情報セキュリティマネジメント ― ストラテジ系 問題一覧・解説
全26問の問題文・選択肢・正解・解説を掲載しています。 フラッシュカード形式で実際に解いてみたい方は「練習する」ボタンをご利用ください。
🎴 フラッシュカードで練習する(26問)サイバーセキュリティ経営ガイドラインで示される経営者が認識すべき3原則の一つとして適切なものはどれか。
📝 解説
サイバーセキュリティ経営ガイドラインの経営者が認識すべき3原則のうち最も重要なのは「セキュリティ対策は経営者自らがリーダーシップを発揮して関与すること」です。鉄道の安全管理で例えると、鉄道会社の社長が「安全はIT部門に任せた」と言って現場まかせにするのでは、組織全体での安全文化が根付きません。セキュリティを「ITの問題」ではなく「経営課題」として位置づけ、経営者が旗を振ることが現代のサイバーセキュリティ対策の大前提です。残りの2原則は②サプライチェーン全体への配慮と③平時からの関係機関との情報共有・連携です。「投資を最小限に」「IT部門のみの責任」「事故の公表をしない」はいずれも3原則に反します!
J-CSIP(サイバー情報共有イニシアティブ)の説明として適切なものはどれか。
📝 解説
J-CSIP(Japan Cybersecurity Information Sharing Partnership:サイバー情報共有イニシアティブ)は「企業間でサイバー脅威情報を共有してセキュリティを高める取り組み」です。電力インフラの防災ネットワークで例えると、一つの発電所が異常を検知した情報を他の発電所と即時共有することで、次の被害を未然に防げます。J-CSIPも同じ発想で、重要インフラや主要産業の企業がIPAを仲介として、標的型メールやマルウェアなどの脅威情報を参加企業間でリアルタイムに共有します。1社が発見した攻撃情報を業界全体で共有することで、被害が広がる前に対処できるのです。「政府機関のセキュリティ対策チーム」はCSIRTや内閣サイバーセキュリティセンター(NISC)の説明です!
プライバシーバイデザインの説明として適切なものはどれか。
📝 解説
プライバシーバイデザイン(Privacy by Design)は「システムの設計・開発段階の最初からプライバシー保護を組み込む考え方」です。建築のインフラで例えると、マンションを建てた後に「実は防犯カメラの配線が難しいので後から追加します」とするよりも、設計段階から防犯カメラの設置場所・配線ルートを考慮して設計するほうが、より安全で費用効率が高くなります。プライバシーも同じで、システムができた後に「個人情報が漏れないよう対策を追加する」より、最初から暗号化・アクセス制御・データ最小化を設計仕様に盛り込む方が根本的な保護を実現できます。「プライバシーポリシーの公開」「暗号化」は手段であってプライバシーバイデザインの定義ではありません!
GDPRの説明として適切なものはどれか。
📝 解説
GDPR(General Data Protection Regulation)は「EU一般データ保護規則で、EU市民の個人データ保護に関する厳格な規制」です。国際的な電気インフラの規格で例えると、EU圏内での製品販売には欧州の電圧・プラグ規格(220V・CEマーク)への対応が必要なように、EU市民のデータを扱う企業はEU域外の企業であってもGDPRに従う必要があります。2018年に施行され、違反した場合は年間売上高の4%または2000万ユーロのいずれか高い方が制裁金として科せられます。個人の「忘れられる権利」「データポータビリティの権利」も定めており、日本企業がEU向けビジネスを行う場合も対象です。「日本の個人情報保護法」「米国のサイバーセキュリティ法」とは別物です!
サイバー保険の目的として適切なものはどれか。
📝 解説
サイバー保険の目的は「サイバー攻撃による損害・損失・費用を金銭的に補填すること(リスク移転)」です。火災保険で例えると、火災保険はもちろん火事を防いでくれるわけではなく、火災が発生した時の損害を金銭的に補償してくれるものです。サイバー保険も同様に、ランサムウェア被害・情報漏洩・DDoS攻撃などによる損害賠償費用・システム復旧費用・事業中断による損失・弁護士費用などを補填します。完全な攻撃防止(リスク回避)ではなく、「万一被害が起きた時の経済的ダメージを軽減する(リスク移転)」のが本質的目的です。セキュリティ対策の代替にはならず、あくまで補完的な手段であることも重要なポイントです!
情報セキュリティ投資の考え方として適切なものはどれか。
📝 解説
セキュリティ投資の考え方の正解は「対策費用がリスク発生時の損失より小さい場合に投資する価値がある」です。堤防のインフラで例えると、大雨で川が氾濫した際の家屋への損害が1億円と見込まれる場合、3000万円の堤防工事をすることは費用対効果が十分あります。逆に、洪水リスクがほぼゼロの地域に同じ工事をするのは過剰投資です。情報セキュリティの投資判断も「対策費用 < リスク発生確率 × 損失額(期待損失)」という考え方が基本です。過少投資は重大なリスクを残し、過剰投資は経営資源の無駄遣いになります。「最小限にすべき」も「際限なく増やすべき」も誤りで、リスクに見合ったバランスの取れた投資判断が重要です!
セキュリティ・バイ・デザインの説明として適切なものはどれか。
📝 解説
セキュリティバイデザイン(Security by Design)は「システムの設計・開発段階の最初からセキュリティ要件を組み込む考え方」です。道路インフラで例えると、高速道路を全部作り終えてから「ガードレールを追加しよう」とするより、設計段階からガードレールの設置箇所や強度を計画する方が、安全で工事費も安く済みます。ソフトウェア開発も同じで、開発完了後にセキュリティの穴を発見して対処するより、要件定義・設計の段階からセキュリティ要件(認証・暗号化・エラー処理など)を仕様に盛り込む方が根本的に安全で、修正コストも格段に低くなります。プライバシーバイデザインと対になる重要概念で、両者の違い(セキュリティ全般 vs プライバシー保護)も合わせて押さえましょう!
情報セキュリティマネジメント試験(SG)の対象者像として適切なものはどれか。
📝 解説
情報セキュリティマネジメント試験(SG)の対象者像は「部門の情報セキュリティリーダーとして業務部門でセキュリティを確保できる者」です。組織のインフラ管理で例えると、電気系統の専門エンジニア(高度IT人材)ではなく、各職場の安全管理者(ラインの責任者)が安全ルールを理解して現場に徹底させる役割に相当します。SGは高度なプログラミングやネットワーク設計技術を持つエンジニア向けではなく、業務部門でセキュリティポリシーの遵守を推進し、インシデント対応の最前線を担う人材の育成を目的としています。システム開発者向けは「応用情報技術者」「情報処理安全確保支援士」が対応する試験です。試験の位置づけを理解することで、出題の傾向も見えてきます!
脅威インテリジェンスの説明として適切なものはどれか。
📝 解説
脅威インテリジェンス(Threat Intelligence)は「攻撃者・攻撃手法・マルウェアなどに関する分析された情報で、セキュリティ対策に活用できるもの」です。気象予報のインフラで例えると、「明日の天気」だけでなく「台風の経路・風速・上陸地点の予測」という分析済みの情報があってこそ、的確な避難準備ができます。同じく脅威インテリジェンスも、単なる攻撃ログや脆弱性情報ではなく、「誰が・何の目的で・どんな手法で攻撃してくるか(TTP)」「どのシステムが標的か」を分析した情報です。ISAC(情報共有分析センター)などを通じて業界間で共有され、攻撃を受ける前に先手を打てる「プロアクティブな防御」を可能にします。「社内の脆弱性情報」「セキュリティ製品の機能情報」とは別の概念です!
情報セキュリティにおける「多層防御」の考え方として適切なものはどれか。
📝 解説
多層防御(Defense in Depth)は「複数の異なるセキュリティ対策を重ねることで、1つが破られても他の層で防ぐ考え方」です。城郭の防衛で例えると、外堀・城壁・内堀・本丸と多重の防衛ラインを設けることで、外堀を突破されても城壁が守り、城壁が破られても内堀が防いでくれます。情報セキュリティも、ファイアウォール(外堀)・IDS/IPS(城壁の警備)・アンチウイルス(内部の番兵)・アクセス制御(本丸の門番)・ログ監視(見張り塔)を組み合わせて「一点突破を防ぐ多重防御」を実現します。「1つの強力な対策だけで守る(銀の弾丸幻想)」が最も危険な考え方です。どの単一対策も完璧ではないからこそ、複数の層を重ねることに意義があります!
NIST サイバーセキュリティフレームワークの5つのコア機能として適切なものはどれか。
📝 解説
NIST サイバーセキュリティフレームワーク(NIST CSF)の5つのコア機能は「識別→防御→検知→対応→復旧」です。電力インフラの運用管理で例えると、①どの電力設備が重要で脆弱かを把握する(識別)→②停電や攻撃から設備を守る対策を実施する(防御)→③異常・障害を素早く発見する(検知)→④障害発生時に適切に対処する(対応)→⑤障害から早期に機能を回復させる(復旧)という5段階の管理サイクルと対応します。「識別」がなければ何を守るかわからず、「検知」がなければ攻撃に気づけず、「復旧」がなければ被害から立ち直れません。各フェーズが互いに連携することで包括的なセキュリティ管理が実現します。誤答の「計画・設計・実装・テスト・運用」はシステム開発ライフサイクルです!
JVN(Japan Vulnerability Notes)の説明として適切なものはどれか。
📝 解説
JVN(Japan Vulnerability Notes)は「日本で使用されるソフトウェアの脆弱性情報を提供するポータルサイト(https://jvn.jp)」です。道路の危険箇所情報システムで例えると、全国の道路管理者(IPA・JPCERT/CC)が各地の道路の陥没・崩落情報(脆弱性情報)を収集して一カ所にまとめ、ドライバー(システム管理者)が自分の通る道(使用ソフトウェア)に危険がないか確認できるポータルです。JVNではCVEに対応した脆弱性のID・影響度(CVSSスコア)・対策情報を検索できます。システム管理者は定期的にJVNを確認し、使用ソフトウェアの脆弱性情報をキャッチアップすることが重要です。「サイバー攻撃対応機関」はJPCERT/CC、「認証機関」とは異なります!
CVE(Common Vulnerabilities and Exposures)の説明として適切なものはどれか。
📝 解説
CVE(Common Vulnerabilities and Exposures)は「脆弱性に一意の識別番号(CVE-年-連番)を付与して管理する国際的な脆弱性識別システム」です。道路インフラの管理で例えると、全国の橋梁に「橋梁番号」が割り当てられているように、世界中のソフトウェアの脆弱性に「CVE-2021-44228」のような固有番号が付与されます。この番号があることで、セキュリティ担当者・ベンダー・研究者が「同じ脆弱性について」国境を越えて正確に情報共有できます。有名な例としてLog4Shellは「CVE-2021-44228」、Heartbleedは「CVE-2014-0160」として識別されています。CVEはMITRE社が管理し、NVD(米国)やJVN(日本)で詳細情報が検索できます。「深刻度の数値評価」はCVSSの役割です!
CVSS(Common Vulnerability Scoring System)の説明として適切なものはどれか。
📝 解説
CVSS(Common Vulnerability Scoring System)は「脆弱性の深刻度を0.0〜10.0の数値で客観的に評価する共通脆弱性評価システム」です。地震の震度スケールで例えると、「震度3」「震度6強」という共通の数値があることで、被害規模を世界中で同じ基準で比較できます。CVSSもCritical(9.0〜10.0)・High(7.0〜8.9)・Medium(4.0〜6.9)・Low(0.1〜3.9)と深刻度を数値化することで、「まずどの脆弱性のパッチを当てるか」という優先度判断を客観的に行えます。基本値(固有の深刻度)・現状値(現在の脅威状況)・環境値(自社環境での影響度)の3つのメトリクスで構成されます。CVEと混同しやすいですが「CVE=脆弱性の識別番号」「CVSS=脆弱性の深刻度スコア」と役割が異なります!
不正のトライアングルの3要素として適切なものはどれか。
📝 解説
不正のトライアングルの3要素は「動機・機会・正当化」です。窃盗事件で例えると、①お金に困っている(動機)②無人の店舗で監視カメラもない(機会)③「少しだけだし後で返すから大丈夫」と自分に言い聞かせる(正当化)の3つが揃ったときに不正行為が起きやすいとCressey博士が提唱しました。情報セキュリティの内部不正対策でも同じで、3要素のどれか1つを取り除くことが有効な対策です。特に「機会」の排除が最も効果的とされており、アクセス権の最小化・ログ監視・職務の分離などがこれに当たります。「動機」の排除(適正な報酬・評価)や「正当化」の排除(倫理教育・通報制度)も組み合わせることが重要です。「機密性・完全性・可用性」はCIAトライアードで別の概念です!
セキュリティオペレーションセンター(SOC)の役割として適切なものはどれか。
📝 解説
SOC(Security Operations Center)の役割は「24時間365日体制でサイバー攻撃の監視・検知・分析・対応を行う組織」です。道路インフラの交通管制センターで例えると、全国の道路状況をカメラやセンサーで常時監視し、事故・渋滞を検知したら警察・救急車・道路管理者に通報して迅速に対処する組織と同じ役割です。SOCはネットワーク・サーバ・エンドポイントのログをSIEM(セキュリティ情報イベント管理)ツールで集中的に監視し、攻撃の兆候を24時間体制で検知して初動対応を行います。社内(内製SOC)とMSSP(マネージドセキュリティサービスプロバイダへの外部委託)の選択肢があります。「製品開発」「教育の実施」「監査の実施」はSOCの主役割とは異なります!
JPCERT/CCの説明として適切なものはどれか。
📝 解説
JPCERT/CC(Japan Computer Emergency Response Team Coordination Center:JPCERTシーシー)は「日本のコンピュータセキュリティインシデントへの対応と、脆弱性・セキュリティ情報の収集・発信を行う一般社団法人」です。消防署の通報センターで例えると、全国から119番通報(インシデント報告)を受け付けて適切な消防隊(対応機関)を派遣するとともに、火災予防情報(セキュリティ注意喚起)を発信する役割に似ています。JPCERT/CCは①インシデント報告窓口の運営②脆弱性情報の収集・JVN公開③企業・海外CSIRTとの情報連携を担い、国際的なCSIRTコミュニティ「FIRST」にも加盟しています。「政府のサイバーセキュリティ担当省庁」は内閣サイバーセキュリティセンター(NISC)、「監督機関」は個人情報保護委員会です!
IPA(情報処理推進機構)のセキュリティ関連業務として適切なものはどれか。
📝 解説
IPA(Information-technology Promotion Agency:情報処理推進機構)のセキュリティ関連業務は「情報セキュリティに関する情報発信・脆弱性対策・人材育成などの推進」です。道路交通インフラで例えると、国土交通省が道路の安全基準策定・危険箇所の調査・ドライバー教育を統括するように、IPAはセキュリティ分野で情報処理技術者試験の実施・脆弱性情報の収集と公表(JVN)・情報セキュリティ10大脅威の発表・セキュリティ人材育成プログラムの運営などを担います。経産省所管の独立行政法人として、企業・個人向けセキュリティガイドラインの提供やJ-CSIPの運営も担当します。「攻撃の実行」「製品の販売」「企業の監査」はIPAの業務ではありません。SGを受験する皆さんにとって最も身近な機関ですね!
情報セキュリティ白書の説明として適切なものはどれか。
📝 解説
情報セキュリティ白書は「IPAが毎年発行する国内外のサイバーセキュリティの動向・主要な脅威・事件・対策動向などをまとめた刊行物」です。気象白書で例えると、気象庁が1年間の気象データ・台風の発生数・被害状況をまとめて「今年の気象の傾向と来年に向けた注意点」を発信するのと同じ役割です。情報セキュリティ白書は①その年に社会的に大きな影響を与えたサイバー攻撃の事例と分析②国内外のセキュリティ政策・制度動向③技術トレンドをまとめており、組織のセキュリティ担当者や経営者が最新のセキュリティトレンドを把握するのに役立ちます。「企業が公開するセキュリティポリシー」や「政府が公開する法律・規制の説明書」とは異なる、IPAが毎年発行する調査報告書です!
「情報セキュリティ10大脅威」を毎年発表している機関として適切なものはどれか。
📝 解説
「情報セキュリティ10大脅威」を毎年発表している機関はIPA(情報処理推進機構)です。天気予報のように「今年の主要な脅威ランキング」を公式に発表するのがIPAです。前年に社会的に影響が大きかったサイバーセキュリティの脅威を、セキュリティ専門家の投票によって選定し、「個人向け」と「組織向け」の2軸で毎年2月頃に公表します。ランサムウェア・サプライチェーン攻撃・フィッシングなどが常連上位です。JPCERT/CCはインシデント対応・脆弱性情報が主、総務省はICT政策が主、警察庁はサイバー犯罪の統計発表が主な役割で、それぞれ担当領域が異なります。本試験の問題でも最新の10大脅威の内容が出題されることがあるので、試験前に確認しておきましょう!
セキュリティ製品のCC(コモンクライテリア)認証の説明として適切なものはどれか。
📝 解説
CC(コモンクライテリア:Common Criteria)認証とは「IT製品・システムのセキュリティを評価する国際標準規格(ISO/IEC 15408)」です。食品の安全認証で例えると、食品を市場に出す前に第三者機関が「本当に安全基準を満たしているか」を評価・認証するように、セキュリティ製品(スマートカード・ファイアウォール・OSなど)が「仕様通りのセキュリティ機能を持ち安全に動作するか」を独立した評価機関が審査します。政府や公共機関の調達基準としてCC認証取得製品が指定されることが多く、特に機密性の高いシステムで使われるセキュリティ製品に要求されます。EAL(保証レベル)という評価の深さを表す指標(EAL1〜EAL7)があり、数値が大きいほど厳格な評価です。「クラウドサービスのセキュリティ認証」はISMAP・SOC2等です!
ダークウェブの説明として適切なものはどれか。
📝 解説
ダークウェブとは「TorなどのアノニマスネットワークなしにはアクセスできないWebサイト群で、匿名性が極めて高いネットワーク上に存在するもの」です。インターネットの層構造で例えると、海面から見える部分が「サーフェスウェブ(Google等で検索できる普通のWebサイト)」、海中の大部分が「ディープウェブ(ログインが必要な社内システム・会員専用サービス等)」、さらに深い深海が「ダークウェブ(特殊ソフトが必要な匿名Webサイト)」です。ダークウェブはTorブラウザ等でのみアクセス可能で匿名性が高いため、違法薬物・盗まれた個人情報・マルウェアの売買などの違法取引の温床になっています。ただし匿名通信技術(Tor)自体は合法であり、プライバシー保護目的の正当な利用もあります。「夜間専用のWebブラウザ機能」ではありません!
OSINTの説明として適切なものはどれか。
📝 解説
OSINT(Open Source Intelligence:オープンソースインテリジェンス)とは、Webサイト、SNS、公開データベース、公開資料など「誰でも合法的に入手できる公開情報」から必要な情報を収集し、分析する手法のことです。したがって正解は「Web・SNS・公開データベースなど公開情報から情報を収集・分析する手法」です。ここで大事なのは、「公開情報を使う」という点です。例えば、初めて行くレストランを調べるとき、多くの人は地図アプリ、口コミサイト、SNSの写真などを見て情報を集めますよね。これらはすべて誰でも見られる公開情報です。実はこのように公開されている情報を組み合わせて状況を分析する考え方が、OSINTの基本です。セキュリティの世界でも同じです。企業のWebサイト、社員のSNS、公開されている技術資料などを組み合わせると、組織の構造や使用している技術などが推測できることがあります。攻撃者が事前調査(偵察)として利用することもありますし、逆にセキュリティ調査や競合分析などの正当な目的でも使われます。
セキュリティの「多様性の確保」の考え方として適切なものはどれか。
📝 解説
「多様性の確保」というのは、簡単に言うと「全滅を避けるための工夫」です。例えば、鉄道の路線を想像してみてください。目的地に行く方法が1つの鉄道会社しかなかったら、その会社がストライキや事故で止まった瞬間、移動手段がゼロになってしまいますよね?でも、JRも私鉄も地下鉄も通っていれば、どこかが止まっても他でカバーできます。セキュリティも同じです。全てを同じメーカー(ベンダー)の製品で固めてしまうと、その製品にたった一つ致命的な弱点が見つかっただけで、家中の鍵が一気に開けられてしまうような大ピンチを招きます。だからこそ、異なるメーカーの製品をパズルのように組み合わせることで、「ここがダメでもあっちが守ってくれる」という、単一障害点(SPOF)のない強いシステムを作るのが正解なんです!
サイバーキルチェーンの説明として適切なものはどれか。
📝 解説
サイバーキルチェーンは、攻撃者がターゲットを狙ってから目的を果たすまでの「一連の流れ」を分析したものです。もともとは軍事用語で、敵を攻撃する際の手順を指していました。例えば、泥棒が銀行を襲うシーンを想像してください。いきなり金庫を開けるわけではなく、まず「下見(偵察)」をし、「道具の準備(武器化)」をし、「侵入経路の確保(配送)」をするといったステップを踏みますよね?この一連のステップのどこか一つでも断ち切ることができれば、泥棒の計画は失敗に終わります。ITの世界でも同じで、偵察、感染、遠隔操作…という攻撃の各段階をモデル化することで、「この段階で検知しよう」「ここで防ごう」という防御戦略が立てやすくなります。選択肢にある「攻撃の段階をモデル化」という言葉が、このフレームワークの正体をズバリ示しています。
情報セキュリティにおけるゼロデイ脆弱性への主な対策として適切なものはどれか。
📝 解説
ゼロデイ脆弱性は、ソフトの欠陥(弱点)が見つかってから、その修正プログラム(パッチ)が配布されるまでの「無防備な期間」を狙う攻撃です。例えるなら、家の鍵に新しいピッキング方法が開発されたけれど、まだ新しい鍵が発売されていない状態です。この時、「新しい鍵を待つ」だけでは泥棒に入られてしまいますよね?そこで大切になるのが、「もし鍵を開けられても、廊下にセンサーを置く(異常検知)」「金庫にも別の鍵をかける(多層防御)」「すぐに警察を呼べる体制を作る(迅速な対応)」といった、他の守り方です。正解の選択肢が「侵入を前提とした」と言っているのは、パッチがない以上、玄関を突破される可能性があるからです。一つの対策に頼らず、複数の網を張って被害を最小限に抑える考え方が、ゼロデイ攻撃に対する最も論理的で現実的な回答となります。