情報セキュリティースペシャリスト の 5門
第1問
ITポートフォリオの説明はどれか。
管理費などの間接コストを、業務区分ごとのアクティビティの種別に着目して、製品やサービスの原価に割り振る手法である。
企業の経営戦略を、多面的な視点で体系立てて立案し、実行を管理し、業績を評価する手法である。
業界ごとなどで統一的に策定された評価尺度(指標値群)を用いて、企業全体の投資効果を測定する手法である。
情報化投資をリスクや投資価値の類似性で幾つかのカテゴリに整理し、ビジネス戦略実現のための最適な資源配分を管理する手法である。
情報セキュリティースペシャリスト の 5門
第2問
Webアプリケーションにおけるセキュリティ上の脅威と対策の適切な組合せはどれか。
OSコマンドインジェクションを防ぐために,Webアプリケーションが発行するセッションIDを推測困難なものにする。
SQLインジェクションを防ぐために,Webアプリケーション内でデータベースへの問合せを作成する際にバインド機構を使用する。
クロスサイトスクリプティングを防ぐために,外部から渡す入力データをWebサーバ内のファイル名として直接指定しない。
セッションハイジャックを防ぐために,Webアプリケーションからシェルを起動できないようにする。
情報セキュリティースペシャリスト の 5門
第3問
スパムメールの対策であるDKIM(Domain Keys Identified Mail)の説明はどれか。
送信側メールサーバでディジタル署名を電子メールのヘッダに付加して,受信側メールサーバで検証する。
送信側メールサーバで利用者が認証されたとき,電子メールの送信が許可される。
電子メールのヘッダや配送経路の情報から得られる送信元情報を用いて,メール送信元のIPアドレスを検証する。
ネットワーク機器で,内部ネットワークから外部のメールサーバのTCPポート番号25への直接の通信を禁止する。
情報セキュリティースペシャリスト の 5門
第4問
ダイバーシティマネジメントの説明はどれか。
従業員が仕事と生活の調和を図り,やりがいをもって業務に取り組み,組織の活力を向上させることである。
性別や年齢,国籍などの面で従業員の多様性を尊重することによって,組織の活力を向上させることである。
自ら設定した目標の達成を目指して従業員が主体的に業務に取り組み,その達成度に応じて評価が行われることである。
労使双方が労働条件についての合意を形成し,協調して収益の増大を目指すことである。
情報セキュリティースペシャリスト の 5門
第5問
JVN(Japan Vulnerability Notes)などの脆(ぜい)弱性対策ポータルサイトで採用されているCVE(Common Vulnerabilities and Exposures)識別子の説明はどれか。
コンピュータで必要なセキュリティ設定項目を識別するための識別子である。
脆弱性を利用して改ざんされたWebサイトの画面ショットを識別するための識別子である。
製品に含まれる脆弱性を識別するための識別子である。
セキュリティ製品を識別するための識別子である。
