セキュリティ（セキュリティ）

あるランサムウェアの一種で暗号化されたファイルの復号鍵が公開された。WAF の説明はどれか。

27イ28ウ29エ31サーバ室の物理的な安全対策の状況について，情報セキュリティ管理基準（平成28 年）に照らして，情報セキュリティ監査を行って判明した状況のうち，監査人が， 指摘事項として監査報告書

ペネトレーションテストに該当するものはどれか。

BイCウDエEA 社では，従業員が自宅の PC からインターネット経由で自社のネットワークに接 続して仕事を行うテレワーキングの実施を計画している。A 社が定めたテレワーキン グ運用規程について，情報

SDメモリカードの上位規格の一つであるSDXCの特徴として，適切なものはどれか。

TCP/IPネットワークのフォワードプロキシに関する説明のうち，最も適切なものはどれか。

IPv6において，拡張ヘッダーを利用することによって実現できるセキュリティ機能はどれか。

インターネットとの接続において，ファイアウォールのNAPT機能によるセキュリティ上の効果はどれか。

JIS Q 27000:2019(情報セキュリティマネジメントシステム－用語)では，情報セキュリティは主に三つの特性を維持することとされている。それらのうちの二つは機密性と完全性である。残りの一つはど

内部ネットワークのPCからインターネット上のWebサイトを参照するときに，DMZに設置したVDI(Virtual Desktop Infrastructure)サーバ上のWebブラウザを利用すると，未

エクスプロイトキットの説明はどれか。

JIS X 25010:2013(システム及びソフトウェア製品の品質要求及び評価(SQuaRE)－システム及びソフトウェア品質モデル)で規定されたシステム及びソフトウェア製品の品質特性の一つである"機

システム監査基準(平成30年)における監査手続の実施に際して利用する技法に関する記述のうち，適切なものはどれか。

複数のサーバを用いて構築されたシステムに対するサーバコンソリデーションの説明として，適切なものはどれか。

PCからサーバに対し，IPv6を利用した通信を行う場合，ネットワーク層で暗号化を行うのに利用するものはどれか。

SEOポイズニングの説明はどれか。

TPM(Trusted Platform Module)に該当するものはどれか。

企業システムにおけるSoE(Systems of Engagement)の説明はどれか。

IPv6において，拡張ヘッダーを利用することによって実現できるセキュリティ機能はどれか。

IoT推進コンソーシアム，総務省，経済産業省が策定した"IoTセキュリティガイドライン(ver1.0)"における"要点17. 出荷・リリース後も安全安心な状態を維持する"に対策例として挙げられているも

ソフトウェア製品の脆弱性を第三者が発見し，その脆弱性をJPCERTコーディネーションセンターが製品開発者に通知した。その場合における製品開発者の対応のうち，"情報セキュリティ早期警戒パートナーシップガ

JIS Q 27000:2019(情報セキュリティマネジメントシステム－用語)において定義されている情報セキュリティの特性に関する記述のうち，否認防止の特性に関する記述はどれか。

IoTデバイスの耐タンパ性の実装技術とその効果に関する記述として，適切なものはどれか。

基本評価基準，現状評価基準，環境評価基準の三つの基準で情報システムの脆弱性の深刻度を評価するものはどれか。

盗まれたクレジットカードの不正利用を防ぐ仕組みのうち，オンラインショッピングサイトでの不正利用の防止に有効なものはどれか。

OSI基本参照モデルのネットワーク層で動作し，"認証ヘッダー(AH)"と"暗号ペイロード(ESP)"の二つのプロトコルを含むものはどれか。

化学製品を製造する化学プラントに，情報ネットワークと制御ネットワークがある。この二つのネットワークを接続し，その境界に，制御ネットワークのセキュリティを高めるためにDMZを構築し，制御ネットワーク内の

経済産業省"情報セキュリティ監査基準 実施基準ガイドライン(Ver1.0)" における，情報セキュリティ対策の適切性に対して一定の保証を付与することを目的とする監査(保証型の監査)と情報セキュリティ対

リスクベース認証の特徴はどれか。

経済産業省とIPAが策定した"サイバーセキュリティ経営ガイドライン(Ver2.0)"の説明はどれか。

JPCERTコーディネーションセンターの説明はどれか。

クレジットカードの対面決済時の不正利用に対して，カード加盟店が実施する対策のうち，最も有効なものはどれか。

Webシステムにおいて，セッションの乗っ取りの機会を減らすために，利用者のログアウト時にWebサーバ又はWebブラウザにおいて行うべき処理はどれか。ここで，利用者は自分専用のPCにおいて，Webブラウ

ICカードの耐タンパ性を高める対策はどれか。

情報セキュリティ管理基準(平成28年)を基に，情報システム環境におけるマルウェア対策の実施状況について監査を実施した。判明したシステム運用担当者の対応状況のうち，監査人が，指摘事項として監査報告書に記

マスタファイル管理に関するシステム監査項目のうち，可用性に該当するものはどれか。

組織的なインシデント対応体制の構築や運用を支援する目的でJPCERTコーディネーションセンターが作成したものはどれか。

JPCERTコーディネーションセンターとIPAとが共同で運営するJVNの目的として，最も適切なものはどれか。

WAFによる防御が有効な攻撃として，最も適切なものはどれか。

家庭内で，PCを無線LANとブロードバンドルータを介してインターネットに接続するとき，期待できるセキュリティ上の効果の記述のうち，適切なものはどれか。

JIS Q 27001:2014(情報セキュリティマネジメントシステム－要求事項)に基づいてISMS内部監査を行った結果として判明した状況のうち，監査人が指摘事項として監査報告書に記載すべきものはどれ

マイクロプロセッサの耐タンパ性を向上させる手法として，適切なものはどれか。

JIS Q 27000:2019(情報セキュリティマネジメントシステム－用語)における"リスクレベル"の定義はどれか。

内部ネットワークのPCからインターネット上のWebサイトを参照するときに，DMZに設置したVDI(Virtual Desktop Infrastructure)サーバ上のWebブラウザを利用すると，未

システム管理基準(平成30年)によれば，ITシステムの運用・利用におけるログ管理に関する記述のうち，適切なものはどれか。

JPCERTコーディネーションセンター"CSIRTガイド(2021年11月30日)" では，CSIRTを機能とサービス対象によって六つに分類しており，その一つにコーディネーションセンターがある。コーデ

JIS Q 27000:2019(情報セキュリティマネジメントシステム用語)において，認可されていない個人，エンティティ又はプロセスに対して，情報を使用させず，また，開示しない特性として定義されている

通信技術の一つであるPLCの説明として，適切なものはどれか。

セキュアOSを利用することによって期待できるセキュリティ上の効果はどれか。

"政府情報システムのためのセキュリティ評価制度(ISMAP)"の説明はどれか。

ソフトウェアの既知の脆弱性を一意に識別するために用いる情報はどれか。

TPM(Trusted Platform Module)に該当するものはどれか。

デジタルフォレンジックスの手順は収集，検査，分析及び報告から成る。このとき，デジタルフォレンジックスの手順に含まれるものはどれか。

公衆無線LANのアクセスポイントを設置するときのセキュリティ対策とその効果の組みとして，適切なものはどれか。

次に示すような組織の業務環境において，特定のIPセグメントのIPアドレスを幹部のPCに動的に割り当て，一部のサーバへのアクセスをそのIPセグメントからだけ許可することによって，幹部のPCだけが当該サー

システム監査基準(平成30年)における監査手続の実施に際して利用する技法に関する記述のうち，適切なものはどれか。

マイクロプロセッサの耐タンパ性を向上させる手法として，適切なものはどれか。

ディープフェイクを悪用した攻撃に該当するものはどれか。

パスワードリスト攻撃に該当するものはどれか。

JVNなどの脆弱性情報サイトで採用されているCVE(Common Vulnerabilities and Exposures)識別子の説明はどれか。

ソフトウェアのセキュリティ管理に使用されるSBOMはどれか。

VLAN機能をもった1台のレイヤー3スイッチに40台のPCを接続している。スイッチのポートをグループ化して複数のセグメントに分けたとき，スイッチのポートをセグメントに分けない場合に比べて得られるセキュ

エクスプロイトコードの説明はどれか。

ソフトウェアの使用性を評価する指標の目標設定の例として，適切なものはどれか。

官民データ活用推進基本法などに基づいて進められているオープンデータバイデザインに関して，行政機関における取組についての記述として，適切なものはどれか。

システムの要件を検討する際に用いるUXデザインの説明として，適切なものはどれか。

3Dセキュア2.0(EMV 3-Dセキュア)は，オンラインショッピングにおけるクレジットカード決済時に，不正取引を防止するための本人認証サービスである。3Dセキュア2.0で利用される本人認証の特徴はど

自社製品の脆弱性に起因するリスクに対応するための社内機能として，最も適切なものはどれか。

WAFによる防御が有効な攻撃として，最も適切なものはどれか。

PCからサーバに対し，IPv6を利用した通信を行う場合，ネットワーク層で暗号化を行うのに利用するものはどれか。

ICカードの耐タンパ性を高める対策はどれか。

"デジタルガバナンス・コード3.0"の説明として，適切なものはどれか。

リバースプロキシの説明として，適切なものはどれか。

ある組織ではCSIRTとPSIRTが設置されている。セキュリティインシデントのうち，PSIRTが対応するものはどれか。

JIS Q 27000:2019(情報セキュリティマネジメントシステム－用語)における真正性及び信頼性に対する定義a～dの組みのうち，適切なものはどれか。 〔定義〕意図する行動と結果とが一貫している

CSPM(Cloud Security Posture Management)はどれか。

デジタルフォレンジックスの手順は収集，検査，分析及び報告から成る。このとき，デジタルフォレンジックスの手順に含まれるものはどれか。

システム監査基準(令和5年)に従い，監査目的に基づいて，ガバナンス，マネジメント，コントロールの視点から検証・評価を行う。"コントロールの視点"から行う項目はどれか。

デジタル庁，総務省及び経済産業省が策定した"電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)"を構成する暗号リストの説明のうち，適切なものはどれか。

欧米などの企業，組織で行われている"セキュリティクリアランス"の事例はどれか。

ソフトウェアの情報セキュリティ対策のうち，SBOM(Software Bill Of Materials)管理ツールを用いることができるものはどれか。

VPNで使用されるプロトコルであるIPsec，L2TP，TLSの，OSI基本参照モデルにおける相対的な位置関係はどれか。

デザインレビューの目的はどれか。

DX認定制度における認定基準に含まれている事項はどれか。

JISで規定されるソフトウェアの品質特性(JIS X 0129)のうち，"効率性"の定義はどれか。

TCP/IPを利用している環境で，電子メールに画像データを添付するための規格はどれか。

コンピュータセキュリティ対策に関する記述のうち，適切なものはどれか。

セキュリティプロトコルであるSSLに関する記述のうち，適切なものはどれか

米国で運用されたTCSECや欧州政府調達用のITSECを統合して，標準化が進められたCC(Common Criteria)の内容はどれか。

給与システムにおいて，情報セキュリティの要素の一つであるインテグリティの確保に該当するものはどれか。

BS 7799-2 におけるセキュリティ管理システム構築の枠組みは，①～⑥のステップからなる。正しい順番はどれか。実施すべき管理目的及び管理策を選択・追加する。情報セキュリティ管理システムの適用範囲を

セキュリティ対策の"予防"に該当するものはどれか。

ブラウザからWebサーバにアクセスするシステムのセキュリティに関する記述のうち，適切なものはどれか。

ISMS適合性能評価制度における情報セキュリティポリシーに関する記述のうち，適切なものはどれか。

リスクマネジメントの実施内容を説明したものはどれか。

システム及び製品に関する情報技術セキュリティ評価基準の国際規格はどれか。

図は，組織内でTCP/IPネットワークにあるクライアントが，プロキシサーバ，ルータ，インターネットを経由して組織外のWebサーバを利用するときの経路を示している。この通信のTCPコネクションが設定され

TCP/IPを利用している環境で，電子メールに画像データを添付するための規格はどれか。

米国で運用されたTCSECや欧州政府調達用のITSECを統合して，標準化が進められたCC(Common Criteria)の内容はどれか。

ISMS適合性評価制度における詳細管理策の基となった国際規格はどれか。

OSにおけるシェルの役割に関する記述として，適切なものはどれか。

TCP/IPネットワークにおいて，コンサート中継の配信などのように，多数の通信相手に同じ情報を効率的に配信するための方法はどれか。

社内のセキュリティポリシーで，利用者の事故に備えて秘密鍵を復元できること，及びセキュリティ管理者の不正防止のための仕組みを確立することが決められている。電子メールで公開鍵暗号方式を使用し，鍵の生成はセ

クロスサイトスクリプティングによる攻撃へのセキュリティ対策はどれか。

ISMSにおけるリスク分析の方法の一つであるベースラインアプローチはどれか。

米国で運用されたTCSECや欧州政府調達用のITSECを統合して，標準化が進められたCC(Common Criteria)の内容はどれか。

情報システムへの脅威とセキュリティ対策の組合せのうち，適切なものはどれか。

情報セキュリティ基本方針文書の取り扱いについて，ISMS認証基準に定められているものはどれか。

国際標準化の動向に関する記述のうち，適切なものはどれか。

JISで規定されるソフトウェアの品質特性(JIS X 0129-1)のうち，"効率性"の定義はどれか。

インターネットを使ってVPNを構築する際に利用されるネットワーク層(IP層)のセキュリティプロトコルはどれか。

関係データベースにおいて，ビューを作る目的として，適切なものはどれか。

ISMS適合性評価制度における情報セキュリティポリシーに関する記述のうち，適切なものはどれか。

ISMSプロセスのPDCAモデルにおいて，PLANで実施するものはどれか。

セキュリティ関連のプロトコルに関する記述のうち，適切なものはどれか。

Webビーコンを説明したものはどれか。

ICカードの情報の解読や偽造に対して，物理的に情報を保護するための機能を示すものはどれか。

HTTPSを用いて実現できるものはどれか。

"JIS Q 27001:2006(ISO/IEC 27001:2005)情報セキュリティマネジメントシステム－要求事項"に規定されているものはどれか。

一つのグローバルIPアドレスを使って複数のホストが同時にインターネットにアクセスできるようにする仕組みを何と呼ぶか。

IPsecに関する記述のうち，適切なものはどれか。

SQLインジェクション攻撃を防ぐ方法はどれか。

SSHを説明したものはどれか。

IPv4にはなく，IPv6で追加・変更されたものはどれか。

SQLインジェクション対策として行う特殊文字の無効化操作はどれか。

完全性を脅かす攻撃はどれか。

セキュリティ対策に関連する標準又は規格に関する記述のうち，適切なものはどれか。

完全性を脅かす攻撃はどれか。

JIS Q 2001:2001に規定されたリスク算定の定量的評価を，組織のセキュリティ対策の優先度を検討するリスク分析に適用したものはどれか。

無線LANにおいて，事前にアクセスポイントに登録した端末以外の接続を制限するためのものはどれか。

JIS X 0129-1で定義されたソフトウェア製品の品質副特性の説明のうち，信頼性に分類されるものはどれか。

利用権限をもたない第三者が，他人のIDやパスワードを使ってネットワークに接続されたコンピュータを利用可能にする行為及びその助長行為を処罰の対象にしている法律はどれか。

Webページに"パンくずリスト"や"topic path"，"breadcrumbs list"などと呼ばれる情報を表示する目的はどれか。

クライアントサーバシステムにおけるストアドプロシージャに関する記述のうち，誤っているものはどれか。

ISMS適合評価制度における情報セキュリティ基本方針に関する記述のうち，適切なものはどれか。

企業内情報ネットワークやサーバにおいて，通常のアクセス経路以外で，侵入者が不正な行為に利用するために設置するものはどれか。

デザインレビューの目的はどれか。

コンピュータセキュリティのリスク対策のうち，リスクの保有に該当するものはどれか。

"システム管理基準"によれば，全体最適化計画策定の段階で，業務モデルを定義する目的はどれか。

共通フレーム2007によれば，要件定義プロセスで行うべき作業はどれか。

システムの経済性を評価する場合，TCOの評価項目から除外されるものはどれか。

セキュリティ対策で利用するCRLに記載されるデータはどれか。

ISMS適合性能評価制度における情報セキュリティ基本方針に関する記述のうち，適切なものはどれか。

社内ネットワークからインターネット接続を行うとき，インターネットへのアクセスを中継し，Webコンテンツをキャッシュすることによって，アクセスを高速にする仕組みで，セキュリティの確保にも利用されるものは

JIS Q 27002における情報資産に対する脅威の説明はどれか。

不正アクセス禁止法において，処罰の対象となる行為はどれか。

パケットフィルタリング型ファイアウォールのフィルタリングルールを用いて，本来必要なサービスに影響を及ぼすことなく防げるものはどれか。

表は，あるソフトウェアにおける品質特性の測定方法と受入れ可能な基準値を示している。a～cに入る品質特性の組合せはどれか。

知的財産権戦略として，特許化されていない技術を特許出願せずにノウハウとして秘匿することが適切な例はどれか。

情報戦略における全体最適化計画策定の段階で，業務モデルを定義する目的はどれか。

非機能要件項目はどれか。

PLC(Power Line Communications)の特徴として，適切なものはどれか。

DNSキャッシュポイズニングに分類される攻撃内容はどれか。

ゼロデイ攻撃の特徴はどれか。

情報セキュリティに関する従業員の責任について，"情報セキュリティ管理基準"に基づいて監査を行った。指摘事項に該当するものはどれか。

"システム管理基準"によれば，情報システムの全体最適化を実現するために設置する情報システム化委員会の役割はどれか。

受注管理システムにおける要件のうち，非機能要件に該当するものはどれか。

視覚障害者に対してWebコンテンツの情報アクセシビリティを向上させるための配慮のうち，適切な例はどれか。

手順に示すハッシュ関数とメッセージダイジェストの処理を行うことで得られるセキュリティ上の効果はどれか。ここで，メッセージダイジェストは安全な方法で保護され，改ざんや破壊がされていないものとする。 〔

完全性を脅かす攻撃はどれか。

安全なWebアプリケーションの作り方について，攻撃と対策の適切な組合せはどれか。

ソフトウェアの再利用の説明のうち，適切なものはどれか。

所有者と公開鍵の対応付けをするのに必要なポリシーや技術の集合によって実現される基盤はどれか。

WAFの説明として，適切なものはどれか。

JIS Q 27001では，情報セキュリティは三つの特性を維持するものとして特徴付けられている。それらのうちの二つは機密性と完全性である。残りの一つはどれか。

Webアプリケーションにおける脅威とそのセキュリティ対策の適切な組合せはどれか。

クライアントサーバシステムにおけるストアドプロシージャに関する記述のうち，誤っているものはどれか。

PCからサーバに対し，IPv6を利用した通信を行う場合，ネットワーク層で暗号化を行うのに利用するものはどれか。

ISMSにおいて定義することが求められている情報セキュリティ基本方針に関する記述のうち，適切なものはどれか。

クロスサイトスクリプティングの手口はどれか。

システム開発計画の策定におけるコントロールのうち，適切なものはどれか。

インターネットオークションにおいて，出品者と落札者の間の決済で使用されるエスクローサービスはどれか。

HTTPS通信において，暗号化とサーバ認証に使用されるものはどれか。

パケットフィルタリング型ファイアウォールのフィルタリングルールを用いて，本来必要なサービスに影響を及ぼすことなく防げるものはどれか。

毎回参加者が変わる100名程度の公開セミナにおいて，参加者が持参する端末に対して無線LAN接続環境を提供する。参加者の端末以外からのアクセスポイントへの接続を防止するために効果があるセキュリティ対策は

サンドボックスの仕組みについて述べたものはどれか。

ソフトウェアの使用性を評価する指標の目標設定の例として，適切なものはどれか。

情報セキュリティに関する従業員の責任について，"情報セキュリティ管理基準"に基づいて監査を行った。指摘事項に該当するものはどれか。

Webアプリケーションにおけるセキュリティ上の脅威と対策の適切な組合せはどれか。

無線LANを利用するとき，セキュリティ方式としてWPA2を選択することで利用される暗号化アルゴリズムはどれか。

受注管理システムにおける要件のうち，非機能要件に該当するものはどれか。

認証局が侵入され，攻撃者によって不正なWebサイト用のデジタル証明書が複数発行されたおそれがある。どのデジタル証明書が不正に発行されたものか分からない場合，誤って不正に発行されたデジタル証明書を用いた

安全なWebアプリケーションの作り方について，攻撃と対策の適切な組合せはどれか。

家庭内で，PCを無線LANとブロードバンドルータを介してインターネットに接続するとき，期待できるセキュリティ上の効果の記述のうち，適切なものはどれか。

SSHの説明はどれか。

Webサーバにおいて，機密情報を記載したページが第三者に不正利用されることを防止するためのセキュリティ対策のうち，最も適切なものはどれか。

ソフトウェアの使用性を向上させる施策として，適切なものはどれか。

クライアントサーバシステムにおけるストアドプロシージャに関する記述のうち，適切でないものはどれか。

クロスサイトスクリプティングの手口に該当するものはどれか。

ゼロデイ攻撃の特徴はどれか。

ペネトレーションテストの目的はどれか。

"システム管理基準"によれば，情報戦略における情報システム全体の最適化目標を設定する際の留意事項はどれか。

IoT(Internet of Things)の実用例として，適切でないものはどれか。

サイバーセキュリティ基本法において，サイバーセキュリティの対象として規定されている情報の説明はどれか。

DNSキャッシュポイズニングに分類される攻撃内容はどれか。

パスワードリスト攻撃に該当するものはどれか。

JPCERT/CCの説明はどれか。

NISTの定義によるクラウドサービスモデルのうち，クラウド利用企業の責任者がセキュリティ対策に関して表中の項番1と2の責務を負うが，項番3～5の責務を負わないものはどれか。

サーバにバックドアを作り，サーバ内で侵入の痕跡を隠蔽するなどの機能がパッケージ化された不正なプログラムやツールはどれか。

JIS X 25010:2013で規定されたシステム及びソフトウェア製品の品質副特性の説明のうち，信頼性に分類されるものはどれか。

IPv6において，拡張ヘッダを利用することによって実現できるセキュリティ機能はどれか。

リスクベース認証の特徴はどれか。

サンドボックス機構に該当するものはどれか。

脆弱性検査手法の一つであるファジングはどれか。

ソフトウェアを保守するときなどに利用される技術であるリバースエンジニアリングに該当するものはどれか。

システム監査人の役割と権限に関する記述のうち，適切なものはどれか。

非機能要件項目はどれか。

重要情報の取扱いを委託する場合における，委託元の情報セキュリティ管理のうち，適切なものはどれか。

JIS Q 27000で定義された情報セキュリティの特性に関する記述のうち，否認防止の特性に該当するものはどれか。

WAFの説明として，適切なものはどれか。

クラウドのサービスモデルをNISTの定義に従ってIaaS，PaaS，SaaSに分類したとき，パブリッククラウドサービスの利用企業が行うシステム管理作業において，PaaSとSaaSでは実施できないが，I

暗号化や認証機能を持ち，遠隔にあるコンピュータに安全にログインするためのプロトコルはどれか。

ソフトウェアの品質特性のうちの保守性に影響するものはどれか。

SEOポイズニングの説明はどれか。

SIEM(Security Information and Event Management)の特徴はどれか。

ドライブバイダウンロード攻撃の説明はどれか。

サイバーレスキュー隊(J-CRAT)の役割はどれか。

暗号化や認証機能をもち，遠隔にあるコンピュータに安全にログインするためのプロトコルはどれか。

ICカードの耐タンパ性を高める対策はどれか。

WAFの説明はどれか。

インターネットへの接続において，ファイアウォールでNAPT機能を利用することによるセキュリティ上の効果はどれか。

経済産業省とIPAが策定した"サイバーセキュリティ経営ガイドライン(Ver1.1)"の説明はどれか。

VPNで使用されるセキュアなプロトコルであるIPsec，L2TP，TLSの，OSI基本参照モデルにおける相対的な位置関係はどれか。

インターネットオークションにおいて，出品者と落札者の間の決済で使用されるエスクローサービスはどれか。

マイクロプロセッサの耐タンパ性を向上させる手法として，適切なものはどれか。

サイバーセキュリティ基本法に基づき，内閣官房に設置された機関はどれか。

JIS X 9401:2016(情報技術－クラウドコンピューティング－概要及び用語)の定義によるクラウドサービス区分において，パブリッククラウドのクラウドサービスカスタマのシステム管理者が，仮想サーバ

インターネットに接続された利用者のPCから，DMZ上の公開Webサイトにアクセスし，利用者の個人情報を入力すると，その個人情報が内部ネットワークのデータベース(DB)サーバに蓄積されるシステムがある。

クロスサイトスクリプティング対策に該当するものはどれか。

脆弱性検査手法の一つであるファジングはどれか。

取引履歴などのデータとハッシュ値の組みを順次つなげて記録した分散型台帳を，ネットワーク上の多数のコンピュータで同期して保有し，管理することによって，一部の台帳で取引データが改ざんされても，取引データの

無線LANのセキュリティプロトコル，暗号アルゴリズム，暗号鍵の鍵長の組合せのうち，適切なものはどれか。

企業の業務システムを，自社のコンピュータでの運用からクラウドサービスの利用に切り替えるときの留意点はどれか。

PCをシンクライアント端末として利用する際の特徴として，適切なものはどれか。

クロスサイトスクリプティングの手口はどれか。

サイバーレスキュー隊(J-CRAT)は，どの脅威による被害の低減と拡大防止を活動目的としているか。

内部ネットワークのPCからインターネット上のWebサイトを参照するときにDMZ上に用意したVDI(Virtual Desktop Infrastructure)サーバ上のWebブラウザを利用すると，未

Webシステムにおいて，セッションの乗っ取りの機会を減らすために，利用者のログアウト時にWebサーバ又はWebブラウザにおいて行うべき処理はどれか。ここで，利用者は自分専用のPCにおいて，Webブラウ

TPM(Trusted Platform Module)に該当するものはどれか。

マスタファイル管理に関するシステム監査項目のうち，可用性に該当するものはどれか。

Webサーバを使ったシステムにおいて，インターネット経由でアクセスしてくるクライアントから受け取ったリクエストをWebサーバに中継する仕組みはどれか。

情報セキュリティにおけるエクスプロイトコードの説明はどれか。

リスクベース認証の特徴はどれか。

デジタルフォレンジックスの手順を収集，検査，分析，報告に分けたとき，そのいずれかに該当するものはどれか。

VPNで使用されるセキュアなプロトコルであるIPsec，L2TP，TLSの，OSI基本参照モデルにおける相対的な位置関係はどれか。

情報セキュリティにおけるサンドボックスの説明はどれか。

WAFの説明はどれか。

事務所の物理的セキュリティ対策について，JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)に基づいて情報セキュリティ監査を実施した。判明した状況のうち，監査人が監査報告書に指

A 社は従業員 200 名の電子機器メーカーである。東京に本社があり，新潟に工場がある。A 社では，ファイルサーバを図 1 のように運用している。 ・ファイルサーバ上には，全社共通のファイルを格納した

WPA3はどれか。

情報セキュリティにおいてバックドアに該当するものはどれか。

ファイルの提供者は，ファイルの作成者が作成したファイルAを受け取り，ファイルAと，ファイルAにSHA-256を適用して算出した値Bとを利用者に送信する。そのとき，利用者が情報セキュリティ上実現できるこ

検索サイトの検索結果の上位に悪意のあるサイトが表示されるように細工する攻撃の名称はどれか。

SIEM(Security Information and Event Management)の機能はどれか。

システム開発の上流工程において，システム稼働後に発生する可能性がある個人情報の漏えいや目的外利用などのリスクに対する予防的な機能を検討し，その機能をシステムに組み込むものはどれか。

非機能要件の定義で行う作業はどれか。

Webサーバを使ったシステムにおいて，インターネット経由でアクセスしてくるクライアントから受け取ったリクエストをWebサーバに中継する仕組みはどれか。

シャドーITに該当するものはどれか。

情報セキュリティ対策のクリアデスクに該当するものはどれか。

A社では，従業員が自宅のPCからインターネット経由で自社のネットワークに接続して仕事を行うテレワーキングの実施を計画している。A社が定めたテレワーキング運用規程について，情報セキュリティ管理基準(平成

ハイブリッドクラウドの説明はどれか。

A社は，放送会社や運輸会社向けに広告制作ビジネスを展開している。A社は，人事業務の効率化を図るべく，人事業務の委託を検討することにした。A社が委託する業務(以下，B業務という)を図1に示す。採用予定者

ビューのSELECT権限に関する記述のうち，適切なものはどれか。

経済産業省が"サイバー・フィジカル・セキュリティ対策フレームワーク(Version1.0)"を策定した主な目的の一つはどれか。

ペネトレーションテストに該当するものはどれか。

A社は従業員200名の電子機器メーカーである。東京に本社があり，新潟に工場がある。A社では，ファイルサーバを図1のように運用している。ファイルサーバは本社と工場のサーバルームに設置している。ファイルサ

システム運用管理における管理情報の取扱いに関する記述のうち，最も適切なものはどれか。

TCP/IPのネットワークで利用されるプロトコルのうち，ホストにリモートログインし，遠隔操作ができる仮想端末機能を提供するものはどれか。

インターネット利用時のセキュリティ確保に関する記述のうち，適切なものはどれか。

無線LAN(IEEE 802.11)に関する記述として，適切なものはどれか。

セキュリティ技術に関する記述のうち，適切なものはどれか。

分散システムの運用に関する記述のうち，最も適切なものはどれか。

不適合防止のためのプロセスを含む品質マネジメントシステムを効果的に適用し，顧客の満足を得ることを目的とするISO規格はどれか。

OSのタスク管理に含まれる機能はどれか。

Webで利用されるプロキシサーバの機能に関する記述として，適切なものはどれか。

インターネット利用のセキュリティに関する記述のうち，適切なものはどれか。

不適合防止のためのプロセスを含む品質マネジメントシステムを効果的に適用し，顧客の満足を得ることを目的とする規格はどれか。

本来は小さいアプリケーションプログラムの意味であるが，現在では，コンパイル済みのオブジェクトコードがサーバに格納されていて，クライアントからの要求によってクライアントへ転送され実行されるものを指すよう

デザインレビューを実施するねらいとして，適切なものはどれか。

企業の情報セキュリティポリシーの基本方針策定に関する記述のうち，適切なものはどれか。

ファイアウォールのパケットフィルタリング機能に関する記述のうち，適切なものはどれか。

クライアントサーバシステムの特徴に関する記述のうち，適切なものはどれか。

コンピュータシステムの運用時におけるデータのインテグリティを保証するための対策として，適切なものはどれか。

TCP/IPのネットワークで利用されるプロトコルのうち，ホストにリモートログインし，遠隔操作ができる仮想端末機能を提供するものはどれか。

Webアクセスで利用されるプロキシサーバの機能として，適切なものはどれか。

OSにおけるシェルの役割に関する記述として，適切なものはどれか。

分散システムの運用に関する記述のうち，最も適切なものはどれか。

インターネットVPNのセキュリティに関する記述のうち，適切なものはどれか。

セキュリティプロトコルSSLの特徴はどれか。

経済産業省が策定した“ソフトウェア管理ガイドライン”はどれか。

デビットカードの決済方式はどれか。

システム運用管理における管理情報の取扱いに関する記述のうち，最も適切なものはどれか。

IPv4(Internet Protocol version 4)にはなく，IPv6(Internet Protocol version 6)で追加・変更された仕様はどれか。

ファイアウォールのパケットフィルタリング機能を利用して実現できるものはどれか。

社内ネットワークからインターネット接続を行うときに，インターネットへのアクセスを中継し，Webコンテンツをキャッシュすることによってアクセスを高速にする仕組みで，セキュリティ確保にも利用されるものはど

ISMSプロセスのPDCAモデルにおいて，PLANで実施するものはどれか。

ソフトウェアの再利用に関する記述のうち，最も適切なものはどれか。

Webビーコンを説明したものはどれか。

ネットワークシステムのセキュリティ対策に関する記述のうち，適切なものはどれか。

運用開始後のネットワーク構成の変更に関する記述のうち，最も適切なものはどれか。

通信販売の電子商取引では，受発注における改ざん，なりすまし，否認によって販売業者又は利用者に被害が及ぶ危険性がある。この三つの防止に適用できるセキュリティ技術はどれか。

デザインレビューを実施するねらいとして，適切なものはどれか。

IPv4にはなく，IPv6で追加・変更された仕様はどれか。

バイオメトリクス認証システムの判定しきい値を変化させるとき，FRR(本人拒否率)と FAR(他人受入率)との関係はどれか。

情報システムヘの脅威とセキュリティ対策の組合せのうち，適切なものはどれか。

JIS Q 27001:2006におけるISMSの確立に必要な事項①～③の順序関係のうち，適切なものはどれか。適用宣言書の作成リスク対応のための管理目的及び管理策の選択リスクの分析と評価

インターネットにおける電子メールの規約で，ヘッダーフィールドの拡張を行い，テキストだけでなく，音声，画像なども扱えるようにしたものはどれか。

PCからサーバに対し，IPv6を利用した通信を行う場合，ネットワーク層で暗号化を行うのに利用するものはどれか。

利用者情報を管理するデータベース(利用者データベース)がある。利用者データベースを検索し，検索結果を表示するアプリケーションに与えるデータベースのアクセス権限として，セキュリティ管理上適切なものはどれ

情報システムのセキュリティコントロールを予防，検知，復旧の三つに分けた場合，復旧に該当するものはどれか。

他人のIDとパスワードを使って，インターネットでオンラインショップのWebサーバに侵入し，会員情報を窃取しようとした。この行為を違法とする法律はどれか。

デビットカードの決済方式はどれか。

"コンピュータ不正アクセス対策基準"に適合しているものはどれか。

手順に示す電子メールの送受信によって得られるセキュリティ上の効果はどれか。 〔手順〕送信者は，電子メールの本文を共通鍵暗号方式で暗号化し(暗号文)，その共通鍵を受信者の公開鍵を用いて公開鍵暗号方式で

企業ネットワークやサーバにおいて，侵入者が通常のアクセス経路以外で侵入するために組み込むものはどれか。

ユーザー受入れテストの監査において，指摘事項に該当するものはどれか。

利害関係者要件の確認において，定義された要件に対して，発生した変更要求の実装までの経過を明らかにできることを表すものはどれか。

WAF(Web Application Firewall)を利用する目的はどれか。

JIS Q 27001:2006 におけるISMSの確立に必要な事項①～③の順序関係のうち，適切なものはどれか。適用宣言書の作成リスク対応のための管理目的及び管理策の選択リスクの分析と評価

シンクライアントシステムの特徴として，適切なものはどれか。

小さいアプリケーションプログラムを意味し，コンパイル済みのオブジェクトコードがサーバに格納されていて，クライアントからの要求によってクライアントへ転送されて実行されるプログラムはどれか。

媒体障害時のデータベース回復に備え，あるバックアップ時点から次のバックアップ時点までの間のデータとして，稼働中のデータベースとは別の媒体に保存しておく必要のあるものはどれか。

TCP/IPを利用している環境で，電子メールに画像データなどを添付するための規格はどれか。

電子メール送信時に送信者に対して宛先アドレスの確認を求めるのが有効であるセキュリティ対策はどれか。

プログラミングの信頼性の監査において，指摘事項に該当するものはどれか。

組込みシステムでリアルタイムOSが用いられる理由として，適切なものはどれか。

TCP/IPネットワークで利用されるプロトコルのうち，ホストにリモートログインし，遠隔操作ができる仮想端末機能を提供するものはどれか。

DNSキャッシュポイズニングに分類される攻撃内容はどれか。

SQLインジェクションの説明はどれか。

Webサーバのコンテンツの改ざんを検知する方法のうち，最も有効なものはどれか。

コンピュータやネットワークのセキュリティ上の脆弱性を発見するために，システムを実際に攻撃して侵入を試みる手法はどれか。

ソースコードのバージョン管理システムが導入された場合に，システム監査において，ソースコードの機密性のチェックポイントとして追加することが適切なものはどれか。

"システム管理基準"によれば，情報戦略における情報システム全体の最適化目標を設定する際の留意事項はどれか。

共通フレーム2007によれば，企画プロセスで定義するものはどれか。

図のようなサーバ構成の二重化によって期待する効果はどれか。

コンパイル済みのオブジェクトコードがサーバに格納されていて，クライアントからの要求によってクライアントへ転送されて実行されるプログラムはどれか。

BYOD(Bring Your Own Device)の説明はどれか。

クライアントPCで行うマルウェア対策のうち，適切なものはどれか。

利用者情報を管理するデータベースにおいて，利用者情報を検索して表示するアプリケーションがある。このアプリケーションに与えるデータベースへのアクセス権限として，セキュリティ管理上適切なものはどれか。ここ

情報戦略における全体最適化計画策定の段階で，業務モデルを定義する目的はどれか。

手順に示す処理を実施したとき，メッセージの改ざんの検知の他に，受信者Bがセキュリティ上できることはどれか。 〔手順〕 送信者Aの処理メッセージから，ハッシュ関数を使ってダイジェストを生成する。秘密に

手順に示すセキュリティ攻撃はどれか。 〔手順〕攻撃者が金融機関の偽のWebサイトを用意する。金融機関の社員を装って，偽のWebサイトへ誘導するURLを本文中に含めた電子メールを送信する。電子メールの

SQLインジェクション攻撃を防ぐ方法はどれか。

HTTPSを用いて実現できるものはどれか。

監査調書はどれか。

非機能要件の定義に該当するものはどれか。

WAF(Web Application Firewall)を利用する目的はどれか。

HTTPS(HTTP over SSL/TLS)の機能を用いて実現できるものはどれか。

Webサーバの検査におけるポートスキャナーの利用目的はどれか。

BYOD(Bring Your Own Device)の説明はどれか。

非機能要件の定義で行う作業はどれか。

情報セキュリティにおける"完全性"を脅かす攻撃はどれか。

会社や団体が，自組織の従業員に貸与するスマートフォンに対して，セキュリティポリシーに従った一元的な設定をしたり，業務アプリケーションを配信したりして，スマートフォンの利用状況などを一元管理する仕組みは

パスワードを用いて利用者を認証する方法のうち，適切なものはどれか。

企業内ネットワークやサーバに侵入するために攻撃者が組み込むものはどれか。

IPv4にはなく，IPv6で追加・変更された仕様はどれか。

ISMS適合性評価制度の説明はどれか。

SQLインジェクション攻撃を防ぐ方法はどれか。

2要素認証に該当するものはどれか。

ソースコードのバージョン管理システムが導入された場合に，システム監査において，ソースコードの機密性のチェックポイントとして追加することが適切なものはどれか。

サイバーセキュリティ基本法の説明はどれか。

TCP/IPを利用している環境で，電子メールに画像データなどを添付するための規格はどれか。

キーロガーの悪用例はどれか。

SQLインジェクション攻撃の説明はどれか。

Webサーバのコンテンツの改ざんを検知する方法のうち，最も有効なものはどれか。

社員が利用するスマートフォンにデジタル証明書を導入しておくことによって，当該スマートフォンから社内システムへアクセスがあったときに，社内システム側で確認できるようになることはどれか。

コンピュータやネットワークのセキュリティ上の脆弱性を発見するために，システムを実際に攻撃して侵入を試みる手法はどれか。

情報の"完全性"を脅かす攻撃はどれか。

サーバにバックドアを作り，サーバ内で侵入の痕跡を隠蔽するなどの機能がパッケージ化された不正なプログラムやツールはどれか。

WAFの説明はどれか。

情報セキュリティ監査において，可用性を確認するチェック項目はどれか。

検索サイトの検索結果の上位に悪意のあるサイトが並ぶように細工する攻撃の名称はどれか。

Webシステムのパスワードを忘れたときの利用者認証において合い言葉を使用する場合，合い言葉が一致した後の処理のうち，セキュリティ上最も適切なものはどれか。

SaaS(Software as a Service)を利用するときの企業のセキュリティ管理についての記述のうち，適切なものはどれか。

BYODの説明，及びその情報セキュリティリスクに関する記述のうち，適切なものはどれか。

DNSキャッシュポイズニングに分類される攻撃内容はどれか。

SQLインジェクション攻撃の説明はどれか。

CSIRTの説明として，適切なものはどれか。

コンピュータやネットワークのセキュリティ上の脆弱性を発見するために，システムを実際に攻撃して侵入を試みる手法はどれか。

監査調書の説明はどれか。

経済産業省とIPAが策定した"サイバーセキュリティ経営ガイドライン(Ver1.1)"が，自社のセキュリティ対策に加えて，実施状況を確認すべきとしている対策はどれか。

情報セキュリティにおけるタイムスタンプサービスの説明はどれか。

Webサーバの検査におけるポートスキャナーの利用目的はどれか。

BYOD(Bring Your Own Device)の説明はどれか。

非機能要件の定義で行う作業はどれか。

JIS Q 27000:2019(情報セキュリティマネジメントシステム－用語)における真正性及び信頼性に対する定義a～dの組みのうち，適切なものはどれか。 〔定義〕意図する行動と結果とが一貫している

組織的なインシデント対応体制の構築や運用を支援する目的でJPCERT/CCが作成したものはどれか。

IDSの機能はどれか。

公衆無線LANのアクセスポイントを設置するときのセキュリティ対策と効果の組みのうち，適切なものはどれか。

JIS Q 27001:2014(情報セキュリティマネジメントシステム－要求事項)に基づいてISMS内部監査を行った結果として判明した状況のうち，監査人が指摘事項として監査報告書に記載すべきものはどれ

外部保管のために専門業者にバックアップ媒体を引き渡す際の安全性について，セキュリティ監査を実施した。その結果として判明した状況のうち，監査人が指摘事項として監査報告書に記載すべきものはどれか。

SDメモリカードの上位規格の一つであるSDXCの特徴として，適切なものはどれか。

DBMSが提供する機能のうち，データ機密保護を実現する手段はどれか。

JIS Q 27000:2019(情報セキュリティマネジメントシステム－用語)において，"エンティティは，それが主張するとおりのものであるという特性"と定義されているものはどれか。

SQLインジェクション攻撃を防ぐ方法はどれか。

セキュリティバイデザインの説明はどれか。

利用者情報を格納しているデータベースから利用者情報を検索して表示する機能だけをもつアプリケーションがある。このアプリケーションがデータベースにアクセスするときに用いるアカウントに与えるデータベースへの

サーバに接続されたディスクのデータのバックアップに関する記述として，最も適切なものはどれか。

情報セキュリティ監査において，可用性を確認するチェック項目はどれか。

IoT(Internet of Things)の実用例として，適切でないものはどれか。

JIS Q 27000:2014(情報セキュリティマネジメントシステム－用語)における"リスクレベル"の定義はどれか。

OSI基本参照モデルのネットワーク層で動作し，"認証ヘッダー(AH)"と"暗号ペイロード(ESP)"の二つのプロトコルを含むものはどれか。

侵入者やマルウェアの挙動を調査するために，意図的に脆弱性をもたせたシステム又はネットワークはどれか。

ファジングで得られるセキュリティ上の効果はどれか。

A社では，自然災害などの際の事業継続を目的として，業務システムのデータベースのバックアップを取得している。その状況について，"情報セキュリティ管理基準(平成28年)"に従って実施した監査結果として判明

非機能要件項目はどれか。

製造業のA社では，ECサイト(以下，A社のECサイトをAサイトという)を使用し，個人向けの製品販売を行っている。Aサイトは，A社の製品やサービスが検索可能で，ログイン機能を有しており，あらかじめAサイ

A社は従業員200名の通信販売業者である。一般消費者向けに生活雑貨，ギフト商品などの販売を手掛けている。取扱商品の一つである商品Zは，Z販売課が担当している。 〔Z販売課の業務〕 現在，Z販売課の

A社は栄養補助食品を扱う従業員500名の企業である。A社のサーバ及びファイアウォール(以下，FWという)を含む情報システムの運用は情報システム部が担当している。 ある日，内部監査部の監査があり，FW