情報セキュリティスペシャリスト試験の午前Ⅱ問題と旧試験の午前問題からランダムに25問抽出します。問題を入れ替えたい場合は、ブラウザで再読み込みを行ってください。

SC:情報セキュリティスペシャリスト試験
SU:情報セキュリティアドミニストレータ試験(旧試験)
SV:テクニカルエンジニア(情報セキュリティ)試験(旧試験)

SC H21 春 午前Ⅱ 問17

DBMSの排他制御機能に関する記述のうち, 適切なものはどれか。

  • 排他制御機能によって, 同時実行処理でのデータの整合性を保つことができます。
  • 排他制御機能の使用によって, デッドロックを防止できる。
  • 排他制御はDBMSが自動で行い, アプリケーションプログラムからロック, アンロックの指示はできない。
  • バッチによる更新処理では排他制御を行う必要はない。
  • 解答を見る
    正解:ア


    SC H27 秋 午前Ⅱ 問6

    ISO/IEC 15408 を評価基準とする"ITセキュリティ評価及び認証制度"の説明として, 適切なものはどれか。

  • 暗号モジュールに暗号アルゴリズムが適切に実装され, 暗号鍵などが確実に保護されているかどうかを評価及び認証する制度
  • 主に無線LANにおいて, RADIUSなどと連携することで, 認証されていない利用者を全て排除し, 認証された利用者だけの通信を通過させることを評価及び認証する制度
  • 情報技術に関連した製品のセキュリティ機能の適切性, 確実性を第三者機関が評価し, その結果を公的に認証する制度
  • 情報セキュリティマネジメントシステムが, 基準にのっとり, 適切に組織内に構築, 運用されていることを評価及び認証する制度
  • 解答を見る
    正解:ウ


    SU H20 秋 午前 問32

    無線LANのセキュリティ技術に関する記述のうち, 適切なものはどれか。

  • ESS-ID及びWEPを使ってアクセスポイントと通信するには, クライアントにEAP(Extensible Authentication Protocol)を実装する必要がある。
  • WEPの暗号化鍵の長さは128ビットと256ビットがあり, どちらを利用するかによって処理速度とセキュリティ強度に差が生じる。
  • アクセスポイントにMACアドレスを登録して認証する場合, ローミング時にESS-IDを照合しない。
  • 無線LANの複数のアクセスポイントが, 1台のRADIUSサーバと連携してユーザ認証を行うことができる。
  • 解答を見る
    正解:エ


    SC H26 秋 午前Ⅱ 問22

    テストで使用されるスタブ又はドライバの説明のうち, 適切なものはどれか。

  • スタブは, テスト対象モジュールからの戻り値を表示・印刷する。
  • スタブは, テスト対象モジュールを呼び出すモジュールである。
  • ドライバは, テスト対象モジュールから呼び出されるモジュールである。
  • ドライバは, 引数を渡してテスト対象モジュールを呼び出す。
  • 解答を見る
    正解:エ


    SC H27 秋 午前Ⅱ 問16

    ダウンローダ型ウイルスが内部ネットワークのPCに感染したとき, そのマルウェアによってインターネット経由で他のマルウェアがダウンロードされることを防ぐ対策として, 最も有効なものはどれか。

  • URLフィルタを用いてインターネット上の危険なWebサイトへの接続を遮断する。
  • インターネットから内部ネットワークに向けた要求パケットによる不正侵入行為をIPSで破棄する。
  • スパムメール対策サーバでインターネットからのスパムメールを拒否する。
  • メールフィルタで他サイトへの不正メール発信を遮断する。
  • 解答を見る
    正解:ア

    ダウンローダ型ウイルス
    インターネット経由で他のウイルスをダウンロードして実行するタイプのウイルス。
    ダウンローダー型ウイルス単独でおかしな挙動はしないので、ウイルス対策ソフトでも検出されにくい。
    URLフィルタを用いてインターネット上の不正Webサイトへの接続を遮断する対策が有効。


    SV H20 春 午前 問39

    Xさんは, Yさんにインターネットを使って電子メールを送ろうとしている。電子メールの内容を秘密にする必要があるので, 公開鍵暗号方式を使って暗号化して送信したい。電子メールの内容を暗号化するのに使用する鍵はどれか。

  • Xさんの公開鍵
  • Xさんの秘密鍵
  • Yさんの公開鍵
  • Yさんの秘密鍵
  • 解答を見る
    正解:ウ

    公開鍵暗号方式による暗号化は、受信者(Yさん)の公開鍵で暗号化し、受信者(Yさん)の秘密鍵で復号する。


    SV H20 春 午前 問46

    サーバへのログイン時に用いるパスワードを不正に取得しようとする攻撃とその対策の組合せのうち, 適切なものはどれか。

    辞書攻撃 スニッフィング ブルートフォース攻撃
    パスワードを平文で送信しない。 ログインの試行回数に制限を設ける。 ランダムな値でパスワードを設定する。
    ランダムな値でパスワードを設定する。 パスワードを平文で送信しない。 ログインの試行回数に制限を設ける。
    ランダムな値でパスワードを設定する ログインの試行回数に制限を設ける。 パスワードを平文で送信しない。
    ログインの試行回数に制限を設ける。 ランダムな値でパスワードを設定する。 パスワードを平文で送信しない。

    解答を見る
    正解:イ

    辞書攻撃
    辞書に記載されている用語を片っ端から入力し、不正ログインを試みる攻撃。
    パスワードはランダムな値で設定することが対策として有効。

    スニッフィング
    ネットワーク上のパケットを盗聴し、IDやパスワードを不正取得すること。
    パスワードは平文で送信せず、暗号化を行うことが対策として有効。

    ブルートフォース攻撃
    総当たり攻撃のこと。ブルートフォースは「力づくで」という意味を持つ。
    考えられる値を総当たりで入力し、力づくで解析を行う。
    ログインの試行回数に制限を設けることが対策として有効。


    SC H24 春 午前Ⅱ 問21

    SQLのGRANT文による権限定義に関する記述のうち,適切なものはどれか。

  • PUBLIC指定によって,すべての権限を与えることができる。
  • WITH GRANT OPTION指定によって,権限を付与可能にすることができる。
  • ビューに対して固有の参照権限を定義できない。
  • 表定義のSQL文内にGRANT文を指定することによって,権限定義ができる。
  • 解答を見る
    正解:イ

    WITH GRANT OPTIONを指定すると、権限を付与されたユーザは自分に与えられている権限を他のユーザに付与することが可能になります。よって、イが正解。


    SU H18 秋 午前 問22

    100人の送受信者が共通鍵暗号方式で,それぞれ秘密に通信を行うときに必要な共通鍵の総数は幾つか。

  • 200
  • 4,950
  • 9,900
  • 10,000
  • 解答を見る
    正解:イ

    共通鍵暗号方式の鍵の総数の求め方:
    n(n-1)/2

    n=100なので、100(100 - 1)/2 = 4,950 となる。


    SC H27 秋 午前Ⅱ 問21

    データウェアハウスを構築するために, 業務システムごとに異なっているデータ属性やコード体系を統一する処理はどれか。

  • ダイス
  • データクレンジング
  • ドリルダウン
  • ロールアップ
  • 解答を見る
    正解:イ


    SC H27 春 午前Ⅱ 問25

    入出金管理システムから出力された入金データファイルを, 売掛金管理システムが読み込んでマスタファイルを更新する。
    入出金管理システムから売掛金管理システムへのデータ受渡しの正確性及び網羅性を確保するコントロールはどれか。

  • 売掛金管理システムにおける入力データと出力結果とのランツーランコントロール
  • 売掛金管理システムのマスタファイル更新におけるタイムスタンプ機能
  • 入金額及び入金データ件数のコントロールトータルのチェック
  • 入出金管理システムへの入力のエディットバリデーションチェック
  • 解答を見る
    正解:ウ


    SC H27 秋 午前Ⅱ 問1

    AESの暗号化方式を説明したものはどれか。

  • 鍵長によって, 段数が決まる。
  • 段数は, 6回以内の範囲で選択できる。
  • データの暗号化, 復号, 暗号化の順に3回繰り返す。
  • 同一の公開鍵を用いて暗号化を3回繰り返す。
  • 解答を見る
    正解:ア

    AES(Advanced Encryption Standard)
    ・米国標準の共通鍵暗号方式(DESの後継規格)
    ・暗号や復号が高速である(共通鍵暗号方式のメリット)
    ・使用する鍵長は128ビット・192ビット・256ビットの3つの中から選択できる。鍵長によって、段数(ラウンド数ともいう)が決まる。段数とは、暗号化処理を繰り返す回数のことです。


  • AESの説明。
  • 段数は6回以内の範囲ではない。
    128ビットは10回、192ビットは12回、256ビットは14回と決まっている。
  • トリプルDESの説明。トリプルDESは、DESの暗号化処理を3回繰り返す。
  • このような暗号化方式は存在しない。

  • SC H26 春 午前Ⅱ 問11

    テンペスト(TEMPEST)攻撃を説明したものはどれか。

  • 故意に暗号化演算を誤動作させて正しい処理結果との差異を解析する。
  • 処理時間の差異を計測し解析する。
  • 処理中に機器から放射される電磁波を観測し解析する。
  • チップ内の信号線などに探針を直接当て,処理中のデータを観測し解析する。
  • 解答を見る
    正解:ウ

    テンペスト攻撃とは、電磁波解析攻撃のこと。
    ディスプレイなどから放射される微弱な電磁波を傍受し、情報を盗み見る攻撃です。
    対策としては、電磁波を遮断する製品を使用したり、電磁波を遮断可能な部屋に機器を設置することで対抗します。


    SC H27 春 午前Ⅱ 問7

    JVN(Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCVE(Common Vulnerabilities and Exposures)識別子の説明はどれか。

  • コンピュータで必要なセキュリティ設定項目を識別するための識別子である。
  • 脆弱性を利用して改ざんされたWebサイトのスクリーンショットを識別するための識別子である。
  • 製品に含まれる脆弱性を識別するための識別子である。
  • セキュリティ製品を識別するための識別子である。
  • 解答を見る
    正解:ウ
    CVEとは、製品に含まれる脆弱性を識別するために、米国政府の支援を受けた非営利団体のMITRE社が採番している識別子です。
    JVNとは、情報処理推進機構(IPA)とJPCERT/CCとが共同管理している脆弱性対策ポータルサイトで、「CVE情報源サイト」の一つです。


    SC H25 春 午前Ⅱ 問19

    TCPのフロー制御に関する記述のうち, 適切なものはどれか。

  • OSI基本参照モデルのネットワーク層の機能である。
  • ウィンドウ制御機能の単位は, バイトではなくビットである。
  • 確認応答がない場合は再送処理によってデータ回復を行う。
  • データの順序番号をもたないので, データは受信した順番のままで処理する。
  • 解答を見る
    正解:ウ

  • ネットワーク層ではなく、トランスポート層の機能。
  • ビット単位ではなく、バイト単位で制御する。
  • 正しい。
  • シーケンス番号を参照することで、正しい順序で処理することができる。

  • SC H26 秋 午前Ⅱ 問3

    経済産業省が公表した “クラウドサービス利用のための情報セキュリティマネジメントガイドライン” が策定された目的について述べたものはどれか。

  • JIS Q 27002 の管理策を補完し, クラウドサービス利用者が情報セキュリティ対策を円滑に行えるようにする。
  • クラウドサービス提供事業者に対して情報セキュリティ監査を実施する方法を利用者に提示する。
  • クラウドサービスの利用がもたらすセキュリティリスクをサービス提供事業者の視点で提示する。
  • セキュリティリスクの懸念が少ないクラウドサービス提供事業者を利用者が選択できるような格付け基準を提供する。
  • 解答を見る
    正解:ア

    「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」

    本ガイドラインは、情報セキュリティマネジメントのベストプラクティスをまとめた国際規格(ISO/IEC27002:2005)を参照して、情報セキュリティ確保のために、クラウド利用者自ら行うべきことと、クラウド事業者に対して求めるべきことをまとめています。経済産業省


    SC H26 春 午前Ⅱ 問15

    Webアプリケーションの脆弱性を悪用する攻撃手法のうち, Perlのsystem関数やPHPのexec関数など外部プログラムの呼出しを可能にするための関数を利用し, 不正にシェルスクリプトや実行形式のファイルを実行させるものは, どれに分類されるか。

  • HTTPヘッダインジェクション
  • OSコマンドインジェクション
  • クロスサイトリクエストフォージェリ
  • セッションハイジャック
  • 解答を見る
    正解:イ

    Webアプリケーションの脆弱性に関する問題は午前・午後ともによく出題されるので、すべての用語を理解しておきたい。

  • HTTPヘッダインジェクション
    外部から渡されたパラメタをレスポンスのHTTPヘッダに反映する場合、不正なヘッダを生成されたり、レスポンスボディに不正な文字列を挿入されたりする脆弱性。
  • OSコマンドインジェクション
    プログラムのパラメータにOSコマンドを不正に埋め込まれ、OSそのものを不正に操作される脆弱性。
  • クロスサイトリクエストフォージェリ
    利用者のブラウザによって、利用者の意図しないリクエストがWebサーバに送信され、ログイン中の利用者にだけ許可されたWebサイトの機能が勝手に実行される脆弱性。
  • セッションハイジャック
    サーバと正規の利用者間のセッション(通信)を乗っ取り、正規の利用者に成りすます行為のこと。

  • SV H20 春 午前 問48

    無線LANにおける通信の暗号化の仕組みに関する記述のうち, 適切なものはどれか。

  • EAP は, クライアントPCとアクセスポイントとの間であらかじめ登録した共通鍵による暗号化通信を実現する。
  • EES-IDは, クライアントPCごとの秘密鍵を定めたものであり, 公開鍵暗号方式の暗号化通信を実現する。
  • IEEE 802.1Xの規格を利用して機器認証を行い, 動的に異なる暗号化鍵を用いた暗号化通信を実現できる。
  • WEPでは, クライアントPCとアクセスポイントとの間で公開鍵暗号方式による暗号化通信を実現できる。
  • 解答を見る
    正解:ウ


    SC H22 秋 午前Ⅱ 問6

    DMZ上に公開しているWeb サーバで入力データを受け付け, 内部ネットワークのDBサーバにそのデータを蓄積するシステムがある。
    インターネットからDMZを経由してなされるDBサーバへの不正侵入対策の一つとして, DMZと内部ネットワークとの間にファイアウォールを設置するとき, 最も適切なものはどれか。

    SC H22 秋 午前Ⅱ 問6

  • DB サーバの受信ポート番号を固定し, WebサーバからDBサーバの受信ポート番号への通信だけをファイウォールで通す。
  • DMZからDBサーバへの通信だけをファイウォールで通す。
  • Webサーバの発信ポート番号は任意のポート番号を使用し, ファイウォールでは、いったん終了した通信と同じ発信ポート番号を使った通信を拒否する。
  • Webサーバの発信ポート番号を固定し, その発信ポート番号からの通信だけをファイウォールで通す。
  • 解答を見る
    正解:ア


    SC H22 春 午前Ⅱ 問23

    SOA(Service Oriented Architecture)の説明はどれか。

  • Webサービスを利用するためのインタフェースやプロトコルを規定したものである。
  • XMLを利用して, インターネットに存在するWebサービスを検索できる仕組みである。
  • 業務機能を提供するサービスを組み合わせることによって, システムを構築する考え方である。
  • サービス提供者と委託者との間でサービスの内容, 範囲及び品質に対する要求水準を明確にして, あらかじめ合意を得ておくことである。
  • 解答を見る
    正解:ウ

    SOA(サービス指向アーキテクチャ)
    各業務プロセスを構成しているソフトウェアを「サービス」としてとらえ、このサービスを集合させることで、システムを構築する手法。

  • HTTP(HyperText Transfer Protocol)の説明。
  • UDDI(Universal Description, Discovery and Integration)の説明。
  • SOA(Service Oriented architecture)の説明。
  • SLA(Service Level Agreement)の説明。

  • SC H22 秋 午前Ⅱ 問2

    作成者によってディジタル署名された電子文書に, タイムスタンプ機関がタイムスタンプを付与した。
    この電子文書を公開する場合のタイムスタンプの効果のうち, 適切なものはどれか。

  • タイムスタンプを付与した時刻以降に, 作成者が, 電子文書の内容をほかの電子文書へコピーして流用することを防止する。
  • タイムスタンプを付与した時刻以降に, 第三者が, 電子文書の内容をほかの電子文書へコピーして流用することを防止する。
  • 電子文書が, タイムスタンプの時刻以前に存在したことを示し, 作成者が, 電子文書の作成を否認することを防止する。
  • 電子文書が, タイムスタンプの時刻以前に存在したことを示し, 作成者が, 電子文書の作成を否認することを防止する。
  • 解答を見る
    正解:ウ

    タイムスタンプ技術で実現できることは以下の2点です。

  • 完全性証明:タイムスタンプを付与したデータがある時刻以前に存在していたことを証明する。否認の防止に有効。
  • 存在証明:データの改ざんを検知できる。
  • 作成者であろうと、電子文書の内容コピーをタイムスタンプで防ぐことはできない。
  • 第三者であろうと、電子文書の内容コピーをタイムスタンプで防ぐことはできない。
  • 正しい記述です。
  • タイムスタンプで改ざんの検知はできるが、改ざんの防止はできない。

  • SC H22 秋 午前Ⅱ 問25

    請負契約でシステム開発を委託している条件について, 委託元のシステム監査人の指摘事項に該当するものはどれか。

  • 委託した開発案件の品質を委託元の管理者が定期的にモニタリングしている。
  • 委託元の管理者が委託先の開発担当者を指揮命令している。
  • 契約書に機密保持のための必要事項が盛り込まれている。
  • 特定の委託先との契約が長期化しているので, その妥当性を確認している。
  • 解答を見る
    正解:イ


    SC H24 春 午前Ⅱ 問4

    米国NISTが制定した,AES における鍵長の条件はどれか。

  • 128ビット,192ビット,256ビットから選択する。
  • 256ビット未満で任意に指定する。
  • 暗号化処理単位のブロック長より32ビット長くする。
  • 暗号化処理単位のブロック長より32ビット短くする。
  • 解答を見る
    正解:ア

    AES(Advanced Encryption Standard)とは、旧標準暗号方式DESの安全性が低下したため、米国の標準技術研局(NIST)が後継として採用した新標準暗号方式です。

    AESについては、以下を押さえておきましょう。

    • 米国標準の共通鍵暗号方式
    • 暗号や復号が高速である(これは共通鍵方式のメリット)
    • 使用する鍵長は128ビット・192ビット・256ビットの3つの中から選択できる。


    SC H21 秋 午前Ⅱ 問23

    開発した製品で利用している新規技術に関して特許の出願を行った。 日本において特許権の取得が可能なものはどれか。

  • 学会で技術内容を発表した日から11か月目に出願した。
  • 顧客と守秘義務の確認を取った上で技術内容を説明した後, 製品発表前に出願した。
  • 製品に使用した暗号の生成式を出願した。
  • 製品を発売した後に出願した。
  • 解答を見る
    正解:イ


    SC H25 秋 午前Ⅱ 問18

    コンピュータとスイッチングハブ(レイヤ2スイッチ)の間, 又は2台のスイッチングハブの間を接続する複数の物理回線を論理的に1本の回線に束ねる技術はどれか。

  • スパニングツリー
  • ブリッジ
  • マルチホーミング
  • リンクアグリゲーション
  • 解答を見る
    正解:エ

  • スパニングツリーは、ネットワークを冗長化させる際にループを防ぐためのプロトコル。
  • ブリッジは、OSI参照モデルのデータリンク層でデータ中継を行う機器。
  • マルチホーミングは、インターネットの接続回線を複数用意し、回線を冗長化する技術。
  • リンクアグリゲーションは、複数の物理回線を論理的に1本の回線に束ねる技術。