情報セキュリティスペシャリスト試験の午前Ⅱ問題と旧試験の午前問題からランダムに10問抽出します。問題を入れ替えたい場合は、ブラウザで再読み込みを行ってください。

SC:情報セキュリティスペシャリスト試験
SU:情報セキュリティアドミニストレータ試験(旧試験)
SV:テクニカルエンジニア(情報セキュリティ)試験(旧試験)

SC H21 秋 午前Ⅱ 問1

チャレンジレスポンス方式として, 適切なものはどれか。

  • SSLによって, クライアント側で固定のパスワードを暗号化して送信する。
  • トークンという装置が表示する毎回異なったデータをパスワードとして送信する。
  • 任意長のデータを入力として固定長のハッシュ値を出力する。
  • 利用者が入力したパスワードと, サーバから送られてきたランダムなデータとをクライアント側で演算し、その結果を確認用データに用いる。
  • 解答を見る
    正解:エ

  • 一般的なパスワード認証の説明。
  • ワンタイムパスワードの説明。
  • ハッシュ関数の説明。
  • チャレンジレスポンス方式の説明。

  • SC H23 秋 午前Ⅱ 問11

    テンペスト(TEMPEST)攻撃を説明したものはどれか。

  • 故意に暗号化演算を誤動作させて正しい処理結果との差異を解析する。
  • 処理時間の差異を計測し解析する。
  • 処理中に機器から放射される電磁波を観測し解析する。
  • チップ内の信号線などに探針を直接当て,処理中のデータを観測し解析する。
  • 解答を見る
    正解:ウ

    テンペスト攻撃とは、電磁波盗聴攻撃のこと。
    ディスプレイなどから放射される微弱な電磁波を観測し、解析することで情報を盗み見る攻撃です。
    対策としては、電磁波を遮断する製品を使用したり、電磁波を遮断可能な部屋に機器を設置することで対抗します。


    SC H25 秋 午前Ⅱ 問7

    テンペスト技術の説明とその対策として, 適切なものはどれか。

  • ディスプレイなどから放射される電磁波を傍受し, 表示内容などを盗み見る技術であり, 電磁波を遮断することによって対抗する。
  • データ通信の途中でパケットを横取りし, 内容を改ざんする技術であり, ディジタル署名を利用した改ざん検知によって対抗する。
  • マクロウイルスにおいて使われる技術であり, ウイルス対策ソフトを導入し, 最新の定義ファイルを適用することによって対抗する。
  • 無線LANの信号を傍受し, 通信内容を解析する技術であり, 通信パケットを暗号化することによって対抗する。
  • 解答を見る
    正解:ア

    テンペスト技術とは、電磁波盗聴技術のこと。
    ディスプレイなどから放射される微弱な電磁波を傍受し、情報を盗み見る技術です。
    対策としては、電磁波を遮断する製品を使用したり、電磁波を遮断可能な部屋に機器を設置することで対抗します。


    SC H21 春 午前Ⅱ 問11

    メールサーバ(SMTPサーバ)の不正利用を防止するために行う設定はどれか。

  • ゾーン転送のアクセス元を制御する。
  • 第三者中継を禁止する。
  • ディレクトリに存在するファイル名の表示を禁止する。
  • 特定のディレクトリ以外でのCGIプログラムの実行を禁止する。
  • 解答を見る
    正解:イ


    SC H24 秋 午前Ⅱ 問21

    データベースのデータを更新するトランザクションが,実行途中で異常終了したとき,更新中のデータに対して行われる処理はどれか。

  • 異常終了時点までの更新ログ情報を破棄することによって,データをトランザクション開始前の状態に回復する。
  • チェックポイント時点からコミット完了しているトランザクションの更新をロールフォワードすることによって,データを回復する。
  • トランザクションの更新ログ情報を使って異常終了時点までロールフォワードすることによって,データを回復する。
  • ロールバックすることによって,データをトランザクション開始前の状態に回復する。
  • 解答を見る
    正解:エ


    SC H22 春 午前Ⅱ 問8

    DNSサーバに格納されるネットワーク情報のうち, 第三者に公表する必要のない情報が攻撃に利用されることを防止するための, プライマリDNSサーバの設定はどれか。

  • SOAレコードのシリアル番号を更新する。
  • 外部のDNSサーバにリソースレコードがキャッシュされる時間を短く設定する。
  • ゾーン転送をDNSサーバを登録する。
  • ラウンドロビン設定を行う。
  • 解答を見る
    正解:ウ


    SC H23 特別 午前Ⅱ 問14

    共通フレーム2007に従いシステム開発の要件定義の段階で実施することとして, 適切なものはどれか。

  • システムに必要なセキュリティ機能及びその機能が対策として達成すべき内容を決定する。
  • システムに必要なセキュリティ機能に関連するチェックリストを用いてソースコードをレビューする。
  • 組織に必要なセキュリティ機能を含むシステム化計画を立案する。
  • 第三者によるシステムのセキュリティ監査を脆ぜい弱性評価ツールを用いて定期的に実施する。
  • 解答を見る
    正解:ア


    SC H25 秋 午前Ⅱ 問15

    SQLインジェクション対策について, Webアプリケーションの実装における対策とWebアプリケーションの実装以外の対策として, ともに適切なものはどれか。

    Webアプリケーションの
    実装における対策
    Webアプリケーションの
    実装以外の対策
    Webアプリケーション中でシェルを起動しない。 chroot環境でWebサーバを実行する。
    セッションIDを乱数で生成する。 SSLによって通信内容を秘匿する。
    バインド機構を利用する。 データベースのアカウントのもつデータベースアクセス権限を必要最小限にする。
    パス名やファイル名をパラメタとして受け取らないようにする。 重要なファイルを公開領域に置かない。

     

    解答を見る
    正解:ウ

    • OSコマンドインジェクションの対策。
    • セッションハイジャックの対策。
    • SQLインジェクションの対策。
    • ディレクトリトラバーサルの対策。

    SQLインジェクション対策は、午後試験でも問われます。選択肢がなくても答えられるようにしておきたい。


    SC H26 秋 午前Ⅱ 問17

    サンドボックスの仕組みについて述べたものはどれか。

  • Webアプリケーションの脆弱性を悪用する攻撃に含まれる可能性が高い文字列を定義し, 攻撃であると判定した場合には, その通信を遮断する。
  • 侵入者をおびき寄せるために本物そっくりのシステムを設置し, 侵入者の挙動などを監視する。
  • プログラムの影響がシステム全体に及ばないように, プログラムが実行できる機能やアクセスできるリソースを制限して動作させる。
  • プログラムのソースコードでSQL文の雛形の中に変数の場所を示す記号を置いた後, 実際の値を割り当てる。
  • 解答を見る
    正解:ウ


    SC H21 秋 午前Ⅱ 問6

    NIDS(ネットワーク型IDS)を導入する目的はどれか。

  • 管理下のネットワーク内への不正侵入の試みを検知し, 管理者に通知する。
  • サーバ上のファイルが改ざんされたかどうかを判定する。
  • 実際にネットワークを介してサイトを攻撃し, 不正に侵入できるかどうかを検査する。
  • ネットワークからの攻撃が防御できないときの損害の大きさを判定する。
  • 解答を見る
    正解:ア