平成16年度 セキュアド 問41−50 解答編
このページは
セキュアド
(情報セキュリティアドミニストレータ試験)
の
解答と解説
のページです。
問題
だけで勉強したい方は目次へ戻ってください
問41
通信傍受法に関する記述のうち、適切なものはどれか。
ア
通信傍受法の制定に伴い、電気通信事業法に定められた通信の秘密に関する条文が変更された。
イ
犯罪が予見できる場合は、電気通信事業者の判断によって傍受することができる。
ウ
傍受が許可される期間は、関与する犯罪の重大さによって決定され、期間の上限は特に定められていない。
エ
傍受を実施する際、電気通信事業者は正当な理由なく協力を拒んではならない。
解答
エ
解説
通信傍受法は、警察官など犯罪などの可能性がある場合などに通信を傍受することができるという内容のものであり、その際に、守るべきことや手続きなどを定義した法律です。基本的に立会等が必要ですが、人権問題や暗号技術に対する問題なども指摘されている法律です。今回の問題ですが、第十一条に『検察官又は司法警察員は、通信事業者等に対して、傍受の実施に関し、傍受のための機器の接続その他の必要な協力を求めることができる。この場合においては、通信事業者等は、正当な理由がないのに、これを拒んではならない』とあるので、正解はエになります。
問42
ソフトウェアの著作権に関する記述のうち、適切なものはどれか。
ア
開発委託契約に明記されていれば、著作者がもつすべての権利を譲渡することができる。
イ
ソフトウェアには、著作権の移転や権利の設定にかかわる登録制度が設けられている。
ウ
ソフトウェアの開発に当たって作成される設計書及びマニュアルは、ソフトウェアと一体となることで著作物として保護される。
エ
法人の業務に従事する者が職務上作成するプログラムは、別段の定めがない限りその個人が著作者となる。
解答
イ
解説
日本の場合は著作人格権とよばれるもの(氏名表示権や公表権等)は譲渡できません。(アメリカでは可能、また、相続については可能とする解釈もある)マニュアルはソフトウェアとは別物ですし、法人で作成した場合は、作成した会社に権利が帰属します。ソフトウェアの登録制度は財団法人ソフトウェア情報センターというところが行っています。
問43
知的財産に関する次の記述と密接に関連する法律はどれか。
企業の経営計画や経営方針又は店舗ごとの売上や顧客情報などの営業秘密に当たる情報を保護するために、企業とその情報に触れる者との間で秘密保持契約を締結する必要がある。
ア
実用新案法
イ
商標法
ウ
著作権法
エ
不正競争防止法
解答
エ
解説
いわゆる秘密文章の取り扱いに関する内容です。この文章が流出したりすると適正な競争が阻害されることから、不正競争防止法にかかわりが深いといえます。実用新案権や著作権は作成物の権利をまもるもので、商標権もロゴのようなマークを保護するものです。
問44
図は、企業と労働者の雇用関係を表している。企業Bと労働者Cの関係はどれか。
ア
“契約”が請負契約で、企業Aが受託者、企業Bが委託者であるとき、企業Bと労働者Cとの間には、指揮命令関係が生じる。
イ
“契約”が出向にかかわる契約で、企業Aが企業Bに労働者Cを出向させたとき、企業Bと労働者Cとの間には指揮命令関係が生じる。
ウ
“契約”が労働者派遣契約で、企業Aが派遣元、企業Bが派遣先であるとき、企業Bと労働者Cの間にも、雇用関係が生じる。
エ
“契約”が労働者派遣契約で、企業Aが派遣元、企業Bが派遣先であるとき、企業Bに労働者Cが出向しているといえる。
解答
イ
解説
契約には、請負、出向、派遣の3つがあります。特に、労働派遣契約に関する関係ことは、特に重要なので以下にまとめます。
問45
ボリュームライセンス契約を説明したものはどれか。
ア
企業などソフトウェアの大量購入者向けに、マスタを提供して、インストールの許諾数をあらかじめ取り決める契約
イ
使用場所を限定した契約であり、特定の施設の中であれば台数や人数に制限なく使用が許される契約
ウ
標準の使用許諾条件を定め、その範囲で一定量のパッケージの包装を解いたときに、権利者と購入者との間に使用許諾契約が自動的に成立したと見なす契約
エ
ユーザ側が使用を許諾する量的条件を示し、ソフトウェアメーカがそれを記載した契約
解答
ア
解説
一般のライセンスは1つのコンピュータにしかインストールをすることが認められていません。そこで、大量にインストールする必要のあるオフィスなどでは、このボリュームライセンス契約をして多くのコンピュータにインストールをします。
問46
システム監査で利用する統計的サンプリング法に関する記述のうち、適切なものはどれか。
ア
サンプルの抽出に無作為抽出法を用い、サンプルの監査結果に基づく母集合に関する結論を出すに当たって、確率論の考え方を用いる。
イ
抽出されるサンプル数は、統計的サンプリングと非統計的サンプリングの選択を決定付ける重要な判断基準である。
ウ
抽出するサンプルを統計的に決定する手法ではなく、サンプルに対して監査手続きを実施した結果を統計的に評価する方法である。
エ
無作為抽出法を用いるだけではなく、システム監査人が経験的判断を加味して、サンプルを抽出する。
解答
ア
解説
サンプリング法には様々なものがありますが、基本的には母集合(全体)から統計的に信頼のできる確率を導ける量を取り出してその特性を母集合の特性とするという考え方です。サンプルの抽出は特別な条件がない場合は無作為抽出を行うのが一般的です。
問47
システム監査の特質に関する記述のうち、適切なものはどれか。
ア
システム監査は、監査対象から独立した立場で行う情報システムの監査であり、システムの企画・開発・運用・保守に責任を負うものではない。
イ
システム監査は、情報システムが“システム監査基準”に準拠しているかどうかを確かめる監査である。
ウ
システム監査は、内部監査として行われるが、監査人は経営者及び監査対象部門から独立していなければならない。
エ
システム監査は、法的監査ではないので、監査役が行ってはならない。
解答
ア
解説
システム監査は、基本的に独立した部署や外部のように対象の部門と利害の関係をもたず客観的・公平的な点検・評価を行います。企画・開発・運用・保守はシステム運用・開発部門等のような監査を受ける側の部門が負うべき責任です。内部監査は基本的にどの部署からも独立していますが、経営陣などの承認を得るために最低限のつながりはあります。また、システム監査基準はシステム監査部門が守るべき基準なので、情報システム部門が守るべき基準ではありません。
問48
システムテスト(総合テスト)で使用するテストデータの作成に対する監査項目はどれか。
ア
テストチームが、業務活動の中でシステムが使用されるケースを想定してテストデータを作成しているか。
イ
品質保証部門が、要求仕様を満たしているシステムであることをテストするテストデータを作成しているか。
ウ
プログラマが、自分で作成したプログラムのすべての経路をテストするテストデータを作成しているか。
エ
プログラミングチームが、プログラム間のインタフェースをテストするテストデータを作成しているか。
解答
ア
解説
選択肢ウやエは結合テストを行う前の単体テストで行うべき、単体テストや結合テストを指しています。統合テストは実際に業務で使用することを前提にしたテストなので、業務活動で使用した実際のデータをテストとして利用するのが好ましいといえます。要求仕様を満たしているかのテストは、結合テストの最後に行われるテストといえるので、統合テストではすでにクリアされていると考えられます。
問49
“ISMS認証基準”の詳細管理策を基に設定した、ノート型パソコンに対する物理的安全対策の妥当性を確認するための監査手続はどれか。
ア
オフィス内を視察し、不在者のノート型パソコンが施錠されたキャビネットに保管されていることを確認する。
イ
教育計画及び教育記録を閲覧し、ノート型パソコンの安全管理についての社員教育が適切に行われていることを確認する。
ウ
実際にノート型パソコンを操作して、パスワードを入力しないと起動できない仕組みになっていることを確認する。
エ
ノート型パソコンの管理ルールを調べ、社外に持ち出す場合には申請書を提示し、セキュリティ管理者の許可を得るルールになっていることを確認する。
解答
ア
解説
物理的安全対策とは、物理的にノート型パソコンが盗まれたり、破壊されないために行う対策のことです。選択肢ウは論理的な安全対策であるといえます。
問50
“情報セキュリティ監査制度:情報セキュリティ監査基準”における利用者のアクセス管理のコントロールはどれか。
ア
悪意のあるソフトウェアからシステムを保護するための検出及び防止の管理策、並びに利用者に認知させるための手順を導入すること
イ
情報システムにおける特権の割当て及び使用を制限し、管理すること
ウ
取扱いに慎重を要する情報や重要な情報の機密性を保護するために、暗号化をすること
エ
利用者のパスワード選択及び使用は、正しいセキュリティ慣行に従うこと
解答
イ
解説
アクセス管理コントロールとはつまり、正規のユーザや適切なレベルのユーザにしかアクセスできないように制限をかけることです。暗号化をすることはセキュリティ上有効ですが、アクセス管理とは無関係です。また、パスワードの適切しようもセキュリティの初歩的な事項ですが、同じく、アクセス管理とは無関係です。
