- トップページ
- プロジェクトマネージャ 午前2
- 令和5年度秋季問題
- 令和5年度秋季解答・解説
令和5年度秋季解答
問題21
プロバイダ責任制限法が定める特定電気通信役務提供者が行う送信防止措置に関する記述として,適切なものはどれか。
| ア | 明らかに不当な権利侵害がなされている場合でも,情報の発信者から事前に承諾を得ていなければ,特定電気通信役務提供者は送信防止措置の結果として情報の発信者に生じた損害の賠償責任を負う。 |
| イ | 権利侵害を防ぐための送信防止措置の結果,情報の発信者に損害が生じた場合でも,一定の条件を満たしていれば,特定電気通信役務提供者は賠償責任を負わない。 |
| ウ | 情報発信者に対して表現の自由を保障し,通信の秘密を確保するために,特定電気通信役務提供者は,裁判所の決定を受けなければ送信防止措置を実施することができない。 |
| エ | 特定電気通信による情報の流通によって権利を侵害された者が,個人情報保護委貢会に苦情を申し立て,被害が認定された際に特定電気通信役務提供者に対して命令される措置である。 |
解答:イ
<解説>
プロバイダ責任制限法(正式名称:特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律)では、特定電気通信役務提供者が送信防止措置を行った結果、情報発信者に損害が生じても、一定の条件を満たしていれば賠償責任を負わない と規定されている。
具体的には、①権利が明らかに侵害されていると認められる場合、または②権利侵害の申告があり、かつ発信者の同意を得るか発信者に意見を聞いて合理的に侵害があると判断できる場合、である。
このため、選択肢イが適切である。
| ア | × | 承諾がなくても、権利侵害が「明らか」である場合は、プロバイダは送信防止措置を実施することができ、その結果について免責される。したがって本記述は不適切である。 |
| イ | 〇 | 送信防止措置を講じる際、発信者の同意がある場合や、権利侵害が明白である場合など、法で定められた条件を満たせば、プロバイダは賠償責任を免れることができる。 |
| ウ | × | 裁判所の決定がなくても、権利侵害が明らかであったり、発信者の意見聴取を経て合理的に判断できる場合には、プロバイダは送信防止措置を実施できる。 |
| エ | × | 送信防止措置は個人情報保護委員会の命令によるものではなく、プロバイダが自ら判断して行う措置である。したがって記述は誤りである。 |
問題22
労働基準法で定める制度のうち,いわゆる 36 協定と呼ばれる労使協定に関する制度はどれか。
| ア | 業務遂行の手段,時間配分の決定などを大幅に労働者に委ねる業務に適用され,労働時間の算定は,労使協定で定めた労働時間の労働とみなす制度 |
| イ | 業務の繁閉に応じた労働時間の配分などを行い,労使協定によって1か月以内の期間を平均して1週の法定労働時間を超えないようにする制度 |
| ウ | 時間外労働,休日労働についての労使協定を書面で締結し,労働基準監督署に届け出ることによって,法定労働時間を超える時間外労働が認められる制度 |
| エ | 労使協定によって1か月以内の一定期間の総労働時間を定め,1日の固定勤務時間以外では,労働者に始業·終業時刻の決定を委ねる制度 |
解答:ウ
<解説>
労働基準法では,時間外労働や休日労働について,第32条で次のように定めている。
第三十二条 使用者は,労働者に,休憩時間を除き一週間について四十時間を超えて,労働させてはならない。
2 使用者は,一週間の各日については,労働者に,休憩時間を除き一日について八時間を超えて,労働させてはならない。
この第32条で規定された時間以上の労働をさせる場合には,第36条で規定されている労使協定(俗に“36協定”と呼ばれる)を締結し,所轄労働基準監督署に届け出なければならない。
第三十六条 使用者は,当該事業場に,労働者の過半数で組織する労働組合がある場合においてはその労働組合,労働者の過半数で組織する労働組合がない場合においては労働者の過半数を代表する者との書面による協定をし,これを行政官庁に届け出た場合においては,第三十二条から第三十二条の五まで若しくは第四十条の労働時間(以下この条において「労働時間」という。)又は前条の休日(以下この項において「休日」という。)に関する規定にかかわらず,その協定で定めるところによって労働時間を延長し,又は休日に労働させることができる。
したがって、ウが正解である。
| ア | × | 裁量労働制 に関する記述である。専門業務型や企画業務型などがあり、実際の労働時間に関わらず労使協定で定めた時間を労働したものとみなす制度である。36協定とは異なる。 |
| イ | × | 変形労働時間制(1か月単位の変形労働時間制) に関する記述である。繁忙期と閑散期に労働時間を調整する仕組みであり、36協定の説明ではない。 |
| ウ | 〇 | 労働基準法第36条に基づく 36協定 の説明である。協定を締結し届け出なければ、原則として法定時間外労働を命じることはできない。 |
| エ | × | フレックスタイム制 に関する記述である。労働者が日々の始業・終業時間を自主的に決定できる制度であり、36協定とは関係がない。 |
問題23
セキュリティ評価基準である ISO/IEC 15408 の説明はどれか。
| ア | IT 製品のセキュリティ機能を,IT 製品の仕様書,ガイダンス,開発プロセスなどの様々な視点から評価するための国際規格である。 |
| イ | IT 製品やシステムを利用する要員に対するセキュリティ教育やセキュリティ監查の実施といった,組織でのセキュリティ管理を評価するための国際規格である。 |
| ウ | 暗号モジュールに暗号アルゴリズムが適切に実装されているかどうかを評価するための国際規格である。 |
| エ | 評価保証レベル(Evaluation Assurance Level:EAL)の要件に基づいて,セキュリティ機能の強度を評価するための国際規格である。 |
解答:ア
<解説>
| ア | 〇 | ISO/IEC 15408(コモンクライテリア)は、セキュリティ要求事項を明確化し、それに基づいて製品やシステムのセキュリティ機能を評価する枠組みを提供する国際規格である。製品仕様書、利用ガイダンス、開発プロセスなどを含む多角的評価を特徴とする。 |
| イ | × | 情報セキュリティマネジメントシステム(ISMS)に関する ISO/IEC 27001 などのマネジメント規格の説明である。ISO/IEC 15408 は組織運用ではなく製品やシステムのセキュリティ評価に焦点を当てている。 |
| ウ | × | 暗号モジュールのセキュリティ要件を定める FIPS 140 系の規格に関する記述である。ISO/IEC 15408 は暗号モジュールに限定されず、広くIT製品・システム全般のセキュリティ評価を対象とする。 |
| エ | × | EAL(Evaluation Assurance Level)はISO/IEC 15408に含まれる概念であり、評価保証の深さ・厳格さを示すレベルである。しかしEALは「セキュリティ機能の強度」そのものを測るものではなく、評価の保証度合い(どの程度厳格に評価されたか) を表す。したがって記述は不正確である。 |
問題24
デジタルフォレンジックスに該当するものはどれか。
| ア | 画像,音楽などのデジタルコンテンツに著作権者などの情報を埋め込む。 |
| イ | コンピュータやネットワークのセキュリティ上の弱点を発見するテストとして,システムを実際に攻撃して侵入を試みる。 |
| ウ | 巧みな話術,盗み聞き,盗み見などの手段によって,ネットワークの管理者,利用者などから,パスワードなどのセキュリティ上重要な情報を入手する。 |
| エ | 犯非に関する証拠となり得るデータを保全し,調査,分析,その後の訴訟などに備える。 |
解答:エ
<解説>
デジタルフォレンジックス(Digital Forensics) とは、コンピュータやネットワーク機器などに残されたデータを証拠として扱えるように、適切に保全・収集・調査・分析し、法的手続きで利用できる形にする技術や手法 を指す。 このため、「犯非に関する証拠となり得るデータを保全し,調査,分析,その後の訴訟などに備える」という記述のエが正しい。
| ア | × | デジタルウォーターマーク(電子透かし) の説明である。著作権保護や不正利用防止のためにコンテンツに情報を埋め込む技術であり、フォレンジックスではない。 |
| イ | × | ペネトレーションテスト(侵入テスト) の説明である。システムの脆弱性を把握するために実際に攻撃を試みる手法であり、証拠保全を目的とするフォレンジックスとは異なる。 |
| ウ | × | ソーシャルエンジニアリング の説明である。人間の心理的な隙を突いて情報を盗み出す手法であり、フォレンジックスではない。 |
| エ | 〇 | デジタルフォレンジックスの定義に合致する記述であり、コンピュータ犯罪の捜査や内部不正調査などで利用される。 |
問題25
脆弱性検査手法の一つであるファジングはどれか。
| ア | 既知の脆弱性に対するシステムの対応状況に注目し,システムに導入されているソフトウェアのバージョン及びパッチの適用状況の検査を行う。 |
| イ | ソフトウェアの,データの入出力に注目し,問題を引き起こしそうなデータを大量に多様なパターンで入力して挙動を観察し,脆弱性を見つける。 |
| ウ | ソフトウェアの内部構造に注目し,ソースコードの構文をチェックすることによって脆弱性を見つける。 |
| エ | ベンダーや情報セキュリティ関連機関が提供するセキュリティアドバイザリなどの最新のセキュリティ情報に注目し,ソフトウェアの脆弱性の検查を行う。 |
解答:イ
<解説>
ファジングとは、ソフトウェアテストの手法の一つで、ファズ(fuzz)と呼ばれる通常想定されていない「不正データ」「予期せぬデータ」「ランダムなデータ」を対象の製品・システムに与え意図的に例外を発生させ、潜在的なバグ・脆弱性を検出する手法である。
入力検証不足やバッファオーバーフローなど、未知の脆弱性を効率的に発見できるため、セキュリティテストの重要な技法として用いられる。
| ア | × | バージョンチェックツールを使った検査の説明である。 ソフトウェアのバージョンやパッチ適用状況を確認する手法であり、ファジングの説明ではない。 |
| イ | 〇 | ファジングの説明である。ソフトウェアに異常データを大量投入して予期せぬ挙動を誘発させ、未知の脆弱性を検出する。 |
| ウ | × | 静的解析(Static Analysis)の説明である。 ソースコードを実行せずに構文や制御フローを解析し、脆弱性やバグを検出する手法であり、ファジングとは異なる。 |
| エ | × | 脆弱性対策情報データベースなどを活用した検査の説明である。 脆弱性情報を収集・確認して適切に対応する活動であり、ファジングそのものではない。 |
お問い合わせ
