本稿ではIPA試験で必要とされる知識をまとめます。
はじめに
以下では,契約のユースケースとして
- 委託先:事業会社
- 受託者:SIer
- 受託者が雇用している従業員:パートナー
と呼ぶことにします。
実際には委託先が事業会社でないケースもありますし,受託者がSIerでないケースもあります。あくまでも分かりやすさを優先した上でのケーススタディです。
見直しポイント
偽装請負を説明せよ
契約上は業務委託であるのに実態は労働者派遣となっている状態。
- 請負契約:SIerとパートナーに指揮命令関係がある
- 労働者派遣:事業会社とパートナーに指揮命令関係がある
偽装請負とは,本来SIerとパートナーに指揮命令関係があるはずなのに事業会社が直接パートナーに指揮命令を下している状態のことを指す。例えば休暇取得ルールの指示などが指揮命令に該当する。受託者は委託者と呼ばれることもあるので注意する。
情報セキュリティポリシーは社外に公開するべきか
公開しなくてもよい。公開が求められているのは基本方針だけ。
複数の部門で異なる情報セキュリティ対策を実施する場合でも基本方針は統一させるべきか
統一させるべき
2015年の派遣法改正を説明せよ
ソフトウェア開発・機械設計・放送番組制作などの専門的な知識と技能が求められる26業務には派遣期間の制限がなかったが,改正後はどのような業務にも有効期限の上限は3年となった
購入元と購入先で売買契約が成立するのはどの時点か
双方が合意した時点。例えば購入元が注文書を送り,購入先が注文請書を送り返した時点で売買契約が整理する
公開鍵暗号方式にAESは含まれるか
含まれない。AESは共通鍵暗号方式
磁気ディスクのデフラグとは
ストレージ装置内の記憶領域を再配置して空き領域を連続した状態にすること
電子署名法を説明せよ
デジタル署名が手書きの署名と同等の効力を持つことを定める法律
電子署名にはコンピュータ処理の対象とならないものも含まれるか
含まれない
UC/SLA/OLAの違いを説明せよ
| 項目 | 略称 | 誰と | 誰の |
|---|---|---|---|
| UC | Underpinning Contract | サービス提供者 | 請負業者 |
| SLA | Service Level Agreement | サービス提供者 | 顧客 |
| OLA | Operational Level Agreement | サービス提供者 | 内部グループ |
いずれも合意文書である。誰と誰が合意するかが異なる。
ISMSの内部監査では監査員には研修修了生を含まなければならないか
含める必要はない
監査プログラムには前回までの監査結果を考慮しなければならないか
考慮する必要がある。「監査は独立しているはずだ」と誤解しやすいので注意する。点ではなく線。
営業秘密はどのような法律により保護されるか
不正競争防止法
独占禁止法と不正競争防止法の違いを説明せよ
いずれも公正な競争を確保する点では共通しているが,
- 独占禁止法:市場の独占を禁止
- 不正競争防止法:商標や特許の侵害や秘密の漏洩などを保護
という違いがある。
特定商取引法の目的を一言で説明せよ
購入者の損害を防ぐこと
Wanna Cryptorを説明せよ
Microsoftネットワークのファイル共有通信で用いられていたSMBv1の脆弱性を利用したワーム感染マルウェア
リスクの大きさを因数分解せよ
発生確率 $\times$ 損害の大きさ=(脅威 $\times$ 脆弱性) $\times$ 資産価値
OSは著作権法で保護されるか
保護される
アルゴリズムは著作権法で保護されるか
保護されない
プログラミング言語は著作権法で保護されるか
保護されない
プログラムは著作権法で保護されるか
保護される
プロトコル(規約)は著作権法で保護されるか
保護されない
執行したデジタル証明書をCRLに登録しておく期間はどのくらいか
デジタル証明書の有効期限が切れるまで
POSシステムで利用されるバーコードは何と呼ばれ,どのような情報が格納されているか。
JAN。格納されている情報は
- 国コード
- メーカーコード
- 商品コード
- チェックディジット
である。製造日やロット番号は格納されていないので注意する。POSはPoint Of Salesの略称。
派遣された労働者を再派遣することは派遣先企業に認められているか
認められていない
派遣された労働者の就業場所を変更する配置転換は派遣先企業に認められているか
認められていない
憲法・法令・判決の著作権はどこに帰属するか
著作物ではあるが,どこにも帰属しない
特許法・著作権法・実用新案法・意匠法・商法を説明せよ
- 特許法:自然法則に基づく技術的思想(のうち高度なもの)
- 著作権法:思想や感情を創造的に表現したもの
- 実用新案法:物品の形状や構造およびその組み合わせ
- 意匠法:物品の形状や色彩など視覚を通じて美感を想起させるもの
- 商標:文字や図形・記号・立体的形状などで表した商品のマーク
CSIRT/CCを説明せよ
インシデント対応においてグループ企業のCSIRT間で連携を行う。CCはコーディネーションセンター。
ASCII符号は漢字を規定するか
規定しない
時間外労働が許されるための条件を述べよ
労働者と使用者が協定を書面で締結し,行政官庁に届け出ること
脅威と脆弱性の違いを説明せよ
- 脅威:情報資産に害を与え得る事象の原因
- 脆弱性:情報資産に内在してリスクを顕在化させる弱点
主要なガイドラインの作成者と目的をまとめよ
| ガイドライン | 作成者 | 目的 |
|---|---|---|
| CSIRTマテリアル | JPCERT/CC | 組織内CSIRTの構築支援 |
| ISMSユーザーズガイド | JIPDEC | ISMS認証基準の要求事項説明 |
| 証拠保全ガイドライン | デジタル・フォレンジック研究会 | 電磁的証拠の保全手続き説明 |
| 組織における内部不正防止ガイドライン | IPA | 内部不正の早期発見と拡大防止 |
ただし,略語は下記のように覚えるとよい。
| 略語 | 正式 | イメージ |
|---|---|---|
| CSIRT | Computer Security Incident Response Team | セキュリティインシデントの対応チーム |
| JPCERT | Japan Computer Emergency Response Team | 政府機関や企業から独立したCSIRT |
| CC | Coordination Center | インシデント支援者のマッチング |
| JIPDEC | Japan Institute for Promotion of Digital Economy and Community | 日本情報経済社会推進協会 |
JISに適合しない製品の製造・販売は禁止されているか
禁止されていない。任意標準規格である。
JISで対象外となる分野はあるか
- 食品:JAS(日本農林規格)が担当
- 医薬品:日本薬局方が担当
準委任契約を説明せよ
善管注意義務を負って作業を受託する契約のこと。善管注意義務とは「その人の社会的な地位から一般的に要求される注意義務」のことを指す。「その人」とは受託者のSIerを指し,注意の矛先はSIerが雇っているパートナーとなる。
準委任契約は請負契約とは異なり成果物の完成を契約目的としておらず,委託された仕事の遂行自体を目的としている。ただし「仕事を遂行すること」だけでは質が担保されないため,SIerの常識的な管理を担保するために善管注意義務という言葉を利用している。
APTとは
Advanced Persistent Threatsの略称で,持続的に行われる標的型攻撃のことを指す。
サイバーセキュリティ戦略本部はどこに置かれているか
内閣
ISO/IEC/JISの違いを説明せよ
- ISO:電気分野を除く全産業分野の国際規格
- IEC:電気分野の国際規格
- JIS:各産業分野に対する日本規格
代表的なISO/IECシリーズとJISシリーズを説明せよ
| 略語 | 内容 |
|---|---|
| ISO/IEC 9000 | 品質マネジメントシステム |
| ISO/IEC 14000 | 地球環境マネジメントシステム |
| JIS Q 15000 | 個人情報保護 |
| JIS Q 27000 | 情報セキュリティマネジメントシステム(ISMS) |
| JIS Q 31000 | リスクマネジメント |
ISO/IEC 9000では定められた用途に対する要求事項を満たされていることを担保する「妥当性確認」がキーワード。JIS Q 15000としてはJIS Q 15001はプライバシーマーク制度,JIS Q 27000としてはJIS Q 27001のISMS適合性評価制度をおさえておきたい。
CC(Common Criteria)と呼ばれる情報技術セキュリティ評価基準の国際規格は何か
ISO/IEC 15408(JIS X 5070)
代表的なISO/IECシリーズとJISシリーズを覚えるだけでは解答できない例外。JISECと関連。
デジタル証明書および証明書執行リストのデータ形式を定めた標準規格は何か
ITU-T X.509U(JIS X 5731-8)
ISMS適合性評価制度の詳細管理策でベースとなる国際規格は何か
ISO/IEC 17799
ISMS適合性評価制度自体はJIS Q 27001に基づくため注意。
情報セキュリティマネジメントのモデルに関する国際規格は何か
ISO/IEC 13335
信頼できる第三者に関する国際規格は何か
ISO/IEC 14516
JISECとISMSの違いを語弊を恐れずに一言で説明せよ
| 項目 | 準拠する規格 | 何を評価するか |
|---|---|---|
| JISEC | ISO/IEC 15408 | セキュリティの機能 |
| ISMS | ISO/IEC 27001 | セキュリティの保守運用体制 |
JISEC自体が評価制度であり,ISMSは情報セキュリティマネジメントシステムのことを指す。
AESは鍵長によって段数が決まるか
決まる
AESで利用する鍵長を説明せよ
128ビット/192ビット/256ビットから選択する
PCにマルウェアを侵入させてデータを破壊させた者は何の法律に裁かれるか
刑法
BYODを説明せよ
Bring Your Own Deviceの略称で,私用デバイスを業務に利用することを指す。
クロスライセンスとは
特許所有者が相互に使用を許可する戦略
ソフトウェア管理ガイドラインの目的は何か
ソフトウェア違法複製の防止
BECとは
Business E-mail Compromiseの略称で,ビジネスメール詐欺により金銭を騙し取ること。
システム監査基準/システム管理基準/情報セキュリティ監査基準/情報セキュリティ管理基準の違いは何か
| 項目 | 説明 |
|---|---|
| システム監査基準 | システム監査人の行動規範 |
| システム管理基準 | 投資とリスクをコントロールするための事項 |
| 情報セキュリティ監査基準 | 情報セキュリティ監査人の行動規範 |
| 情報セキュリティ管理基準 | 情報資産を保護するマネジメント及びコントロールのための事項 |
システムと情報セキュリティを比べるとシステムのほうが広義な印象を持つため,システム管理基準に情報戦略や投資の話が含まれると覚えましょう。
特許権/実用新案権/意匠権/商標権の存続期間と更新の有無をまとめよ
| 工業所有権 | 存続期間 | 更新の有無 |
|---|---|---|
| 実用新案権 | 10年 | 無 |
| 特許権 | 20年 | 無 |
| 意匠権 | 25年 | 無 |
| 商標権 | 10年 | 有 |
工業所有権は産業財産権とも呼ばれる。
RPAとは
Robotic Process Automationの略称で,定常的な作業をソフトウェアにより自動化すること。
PL法(製造物責任法)の保護対象は何か
消費者。メーカーを保護するものではない。
請負契約において著作権はデフォルトでどこに付与されるか
SIer
BCPとは
Business Continuity Planの略称で,事業継続計画のこと。
中小企業自らが情報セキュリティ対策に取り組むことを自己宣言するIPA推進の制度は何か
SECURITY ACTION
SMTP-AUTHとSMTPSの違いを認証方式に着目して説明せよ
- SMTP-AUTH:SMTPサーバアクセス時に利用者認証
- SMTPS:サーバはクライアント証明書で利用者認証(over TLSであるため)
サポートユーティリティとは
情報システムの基盤となるライフライン
スクリプトキディとは
既存のツールを用いて不正アクセスを試みる初心者のこと
日本産業標準調査会とは
産業標準化法に基づいてJIS規格の制定などを行う機関
サイバーレスキュー隊とは何か
標的型サイバー攻撃の被害低減や拡大防止の支援を行う組織であり,J-CRATと呼ばれている。
リスクの受容はリスクの所有者から承認を得る必要はあるか
承認を得る必要がある。「所有者と受容の決定は独立させるべき」と誤解しやすいので注意。リスク所有者に無断で受容するとシンプルに迷惑がかかるからと理解する。
機密性・完全性・可用性の格付け区分を行う規格は何か
政府機関等の情報セキュリティ対策のための統一基準。行政機関や独立行政法人には適用されるが,全ての民間企業に適用される訳ではない。特定の法律により設立された指定法人には適用される。サイバーセキュリティ基本法に基づいて制定された。
耐タンパ性を説明せよ
ハードウェアやソフトウェアに対し物理的な接触によりデータを解析・改変・抽出しようとする攻撃への耐性のことを指す。タンパはTamper(手を加える)のこと。
監査はPDCAのうち何に相当するか
C(Check)
会社の業務活動で生産したプログラムはSIerとパートナー(個人)のどちらに帰属するか
SIer
オプトインとオプトアウトを説明せよ
- オプトイン:事前に同意が必要
- オプトアウト:事後に受け取り側で拒否設定を行う
シュリンクラップ契約とは
ソフトウェアのパッケージを開封した時点で使用許諾契約に同意したとみなす方式のこと。shrink-wrapはビニール製の包装紙のことを指す。
ドライブバイダウンロードとは
Webサイト上の悪意のあるプログラムにより,利用者に気付かれないようにマルウェアをダウンロードさせる攻撃のこと。USB経由でマルウェアを侵入させるautorun.infを悪用した攻撃と混同しないように注意。
サイバー攻撃の情報をIPAがハブとして収集する取り組みは何か
J-CSIP。Initiative for Cyber Security Information sharing Partnership of Japanの略称で,サイバー情報共有イニシアティブと呼ばれる。
個人情報保護の安全措置を分類せよ
| 項目 | 説明 |
|---|---|
| 技術的安全管理措置 | アクセス制御や監視など |
| 組織的安全管理措置 | 体制の整備など |
| 人的的安全管理措置 | 非開示契約や教育など |
| 物理的的安全管理措置 | 入退館管理など |
マスタブートレコードとは
ストレージの最も先頭にある小さな領域で,起動に必要となる情報が格納されている。
BCP/BPO/MRP/BSC/CSRをそれぞれ簡単に説明せよ
| 項目 | 略語 | 説明 |
|---|---|---|
| BCP | Business Continuity Plan | 事業継続計画 |
| BPO | Business Process Outsourcing | 業務プロセスの一部を一括して外部委託すること |
| MRP | Material Requirements Planning | 資材所要計画 |
| BSC | Balanced Score Card | バランススコアカード |
| CSR | Corporate Social Responsibility | 環境貢献など社会からの要請に対する責任を果たすこと |
CSR調達は委託先などを含めたサプライチェーン全体に対してCSRを求めるものであります。
監査の二つの分類を述べよ
- 助言型:今後の体制管理に関して改善提言する監査
- 保証型:監査実施時点で体制管理が適切であることを表明する監査
助言型を行った上で保証型に進む流れが一般的。
外部に公開するプライバシーポリシーを日本語で表現すると何になるか
個人情報保護方針。ガイドラインでも規程でもマニュアルでもなく方針。
- ガイドライン:共通マスタのイメージ
- 規程:個人情報取扱事業者が自主的に定めるイメージ
- マニュアル;プライバシーマーク作成のイメージ
- 方針:Webサイト上で公開するプライバシーポリシーのイメージ
ランダムサブドメイン攻撃の原理と攻撃対象を述べよ
攻撃対象のドメインにサブドメインをランダムで作成してDNSクエリを大量に発行することで,対象ドメインの権威サーバに負荷をかけるという原理。攻撃対象は権威DNSサーバ。
RFI/RFP/RFQを説明せよ
| 項目 | 略語 | 説明 |
|---|---|---|
| RFI | Request for Information | 「どのようなことができますか」のヒアリング |
| RFP | Request for Proposal | 「この要求に対して具体的に何ができますか」のヒアリング |
| RFQ | Request for Quotation | 「費用はどの程度ですか」のヒアリング |
いずれも事業会社側がSIerに対して情報提供を求めるもの。RFI→RFPの順番が一般的。RFQはRFPに含める場合もある。
派遣契約の勤労管理は派遣元と派遣先のどちらが行うか
派遣元
業務で作成した著作物の著作権は派遣先・派遣元,委託先・委託元のどちらに属するか
派遣先,委託元。「指揮命令側と同一」と理解する。
共同著作物の権利割合は開発費用の負担割合に比例するか
比例しない。特別な定めがない限り50:50となる。
従業員の個人番号で営業成績を管理してよいか
管理すべきではない。個人番号はマイナンバーのこと。
源泉徴収票の作成を業務委託先の税理士に作成させてよいか
作成させてよい。フリーランスの税理士をイメージすると分かりやすい。
請負契約では何ヶ月以内にバグを発見すれば請負人に責任を追及できるか
6ヶ月
請負元と請負先の言葉の意味を説明せよ
- 請負元:発注側(事業会社)
- 請負先:受託側(SIer)
PL法の賠償責任に時効は存在するか
10年という時効が存在する
輸入した製造物を販売している業者にPL法の損害責任は問われるか
特定の条件(実質的に製造元とみなせるような表示など)をした場合は損害賠償を負う
電子消費者契約法と特定電子メール法の違いを説明せよ
- 電子消費者契約法:誤操作による申し込みなどから消費者を保護する
- 特定電子メール法:広告目的の宣伝メールを規制する
新しいビジネスモデルを保護する法律は何か
特許法
XML署名をまとめよ
| 署名 | 署名と署名対象の関係 | 特徴 |
|---|---|---|
| Enveloping | 署名に署名対象が含まれる | 署名は一つ |
| Enveloped | 署名対象に署名が含まれる | 複数の署名を含められる |
| Detached | 署名対象と署名が別々 | 署名と署名対象を疎結合に管理できる |
Envelop・Enveloped・Detachedの主語は「署名」であると理解するとよいです。
よく知られた商品と誤認させる行為は何法に抵触するか
不正競争防止法。著作権法と誤解しやすいため注意。
ランサムとは何か
身代金
産業財産権を構造化せよ
| 知的財産権 | 産業財産権 | 特許権 |
| 実用新案権 | ||
| 意匠権 | ||
| 商標権 | ||
| 著作権 |
ターンアラウンドタイムとレスポンスタイムの違いを説明せよ
- ターンアラウンドタイム:処理要求〜全ての結果を受け取るまで
- レスポンスタイム:処理要求〜最初の結果を受け取るまで
サラミ法とは
ばれないように少しずつ不正行為を繰り返すこと。サラミの薄いスライスをイメージする。
ISMSでは定期的に外部監査を受けなければならないと定められているか
定められていない。内部監査は定期的に実施するべきだとしている。
トランザクション署名とは何か
取引内容も含めたデータに署名を付ける方式のこと
CVSSの深刻度の範囲を述べよ
0.0〜10.0
CVSSで脆弱性を評価する基準を述べよ
- 基本:固定基礎点のイメージ
- 現状:その時点における深刻度のイメージ
- 環境:利用者の環境を含めて最終的な深刻度を評価するイメージ
サイトライセンスとボリュームライセンスを説明せよ
- サイトライセンス:使用場所を限定。台数や人数に制限はない。
- ボリュームライセンス:大量購入向け。マスタを提供してインストール数を制限。
共通フレームとは
IPAが発行しているソフトウェア取引に関するガイドライン。システム開発で共通認識を揃えるためのツール。共通のものさし。
KGI/KPI/CSF/KSF/MBOの違いを説明せよ
| 擁護 | 略称 | 意味 |
|---|---|---|
| KGI | Key Goal Indicator | 最終指標。具体的な期間と数値を設定する。 |
| KPI | Key Performance Indicator | 中間指標。具体的な期間と数値を設定する。 |
| CSF | Critical Success Factor | KPIを策定するための分析要因。具体的な期間と数値の設定は不要。 |
| KSF | Key Factor for Success | CSFと同じ |
| MBO | Management By Objectives | 個々人に目標を設定する評価マネジメント方法 |
品質マネジメントシステムを文書化してISOに報告する必要はあるか
ない。そんなことしていたらISOがパンクする。
RTOとMTTRの違いを説明せよ
- RTO(Recovery Time Objective):復旧時間の目標
- MTTR(Mean Time To Repair):復旧時間の平均実績
事業継続計画では目標値を定めるためRTOが該当します。
統制環境と統制活動の違いを説明せよ
いずれも内部統制を構成する要素の一つであり,下記のような違いがある。
- 統制環境;内部統制のベース。「ルールを守るんだ」という雰囲気を指す概念。
- 統制活動:統制環境のベースの上で成り立つ活動。「ルールを守りなさい」と求めるもの。
例えば「トップが経営方針を明示する」は統制環境であり,「発注業務と検収業務を独立させる」は統制活動となる。統制活動には職務分掌が含まれると覚えてしまう。
不正のトライアングルを説明せよ
- 動機:不正を行うプレッシャー。そもそも動機がないと不正は始まらない。
- 機会:不正を行うことができる環境。不正ができない環境であれば不正は起こらない。
- 正当化:不正行為の合理化。動機と機会の条件が揃った上で正当化すると不正に走る。
派遣と出向の違いを説明せよ
- 派遣:労働者は派遣会社と労働契約を結ぶ
- 出向:労働者は派遣先の事業会社と労働契約を結ぶ
セキュアブートとは
デジタル署名により信頼性が担保された最低限のソフトウェアだけを起動させる方式のこと
アイディアは著作権法の対象か
対象ではない
ISMSにおけるリスクの取り扱い方法をまとめよ
マクロでは
- 需要基準決定→リスクアセスメント→対応
であり,リスクアセスメントのミクロは
- 特定→分析→評価
である。これらを合体させると
- 基準→特定→分析→評価→対応
となる。障害対応的な理解をしていると「まずは対応をしなくてはいけない」と考えてしまうが,ISMSで扱うリスクは障害ではないため,地に足ついた分析と計画に基づいて最後に対応すればよい。
適用宣言書はISMSのリスク取り扱いフローにおけるどのプロセスで作成されるか
リスク対応のプロセスにおける「リスク対応のための管理策選択」の後。適用宣言書を作成してからリスク対応計画を作成する。「リスク対応のための管理策選択」はメタな管理策と理解し,リスク対応計画とは異なるものであると捉えるとよさそう。「適用宣言書は一番最後だ」と曖昧な覚え方をしていると間違えるため注意。宣言してから対応する。
EAPは暗号化機能を有するか
有さない。AuthenticationのAであるため認証だけ。
JVNとは
Japan Vulnerability Notesの略称で,日本国内で使用されているソフトウェアの脆弱性対応状況を公開するポータルサイトのことを指す。
DLPとは
Data Loss Preventionの略称で,機密情報保護のためデータを常に監視する機能
UPSとは
Uninterruptible Power Systemの略称で,停電時に電気を一定時間供給し続ける仕組み
「脅威が存在しない場合は脆弱性に対処する必要はない」は正しいか
正しい
WBSとガントチャートの違いを説明せよ
- WBS:作業を階層化して分解する
- ガントチャート:作業日程をバーで表して進捗を可視化する
Validation Authorityの役割は何か
デジタル証明書の失効状態に関する問い合わせに応答すること
インシデント管理と問題管理の違いを語弊を恐れずに説明せよ
- インシデント管理の目的:障害に繋がり得る事象の解決をSLA以内に達成すること
- 問題管理の目的:インシデントの原因究明とその解決策・防止策の管理
派遣契約において教育は派遣元と派遣先のどちらの責任か
派遣元
「J-CRATはサイバーセキュリティ基本法に基づき内閣に設置されている」は正しいか
正しくない。J-CRATはIPAが設置したサイバーレスキュー隊のことを指すが,上はNISC(内閣サイバーセキュリティセンター)の説明。
「リスクマネジメントで対策費ではなく損失額を見積もる」は正しいか
正しくない。対策費も見積もる。
「リスク分析では純粋リスクだけでなく投機的リスクも対象にする」は正しいか
正しい。情報セキュリティ文脈では純粋リスクのみを対象とするが,経営目線では投機的リスクも対象にする。
「コンピュータを設置していない」というキーワードから思い浮かべるべき事項は何か
情報資産には紙や記憶などシステム以外も含まれるということ。それによりコンピュータを設置していなくても監査が必要となること。
CWEとは
Common Weakness Enumerationの略称で,脆弱性一覧のことを指す。Enumerationは一覧という意味。
「unicodeは漢字や中国語を表現できる」は正しいか
正しい。多国籍文字を2byteの文字コードで表現する。
労働者派遣契約とは何か
派遣元と派遣先が結ぶ契約。雇用契約は派遣元と労働者が結ぶ契約。
「リスク評価額は平均予想損失額で表される」は正しいか
正しくない。発生確率を掛ける。
コメント