※平成18年秋期午後I問題/午後II問題の解答例&解説は、
こちらをご覧ください。
※(過):過去にもまったく同じ出題がされたことがあるもの(他分野の場合も含む)。
※(類):過去に類似の出題がされたことがあるもの(他分野の場合も含む)。
- (H18ADでも出題)ISMSにおけるリスク分析の方法の一つであるベースラインアプローチはどれか。
ア 公表されている基準などに基づいて一定のセキュリティレべルを設定し、実施している管理策とのギャップ分析を行った上で,リスクを評価する。
イ 情報資産を洗い出し、それぞれの情報資産に対して資産価値、脅威、脆弱性及びセキュリティ要件を識別し、リスクを評価する。
ウ 複数のリスク分析方法の長所を生かして組み合わせ、作業効率や分析精度の向上を図る。
エ リスク分析を行う組織や担当者の判断によって、リスクを評価する。
- 共通フレーム98 (SLCP-JCF98) が規定しているものはどれか。
ア 開発プロセスでは、ソフトウェアライフサイクルを構成する作業の時間及び順序を規定している。
イ 顧客と開発ベンダの受発注にかかわる取引以外に、社内の部門間取引も対象に規定している。
ウ ハードウェアを含めた業務システムの開発プロセスではなく、ソフトウェア開発のプロセスを対象に規定している。
エ プロセスのくくりとプロセス自体を ISO/IEC 12207 (JIS X 0160) と同一に規定している。
- (過=H17春SW)米国で運用された TCSEC や欧州政府調達用の ITSEC を統合して、標準化が進められた CC (Common Criteria) の内容はどれか。
ア 暗号アルゴリズムの標準
イ 情報技術に関するセキュリティの評価基準
ウ 情報セキュリティ管理の実施基準
エ セキュリティ管理のプロトコルの標準
- (過=H15AD)SAML (Security Assertion Markup Language) について説明したものはどれか。
ア Webサービスに関する情報を広く公開し、それらが提供する機能などを検索可能にするための仕組みを定めたもの。
イ 権限のない利用者による傍受、読取り、改ざんからの電子メールを保護して送信するためのプロトコルを定めたもの。
ウ ディジタル書名に使われる鍵情報を効率よく管理するための Webサービスプロトコルを定めたもの。
エ 認証情報に加え、属性情報とアクセス制御情報を異なるドメインに伝達するための Webサービスプロトコルを定めたもの。
- ベースライン(基準)にアプローチなので、正解はア。
イ:詳細リスク分析
ウ:組み合わせアプローチ
エ:非形式的アプローチ
- 正解はイ。
ウ:システム開発全般が対象である
エ:同一ではない
- CC (Common Criteria) = 情報セキュリティ国際評価基準
正解はイ。
- 正解はエ。
ア:UDDI
イ:S/MIME
ウ:XKMS