- トップページ
- プロジェクトマネージャ 午前2
- 令和2年度秋季問題
- 令和2年度秋季解答・解説
令和2年度秋季解答
問題21
個人情報保護法が保護の対象としている個人情報に関する記述のうち、適切なものはどれか。
| ア | 企業が管理している顧客に関する情報に限られる。 |
| イ | 個人が秘密にしているプライバシに関する情報に限られる。 |
| ウ | 生存している個人に関する情報に限られる。 |
| エ | 日本国籍を有する個人に関する情報に限られる。 |
解答:ウ
<解説>
個人情報保護法第2条にある個人情報の定義は,次のとおりである。
「この法律において「個人情報」とは,生存する個人に関する情報であって,当該情報に含まれる氏名,生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ,それにより特定の個人を識別することができることとなるものを含む)をいう」
| ア | × | 企業だけではなく,“非営利団体”や“任意団体”も対象となる。 また、顧客に関する情報だけでなく,企業に登録されている顧客以外の個人(従業員など)の情報もこの法律の対象となる。 |
| イ | × | 個人を特定できる情報であれば,プライバシに関するもの以外の情報でも対象になる。 |
| ウ | 〇 | 生存している個人に関する情報に限られる。 |
| エ | × | 居住地や国籍を問わず、日本にある個人情報取扱事業者及び行政機関等が取り扱う個人情報は、個人情報保護法による保護の対象となる。 |
問題22
労働者派遣事業における派遣労働者の労働時間,休日,休暇などの具体的な就業に関する枠組み設定のうち,労働関連の法に照らして適切なものはどれか。
| ア | 派遣元と派遣先との間で設定し,派遣労働者はその条件に従わなければならない。 |
| イ | 派遣先が設定し,それを派遣元と派遣労働者に通知することになっている。 |
| ウ | 派遣先と派遣労働者との間で設定し,両者の間の労働契約に盛り込む必要がある。 |
| エ | 派遣元と派遣労働者との間で設定し,派遣先はその範囲内で派遣労働者を指揮命令の下に労働させなければならない。 |
解答:エ
<解説>
労働者派遣法に関する問題。労働者派遣法とは,“派追会社”と“派遣労働者”に関する取り決めをしている法律である。
| ア | × | 派遣元と派遣先で就業に関する枠組みを決定することはできない。 |
| イ | × | 派遣元と派遣先で就業に関する枠組みを決定することはできない。 |
| ウ | × | 派遣先は派遣労働者と直接の雇用関係をもたないので,労働契約に盛り込むことはできない。 |
| エ | 〇 | 派遣労働者は派遣元と雇用契約を締結することから,労働時間,休日,休暇などの具体的な就業に関する枠組みは,派遣元と派遣労働者との間で設定し,派遣先はその範囲内で派遣労働者を指揮命令の下に労働させなければならない。 |
問題23
シングルサインオンの実装方式に関する記述のうち,適切なものはどれか。
| ア | cookie を使ったシングルサインオンの場合,サーバごとの認証情報を含んだcookie をクライアントで生成し,各サーバ上で保存,管理する。 |
| イ | cookieを使ったシングルサインオンの場合,認証対象の各サーバを,異なるインターネットドメインに配置する必要がある。 |
| ウ | リバースプロキシを使ったシングルサインオンの場合,認証対象のWebサーバを,異なるインターネットドメインに配置する必要がある。 |
| エ | リバースプロキシを使ったシングルサインオンの場合,利用者認証においてパスワードの代わりにディジタル証明書を用いることができる。 |
解答:エ
<解説>
シングルサインオン(SSO)とは、一度ログインすれば、複数のサービスやアプリケーションに自動的にログインできる仕組みです。従来のように、サービスごとに異なるユーザー名やパスワードを入力する必要がなくなり、利便性とセキュリティを向上させることができます。
| ア | × | cookieを生成するのは認証サーバであり,クライアントではない。 |
| イ | × | cookieは,同じドメインでないとクライアントから送信されない。したがって、認証対象のサーバを,異なるインターネットドメインに配置すると,シングルサインオンはできない。 |
| ウ | × | リバースプロキシ方式の場合,認証サーバが認証対象の Web サーバへのアクセスを中継するので,認証対象の Web サーバはどこに配置してもよく,異なるインターネットドメインに配置する必要はない。 |
| エ | 〇 | 認証サーバの認証ではディジタル証明書を利用することもできる。 |
問題24
共通脆弱性評価システム(CVSS)の特徴として,適切なものはどれか。
| ア | CVSS v2 と CVSS v3.0 は,脆弱性の深刻度の算出方法が同じであり,どちらのパージョンで算出しても同じ値になる。 |
| イ | 情報システムの脆弱性の深刻度に対するオープンで汎用的な評価手法であり,特定ベンダに依存しない評価方法を提供する。 |
| ウ | 脆弱性の深刻度を0から100の数値で表す。 |
| エ | 脆弱性を評価する基準は,現状評価基準と環境評価基準の二つである。 |
解答:イ
<解説>
情報セキュリティ分野の共通脆弱性評価システム(CVSS:Common Vulnerability Scoring System)に関する問題。CVSS とは,IT 製品や情報システムの脆弱性に対するオープンで汎用的な評価手法で,次の三つの基準で情報システムの脆弱性の深刻度を評価するもの。
| ア | × | CVSS v3.0(バージョン 3.0)では項目や分類が追加されているので,同じ脆弱性であってもCVSS v2(バージョン2)と同じ値にはならない場合がある。 |
| イ | 〇 | CVSS を用いることで,情報セキュリティ管理者とベンダなど,情報セキュリティ対策に携わる人たちの間で,脆弱性に関して共通の言葉で議論ができるようになる。 |
| ウ | × | 脆弱性の深刻度を0から10.0の数値で表す。 |
| エ | × | 脆弱性を評価する基準は,基本評価基準,現状評価基準,環境評価基準の三つである。 |
問題25
脆弱性検査手法の一つであるファジングはどれか。
| ア | 既知の脆弱性に対するシステムの対応状況に注目し,システムに導入されているソフトウェアのバージョン及びバッチの適用状況の検査を行う。 |
| イ | ソフトウェアの,データの入出力に注目し,問題を引き起こしそうなデータを大量に多様なパターンで入力して挙動を観察し,脆弱性を見つける。 |
| ウ | ベンダや情報セキュリティ関連機関が提供するセキュリティアドバイザリなどの最新のセキュリティ情報に注目し,ソフトウェアの脆弱性の検査を行う。 |
| エ | ホワイトボックス検査の一つであり,ソフトウェアの内部構造に注目し,ソースコードの構文をチェックすることによって脆弱性を見つける。 |
解答:イ
<解説>
ファジングとは、ソフトウェアテストの手法の一つで、ファズ(fuzz)と呼ばれる通常想定されていない「不正データ」「予期せぬデータ」「ランダムなデータ」を対象の製品・システムに与え意図的に例外を発生させ、潜在的なバグ・脆弱性を検出する手法です。
| ア | × | バージョンチェックツールを使った検査の説明である。 |
| イ | 〇 | ファジングの説明である。 |
| ウ | × | 脆弱性診断型のセキュリティテストの説明である。 |
| エ | × | ホワイトボックス型の脆弱性診断の説明である。 |
お問い合わせ
