【2025年度版】ISMS規程理解度確認テスト
編注: 本様式はGoogleフォームから回答スプレッドシートを介して復元したもの。設問文と正答は完全復元だが、選択式設問の誤答選択肢は復元不可(回答に現れた選択肢のみ記載)。来年度のテストは実施方法を含めて再設計予定。
全30問。正答は満点者(30 / 30)の回答から復元した。
1. 情報資産の分類
Section titled “1. 情報資産の分類”当社の情報資産の分類に関する規程に基づき、機密性の重要度が最も高い「機密」に該当する情報資産として、最も適切なものはどれですか?
- 正答: 漏えいすると取引先・顧客に重大な影響があるNDA(秘密保持契約)対象情報。
2. パスワード設定の必須要件
Section titled “2. パスワード設定の必須要件”当社の情報機器利用に関する規程に基づき、業務システムでパスワードを設定する際に最低限遵守すべき、パスワードの複雑性に関する要件はどれですか?
- 正答: 12文字以上で、英字・数字・記号を組み合わせる。
3. 貸与PCの社外利用時の管理
Section titled “3. 貸与PCの社外利用時の管理”当社の情報機器利用に関する規程に基づき、貸与されたPCやスマートフォンを社外で利用する際に、情報漏えいリスク防止のために明確に禁止されている取り扱いはどれですか?
- 正答: たとえ一時的であっても、無人状態で放置すること(例:新幹線等でカバンを置いたままトイレ等へ行くなど)。
4. 個人情報のローカル保存
Section titled “4. 個人情報のローカル保存”当社の受託開発における運用ルールに基づき、業務上必要不可欠な理由で個人情報をローカル端末に一時保存する場合、最も厳格に遵守しなければならないルールはどれですか?
- 正答: 業務上必要不可欠な場合に限り、責任者の承認を得て、24時間以内に削除する。
- 判明している選択肢(誤答): ローカルPCのストレージ暗号化が必須であり、利用終了時に責任者の承認を得て削除する。
5. 契約終了・退職時の責務
Section titled “5. 契約終了・退職時の責務”従業員の退職または契約終了時、当社の規程に基づき、情報セキュリティを確保するために必須とされる対応として正しいものはどれですか?
- 正答: すべての貸与資産を返却し、関連するすべてのアカウントを返納しなければならない。
6. 情報の転送とSNS利用
Section titled “6. 情報の転送とSNS利用”当社の規程に照らし、情報の転送やSNS利用に関するルールとして明確に違反する行為はどれですか?
- 正答: 業務で受信した電子メールを、個人のメールアドレス(GmailやYahooメール等)に転送した。
7. 公共無線LANの利用
Section titled “7. 公共無線LANの利用”当社のネットワーク利用に関する規程に基づき、情報セキュリティを確保するために定められているルールとして正しいものはどれですか?
- 正答: 喫茶店、駅、空港等の不特定多数が利用可能な公共無線LAN(フリーWi-Fi)の利用は禁止する。
8. 情報のラベル付け
Section titled “8. 情報のラベル付け”当社の情報セキュリティ管理規程に基づき、機密性の高い「機密」情報に対して原則として行うべきラベル付けの措置はどれですか?
- 正答: 文書やファイルのヘッダーまたはフッターに「機密」と明記する。
9. 物理的セキュリティ(オフィス)
Section titled “9. 物理的セキュリティ(オフィス)”当社の物理的セキュリティに関する規程およびISMSの要求事項に基づき、オフィスが無人になる場合に施設管理上、必ず実施しなければならない対応はどれですか?
- 正答: 無人状態になる場合は、時間帯に限らず、必ず出入口の施錠を行うこと。
10. 脅威情報の収集と共有
Section titled “10. 脅威情報の収集と共有”当社の情報セキュリティ方針やリスク管理の原則に基づき、組織として継続的に実施が求められる活動はどれですか?
- 正答: 新たな脅威や攻撃の手口を知り、対策を社内共有する仕組みを構築・維持すること。
11. 本番環境への変更時の対応
Section titled “11. 本番環境への変更時の対応”運用システム(本番環境)に変更(リリースやバージョンアップなど)を実行する際、当社の規程に基づき、情報システムの可用性を確保するために必ず準備しなければならない事項はどれですか?
- 正答: 変更が失敗した場合に、速やかに切り戻し(ロールバック)ができる手順を事前に準備すること。
12. ソースコード管理の制限
Section titled “12. ソースコード管理の制限”当社の開発に関する規程に基づき、知的財産であるソースコード(A.8.4)の機密性を維持し、不正な変更を防止するために必須とされているルールはどれですか?
- 正答: すべての変更に対してコードレビューを必須とし、直接の本番用ブランチへのコミットは禁止する。
13. テスト用情報の取り扱い
Section titled “13. テスト用情報の取り扱い”当社のシステム開発規程に基づき、テスト環境で情報を取り扱う際の「テスト用情報(A.8.33)」の原則として、最も優先すべき措置はどれですか?
- 正答: 個人情報やその他の秘密情報をテスト目的で用いる場合は、原則として匿名化・マスキングを行わなければならない。
14. 特権的アクセス権の利用
Section titled “14. 特権的アクセス権の利用”当社のシステム管理規程に基づき、管理者権限アカウント(root, adminなど)の利用に関して、利用者エンドポイント機器(A.8.1)のセキュリティを保つために定められているルールはどれですか?
- 正答: 管理者権限アカウントは必要最小限とし、通常業務は必ず一般権限のアカウントで行う。
15. クラウドサービス選定時の確認事項
Section titled “15. クラウドサービス選定時の確認事項”新規にSaaS・クラウドサービスを導入する際、当社のSaaS・アクセス管理規程に基づき、管理者が「SaaS管理台帳」に記録しなければならない必須確認事項はどれですか?
- 正答: サービス終了時に、利用者が保存したデータについて返却または削除が可能であること。
16. 再委託管理
Section titled “16. 再委託管理”当社の業務受託管理規程に基づき、委託元から受託した業務を当社の責任においてさらに第三者へ再委託する場合、情報セキュリティ確保のために最も優先すべき対応はどれですか?
- 正答: 必ず事前に委託元の書面による承認を得なければならない。
- 判明している選択肢(誤答): 再委託の有無およびセキュリティ調査の結果を記録として残し、監査証跡として保存すること。
17. 職務の分離
Section titled “17. 職務の分離”当社の情報セキュリティ管理規程に基づき、一つの誤りや不正が重大な影響を与えることを防ぐために、必ず実行者と承認者を分離する(A.5.3)ことが求められている業務の例はどれですか?
- 正答: システムに対する設定変更やソフトウェアの導入など、本番環境への変更を伴う業務。
18. 開発環境と本番環境の分離
Section titled “18. 開発環境と本番環境の分離”当社のシステム開発セキュリティ規程に基づき、開発環境、テスト環境、および本番環境の分離(A.8.31)に関して定められているルールとして、正しいものはどれですか?
- 正答: 開発・テスト環境と本番環境は物理的または論理的に分離し、相互の接続を禁止する。
19. ログの保存期間
Section titled “19. ログの保存期間”当社のSaaS・アクセス管理規程に基づき、SaaS・クラウドサービス(A.5.23)におけるアクセスログや監査証跡(A.8.15)に関して、原則として設定されている保存期間はどれですか?
- 正答: 原則3年以上。
20. 認証情報管理の優先順位
Section titled “20. 認証情報管理の優先順位”当社の情報機器利用に関する規程に基づき、業務システムへのログイン認証において、パスワード単独認証を避けるために優先して利用することが求められている方式はどれですか?
- 正答: Googleアカウントなどによるシングルサインオン(SSO)やパスキー認証。
- 判明している選択肢(誤答): 指紋や顔認証などの生体認証情報。
21. インシデント発生時の初動報告
Section titled “21. インシデント発生時の初動報告”情報セキュリティインシデント(誤送信、紛失、不正アクセスなど)またはその疑いを発見した場合、当社の規程に基づき、最初に取るべき行動として最も適切なものはどれですか?
- 正答: 速やかにISMS責任者、または上長(部門責任者)へ報告する義務を負う。
22. インシデント対応後の学習と改善
Section titled “22. インシデント対応後の学習と改善”情報セキュリティインシデントへの対応(A.5.26)が完了した後、当社のインシデント管理規程に基づき、再発防止のために必ず実施しなければならない事項はどれですか?
- 正答: インシデント発生後には必ずレビューを実施し、得られた教訓を関係者に共有する。
23. インシデント対応記録の保護
Section titled “23. インシデント対応記録の保護”インシデント対応フローの「レポート・記録対応」プロセスにおいて、当社の規程がセキュリティチームに対して特に要求している、レポートおよび記録の保護措置はどれですか?
- 正答: レポートは監査証跡となるため、改ざん不可の形式で保管し、承認者を記録すること。
24. 事業継続のための対応手順の検証
Section titled “24. 事業継続のための対応手順の検証”事業の中断・阻害が発生した場合に備えて、当社の規程に基づき、対応手順の有効性を確実にするために実施が求められている事項はどれですか?
- 正答: 定められた間隔で、事業の中断・阻害時の対応手順を試験し、妥当性及び有効性を検証すること。
25. 事業継続管理における重要業務の定義
Section titled “25. 事業継続管理における重要業務の定義”事業継続管理規程(POL-013)に基づき、災害・障害発生時に早期復旧または継続が最優先される「重要業務」として定義されている業務はどれですか?
- 正答: 当社が顧客との委託契約に基づき遂行する、システムの開発・運用・保守に関わる業務。
26. 災害時の従業員の最優先行動
Section titled “26. 災害時の従業員の最優先行動”地震や津波警報、土砂災害警戒情報などの災害や、システム障害が発生した場合、当社の規程に基づき、従業員に最初に求められる最優先の行動はどれですか?
- 正答: 自身の安全確保を最優先として即座に業務を中止し、避難行動をとること。
27. 経営者による代替連絡手段の整備
Section titled “27. 経営者による代替連絡手段の整備”大規模な通信障害などにより、主要なコミュニケーション手段(SlackやGoogle Workspaceなど)が利用できなくなった場合に備えて、当社の規程に基づき、経営者が整備する責務を負っている対策はどれですか?
- 正答: 電話またはSMS等の、主要サービスとは異なる代替連絡手段を整備すること。
28. インシデント対応訓練の目
Section titled “28. インシデント対応訓練の目”当社の規程に基づき、情報セキュリティインシデントの報告・対応手順について定期的に訓練を実施する主要な目的はどれですか?
- 正答: 情報セキュリティインシデントが発生した場合に、迅速かつ的確に対応できる状態を維持するため。
29. 廃棄時のデータ消去の原則
Section titled “29. 廃棄時のデータ消去の原則”PC、サーバーなどの情報機器や記憶媒体を廃棄または再利用する際に、情報漏えいを防ぐために当社の規程に基づき必ず実施しなければならない措置はどれですか?
- 正答: 内部メモリのデータについて、復元できないように完全に消去または物理的破壊を行うこと。
30. 従業員に課せられる守秘義務の範囲
Section titled “30. 従業員に課せられる守秘義務の範囲”当社の人的管理策に関する規程に基づき、従業員に求められる守秘義務(A.6.6)の範囲として、最も適切なものはどれですか?
- 正答: 就業規則や契約に基づき、業務上知り得た情報を外部に漏らさないなどのルールを理解し、雇用終了後も引き続き有効な責任を負うこと。
| 改定日 | 版 | 改定内容 | 承認 |
|---|---|---|---|
| 2026-06-10 | 1.0 | Googleフォームの回答スプレッドシートから設問・正答を復元しMarkdown化 | - |