情報セキュリティスペシャリスト試験の午前Ⅱ問題と旧試験の午前問題からランダムに25問抽出します。問題を入れ替えたい場合は、ブラウザで再読み込みを行ってください。

SC:情報セキュリティスペシャリスト試験
SU:情報セキュリティアドミニストレータ試験(旧試験)
SV:テクニカルエンジニア(情報セキュリティ)試験(旧試験)

SC H27 春 午前Ⅱ 問10

NTP を使った増幅型のDDoS攻撃に対して, NTPサーバが踏み台にされることを防止する対策として, 適切なものはどれか。

  • NTPサーバの設定変更によって, NTPサーバの状態確認機能(monlist)を無効にする。
  • NTPサーバの設定変更によって, 自ネットワーク外のNTPサーバへの時刻問合せができないようにする。
  • ファイアウォールの設定変更によって, NTPサーバが存在する自ネットワークのブロードキャストアドレス宛てのパケットを拒否する。
  • ファイアウォールの設定変更によって, 自ネットワーク外からの, NTP以外のUDPサービスへのアクセスを拒否する。
  • 解答を見る
    正解:ア


    SC H24 秋 午前Ⅱ 問13

    ゼロデイ攻撃の特徴はどれか。

  • セキュリティパッチが提供される前にパッチが対象とする脆弱性を攻撃する。
  • 特定のサイトに対し、日時を決めて、複数台のPCから同時に攻撃する。
  • 特定のターゲットに対し、フィッシングメールを送信して不正サイトへ誘導する。
  • 不正中継が可能なメールサーバを見つけた後、それを踏み台にチェーンメールを大量に送信する。
  • 解答を見る
    正解:ア


    SC H25 秋 午前Ⅱ 問8

    DMZ上のコンピュータがインターネットからのpingに応答しないようにファイアウォールのセキュリティルールを定めるとき, "通過禁止"に設定するものはどれか。

  • ICMP
  • TCP及びUDPのポート番号53
  • TCPのポート番号21
  • UDPのポート番号123
  • 解答を見る
    正解:ア

  • pingは、ICMPのネットワーク診断機能です。
  • TCP及びUDPのポート番号53は、DNSで使用するポートです。
  • TCPのポート番号21は、FTPの制御用ポートです。FTPはデータ転送用(TCPポート番号20)と制御用(TCPポート番号21)の2つのポートを使用します。
  • UDPのポート番号123は、NTPで使用するポートです。

  • SC H24 秋 午前Ⅱ 問1

    特定の CA が発行した CRL(Certificate Revocation List) に関する記述のうち,適切なものはどれか。

  • CRLには,失効された公開鍵証明書に対応する秘密鍵が登録される。
  • CRLには,有効期限内の公開鍵証明書のうち破棄されている公開鍵証明書と破棄された日時の対応が提示される。
  • CRLは,鍵の漏えい,破棄申請の状況をリアルタイムに反映するプロトコルである。
  • 有効期限切れで無効になった公開鍵証明書は,所有者が新たに公開鍵証明書を取得するまでの間,CRL に登録される。
  • 解答を見る
    正解:イ

    CRLは、有効期限内に失効されたCAのディジタル証明書のシリアル番号のリストで、証明書の有効性を検証するために使われます。

    CRL には失効された証明書のシリアル番号、CRL の発行者名、更新日、次回更新日などが記載されます。有効期限切れとなった証明書はCRLには記載されません。

  • CRLに、ディジタル証明書に対応する秘密鍵は登録されません。
  • 正しい記述です。
  • このようなプロトコルは存在しません。そもそもCRLはプロトコルではありません。
  • 有効期限切れとなった証明書はCRLには記載されません。

  • SC H22 春 午前Ⅱ 問14

    スパムメールの対策であるDKIM(DomainKeys Identified Mail)の説明はどれか。

  • 送信側メールサーバでディジタル署名を電子メールのヘッダに付与して, 受信側メールサーバで検証する。
  • 送信側メールサーバで利用者が認証されたとき, 電子メールの送信が許可される。
  • 電子メールのヘッダや配送経路の情報から得られる送信元情報を用いて, メール送信元の IP アドレスを検証する。
  • ネットワーク機器で, 内部ネットワークから外部のメールサーバのTCPポート25番への直接の通信を許可する。
  • 解答を見る
    正解:ア

  • DKIMの説明。
  • SMTP-AUTHの説明。
  • Sender IDの説明。
  • OP25Bの説明。

  • SC H24 春 午前Ⅱ 問20

    WebDAVの特徴はどれか。

  • HTTP上のSOAPによってソフトウェア同士が通信して,ネットワーク上に分散したアプリケーションを連携させることができる。
  • HTTPを拡張したプロトコルを使って,サーバ上のファイルの参照や作成,削除及びバージョン管理が行える。
  • WebアプリケーションからIMAPサーバにアクセスして,ブラウザから添付ファイルを含む電子メールの操作ができる。
  • ブラウザで“ftp://"から始まるURLを指定して,ソフトウェアなどの大容量ファイルのダウンロードができる。
  • 解答を見る
    正解:イ


    SC H27 秋 午前Ⅱ 問23

    特許権に関する記述のうち,適切なものはどれか。

  • A社が特許を出願するより前に独自に開発して販売した製品は,A社の特許権の侵害にならない。
  • 組込み機器におけるハードウェアは特許権で保護されるが,ソフトウェアは保護されない。
  • 審査を受けて特許権を取得した後に,特許権が無効になることはない。
  • 先行特許と同一の技術であっても,独自に開発した技術であれば特許権の侵害にならない。
  • 解答を見る
    正解:ア


    SC H24 秋 午前Ⅱ 問24

    ソフトウェア開発・保守工程において,リポジトリを構築する理由として,最も適切なものはどれか。

  • 各工程で検出した不良を管理することが可能になり,ソフトウェアの品質分析が容易になる。
  • 各工程での作業手順を定義することが容易になり,開発・保守時の作業のミスを防止することができる。
  • 各工程での作業予定と実績を関連付けて管理することが可能になり,作業の進捗管理が容易になる。
  • 各工程での成果物を一元管理することによって,開発・保守作業の効率が良くなり,用語の統一もできる。
  • 解答を見る
    正解:エ


    SC H25 秋 午前Ⅱ 問3

    100人の送受信者が共通鍵暗号方式で, それぞれの秘密に通信を行うときに必要な共通鍵の総数は幾つか。

  • 200
  • 4,950
  • 9,900
  • 10,000
  • 解答を見る
    正解:イ

    共通鍵暗号方式の鍵の総数の求め方:
    n(n-1)/2

    n=100なので、100(100 – 1)/2 = 4,950 となる。


    SC H26 春 午前Ⅱ 問4

    スパムメールの対策として,あて先ポート番号25番の通信に対してISP が実施する OP25B の説明はどれか。

  • ISP管理外のネットワークからの通信のうち,スパムメールのシグネチャに該当するものを遮断する。
  • 動的 IPアドレスを割り当てたネットワークから ISP管理外のネットワークへの直接の通信を遮断する。
  • メール送信元のメールサーバについてDNSの逆引きができない場合,そのメールサーバからの通信を遮断する。
  • メール不正中継の脆弱性をもつメールサーバからの通信を遮断する。
  • 解答を見る
    正解:イ

    OP25B(Outbound Port 25 Blocking)
    ISP提供のメールサーバを経由せず、外部のSMTPサーバ(25番ポート)へ直接接続しようとするパケットをブロックすることです。


    SC H22 秋 午前Ⅱ 問1

    シングルサインオンの説明のうち, 適切なものはどれか。

  • クッキーを使ったシングルサインオンの場合, サーバごとの認証情報を含んだクッキーをクライアントで生成し, 各サーバ上で保存、管理する。
  • クッキーを使ったシングルサインオンの場合, サーバごとの認証情報を含んだクッキーをクライアントで生成し, 各サーバ上で保存、管理する。
  • リバースプロキシを使ったシングルサインオンの場合, 認証対象の各Webサーバを異なるインターネットドメインにする必要がある。
  • リバースプロキシを使ったシングルサインオンの場合, ユーザ認証においてパスワードの代わりにディジタル証明書を用いることができる。
  • 解答を見る
    正解:エ


    SC H23 特別 午前Ⅱ 問7

    認証局が送信者に発行したディジタル証明書を使用して送信者又は受信者が行えることはどれか。

  • 受信した暗号文を復号して, 盗聴を検知する。
  • 受信した暗号文を復号して, メッセージが改ざんされていないことと送信者が商取引相手として信頼できることを確認する。
  • 受信したメッセージのディジタル署名を検証して, メッセージが改ざんされていないこととメッセージの送信者に誤りがないことを確認する。
  • メッセージにディジタル署名を添付して, 盗聴を防止する。
  • 解答を見る
    正解:ウ


    SC H22 春 午前Ⅱ 問2

    XMLディジタル署名の特徴はどれか。

  • XML文書中の, 指定したエレメントに対して署名することができる。
  • エンべローピング署名(Enveloping Signature) では一つの署名対象に必ず複数の署名を付ける。
  • 署名形式として, CMS(Cryptographic Message Syntax)を用いる。
  • 署名対象と署名アルゴリズムをASN.1によって記述する。
  • 解答を見る
    正解:ア


    SC H21 春 午前Ⅱ 問4

    スパムメールの対策として, あて先ポート番号25番のメールに対しISPが実施するOP25Bの説明はどれか。

  • ISP管理外のネットワークからの受信メールのうち, スパムメールのシグネチャに該当するメールを遮断する。
  • 動的IPアドレスを割り当てたネットワークからISP管理外のネットワークに直接送信されたメールを遮断する。
  • メール送信元のメールサーバについてDNSの逆引きができない場合, そのメールサーバからのメールを遮断する。
  • メール不正中継の脆(ぜい)弱性をもつメールサーバからの受信メールを遮断する。
  • 解答を見る
    正解:イ

    OP25B(Outbound Port 25 Blocking)
    ISP提供のメールサーバを経由せず、外部のSMTPサーバ(25番ポート)へ直接接続しようとするパケットをブロックすることです。


    SC H22 秋 午前Ⅱ 問4

    米国NISTが制定したAESにおける鍵長の条件はどれか。

  • 128ビット, 192ビット, 256ビットから選択する。
  • 256ビット未満で任意に指定する。
  • 暗号化処理単位のブロック長より32ビット長くする。
  • 暗号化処理単位のブロック長より32ビット短くする。
  • 解答を見る
    正解:ア

    AES(Advanced Encryption Standard)とは、旧標準暗号方式DESの安全性が低下したため、米国の標準技術研局(NIST)が後継として採用した新標準暗号方式です。

    AESについては、以下を押さえておきましょう。

    • 米国標準の共通鍵暗号方式
    • 暗号や復号が高速である(これは共通鍵方式のメリット)
    • 使用する鍵長は128ビット・192ビット・256ビットの3つの中から選択できる。


    SC H24 春 午前Ⅱ 問9

    PCIデータセキュリティ基準(PCI DSS Version 2.0)の要件のうち,詳細要件の選択肢として,WAFの導入を含むものはどれか。

  • 要件1:カード会員データを保護するために,ファイアウォールをインストールして構成を維持すること
  • 要件3:保存されるカード会員データを保護すること
  • 要件6:安全性の高いシステムとアプリケーションを開発し,保守すること
  • 要件7:カード会員データへのアクセスを,業務上必要な範囲内に制限すること
  • 解答を見る
    正解:ウ

    PCI DSS(Payment Card Industry Data Security Standard)
    クレジットカード情報および取引情報を安全に保護するために策定されたクレジットカード業界における国際的なセキュリティ基準です。
    JCB、American Express、Discover、マスターカード、VISAの5社が共同で策定。

    PCI DSS Version 2.0では、12の要件が規定されていて、要件6.6にWAFの導入に関する記述がある。

    • PCI DSS 要件6.6(抜粋)
      一般公開されているWebアプリケーションの手前にWebアプリケーションファイアウォールをインストールする


    SC H24 春 午前Ⅱ 問14

    DNSの再帰的な問合せを使ったサービス不能攻撃(DNS amp)の踏み台にされることを防止する対策はどれか。

  • キャッシュサーバとコンテンツサーバに分離し,インターネット側からキャッシュサーバに問合せできないようにする。
  • 問合せされたドメインに関する情報をWhoisデータベースで確認する。
  • 一つのDNSレコードに複数のサーバのIPアドレスを割り当て,サーバへのアクセスを振り分けて分散させるように設定する。
  • 他のDNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性をディジタル署名で確認するように設定する。
  • 解答を見る
    正解:ア

    DNS ampとは、DNSキャッシュサーバの再帰的な問合せを悪用したDDoS攻撃の一種で、パケットを増幅(amplify)させることから、DNS ampと呼ばれています。

    DNSキャッシュサーバがインターネット側から利用できる状態の場合、踏み台にされる危険性があります。対応策としては、DNSのキャッシュサーバとコンテンツサーバを分離し、インターネット側からキャッシュサーバに問合せできないようにします。
    ちなみにコンテンツサーバは、自分が管理しているゾーン情報のみを応答するDNSサーバのことです。


    SC H25 秋 午前Ⅱ 問1

    RLO (Right-to-Left Override) を利用した手口の説明はどれか。

  • “コンピュータウイルスに感染している”といった偽の警告を出して利用者を脅し, ウイルス対策ソフトの購入などを迫る。
  • 脆弱性があるホストのシステムをあえて公開し, 攻撃の内容を観察する。
  • ネットワーク機器のMIB情報のうち監視項目の値の変化を感知し, セキュリティに関するイベントをSNMPマネージャに通知するように動作させる。
  • 文字の表示順を変える制御文字を利用し, ファイル名の拡張子を偽装する。
  • 解答を見る
    正解:エ

    RLO(Right-to-Left Override) は文字の流れを右から左へ変更するUnicodeの制御文字です。本来、文字を右から左へ読む文化圏(アラビア言語など)に対応するために実装されました。

    しかし、標的型攻撃メールではファイル偽装の手口として悪用されていて、実行形式ファイルを文書ファイル等に偽装して、相手にファイルを開かせようとします。


    SC H25 秋 午前Ⅱ 問23

    表は, システムへの要求の明確さに応じた開発方針と, 開発方針に適した開発モデルの組である。a ~c に該当する開発モデルの組合せはどれか。

    要求の明確さ 開発方針 開発モデル
    要求が明確になっている。 全機能を一斉に開発する。 a
    要求に不明確な部分がある。 簡易なシステムを実装し, 動作を評価しながら要求を早期に明確にする。その後は全機能を一斉に開発する。 b
    要求に変更される可能性が高い部分がある。 最初に要求が確定した部分だけを開発する。そのあとに要求が確定した部分を逐次追加していく。 c

     

    a b c
    ウォータフォールモデル 進化的モデル プロトタイピングモデル
    ウォータフォールモデル プロトタイピングモデル 進化的モデル
    進化的モデル ウォータフォールモデル プロトタイピングモデル
    プロトタイピングモデル ウォータフォールモデル 進化的モデル

     

    解答を見る
    正解:イ

    開発モデル a :
    要件の変更がほとんどなく、全機能を一斉に開発するとなった場合、計画を立てやすいウォータフォールモデルが適しています。

    開発モデル b :
    開発方針に「簡易なシステムを実装し, 動作を評価しながら」とあるので、プロトタイピングモデルが適しています。

    開発モデル c :
    要件が確定した部分を逐次開発していくのが進化的モデルです。
    要件の変更が多い場合に適した開発モデルです。


    SC H26 春 午前Ⅱ 問19

    VoIPにおいて, ユーザエージェント間のセッションの確立, 変更, 切断を行うプロトコルはどれか。

  • RTCP
  • RTP
  • SDP
  • SIP
  • 解答を見る
    正解:エ

  • RTCP(RTP Control Protocol)は、RTPのセッション制御を行うプロトコル。
  • RTP(Real-time Transport Protocol)は、音声や映像などリアルタイム制を要求されるデータを伝送するためのプロトコル。
  • SDP(Session Description Protocol)は、音声や画像などのマルチメディアセッションを開始するために必要な情報を記述するためのプロトコル。
  • SIP(Session Initiation Protocol)は、VoIPなどの技術で用いられる呼制御プロトコル。IP電話などでセッションの確立、 変更、切断を行うことができます。

  • SC H23 秋 午前Ⅱ 問21

    次数が n の関係 R には、属性なし (φ) も含めて異なる射影は幾つあるか。

  • n
  • 2n
  • n2
  • 2n
  • 解答を見る
    正解:エ


    SC H21 秋 午前Ⅱ 問12

    ブルートフォース攻撃に該当するものはどれか。

  • 可能性のある文字のあらゆる組合せでログインを試みる。
  • コンピュータへのキー入力をすべて記録して外部に送信する。
  • 盗聴者が正当な利用者のログインシーケンスをそのまま記録してサーバに送信する。
  • 認証が終了し、セッションを開始しているブラウザとWebサーバ間の通信で、クッキー情報などのセッション情報を盗む。
  • 解答を見る
    正解:ア

  • ブルートフォース攻撃の説明。
  • キーロガーの説明。
  • リプレイ攻撃の説明。
  • セッションハイジャックの説明。

  • SC H26 秋 午前Ⅱ 問12

    DoS攻撃の一つであるSmurf攻撃の特徴はどれか。

  • ICMPの応答パケットを大量に送り付ける。
  • TCP接続要求であるSYNパケットを大量に送り付ける。
  • サイズが大きいUDPパケットを大量に送り付ける。
  • サイズが大きい電子メールや大量の電子メールを送り付ける。
  • 解答を見る
    正解:ア

  • Smurf攻撃の説明。
  • SYN flood攻撃の説明。
  • UDP flood攻撃の説明。
  • メールボムの説明。/li>

  • SC H23 特別 午前Ⅱ 問15

    ICカードの耐タンパ性を高める対策はどれか。

  • ICカードとICカードリーダとが非接触の状態で利用者を認証して、利用者の利便性を高めるようにする。
  • 故障に備えてあらかじめ作成した予備のICカードを保管し、故障時に直ちに予備カードに交換して利用者がICカードを続けられるようにする。
  • 信号の読み出し用プローブの取付けを検出するとICチップ内の保存情報を消去する回路を設けて、ICチップ内の情報を容易に解析できないようにする。
  • 退職者のICカードは業務システム側で利用を停止して、ほかの利用者が使用できないようにする。
  • 解答を見る
    正解:ウ

    耐タンパ性
    物理的または論理的に内部のデータを解析することへの耐性。
    タンパは「許可なくいじくる」という意味。


    SC H24 秋 午前Ⅱ 問18

    DNSSECに関する記述として,適切なものはどれか。

  • DNSサーバへのDoS攻撃を防止できる。
  • IPsecによる暗号化通信が前提となっている。
  • 代表的なDNSサーバの実装であるBINDの代替として使用する。
  • ディジタル署名によってDNS応答の正当性を確認できる。
  • 解答を見る
    正解:エ

    DNSSEC(DNS Security Extensions)は、DNSのセキュリティ拡張方式。
    DNSのレコードに公開鍵暗号方式によるディジタル署名を付加し、応答を受け取った側で、そのディジタル署名を検証する仕組み。ディジタル署名を検証することで、レコードの送信者の正当性と応答が改ざんされてないことを保証できる。
    DNSキャッシュポイズニングの対策に有効。