貸金業務取扱主任者 過去問
令和元年度(2019年)
問21 (法及び関係法令に関すること 問21)
問題文
貸金業者向けの総合的な監督指針(以下、本問において「監督指針」という。)におけるシステムリスク管理態勢に関する次の記述のうち、サイバー攻撃に備えた多段階のサイバーセキュリティ対策として列挙されている入口対策、内部対策、出口対策の例として、その内容が監督指針の記載に合致しないものを 1 つだけ選びなさい。
このページは閲覧用ページです。
履歴を残すには、 「新しく出題する(ここをクリック)」 をご利用ください。
問題
貸金業務取扱主任者試験 令和元年度(2019年) 問21(法及び関係法令に関すること 問21) (訂正依頼・報告はこちら)
貸金業者向けの総合的な監督指針(以下、本問において「監督指針」という。)におけるシステムリスク管理態勢に関する次の記述のうち、サイバー攻撃に備えた多段階のサイバーセキュリティ対策として列挙されている入口対策、内部対策、出口対策の例として、その内容が監督指針の記載に合致しないものを 1 つだけ選びなさい。
- ファイアウォールの設置、抗ウィルスソフトの導入、不正侵入検知システム・不正侵入防止システムの導入
- 特権ID・パスワードの適切な管理、不要なIDの削除、特定コマンドの実行監視
- システム部門から独立した内部監査部門による実効性のある内部監査、外部監査人による第三者評価
- 通信ログ・イベントログ等の取得と分析、不適切な通信の検知・遮断
正解!素晴らしいです
残念...
この過去問の解説 (2件)
01
システムリスク管理態勢についての問題です。
[正しい]
監督指針では入口対策として、例えば、ファイアウォールの設置、抗ウィルスソフトの導入、不正侵入検知システム・不正侵入防止システムの導入等が挙げられています。
[正しい]
監督指針では内部対策として、例えば、特権ID・パスワードの適切な管理、不要なIDの削除、特定コマンドの実行監視等が挙げられています。
[誤り]
入口対策、内部対策、出口対策の例ではなく、
当該記述はシステム監査に関する記述ですので誤りとなります。
[正しい]
監督指針では出口対策として、例えば、通信ログ・イベントログ等の取得と分析、不適切な通信の検知・遮断等が挙げられています。
参考になった数15
この解説の修正を提案する
02
監督指針の記載に合致しないのは、「システム部門から独立した内部監査部門による実効性のある内部監査、外部監査人による第三者評価」という記述です。
この問題文は、令和元年度第14回貸金業務取扱主任者資格試験の問題21と同じ内容で、公式正答でもこの記述が不一致のものとされています。なお、現行の貸金業者向けの総合的な監督指針は2024年10月4日改正により、この部分の細かな例示が削除され、現在は「金融分野におけるサイバーセキュリティに関するガイドライン」を踏まえる形に改められています。つまり、この設問は試験当時の監督指針の例示を前提に判断する問題です。
合致しています。
金融庁の監督指針の例示では、これは入口対策の例として挙げられています。外からの不正なアクセスやウイルスが中に入るのを防ぐための対策なので、入口対策に当たります。
合致しています。
これは内部対策の例として挙げられています。システムの中に入った後に、権限の悪用や不正な操作が広がらないようにするための対策です。
合致しません。
これは、システムやセキュリティの管理態勢を点検・評価するための仕組みであって、監督指針が例示している入口対策・内部対策・出口対策そのものではありません。監督指針では、サイバー攻撃への多段階対策として、入口・内部・出口の具体例を別に挙げています。
合致しています。
これは出口対策の例です。情報が外に不正に出ていくことや、外部への怪しい通信を見つけて止めるための対策です。
ポイント
ファイアウォールなどは入口、ID管理などは内部、ログ分析や通信遮断は出口です。監査や第三者評価は、対策の例ではなく、態勢を点検する仕組みとして整理すると覚えやすいです。
参考になった数0
この解説の修正を提案する
前の問題(問20)へ
令和元年度(2019年) 問題一覧
次の問題(問22)へ