情報セキュリティスペシャリスト試験の午前Ⅱ問題と旧試験の午前問題からランダムに10問抽出します。問題を入れ替えたい場合は、ブラウザで再読み込みを行ってください。

SC:情報セキュリティスペシャリスト試験
SU:情報セキュリティアドミニストレータ試験(旧試験)
SV:テクニカルエンジニア(情報セキュリティ)試験(旧試験)

SC H27 秋 午前Ⅱ 問12

クロスサイトスクリプティングによる攻撃を防止する対策はどれか。

  • WebサーバにSNMPエージェントを常駐稼働させ, Webサーバの負荷状態を監視する。
  • WebサーバのOSのセキュリティパッチについて, 常に最新のものを適用する。
  • Webサイトへのデータ入力について, 許容範囲を超えた大きさのデータの書込みを禁止する。
  • Webサイトへの入力データを表示するときに, HTMLで特別な意味をもつ文字のエスケープ処理を行う。
  • 解答を見る
    正解:エ

    クロスサイトスクリプティング対策とくれば、サニタイジング(エスケープ処理とほぼ同義)

    サニタイジングとは、特別な意味を持つ文字(メタキャラクタ)を別の文字に置換して入力データを無害化することです。クロスサイトスクリプティング対策において、サニタイジングはスクリプトの無効化を意味します。

    サニタイジングとエスケープ処理の違いとは?

    エスケープ処理とは、特別な意味を持つ文字(メタキャラクタ)を別の文字に置換する処理のこと。
    サニタイジングとほぼ同義と考えてよい。
    入力データを無害化することが「サニタイジング」で、それを実現するための手段のひとつが「エスケープ処理」です。


    SC H24 秋 午前Ⅱ 問8

    FIPS 140-2を説明したものはどれか。

  • 暗号モジュールのセキュリティ要求事項
  • 情報セキュリティマネジメントシステムに関する認証基準
  • ディジタル証明書や証明書失効リストの標準仕様
  • 無線 LAN セキュリティ技術
  • 解答を見る
    正解:ア

    FIPS 140(Federal Information Processing Standardization 140)
    暗号モジュール(暗号処理を行うソフトウェア及びハードウエア)のセキュリティ要求事項を規定した米国連邦標準規格。FIPS 140-2の末尾の2は、規格のバージョンを表す。


    SC H25 春 午前Ⅱ 問4

    図のような構成と通信サービスのシステムにおいて, Webアプリケーションの脆弱性対策としてネットワークのパケットをキャプチャしてWAFによる検査を行うとき, WAFの設置場所として最も適切な箇所はどこか。ここで, WAFには通信を暗号化したり, 復号したりする機能はないものとする。

    SC H25 春 午前Ⅱ 問4

  • a
  • b
  • c
  • d
  • 解答を見る
    正解:ウ

    WAF(Web Application Firewall)は、従来のファイアーウォールでは守ることができないクロスサイトスクリプティングやSQLインジェクションといったWebアプリケーションに対する攻撃を防御する製品です。

    製品によっては、HTTPSパケットの暗号化・復号を行うことが可能ですが、問題文中に「WAFには通信を暗号化したり, 復号したりする機能はないものとする。」と記載されているため、HTTPS通信のaとbの設置場所は不適切となります。パケットがWebサーバを経由する前にWAFを配置すべきなので、HTTP通信のcが最も適切な箇所となります。


    SC H26 春 午前Ⅱ 問11

    テンペスト(TEMPEST)攻撃を説明したものはどれか。

  • 故意に暗号化演算を誤動作させて正しい処理結果との差異を解析する。
  • 処理時間の差異を計測し解析する。
  • 処理中に機器から放射される電磁波を観測し解析する。
  • チップ内の信号線などに探針を直接当て,処理中のデータを観測し解析する。
  • 解答を見る
    正解:ウ

    テンペスト攻撃とは、電磁波解析攻撃のこと。
    ディスプレイなどから放射される微弱な電磁波を傍受し、情報を盗み見る攻撃です。
    対策としては、電磁波を遮断する製品を使用したり、電磁波を遮断可能な部屋に機器を設置することで対抗します。


    SC H23 秋 午前Ⅱ 問10

    表に示すテーブル X,Y へのアクセス要件に関して,JIS Q 27001:2006(ISO/IEC 27001:2005) が示す"完全性"の観点からセキュリティを脅かすおそれのあるアクセス権付与はどれか。

    テーブル アクセス要件
    X(注文テーブル) ① 調達課の利用者Aが注文データを入力するために,
    又は内容を容認するためにアクセスする。
    ② 管理課の利用者Bはアクセスしない。
    Y(仕入先マスタテーブル) ① 調達課の利用者Aが仕入先データを照会する目的だけで
    アクセスする。
    ② 管理課の利用者Bが仕入先データのマスタメンテナンス
    作業を行うためにアクセスする。
  • GRANT INSERT ON Y TO A
  • GRANT INSERT ON Y TO B
  • GRANT SELECT ON X TO A
  • GRANT SELECT ON X TO B
  • 解答を見る
    正解:ア

    "完全性"とは、データが正確かつ改ざんされていない状態のことです。

    データベースユーザーに対して、権限を付与するにはGRANT文を使用します。
    構文:GRANT {権限} ON {テーブル名} TO {ユーザ}

  • 利用者Aに対して、YテーブルのINSERT権限を付与しています。
    問題文に「利用者Aが仕入先データを照会する目的だけでアクセスする。」とありますので、不適切な権限付与です。完全性の観点からセキュリティ上問題があります。
  • 利用者Bに対して、YテーブルのINSERT権限を付与しています。
    問題文に「利用者Bが仕入先データのマスタメンテナンス作業を行うためにアクセスする」とあるので、適切な権限付与です。
  • 利用者Aに対して、XテーブルのSELECT権限を付与しています。
    「調達課の利用者Aが注文データを入力するために,又は内容を容認するためにアクセスする」とあるので、適切な権限付与です。
  • 利用者Bに対して、XテーブルのSELECT権限を付与しています。
    利用者BはXテーブルにアクセスしないため、不適切な権限付与ですが、SELECT権限を付与しても、データの改ざんはできないため、完全性の観点からいうとセキュリティ上問題ありません。

  • SC H21 春 午前Ⅱ 問22

    ITILにおけるインシデント管理プロセスの役割として, 適切なものはどれか。

  • 新しいサービスの要求を利用者から受け付け, 企画立案すること
  • 一時的回避策で対処した問題を分析し, 恒久対策を検討すること
  • 潜在的な問題を事前に発見し, 変更要求として取りまとめること
  • 低下したサービスレベルを回復させ, 影響を最小限に抑えること
  • 解答を見る
    正解:エ


    SC H26 秋 午前Ⅱ 問14

    ディジタルフォレンジックスを説明したものはどれか。

  • 画像や音楽などのディジタルコンテンツに著作権者などの情報を埋め込む。
  • コンピュータやネットワークのセキュリティ上の弱点を発見するテスト手法の一つであり, システムを実際に攻撃して侵入を試みる。
  • ネットワークの管理者や利用者などから, 巧みな話術や盗み聞き, 盗み見などの手段によって, パスワードなどのセキュリティ上重要な情報を入手する。
  • 犯罪に対する証拠となり得るデータを保全し, その後の訴訟などに備える。
  • 解答を見る
    正解:エ


    SC H23 特別 午前Ⅱ 問13

    経済産業省“ソフトウェア管理ガイドライン”に定められた, ソフトウェアを使用する法人, 団体などが実施すべき基本的事項の記述のうち, 適切なものはどれか。

  • ウイルスからソフトウェアを保護するため, 関係法令や使用許諾契約などについて利用者の教育啓発を行う。
  • セキュリティ対策に責任を負うセキュリティ管理責任者を任命し, 適切な管理体制を整備する。
  • ソフトウェアの違法複製などの有無を確認するため, すべてのソフトウェアを対象として, その使用状況について監査を実施する。
  • ソフトウェアの脆弱性を突いた不正アクセスから保護するため, ソフトウェアの仕様手順や管理方法などを定めたソフトウェア管理規則を制定する。
  • 解答を見る
    正解:ウ


    SC H22 秋 午前Ⅱ 問18

    LANの制御方式に関する記述のうち, 適切なものはどれか。

  • CSMA/CD方式では, 単位時間当たりの送出フレーム数が増していくと, 衝突の頻度が増すので, スループットはある値をピークとして, その後下がる。
  • CSMA/CD方式では, 一つの装置から送出されたフレームが順番に各装置に伝送されるので, リング状のLANに適している。
  • TDMA方式では, 伝送路上におけるフレームの伝搬遅延時間による衝突が発生する。
  • トークンアクセス方式では, トークンの巡回によって送信権を管理しているので, トラフィックが増大すると, CSMA/CD方式に比べて伝送効率が急激に低下する。
  • 解答を見る
    正解:ア

  • 正しい記述です。
  • トークンアクセス方式(トークンパッシング)の説明です。
  • TDMA方式(時分割多元接続)では、衝突は発生しません。
  • トークンアクセス方式(トークンパッシング)では、トラフィックが増大しても、CSMA/CD方式のように伝送効率が急激に低下することはありません。

  • SC H27 秋 午前Ⅱ 問25

    システム監査における監査証拠の説明のうち, 適切なものはどれか。

  • 監査人が収集又は作成する資料であり, 監査報告書に記載する監査意見や指摘事項は, その資料によって裏付けられていなければならない。
  • 監査人が当初設定した監査手続を記載した資料であり, 管理人はその資料に基づいて監査を実施しなければならない。
  • 機密性の高い情報が含まれている資料であり, 監査人は監査報告書の作成後, 速やかに全てを処分しなければならない。
  • 被監査部門が監査人に提出する資料であり, 監査人が自ら作成する資料は含まれない。
  • 解答を見る
    正解:ア