Perl日記

日々の知ったことのメモなどです。Perlは最近やってないです。

情報セキュリティマネジメント試験の復習

先日、IPA情報処理技術者試験「情報セキュリティマネジメント(SG)」に合格した。
合格はしたものの幾つか間違えてしまったので、その問題を復習する。

 

平成30年度春期 問題・解答のページ
IPA 独立行政法人 情報処理推進機構:問題冊子・配点割合・解答例・採点講評(2018、平成30年)

 

情報セキュリティマネジメント(SG)

午前 問題PDF 解答PDF
午後 問題PDF 解答PDF

 

 

※答えの部分を白色にしています

個人的に一番驚いた問題から

午前 問4

退職する従業員による不正を防ぐための対策のうち,IPA“組織における内部不正防止ガイドライン(第4版)”に照らして,適切なものはどれか。

ア 在職中に知り得た重要情報を退職後に公開しないように,退職予定者に提出させる秘密保持誓約書には,秘密保持の対象を明示せず,重要情報を客観的に特定できないようにしておく。

イ 退職後,同業他社に転職して重要情報を漏らすということがないように,職業選択の自由を行使しないことを明記した上で,具体的な範囲を設定しない包括的な競業避止義務契約を入社時に締結する。

ウ 退職者による重要情報の持ち出しなどの不正行為を調査できるように,従業員に付与した利用者IDや権限は退職後も有効にしておく。

エ 退職間際に重要情報の不正な持ち出しが行われやすいので,退職予定者に対する重要情報へのアクセスや媒体の持ち出しの監視を強化する。

答え <

 

参考資料

www.ipa.go.jp

組織における内部不正防止ガイドライン(日本語版) 第4版ガイドラインPDF

5. 雇用終了間際に情報の持ち出し等の内部不正が発生しやすいことから、雇用終了前の一定期間から、PC 等をシステム管理部門等の管理下に置くことが望まれます
(例:アクセス範囲の限定、USB メモリの利用制限等)。

組織における内部不正防止ガイドライン(日本語版) 第4版ガイドライン P.55

 

感想

「退職までに不正な持ち出しをするなんて、レアケースじゃない? そんなガイドラインに載っていたりはしないだろう」と思い、エは候補から外してしまった(全部×にしか思えなかったので、泣く泣く「ア」を選択)。

ガイドラインに載るほど、世の中にはそんなに多くの退職間際の持ち出しがあるのだろうか……。

ちなみに、午後の問題にも同ガイドラインを基にした設問があり、そこでこの午前の問を間違えてしまったことがわかってしまって悲しかった。

 

 

午前 問32

記憶媒体を介して,企業で使用されているコンピュータにマルウェアを侵入させ,そのコンピュータの記憶内容を消去した者を処罰の対象とする法律はどれか。

ア 刑法
イ 製造物責任法
ウ 不正アクセス禁止法
エ プロバイダ責任制限法

答え <

 

電子計算機(コンピュータ)を破壊したり改ざんしたりする罪は「電子計算機損壊等業務妨害罪」で刑法第234条の2にあたる。
ということで、刑法が正解。

ちなみに、実際に妨害まで至らず未遂で終わったとしても罰せられる

 

参考資料

刑法第234条の2
e-Gov法令検索

(通称「ウイルス作成罪」を含む「不正指令電磁的記録に関する罪」も該当するかも。こちらも刑法第19章の2なので、正解は変わらず)

刑法第168条の2
e-Gov法令検索

 

 

午前 問33

個人情報保護委員会個人情報の保護に関する法律についてのガイドライン(通則編)平成29年3月一部改正”に,要配慮個人情報として例示されているものはどれか。

ア 医療従事者が診療の過程で知り得た診療記録などの情報
イ 国籍や外国人であるという法的地位の情報
ウ 宗教に関する書籍の購買や貸出に係る情報
エ 他人を被疑者とする犯罪捜査のために取り調べを受けた事実

答え <

 

参考資料

個人情報保護委員会
法令・ガイドライン等

個人情報の保護に関する法律についてのガイドライン(通則編)PDF

法第2条(第3項)
この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。

個人情報の保護に関する法律についてのガイドライン(通則編)PDF P.15

 

感想

「イ」かなと思ったけど、「ア」だった。

こちらの解答も午後の問題の中で明らかになったので、「結構午前と午後で同じ内容を扱うのだな」と思った。

 

 

午前 問49

CSR調達に該当するものはどれか。

ア コストを最小化するために,最も安価な製品を選ぶ。
イ 災害時に調達が不可能となる事態を避けるために,複数の調達先を確保する。
ウ 自然環境,人権などへの配慮を調達基準として示し,調達先に遵守を求める。
エ 物品の購買に当たってEDIを利用し,迅速かつ正確な調達を行う。 

答え <

 

CSRとは「Corporate Social Responsibility」の略で、よく「企業の社会的責任」と訳されるらしい。

利益のみを目的とせず、社会へ与える影響に責任をもつ、という意味。

CSR調達とは、資材やサービスなどを調達する際に、運搬時間やコストだけではなくCSRも意識して選定することを指す。

 

 

午後 問1

問題文
(中略)例えば会社が[ d ]に基づき従業員の健康診断を実施し(中略)

設問1 dに関する解答群

ア 次世代育成支援対策推進法
イ 賃金の支払の確保等に関する法律
ウ 労働安全衛生法
エ 労働基準法
オ 労働組合
カ 労働契約法

答え <

 

健康診断は労働安全衛生法によって1年に1回義務付けられているので、拒否はできない。
気をつけましょう。

 

参考資料

www.jil.go.jp

 

 

以上。

とはいえ既に上位互換っぽい「情報セキュリティスペシャリスト」を以前取得していたので、試験に望んだ事自体が、良い復習になったなあ(今回のオチ)。