情報セキュリティスペシャリスト試験の午前Ⅱ問題と旧試験の午前問題からランダムに10問抽出します。問題を入れ替えたい場合は、ブラウザで再読み込みを行ってください。

SC:情報セキュリティスペシャリスト試験
SU:情報セキュリティアドミニストレータ試験(旧試験)
SV:テクニカルエンジニア(情報セキュリティ)試験(旧試験)

SC H23 特別 午前Ⅱ 問25

入出金管理システムから出力された入金データファイルを, 売掛金管理システムが読み込んでマスタファイルを更新する。
入出金管理システムから売掛金管理システムへのデータ受渡しの正確性及び網羅性を確保するコントロールはどれか。

  • 売掛金管理システムにおける入力データと出力結果とのランツーランコントロール
  • 売掛金管理システムのマスタファイル更新におけるタイムスタンプ機能
  • 入金額及び入金データ件数のコントロールトータルのチェック
  • 入出金管理システムへの入力のエディットバリデーションチェック
  • 解答を見る
    正解:ウ


    SC H24 春 午前Ⅱ 問5

    コンティンジェンシープランにおける留意点はどれか。

  • 企業のすべてのシステムを対象とするのではなく,システムの復旧の重要性と緊急性を勘案して対象を決定する。
  • 災害などへの対応のために,すぐに利用できるよう,バックアップデータをコンピュータ室内又はセンタ内に保存しておく。
  • バックアップの対象は,機密情報の中から機密度を勘案して選択する。
  • 被害のシナリオを作成し,これに基づく"予防策定手順"を策定する。
  • 解答を見る
    正解:ア

    コンティンジェンシープランとは、システム障害など不測の事態に備え、緊急時の対応策や行動手順を計画することです。
    コンティンジェンシーは、「偶発事件、不慮の出来事」という意味を持つ。

  • 正しい記述です。企業のすべてのシステムを対象とするのは規模が大きく難しいため、システムの復旧の重要性や緊急性などを考え合わせて対象を決定する方が効率的。
  • コンティンジェンシープランとは無関係の対応。そもそもバックアップデータは遠隔地に保存すべき。
  • コンティンジェンシープランとは無関係の対応。
  • コンティンジェンシープランは、"緊急時"の手順は策定するが、"予防"の手順は策定しない。

  • SC H26 秋 午前Ⅱ 問18

    DNSSECに関する記述として, 適切なものはどれか。

  • DNSサーバへのDoS攻撃を防止できる。
  • Ipsecによる暗号化通信が前提となっている。
  • 代表的なDNSサーバの実装であるBINDの代替として使用する。
  • ディジタル署名によってDNS応答の正当性を確認できる。
  • 解答を見る
    正解:エ

    DNSSEC(DNS Security Extensions)は、DNSのセキュリティ拡張方式。
    DNSのレコードに公開鍵暗号方式によるディジタル署名を付加し、応答を受け取った側で、そのディジタル署名を検証する仕組み。ディジタル署名を検証することで、レコードの送信者の正当性と応答が改ざんされてないことを保証できる。
    DNSキャッシュポイズニングの対策に有効。


    SC H24 春 午前Ⅱ 問21

    SQLのGRANT文による権限定義に関する記述のうち,適切なものはどれか。

  • PUBLIC指定によって,すべての権限を与えることができる。
  • WITH GRANT OPTION指定によって,権限を付与可能にすることができる。
  • ビューに対して固有の参照権限を定義できない。
  • 表定義のSQL文内にGRANT文を指定することによって,権限定義ができる。
  • 解答を見る
    正解:イ

    WITH GRANT OPTIONを指定すると、権限を付与されたユーザは自分に与えられている権限を他のユーザに付与することが可能になります。よって、イが正解。


    SC H24 春 午前Ⅱ 問15

    SMTP-AUTHを使ったメールセキュリティ対策はどれか。

  • ISP管理下の動的IPアドレスからの電子メール送信について,管理外ネットワークのメールサーバへSMTP通信を禁止する。
  • PCからの電子メール送信について,POP接続で利用者認証済の場合にだけ許可する。
  • 通常のSMTPとは独立したサブミッションポートを使用して,PCからメールサーバへの電子メール送信時の認証を行う。
  • 電子メール送信元のサーバについてDNSの逆引きが成功した場合にだけ,電子メール受信を許可する。
  • 解答を見る
    正解:ウ

  • OP25B(Outbound Port 25 Blocking)の説明。
  • POP before SMTPの説明。
  • SMTP-AUTHを使ったメールセキュリティ対策です。
  • DNSの逆引きとは、IPアドレスからドメイン名に変換すること。SMTP-AUTHとは関係ないので、誤り。
  • 【解説】
    一般的に電子メールの送信には、SMTP(25番ポート)を利用しています。

    SMTPには、ユーザー認証機能がないため、スパムメールを送信する業者(スパマー)がたくさんいます。スパマーは、ISP提供のメールサーバを経由せず、メール送信先のメールサーバに直接接続しようとします。

    そこで多くのISPでは、スパムメール対策として、OP25B(Outbound Port 25 Blocking)を導入しています。

    OP25Bとは、ISP提供のメールサーバを経由せず、外部のSMTPサーバ(25番ポート)へ直接接続しようとするパケットをブロックすることです。

    正当な利用者が、ISP提供のメールサーバを経由せず、メール送信先のメールサーバに直接接続する場合は、ポート番号25の代わりに、サブミッションポート(587番ポート)を使用します。

    サブミッションポートの利用には、「SMTP-AUTH」による認証が必要となるため、正当な利用者のみがメール送信を行うことができます。


    SC H22 春 午前Ⅱ 問5

    100人の送受信者が共通鍵暗号方式で, それぞれの秘密に通信を行うときに必要な共通鍵の総数は幾つか。

  • 200
  • 4,950
  • 9,900
  • 10,000
  • 解答を見る
    正解:イ

    共通鍵暗号方式の鍵の総数の求め方:
    n(n-1)/2

    n=100なので、100(100 – 1)/2 = 4,950 となる。


    SC H24 春 午前Ⅱ 問11

    有料の公衆無線LANサービスにおいて実施される,ネットワークサービスの不正利用に対するセキュリティ対策と目的はどれか。

  • 利用者ごとに異なるSSIDを割当てることによって,利用者PCへの不正アクセスを防止する。
  • 利用者ごとに異なるサプリカントを割当てることによって,利用者PCへの不正アクセスを防止する。
  • 利用者ごとに異なるプライベートIPアドレスを割り当てることによって,第三者によるアクセスポイントへのなり済ましを防止する。
  • 利用者ごとに異なる利用者IDを割り当て,パスワードを設定することによって,契約者以外の利用者によるアクセスを防止する。
  • 解答を見る
    正解:エ

  • SSID(Service Set Identifier)は、無線LANにおけるアクセスポイントに割り当てる識別子。利用者ごとに割り当てることはできない。
  • サプリカントは、クライアント側で認証要求するための機器またはソフトウェアのこと。利用者ごとに異なるサプリカントを割り当てても、不正アクセスの防止とはならない。
  • 無線LANのユーザ認証で、プライベートIPアドレスは用いられない。
  • 一般的なセキュリティ対策で、正しい記述です。

  • SC H25 春 午前Ⅱ 問20

    電子メールが配送される途中に経由したMTAのIPアドレスや時刻などの経由情報を, MTAが付加するヘッダフィールドがどれか。

  • Accept
  • Received
  • Return-Path
  • Via
  • 解答を見る
    正解:イ

    MTA(Message Transfer Agent)とは、インターネット内で電子メールを配送するソフトウェア。

  • Acceptは、メールヘッダに存在しない。
  • Receivedは、経由したMTAのIPアドレスや時刻などの経由情報を記録するメールヘッダのフィールド。
  • Return-Pathは、メールを正常に送信できなかった際にエラーを送り返すための宛先を記録するメールヘッダのフィールド。
  • Viaは、メールヘッダに存在しない。

  • SC H26 秋 午前Ⅱ 問8

    CRYPTREC の活動内容はどれか。

  • 暗号技術の安全性, 実装性及び利用実績の評価・検討を行う。
  • 情報セキュリティ政策に係る基本戦略の立案, 官民における統一的, 横断的な情報セキュリティ対策の推進に係る企画などを行う。
  • 組織の情報セキュリティマネジメントシステムについて評価し認証する制度を運用する。
  • 認証機関から貸与された暗号モジュール試験報告書作成支援ツールを用いて暗号モジュールの安全性についての評価試験を行う。
  • 解答を見る
    正解:ア

  • CRYPTREC(Cryptography Research and Evaluation Committees)の説明。
    クリプトレックと読む。総務省及び経済産業省が共同で実施している暗号技術評価プロジェクト。客観的な評価により安全性及び実装性に優れると判断された暗号技術をリスト化する。
  • NISC(National Information Security Center)の活動内容。
  • JIPDEC(日本情報経済社会推進協会)の活動内容。
  • CRYPTRECの活動内容ではない。

  • SC H24 秋 午前Ⅱ 問1

    特定の CA が発行した CRL(Certificate Revocation List) に関する記述のうち,適切なものはどれか。

  • CRLには,失効された公開鍵証明書に対応する秘密鍵が登録される。
  • CRLには,有効期限内の公開鍵証明書のうち破棄されている公開鍵証明書と破棄された日時の対応が提示される。
  • CRLは,鍵の漏えい,破棄申請の状況をリアルタイムに反映するプロトコルである。
  • 有効期限切れで無効になった公開鍵証明書は,所有者が新たに公開鍵証明書を取得するまでの間,CRL に登録される。
  • 解答を見る
    正解:イ

    CRLは、有効期限内に失効されたCAのディジタル証明書のシリアル番号のリストで、証明書の有効性を検証するために使われます。

    CRL には失効された証明書のシリアル番号、CRL の発行者名、更新日、次回更新日などが記載されます。有効期限切れとなった証明書はCRLには記載されません。

  • CRLに、ディジタル証明書に対応する秘密鍵は登録されません。
  • 正しい記述です。
  • このようなプロトコルは存在しません。そもそもCRLはプロトコルではありません。
  • 有効期限切れとなった証明書はCRLには記載されません。