情報セキュリティマネジメント試験「情報セキュリティ対策(暗号・認証・アクセス制御・技術的/人的/物理的対策)」の練習問題10問です。解けなかった問題は、各問の解説末尾のリンクから対応する解説記事に進んでください。
Q1. 共通鍵暗号方式の特徴として、もっとも適切なものはどれですか?
回答
解説
正解は「B」です。
共通鍵暗号方式 は、暗号化と復号に 同じ鍵 を使う方式です。処理が速く大量のデータ暗号化に向く一方、鍵を相手に安全に渡す(鍵配送) 手段が課題になります。代表的な方式に共通鍵暗号(AES)があります。
A は公開鍵暗号方式の説明、C・D は鍵の扱いを取り違えた説明で、いずれも本問の答えではありません。
Q2. デジタル署名が主に保証するものとして、もっとも適切なものはどれですか?
回答
解説
正解は「C」です。
デジタル署名 は、送信者が自分の 秘密鍵 で署名し、受信者が対応する 公開鍵 で検証することで、作成者が本人であること(真正性) と 内容が改ざんされていないこと(完全性) を確認できる仕組みです。署名の主目的は内容の秘匿(暗号化)ではなく、なりすましや改ざんの検出である点に注意します。
A は暗号化の目的、B は圧縮、D は保存期間の説明で、いずれもデジタル署名が保証するものではありません。
Q3. ハッシュ関数の性質として、もっとも適切なものはどれですか?
回答
解説
正解は「A」です。
ハッシュ関数 は、任意の長さの入力から 一定の長さの値(ハッシュ値) を計算する関数です。同じ入力からは常に同じハッシュ値 が得られ、ハッシュ値から元データを復元するのは困難(一方向性)という性質があります。データの改ざん検出やパスワードの保管などに使われます。
B は復元できるとした点、C は毎回変わるとした点、D は出力長が変わるとした点が、いずれもハッシュ関数の性質と異なります。
Q4. 公開鍵基盤(PKI)における認証局(CA)の役割として、もっとも適切なものはどれですか?
回答
解説
正解は「D」です。
公開鍵基盤(PKI) は、公開鍵暗号を安全に使うための仕組み全体を指します。その中核である 認証局(CA) は、「この公開鍵はたしかにこの人のものだ」と保証する電子証明書(デジタル証明書)を発行・管理する 役割を担います。信頼できる第三者が証明書を発行することで、なりすましを防ぎます。
A はパスワード管理、B は経路制御、C は入退室管理の説明で、いずれも認証局の役割ではありません。
Q5. 多要素認証(MFA)の説明として、もっとも適切なものはどれですか?
回答
解説
正解は「B」です。
多要素認証(MFA) は、知識情報(本人だけが知るパスワード等)・所持情報(本人だけが持つスマートフォンやICカード等)・生体情報(指紋や顔等)という 性質の異なる要素から2つ以上を組み合わせて 本人確認する方式です。性質の違う要素を重ねることで、1つが漏れても突破されにくくなります。
A は同じ要素の二重入力、C はパスワードの使い回しで、いずれも多要素ではありません。D は本人確認になっておらず誤りです。
Q6. 生体認証(バイオメトリクス認証)の特徴として、もっとも適切なものはどれですか?
回答
解説
正解は「A」です。
生体認証(バイオメトリクス認証) は、指紋・顔・虹彩 などの身体的特徴を使って本人確認する方式です。パスワードのように 忘れたり紛失したりしにくい 利点がある一方、けがや経年で特徴が変化すると認識されにくくなる(本人を誤って拒否する)ことがあります。多要素認証の「生体情報」の要素にあたります。
B はパスワード認証(知識情報)、C はICカード認証(所持情報)の説明、D は認証になっておらず、いずれも生体認証の特徴ではありません。
Q7. シングルサインオン(SSO)の説明として、もっとも適切なものはどれですか?
回答
解説
正解は「C」です。
シングルサインオン(SSO) は、一度の認証で、連携する複数のサービスを再ログインなしで 使えるようにする仕組みです。利用者はパスワードを覚える負担が減り、管理者は認証を一元管理できます。ただし、その1つの認証情報が漏れると影響範囲が広がるため、多要素認証と組み合わせるのが一般的です。
A はアカウント共有(利用者ごとに識別できず不適切)、B は認証の廃止、D は再ログインの強制で、いずれもSSOの説明ではありません。
Q8. アクセス制御における「最小権限の原則」の説明として、もっとも適切なものはどれですか?
回答
解説
正解は「D」です。
最小権限の原則 は、各利用者に 業務上必要な最小限の権限だけ を与える考え方です。余計な権限を持たせないことで、アカウントが乗っ取られたり内部不正が起きたりした場合の被害を小さく抑えられます。役割(ロール)ごとに権限をまとめて割り当てる ロールベースアクセス制御(RBAC) は、この原則を実践しやすくする仕組みです。
A は過剰な権限付与、B は権限管理の放棄、C は監査の放棄で、いずれも最小権限の原則に反します。
Q9. 情報セキュリティ対策は「技術的対策・人的対策・物理的対策」に分けられます。人的対策にあたるものとして、もっとも適切なものはどれですか?
回答
解説
正解は「B」です。
セキュリティ対策は大きく3種類に分けられます。技術的対策(暗号化・ウイルス対策ソフト・アクセス制御等)、人的対策(教育・ルールの周知・運用体制等)、物理的対策(施錠・入退室管理・耐火金庫等)です。従業員教育やルールの周知 は、人が原因の事故を防ぐ 人的対策 にあたります。
A は技術的対策、C・D は物理的対策の例で、いずれも人的対策ではありません。3種類を組み合わせて守るのが基本です。
Q10. Webアプリケーションへの攻撃を防ぐことに特化した対策として、もっとも適切なものはどれですか?
回答
解説
正解は「C」です。
WAF(Webアプリケーションファイアウォール) は、Webアプリケーションへの攻撃に特化して通信内容を検査し、不正なリクエストを遮断する仕組みです。データベースを不正に操作する攻撃や、悪意のあるスクリプトを埋め込む攻撃などを防ぐのに役立ちます。
A の仮想専用線(VPN)は通信経路の暗号化、B の侵入検知システム(IDS)は侵入の検知・通知、D のファイアウォールはネットワーク境界での通信のふるい分けが主な役割で、いずれもWebアプリ攻撃に特化した対策ではありません。役割の違いを整理して覚えましょう。
試験全体の流れを俯瞰したい時は、情報セキュリティマネジメント試験 全体概要 に戻れます。
学習の全体像と次に進む分野は、情報セキュリティマネジメント試験 学習ロードマップ で確認できます。