午前 問題 part 1 情報セキュリティ 知識 学習目標 1 . 情報セキュリティに関して , 技術関連の 専門知識とセキュリティマネジメントに関 する知識を修得する。 2 . 技術関連として , 情報資産 , リスクの考 え方 , 認証・アクセス制御 , 暗号技術 , シ ステムセキュリティ対策 , ネットワークセ キュリティ対策 , アプリケーションセキュ リティ対策 , 物理的セキュリティ対策 , 情 報漏えい対策に関する知識を修得する。 3 . 情報セキュリティマネジメントに関して , 情報セキュリティマネジメント体制 , リス クマネジメント , インシデント対応 , 業務 継続計画 , プライバシ保護 , 情報セキュリ ティに関する制度・基準 , 人的セキュリテ ィ , 情報収集に関する知識を理解する。

、いぃ - “・出題範囲と取組み方編 0 : : 竃 : 1 ー 2 試験時間と出題形式 テクニカルエンジニア ( 情報セキュリティ ) の試験時間と出題形式は次のとお りです。 午前 午後 I 午後Ⅱ 9 : 30 ~ 11 : 10 12 : 10 ~ 13 : 40 14 : 10 ~ 16 : 10 試験時間 ( 100 分 ) ( 90 分 ) ( 120 分 ) 出題形式多肢選択式 ( 四肢択一 ) 己述式 論述式 ( 事例解析 ) 出題数と 55 問出題 55 問解答 4 間出題 3 問解答 2 問出題 1 問解答 解答数 図表 2 - 2 テクニカルエンジニア ( 情報セキュリティ ) 試験 1 ー 3 出題範囲 い ) テクニカルエンジニア ( 情報セキュリティ ) の午前の試験 午前の試験では , 受験者の能力がテクニカルエンジニア ( 情報セキュリティ ) の役割と業務において " 期待する技術水準 " に達しているかどうかを , 知識が問 われることで評価されます。 「情報処理技術者試験出題範囲」には , 午前の試験の出題範囲として , 図表 2-3 の一覧表が示されています。 テクニカルエンジニア ( 情報セキュリティ ) には , 「コンピュータシステム」 「システムの開発と運用」 , 「ネットワーク技術」 , 「データベース技術」 , 「セ キュリティと標準化」の 5 分野が該当し , 「ネットワーク技術」と「セキュリテ ィと標準化」がⅢレベル , その他がⅡレベルの内容で試験の範囲とされています。 本書の巻末の付録に , 具体的な分野ごとの出題範囲を収録しているので , 参考に してください。 一三ロ

午前 問題 第 部 part 3 情報システムの セキュリティ機能の 設計・開発 学習目標 らのレビューについて理解する。 5. 開発対象システムにおける , 情報セキュリティ面か する。 支援 , 運用担当者の教育・訓練及び支援について理解 ステムの本番移行 , 開発対象システムの受け人れ検査 4. セキュリティ機能の本番移行に関して , 開発対象シ の更新について理解する。 リティ機能の実装 , システムテストの支援 , 関連文書 3. セキュリティ機能の実装とテストに関して , セキュ ュリティ実装テスト仕様の作成について理解する。 装方式の決定と評価 , セキュリティ実装の設計 , セキ 2. セキュリティ機能の設計に関して , セキュリティ実 キュリティ面からのレビューについて理解する。 実装とテスト , セキュリティ機能の本番移行 , 情報セ して , セキュリティ機能の設計 , セキュリティ機能の 1 . 情報システムのセキュリティ機能の設計・開発に関

( 2 ) テクニカルエンジニア ( 情報セキュリティ ) の午後の試験 午後の試験では , 受験者の能力がテクニカルエンジニア ( 情報セキュリティ ) の役割と業務において " 期待する技術水準 " に達しているかどうかを , 技術の応 用能力および実務能力が問われることで評価されます。また , 具体的な試験範囲 としては , 次のとおりです。 1 情報セキュリティシステムの企画・設計・構築に関すること 情報システムの企画・設計・構築 , 物理的セキュリティ対策 , アプリケー ションセキュリティ対策 , データベースセキュリティ対策 , セキュアプログ ラミング , ネットワークセキュリティ対策 , システムセキュリティ対策など 2 情報セキュリティの運用・管理に関すること 情報セキュリティポリシ , リスク分析 , 業務継続計画 , セキュリティ運用・ 管理 , 脆弱性分析 , 誤使用分析 , ューザセキュリティ管理 , 障害復旧計画 , 情報セキュリティ教育 , システム監査 ( のセキュリティ側面 ) など 3 情報セキュリティ技術・関連法規に関すること アクセス管理技術 , ウイルス対策技術 , 暗号技術 , 認証技術 , セキュリテ ィ応用システム ( 署名 , 侵入検知システム , ファイアウォール , セキュアな 通信技術 (VPN など ) , 鍵管理技術 , PKI など ) , 攻撃手法 , 監査証跡のた めのログ管理技術 , 耐タンパ技術 , 情報セキュリティ関連法規 , 国内・国際 標準ガイドライン , 著作権法 , 個人情報保護 , 情報倫理など システム文書構成管理 , 配布と操作 , 人的管理 リティ管理など 開発ライフサイクル管理 , 4 開発の管理に関すること 手法 ( チーム内の不正を起こさせないような仕組み ) , 開発環境の情報セキュ 図表 2 -4 午後の出題範囲

午後 I 問題 part 2 情報セキュリティの 運用・管理 学習目標 203 善点を指摘できる。 て , 基本事項が理解でき , 事例の問題点や改 キュリティ教育 , 契約管理 , 要員管理につい ・ユーザセキュリティ管理 , 障害復旧計画 , セ を発見する技術を理解できる。 ーン分析から不正侵入などセキュリティ侵犯 ・ログ管理 , アラーム記録 , トラフィックパタ 立案・実施ができる。 ・セキュリティ侵犯に対する技術的な防止策の 的評価について理解できる。 など , リスクの識別 , リスクの定性的・定量 ・情報資産の評価 , 脅威の認識 , 脆弱性の分析 成を理解できる。 ・情報セキュリティポリシ策定の目的とその構

午前第 6 部情報システムへの脅威と社会環境解答・解説 ウ : シェアウェアは , 試用や配布は自由であるが , 一定期間試用した後に継続して 使用したい場合には , 代金を支払うソフトウェアである。ソフトウェアそのもの の著作権は著作者にあり , シェアウェア自体を試用期間経過後も使用するのは違 法であるが , シェアウェアを使用して作成したデータについては問題ない。 問 6 一 33 ウ 771529K “情報セキュリティ監査制度 : 情報セキュリティ管理基準”は , 経済産業省か ら 2003 年 4 月に告示施行されている情報セキュリティ監査制度で規定された基 準の一つである。 ISO/IEC 17799 : 2000 い IS X 5080 : 2002 ) をもとにしている。 10 のマネジメント領域ごとに管理項目の目的とコントロール , サプコントロールが 示されている。「ソフトウェアの誤動作を報告する手順を確立すること」は人的セ キュリティのコントロールで , ( ウ ) が正しい。 ア : 物理的および環境的セキュリティに関するコントロールである。 イ : 組織のセキュリティに関するコントロールである。 ェ : アクセス制御に関するコントロールである。 問 6 ー 34 ウ ( H17 f'k-AN/PM/AE 間 55K ) 個人情報保護法は第 2 条に個人情報の定義が次のように記載されている。 この法律において「個人情報」とは , 生存する個人に関する情報であって , 当 該情報に含まれる氏名 , 生年月日その他の記述等によって特定の個人を識別する ことができるもの ( 他の情報と容易に照合することができ , それによって特定の 個人を識別することができることとなるものを含む ) をいう。 このように生存者の情報に限定されているので ( ウ ) が正解である。 ア : 民間企業に登録されている個人の情報もこの法律の対象となる。 イ : 特に秘密にしていない情報でも , 保護の対象となる。 工 : 国籍に関する規定はない。 問 6 ー 35 ウ 7 1 36 ( ) 7 K 情報セキュリティは情報資産の機密性 , 完全性 ( インテグリティ ) , 可用性を適 正な水準で保持することである。データベースが改ざんされたり破壊されたりす るなどして完全性 ( インテグリティ ) が損なわれた場合にはバックアップを用い て復旧を行う。したがって , ( ウ ) が適切である。 ア : SSL は Web サーバとプラウザ間で用いるセキュリテイプロトコルで , 相互の 認証のほかに暗号化通信の機能も提供するので通信の機密性も強化できる。 イ : ユーザに対するセキュリティ教育や啓蒙はセキュリティ管理者の重要な責務 である。 423

医の出題範囲と取組み方編 2 . 出題予想 連する内容についても , 問題文の中で製品名を出さずに機能を説明するなど補足 ると予想されます。また , データベースや検疫などのまだ新しい技術の製品に関 午前 , 午後の試験を通じて , セキュリティ関連の新しい話題も含めて出題され ティの運用・管理 , 情報セキュリティ技術・関連法規からの出題となります。 午後の問題は , 情報セキュリティシステムの企画・設計・構築 , 情報セキュリ 用関連の問題が , 専門分野のセキュリティになると考えることができます。 ( システム管理 ) と同じなので , この試験で出題の中心になるシステム開発・運 た新しい試験です。午前の試験で出題される間題の範囲はテクニカルエンジニア テクニカルエンジニア ( 情報セキュリティ ) 試験は , 平成 18 年春から始まっ ・セキュリティと標準化 ( 20 問 , このうち標準化 4 問 ) ・データベース技術 ( 10 間 ) ・ネットワーク技術 ( 15 間 ) ・システムの開発と運用 ( 5 間 ) ・コンピュータシステム ( 5 問 ) で 55 問あり , 出題数の内訳は次のとおりです。 平成 19 年度テクニカルエンジニア ( 情報セキュリティ ) の午前問題は , 全体 2 ー 1 午前の出題予想 した上で出題されることが考えられます。 キュリティと標準化」がやや易化しました。この傾向からは基本的な IT 知識の と運用」がやや難 , 「ネットワーク技術」と「データベース」には変化がなく , 「セ たといえます。難易度については , 「コンピュータシステム」と「システムの開発 ータベース技術」が 1 間増加したので , データベース技術の比重が少し高くなっ 平成 18 年度の試験と比較すると , 「システムの開発と運用」が 1 問減少し , 「デ ュリティ監査などの項目も含まれていますので , 基本事項は理解が必要です。 ただし , 監査に関しては出題の対象外ですが , セキュリティ分野の中に情報セキ コンピュータ科学基礎 , 情報化と経営 , 監査は出題対象外になっています。 確実な理解力が要求されていると考えられます。 23

: 召 : 」第設・午前第 4 部情報システム運用時のセキュリティ管理の支援解答・解説 : ′ 方法がある。 工 : ポートミラーリング型の場合は , 捕捉したバケットは複製されたバケットで あり , 同じバケットが本来の送信先に到達するので , 不正と判断したバケット 自体の通信を防御できない。 問 4 ー 7 工 ( H17 秋 -SU 間 55K ) 情報セキュリティ管理基準は , 経済産業省から 2003 年 4 月に告示施行されて いる情報セキュリティ監査制度で規定された基準の一つである。平成 17 年時点 では , ISO/IEC 17799 : 2000 (JIS X 5080 : 2002 ) をもとにしており , 情報セキュ リティ監査基準に従って監査を行う場合 , 原則として , 監査人が監査上の判断の 尺度として用いるべき基準と位置付けられている。情報セキュリティ管理基準の 「情報及びソフトウェアの交換」の項目では , 配送されるコンピュータ媒体を認 可されていないアクセス , 誤用または破損から保護するために「梱包を・・・・・・十分 な強度とすること」 , 「媒体の配送においては , 施錠されたコンテナの使用を考慮 すること」などが示されている。したがって , バックアップテープを段ボール箱 に人れ , 引き渡している ( 工 ) が指摘事項になる。 ア : 外部委託契約において機密保持条項を盛り込んだ契約を結ぶことが求められ ており , 指摘事項にはならない。 イ : バックアップした媒体は定期的に検査することが求められており , 指摘事項 にはならない。 ウ : 引渡しの記録を残すことは適切な対応であり , 指摘事項にはならない。 問 4 ー 8 ウ ( H17 0-AU 問 55K ) 平成 16 年度改訂のシステム監査基準では , 「Ⅳ . 実施基準」の「 6. 情報セキュ リティ監査」において「情報セキュリティ監査については , 原則として , 情報セ キュリティ管理基準を活用することが望ましい」とされており , システム監査人 は“情報セキュリティ監査制度 " に関する理解も求められている。情報セキュリ ティ監査制度では , 保証型監査と助言型監査の違いが難しいとされているが , 監 査意見の内容に大きな違いがある。その違いについては「情報セキュリティ監査 基準実施基準ガイドライン」に記載されているので参考にするとよい。一部 , 抜粋する。 ・保証型監査 : 監査対象たる情報セキュリティのマネジメント又はコントロール が , 監査手続を実施した限りにおいて適切である旨 ( 又は不適切である旨 ) を監査意見として表明する形態の監査をいう。 ・助言型監査 : 情報セキュリティのマネジメント又はコントロールの改善を目的 として , 監査対象の情報セキュリティ対策上の欠陥及び懸念事項等の問題 点を検出し , 必要に応じて当該検出事項に対応した改善提言を監査意見と 405

午後Ⅱ問題 765188K 問 1 【解答】 [ 設問 1 ] [ 設問 2 ] [ 設問 4 ] [ 設問 3 ] セキュリティ侵害 (a) イ (b) ウ (c) 工 (), b, c 順不同 ) (d) コ (e) シ (f) カ ( 1 ) #!/usr/local/bin/perl —T ( 2 ) 環境変数は汚染データとみなされるので内部的に設定しなおす必 要があるため。 (1) 攻撃者が送信元アドレスを変更した場合にアクセス制御できない ため。 ( 2 ) ウイルス対策ソフトを利用するとファイルのタイムスタンプが更 新されてしまうため。 データベースのバージョンや種類 , テープルのカラム名などの攻撃者に 有利な情報を秘匿するため。 [ 設問 5 ] 第三者によるベネトレーションテストやアプリケーションのコードチ ェック等の検査を実施する必要がある。 【解説】 [ 設問 I ] 空欄 a , b, c はセキュリティの三要素である「機密性」 , 「完全性」 , 「可用性」が人 る。よって ( 工 ) , ( ウ ) , ( イ ) を順不同で選択する。 ISMS の定義として JIPDEC ( 日本 情報処理開発協会 ) は , 「 ISMS とは , 個別の問題ごとの技術対策のほかに , 組織のマ ネジメントとして自らのリスク評価により , 必要なセキュリティレベルを定め , プラ ンを持ち , 資源配分してシステムを運用することである」 , また , 「組織が保護すべき 情報資産について , 機密性 , 完全性 , 可用性をバランス良く維持し改善することが ISMS の要求する主なコンセプトである」と設定している。したがって , セキュリテ ィ要件のヒアリングに関してもこの三要素に偏りのない要件の抽出が必要になる。 なお , 2005 年 10 月に発行された ISO/IEC27001 ( 情報技術 - セキュリティ技術 - 情 報セキュリティマネジメントシステム - 要求事項 ) に書かれた情報セキュリティの定義 では , 「情報セキュリティ (information security) : 情報の機密性 , 完全性及び可用性 を維持すること。さらに , 真正性 , 責任追跡性 , 否認防止性及び信頼性のような特性 を維持することを含めてもよい」 ( ISO / IEC27001 : 2005 3 用語及び定義より ) とな っており , これらの観点から網羅的な対策を行っていくことが重要になる。 空欄 d は OS やミドルウェアの持っ不正アクセスの原因となるぜい弱性のことであ り , セキュリティホールが人る。したがって , ( コ ) を選択する。セキュリティホール 490

問 6 ー 34 ロロロ 個人情報保護法が対象としている個人情報はどれか。 ( H17 秋 -AN/PM/AE 間 55 ) 行政機関に登録されている個人に関する情報に限られる。 個人が秘密にしているプライバシに関する情報に限られる。 生存している個人に関する情報に限られる。 日本国籍の個人に関する情報に限られる。 問 6 ー 35 ロロロ ェ ウ イ ア 713607 情報システムのセキュリティ対策に関する記述として , 適切なものはどれか。 ア web アプリケーションで SSL を導入すると認証が強化できるが , 通信の 機密性は強化できない。 イセキュリティ管理者の責務にはユーザに対するセキュリティ教育や啓蒙は 含まれない。 ウデータベースのインテグリティ確保のために定期的にバックアップをと る。 ェパスワードはセキュリティ管理者が一元管理し , 定期的に変更して利用者 に通知する。 問 6 ー 36 ロロロ ( H17 秋 -AD 問 80 ) 個人情報取扱事業者が , 自社の提供サービスに関して , 住所や氏名を記入させ るアンケート調査を実施する場合 , 個人情報保護法に違反している行為はどれか。 アアンケート実施時に特には言及せずに , 回答者へ新製品発表会の招待状を 郵送する。 イアンケートの回答者には特別なプレゼントを用意するなど , 回答率を高め るための施策を実施する。 ウアンケート用紙に , 質問票とその回答情報の利用目的を並記しておく。 エプラウザの画面でアンケート調査を行う場合も , 紙で行う場合と同じ規定 を適用する。 ] 62