情報セキュリティスペシャリスト試験の午前Ⅱ問題と旧試験の午前問題からランダムに10問抽出します。問題を入れ替えたい場合は、ブラウザで再読み込みを行ってください。

SC:情報セキュリティスペシャリスト試験
SU:情報セキュリティアドミニストレータ試験(旧試験)
SV:テクニカルエンジニア(情報セキュリティ)試験(旧試験)

SC H24 春 午前Ⅱ 問6

JIS Q 27001:2006における情報システムのリスクとその評価に関する記述のうち, 適切なものはどれか。

  • 脅威とは,脆弱性が顕在化する源のことであり,情報システムに組み込まれた技術的管理策によって脅威のレベルと発生の可能性が決まる。
  • 脆弱性とは,情報システムに対して悪い影響を与える要因のことであり,自然災害,システム障害,人為的過失及び不正行為に大別される。
  • リスクの特定では,脅威が情報資産の脆弱性に付け込むことによって,情報資産に与える影響を特定する。
  • リスク評価では,リスク回避とリスク低減の二つに評価を分類し,リスクの大きさを判断して対策を決める。
  • 解答を見る
    正解:ウ

    JIS Q 27001
    「情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項」
    ISMS適合性評価制度の認証基準でもある。

    JIS(Japanese Industrial Standards)は、日本工業規格。
    JISの後ろのローマ字1文字はJISの部門を表す。Qは管理システム。
    ":2006"は、2006年に発行されたことを表している。


    SC H21 秋 午前Ⅱ 問18

    ネットワークに接続されているホストのIPアドレスが212.62.31.90で, サブネットマスクが255.255.255.224のとき, ホストアドレスはどれか。

    • 10
    • 26
    • 90
    • 212

    解答を見る
    正解:イ


    SC H27 秋 午前Ⅱ 問13

    WebサーバがHTTPS通信の応答でCookieにSecure属性を設定したときのブラウザの処理はどれか。

  • ブラウザは, Cookieの“Secure=”に続いて指定された時間を参照し, 指定された時間を過ぎている場合にそのCookieを削除する。
  • ブラウザは, Cookieの“Secure=”に続いて指定されたホスト名を参照し, 指定されたホストにそのCookieを送信する。
  • ブラウザは, Cookieの“Secure”を参照し, HTTPS通信時だけそのCookieを送信する。
  • ブラウザは, Cookieの“Secure”を参照し, ブラウザの終了時にそのCookieを削除する。
  • 解答を見る
    正解:ウ

    Cookieは、Webサーバーが発行し Webブラウザを通じてユーザのコンピュータに保存される情報で、ユーザの識別やセッション管理のために利用されます。例えば、ショッピングサイトのカート情報がしばらくの間保持されるのもCookieの機能によるものです。

    Cookieは、Secure属性という属性を設定することができる。
    Secure属性を設定した場合、HTTPS通信の時だけWebブラウザからWebサーバにCookieが送信される。HTTP通信の時はCookieが送信されません。
    Secure属性が設定していない場合、HTTPS通信時に平文で送信されるため、盗聴される危険性がある。


    SC H25 春 午前Ⅱ 問6

    SMTP-AUTHにおける認証の動作を説明したものはどれか。

  • SMTPサーバに電子メールを送信する前に, 電子メールを受信し, その際にパスワード認証が行われたクライアントのIPアドレスは, 一定時間だけ電子メールの送信が許可される。
  • クライアントがSMTPサーバにアクセスしたときに利用者認証を行い, 許可された利用者だけから電子メールを受け付ける。
  • サーバは認証局のディジタル証明書をもち, クライアントから送信された認証局の署名付きクライアント証明書の妥当性を確認する。
  • 利用者が電子メールを受信する際の認証情報を秘匿できるように, パスワードからハッシュ値を計算して, その値で利用者認証を行う。
  • 解答を見る
    正解:イ

    SMTP-AUTHとは、SMTPにユーザ認証機能を追加したもの。

  • POP before SMTPの説明。
  • SMTP-AUTHの説明。
  • クライアント認証の説明。
  • APOPの説明。

  • SU H18 秋 午前 問28

    クロスサイトスクリプティングによる攻撃へのセキュリティ対策はどれか。

  • OS のセキュリティパッチを適用することによって,Web サーバへの侵入を防止する。
  • Web アプリケーションで,クライアントに入力データを再表示する場合,情報内のスクリプトを無効にする処理を行う。
  • Web サーバに SNMP プログラムを常駐稼働させることによって,攻撃を検知する。
  • 許容範囲を超えた大きさのデータの書込みを禁止し,Web サーバへの侵入を防止する。
  • 解答を見る
    正解:イ

    クロスサイトスクリプティング対策とくれば、サニタイジング

    サニタイジングとは、特別な意味を持つ文字(メタキャラクタ)を別の文字に置換して入力データを無害化することです。クロスサイトスクリプティング対策において、サニタイジングはスクリプトの無効化を意味します。

    サニタイジングとエスケープ処理の違いとは?

    エスケープ処理とは、特別な意味を持つ文字(メタキャラクタ)を別の文字に置換する処理のこと。
    サニタイジングとほぼ同義と考えてよい。
    入力データを無害化することが「サニタイジング」で、それを実現するための手段のひとつが「エスケープ処理」です。


    SC H23 秋 午前Ⅱ 問23

    ソフトウェア開発組織の活動状態のうち,CMMI モデルにおける成熟度レベルが最も高いものはどれか。

    • 作業成果物の状況が,主要タスクの完了時点で管理層に対して見える状態になっている。
    • 実績が定量的に把握されており,プロセスが組織的に管理されている。
    • プロセスが明文化されて,組織内の全ての人がそれを利用している。
    • プロセスを継続的に改善していくための仕組みが機能している。

    解答を見る
    正解:エ
    CMMI (Capability Maturity Model Integration、能力成熟度モデル統合)
    システム開発組織におけるプロセスの成熟度を5段階のレベルで定義したモデル。

    成熟度レベル 概要
    レベル1 初期 初期状態 (混沌とした、いきあたりばったりで、一部の英雄的なメンバー依存の状態)。成熟したプロセスを導入する際の、出発点のレベル
    レベル2 管理された 管理された状態 (反復できる状態、プロジェクト管理・プロセスの規則の存在)、反復してプロセスを実行できるレベル
    レベル3 定義された 定義された状態 (制度化された状態)、プロセスが標準ビジネスプロセスとして明示的に定義され関係者の承認を受けているレベル
    レベル4 定量的に管理された 管理が実施され、さまざまなタスク領域を定量的に計測しているレベル
    レベル5 最適化している 最適化している状態 (プロセスを改善する状態)、継続的に自らのプロセスを最適化し改善しているレベル

    概要はウィキペディアから引用しました。

  • レベル2の説明。
  • レベル4の説明。
  • レベル3の説明。
  • 最も成熟度が高いレベル5の説明。

  • SC H24 秋 午前Ⅱ 問17

    ネットワークを構成する装置の用途や機能に関する記述のうち,適切なものはどれか。

  • ゲートウェイは,主にトランスポート層以上での中継を行う装置であり,異なったプロトコル体系のネットワーク間の接続などに用いられる。
  • ブリッジは,物理層での中継を行う装置であり,フレームのフィルタリング機能を持つ。
  • リピータは,ネットワーク層での中継を行う装置であり,伝送途中で減衰した信号レベルの補正を再生増幅を行う。
  • ルータは,データリンク層のプロトコルに基づいてフレームの中継と交換を行う装置であり,フロー制御や最適経路選択などの機能を持つ。
  • 解答を見る
    正解:ア


    SC H22 秋 午前Ⅱ 問8

    SQLインジェクション攻撃を防ぐ方法はどれか。

  • 入力から, 上位ディレクトリを指定する文字列 (../) を取り除く。
  • 入力中の文字がデータベースへの問合せや操作において特別な意味をもつ文字として解釈されないようにする。
  • 入力にHTML タグが含まれていたら, 解釈, 実行できないほかの文字列に置き換える。
  • 入力の全体の長さが制限を超えていたときは受け付けない。
  • 解答を見る
    正解:イ

  • ディレクトリトラバーサルの対策
  • SQLインジェクションの対策
  • クロスサイトスクリプティング(XSS)の対策
  • バッファオーバーフローの対策

  • SC H22 秋 午前Ⅱ 問24

    レプリケーションが有効な対策となるものはどれか。

  • 悪意によるデータの改ざんを防ぐ。
  • コンピュータウィルスによるデータの破壊を防ぐ。
  • 災害発生時にシステムが長時間停止するのを防ぐ。
  • 操作ミスによるデータの削除を防ぐ。
  • 解答を見る
    正解:ウ


    SC H25 秋 午前Ⅱ 問17

    LANの制御方式に関する記述のうち, 適切なものはどれか。

  • CSMA/CD方式では, 単位時間当たりの送出フレーム数が増していくと, 衝突の頻度が増すので, スループットはある値をピークとして, その後下がる。
  • CSMA/CD方式では, 一つの装置から送出されたフレームが順番に各装置に伝送されるので, リング状のLANに適している。
  • TDMA方式では, 伝送路上におけるフレームの伝搬遅延時間による衝突が発生する。
  • トークンアクセス方式では, トークンの巡回によって送信権を管理しているので, トラフィックが増大すると, CSMA/CD方式に比べて伝送効率が急激に低下する。
  • 解答を見る
    正解:ア

  • 正しい記述です。
  • トークンアクセス方式(トークンパッシング)の説明です。
  • TDMA方式(時分割多元接続)では、衝突は発生しません。
  • トークンアクセス方式(トークンパッシング)では、トラフィックが増大しても、CSMA/CD方式のように伝送効率が急激に低下することはありません。