午後試験のテーマと出題趣旨一覧
業務の現場における情報セキュリティ管理の具体的な取組みである情報資産管理,リスクアセスメント,IT 利用における情報セキュリティ確保,委託先管理,情報セキュリティ教育・訓練などのケーススタディによる出題を通して,情報セキュリティ管理の実践力を問います。
平成31年度 春季
問1 サイバー攻撃を想定した演習
サイバー攻撃を想定した機能演習を題材にして,情報セキュリティリーダとして知っておくべき演習の種類や演習の目的,運営方法などについて問う。また,サイバー攻撃発生時の初動対応について,演習を通して適切な対応方法を指導し,さらに演習方法を改善する能力を問う。
問2 企業における情報セキュリティ管理
商社における ISMS の活動を題材にして,情報セキュリティリーダに求められる SNS の利用におけるリスク対策,オンラインショッピングサイトでの権限管理に関する知識と設計の能力などを問う。
問3 情報セキュリティの自己点検
自己点検と個人所有のスマートフォンの業務利用を題材にして,情報セキュリティリーダに求められる,リスクベースで考える能力,管理策の実施状況及び有効性を適切に評価する能力,職場で新たな情報セキュリティリスクを発見する能力,及び自己点検の結果に基づいて情報セキュリティの改善を行う能力を問う。
平成30年度 秋季
問1 インターネットを利用した振込業務の情報セキュリティリスク
BEC(Business E-mail Compromise,ビジネスメール詐欺)の被害に遭遇した企業を舞台に,振込手続,及び取引先との電子メールのやり取りを題材として,情報セキュリティリーダが会計システム及び振込手続におけるリスクを特定し,適切な対応策を導き出すための知識と洞察力を問う。
問2 リスク対応策の検討
情報セキュリティ点検を受けた結果を基に改善を行っていく状況を設定し,情報セキュリティリーダに必要となる,複数の改善策の中から最も適切な改善策を選択する能力を問う。さらに,選択した改善策を,業務への影響を考慮した上で導入していくための手順について検討する能力を問う。
問3 標的型メール攻撃への対応訓練
派遣及び転職を支援する人材サービス会社における標的型メール攻撃への対応訓練を題材として,情報セキュリティリーダに必要となる,適切な訓練計画を立案する能力及び訓練で明らかになった課題に対する解決策を検討する能力を問う。
平成30年度 春季
問1 個人情報の保護に関する法律への対応
ヘルスケア商品の販売代理店での営業スタイルの見直しを題材に,情報セキュリティリーダとして,個人情報保護法改正の重要ポイントを把握した上で,モバイル PC の導入に伴い発生する情報セキュリティリスクへの対策を立案できる能力を問う。さらに,自社のマーケティング分析のニーズに合致する匿名加工情報に加工する方法を検討する能力,及び匿名加工情報を取扱う上で留意すべき事項に関する知識を問う。
問2 内部不正事案
保険代理店で発生した事案を題材として,内部不正を防止するために,情報セキュリティリーダに求められる“内部不正を生み出す 3 要因:不正のトライアングル”の基本知識や,組織の実態に応じてリスクを適切に把握し,“組織”,“人”,“技術”の 3 面から原因を分析できる能力を問う。
問3 企業統合における情報セキュリティガバナンス
客先へのメール誤送信というトラブルを題材に,情報セキュリティリーダが現場の改善要望のヒアリング,機能改善を通して,企画,調整,管理などを進めていくための能力を問う。
平成29年度 秋季
問1 情報セキュリティリスクアセスメント
在宅勤務の導入に伴う IT 利用環境の変化を題材として,業務の現場で情報セキュリティリーダに求められる情報セキュリティリスクアセスメント,特に詳細リスク分析を実践する能力を問う。
問2 Web サービスでの Web アプリケーションソフトウェア開発委託
Web アプリケーションソフトウェア開発の外部委託に当たり,情報セキュリティリーダとして情報セキュリティ要求事項を検討する能力,及び脆弱性診断結果を踏まえて対応を検討する能力を問う。さらに,業務の継続性や情報セキュリティ上のリスクを考慮しながら,根本的な解決策と暫定的なリスク低減策を適切に比較し,検討する能力を問う。
問3 スマートデバイスの業務利用における情報セキュリティ対策
モバイルワークでのスマートデバイス利用を題材に,情報セキュリティリーダに求められる,情報セキュリティ対策を検討する能力を問う。また,対策を実施することによって新たに発生するおそれのある課題を事前に想定し,その解決策を検討する能力を問う。
平成29年度 春季
問1 マルウェア感染への対応
ランサムウェアの感染という情報セキュリティインシデントを事例として,情報セキュリティリーダに求められる対応能力と,管理,技術の両面から情報セキュリティの改善方法を検討する能力を問う。
問2 クラウドサービスを利用した情報システムの導入と運用
情報セキュリティリーダに求められる,クラウドサービスを導入,運用する上で情報セキュリティの観点から留意すべき事項を確認する能力,及び社内規程と適用業務を踏まえてアカウントの付与及び操作権限の設定を検討する能力を問う。
問3 オフィスの物理的セキュリティ
まず,レイアウトが変更された後のオフィスにおいて,情報セキュリティ上の問題点を発見する能力,そして,その問題点に対して,業務への影響を考慮した改善策を検討する能力を問う。
平成28年度 秋季
問1 オンラインストレージサービスの利用における情報セキュリティ対策
オンラインストレージ上のファイルの共有設定の誤りによる情報セキュリティインシデントを題材に,情報セキュリティリーダに必要な情報セキュリティインシデントの原因や影響を考察する能力と,再発防止策を策定する能力を問う。
問2 情報機器の紛失
従業員が外出中にノート PC を紛失した情報セキュリティインシデントを題材に,部門の情報セキュリティリーダが,情報システム部門と協力し,情報セキュリティ被害の拡大防止のための初動対応を行う能力を問う。
問3 業務用 PC での Web サイト閲覧
情報システムの利用部門の情報セキュリティリーダが情報セキュリティインシデント対応を行う能力,及び社内の関係者と協力し真の感染原因の解明と再発防止策などを検討する能力を問う。
平成28年度 春季
問1 標的型攻撃メールの脅威と対策
標的型攻撃メールの対策検討に関する能力,情報セキュリティインシデント対応に関する能力,従業員一人一人の意識向上の重要性を理解した上で情報セキュリティ教育を実施していく能力を問う。
問2 業務委託におけるアクセス制御
業務上の役割分担や規則に応じた適切な権限設定を検討する能力,承認者の不在,要員の追加,交代といった日常起こり得る変化において情報セキュリティ上のリスクを考慮して対応する能力を問う。
問3 情報セキュリティ自己点検
まず,情報システムの利用部門が,簡易チェックリストを用いて自主的にチェックする仕組みを検討する際に,どのような評価項目が適しているか判断する能力を問う。続いて,監査部門の依頼に基づいて CSA 方式によって自己評価を行う際に,情報セキュリティの実施状況を適切に評価する能力と,その結果に基づいて改善計画を策定する能力を問う。
コンテンツ
情報セキュリティマネジメント試験に合格するためのコンテンツです。