HOME»応用情報技術者試験掲示板»令和2年秋期試験 午後問1【情報セキュリティ】

応用情報技術者試験掲示板

掲示板検索:

[2302]令和2年秋期試験 午後問1【情報セキュリティ】

ミルキー@管理人(No.1)

午後問1(情報セキュリティ)についての投稿を受け付けるスレッドです。

2020.10.18 00:11
もえさん(No.2)

試験お疲れ様ですー!

皆様どのようにご回答しましたかー?

2020.10.18 15:44
klさん(No.3)

参考にならないかもしれませんが
長い記述以外書いてみます
aオ
bイ
2-2ア
3-1デジタルフォレンジックス
3-2利用者認証

2020.10.18 16:12
はるさん(No.4)

klさん
デジタルフォレンジックス以外同じです
(デジタルフォレンジックスがなかなか出てこなくて諦めました…)

2020.10.18 16:15
klさん(No.5)

デジタルフォレンジックスって警察とかがやるイメージだったので合ってるかわからないですが、自分の頭の中にはもうこれしかなかったので苦し紛れに書きました笑

2020.10.18 16:16
kaさん(No.6)

「デジタルフォレンジックス」は
「ディジタルフォレンジックス」ではダメですか?

2020.10.18 16:18
ap_088さん(No.7)

ディジタルフォレンジックって解答してしまいました、、、
ディジタルフォレンジクスと何が違うんでしょうか?

2020.10.18 16:23
きりちゃんさん(No.8)

デジタルフォレンジックスなの!?
ディジタルフォレンジックって書いてしまった。

2020.10.18 16:25
ap_088さん(No.9)

ググると両方ともあるんですよね。、

2020.10.18 16:26
klさん(No.10)

英語では最後にsがついてるので、
スをつける人もいれば、このsは発音しないsとしてフォレンジックという人もいるのでどちらでも大丈夫だと思います。pingをピンともピングとも呼べるのと同じかと(というかそうであってほしいです笑)

2020.10.18 16:26
さん(No.11)

「フォレンジクス」と回答しました。デジタルと付けてないです。正直これは本当に思いつきませんでした。

2020.10.18 16:54
ap_02さん(No.12)

この投稿は投稿者により削除されました。(2020.10.18 16:57)

2020.10.18 16:57
ap_02さん(No.13)

次のように回答しましたが、どうですかね、、、
設1:aオ、bイ
設2:(1)予め許可されている可搬型記憶媒体以外は認識しないようにする
    (2)ア
    (3)利用目的を明示した許可願を提出する
設3:(1)ディジタルフォレンジック
      (2)利用者認証
      (3)不正のトライアングルのうち、動機が低減されるから
設2(3)、設3(3)は勘です笑

2020.10.18 16:58
二回目さん(No.14)

動機じゃなくて機会にしました。。。

2020.10.18 16:58
二回目さん(No.15)

設問2(3)は似たような感じで
上司を通して情報システム部に申請する的なこと書きました

2020.10.18 17:03
ap_02さん(No.16)

機会が問題文ですでに示されていたため、苦し紛れに動機にしました、、、

2020.10.18 17:03
ああさん(No.17)

情報システム部じゃなくて情報セキュリティ委員会に申請って書いちゃった。
確かに最後は動機を入れた方がいいですね。
悪意のある利用者に対して特定可能である旨の警告となるから
って書いたので部分点くらいもらえないかなと期待してます。
あとaって秘密なんですね、その後のbの手前に機能って書いてあったから同じように機能かと思ってしまいました。

2020.10.18 17:10
ねぎさん(No.18)

自分は正当化にしました。
社内に対策案を告知することで、不正行為を正当化できなくなるので。

2020.10.18 17:11
klさん(No.19)

動機って、恐らくなぜ不正をしようとしたかに繋がるものだと思うので、
ここでは関係ないのかなーと思いました。
正当化は不正をしなくてはいけない状況を言い訳にする?
(あれ?動機と何が違うんだっけ)

問題文の中の対策することで不正をする機会が減るのではとおもいました

2020.10.18 17:12
ゲストさん(No.20)

セキュリティ委員会を通さずにシステム部に申請するんですか?
システムが勝手に許可したら委員会が認定する意味なくなっちゃうような…

2020.10.18 17:37
事務職さん(No.21)

2(3)は「ホワイトリストへの登録を申請できる手続」としました。
3(3)は「不正を働くことが難しくなることが分かると不正の機会が下がる」と書きましたが、意味不明ですね。

2020.10.18 17:39
ゲストさん(No.22)

3(3)は社員が対策を知ることで正当化の抑制に繋がると書きましたね…
やってはいけないことを知っておけば不正の正当化はできなくなるかと

2020.10.18 17:42
しあのさん(No.23)

3(3)は動機とか機会とか言うより具体的に書いた方がいいと思い、次のようにしました。
監視されているという意識が不正を思いとどまらせるから

2020.10.18 17:43
初心者さん(No.24)

3(3)は  正当化を選び、『不正が働ける状態にあるから働くという正当化要因を排除できる為』としました。
どうですかね。。

2020.10.18 17:47
mk2さん(No.25)

僕もしあのさんと同意見で、3(3)は「社員間で不正の相互監視が行えるから」と答えました。

2020.10.18 17:48
kenchonさん(No.26)

最後の記述は

「不正を働いた場合の操作ログが証拠が残ることを周知する」

みたいなかんじにしました。

2020.10.18 17:49
ぺりかんさん(No.27)

1. オ, イ
2. 
(1)許可した媒体以外にはPCからデータを移動できない設定にする
(2)ア

3. 
(1)デジタルフォレンジック
(2)名前解決(全然わからなかった)
(3)不正のトライアングルの機会を減らすことができるから

2020.10.18 17:59
infer496さん(No.28)

他のスレにも同じこと書いちゃったけど、情報セキュリティマネジメント試験のサンプル問題に「ディジタルフォレンジックスの活動に含まれるものはどれか。」ってのがあったから、"ディジタルフォレンジックス"は確実に正解になると思う。

2020.10.18 18:10
邪馬台国の女王卑弥呼さん(No.29)

ディジタルフォレンジクスって書いた少数派はおらぬか?

2020.10.18 18:30
ぴりさん(No.30)

3(1)
フォレンジック調査って書いた人はいないのか…

3(3)
最後の記述は周知しないでも、システムで不正を働く機会は減らせるから動機だと思った。
周知することで精神的抑制を狙ってるんじゃないのかな。

2020.10.18 18:35
ひろさん(No.31)

設問1 a:オ b:イ
設問2
 (1) PCのコネクタのデバイスの接続やデータの読み書きを制御・記録する。
 (2) ア
 (3) 情報セキュリティ委員会への認定の申請
設問3
 (1) フォレンジック
 (2) 利用者認証
 (3) 内部不正の機会について追跡できることが周知されるから。

限られた時間で書いたやつは振り返るとやや意味不明ですね...

2020.10.18 18:36
ワイ君さん(No.32)

デジタルフォレンジック、フォレンジックが思い出せなくてをデジタル鑑識って書いたんですが実際どうでしょうかね?

2020.10.18 18:42
ゆずさん(No.33)

機会を減らせるとかよく分からなかったので、牽制できるようにって書いちゃいました、、

2020.10.18 18:43
ap_02さん(No.34)

IPAが午前と午後の解答例同時に公開してくれたら助かるんですけどね、、、

2020.10.18 18:49
klさん(No.35)

そもそも解答って用意しておくのが普通じゃないんですかね?
受験者の解答みて公式解答いじってるんだろうな、と、ちょっと不信感・・・

2020.10.18 19:20
TOさん(No.36)

問1  オ  イ
問2
(1)  管理者である上司の承認を得た後に記憶媒体へのダウンロードを可能とする。
(2)  ア
(3)  情報セキュリティ委員会に認定を依頼する
問3
(1)  思い出せなかった・・・
(2)  利用者認証
(3)  内部不正への取り組みによって不正機会の低減を告知するため


デジタルフォレンジックくやまれる!

2020.10.18 20:04
ぴりさん(No.37)

今回の題材ってベネッセの事件ですよね?
調べたらIPAが内部不正のガイドラインを改訂させる要因になったみたいなんだけど。

2020.10.18 20:08
ひかるさん(No.38)

正解は動機ですよ。

2020.10.18 20:32
Kさん(No.39)

皆さんは各門の配点はどこが何点になると予想されますか?

2020.10.18 21:05
vegetaさん(No.40)

機会だとゼロ点になりますかね?

2020.10.18 22:32
さん(No.41)

ディジタルフォレンジクスって書いてしまいました、、、部分点も貰えませんかね?

2020.10.18 22:46
Mさん(No.42)

問題1の設問3(3)で気になったのが、「内部不正を抑止することが期待できるのはなぜか」
という問いに対して、問題文中(問題用紙p.5 下の3行)で書かれてあった「不正のトライアングルの要因の一つである機会が低減されるから」とそのまま書いたのですが、まずかったですかね…?
午後試験の記述問題は、問題文に書かれている情報からそのまま記述を作ったりした部分が多く、こちらも非常に不安です…

2020.10.18 23:12
毒なすびさん(No.43)

>vegeta さん
機会で〇です

>あ さん
ディジタルフォレンジクス
多分〇つきます

>M さん
部分点〜満点はつくかと

2020.10.18 23:28
たまゆさん(No.44)

内部不正の動機って「会社の給与が低いから」とか「会社に不満があるから」とか不正を行うきっかけですよね。
給与を上げるとか社内環境の整備とかの方が動機への対策っぽい気がしますが…

2020.10.18 23:57
DALIさん(No.45)

問2
(3)  情報セキュリティ委員会に許可申請を提出する

ここは情報セキュリティ委員会が正しそうですね。
ホワイトリストに入れるかどうかは委員会が判定しているので
情報システム部ではなさそう。

2020.10.19 05:18
ひまひまさん(No.46)

設問1 (a) オ (b) イ
設問2 (1) 許可されていない可搬型媒体を識別しない (2)ア (3) 情報セキュリティ委員会に認定を要求する
設問3 (1) 電子証明 (2) DNSで照会 (3) 管理規定を知らない社員も知ることができる

10点くらいはほしいですね…

2020.10.19 05:27
klさん(No.47)

システム部に申請
システム部がセキュリティ委員会に許可とる
認定されたらシステム部がホワイトリストに登録
みたいな流れで捉えてしまいました…
うーん部分点なしかなぁ。

2020.10.19 06:22
メアリーさん(No.48)

動機はそもそも「不正行為をしたい理由」であって、「不正行為への対策をしてないからせっかくだし不正行為しよう!」とはならないはず。もっと根本的なところで不正行為による利益が理由(=動機)になってるんじゃない?

「不正行為への対策をしてないから不正行為しても問題ない!だって会社が抑制してないんだからね!」だと正当化になる。こっちの方が違和感がないので正当化かな〜と

2020.10.19 09:05
気になるさん(No.49)

3−(2)の利用者認証のところ自信満々で「否認防止」と書いてしまった。プロキシサーバーで実施する処理の答えとしてはおかしいとなぜ気づかなかったのか。情けない。。

2020.10.19 09:38
気になるさん(No.50)

3−(3)に関しては単純に「不正行為を行った者の特定が可能であることを認識させられるから(30字)」としたんですが、やはり言葉足らずですかねぇええ(泣)

2020.10.19 09:46
TTTさん(No.51)

2-2はウとアで迷ったんですけど「添付ファイル付きメールに対して」っていう部分が気になってウにしてしまいました。
アだったらすべてのメールに対して行うべきではないですか?

2020.10.19 09:54
さん(No.52)

まず、パスワード付きメールなんて全然安全性ないよ。。。
盗聴されるということは他のも見られるから意味ないよね。

2020.10.19 10:19
ゲストさん(No.53)

メールの利用が管理規定通り行われていない  ことへの対策なので暗号化では意味がないかと。
最後の問題は正当化がしっくりくると思いますけどね、防止策が周知されたところで動機は残るし、機会は減らないし…

2020.10.19 10:31
TTTさん(No.54)

>メールの利用が管理規定通り行われていない  ことへの対策なので暗号化では意味がないかと。
あ〜確かに、腑に落ちました。考えすぎでしたね。

2020.10.19 10:40
Kさん(No.55)

この投稿は投稿者により削除されました。(2020.10.19 10:53)

2020.10.19 10:53
Kさん(No.56)

2-2の問題、イにしました...最初はアにしてたんですけど深読みしすぎましたかね...

2020.10.19 10:54
毒なすびさん(No.57)

最後の問題に関しては、常に睨みを利かせてることを伝えることによって、
不正を行う機会がないと従業員に認識させることによる抑止効果ってのがあるんです
支援士(旧セキスペ)で何度か取り上げられたことのある論点
恐らくけん制って単語を使っても〇になります

>気になるさん
部分点〜満点は入ると思います
回答の中に、目的語(従業員に)を含めるとよかった

2020.10.19 11:04
毒なすびさん(No.58)

>Kさん
4ページの「送信者によって、宛先、メール本文、及び添付ファイルに間違いがないことの確認操作が行われる」
6ページの「導入済みのメール管理システムの未使用の機能」
イだとこの2つの文言が矛盾するかと

2020.10.19 11:06
Kさん(No.59)

>毒なすびさん
私の場合は、逆にイ以外は「導入済みのメール管理システム」に当てはまらないのではないかと考えてました...なるほど

2020.10.19 11:16
ねずみさん(No.60)

最後の問題は正当化だと思います。

動機は「会社に不満がある」や「不正に対する見返りがある」ですので、不正対策を周知されても動機は全く軽減されません。
機会は対策そのもので対応済みです。
「ルールを知らなかった」という正当化を防ぐためにも周知したと考えるのが妥当です。

ただ、不正のトライアングルに関連付けて答えよとは書いてないので、同等のことが記述できていれば問題ないと思われます。

2020.10.19 11:29
気になるさん(No.61)

最後の問題ですが、問題文には「その一つの理由を答えよ」とあるので皆さんが出された意見のように効果としてはいくつかあるなかで、一つ書ければOKということなのかと試験中に思ったのですがどうなんでしょうね、結構ラッキー問題だったりして

2020.10.19 11:49
たぬさん(No.62)

問3(2)利用者認証をログインと書いてしまったのですがどうでしょうか

2020.10.19 12:09
次こそ合格さん(No.63)

設問2(2)は「ウ」ではないですか?
問われているのは図2にある「メール管理システムの未使用の機能」なので、運用対応であるア、イは除外されて、ウ、エのどちらかになると思うのですが。

2020.10.19 12:21
夏目漱石さん(No.64)

次こそ合格さん

私も同様に「ウ」にしましたね。
私の場合は、問題文で(暗号化してないのはまずいでしょ)という先入観から選んでしまいましたが。。

2020.10.19 13:24
ゲストさん(No.65)

メール管理システムの機能として、上司への通知と承認の機能があるのでは?
管理サーバに一旦保留する機能は使ってるみたいですし、別の人が確認→転送を行う機能もあるでしょう。

2020.10.19 13:34
klさん(No.66)

本文から、管理サーバに一旦保留する機能は送信者によって間違いがないかの確認をするためだとわかるので、上司の承認はなかったといえます。

2020.10.19 13:53
ととさん(No.67)

アは運用対処ではないでしょ

2020.10.19 13:58
あああ(1人目)さん(No.68)

以下の点から、ウのファイル暗号化だと考えました。他の選択肢は、下の条件を使っていない、一般論的な内容になっていると思います。

○問題文で、「A社の業務内容を考慮した場合」とわざわざ指定されている(A社は大量の生徒の個人情報を扱っている)

○下線中に「添付ファイル付きメールに対」する処理とある

2020.10.19 14:03
次こそ合格さん(No.69)

ゲストさん、夏目漱石さん

コメントありがとうございます。

初めは「ア」を選択していたのですが、あくまで人手を介さない方法を問われているのかと思い「ウ」に変更しちゃいました。

2020.10.19 14:12
ITAGUさん(No.70)

私もウにしました・・・・間違いですか?

2020.10.19 14:15
klさん(No.71)

私の考えですが、そもそも下線Aは「問題の(2)(メールやWebサイトの利用が管理規定通りではない問題)についての対処」であると本文から読み取れます。
管理規定ではメールの私的利用を禁止していて、それが守られていないと5ページ前半から読み取れます。
つまり、ウで暗号化してそれを同じ宛先に送っても、それが私的利用であれば意味がありません。
私的利用を防ぐには送信者以外の上司や責任者にメールの内容を確認させるべきだと思います。
よってアにしました。

2020.10.19 14:22
klさん(No.72)

>>つまり、ウで暗号化してそれを同じ宛先に送っても、それが私的利用であれば意味がありません。
訂正:
つまり、ウで暗号化してそのパスワードを同じ宛先に送っても、それが私的利用であれば意味がありません。

2020.10.19 14:22
名無しさん(No.73)

ウはよくネタにされる意味がない行為だけど、
これが正解になったらIPAをちょっと疑う…

2020.10.19 14:24
パイナプルさん(No.74)

問題文に「資産価値または重要度の高い情報の社外への持ち出しは・・・・管理者である上司の承認を得た後に持ち出すことができる」とあるのでメールでもそれが適応されると思いました。。
重要度の高い情報を社外に送る際に「内部不正」を防ぐために適用すべきなのは「ア」じゃないでしょうか?問題文の項にも「内部不正に対する技術面での対策」とあります。「ウ」だと自分で悪意ある相手に情報もパスワードも一緒に送信できてしまいます。それを防ぐのは「管理者である上司の承認(チェック)」だと思います

2020.10.19 14:27
ゲストさん(No.75)

現状調査の問題2(メールの利用が管理規定通り行われていない)への対処を聞かれているので
暗号化したところで管理規定が守られるわけではなくおかしいかと思います。
上司への承認を通せば重要度の高い情報の流出を防げます。
内部不正の問題なので暗号化じゃ内部不正は防げないでしょう。

2020.10.19 14:29
ljkさん(No.76)

設問2の(1)で、可搬型記憶媒体に証明書をインストールし利用可能な媒体を限定する。
と書いたのですが、これではだめですかね?

2020.10.19 15:32
ITAGUさん(No.77)

可搬型記憶媒体に保存情報をインストールできない設定にする。は部分点くれますか?

2020.10.19 15:34
あんぱん試験さん(No.78)

設問2 (1) 許可されていない可搬型記憶媒体からのアクセスをブロックする
設問3 (3) セキュリティの強化を認知させ、内部不正を行う意欲を抑制する
と答えました。

2020.10.19 16:03
aceさん(No.79)

3-(2)
「利用者認証」を「ログイン処理」って書いてしまったんですけどダメですよね、、

2020.10.19 16:06
ミカさん(No.80)

設問3
(3)ですが、時間が無くて下記のように書いたのですが0点でしょうか?
「内部チェックシートで洗い出した問題に対する対策を検討したため」
よろしくお願い致します。

2020.10.20 01:50
ねこねこさん(No.81)

設問2(2) 問題文に「A社の業務内容を考慮した場合」とあり、A社では「受講生の個人情報」を扱っているので「添付ファイルを暗号化」した方がいいと思ったのですが。どうでしょうか?

2020.10.20 02:37
ねぶそくさん(No.82)

私も2-2をウにしたのですが
現実的にメール管理システムの機能にウみたいなものってあるんですかね。

2020.10.20 04:56
hiさん(No.83)

>aceさん
全然意味が違うからダメでしょう

2020.10.20 05:42
対ありさん(No.84)

問3-2を認証機能とかいてしまったんですけど部分点はもらえますかね?

2020.10.20 09:51
さん(No.85)

2(2)について解説を書いてみました。間違えていたらごめんなさい。

ア:○:現状では「上司の承認を得た後に持ち出すことができる」とされていますが、ルールでしかないので、無視して承認を得ずに外部に添付ファイルを送信できてしまいます。これを「添付ファイルは上司経由でないと外部に送信できないようにする」機能で防ぎます。これで添付ファイルを無断で外部に送信できなくなるため、有効です。
(人手であった「上司に承認を依頼する」部分を自動・強制化することで内部不正の難易度を上げる)

ただ、添付ファイルに対する処理なので、機密情報の文字列をメール本文に直接貼り付ければ回避できてしまいます。それでも形式がバラバラの添付ファイルと比べ、文字列のメール本文は機械的にチェックしやすいので、別途メール本文をチェックする機能も有効にしたのかもしれません。

また、「宛先が外部のメールを全て上司経由にする」対策も考えられますが、メール管理システムに機能がなかったか、上司が忙殺されることを懸念して有効にしなかった…というところまで考えられているかはわかりません。

イ:×:内部不正者が外部に添付ファイル付きメールを送ることに関して、何ら障害とならないため不適切です。(内部不正者が送信ボタンと確認ボタンを両方押せてしまう)

ウ:×:暗号化は外部からの盗聴には有効ですが、設問2は内部不正対策に関するものなので、この特徴は関係ありません。
また内部不正対策としても、内部不正者が外部メールアドレスに対して添付ファイル付きメールを送信した際に、同じ外部メールアドレスに対してパスワードメールが送られるだけで、持ち出しを防げないため不適切です。

エ:×:添付ファイルの持出しを防ぐ意味では最も効果がありますが、A社は「社員は,社外の関係者との間で,添付ファイル付きメールを送受信している」ため、それに支障が出るエの対策は「A社の業務内容を考慮した場合」不適切です。

2020.10.20 18:07
gtrさん(No.86)

最後の問題、TACも大原も不正を行えば発覚することを認識させれるからといった趣旨の内容でしたが、問題にはその理由の一つを答えよとあったので正解は一つではないのかなと思いました。
確かに4つの対策には不正を行ったらばれるようにしているような対策が含まれていますが、問題文にもあるように、そもそもこれらの対策は不正のトライアングルの一つである機会を低減させることから抑止につながると考え、検討を行ったと書いてあります。
不正をしたらばれるようにするだけでなく、不正そのものができなくするような対策も取っているわけですね
なのでそのことを周知させるということは、従業員が内部不正を行うことが難しいと考えるようになるからとかこんな感じの解答も許されるのではないかなと思いました。

2020.10.20 20:20
ドレミさん(No.87)

不正のトライアングルの正当化を減らす、と書きました。
機会を減らしたら動機か正当化が残るわけで、動機は本人の問題なので、残るのは正当化かと思いました。

2020.10.20 20:42
パターンさん(No.88)

設問2-(3)を問題下線部の「当該サイトを希望する者をとるべき手段」から希望する者はホワイトリストへの登録は委員会を通さないと行えないから行えないと考えてしまい、どう答えて良いのか迷った結果
「ウイルス対策ソフトを最新状態にする。」
と解答しました。
危険性のあるサイトを閲覧する際に行う手段としては間違ってはいないと個人的には考えているのですが、この解答では点は0点ですかね?

2020.10.20 20:52
事務職さん(No.89)

パターンさん
ホワイトリスト方式のフィルタリングとは、ホワイトリストに登録されていないサイトの閲覧を拒否するという意味ですから、まずホワイトリストに登録してもらわないと、閲覧そのものができません。
おそらく0点でしょう。

2020.10.20 20:57
hiさん(No.90)

>パターンさん
ウイルス対策ソフトを最新にしてもサイトの閲覧はできません。
0点です。

2020.10.20 21:05
みーなさん(No.91)

最後の問題ですが、
会社として内部不正を許さないという姿勢を示すため的なことを書いたのですが、部分点ぐらいはあるでしょうか。

2020.10.20 22:06

【返信投稿用フォーム】

お名前(10文字以内)

顔アイコン


本文(2,000文字以内)

記事削除用パスワード(20文字以内)

プレビュー

※宣伝や迷惑行為を防止するため当サイトとIPAサイト以外のURLを含む記事の投稿は禁止されています。

投稿記事削除用フォーム

投稿No. パスワード 
© 2010-2020 応用情報技術者試験ドットコム All Rights Reserved.

Pagetop