情報セキュリティマネジメント試験(SG)の6分野を横断した総合模擬試験40問です。本番形式で実力をチェックしましょう。解けなかった問題は、各問の解説末尾のリンクから対応する解説記事や分野別問題集に進んでください。
Q1. マルウェアの分類に関する説明として、もっとも適切なものはどれですか?
回答
解説
正解は「A」です。
ワーム はほかのファイルに寄生せず 単独で自己増殖して拡散 し、トロイの木馬 は便利なソフトを 装って侵入 し内部で不正動作を行います。ウイルス はほかのファイルに寄生して増える点が特徴で、3つは増え方・侵入の仕方が異なります。
B はワームとウイルスの取り違え、C はトロイの木馬とワームの混同、D はすべて同一とする誤りで、いずれも答えではありません。
Q2. ランサムウェアによる被害として、もっとも適切なものはどれですか?
回答
解説
正解は「C」です。
ランサムウェア は、感染端末内のファイルを 勝手に暗号化して開けなくし、元に戻すこと(復号)と引き換えに 身代金を要求する マルウェアです。日頃から 定期的なバックアップ を別の場所に保管しておくことが有効な備えになります。
A・B・D はいずれも利用者に役立つ正常な動作の説明で、ランサムウェアの被害ではありません。
Q3. ソーシャルエンジニアリングの例として、もっとも適切なものはどれですか?
回答
解説
正解は「D」です。
ソーシャルエンジニアリング は、技術ではなく 人の心理や行動のすきを突いて 情報を盗み出す手口です。担当者を装った電話、肩越しに画面をのぞく(ショルダーハッキング)、ゴミ箱の書類をあさる(トラッシング)などが代表例で、技術的な対策だけでは防げず 教育やルールづくりが重要です。
A・B・C はいずれも技術的な攻撃手法であり、人の心理を突くソーシャルエンジニアリングには当てはまりません。
Q4. 標的型攻撃の特徴として、もっとも適切なものはどれですか?
回答
解説
正解は「B」です。
標的型攻撃 は 特定の組織や個人を狙い撃ち にする攻撃です。取引先や業務連絡を装った巧妙なメールを送り、添付ファイルやリンクを開かせてマルウェアに感染させます。業務に関係ありそうな内容 に作り込まれている点が、無差別なばらまき型との大きな違いです。
A はばらまき型、C・D は実態と異なる説明で、いずれも標的型攻撃の特徴ではありません。
Q5. SQLインジェクションに関する説明として、もっとも適切なものはどれですか?
回答
解説
正解は「A」です。
SQLインジェクション(入力欄に不正なデータベース操作命令を注入する攻撃)は、Webアプリの入力欄に 本来想定していない命令を紛れ込ませ、データベースから情報を不正に取り出したり書き換えたりする攻撃です。主な対策は、入力値を安全に組み立てる プレースホルダ(バインド機構)の利用 や入力値の検証(エスケープ処理)です。
B はサービス妨害(DoS)、C はランサムウェア、D はソーシャルエンジニアリングの説明で、いずれも答えではありません。
Q6. クロスサイトスクリプティング(XSS)に関する説明として、もっとも適切なものはどれですか?
回答
解説
正解は「D」です。
クロスサイトスクリプティング(XSS) は、掲示板や入力フォームに 不正なスクリプト(プログラム)を埋め込み、それを表示した別の利用者のブラウザ上で実行させる攻撃です。クッキー(Cookie)情報の盗み取りや偽の入力画面の表示などに悪用されます。対策の基本は、入力内容をそのまま表示せず 無害な文字へ変換する(エスケープ処理) ことです。
A・B は物理的な妨害、C はパスワードの総当たり攻撃(ブルートフォース)の説明で、いずれも答えではありません。
Q7. 修正プログラム(パッチ)が提供される前の脆弱性を突く攻撃の呼び名として、もっとも適切なものはどれですか?
回答
解説
正解は「B」です。
ゼロデイ攻撃 は、脆弱性の存在が公表されたり修正プログラム(パッチ)が提供されたりする 前のタイミングを突く攻撃 です。対策が出る「0日目」の状態を狙うことからこう呼ばれ、防御が難しい点が特徴です。
A は盗んだ通信を再送する攻撃、C はよく使われる単語でパスワードを試す攻撃、D は通信の間に割り込む攻撃であり、いずれもパッチ提供前を狙う攻撃の名称ではありません。
Q8. 情報セキュリティの3要素のうち「機密性」を高める対策として、もっとも適切なものはどれですか?
回答
解説
正解は「C」です。
情報セキュリティの3要素(CIA)は 機密性・完全性・可用性 です。機密性 は 許可された人だけが情報にアクセスできる 状態を指し、アクセス制御や暗号化で高めます。
B は完全性(情報が正しく保たれること)、A・D は可用性(必要なときに使えること)を高める対策であり、機密性とは別の要素です。
Q9. 情報セキュリティにおける「リスク」の説明として、もっとも適切なものはどれですか?
回答
解説
正解は「A」です。
リスク は、脅威が脆弱性を突くことで情報資産に損害が生じる可能性 を指します。損害を与える原因が「脅威」、悪用されうる弱点が「脆弱性」、それらが組み合わさって被害が出る可能性が「リスク」という関係です。
B は脆弱性、C は脅威、D は対策(コントロール)の説明であり、いずれもリスクそのものではありません。
Q10. リスク対応のうち、保険への加入や業務委託によってリスクの影響を第三者に引き受けてもらう対応として、もっとも適切なものはどれですか?
回答
解説
正解は「D」です。
リスク移転(リスク共有) は、保険への加入や業務の外部委託によって、リスクが現実になったときの 影響を第三者に引き受けてもらう 対応です。
A のリスク回避は活動そのものを取りやめる、B のリスク低減は発生確率や影響を小さくする、C のリスク受容はそのまま受け入れる対応であり、第三者に引き受けてもらうのはリスク移転です。
Q11. ISMS(情報セキュリティマネジメントシステム)が継続的改善のために採用している管理サイクルとして、もっとも適切なものはどれですか?
回答
解説
正解は「B」です。
ISMS は、PDCAサイクル(Plan=計画・Do=実行・Check=点検・Act=改善) を回して情報セキュリティを継続的に改善する仕組みです。一度作って終わりではなく、定期的に見直して水準を保つ点が重要です。
A は処理の待ち時間を分析するモデル、C はソフトウェア開発の進め方、D はシステムの構成形態であり、いずれも継続的改善の管理サイクルではありません。
Q12. 情報資産の管理において、まず作成すべきものとして、もっとも適切なものはどれですか?
回答
解説
正解は「C」です。
情報資産を守るには、まず 守るべき対象を把握する ことが出発点です。情報資産台帳 に、どの情報資産が・どこに・どの重要度(機密度)で存在するかを一覧化することで、重要度に応じた適切な保護対策を決められます。
A・B・D はいずれも情報資産の棚卸し・分類を目的としたものではなく、情報資産管理の出発点としては適切ではありません。
Q13. 情報セキュリティポリシーの一般的な構成として、もっとも適切なものはどれですか?
回答
解説
正解は「A」です。
情報セキュリティポリシーは、一般に 基本方針(なぜ・何を守るか)・対策基準(守るためのルール)・実施手順(具体的なやり方) の3階層で構成されます。上位ほど抽象的・恒久的で、下位ほど具体的になります。
B・C・D はいずれも一般的なポリシー策定の考え方に反します。経営層が関与し、状況に応じて見直すことが求められます。
Q14. リスクアセスメントの一般的な手順として、もっとも適切なものはどれですか?
回答
解説
正解は「D」です。
リスクアセスメントは、一般に リスク特定(どんなリスクがあるか洗い出す)→ リスク分析(発生可能性と影響の大きさを見積もる)→ リスク評価(対応が必要か判断する) の順で進めます。その後にリスク対応(回避・低減・移転・受容)を行います。
A・B・C はいずれも順序が入れ替わっており、適切ではありません。
Q15. 共通鍵暗号方式の説明として、もっとも適切なものはどれですか?
回答
解説
正解は「B」です。
共通鍵暗号方式 は、暗号化と復号に 同じ鍵 を使う方式です。処理が高速で大容量データに向く一方、相手に鍵をどう安全に渡すか(鍵配送の問題)が課題になります。
A は公開鍵暗号方式の説明、C は暗号方式として成立しない誤り、D は逆で、共通鍵暗号はむしろ高速で大容量に向くため、いずれも答えではありません。
Q16. デジタル署名によって確認できることとして、もっとも適切なものはどれですか?
回答
解説
正解は「C」です。
デジタル署名 は、送信者の秘密鍵で署名を作り、受信者が送信者の公開鍵で検証する仕組みです。これにより 送信者が本人であること(認証) と 内容が途中で改ざんされていないこと(完全性) を確認できます。
A・D は署名の目的とは無関係、B はデータの秘匿(機密性)の話で暗号化の役割であり、署名が主に保証するものではありません。
Q17. 「知識・所持・生体」のうち2つ以上の異なる要素を組み合わせて本人確認を行う認証として、もっとも適切なものはどれですか?
回答
解説
正解は「D」です。
多要素認証(MFA) は、認証の3要素である 知識(パスワード)・所持(スマホやトークン)・生体(指紋や顔) のうち、異なる2つ以上を組み合わせて本人確認する方式です。1要素が漏れても突破されにくく、安全性が高まります。
A は1度の認証で複数サービスを使える仕組み、B は知識要素1つのみ、C は認可(権限管理)の仕組みであり、いずれも複数要素の組み合わせとは異なります。
Q18. アクセス権の付与における「最小権限の原則」の説明として、もっとも適切なものはどれですか?
回答
解説
正解は「A」です。
最小権限の原則 は、各利用者やプログラムに 業務に必要な最小限の権限だけ を与える考え方です。余分な権限を持たせないことで、万一アカウントが乗っ取られた際の被害範囲を小さく抑えられます。
B・C・D はいずれも権限を過剰に与えたり見直さなかったりする内容で、最小権限の原則に反します。
Q19. ファイアウォールの基本的な役割として、もっとも適切なものはどれですか?
回答
解説
正解は「C」です。
ファイアウォール は、ネットワークの境界に置かれ、あらかじめ定めた規則(送信元・宛先・ポート番号など)に従って通信の通過を許可または遮断する 仕組みです。建物の入口で通行を選別する門番のような役割を果たします。
A は暗号化、B はマルウェア対策ソフト、D は生体認証の説明であり、いずれもファイアウォールの基本的な役割ではありません。
Q20. 情報セキュリティ対策のうち「物理的対策」に分類されるものとして、もっとも適切なものはどれですか?
回答
解説
正解は「B」です。
セキュリティ対策は 技術的・人的・物理的 の3つに大別されます。物理的対策 は、設備や空間に対する対策で、サーバ室の施錠や入退室管理、監視カメラ、防災設備などが該当します。
A は技術的対策、C は人的対策、D はルールにもとづく人的・運用面の対策にあたり、物理的対策ではありません。
Q21. 無線LANの通信を保護する暗号化規格として、現在もっとも推奨されるものはどれですか?
回答
解説
正解は「A」です。
WPA3 は無線LANの暗号化規格のうち比較的新しいもので、より強固な保護を提供するとされ、現在は WPA2 とともに推奨されます。古い WEP は脆弱性が知られており、使用は避けるべきとされています。
C のSSIDは無線LANのネットワーク名、D のMACアドレスは機器固有の識別番号であり、いずれも暗号化規格ではありません。最新の推奨状況は公式資料を確認してください。
Q22. 生体認証における「本人拒否率(FRR)」の説明として、もっとも適切なものはどれですか?
回答
解説
正解は「D」です。
本人拒否率(FRR) は、正規の本人であるのに 誤って拒否してしまう割合 です。逆に、他人を本人として 誤って受け入れる割合 を他人受入率(FAR)と呼びます。両者は調整によって一方を下げると他方が上がる関係(トレードオフ)にあります。
A は他人受入率(FAR)の説明、B・C は本人拒否率とは無関係であり、いずれも答えではありません。
Q23. 不正アクセス禁止法で禁止されている行為として、もっとも適切なものはどれですか?
回答
解説
正解は「B」です。
不正アクセス禁止法では、他人の識別符号(IDやパスワード)を無断で利用して、アクセス権限のないコンピュータに ログインする行為 などが禁止されているとされています。他人のIDを不正に入手・保管・提供する行為なども規制対象とされています。
A・C・D はいずれも正当な利用やセキュリティ向上の行為で、禁止される不正アクセスには当たりません。最新の条文は公式資料を確認してください。
Q24. 個人情報保護法における「個人情報」の説明として、もっとも適切なものはどれですか?
回答
解説
正解は「A」です。
個人情報保護法における 個人情報 は、一般に 生存する個人に関する情報であって、氏名や生年月日などにより特定の個人を識別できるもの(他の情報と容易に照合して識別できるものを含む)とされています。
B・C・D はいずれも個人情報の定義として狭すぎる、または対象が異なるため、適切ではありません。最新の定義や運用は公式資料を確認してください。
Q25. サイバーセキュリティ基本法の主な目的として、もっとも適切なものはどれですか?
回答
解説
正解は「C」です。
サイバーセキュリティ基本法 は、国のサイバーセキュリティに関する 基本理念を示し、国・地方公共団体・重要インフラ事業者などの責務 を定めることで、施策を総合的に推進することを目的とした法律とされています。
A・B・D はいずれも別の法律や制度が扱う事項であり、サイバーセキュリティ基本法の目的ではありません。最新の内容は公式資料を確認してください。
Q26. プログラム(ソフトウェア)の表現を保護する法律として、もっとも適切なものはどれですか?
回答
解説
正解は「D」です。
プログラム(ソフトウェア)は、その 表現 が 著作権法 によって著作物として保護されるとされています。著作権は創作した時点で自動的に発生し、登録は不要である点が特徴です。
A は営業秘密や模倣品などを規律、B は商品やサービスのマーク、C は物品のデザインを保護する法律であり、プログラムの表現を主に保護するのは著作権法です。
Q27. 個人データの取扱いを外部に委託する場合の対応として、もっとも適切なものはどれですか?
回答
解説
正解は「B」です。
個人データの取扱いを委託する場合、委託元には 委託先に対する必要かつ適切な監督 が求められるとされています。委託契約で安全管理措置を定め、委託先の管理状況を確認することが重要です。
A・C・D はいずれも委託元の監督責任を軽視する内容で、適切ではありません。最新の運用は公式資料を確認してください。
Q28. 知的財産権のうち、発明を一定期間独占的に実施できる権利として、もっとも適切なものはどれですか?
回答
解説
正解は「A」です。
特許権 は、新規性や進歩性のある 発明(技術的アイデア) を一定期間独占的に実施できる権利で、特許庁への出願・登録によって発生します。
B の商標権は商品やサービスの目印(マーク)、C の著作権は表現(文章・プログラムなど)、D の意匠権は物品のデザインを保護する権利であり、発明を保護するのは特許権です。
Q29. OSI参照モデルの第3層(ネットワーク層)で動作する代表的なプロトコルとして、もっとも適切なものはどれですか?
回答
解説
正解は「C」です。
IP(Internet Protocol) は、OSI参照モデルの 第3層(ネットワーク層) で動作し、IPアドレスをもとに宛先までデータを届ける経路選択(ルーティング)を担います。
A のHTTPは第7層(アプリケーション層)、B のTCPは第4層(トランスポート層)、D のEthernetは第1〜2層(物理・データリンク層)にあたり、ネットワーク層のプロトコルではありません。
Q30. プライベートIPアドレスの説明として、もっとも適切なものはどれですか?
回答
解説
正解は「D」です。
プライベートIPアドレス は、社内LANや家庭内など 限られたネットワーク内で自由に使える アドレスです。インターネットへ出る際は、NAT(アドレス変換)でグローバルIPアドレスに変換されます。
A はグローバルIPアドレス、B はMACアドレス、C はDNSの名前解決の説明であり、いずれもプライベートIPアドレスの説明ではありません。
Q31. DNS(ドメインネームシステム)の役割として、もっとも適切なものはどれですか?
回答
解説
正解は「B」です。
DNS は、人が覚えやすい ドメイン名(Webサイトの名前)と、機械が使うIPアドレスを相互に変換する 仕組み(名前解決)です。電話帳のように、名前から番号を引く役割を果たします。
A はSMTPなどメール関連、C はDHCP、D は暗号化(TLSなど)の役割であり、いずれもDNSの主な役割ではありません。
Q32. 関係データベースで、各行(レコード)を一意に識別するために設定する列として、もっとも適切なものはどれですか?
回答
解説
正解は「A」です。
主キー(プライマリキー) は、表(テーブル)の中で 各行を一意に識別する ために設定する列です。値の重複や空値(NULL)が許されない点が特徴です。
B のインデックスは検索を高速化する索引、C のビューは仮想的な表、D のトリガは特定操作をきっかけに自動実行する処理であり、いずれも行の一意識別を目的とするものではありません。
Q33. 異なるネットワーク同士を、IPアドレスをもとに中継・接続するネットワーク機器として、もっとも適切なものはどれですか?
回答
解説
正解は「D」です。
ルータ は、IPアドレスをもとに異なるネットワーク間を中継・接続 し、最適な経路を選んでデータを転送する機器です。家庭やオフィスのネットワークをインターネットへつなぐ役割も担います。
A・B は信号を増幅して中継するだけ、C はMACアドレスをもとに同一ネットワーク内でフレームを転送する機器であり、ネットワーク間をIPで中継するのはルータです。
Q34. システム監査人に求められる「独立性」の説明として、もっとも適切なものはどれですか?
回答
解説
正解は「C」です。
システム監査人の 独立性 とは、監査対象の組織や業務から 独立した立場 にあり、利害関係に左右されず 客観的に評価・判断 できることを指します。外観上の独立性と精神上の独立性の両方が必要とされます。
A・B・D はいずれも監査人自身が監査対象に関与・責任を持つ立場であり、独立性を損なうため不適切です。
Q35. 内部統制における「職務分掌」の考え方として、もっとも適切なものはどれですか?
回答
解説
正解は「B」です。
職務分掌 は、申請・承認・記録・実行といった業務を 複数の担当者に分けて担当させ、相互に牽制(チェック)させる 内部統制の基本的な仕組みです。1人に権限が集中することで起きる不正やミスを防ぎます。
A は権限集中を招き不正リスクが高まる、C は統制の文書化に反する、D は内部統制を放棄する内容で、いずれも職務分掌の考え方とは異なります。
Q36. CSIRT(シーサート)の役割として、もっとも適切なものはどれですか?
回答
解説
正解は「A」です。
CSIRT(Computer Security Incident Response Team) は、セキュリティインシデントの発生に備え、検知・初動対応・原因分析・再発防止 などを担う組織内の専門チーム(窓口)です。消防団のように、有事に動ける体制を平時から整えておく役割を持ちます。
B・C・D はいずれも別部門の業務であり、インシデント対応を担うのはCSIRTです。
Q37. BCP(事業継続計画)の主な目的として、もっとも適切なものはどれですか?
回答
解説
正解は「D」です。
BCP(Business Continuity Plan: 事業継続計画) は、災害・大規模障害・サイバー攻撃などの緊急時でも、重要な業務を中断させない、または中断しても早期に復旧できる ようにあらかじめ手順や代替手段を定めておく計画です。
A・B・C はいずれも平常時の経営・人事・原価の話であり、緊急時の事業継続を目的とするBCPとは異なります。
Q38. 取引先や委託先を経由して自組織が攻撃を受けるリスクへの対策として、もっとも適切なものはどれですか?
回答
解説
正解は「C」です。
取引先や委託先のセキュリティの弱点を突いて本来の標的に侵入する サプライチェーン攻撃 に備えるには、自組織だけでなく 委託先を含めた全体でセキュリティ水準を確認・要求 することが重要です。委託契約に安全管理の取り決めを盛り込み、定期的に状況を確認します。
A・B・D はいずれも委託先のリスクを軽視する内容で、サプライチェーン全体の対策としては適切ではありません。
Q39. 従業員へのセキュリティ教育の目的として、もっとも適切なものはどれですか?
回答
解説
正解は「B」です。
セキュリティ教育の目的は、従業員 一人ひとりがリスクを正しく理解し、日常業務の中で適切に行動できる ようにすることです。ソーシャルエンジニアリングや誤操作など、人を起点とする事故は技術だけでは防ぎきれないため、全社員を対象に継続的に行うことが重要です。
A・C・D はいずれも教育を形式的・限定的にとらえた内容で、本来の目的とは異なります。
Q40. セキュリティインシデント発生時の初動対応として、もっとも適切なものはどれですか?
回答
解説
正解は「A」です。
インシデントが起きたときは、まず 被害の拡大を防ぐ(封じ込め) ことが基本です。疑いのある端末をネットワークから 隔離し、定められた窓口(CSIRT など)や関係部署へ 速やかに報告 し、対応の 記録を残す ことが求められます。火事のときにまず延焼を防ぎ、通報するのと同じ考え方です。
B は隠ぺい、C は二次被害を招きうる対応、D は報告を怠り被害を拡大させる対応で、いずれも適切ではありません。
試験全体の流れや各分野の学習順を確認したい時は、情報セキュリティマネジメント試験 試験全体概要 に戻れます。