ITパスポート 令和8年度 91-100問

ITパスポート 令和8年度 91-100問
問91

デジタル署名やブロックチェーンで用いられるハッシュ関数には,SHA-256,SHA-512などがある。このようなハッシュ関数に関する記述として,適切なものはどれか。

ア  あるハッシュ関数を用いて得たハッシュ値を,そのハッシュ関数に入力することによって,元のデータを復元することができる。
イ 同じデータを異なるハッシュ関数にそれぞれ入力したとき,得られるハッシュ値は全て同じになる。
ウ 同じハッシュ関数を用いる場合,入力したデータが同じであれば,得られるハッシュ値は常に同じになる。
エ どのハッシュ関数にもそれぞれの逆関数が存在し,ハッシュ値から元のデータを復元することができる。

解答:ウ
解説
ウ 情報セキュリティ対策・情報セキュリティ実装技術に関する問題です。

ハッシュ関数は、特殊な計算方法で任意の文字列から固定長のハッシュ値を生成します。

同じデータをハッシュ関数に通すと、常に同じハッシュ値に変換されます。変換後のハッシュ値から元のデータを復元することはできません。
異なるデータから同じハッシュ値になることはほぼないので、データが改ざんされた場合はハッシュ値を比較することで改ざんされたかどうかがわかります。

また、同じデータを入力しても、ハッシュ関数が異なれば得られるハッシュ値は違います。 ハッシュ関数は一方向のみで、復元可能な逆関数は存在しません。

ポイント
復元可能な暗号化とは違うよ!と覚えておこう。



問92

ゼロトラストセキュリティの考え方に基づいた情報セキュリティ対策の例として,適切なものはどれか。

ア インターネットと内部ネットワークの境界にファイアウォールを配置し,インターネットからの脅威を境界で遮断する。
イ 内部ネットワークからであっても外部ネットワークからであっても,ネットワーク上の情報資源へのアクセスには二要素認証を利用する。
ウ 内部ネットワークに接続するPCにインストールされたソフトウェアに脆弱性が発見されたときに,そのセキュリティパッチは公開後直ちに適用する。
エ 内部ネットワークに接続するPCのうち,インターネットにアクセスするPCだけにマルウェア対策ソフトをインストールする。

解答:イ
解説
情報セキュリティ対策・情報セキュリティ実装技に関する問題です。

ゼロトラストセキュリティとは、社内外のネットワークを問わず、すべてのアクセスを信頼せずに検証するセキュリティの考え方です。

対策としては、内部ネットワークからであっても外部ネットワークからであっても,ネットワーク上の情報資源へのアクセスには二要素認証を利用するなど、厳格に検査・制御することでサイバー攻撃や情報漏洩を防ぎます。

ファイアウォールの配置やインターネットにアクセスするPCだけにマルウェア対策ソフトをインストールするのは、組織のネットワークを安全な内部と危険な外部に分け、その境界線を守るセキュリティ対策である境界防衛です。

ポイント
これからも出題されそう。境界型と合わせて実際の対応例を覚えておくべき。



問93

次のISMSにおける実施項目のうち,最初に行うものはどれか。

ア ISMSの適用範囲の決定
イ 情報セキュリティリスクアセスメント
ウ 情報セキュリティリスク対応
エ 内部監査

解答:ア
解説
情報セキュリティ管理に関する問題です。

ISMSは、組織全体で保護すべき情報資産のセキュリティ管理をどのように行うべきかを示した枠組みです。

ISMSの実施項目は以下の順に行います。
1. 適用範囲の決定
2. 情報セキュリティリスクアセスメント
3. 情報セキュリティリスク対応
4. 監査

よって、最初に行うのはISMSの適用範囲の決定になります。

ポイント
PDCAサイクルとの合わせ問題など、様々な種類の出題があるISMS。とりあえず基本的な意味は必須。最近は規格ISO/IEC 27001の出現率高。



問94

情報セキュリティ対策を,“技術的セキュリティ対策”,“人的セキュリティ対策”及び“物理的セキュリティ対策”に分類したとき,“物理的セキュリティ対策”の例として,適切なものはどれか。

ア 機密情報の取扱いに関して,罰則を含めた規則を制定し,これを遵守させるために,関係者に定期的な教育を実施する。
イ 被災によるシステム障害が発生してもサービスを継続できるように,遠隔地にバックアップシステムを用意する。
ウ ますます方法が巧妙化されるサイバー攻撃による被害を防ぐために,サイバー攻撃の方法や対策に関する情報を従業員に周知する。
エ マルウェアによる被害を防ぐために,マルウェア対策ソフトを導入し,定義ファイルを常に最新に保つ。

解答:イ
解説
情報セキュリティ対策・情報セキュリティ実装技術に関する問題です。

【情報セキュリティ対策例】
技術的セキュリティ対策
 ファイアウォールやウイルス対策ソフトの導入、アクセス制御システムの構築、データの暗号化、ログ監視など
人的セキュリティ対策
 多要素認証の導入、物理セキュリティの強化、セキュリティ教育など
物理的セキュリティ対策
 ゲート設置の他、監視カメラや警備員配置、アンチパスバック方式など

物理的セキュリティ対策の例は、被災によるシステム障害が発生してもサービスを継続できるように、遠隔地にバックアップシステムを用意することです。

アとウは人的セキュリティ対策、エは技術的セキュリティ対策の例です。

ポイント
教育がでてきたら人的、モノは物理的、ソフトは技術的。



問95

SQLインジェクションの対策などで用いられ,処理の誤動作を招かないように,利用者がWebサイトに入力した内容に含まれる有害な文字列を無害な文字列に置き換えることを何と呼ぶか。

ア MACアドレスフィルタリング
イ サニタイジング
ウ ストライピング
エ ソーシャルエンジニアリング

解答:イ
解説
情報セキュリティ対策・情報セキュリティ実装技術に関する問題です。

SQLインジェクションは、悪意のあるSQL文を入力してデータベースのデータを不正に取得したり改ざんしたりする攻撃です。
この対策として、悪意のある誤動作を起こさせないよう、Webサイトへの入力内容を無害化するサニタイジングが有効です。

MACアドレスフィルタリングはアクセスポイントが接続を要求してきた端末固有の情報を基に接続制限を行う仕組みです。
ストライピングは1つのデータを複数のハードディスクに分散して書き込む方法です。
ソーシャルエンジニアリングは人間の心理の隙をついて情報を盗む行為です。

ポイント
攻撃手法は以前より減ってきたかもしれないが、絶対に数問でる!
攻撃内容と、それによってどうなるか、対応策をセットで覚えよう。



問96

機密情報の取得などを目的として,特定の組織や個人に対して,複数の攻撃手法を使うなどして長期間にわたり継続的に攻撃を行うという特徴をもつ,サイバー攻撃はどれか

ア APT攻撃      イ DDoS攻撃
ウ ゼロデイ攻撃    エ パスワードリスト攻撃

解答:ア
解説
情報セキュリティに関する問題です。

特定のや個人組織を狙い、長期間にわたり複数の手法で潜伏・攻撃を続けるサイバー攻撃APT攻撃(Advanced Persistent Threat)です。

DDoS攻撃は、サーバに大量のデータを送信してサーバの機能を停止させる攻撃手法です。
ゼロデイ攻撃は、プログラムの脆弱性の修正パッチが公表される前に、その脆弱性を悪用して行う攻撃です。
パスワードリスト攻撃は、別のサービスから流出したIDとパスワードを使って、標的とするWebサイトに不正に侵入する攻撃です。多要素認証やパスワードの使いまわしをしないなどが有効です。

ポイント
攻撃は内容と対策をセットで覚えよう!



問97

OSS(Open Source Software)の取扱いに関する記述のうち,適切なものだけを全て挙げたものはどれか。

  1. OSSを集めた記録媒体を,顧客に有償で提供する。
  2. 改変したOSSを,特定の利用分野に制限してOSSとして提供する。
  3. 不具合を発見して修正したOSSのソースコードを,自分のWebサイトで提供する。
ア a   イ a, c   ウ b, c   エ c

解答:イ
解説
オープンソースソフトウェアに関する問題です。

OSS(OpenSourceSoftware)ソースコードを公開し、ユーザが改良して再配布することを許可しているソフトウェアです。

OSSは有償無償問わず自由に再配布できます。また、修正したOSSのソースコードを自分のWebサイトで提供することも可能です。
特定の利用分野に制限することは差別なので不適切です。

ポイント
ズバッと一言は説明できないOSSの定義。自由といいつつ決まりはある。
過去問に出たものだけチェックしておこう。



問98

AIにおけるプロンプトエンジニアリングの説明として,適切なものはどれか。

ア AIが,多数の事象やデータから普遍的なルールや知識を獲得すること
イ AIに対する質問や指示などが入力できる状態であることを,画面上に記号や文字列で示すこと
ウ 意図した回答を得るためにAIに対する質問や指示の内容,情報の提供,出力形式の指定などを工夫すること
エ 神経細胞が作るネットワークをコンピュータで模した,AIで用いられる計算モデルのこと

解答:ウ
解説
情報に関する理論に関する問題です。

AIにおけるプロンプトエンジニアリングとは、AIに対して適切な指示文を出し、望ましい出力を引き出すための技術です。目的に沿った情報を提供し、出力形式の指定などを工夫することで、より適切な結果を求めることができます。

アは機械学習、イはシグニファイア、エはニューラルネットワークの説明です。

ポイント
AIやIoTに関する単語はすべて覚えておこう!出題率大



問99

入力装置に関する次の記述中のa,bに入れる字句の適切な組合せはどれか。

  a  は,紙などに光を当て,反射光を読み取り,文字や図形をデジタルデータに変換してPCに取り込む。  a  が文字や図形をどの程度細かく読み取れるかの性能を示す単位として  b  が使われる。



解答:イ
解説
ハードウェア(コンピュータ・入出力装置)に関する問題です。

紙などに光を当て、反射光を読み取って文字や図形をデジタルデータに変換してPCに取り込む入力装置イメージスキャナです。
イメージスキャナの性能は解像度で示されます。これは画像の細かさを示すもので、単位はdpi(dots per inch)です。

スクリーンリーダは画面に表示された内容を視覚以外の方法で伝えるソフトウェアアプリケーションです。
dps (bit per second)は1秒間に転送できるデータ量です。

ポイント
イメージスキャナーで読み取ったものに限らず、既存画像やカメラなどから直接テキストデータに変換することが可能。



問100

ISMSの活動に関する記述として,最も適切なものはどれか。

ア 企業のコスト削減や製品の品質,サービスの改善などのために,業務プロセスを改善する。
イ 顧客の満足度を高めるために,ITサービスの品質を継続的に改善する。
ウ 情報資産を洗い出し,リスクの特定と分析及び評価を行い,情報資産を管理する。
エ 製品とサービスの開発プロセスの成熟度を評価し,改善する。

解答:ウ
解説
情報セキュリティ管理に関する問題です。

ISMSは、組織全体で保護すべき情報資産のセキュリティ管理をどのように行うべきかを示した枠組みです。

情報資産を洗い出し、リスクの特定と分析及び評価を行い、情報資産を管理するのがISMSの活動になります。

アは品質マネジメント、イはITサービスマネジメント、エはCMMI(Capability Maturity Model Integration)に関する記述です。

ポイント
PDCAサイクルとの合わせ問題など、様々な種類の出題があるISMS。とりあえず基本的な意味は必須。最近は規格ISO/IEC 27001の出現率高。