情報セキュリティスペシャリスト試験の午前Ⅱ問題と旧試験の午前問題からランダムに10問抽出します。問題を入れ替えたい場合は、ブラウザで再読み込みを行ってください。

SC:情報セキュリティスペシャリスト試験
SU:情報セキュリティアドミニストレータ試験(旧試験)
SV:テクニカルエンジニア(情報セキュリティ)試験(旧試験)

SC H24 秋 午前Ⅱ 問22

オブジェクト指向における情報隠蔽に関する記述として,適切なものはどれか。

  • オブジェクトの特性(属性,関連,操作)をまとめて抽象化する。
  • オブジェクトは,メッセージによってだけアクセス可能となる。
  • 親クラスに定義されたメソッドを,実行時に子クラスに引き継ぐ。
  • 同一メッセージでも,実行時の受信クラスに基づいて適用されるメソッドが決まる。
  • 解答を見る
    正解:イ

  • クラスの説明。
  • 情報隠蔽(カプセル化)の説明。
  • 継承(インヘリタンス)の説明。
  • 多様性(ポリモルフィズム)の説明

  • SC H21 秋 午前Ⅱ 問5

    企業のDMZ上で1台のDNSサーバをインターネット公開用と社内用で共用している。このDNSサーバが, DNSキャッシュポイズニングの被害を受けた結果, 引き起こされ得る現象はどれか。

  • DNSサーバで設定された自社の公開WebサーバのFQDN情報が書き換えられ, 外部から参照者が, 本来とは異なるWebサーバに誘導される。
  • DNSサーバのメモリ上にワームが常駐し, DNS参照元に対して不正プログラムを送り込む。
  • 社内の利用者が, インターネット上の特定のWebサーバを参照する場合に, 本来とは異なるWebサーバに誘導される。
  • 電子メールの不正中継対策をした自社のメールサーバが, 不正中継の踏み台にされる。
  • 解答を見る
    正解:ウ


    SC H27 春 午前Ⅱ 問3

    RLO (Right-to-Left Override) を利用した手口の説明はどれか。

  • “コンピュータウイルスに感染している”といった偽の警告を出して利用者を脅し, ウイルス対策ソフトの購入などを迫る。
  • 脆弱性があるホストのシステムをあえて公開し, 攻撃の内容を観察する。
  • ネットワーク機器のMIB情報のうち監視項目の値の変化を感知し, セキュリティに関するイベントをSNMPマネージャに通知するように動作させる。
  • 文字の表示順を変える制御文字を利用し, ファイル名の拡張子を偽装する。
  • 解答を見る
    正解:エ

    RLO(Right-to-Left Override) は文字の流れを右から左へ変更するUnicodeの制御文字です。本来、文字を右から左へ読む文化圏(アラビア言語など)に対応するために実装されました。

    しかし、標的型攻撃メールではファイル偽装の手口として悪用されていて、実行形式ファイルを文書ファイル等に偽装して、相手にファイルを開かせようとします。


    SV H20 春 午前 問47

    IPsecのAHに関する説明のうち,適切なものはどれか。

  • IPパケットを暗号化する対象部分によって,トランスポートモード,トンネルモードの方式がある。
  • 暗号化アルゴリズムや暗号化鍵のライフタイムが設定される管理テーブルで,期間を過ぎると新しいものに更新される。
  • 暗号化アルゴリズムを決定し,暗号化鍵を動的に生成する鍵交換プロトコルで,暗号化通信を行う。
  • データの暗号化は行わず,SPI,シーケンス番号,認証データを用い,完全性の確保と認証を行う。
  • 解答を見る
    正解:エ

    IPsecは、パケットをネットワーク層で暗号化する機能。
    AH、ESP、IKEなどの複数のプロトコルで構成されている。

    • IKE(Internet Key Exchange、鍵交換)
      暗号化に用いる鍵交換をするために利用するプロトコル。IKE(アイク)と発音する。
    • ESP(Encapsulated Security Payload、暗号化ペイロード)
      通信データの認証とペイロード部(ヘッダ部を除いたデータ本体)の暗号化機能を持つ。
      改ざん検知と盗聴防止ができる。
    • AH(Authentication Header、認証ヘッダ)
      通信データの認証機能を持ち、改ざんを検知できる。
      データの暗号化までは行わないため、盗聴の防止はできない。


    SC H26 春 午前Ⅱ 問11

    テンペスト(TEMPEST)攻撃を説明したものはどれか。

  • 故意に暗号化演算を誤動作させて正しい処理結果との差異を解析する。
  • 処理時間の差異を計測し解析する。
  • 処理中に機器から放射される電磁波を観測し解析する。
  • チップ内の信号線などに探針を直接当て,処理中のデータを観測し解析する。
  • 解答を見る
    正解:ウ

    テンペスト攻撃とは、電磁波解析攻撃のこと。
    ディスプレイなどから放射される微弱な電磁波を傍受し、情報を盗み見る攻撃です。
    対策としては、電磁波を遮断する製品を使用したり、電磁波を遮断可能な部屋に機器を設置することで対抗します。


    SC H27 秋 午前Ⅱ 問2

    特定の認証局が発行した CRLに関する記述のうち,適切なものはどれか。

  • CRLには,失効したディジタル証明書に対応する秘密鍵が登録される。
  • CRLには,有効期限内のディジタル証明書のうち失効したディジタル証明書と失効した日時の対応が提示される。
  • CRLは,鍵の漏えい,破棄申請の状況をリアルタイムに反映するプロトコルである。
  • 有効期限切れで失効したディジタル証明書は,所有者が新たなディジタル証明書を取得するまでの間,CRL に登録される。
  • 解答を見る
    正解:イ

    CRLは、有効期限内に失効されたディジタル証明書のシリアル番号のリストで、証明書の有効性を検証するために使われます。

    CRL には失効された証明書のシリアル番号、CRL の発行者名、更新日、次回更新日などが記載されます。有効期限切れとなった証明書はCRLには記載されません。

  • CRLに、ディジタル証明書に対応する秘密鍵は登録されません。
  • 正しい記述です。
  • このようなプロトコルは存在しません。そもそもCRLはプロトコルではありません。
  • 有効期限切れで失効した証明書はCRLには記載されません。

  • SC H23 秋 午前Ⅱ 問16

    Webアプリケーションの脆弱性を悪用する攻撃手法のうち,Perlのsystem関数やPHPのexec関数など外部プログラムの呼出しを可能にするための関数を利用し,不正にシェルスクリプトや実行形式のファイルを実行させるものはどれか。

  • HTTP ヘッダインジェクション
  • OSコマンドインジェクション
  • クロスサイトリクエストフォージェリ
  • セッションハイジャック
  • 解答を見る
    正解:イ


    SC H21 春 午前Ⅱ 問11

    メールサーバ(SMTPサーバ)の不正利用を防止するために行う設定はどれか。

  • ゾーン転送のアクセス元を制御する。
  • 第三者中継を禁止する。
  • ディレクトリに存在するファイル名の表示を禁止する。
  • 特定のディレクトリ以外でのCGIプログラムの実行を禁止する。
  • 解答を見る
    正解:イ


    SU H20 秋 午前 問26

    SQLインジェクション攻撃を防ぐ方法はどれか。

  • 入力から, 上位ディレクトリを指定する文字列 (../) を取り除く。
  • 入力中の文字がデータベースへの問合せや操作において特別な意味をもつ文字として解釈されないようにする。
  • 入力にHTML タグが含まれていたら, 解釈, 実行できないほかの文字列に置き換える。
  • 入力の全体の長さが制限を超えていたときは受け付けない。
  • 解答を見る
    正解:イ

  • ディレクトリトラバーサルの対策
  • SQLインジェクションの対策
  • クロスサイトスクリプティング(XSS)の対策
  • バッファオーバーフローの対策

  • SC H26 春 午前Ⅱ 問24

    システムの改善に向けて提出された4案について, 評価項目を設定して採点した結果を, 採点結果表に示す。効果及びリスクについては5段階評価とし, それぞれの評価項目の重要度に応じて, 重み付け表に示すとおりの重み付けを行った上で次の式で総合評価点を算出したとき, 総合評価点が最も高い改善案はどれか。

    [総合評価点の算出式]
     総合評価点 = 効果の総評価点 - リスクの総評価点

    sc-h26-haru-am2-q24


    ア 案1   イ 案2   ウ 案3   エ 案4

    解答を見る
    正解:ウ

    定性的な評価項目の重要度に応じて、重み付けを行い、評価項目の採点結果と重みを乗じることで定量的なデータにする方法をスコアリングモデルという。

    定性的とは、簡単に言えば数字で表せないデータのこと。
    定量的とは、簡単に言えば数字に表せるデータのこと。

    評価項目ごとの評価点は、[採点結果] × [重み] で算出する。

    案1の総合評価点:(3 × 4)+(2 × 2)+(5 × 3)-(2 × 8)-(4 × 3)= 3
    案2の総合評価点:(4 × 4)+(4 × 2)+(4 × 3)-(4 × 8)-(1 × 3)= 1
    案3の総合評価点:(5 × 4)+(2 × 2)+(2 × 3)-(1 × 8)-(5 × 3)= 7
    案4の総合評価点:(2 × 4)+(5 × 2)+(4 × 3)-(5 × 8)-(1 × 3)= -13

    よって、最も高い改善案は、総合評価点7 の案3です。