情報セキュリティスペシャリスト試験の午前Ⅱ問題と旧試験の午前問題からランダムに10問抽出します。問題を入れ替えたい場合は、ブラウザで再読み込みを行ってください。

SC:情報セキュリティスペシャリスト試験
SU:情報セキュリティアドミニストレータ試験(旧試験)
SV:テクニカルエンジニア(情報セキュリティ)試験(旧試験)

SC H25 春 午前Ⅱ 問1

APT(Advanced Persistent Threats)の説明はどれか。

  • 攻撃者はDoS攻撃及びDDoS攻撃を繰り返し組み合わせて, 長期間にわたって特定組織の業務を妨害する。
  • 攻撃者は興味本位で場当たり的に, 公開されている攻撃ツールや脆弱性検査ツールを悪用した攻撃を繰り返す。
  • 攻撃者は特定の目的をもち, 特定組織を標的に複数の手法を組み合わせて気づかれないよう執拗に攻撃を繰り返す。
  • 攻撃者は不特定多数への感染を目的として, 複数の攻撃方法を組み合わせたマルウェアを継続的にばらまく。
  • 解答を見る
    正解:ウ

    APTは、標的型攻撃の一種に分類されるサイバー攻撃です。
    以下の点で、他の標的型攻撃とは異なります。

  • 攻撃者は特定の目的(機密情報の諜報など)を持つ。
  • 不特定多数を標的にした攻撃とは異なり、特定組織を標的とする。
  • 複数の攻撃手法を組み合わせて、気づかれないよう執拗に攻撃を繰り返す。

  • SC H23 特別 午前Ⅱ 問18

    インターネットVPNを実現するために用いられる技術であり、ESP(Encapsulating Security Payload)やAH(Authentication Header)などのプロトコルを含むものはどれか。

  • IPsec
  • MPLS
  • PPP
  • SSL
  • 解答を見る
    正解:ア


    SC H27 春 午前Ⅱ 問4

    VA(Validation Authority)の役割はどれか。

  • ディジタル証明書の失効状態についての問合せに応答する。
  • ディジタル証明書を作成するためにディジタル署名する。
  • 認証局に代わって属性証明書を発行する。
  • 本人確認を行い, ディジタル証明書の発行を指示する。
  • 解答を見る
    正解:ア

    VA(Validation Authority)
    証明書有効性検証機関または検証局とも呼ばれる。
    ディジタル証明書の失効リスト(CRL)を一括管理して、ディジタル証明書が有効であるかどうかを検証する機関。
    VAは、CA(認証局)と異なり、ディジタル証明書の発行は行わず、検証に特化した機関である。


    SC H24 春 午前Ⅱ 問6

    JIS Q 27001:2006における情報システムのリスクとその評価に関する記述のうち, 適切なものはどれか。

  • 脅威とは,脆弱性が顕在化する源のことであり,情報システムに組み込まれた技術的管理策によって脅威のレベルと発生の可能性が決まる。
  • 脆弱性とは,情報システムに対して悪い影響を与える要因のことであり,自然災害,システム障害,人為的過失及び不正行為に大別される。
  • リスクの特定では,脅威が情報資産の脆弱性に付け込むことによって,情報資産に与える影響を特定する。
  • リスク評価では,リスク回避とリスク低減の二つに評価を分類し,リスクの大きさを判断して対策を決める。
  • 解答を見る
    正解:ウ

    JIS Q 27001
    「情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項」
    ISMS適合性評価制度の認証基準でもある。

    JIS(Japanese Industrial Standards)は、日本工業規格。
    JISの後ろのローマ字1文字はJISの部門を表す。Qは管理システム。
    ":2006"は、2006年に発行されたことを表している。


    SC H24 秋 午前Ⅱ 問7

    ポリモーフィック型ウイルスの説明として,適切なものはどれか。

  • インターネットを介して,攻撃者が PC を遠隔操作する。
  • 感染するごとに鍵を変えてウイルスのコードを暗号化することによってウイルス自身を変化させて,同一のパターンで検知されないようにする。
  • 複数のOSで利用できるプログラム言語でウイルスを作成することによって,複数のOS上でウイルスが動作する。
  • ルートキットを利用してウイルスに感染していないように見せかけることによって,ウイルスを隠蔽する。
  • 解答を見る
    正解:イ

    ポリモーフィック型ウイルスは、感染するごとにウイルスのコードを異なる鍵で暗号化するコンピュータウイルス。
    ポリモーフィック(polymorphic)は、多形性という意味。
    ミューテーション型ウイルスとも呼ばれる。


    SC H27 春 午前Ⅱ 問10

    NTP を使った増幅型のDDoS攻撃に対して, NTPサーバが踏み台にされることを防止する対策として, 適切なものはどれか。

  • NTPサーバの設定変更によって, NTPサーバの状態確認機能(monlist)を無効にする。
  • NTPサーバの設定変更によって, 自ネットワーク外のNTPサーバへの時刻問合せができないようにする。
  • ファイアウォールの設定変更によって, NTPサーバが存在する自ネットワークのブロードキャストアドレス宛てのパケットを拒否する。
  • ファイアウォールの設定変更によって, 自ネットワーク外からの, NTP以外のUDPサービスへのアクセスを拒否する。
  • 解答を見る
    正解:ア


    SC H24 春 午前Ⅱ 問24

    ITサービスマネジメントの情報セキュリティ管理プロセスに対して,JIS Q 20000-1が要求している事項はどれか。

  • 潜在的な問題を低減させるために,予防措置を取らなければならない。
  • ディジタルの構成品目の原本を,物理的又は電子的にセキュリティが保たれた倉庫で管理しなければならない。
  • 変更要求に対しては,そのリスク,影響及び事業利益について,アセスメントを行わなければならない。
  • 変更を実装する前に,変更がセキュリティ管理策に与える影響のアセスメントを行わなければならない。
  • 解答を見る
    正解:エ


    SC H23 秋 午前Ⅱ 問2

    セキュアハッシュ関数 SHA-256 を用いて、32ビット、256ビット、2,048ビットの三つの長さのメッセージからハッシュ値を求めたとき、それぞれのメッセージのハッシュ値の長さはどれか。

    am2_h23_aki_q2

    解答を見る
    正解:ウ

    SHA-256(Secure Hash Algorithm 256 bit)は、ハッシュ関数であり、原文の長さに関係なく、256ビットのハッシュ値を算出する。


    SC H26 春 午前Ⅱ 問17

    SSLに対するバージョンロールバック攻撃の説明はどれか。

  • SSLの実装の脆弱性を用いて,通信経路に介在する攻撃者が, 弱い暗号化通信方式を強制することによって,暗号化通信の内容を解読して情報を得る。
  • SSLのハンドシェイクプロトコルの終了前で, 使用暗号アルゴリズムの変更メッセージを,通信経路に介在する攻撃者が削除することによって,通信社が暗号化なしでセッションを開始し,攻撃者がセッションの全通信を盗聴したり改ざんしたりする。
  • SSLを実装した環境において,攻撃者が物理的デバイスから得られた消費電流の情報などを利用して秘密情報を得る。
  • 保守作業のミスや誤操作のときに回復できるようにバックアップしたSSLの旧バージョンのライブラリを,攻撃者が外部から破壊する。
  • 解答を見る
    正解:ア

    バージョンロールバック攻撃とは、通信プロトコルを古いバージョンに強制変更させ、古いバージョンの脆弱性を突いて攻撃する手法。

    オープンソースの暗号化ソフトウェアライブラリ「OpenSSL」 (ver 0.9.8 以前)には、バージョン・ロールバック攻撃の脆弱性が存在する。
    OpenSSLによる通信を行う場合、強制的に弱い暗号化方式に変更され、盗聴や改ざん等の攻撃を受ける可能性があります。

    参考サイト:JVN


    SC H21 秋 午前Ⅱ 問11

    パケットフィルタリング型ファイアウォールのフィルタリングルールを用いて, 本来必要なサービスに影響を及ぼすことなく防げるものはどれか。

    • 外部に公開していないサービスへのアクセス
    • サーバで動作するソフトウェアのセキュリティ脆弱性を突く攻撃
    • 電子メールに添付されたファイルのマクロウイルスの侵入
    • 電子メール爆弾などのDoS攻撃

    解答を見る
    正解:ア

    パケットフィルタリング型ファイアウォールは、送信先または送信元のIPアドレスやポート番号をもとに、フィルタリングルールを決めて通信の許可または拒否を判断する。

    選択肢アは、対象サービスのポート番号をもとにフィルタリングルールを定めれば、本来必要なサービスに影響を及ぼすことなく外部からの通信を拒否できるので正しい。

    それ以外の選択肢は、サーバへの通信を拒否することは可能だが、本来必要なサービスに影響を及ぼすため、誤り。