平成20年度春季解答

問題66

情報システムヘの脅威とセキュリティ対策の組合せのうち，適切なものはどれか。

解答：エ

＜解説＞

ア	×	ディスクアレイ(RAID)とは、複数台のハードディスクを全体でひとつの記憶装置として扱うことにより、アクセス処理のパフォーマンスや信頼性の向上を実現する技術のことである。誤操作によるデータ破壊には有用ではない。バックアップを行うべきある。
イ	×	1台のパソコンを二重化しても、地震や火災の影響は免れない。別の場所にデータを保管するべきである。
ウ	×	HDLC手順のCRCは伝送データの伝送誤りのチェックなので不正アクセス対策にはならない。
エ	○

問題へ

問題67

電子メールに用いられる S/MIME の機能はどれか。

ア	内容の圧縮
イ	内容の暗号化と署名
ウ	内容の開封通知
エ	内容の再送

解答：イ

＜解説＞

S/MIME(Secure / Multipurpose Internet Mail Extensions)とは、電子メールのセキュリティを向上する暗号化方式のひとつで、電子メールが扱えるデータを拡張する仕様であるMIMEを用いた電子メールの暗号化方式のことである。

問題へ

問題68

リスク分析に関する記述のうち，適切なものはどれか。

ア	考えられるすべてのリスクに対処することは，時間と費用がかかりすぎるので，損失額と発生確率を予測し，リスクの大きさに従って優先順位を付けるべきである。
イ	リスク分析によって評価されたリスクに対し，すべての対策が完了しないうちに，繰り返しリスク分析を実施することは避けるべきである。
ウ	リスク分析は，将来の損失を防ぐことが目的であるから，過去の類似プロジェクトで蓄積されたデータを参照することは避けるべきである。
エ	リスク分析は，リスクの発生による損失額を知ることが目的であり，その損失額に応じて対策の費用を決定すべきである。

解答：ア

＜解説＞

ア	○	正しい記述である。
イ	×	リスク分析によって評価されたリスクに対し，すべての対策が完了しない状態でも，繰り返しリスク分析を実施するべきである。
ウ	×	リスク分析は、将来の損失を防ぐことが目的であるから、過去の類似プロジェクトで蓄積されたデータを参照すべきである。
エ	×	リスク分析は、リスクの発生によって被る実損失額を知ることが目的ではなく，リスクによる損失を最小限に抑えることが目的である。また損失額と発生確率を考慮して、リスク対策の優先順位およびリスク対策費用を決める。

問題へ

問題69

JIS Q 27001:2006 における ISMS の確立に必要な事項①～③の順序関係のうち，適切なものはどれか。

①	適用宣言書の作成
②	リスク対応のための管理目的及び管理策の選択
③	リスクの分析と評価

ア	①→②→③
イ	①→③→②
ウ	②→③→①
エ	③→②→①

解答：エ

＜解説＞

JIS Q 27001:2006はISMSに関する規約である。

次の流れで行う。

1. リスクの分析と評価
   想定されるリスクの大きさを見積もり、対策が必要かどうかを検討する
2. リスク対応のための管理目的及び管理策の選択
   リスク対策の対象となる事項から必要なものを選択・追加する
3. 適用宣言書の作成
   適用宣言書とは、その組織のISMSに関連した適用する管理目的及び管理策を記述した文書のことである。
   これを元に適用宣言を行う。

問題へ

問題70

日本工業標準調査会を説明したものはどれか。

ア	経済産業省に設置されている審議会で，工業標準化法に基づいて工業標準化に関する調査・審議を行っており，JIS の制定，改正などに関する審議を行っている。
イ	電気機械器具・材料などの標準化に関する事項を調査審議し，JEC 規格の制定及び普及の事業を行っている。
ウ	電気・電子技術に関する非営利の団体であり，主な活動内容としては，書籍の発行，IEEE で始まる規格の標準化を行っている。
エ	電子情報技術産業の総合的な発展に資することを目的とした団体であり，JEITA で始まる標準規格の制定及び普及の事業を行っている。

解答：ア

＜解説＞

日本工業標準調査会(JISC：Japanese Industrial Standards Committee)とは、工業標準化法に基づいて経済産業省に設置されている審議会で、工業標準化全般に関する調査・審議を行っている。

ア	○	JISC(日本工業標準調査会)に関する説明である。
イ	×	JEC(電気規格調査会)に関する説明である。
ウ	×	IEEE(米国電気電子学会)に関する説明である。
エ	×	JEITA(電子情報技術産業協会)に関する説明である。

問題へ