【情報セキュリティとは・確認テスト】お砂糖と学ぶセキュリティの世界～VRワールド で起きた事件から学ぶ～

問1

ボットハーダー（Botherder）の説明として最も適切なものはどれか。

a) Bot（ロボット）を製造する技術者
b) 乗っ取ったアカウントを羊のように操る攻撃者
c) セキュリティを守る専門家チーム
d) 自動化されたセキュリティツール

解答を見る

正解: b

ボットハーダーは、Bot（ロボット）+ Herder（羊飼い）の造語で、多数の乗っ取られたアカウントやコンピュータを操る攻撃者のことです。羊飼いが羊の群れを操るように、感染したパソコンの群れ（ボットネット）を操って攻撃します。

問2

サイバーキルチェーンのステップは全部で何段階か。

a) 5段階
b) 7段階
c) 10段階
d) 12段階

解答を見る

正解: b

サイバーキルチェーンは7つのステップ（偵察→武器化→配送→攻撃→インストール→遠隔操作→目的実行）で構成されています。攻撃者がどのような手順で攻撃を進めるかを示した「攻撃の手順書」です。

問3

エクスプロイト（Exploit）の意味として最も適切なものはどれか。

a) システムのバックアップを取る技術
b) システムの弱点を突いて攻撃する技術
c) データを暗号化する技術
d) ウイルスを検知する技術

解答を見る

正解: b

Exploitは「悪用する」という意味で、システムの脆弱性（弱点）を突いて攻撃する技術やプログラムのことです。ゲームのバグ技を使ってズルをするようなものと考えるとわかりやすいでしょう。

問4

サイバーキルチェーンの最初のステップはどれか。

a) 武器化（Weaponization）
b) 偵察（Reconnaissance）
c) 配送（Delivery）
d) 攻撃（Exploitation）

解答を見る

正解: b

サイバーキルチェーンの最初のステップは「偵察（Reconnaissance）」で、攻撃対象を調査する段階です。攻撃者はSNSやプロフィールなどを調べて、どんな人たちがいるか、どんな弱点があるかを探ります。

問5

サイバーキルチェーンの「C&C（Command & Control）」は、どのステップに該当するか。

a) 武器化
b) インストール
c) 遠隔操作
d) 目的実行

解答を見る

正解: c

Command & Control（遠隔操作）は、乗っ取ったシステムを攻撃者が自由に操作できる状態にするステップです。これにより、複数のアカウントを同時に操作して大規模な攻撃が可能になります。

問6

CSIRTの正式名称はどれか。

a) Cyber Security Information Response Team
b) Computer Security Incident Response Team
c) Central Security Internet Response Team
d) Corporate Security Investigation Response Team

解答を見る

正解: b

CSIRTは「Computer Security Incident Response Team（コンピュータセキュリティインシデント対応チーム）」の略です。サイバー攻撃が起きたときに対応する緊急対応チームで、学校の保健室の先生のような存在です。

問7

CISOの役割として最も適切なものはどれか。

a) セキュリティ部門のトップ
b) 技術部門のトップ
c) 会社全体のトップ
d) 営業部門のトップ

解答を見る

正解: a

CISO（Chief Information Security Officer）は、最高情報セキュリティ責任者、つまりセキュリティ部門のトップです。CEOが会社全体のトップ、CTOが技術部門のトップであるのに対し、CISOはセキュリティ部門を統括します。

問8

ISACの説明として最も適切なものはどれか。

a) セキュリティ製品を評価する機関
b) 同じ業界内で脅威情報を共有する組織
c) 暗号化技術を開発する研究所
d) サイバー攻撃を行う犯罪組織

解答を見る

正解: b

ISAC（Information Sharing and Analysis Center：情報共有・分析センター）は、同じ業界内で「こんな攻撃があったよ！」と情報共有する組織です。学校でインフルエンザの情報を共有するように、業界内でサイバー攻撃の情報を共有します。

問9

STIXとTAXIIの関係として最も適切なものはどれか。

a) STIXが配送方法、TAXIIが情報フォーマット
b) STIXが情報フォーマット、TAXIIが配送方法
c) どちらも同じ意味
d) STIXが古い規格、TAXIIが新しい規格

解答を見る

正解: b

STIX（Structured Threat Information eXpression）は脅威情報の「書き方のルール（フォーマット）」、TAXII（Trusted Automated eXchange of Intelligence Information）は情報を「自動的にやり取りする仕組み（配送方法）」です。手紙の書き方と郵便配達の関係と同じです。

問10

CSIRTの役割に含まれないものはどれか。

a) 攻撃を検知する
b) 被害を調査する
c) 新しい製品を開発する
d) 再発防止策を考える

解答を見る

正解: c

CSIRTはセキュリティインシデントへの対応（検知、調査、攻撃の停止、再発防止）が役割で、製品開発は含まれません。CSIRTはあくまで「緊急対応チーム」です。

問11

ISMSの正式名称はどれか。

a) Information Security Management System
b) Internet Security Monitoring System
c) International Standard Management System
d) Information Software Management Service

解答を見る

正解: a

ISMSは「Information Security Management System（情報セキュリティマネジメントシステム）」の略です。情報を守るための「ルールブック」で、学校の校則や防災マニュアルのようなものです。

問12

ISMSの世界共通規格はどれか。

a) ISO 9001
b) ISO 14001
c) ISO/IEC 27001
d) ISO/IEC 15408

解答を見る

正解: c

ISMSの世界共通規格は「ISO/IEC 27001」です。この認証を持っている企業は「ちゃんと情報を守っています」という証明になります。

問13

CSMSとISMSの違いとして最も適切なものはどれか。

a) CSMSは古い規格、ISMSは新しい規格
b) CSMSは制御システムを守る、ISMSは情報全般を守る
c) CSMSは日本の規格、ISMSは国際規格
d) CSMSは小規模企業向け、ISMSは大企業向け

解答を見る

正解: b

CSMS（Control System Management System：制御システムマネジメントシステム）は工場や発電所の制御システムを守る仕組み、ISMSは情報全般（パソコンやデータ）を守る仕組みです。CSMSは物理的な機械が対象です。

問14

CSMSで守る対象として最も適切なものはどれか。

a) 顧客データベース
b) メールサーバー
c) 工場の製造ライン制御システム
d) 社内ホームページ

解答を見る

正解: c

CSMSは物理的な機械や設備（工場の製造ライン、発電所、水道施設など）を守るための仕組みです。遊園地のジェットコースターがハッキングされて勝手に動いたら大事故になるように、制御システムのセキュリティは非常に重要です。

問15

ISMSでやることに含まれないものはどれか。

a) パスワードの管理方法を決める
b) データのバックアップ方法を決める
c) 新製品の価格設定を決める
d) ユーザーへの教育をする

解答を見る

正解: c

ISMSはセキュリティに関する仕組み（パスワード管理、バックアップ、教育など）を扱うもので、製品の価格設定は含まれません。ISMSはあくまで「情報を守るためのルール」です。

問16

ISO/IEC 15408の別名はどれか。

a) Common Security
b) Common Criteria
c) Common Certificate
d) Common Control

解答を見る

正解: b

ISO/IEC 15408は「Common Criteria（コモンクライテリア）」とも呼ばれます。セキュリティ製品が「本当に安全か」を評価する世界共通のルールで、おもちゃの安全マーク（STマーク）のようなものです。

問17

ISO/IEC 15408の評価レベル（EAL）の最高レベルはどれか。

a) EAL4
b) EAL5
c) EAL7
d) EAL10

解答を見る

正解: c

EAL（Evaluation Assurance Level）は7段階（EAL1～EAL7）あり、EAL7が最高レベル（軍事レベルの超厳しい評価）です。一般的な商用製品はEAL4を目指します。

問18

JISECの説明として最も適切なものはどれか。

a) 日本でISO/IEC 15408に基づいて製品を評価・認証する機関
b) アメリカのセキュリティ標準化機関
c) 暗号化技術だけを専門に評価する機関
d) クレジットカード業界のセキュリティ基準

解答を見る

正解: a

JISEC（Japan Information Technology Security Evaluation and Certification Scheme：ITセキュリティ評価及び認証制度）は、日本でセキュリティ製品を評価・認証する機関です。運転免許試験場のように、ISO/IEC 15408という世界共通のルールに基づいて試験をします。

問19

JCMVPとJISECの違いとして最も適切なものはどれか。

a) JCMVPは古い制度、JISECは新しい制度
b) JCMVPは暗号化専門、JISECは製品全般
c) JCMVPは民間企業、JISECは政府機関
d) JCMVPは海外製品、JISECは国内製品

解答を見る

正解: b

JCMVP（Japan Cryptographic Module Validation Program：暗号モジュール試験及び認証制度）は暗号モジュール専門、JISECはセキュリティ製品全般を評価します。金庫に例えると、JISECは金庫全体をチェックし、JCMVPは金庫の「鍵の部分だけ」を超詳しくチェックします。

問20

一般的な商用製品が目指すEALレベルはどれか。

a) EAL1
b) EAL3
c) EAL4
d) EAL7

解答を見る

正解: c

多くの商用製品はEAL4（一般的な商品レベル）を目指します。EAL7は軍事レベルで非常に厳しく、一般企業がそこまで求められることは稀です。

問21

PCI DSSが対象とする業界はどれか。

a) 医療業界
b) クレジットカード業界
c) 教育業界
d) 製造業界

解答を見る

正解: b

PCI DSS（Payment Card Industry Data Security Standard）はクレジットカード業界のセキュリティ基準です。レストランが食品衛生法を守るように、カード決済を扱う会社はPCI DSSを守る必要があります。

問22

SCAPの説明として最も適切なものはどれか。

a) セキュリティチェックを自動化・共通化する仕組み
b) クレジットカード決済の仕組み
c) 暗号化アルゴリズムの名前
d) サイバー攻撃の手法

解答を見る

正解: a

SCAP（Security Content Automation Protocol）は、セキュリティチェックを自動化・共通化する仕組みです。学校の健康診断で体温計が自動で測って記録するように、システムの脆弱性を自動でチェックします。

問23

PCI DSSで守るべき情報に含まれないものはどれか。

a) クレジットカード番号
b) 有効期限
c) セキュリティコード
d) 購入者の趣味

解答を見る

正解: d

PCI DSSはクレジットカード情報（カード番号、有効期限、セキュリティコードなど）を保護するための基準です。購入者の趣味などの個人情報は直接の対象ではありません。

問24

SCAPでできることに含まれないものはどれか。

a) 脆弱性スキャン
b) 設定チェック
c) 結果の共通化
d) 攻撃者の逮捕

解答を見る

正解: d

SCAPはセキュリティチェックの自動化ツール（脆弱性スキャン、設定チェック、結果の共通化）で、攻撃者の逮捕は警察の仕事です。SCAPは技術的なチェックツールです。

問25

PCI DSSの主なルールに含まれないものはどれか。

a) カード情報を暗号化
b) ウイルス対策を最新に
c) 従業員教育を定期的に
d) 売上目標の達成

解答を見る

正解: d

PCI DSSはセキュリティ基準（暗号化、ウイルス対策、従業員教育、定期的なセキュリティテストなど）なので、売上目標の達成は含まれません。

問26

OWASPの説明として最も適切なものはどれか。

a) アメリカ政府のセキュリティ機関
b) Webアプリケーションセキュリティのコミュニティ
c) 日本の脆弱性情報データベース
d) クレジットカード業界の団体

解答を見る

正解: b

OWASP（Open Web Application Security Project）は、Webアプリケーションのセキュリティに関するオープンなコミュニティです。料理のレシピ本を無料で公開しているように、「安全なWebアプリの作り方」を世界中にシェアしています。

問27

NISTはどの国の機関か。

a) 日本
b) イギリス
c) アメリカ
d) ドイツ

解答を見る

正解: c

NIST（National Institute of Standards and Technology：アメリカ国立標準技術研究所）はアメリカの機関です。国が作る「建築基準法」のように、セキュリティ基準を策定しています。

問28

JVNの説明として最も適切なものはどれか。

a) 日本脆弱性情報データベース
b) 日本暗号化技術研究所
c) 日本セキュリティ製品評価機関
d) 日本サイバー攻撃対策センター

解答を見る

正解: a

JVN（Japan Vulnerability Notes）は、日本語で読める脆弱性情報データベースです。食品のリコール情報のように、「このソフトウェアに欠陥が見つかりました。アップデートしてください」という情報が集まっています。

問29

CRYPTRECの「電子政府推奨暗号リスト」に掲載される暗号はどれか。

a) まだ評価中の暗号
b) 安全性が確認された暗号
c) 将来的に危険な可能性がある暗号
d) すでに解読された暗号

解答を見る

正解: b

電子政府推奨暗号リストには、CRYPTRECが厳しく評価して安全性が確認された暗号が掲載されます。厚生労働省が認可した医薬品リストのように、「この暗号なら安全です」というお墨付きです。

問30

運用監視暗号リストに掲載されている暗号の扱いとして最も適切なものはどれか。

a) 積極的に使用すべき
b) 絶対に使用してはいけない
c) 注意して使用し、推奨暗号への移行を検討すべき
d) 新しいシステムに優先的に採用すべき

解答を見る

正解: c

運用監視暗号リストは「現時点では使えるが将来的に危険になる可能性がある」暗号なので、注意深く使用し、早めに推奨暗号への移行を検討すべきです。「賞味期限に注意」の食品のように、今はまだ使えるけど早めに新しいものに切り替えた方が良いです。