・試験制度解説編 願書受付・合格発表の日程は予定です ( 平成 19 年 10 月現在 ) 。 2 ー 2 試験制度の運用時期 電話 03-5978-7600 FAX 03-5978-7610 文京グリーンコートセンターオフィス 15 階 本部〒 113-8663 東京都文京区本駒込 2-28-8 実施します。 「独立行政法人情報処理推進機構情報処理技術者試験センター」が試験を 2 ー 1 試験を実施する機関 2. 受験ガイド 試験実施時期 試験区 システム監査技術者試験 受験願書 分 受付 テクニカルエンジニア ( データベース ) 試験 テクニカルエンジニア ( システム管理 ) 試験 1 月中旬 テクニカルエンジニア から ( 工ンべデッドシステム ) 試験 4 月 第 3 日曜日 - - 約 1 か月間 ( 予定 ) 合格発表 ( 官報公示 ) 6 月下旬 ( 予定 ) 試験実施の 期 秋 10 月 第 3 日曜日 期 テクニカルエンジニアセキュリティ ) ソフトウェア開発技術者試験 初級システムアドミニストレータ試験 基本情報技術者試験 システムアナリスト試験 プロジェクトマネージャ試験 アプリケーションエンジニア試験 テクニカルエンジニア ( ネットワーク ) 試験 情報セキュリティアドミニストレータ試験 図表 1 - 3 試験制度の運用時期 基本情報技術者試験 初級システムアドミニストレータ試験 ソフトウェア開発技術者試験 上級システムアドミニストレータ試験 12 月下旬 7 月中旬 ( 予定 ) から - 約 1 か月間 ( 予定 ) 約 1 か月後 ( 予定 ) 試験実施の 約 1 か月後 ( 予定 )
1 . 出題範囲とスキル標準の概要 1 - 1 テクニカルエンジニア ( 情報セキュリティ ) の対象者像 テクニカルエンジニア ( 情報セキュリティ ) の対象者像は , 試験センターの「情 報処理技術者試験出題範囲」の中で図表 2-1 のように規定されています。試験 では , この表で示されている " 期待する技術水準 " に達しているかどうかという 観点で , 評価が行われることになります。 対象者像情報システム基盤 ( 業務システム共有のシステム資源 ) の構築・運用におい 役割と 業務 て中心的役割を果たすとともに , 個別の情報システム開発プロジェクトにお いて , 固有技術の専門家として開発・導人を支援する者。具体的には , 情報 セキュリティを固有技術とする。 セキュリティ機能が求められる情報システムの企画・設計・開発・運用にお いて , セキュリティ機能の企画・設計・開発を推進又は支援する業務 , 若し くはセキュアな開発プロジェクト環境を整備する業務に従事し , 次の役割を 果たす。 ①情報システムのぜい弱性・脅威を分析・評価し , これらを適切に回避・防 止するセキュリティ機能の企画・設計・開発を推進又は支援する。 ②情報システム又はセキュリティ機能の開発までのプロジェクトにおいて , 情報システムに対して与えられる脅威を分析し , 適切に回避可能なプロジ ェクト管理を支援する。 ③セキュリティ侵犯への対処やセキュリテイバッチの適用作業など情報シ ステム運用時のセキュリティ管理作業を技術的な側面から支援する。 期待する情報システムでは , 多くのコンポーネントにおいてセキュリティ機能が求 技術水準められる。情報セキュリティ技術の専門家として , 他の専門家と協力しなが ら情報セキュリティ技術を適用して , セキュアな情報システムを開発・運用 するため , 次の幅広い知識・経験・実践能力が要求される。 ①情報セキュリティ対策のうち , 技術的な対策について基本的な技術と複数 の特定の領域における応用技術をもち , これらの技術を対象システムに適 用するとともに , その効果を評価できる。 ②情報セキュリティ対策のうち , 運用的な対策について基本的な知識と適用 場面に関する技術をもっとともに , 情報セキュリティマネジメントの基本 的な考え方を理解し , これを適用するケースについて具体的な知識をも ち , 評価できる。 ③情報技術のうち , ネットワーク , データベース , システム開発環境につい て基本的な知識をもち , 情報システムの機密性 , 責任追跡性などを確保す るために必要な暗号 , フィルタリング , ロギングなどの要素技術を理解し ている。 ④情報システム開発における工程管理について基本的な知識と具体的な適 用事例の知識をもつ。 図表 2 - 1 テクニカルエンジニア ( 情報セキュリティ ) の対象者像
問 6-40 ロロロ セキュリテイインシデント対応に関する記述として , 適切なものはどれか。 アインシデント対応は迅速に行う必要があるので , 作業の記録は後日 , 時間 をかけて作成する。 765199 ェ不正アクセスが想定された場合には , 現状を確認する前にサーバ群をネッ ンインストールも考慮する。 ウシステムの復旧では完全性が確認できないバックアップは使わず , クリー プショットを保存する。 イインシデントの影響が想定された場合には , システム復旧のためにスナッ トワークから切り離す。 問 6 ー 41 ロロロ 713904 セキュリティ対策におけるパッチマネジメントに関する記述として , 適切なも のはどれか。 ア新しいパッチプログラムが公開された場合は , 即座にすべてのコンピュー タに適用すべきである。 イ新しいパッチプログラムが公開されても自社に必要かどうかを検討して選 択的に適用すべきである。 ウ既存システムへの影響を考慮して , パッチプログラムは定期的な実施時期 に適用すべきである。 ェパッチプログラムは提供元で試験済みなので , 改めて動作確認をする必要 はない。 問 6 ー 42 ロロロ (H17 春 -SW 問 77 ) 米国で運用された TCSEC や欧州政府調達用の ITSEC を統合して , 標準化が 進められた CC (Common Criteria) の内容はどれか。 ア イ ウ ェ 情報技術に関するセキュリティの評価基準 情報セキュリティ基礎技術の標準 セキュリティ管理のプロトコルの標準 通信サービスに関するセキュリティ機能の標準 ] 64
( 2 ) テクニカルエンジニア ( 情報セキュリティ ) の午後の試験 午後の試験では , 受験者の能力がテクニカルエンジニア ( 情報セキュリティ ) の役割と業務において " 期待する技術水準 " に達しているかどうかを , 技術の応 用能力および実務能力が問われることで評価されます。また , 具体的な試験範囲 としては , 次のとおりです。 1 情報セキュリティシステムの企画・設計・構築に関すること 情報システムの企画・設計・構築 , 物理的セキュリティ対策 , アプリケー ションセキュリティ対策 , データベースセキュリティ対策 , セキュアプログ ラミング , ネットワークセキュリティ対策 , システムセキュリティ対策など 2 情報セキュリティの運用・管理に関すること 情報セキュリティポリシ , リスク分析 , 業務継続計画 , セキュリティ運用・ 管理 , 脆弱性分析 , 誤使用分析 , ューザセキュリティ管理 , 障害復旧計画 , 情報セキュリティ教育 , システム監査 ( のセキュリティ側面 ) など 3 情報セキュリティ技術・関連法規に関すること アクセス管理技術 , ウイルス対策技術 , 暗号技術 , 認証技術 , セキュリテ ィ応用システム ( 署名 , 侵入検知システム , ファイアウォール , セキュアな 通信技術 (VPN など ) , 鍵管理技術 , PKI など ) , 攻撃手法 , 監査証跡のた めのログ管理技術 , 耐タンパ技術 , 情報セキュリティ関連法規 , 国内・国際 標準ガイドライン , 著作権法 , 個人情報保護 , 情報倫理など システム文書構成管理 , 配布と操作 , 人的管理 リティ管理など 開発ライフサイクル管理 , 4 開発の管理に関すること 手法 ( チーム内の不正を起こさせないような仕組み ) , 開発環境の情報セキュ 図表 2 -4 午後の出題範囲
part 2 情報システムの セキュリティ要件定義 第 午 部 学習目標 1 . 情報システムのセキュリティ要件定義に 関して , 情報システムのぜい弱性・脅威分 析 , セキュリティ要件定義の概要を理解す る。 2 . 情報システムのぜい弱性・脅威分析に関 して , 情報資産の評価 , リスクの特定 ( ぜ い弱性・脅威の検出 ) , リスクの算定 , リス クの評価 , リスク対策の選択について理解 する。 3 . セキュリティ要件定義に関して , セキュ リティ要件定義のための情報収集・分析 , セキュリティアーキテクチャの設計 , セキ ュリティ要件の決定 , セキュリティ要件定 1 09
目 次 0 Contents 「 : 2008 予想問題シリーズの刊行にあたって I . 試験制度解説編 1 . 情報処理技術者試験と試験制度概要・ 2. 受験カイド・ Ⅱ . 出題範囲と取組み方編 1 . 出題範囲とスキル標準の概要・ 2. 出題予想・ 3. 学習方法・ 本書の使い方・ Ⅲ . 前提げ知識問題編 前提げ知識問題 ( ネットワーク技術含む ) Ⅳ . 出題予想ポイント・問題編 ・午前問題 情報セキュリティ知識・ 第 1 部 情報システムのセキュリティ要件定義 第 2 部 情報システムのセキュリティ機能の設計・開発 第 3 部 情報システム運用時のセキュリティ管理の支援・ 第 4 部 開発プロジェクトの管理・ 第 5 部 情報システムへの脅威と社会環境・ 第 6 部 ・午後 I 問題 第 1 部情報セキュリティシステムの企画・設計・構築 第 2 部情報セキュリティシステムの運用・管理・ 第 3 部情報セキュリティ技術・関連法規・ 第 4 部開発の管理・ ・午後Ⅱ問題 論述式 ( 事例解析 ) 問題・ V. 解答・解説編 前提知識・ 午前問題・ 午後 I 問題・ 午後Ⅱ問題・ 6 6 3 7 2 1 2 2 3 ・ 36 ・ 69 ・・ 109 ・・ 1 1 9 ・・ 1 31 ・・ 139 ・・ 145 ・・ 167 ・・ 203 ・・ 219 ・・ 253 ・・ 259 ・・ 320 ・・ 356 ・ 429 ・ 490
システム利用者対応 5 ー 4 タスク ・利用者への適切な教育・訓練が計画され , 文書化されていること ・教育計画に盛り込んだ機能が果たされていること ・システム運用前に , 事前教育が実施されていること ( 教育実施担当者 が他にいるのであれば支援を行っていること ) ・利用者教育は , 適時かっ継続的に実施されていること ・利用者のネットワーク接続に関する相談に対応できること 達成指標 ・利用者への初期および継続的な教育・訓練ならびに支援が実施されて いること ・利用者教育訓練の内容がニーズと一致していること ・教育訓練効果が評価されていること ・利用者セキュリティ管理としてアカウント管理を実施していること 6. 情報セキュリティ面からのレビュー 6 ー 1 タスク開発対象システムのセキュリティレビュー ・システム設計者 , 開発者などからのレビュー支援依頼を受け , 情報シ ステムで採用された技術方式 , プロトコルに関する安全性 , 信頼性を 検証していること ・企業の情報セキュリティポリシへの準拠性を確認していること ・検証した結果を文書化し , 各依頼者 , 影響する各担当者にフィードバ ックしていること 7. 情報システム運用時のセキュリティ管理の支援 7-1 タスクセキュリティ管理体制の確立の支援 ・企業の情報セキュリティポリシについて十分理解していること ・セキュリティ侵犯対策の基準が遵守されており , 企業の目標とする水 準のセキュリティが維持されていること ・セキュリティ管理者の行う次の作業を技術的に支援していること ( 1 ) セキュリティ管理規定の策定 ( 2 ) システム運用時のセキュリティ管理体制の確立 ( 3 ) セキュリティ対策が実施されなかった場合のリスクの検討 ( 4 ) セキュリティ侵犯対策のための教育訓練の実施 セキュリティ侵犯の監視の支援と状況分析の支援 7 ー 2 タスク ・セキュリティ侵犯監視のための教育訓練を受けていること ・セキュリティ管理者の行う次の作業を技術的に支援していること ( 1 ) ネットワークおよび情報システムに関するセキュリティ監視方法 の決定および設定 ( 2 ) 監視データ ( ログファイルなど ) の収集 ( 3 ) 情報システム単一の監視および情報システム間の整合性の確認 ( 4 ) 情報システムの誤使用に関して報告が行われていることの確認 ( 5 ) セキュリティ侵犯発生時の連絡体制の確立 達成指 達成指標 達成指標 529
・ , 論 3 ! ! 第ユ釁・午後 I 第 1 部情報セキュリティシステムの企画・設計・構築 3 ( H15 秋 -NW 午後 I 問 4 改 ) web を利用したシステムに関する次の記述を読んで , 設問 1 ~ 4 に答えよ。 部品メーカの H 社は , 数年前からインターネットと Web を使って , 500 社の 取引先に商品情報を提供している。今回 , インターネットと Web を使った商品の 受発注システム ( 以下 , 受発注システムという ) を開発することになった。 H 社のネットワーク担当である E 君と先輩の G 君は , 受発注システムのシス テム構成を設計することになった。まず , E 君は , 図 1 に示すシステム構成案を 作成した。 (1) 情報提供に使っている web サーバ ( 以下 , 情報提供サーバという ) と同じ DMZ に , 受発注システムの web サーバ ( 以下 , EC サーバという ) を設置 する。 ( 2 ) EC サーバ上の受発注プログラムが , 内部 LAN に設置されたデータベース サーバ ( 以下 , DB サーバという ) にアクセスする。 H 社 情報提供 EC 取引先 パソコン DMZ アオ フウ タ 外 インターネット 図 1 受発注システムのシステム構成案 ( 当初案 ) 図 1 のシステム構成案を見た G 君は , 図 2 に示す受発注プログラムの実装モデ ルを E 君に説明し , 図 1 を修正するように指示した。 次は , G 君と E 君の会話である。 G 君 : 受発注プログラムは , 図 2 の実装モデルを基に開発されます。今後 , 我が 社では , この実装モデルを使って , ほかの業務システムも開発する予定で す。それを踏まえ , 拡張性のあるシステム構成にしてください。 ] 83
工 : 操作ミスによるデータの削除も , を防ぐ機能はない。 問 2 ー 1 2 イ その削除が伝播してしまうので , 操作ミス ( H16 秋 -AD 間 56K ) 災害をはじめとする情報システムに影響を与える脅威に対しては , 情報システ ムの資産価値を保護するためにリスク分析を行い , 二次災害拡大防止策や人的資 源の安全対策 , 状況報告制度などの災害時対応計画を策定する。そして , 組織全 体で情報セキュリティに取り組む必要があり , 組織体の長の承認が必要である。 したがって , ( イ ) が正解である。 ア : 災害が発生した場合 , 情報システムの要員であっても , まず自らの身の安全 を確保する必要がある。 ウ : データのバックアップはセキュリティ対策の一つであり , 災害時対応計画に も含まれる。火災や地震などの災害が発生した場合 , 同一建物内や同一敷地内 にデータのバックアップを保管しておいても , 使用できないことが考えられる ので , これを防ぐためにデータの遠隔地保管などの対策が必要となる。 ェ : 災害発生時には , 情報システムを早期に復旧させるため , バックアップデー タを使用した復旧手順書を整備するなど , 緊急時に速やかに対処できるように 具体的な対策指示書を作成しておく必要がある。 問 2 ー 1 3 イ 765026K セキュリティ要件の決定に際しては , ぜい弱性・脅威分析の結果として決めら れた , 優先度の高いリスクへの対応を中心に , 開発対象システムの問題点 , 新し い要求事項から , 開発対象システムにおけるセキュリティ要件を決定する。 開発対象システムがネットワークシステムであれば , ファイアウォールや侵入 検知装置の導人などが要件となり , 開発対象システムが業務アプリケーションで あれば , 例えば利用者認証機構の組込み , 権限定義に基づいたアクセスコントロ ール機構の実装・組込みなどが要件となる ( 情報処理技術者スキル標準テクニ カルエンジニア ( 情報セキュリティ ) より ) 。 396
医の出題範囲と取組み方編 2 . 出題予想 連する内容についても , 問題文の中で製品名を出さずに機能を説明するなど補足 ると予想されます。また , データベースや検疫などのまだ新しい技術の製品に関 午前 , 午後の試験を通じて , セキュリティ関連の新しい話題も含めて出題され ティの運用・管理 , 情報セキュリティ技術・関連法規からの出題となります。 午後の問題は , 情報セキュリティシステムの企画・設計・構築 , 情報セキュリ 用関連の問題が , 専門分野のセキュリティになると考えることができます。 ( システム管理 ) と同じなので , この試験で出題の中心になるシステム開発・運 た新しい試験です。午前の試験で出題される間題の範囲はテクニカルエンジニア テクニカルエンジニア ( 情報セキュリティ ) 試験は , 平成 18 年春から始まっ ・セキュリティと標準化 ( 20 問 , このうち標準化 4 問 ) ・データベース技術 ( 10 間 ) ・ネットワーク技術 ( 15 間 ) ・システムの開発と運用 ( 5 間 ) ・コンピュータシステム ( 5 問 ) で 55 問あり , 出題数の内訳は次のとおりです。 平成 19 年度テクニカルエンジニア ( 情報セキュリティ ) の午前問題は , 全体 2 ー 1 午前の出題予想 した上で出題されることが考えられます。 キュリティと標準化」がやや易化しました。この傾向からは基本的な IT 知識の と運用」がやや難 , 「ネットワーク技術」と「データベース」には変化がなく , 「セ たといえます。難易度については , 「コンピュータシステム」と「システムの開発 ータベース技術」が 1 間増加したので , データベース技術の比重が少し高くなっ 平成 18 年度の試験と比較すると , 「システムの開発と運用」が 1 問減少し , 「デ ュリティ監査などの項目も含まれていますので , 基本事項は理解が必要です。 ただし , 監査に関しては出題の対象外ですが , セキュリティ分野の中に情報セキ コンピュータ科学基礎 , 情報化と経営 , 監査は出題対象外になっています。 確実な理解力が要求されていると考えられます。 23