- トップページ
- プロジェクトマネージャ 午前2
- 令和3年度秋季問題
- 令和3年度秋季解答・解説
令和3年度秋季解答
問題21
常時10名以上の従業員を有するソフトウェア開発会社が,社内の情報セキュリティ管理を強化するために,秘密情報を扱う担当従業員の扱いを見直すこととした。労働法に照らし,適切な行為はどれか。
| ア | 就業規則に業務上知り得た秘密の漏えい禁止の一般的な規定があるときに,担当従業員の職務に即して秘密の内容を特定する個別合意を行う。 |
| イ | 就業規則には業務上知り得た秘密の漏えい禁止の規定がないときに,漏えい禁止と処分の規定を従業員の意見を聴かずに就業規則に追加する。 |
| ウ | 情報セキュリティ事故を起こした場合の懲戒処分について,担当従業員との間で,就業規則の規定よりも重くした個別合意を行う。 |
| エ | 情報セキュリティに関連する規定は就業規則に記載してはいけないので,就業規則に規定を設けずに,各従業員と個別合意を行う。 |
解答:ア
<解説>
| ア | 〇 | 就業規則で従業員に秘密保持義務を求めている条項がある場合,従業員にはそれを遵守する義務が発生する(労働契約法第3条(労働契約の原則)の4)。それをベースに担当従業員の職務に即して秘密の内容を特定する個別合意を行うことは問題ない(労働契約法第7条)。適切な行為であるため正解である。 |
| イ | × | 就業規則には業務上知り得た秘密の漏えい禁止の規定がないときに,新たにそうした規定を追加する場合には「就業規則を作成·変更する」ケースに該当する。労働基準法の第90条では,そうした場合には「労働者の過半数で組織する労働組合がある場合においてはその労働組合,労働者の過半数で組織する労働組合がない場合においては労働者の過半数を代表する者の意見を聴かなければならない」としている。 すなわち、従業員の意見を聴かずに就業規則に追加する行為は労働法に照らし,適切な行為ではない。 |
| ウ | × | 懲戒処分に関しては,過去の判例では,あらかじめ就業規則に懲戒処分の種類や事由を記載して,従業員に周知しておかないとならないとされている。 加えて,労働契約法第12条では,就業規則違反の労働契約を無効としている。 すなわち、就業規則の規定よりも重くした個別合意を行う行為は労働法に照らし,適切な行為ではない。 |
| エ | × | 情報セキュリティに関連する規定は従業員すべてに適用される。したがって情報セキュリティに関連する規定を就業規則に記載してはいけないということはない。また、就業規則に規定を設けずに,各従業員と個別合意を行う行為は労働法に照らし,適切な行為ではない。 |
問題22
技術者倫理におけるホイッスルブローイングの説明として,適切なものはどれか。
| ア | 画期的なアイディアによって経済・社会に大きな変革をもたらすこと |
| イ | コミュニケーションを通じて自ら問題を解決できる人材を育成すること |
| ウ | 法令又は社会的規範を逸脱する行為を第三者などに知らしめること |
| エ | リスクが発生したときの対処方法をあらかじめ準備しておくこと |
解答:ウ
<解説>
ホイッスルブローイング(whistle-blowing:警笛を鳴らすこと)とは、組織の不正行為や不法行為を報告または開示することであり、内部告発がそれに該当する。
| ア | × | イノベーションの説明である。 |
| イ | × | 1 on 1ミーティングの説明である。 |
| ウ | 〇 | ホイッスルブローイングの説明である。 |
| エ | × | 事業継続計画(BCP)の説明である。 |
問題23
暗号技術のうち,共通鍵暗号方式はどれか。
| ア | AES |
| イ | ElGamal暗号 |
| ウ | RSA |
| エ | 楕円曲線暗号 |
解答:ア
<解説>
共通鍵暗号方式とは、暗号化する鍵と複合化する鍵が同じ方式である。第三者に鍵を知られてしまうと暗号文の複合ができてしまうので、鍵を秘密にしておく必要がある。
共通鍵暗号方式の代表例として、DES(Data Encryption Standard)やAES(Advanced Encryption Standard) 方式がある。
| ア | ○ | AESは、共通鍵暗号方式の一つ。2001年にNIST(米国商務省標準技術局)が規格化した。 |
| イ | × | ElGamal暗号は、公開鍵暗号方式の一つ。エジプト人数学者Taher Elgamal氏によって考案された。 |
| ウ | × | RSA(Rivest-Shamir-Adleman cryptosystem)は、公開鍵暗号方式の一つ。巨大な整数の素因数分解が困難であることを利用したアルゴリズムである。SSLで用いられている。 |
| エ | × | 楕円曲線暗号(Elliptic Curve Cryptography: ECC)は、公開鍵暗号方式の一つ。楕円曲線上の離散対数問題の困難性を安全性の根拠とする暗号である。 |
問題24
テンペスト攻撃の説明とその対策として,適切なものはどれか。
| ア | 通信路の途中でパケットの内容を改ざんする攻撃であり,その対策としては,デジタル署名を利用して改ざんを検知する。 |
| イ | ディスプレイなどから放射される電磁波を傍受し,表示内容を解析する攻撃であり,その対策としては,電磁波を遮断する。 |
| ウ | マクロウイルスを使う攻撃であり,その対策としては,マルウェア対策ソフトを導入し,最新のマルウェア定義ファイルを適用する。 |
| エ | 無線LANの信号を傍受し,通信内容を解析する攻撃であり,その対策としては,通信パケットを暗号化する。 |
解答:イ
<解説>
| ア | × | 盗聴や中間者攻撃の説明である。 |
| イ | 〇 | テンペスト攻撃の説明である。 |
| ウ | × | マクロマルウェア攻撃の説明である。 |
| エ | × | 無線LANの通信盗聴と対策の説明である。 |
問題25
DNSSECの機能はどれか。
| ア | DNSキャッシュサーバの設定によって,再帰的な問合せを受け付ける送信元の範囲が最大になるようにする。 |
| イ | DNSサーバから受け取るリソースレコードに対するデジタル署名を利用して,リソースレコードの送信者の正当性とデータの完全性を検証する。 |
| ウ | ISPなどに設置されたセカンダリDNSサーバを利用してDNSコンテンツサーバを二重化することによって,名前解決の可用性を高める。 |
| エ | 共通鍵暗号とハッシュ関数を利用したセキュアな方法によって,DNS更新要求が許可されているエンドポイントを特定して認証する。 |
解答:イ
<解説>
DNSSECとは,DNSのセキュリティを強化するための拡張仕様で,DNSコンテンツサーバ側で保存しているDNSレコードに,ディジタル署名を施すことによって,その真正性を証明するものになる。DNSキャッシュポイズニングへの対策として効果的である。
| ア | × | DNSSECとは無関係なので誤りである。 DNSキャッシュサーバの設定で再帰的な問合せの受付範囲を最大になるようにしておくと(すなわち,どこからでも受け付けるようにしておくと)DNSキャッシュポイズニングやDDoS攻撃などを受けやすくなる。そのため再帰的な問合せの受付範囲は必要最小限になるようにアクセス制限しなければならない。 |
| イ | ○ | DNSSECの説明である。 |
| ウ | × | 可用性を高めることとは無関係である。 |
| エ | × | この認証方法はTSIG(Transaction Signature)という。 |
お問い合わせ
