LoginSignup
1
2

More than 3 years have passed since last update.

@nihonmatsu(二本松 哲也)

SC午前2

Last updated at Posted at 2020-02-29

システム監査技術者

  • JIS Q 27014:2015(情報セキュリティガバナンス)における,情報セキュリティを統治するために経営陣が実行するガバナンスプロセスのうちの"モニタ"はどれか。
  • 基本評価基準,現状評価基準,環境評価基準の三つの基準でIT製品のセキュリティ脆弱性の深刻さを評価するものはどれか。
  • CVSS v3の評価基準には,基本評価基準,現状評価基準,環境評価基準の三つがある。基本評価基準の説明はどれか。
  • 共通脆弱性評価システム(CVSS)の特徴として,適切なものはどれか。
  • ブロックチェーンに関する記述のうち,適切なものはどれか。
  • ディジタルフォレンジックスに該当するものはどれか。
  • インターネットバンキングサービスを提供するWebサイトを利用する際に,トランザクション署名の機能をもつハードウェアトークンを利用する。次の処理を行うとき,(4)によってできることはどれか。ここで,ハードウェアトークンは利用者ごとに異なり,本人だけが利用する。
  • デジタル・フォレンジック研究会『証拠保全ガイドライン』
    • ディジタルフォレンジックスは、不正アクセスや情報漏えいなどのセキュリティインシデントの発生時に、原因究明や法的証拠に必要となる電子的記録を収集・解析することをいいます。フォレンジックス(forensics)には、「科学捜査」や「法医学の ~」という意味があるため、直訳すれば「電子科学捜査」となります。フォレンジックスのプロセスは、収集→検査→分析→報告の基本的なフェーズで構成されます。
    • 「インシデント対応へのフォレンジック技法の統合に関するガイド」によれば、フォレンジックプロセスは、収集・検査・分析・報告の4つのフェーズから成ります。
      • 収集: データの潜在的なソースを識別し、それらのソースからデータを取得する
      • 検査: 収集したデータから関連する情報を評価して抽出する
      • 分析: 複数のソースのデータを相互に関連付けるなどして、結論を導き出すためにデータの調査と分析を行う
      • 報告: 分析フェーズによって得られた情報を準備して提示する
    • image.png
    • 証拠保全ガイドライン 第 8 版
    • ディジタルフォレンジックスの目的として,適切なものはどれか。
    • ディジタルフォレンジックスでハッシュ値を利用する目的として,適切なものはどれか。
    • ディジタルフォレンジックスの手順を収集,検査,分析,報告に分けたとき,そのいずれかに該当するものはどれか。
    • ディジタルフォレンジックスの説明として,適切なものはどれか。
    • ディジタルフォレンジックスに該当するものはどれか。
    • 外部から侵入されたサーバ及びそのサーバに接続されていた記憶媒体を調査対象としてディジタルフォレンジックスを行うことになった。まず,稼働状態にある調査対象サーバや記憶媒体などから表に示すa~dのデータを証拠として保全する。保全の順序のうち,最も適切なものはどれか。
  • ITガバナンス『JIS Q 38500:2015』等を取り⼊れた,平成30年改訂『システム監査基準』『システム管理基準』
    • システム監査基準
    • システム監査基準は、システム監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範を定めたものです。監査人としての適格性及び監査業務上の遵守事項を規定する「一般基準」、監査計画の立案及び監査手続の適用方法を中心に監査実施上に枠組みを規定する「実施基準」、監査報告に係わる留意事項と監査報告書の記載方式を規定する「報告基準」から構成されています。 システム監査基準は監査人に求められる振る舞いについて示したものであるため、具体的な管理策や判断の尺度については一切触れられていません。システムのリスクコントロールについては、この基準の姉妹編にあたるシステム管理基準に定められており、システム監査は、監査対象がシステム管理基準に準拠しているかという視点で行われることを原則としています。
    • システム監査基準(平成16年10月8日改訂)は、「システム監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範」であり、一般基準,実施基準及び報告基準から構成されています。
      • 一般基準(8項目) 監査人としての適格性及び監査業務上の遵守事項を規定している。
      • 実施基準(7項目) 監査計画の立案及び監査手続の適用方法を中心に監査実施上に枠組みを規定している。
      • 報告基準(5項目) 監査報告に係わる留意事項と監査報告書の記載方式を規定している。
    • システム監査基準(平成30年)には監査技法の代表例として、チェックリスト法、ドキュメントレビュー法、インタビュー法、突合・照合法、現地調査法、コンピュータ支援技法の6つが記載されています。
    • システム監査人の行動規範を定めたシステム監査基準に関する説明として,適切なものはどれか。
    • "システム監査基準"における,組織体がシステム監査を実施する目的はどれか。
    • システム監査の実施体制に関する記述のうち,適切なものはどれか。
    • システム監査基準(平成30年)における監査手続の実施に際して利用する技法に関する記述のうち,適切なものはどれか。
    • システム管理基準
    • システム管理基準は、経済産業省が 平成16年10月8日に策定した基準で、情報戦略を立案し,効果的な情報システム投資とリスクを低減するためのコントロールを適切に整備・運用するための事項をとりまとめたものです。全体最適化計画は、経営戦略に基づいて設定され、組織体全体の情報システムのあるべき姿を明確にし、投資効果およびリスク算定の方法を明確にするなどの目的で策定されます。また組織体の長の承認および利害関係者の合意を得る必要があります。
    • "経営戦略に沿って効果的な情報システム戦略を立案し,その戦略に基づき,効果的な情報システム投資のための,またリスクを低減するためのコントロールを適切に整備・運用するための実践規範"はどれか。
    • システム管理基準”の説明はどれか。
    • システム管理基準"によれば,情報システム全体の最適化目標を設定する際の着眼点はどれか。
    • システム管理基準(平成16年)によれば、組織全体の情報システムのあるべき姿を明確にする計画はどれか。
    • 組織体が情報システムにまつわるリスクに対するコントロールを適切に整備・運用する目的として,"システム管理基準"に示されているものはどれか。
  • 『サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集』(IPA[2019])に基づく監査の,チェックポイント
    • サイバーセキュリティ経営ガイドラインは、サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」をまとめたものです。
      • [3原則]
        • 経営者は、IT活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
        • 自社は勿論のこと、系列企業やサプライチェーンのビジネスパートナー、IT システム管理の委託先を含めたサイバーセキュリティ対策が必要
        • 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要
      • [重要10項目]
        • サイバーセキュリティ対応方針の策定
        • リスク管理体制の構築
        • リスクの把握、目標と対応計画策定
        • PDCAサイクルの実施と対策の開示
        • 系列企業・ビジネスパートナーの対策実施及び状況把握
        • 予算確保・人材配置及び育成
        • ITシステム管理の外部委託
        • 情報収集と情報共有
        • 緊急時対応体制の整備と演習の実施
        • 被害発覚後の必要な情報の把握、開示体制の整備
    • 経済産業省とIPAが策定した"サイバーセキュリティ経営ガイドライン(Ver1.1)"に従った経営者の対応はどれか。
    • 経済産業省とIPAが策定した"サイバーセキュリティ経営ガイドライン(Ver1.1)"が,自社のセキュリティ対策に加えて,実施状況を確認すべきとしている対策はどれか。
    • 経済産業省とIPAが策定した"サイバーセキュリティ経営ガイドライン(Ver1.1)"の説明はどれか。
  • 『JIS Q 27014:2015』(情報セキュリティガバナンス)の概要
    • 情報セキュリティガバナンスとは、コーポレート・ガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用することです。組織内には、情報セキュリティガバナンスとITガバナンスなど複数のガバナンスモデルが存在する場合があります。JIS Q 27014:2015では、これら個々のガバナンスモデルはどれもコーポレートガバナンスの構成要素であり、ガバナンスモデル全体の一部であることが望ましいとしています。そして、複数のガバナンスモデルの範囲は互いに重複する場合があります。
    • image.png
    • 情報セキュリティガバナンスを「組織の情報セキュリティ活動を指導し,管理するシステム」と定義し、情報セキュリティガバナンスの目的を3つ挙げています。
      • 戦略の整合: 情報セキュリティの目的及び戦略を,事業の目的及び戦略に合わせる。
      • 価値の提供: 経営陣及び利害関係者に価値を提供する。
      • 説明責任: 情報リスクに対して適切に対処されていることを確実にする。
    • 情報セキュリティを統治するためのプロセスとして、評価、指示、モニタ、コミュニケーション及び保証の5つを定義しています。これが設問に記載されているガバナンスプロセスです。
      • 評価: 現在のプロセス及び予測される変化に基づくセキュリティ目的の現在及び予想される達成度を考慮し,将来の戦略的目的の達成を最適化するために必要な調整を決定するプロセス
      • 指示: 経営陣が,実施する必要がある情報セキュリティの目的及び戦略についての指示を与えるプロセス
      • モニタ: 経営陣が戦略的目的の達成を評価することを可能にするプロセス
      • コミュニケーション: 経営陣及び利害関係者が,双方の特定のニーズに沿った情報セキュリティに関する情報を交換する双方向のプロセス
      • 保証: 経営陣が独立した客観的な監査,レビュー又は認証を委託するプロセス
    • JIS Q 27014:2015(情報セキュリティガバナンス)における,情報セキュリティガバナンスの範囲とITガバナンスの範囲に関する記述のうち,適切なものはどれか。
    • JIS Q 27014:2015(情報セキュリティガバナンス)における,情報セキュリティを統治するために経営陣が実行するガバナンスプロセスのうちの"モニタ"はどれか。
  • クラウドセキュリティの『JIS Q 27017:2016』に基づくコントロール,クラウド事業者の可⽤性や財務状況の確認,解約時の(データ削除に代わる)確実な暗号化と暗号化鍵の廃棄の確認
  • ⾏き過ぎたBYODの反省という⽂脈での,MDMの監査のチェックポイント
    • MDM(Mobile Device Management)は、会社や団体が、自組織の従業員に貸与するモバイル端末(スマートフォンやタブレット)に対して、セキュリティポリシに従った一元的な設定をしたり、業務アプリケーションを配信したりして、モバイル端末の利用状況などを一元管理する仕組みです。 MDMで提供される代表的な機能は次の3つです。
      • 端末状態の制御やセキュリティ設定の一元管理
      • リモートロック/ワイプなどによる紛失・盗難時の情報漏洩対策
      • アプリのインストール禁止機能などによる不正利用の防止
    • MDM(Mobile Device Management)の説明として,適切なものはどれか。
    • 会社や団体が,自組織の従業員に貸与するスマートフォンに対して,セキュリティポリシに従った一元的な設定をしたり,業務アプリケーションを配信したりして,スマートフォンの利用状況などを一元管理する仕組みはどれか。
    • “MDMありき”の誤解を解消し、いまBYODは真の実用のフェーズに突入
    • 個人所有のモバイル端末の業務利用(BYOD)の監査
  • 技術者倫理と絡めた,⼈的な⾯のコントロール
    • 集団思考(グループシンク)とは、集団で意思決定を行う際に、集団の結束がマイナスに働いた結果、不合理な決定が下されてしまうことをいいます。不合理な判断がなされた例としてチャレンジャー号事件、ケネディ政権のピッグス湾侵攻作戦、ウォータゲート事件を巡るニクソン大統領の判断ミスなどがよく挙げられます。集団思考はチーム内の結束が強く、閉鎖的な体制などの欠陥を有し、チームに掛かるストレスが高いという状況が揃うと発生しやすい傾向にあると言われています。アメリカの心理学者であるアーヴィング・ジャニスが1982年に発表した「集団思考の8つの兆候」では、集団思考に陥りやすい集団が示す兆候を以下の3類型8項目に整理しています。
      • 第1類型(グループの能力や道徳性に対する過大評価) 自分たちを不死身と見なす幻想、集団に固有の道徳性についての再考の否定
      • 第2類型(閉鎖的な関心) 集団の行動を合理的なものに見せようとする自己弁護、集団外部への批判・偏見及び責任の転嫁
      • 第3類型(均一性への圧力) 自身の意見が集団の総意から外れていないかをチェックする自己検閲、沈黙を同意と見なすなどの全会一致の幻想 反論するメンバへの直接的な圧力、集団の自己満足を妨げる情報が入ってくるのを阻止する意見監視員の出現
      • 技術者が研究や設計などの業務を行う際は、集団の中で討議を行い意思決定をしていくことがほとんどです。技術者は集団における社会心理学的要素を十分に理解し、たとえ技術者倫理に則した自身の意見が組織の倫理と対立する場合であっても、常に技術者倫理側に立って行動することが求められます。
    • 日本技術士協会の"技術士倫理綱領"では、1つ目に「技術士は、公衆の安全、健康及び福利を最優先に考慮する。」と明記しています。つまり、技術者が職務遂行する上で最も優先されることは公衆の安全です。その他の事項と"公衆の安全"が対抗する場合もありますが、その際には必ず公衆の安全を優先するのが技術者としての適切な態度です。
    • 技術者倫理の遵守を妨げる要因の一つとして,集団思考というものがある。集団思考の説明として,適切なものはどれか。
    • 技術者倫理の観点から,職務遂行において技術者が優先すべきこととして,最も適切なものはどれか。

データベース

エンベデッドシステムスペシャリスト

プロジェクトマネージャ

  • 総務省及び経済産業省が策定した"電子政府における調達のために参照すべき暗号のリスト(CRYPTREC 暗号リスト)"を構成する暗号リストの説明のうち,適切なものはどれか。
  • 経済産業省とIPAが策定した"サイバーセキュリティ経営ガイドライン(Ver2.0)"の説明はどれか。
  • JIS Q 27000:2019(情報セキュリティマネジメントシステム-用語)では,情報セキュリティは主に三つの特性を維持することとされている。それらのうちの二つは機密性と完全性である。残りの一つはどれか。
  • ファジングに該当するものはどれか。
  • 脆弱性検査手法の一つであるファジングはどれか。
  • 情報セキュリティにおけるエクスプロイトコードの説明はどれか。
  • 情報セキュリティにおけるサンドボックスの説明はどれか。
  • サイバーレスキュー隊(J-CRAT)は,どの脅威による被害の低減と拡大防止を活動目的としているか。
  • DevSecOps
    • 運用後もユーザ・ニーズに迅速に応え、対応し続けるITシステム開発手法として運用と開発を一体化したDevOpsがある。DevOps手法の全工程にセキュリティを組み込んだDevSecOps手法が、スピードアップとコスト削減の点が注目、DevSecOps手法では、テストの自動化によってパッチ適用の問題点を把握するまでの時間が短縮、さらに仮想化技術やクラウドサービスによって、パッチの段階的適用や迅速な切り戻しが行える。
    • image.png
    • image.png
  • OWASP ZAP
    • The Zed Attack Proxy (ZAP)は、Webアプリケーションの脆弱性を見付けるための簡単に使える統合ペネトレーションテストツールです。ZAPは手動で脆弱性を見付けることができるツール群はもちろんのこと、自動スキャナーも提供します。
  • OSINT
    • 公開資料:(OSINT: Open source intelligence)  新聞・雑誌・テレビ・インターネットなどのメディアを継続的にチェックしたうえで、書籍・公刊資料を集めて情報を得る手法。英語では「オシント」と呼ばれる。各国の情報機関は、諜報活動の9割以上はオシントに当てられるとされる。
  • 制御システムのセキュリティリスク分析ガイド 第2版
    • リスク分析を実施することによって、保護すべきシステムや事業を明確化し、それに対して想定される脅威を明確化し、その脅威に対する対策を明確化し、限られたコスト(予算)の中でリスク低減に効果的な対策を優先順位付けして実施する計画を立案・決定することが可能となる。こうしたプロセスを経て、最初の リスク分析(第一ステップ)で実施された対策による脅威への対策実施状況やリスクの低減度、対策 が見送られた脅威によるリスクの残留度を評価する。また、時間の経過に従い、システムやサービ ス上に新たな脅威が発生することが想定される。それらを受けて、再度リスク分析(次のステップ)を 実施し、その残留脅威に対する対策の検討・実施によって、継続的にリスクの低減を図っていくこと が可能となる。いわゆる、PDCA(Plan-Do-Check-Act)のサイクルを継続的に回していくことが可 能となる。
  • ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン
    • 対象のアセット(資産)を明確化し、それに対して想定されるインシデントや被害レベルを設定し、リスクの特定を行う。次に事業被害や脅威について分析と評価を行う。この評価結果をもとに、改善の必要な箇所 を抽出しリスクの低減対策を実施する。更にこれらの過程は随時レビューし、PDCA サイクルとして回していくことが重要である。即ち、リスクアセスメントやリスク対策は 1 回実施すればよいというものではなく、随時状況をモニタし、新たな脅威の発生や対策の陳腐化に対応していかなければならない。ビルにおいては、例えば設計や建設の段階でセキュリティ対策を実施したとしても、その後の長期にわたる運用過程において、定期的に脆弱性情報を収集し、リスクアセスメントを実施して、必要に応じた追加対策を行うことが望まれる。 image.png image.png
  • 会計基準の「⼯事進⾏基準」は「収益認識基準」に
    • 2021年4月から企業会計基準委員会(ASBJ)による「収益認識に関する会計基準(以降、収益認識基準)」に変わる。
      • 製品の場合、基本的には所有権が移転したタイミングで売上を計上
      • 検収が必要な設備の場合の収益認識は、検収完了後
      • サービスの場合は、お客様が便益を得たタイミングで計上
      • SaaSのようにソフトウェアを年単位で提供だと契約期間に応じて月単位に分割して売上を計上 image.png
  • 請負契約の「瑕疵担保責任」は「契約不適合責任」に
    • 契約不適合責任とは、売買契約で、商品に品質不良や品物違い、数量不足などの不備があった場合に、売主が買主に対して負う責任のことです。
    • 権利を主張できる期間は,引渡しから最⻑10年(契約不適合を知ってから1年)
    • image.png
  • 準委任契約の細分化(「成果完成型」と,旧来同様の「履⾏割合型」)
    • 成果完成型: システムを完成(=仕事を完成)して初めて、クライアントに報酬を請求できるタイプの準委任契約
  • 新しい『情報システム・モデル取引・契約書』(IPA[2019])
  • 受託開発(⼀部企画を含む)、保守運⽤
  • パッケージ、SaaS/ASP活⽤、保守・運⽤
1
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
2