情報セキュリティスペシャリスト試験の午前Ⅱ問題と旧試験の午前問題からランダムに10問抽出します。問題を入れ替えたい場合は、ブラウザで再読み込みを行ってください。

SC:情報セキュリティスペシャリスト試験
SU:情報セキュリティアドミニストレータ試験(旧試験)
SV:テクニカルエンジニア(情報セキュリティ)試験(旧試験)

SC H23 特別 午前Ⅱ 問6

X.509におけるCRL(Certificate Revocation List)の運用を説明したものはどれか。

  • PKIの利用者は, 認証局の公開鍵がブラウザに組み込まれていれば, CRLを参照しなくてもよい。
  • 認証局は, X.509によって1年に1回のCRL発行が義務付けられている。
  • 認証局は, ディジタル証明書の有効期限内にCRLに登録することがある。
  • 認証局は, 発行したすべてのディジタル証明書の有効期限をCRLに登録する。
  • 解答を見る
    正解:ウ


    SC H23 秋 午前Ⅱ 問20

    TCPヘッダに含まれる情報はどれか。

  • 宛先ポート番号
  • パケット生存時間 (TTL)
  • 発信元IPアドレス
  • プロトコル番号
  • 解答を見る
    正解:ア

    宛先ポート番号はTCPヘッダ、それ以外はIPv4のIPヘッダに含まれる情報です。

    ・TCPヘッダのフォーマット
    TCPヘッダ


    ・IPv4ヘッダのフォーマット
    IPヘッダ


    SC H24 春 午前Ⅱ 問11

    有料の公衆無線LANサービスにおいて実施される,ネットワークサービスの不正利用に対するセキュリティ対策と目的はどれか。

  • 利用者ごとに異なるSSIDを割当てることによって,利用者PCへの不正アクセスを防止する。
  • 利用者ごとに異なるサプリカントを割当てることによって,利用者PCへの不正アクセスを防止する。
  • 利用者ごとに異なるプライベートIPアドレスを割り当てることによって,第三者によるアクセスポイントへのなり済ましを防止する。
  • 利用者ごとに異なる利用者IDを割り当て,パスワードを設定することによって,契約者以外の利用者によるアクセスを防止する。
  • 解答を見る
    正解:エ

  • SSID(Service Set Identifier)は、無線LANにおけるアクセスポイントに割り当てる識別子。利用者ごとに割り当てることはできない。
  • サプリカントは、クライアント側で認証要求するための機器またはソフトウェアのこと。利用者ごとに異なるサプリカントを割り当てても、不正アクセスの防止とはならない。
  • 無線LANのユーザ認証で、プライベートIPアドレスは用いられない。
  • 一般的なセキュリティ対策で、正しい記述です。

  • SC H24 春 午前Ⅱ 問8

    サイドチャネル攻撃の手法であるタイミング攻撃の対策として,最も適切なものはどれか。

  • 演算アルゴリズムに対策を施して,演算内容による処理時間の差異が出ないようにする。
  • 故障を検出する機構を設けて,検出したら機密情報を破棄する。
  • コンデンサを挿入して,電力消費量が時間的に均一となるようにする。
  • 保護層を備えて,内部のデータが不正に書き換えられないようにする。
  • 解答を見る
    正解:ア

    サイドチャネル攻撃とは、暗号処理装置を物理的手段(処理時間や装置から発する電磁波など)で観察・測定することで、装置内部の機密情報を取得する攻撃手法です。

    サイドチャネル攻撃には様々な種類があり、「タイミング攻撃」や「電力解析攻撃」、「電磁波解析攻撃」(テンペストともいう)などがあります。

    タイミング攻撃とは、暗号化や復号処理にかかる処理時間を測定し、処理時間の違いを統計的に分析して、暗号鍵の解読を行う攻撃手法です。

    対応策として、演算アルゴリズムに対策を施して、演算内容による処理時間の差異が出ないようにします。


    SC H24 秋 午前Ⅱ 問1

    特定の CA が発行した CRL(Certificate Revocation List) に関する記述のうち,適切なものはどれか。

  • CRLには,失効された公開鍵証明書に対応する秘密鍵が登録される。
  • CRLには,有効期限内の公開鍵証明書のうち破棄されている公開鍵証明書と破棄された日時の対応が提示される。
  • CRLは,鍵の漏えい,破棄申請の状況をリアルタイムに反映するプロトコルである。
  • 有効期限切れで無効になった公開鍵証明書は,所有者が新たに公開鍵証明書を取得するまでの間,CRL に登録される。
  • 解答を見る
    正解:イ

    CRLは、有効期限内に失効されたCAのディジタル証明書のシリアル番号のリストで、証明書の有効性を検証するために使われます。

    CRL には失効された証明書のシリアル番号、CRL の発行者名、更新日、次回更新日などが記載されます。有効期限切れとなった証明書はCRLには記載されません。

  • CRLに、ディジタル証明書に対応する秘密鍵は登録されません。
  • 正しい記述です。
  • このようなプロトコルは存在しません。そもそもCRLはプロトコルではありません。
  • 有効期限切れとなった証明書はCRLには記載されません。

  • SC H22 秋 午前Ⅱ 問19

    DNSSECの説明として, 適切なものはどれか。

    • DNSサーバへのDoS 攻撃を防止できる。
    • IPsecによる暗号化通信が前提となっている。
    • 代表的なDNSサーバの実装であるBINDの代替として使用する。
    • ディジタル署名によってDNS応答の正当性を確認できる。

    解答を見る
    正解:エ

    DNSSEC(DNS Security Extensions)は、DNSのセキュリティ拡張方式。
    DNSのレコードに公開鍵暗号方式によるディジタル署名を付加し、応答を受け取った側で、そのディジタル署名を検証する仕組み。ディジタル署名を検証することで、レコードの送信者の正当性と応答が改ざんされてないことを保証できる。
    DNSキャッシュポイズニングの対策に有効。


    SC H22 秋 午前Ⅱ 問10

    暗号方式に関する記述のうち, 適切なものはどれか。

  • AESは公開鍵暗号方式, RSAは共通鍵暗号方式の一種である。
  • 共通鍵暗号方式では, 暗号化及び複合に使用する鍵が同一である。
  • 公開鍵暗号方式を通信内容の秘匿に使用する場合は, 暗号化鍵を秘密にして, 復号鍵を公開する。
  • ディジタル署名に公開鍵暗号方式が使用されることはなく, 共通鍵暗号方式が使用される。
  • 解答を見る
    正解:イ

  • 誤り。AESは共通鍵暗号方式、RSAは公開鍵暗号方式。
  • 正しい。共通鍵暗号方式の説明。
  • 誤り。通信内容の秘匿に使用する場合は、暗号化鍵を公開にして、復号鍵を秘密する。公開鍵で本人認証を行う場合、暗号化鍵を秘密にして、復号鍵を公開する。
  • 誤り。ディジタル署名には、公開鍵暗号方式が使用される。

  • SU H18 秋 午前 問22

    100人の送受信者が共通鍵暗号方式で,それぞれ秘密に通信を行うときに必要な共通鍵の総数は幾つか。

  • 200
  • 4,950
  • 9,900
  • 10,000
  • 解答を見る
    正解:イ

    共通鍵暗号方式の鍵の総数の求め方:
    n(n-1)/2

    n=100なので、100(100 - 1)/2 = 4,950 となる。


    SC H23 秋 午前Ⅱ 問5

    ISP"A"管理下のネットワークから別のISP"B"管理下の宛先へSMTPで電子メールを送信する。
    電子メール送信者がSMTP-AUTHを利用していない場合,スパムメール対策OP25Bによって遮断される電子メールはどれか。

  • ISP"A"管理下の固定IPアドレスから送信されたが,受信者の承諾を得ていない広告の電子メール
  • ISP"A"管理下の固定IPアドレスから送信されたが,送信元IPアドレスがDNSで逆引きできなかった電子メール
  • ISP"A"管理下の動的IPアドレスからISP"A"のメールサーバを経由して送信された電子メール
  • ISP"A"管理下の動的IPアドレスからISP"A"のメールサーバを経由せずに送信された電子メール
  • 解答を見る
    正解:エ

    一般的に電子メールの送信には、SMTP(25番ポート)を利用しています。

    SMTPには、ユーザー認証機能がないため、スパムメールを送信する業者(スパマー)がたくさんいます。スパマーは、ISP提供のメールサーバを経由せず、メール送信先のメールサーバに直接接続しようとします。

    そこで多くのISPでは、スパムメール対策として、OP25B(Outbound Port 25 Blocking)を導入しています。

    OP25Bとは、ISP提供のメールサーバを経由せず、外部のSMTPサーバ(25番ポート)へ直接接続しようとするパケットをブロックすることです。

    よって、正解はエです。

    ちなみに、正当な利用者が、ISP提供のメールサーバを経由せず、メール送信先のメールサーバに直接接続する場合は、ポート番号25の代わりに、サブミッションポート(587番ポート)を使用します。サブミッションポートの利用には、「SMTP AUTH」による認証が必要となるため、正当な利用者のみがメール送信を行うことができます。


    SC H24 春 午前Ⅱ 問4

    米国NISTが制定した,AES における鍵長の条件はどれか。

  • 128ビット,192ビット,256ビットから選択する。
  • 256ビット未満で任意に指定する。
  • 暗号化処理単位のブロック長より32ビット長くする。
  • 暗号化処理単位のブロック長より32ビット短くする。
  • 解答を見る
    正解:ア

    AES(Advanced Encryption Standard)とは、旧標準暗号方式DESの安全性が低下したため、米国の標準技術研局(NIST)が後継として採用した新標準暗号方式です。

    AESについては、以下を押さえておきましょう。

    • 米国標準の共通鍵暗号方式
    • 暗号や復号が高速である(これは共通鍵方式のメリット)
    • 使用する鍵長は128ビット・192ビット・256ビットの3つの中から選択できる。