資格勉強、 IT、 WEBアプリ開発 の気ままなブログ

『情報セキュリティ白書2025』の重要トピック練習問題3

執筆者:

カテゴリ:

Q1生成AIを業務利用する際、機密情報の流出を防ぐために「組織」が最初に行うべき対策は?
  • ア.個人所有のスマホ利用を許可する
    不正解管理外のデバイス利用は、かえって流出リスクを高めてしまいます。
    【この問題の狙い】白書2025でも重要視されている「AIガバナンス」の第一歩として、組織的なルール作りの重要性を理解できているかを問います。
  • イ.AI利活用ガイドラインを策定し、入力ルールを周知する
    正解!何を、どこまで、どのように使うかを明文化することが、リスク管理と利活用のバランスを取るための要です。
    【この問題の狙い】白書2025でも重要視されている「AIガバナンス」の第一歩として、組織的なルール作りの重要性を理解できているかを問います。
  • ウ.AIに「秘密は守って」と入力する
    不正解AIへの指示(プロンプト)だけでは、入力データの学習利用という技術的な仕組みは防げません。
    【この問題の狙い】白書2025でも重要視されている「AIガバナンス」の第一歩として、組織的なルール作りの重要性を理解できているかを問います。
  • エ.インターネットを完全に遮断する
    不正解現代の業務において現実的な対策ではなく、利便性と安全性の両立を目指す白書の方針とも異なります。
    【この問題の狙い】白書2025でも重要視されている「AIガバナンス」の第一歩として、組織的なルール作りの重要性を理解できているかを問います。
Q2電気やガスなどの重要インフラへの設備導入時、政府が安全性を事前審査する制度の根拠法は?
  • ア.不正アクセス禁止法
    不正解他人のID等を使った侵入行為を罰する法律です。インフラ機器のサプライチェーン審査とは目的が異なります。
    【この問題の狙い】地政学的リスクを受け強化された「経済安全保障」の法的枠組みを把握しているかを問います。
  • イ.特定商取引法
    不正解消費者保護の法律であり、サイバーセキュリティ戦略とは別分野です。
    【この問題の狙い】地政学的リスクを受け強化された「経済安全保障」の法的枠組みを把握しているかを問います。
  • ウ.経済安全保障推進法
    正解!2024年5月に本格運用が開始された、重要インフラに「悪意ある設備」が混入するのを防ぐための極めて重要な法律です。
    【この問題の狙い】地政学的リスクを受け強化された「経済安全保障」の法的枠組みを把握しているかを問います。
  • エ.電波法
    不正解電波の利用を管理する法律です。インフラ防衛の総合的な審査制度とは異なります。
    【この問題の狙い】地政学的リスクを受け強化された「経済安全保障」の法的枠組みを把握しているかを問います。
Q3白書2025の最注目ワード。攻撃を未然に防ぐために、攻撃者のサーバー等を探知・無害化する手法は?
  • ア.受動的サイバー防御
    不正解攻撃を受けた後に火消しをする従来のスタイルです。
    【この問題の狙い】「守るだけ」から「積極的な抑止」へと転換する日本の新しい防衛コンセプトを理解しているかを問います。
  • イ.境界型防御
    不正解ファイアウォールなどで内側と外側を分ける古典的な手法です。
    【この問題の狙い】「守るだけ」から「積極的な抑止」へと転換する日本の新しい防衛コンセプトを理解しているかを問います。
  • ウ.セルフガード防御
    不正解一般的な用語ではありません。
    【この問題の狙い】「守るだけ」から「積極的な抑止」へと転換する日本の新しい防衛コンセプトを理解しているかを問います。
  • エ.能動的サイバー防御(アクティブ・サイバー・ディフェンス)
    正解!重大な攻撃を未然に防ぐため、攻撃側のサーバー等を無害化する、国を挙げた新しいアプローチです。
    【この問題の狙い】「守るだけ」から「積極的な抑止」へと転換する日本の新しい防衛コンセプトを理解しているかを問います。
Q4カード情報の盗用被害を防ぐため、2025年までにECサイト等の決済で原則義務化されるのは?
  • ア.EMV 3-Dセキュア
    正解!ワンタイムパスワードや生体認証などを組み合わせた、高度な本人認証規格です。Web運営者には必須の知識です。
    【この問題の狙い】現実の被害が増加している決済分野における、具体的な期限と技術名称の認知を問います。
  • イ.HTTPSの解約
    不正解暗号化を解除することはセキュリティを著しく低下させます。
    【この問題の狙い】現実の被害が増加している決済分野における、具体的な期限と技術名称の認知を問います。
  • ウ.全商品の着払い移行
    不正解利便性を損なうアナログ回帰は、デジタルセキュリティの解決策とは言えません。
    【この問題の狙い】現実の被害が増加している決済分野における、具体的な期限と技術名称の認知を問います。
  • エ.パスワードの撤廃
    不正解認証を弱めることは、不正利用を助長する結果になります。
    【この問題の狙い】現実の被害が増加している決済分野における、具体的な期限と技術名称の認知を問います。
Q5ソフトウェアの「部品表」を作り、欠陥発覚時に自社への影響を即座に特定する手法は?
  • ア.SIEM
    不正解ログの統合分析システムです。部品のリスト管理とは別物です。
    【この問題の狙い】ソフトウェアサプライチェーンリスクの具体的対策として、現在注目されている最新用語を問います。
  • イ.SBOM(エスボム)
    正解!どの外部ライブラリを組み込んでいるか一覧化することで、脆弱性対応のスピードを劇的に向上させます。
    【この問題の狙い】ソフトウェアサプライチェーンリスクの具体的対策として、現在注目されている最新用語を問います。
  • ウ.SaaS
    不正解クラウドを通じたサービスの提供形態を指します。
    【この問題の狙い】ソフトウェアサプライチェーンリスクの具体的対策として、現在注目されている最新用語を問います。
  • エ.API管理
    不正解サービス連携の窓口管理であり、内部部品のリスト化とは役割が異なります。
    【この問題の狙い】ソフトウェアサプライチェーンリスクの具体的対策として、現在注目されている最新用語を問います。
Q6中小企業のセキュリティ向上を狙うIPAの制度で、IT導入補助金の交付要件となっているのは?
  • ア.全PCのMac移行
    不正解特定のOSに統一することは要件ではありません。
    【この問題の狙い】中小企業の底上げを目的とした具体的制度と、実務上のメリット(補助金等)の関係を問います。
  • イ.ISMS認証の取得
    不正解高コストな認証取得は中小企業の初動要件にはなっていません。
    【この問題の狙い】中小企業の底上げを目的とした具体的制度と、実務上のメリット(補助金等)の関係を問います。
  • ウ.SECURITY ACTION(セキュリティアクション)の自己宣言
    正解!自発的にセキュリティ対策に取り組むことを宣言する制度です。ロゴ取得により信頼性アピールも可能です。
    【この問題の狙い】中小企業の底上げを目的とした具体的制度と、実務上のメリット(補助金等)の関係を問います。
  • エ.サーバーの廃止
    不正解サーバーの有無ではなく、運用の安全性を宣言することが求められます。
    【この問題の狙い】中小企業の底上げを目的とした具体的制度と、実務上のメリット(補助金等)の関係を問います。
Q7白書2025でも警鐘。有名人を装った偽広告から偽投資アプリへ誘導する手口は?
  • ア.SNS型投資詐欺
    正解!生成AI等で巧妙化した「認知領域への攻撃」の代表格です。2024年から被害額が急増しています。
    【この問題の狙い】日常に潜む最新の詐欺手口を、白書の「認知領域」というキーワードと紐づけて理解しているかを問います。
  • イ.フィッシングメール詐欺
    不正解メールで偽サイトへ誘導する手口ですが、SNS広告を起点とする投資勧誘とは区別されます。
    【この問題の狙い】日常に潜む最新の詐欺手口を、白書の「認知領域」というキーワードと紐づけて理解しているかを問います。
  • ウ.ブルートフォース攻撃
    不正解パスワードを総当たりで試す技術的攻撃です。
    【この問題の狙い】日常に潜む最新の詐欺手口を、白書の「認知領域」というキーワードと紐づけて理解しているかを問います。
  • エ.スミッシング
    不正解SMSを使ったフィッシング詐欺のことです。
    【この問題の狙い】日常に潜む最新の詐欺手口を、白書の「認知領域」というキーワードと紐づけて理解しているかを問います。
Q8ボット化した多くのPCを遠隔操作して、DDoS攻撃を指示する「司令塔サーバー」の呼称は?
  • ア.プロキシサーバー
    不正解通信を代理(中継)する正当なサーバーの名称です。
    【この問題の狙い】白書のインシデント解析で共通して登場する「攻撃インフラ」の基礎用語を問います。
  • イ.DNSサーバー
    不正解名前解決を行うサーバーです。司令塔とは役割が異なります。
    【この問題の狙い】白書のインシデント解析で共通して登場する「攻撃インフラ」の基礎用語を問います。
  • ウ.ロードバランサ
    不正解負荷分散装置のことです。
    【この問題の狙い】白書のインシデント解析で共通して登場する「攻撃インフラ」の基礎用語を問います。
  • エ.C&Cサーバー
    正解!Command and Controlの略称です。攻撃のコントロールセンターとしての役割を持ちます。
    【この問題の狙い】白書のインシデント解析で共通して登場する「攻撃インフラ」の基礎用語を問います。
Q9ランサムウェア攻撃で暗号化被害に遭った際、白書2025でも基本とされる回復策は?
  • ア.身代金を即座に支払う
    不正解国際的に「支払わない」ことが基本方針。支払いは攻撃を増長させるだけです。
    【この問題の狙い】「回復(レジリエンス)」という概念に基づき、最優先すべき復旧手段の認識を問います。
  • イ.オフラインまたはネットワーク分離されたバックアップから復旧する
    正解!感染を前提としつつ、事業を止めないための唯一と言える確実な対策です。
    【この問題の狙い】「回復(レジリエンス)」という概念に基づき、最優先すべき復旧手段の認識を問います。
  • ウ.暗号を自力で解読しようと粘る
    不正解現代の強力な暗号を自力で解くのは非現実的であり、復旧が遅れるだけです。
    【この問題の狙い】「回復(レジリエンス)」という概念に基づき、最優先すべき復旧手段の認識を問います。
  • エ.PCを初期化して業務を最初からやり直す
    不正解過去のデータが失われるため、事業継続(BCP)の観点から最適解ではありません。
    【この問題の狙い】「回復(レジリエンス)」という概念に基づき、最優先すべき復旧手段の認識を問います。
Q10白書2025のテーマ「一変する日常:支える仕組みを共に築こう」の「共に」が表すビジョンは?
  • ア.産・官・学・個人の全プレイヤーが協力し合い、社会全体の防御力を高めること
    正解!誰か一人が守るのではなく、協力して全体を守る「共助」の精神こそが今年のメインテーマです。
    【この問題の狙い】白書2025の核心。一人ひとりが当事者であることを理解できているかを問います。
  • イ.全企業のデータを一つのクラウドに集約すること
    不正解単一障害点(SPOF)のリスクを高めることになり、白書の趣旨とは異なります。
    【この問題の狙い】白書2025の核心。一人ひとりが当事者であることを理解できているかを問います。
  • ウ.攻撃者と対等に話し合い、共存すること
    不正解犯罪行為を容認する「共存」はあり得ません。
    【この問題の狙い】白書2025の核心。一人ひとりが当事者であることを理解できているかを問います。
  • エ.一人の専門家に全てを任せること
    不正解「共に」というキーワードは、専門外の人も含む「全員参加型」のセキュリティを意味しています。
    【この問題の狙い】白書2025の核心。一人ひとりが当事者であることを理解できているかを問います。
出典:IPA「情報セキュリティ白書2025」に基づき独自に要点を分析

投稿をさらに読み込む