスナッ トワークから切り離す。 問 6 ー 41 ロロロ 713904 セキュリティ対策におけるパッチマネジメントに関する記述として , 適切なも のはどれか。 ア新しいパッチプログラムが公開された場合は , 即座にすべてのコンピュー タに適用すべきである。 イ新しいパッチプログラムが公開されても自社に必要かどうかを検討して選 択的に適用すべきである。 ウ既存システムへの影響を考慮して , パッチプログラムは定期的な実施時期 に適用すべきである。 ェパッチプログラムは提供元で試験済みなので , 改めて動作確認をする必要 はない。 問 6 ー 42 ロロロ (H17 春 -SW 問 77 ) 米国で運用された TCSEC や欧州政府調達用の ITSEC を統合して , 標準化が 進められた CC (Common Criteria) の内容はどれか。 ア イ ウ ェ 情報技術に関するセキュリティの評価基準 情報セキュリティ基礎技術の標準 セキュリティ管理のプロトコルの標準 通信サービスに関するセキュリティ機能の標準 ] 64

第 3 部情報システムのセキュリティ機能の設計・開発解答・解説 - 情報システムのセキュリティ機能の設計・開発 ( H17 秋 -NW 間 50K) ベネトレーションテストとは , コンピュータシステムやネットワーク上の弱点 問 3 ー 1 工 第 3 部 午前 ウ : 性能テストの範疇 ( はんちゅう ) である。 んちゅう ) である。 イ : 通常の情報システムに対するプログラムテストやシステムテストの範疇 ( は テストを行うものである。 度の確認は , 暗号技術の専門家が線形暗号解読法などの専門的な方法を用いて ア : 暗号方式の強度は , ベネトレーションテストの対象外である。暗号方式の強 バのセキュリティホールや設定ミスの有無などはその対象となる。 を使って検証することである。したがって , ( 工 ) のファイアウォールや公開サー ては , 実際にいろいろな攻撃手法 ( DoS 攻撃や踏み台攻撃 , ポートスキャンなど ) ータシステムが外部からのセキュリティ攻撃に対して安全であるかどうかについ を発見するためのテスト手法である。特に , ネットワークに接続されたコンピュ 問 3 ー 2 ア 765197 K サプクラスにおいて , 継承しているクラス ( スーパークラス ) と同じ名前のメ ソッドを定義することをオーバライドと呼ぶ。あるオプジェクトのメソッドに処 理を依頼した場合に , オーバライドしているメソッドがあると , 実際には継承し ているサプクラスのメソッドが実行されるために , 不正な結果が戻ってくること がある。 nal 属性はクラス継承を制限する修飾詞で , 意図しない継承を防止でき る。よって , ( ア ) が正解である。 イ , ウ : private 属性や public 属性は , アクセス保護属性を指定する修飾詞であ る。 工 : transient 属性は , 指定したフィールドをシリアル化 ( データストリーム化 ) 対象外にする修飾詞である。 問 3 ー 3 工 765 ( ) 27K セキュアプログラミングは , セキュリティぜい弱性 ( セキュリティホール ) を 持たないようプログラミングする技術である。 PerI には Taint ( 汚染検出 ) モー ドという機能があり , このモードでは , 外部から与えられた警戒の必要なデータ を " 汚染データ " として目を付け , 処理の過程でこのデータがどの変数に伝搬し ていくかを追跡する。セキュアプログラミングに有用な機能の一つである。 ( 工 ) が正解。 397

(a) コンピュータシステム ①ハードウェア プロセッサアーキテクチャ , メモリアーキテクチャ , 補助記憶 , 人出力ア ーキテクチャと装置 , コンピュータの種類と特徴 ②基本ソフトウェア オペレーティングシステム , タスク管理 , 割込み , 記憶管理 , 理 ( アクセス管理 , ディレクトリ管理 ) ③システムの構成と方法 ファイル管 システム構成技術 , システム性能 , システムの信頼性・経済性 ②システムの運用と保守 法 , プログラミング , テスト , に 1 ロロ ①システムの開発 (b) システムの開発と運用 レビュー , 開発管理 ソフトウェアパッケージ , 開発環境 , 開発手法 , 要求分析 , 設計手 システムの運用 , システムの保守 (c) ネットワーク技術 ネットワークアーキテクチャ , TCP/IP, 関連プロトコル , 誤り制御 , LAN , インターネット技術 , LAN 間接続装置 , 通信媒体 , 伝送時間 , 伝送量計算など (d) テータベース技術 データベースモデル , 正規化 , 操作 , SQL, データベースの排他制御・リカバ リ , トランザクション管理 , 分散データベース , DBMS の機能・特徴 (e) セキュリティと標準化 セキュリティ専門分野として , スキル標準 ( 知識体系 ) で別途規定されていま す ( Ⅳ . 出題予想ポイント・間題編参照 ) 。従来 , 他の試験で出題されていたセキ ュリティ分野問題に加え , 技術的にさらに踏み込んだ出題が予想されます。 ①セキュリティ リスク分析 , 暗号化 , 認証 , アクセス管理 , セキュリティ管理 , 安全対策 , コンピュータウイルス , プライバシ保護 , セキュリティポリシ , 個人情報保 護 , ネットワークセキュリティ , セキュリティ関連法規など ②標準化 開発と取引の標準化 , 情報システム基盤の標準化 , セキュリティ関連規定 の標準化 , データの標準化 , 標準化組織