情報セキュリティスペシャリスト試験の午前Ⅱ問題と旧試験の午前問題からランダムに25問抽出します。問題を入れ替えたい場合は、ブラウザで再読み込みを行ってください。

SC:情報セキュリティスペシャリスト試験
SU:情報セキュリティアドミニストレータ試験(旧試験)
SV:テクニカルエンジニア(情報セキュリティ)試験(旧試験)

SC H25 秋 午前Ⅱ 問17

LANの制御方式に関する記述のうち, 適切なものはどれか。

  • CSMA/CD方式では, 単位時間当たりの送出フレーム数が増していくと, 衝突の頻度が増すので, スループットはある値をピークとして, その後下がる。
  • CSMA/CD方式では, 一つの装置から送出されたフレームが順番に各装置に伝送されるので, リング状のLANに適している。
  • TDMA方式では, 伝送路上におけるフレームの伝搬遅延時間による衝突が発生する。
  • トークンアクセス方式では, トークンの巡回によって送信権を管理しているので, トラフィックが増大すると, CSMA/CD方式に比べて伝送効率が急激に低下する。
  • 解答を見る
    正解:ア

  • 正しい記述です。
  • トークンアクセス方式(トークンパッシング)の説明です。
  • TDMA方式(時分割多元接続)では、衝突は発生しません。
  • トークンアクセス方式(トークンパッシング)では、トラフィックが増大しても、CSMA/CD方式のように伝送効率が急激に低下することはありません。

  • SC H23 特別 午前Ⅱ 問3

    PCに内蔵されるセキュリティチップ(TPM:Trusted Platform Module)がもつ機能はどれか。

  • TPM間の共通鍵の交換
  • 鍵ペアの生成
  • ディジタル証明書の発行
  • ネットワーク経由の乱数送信
  • 解答を見る
    正解:イ

    TPMは、耐タンパ性をもつセキュリティチップ。
    RSA暗号による鍵ペア生成、SHA-1によるハッシュ値計算などの機能を提供する。

  • TPM間の共通鍵の交換機能はない。
  • TPM内部でRSA暗号による鍵ペア(公開鍵と共通鍵)を生成できる。
  • ディジタル証明書の発行機能はない。
  • ネットワーク経由の乱数送信機能はない。

  • SC H25 秋 午前Ⅱ 問6

    サイドチャネル攻撃の手法であるタイミング攻撃の対策として,最も適切なものはどれか。

  • 演算アルゴリズムに対策を施して,演算内容による処理時間の差異が出ないようにする。
  • 故障を検出する機構を設けて,検出したら機密情報を破棄する。
  • コンデンサを挿入して,電力消費量が時間的に均一となるようにする。
  • 保護層を備えて,内部のデータが不正に書き換えられないようにする。
  • 解答を見る
    正解:ア

    サイドチャネル攻撃とは、暗号処理装置を物理的手段(処理時間や装置から発する電磁波など)で観察・測定することで、装置内部の機密情報を取得する攻撃手法です。

    サイドチャネル攻撃には様々な種類があり、「タイミング攻撃」や「電力解析攻撃」、「電磁波解析攻撃」(テンペストともいう)などがあります。

    タイミング攻撃とは、暗号化や復号処理にかかる処理時間を測定し、処理時間の違いを統計的に分析して、暗号鍵の解読を行う攻撃手法です。

    対応策として、演算アルゴリズムに対策を施して、演算内容による処理時間の差異が出ないようにします。


    SC H23 特別 午前Ⅱ 問21

    次のSQL文をA表の所有者が発行した場合を説明したものはどれか。

    GRANT ALL PRIVILEGES ON A TO B WITH GRANT OPTION

  • A表に関する, SELECT権限, UPDATE権限, INSERT権限, DELETE権限などのすべての権限, 及びそれらの付与権限を利用者Bに対して付与する。
  • A表に関する, SELECT権限, UPDATE権限, INSERT権限, DELETE権限などのすべての権限を利用者Bに対して付与するが, それらの権限の付与権限は付与しない。
  • A表に関する, SELECT権限, UPDATE権限, INSERT権限, DELETE権限は与えないが, それらのすべての付与権限だけを利用者Bに対して付与する。
  • A表に関する, SELECT権限, 及びSELECT権限の付与権限を利用者Bに対して付与し, UPDATE権限, INSERT権限, DELETE権限, 及びそれらの付与権限は付与しない。
  • 解答を見る
    正解:ア

    SQL文でオブジェクト権限を付与するには、GRANT文を使用します。

    GRANT {オブジェクト権限 | ALL [PRIVILEGES]} ON {オブジェクト名} TO {ユーザー名|ロール名|PUBLIC} [WITH GRANT OPTION]

    ALL [PRIVILEGES]を指定すると、利用可能なすべてのオブジェクト権限を付与することが可能になります。

    WITH GRANT OPTIONを指定すると、権限を付与されたユーザは自分に与えられている権限を他のユーザに付与することが可能になります。


  • 正しい記述です。
  • WITH GRANT OPTIONを指定しているため、自分に与えられている権限を他のユーザに付与することが可能です。
  • ALL PRIVILEGESを指定しているため、SELECT権限, UPDATE権限, INSERT権限, DELETE権限が付与される。
  • ALL PRIVILEGESとWITH GRANT OPTIONを指定しているため、UPDATE権限, INSERT権限, DELETE権限, 及びそれらの付与権限は付与されます。

  • SC H23 秋 午前Ⅱ 問23

    ソフトウェア開発組織の活動状態のうち,CMMI モデルにおける成熟度レベルが最も高いものはどれか。

    • 作業成果物の状況が,主要タスクの完了時点で管理層に対して見える状態になっている。
    • 実績が定量的に把握されており,プロセスが組織的に管理されている。
    • プロセスが明文化されて,組織内の全ての人がそれを利用している。
    • プロセスを継続的に改善していくための仕組みが機能している。

    解答を見る
    正解:エ
    CMMI (Capability Maturity Model Integration、能力成熟度モデル統合)
    システム開発組織におけるプロセスの成熟度を5段階のレベルで定義したモデル。

    成熟度レベル 概要
    レベル1 初期 初期状態 (混沌とした、いきあたりばったりで、一部の英雄的なメンバー依存の状態)。成熟したプロセスを導入する際の、出発点のレベル
    レベル2 管理された 管理された状態 (反復できる状態、プロジェクト管理・プロセスの規則の存在)、反復してプロセスを実行できるレベル
    レベル3 定義された 定義された状態 (制度化された状態)、プロセスが標準ビジネスプロセスとして明示的に定義され関係者の承認を受けているレベル
    レベル4 定量的に管理された 管理が実施され、さまざまなタスク領域を定量的に計測しているレベル
    レベル5 最適化している 最適化している状態 (プロセスを改善する状態)、継続的に自らのプロセスを最適化し改善しているレベル

    概要はウィキペディアから引用しました。

  • レベル2の説明。
  • レベル4の説明。
  • レベル3の説明。
  • 最も成熟度が高いレベル5の説明。

  • SC H23 特別 午前Ⅱ 問12

    自社の中継用メールサーバのログのうち, 外部ネットワークからの第三者中継と判断できるものはどれか。 ここで, AAA.168.1.5とAAA.168.1.10は自社のグローバルIPアドレスとし、BBB.45.67.89とBBB.45.67.90は社外のグローバルIPアドレスとする。 a.b.cは自社のドメイン名とし、a.b.dとa.b.eは他社のドメイン名とする。 また, IPアドレスとドメイン名は詐称されていないものとする。

    送信元IPアドレス 送信者のドメイン名 受信者のドメイン名
    AAA.168.1.5 a.b.c a.b.d
    AAA.168.1.10 a.b.c a.b.c
    BBB.45.67.89 a.b.d a.b.e
    BBB.45.67.90 a.b.d a.b.c

    解答を見る
    正解:ウ


    SU H18 秋 午前 問17

    TCP/IP環境において,複数のコンピュータで時刻同期をとるためのプロトコルはどれか。

  • LCP
  • NCP
  • NTP
  • RTP
  • 解答を見る
    正解:ウ

  • LCP(Link Control Protocol)…PPPで利用されるリンク制御用のプロトコル
  • NCP(Network Control Program)…ネットワーク制御用のプログラム
  • NTP(Network Time Protocol)…コンピュータの時刻同期プロトコル
  • RTP(Real-time Transport Protocol)…動画や音声などのマルチメディアをストリーミング再生するための伝送プロトコル


  • SC H23 秋 午前Ⅱ 問18

    コンピュータとスイッチングハブの間,又は2台のスイッチングハブの間を接続する複数の物理回線を論理的に1本の回線に束ねる技術はどれか。

  • スパニングツリー
  • ブリッジ
  • マルチホーミング
  • リンクアグリゲーション
  • 解答を見る
    正解:エ


    SC H25 秋 午前Ⅱ 問1

    RLO (Right-to-Left Override) を利用した手口の説明はどれか。

  • “コンピュータウイルスに感染している”といった偽の警告を出して利用者を脅し, ウイルス対策ソフトの購入などを迫る。
  • 脆弱性があるホストのシステムをあえて公開し, 攻撃の内容を観察する。
  • ネットワーク機器のMIB情報のうち監視項目の値の変化を感知し, セキュリティに関するイベントをSNMPマネージャに通知するように動作させる。
  • 文字の表示順を変える制御文字を利用し, ファイル名の拡張子を偽装する。
  • 解答を見る
    正解:エ

    RLO(Right-to-Left Override) は文字の流れを右から左へ変更するUnicodeの制御文字です。本来、文字を右から左へ読む文化圏(アラビア言語など)に対応するために実装されました。

    しかし、標的型攻撃メールではファイル偽装の手口として悪用されていて、実行形式ファイルを文書ファイル等に偽装して、相手にファイルを開かせようとします。


    SC H27 春 午前Ⅱ 問22

    共通フレームによれば, システム要件の評価タスクにおいて見極めることはどれか。

  • システム要件とシステム方式との間に一貫性があるかどうか。
  • システム要件とシステム方式との関連が追跡できるかどうか。
  • システム要件を満たすシステム方式設計が実現可能かどうか。
  • ソフトウェア品目が割り当てられたシステム要件を満たすかどうか。
  • 解答を見る
    正解:ウ


    SC H25 春 午前Ⅱ 問7

    無線LAN環境に複数台のPC, 複数のアクセスポイント及び利用者認証情報を管理する1台のサーバがある。利用者認証とアクセス制御にIEEE 802.1XとRADIUSを利用する場合の実装方法はどれか。

  • PCにはIEEE 802.1Xのサプリカントを実装し, RADIUSクライアントの機能をもたせる。
  • アクセスポイントにはIEEE 802.1Xのオーセンティケータを実装し, RADIUSクライアントの機能をもたせる。
  • アクセスポイントにはIEEE 802.1Xのサプリカントを実装し, RADIUSサーバの機能をもたせる。
  • サーバにはIEEE 802.1Xのオーセンティケータを実装し, RADIUSサーバの機能をもたせる。
  • 解答を見る
    正解:イ

    IEEE 802.1Xは、LAN内でユーザ認証を行うための規格。
    IEEE 802.1Xを使った認証システムは、以下の3つで構成される。

  • サプリカント(Supplicant)…認証を受けるクライアントPCに必要なソフトウェア。
  • オーセンティケータ(Authenticator)…IEEE802.1Xに対応した認証装置(LANスイッチまたは無線LANのアクセスポイント)
  • 認証サーバ…クライアント認証を行うサーバ(RADIUSサーバなど)
  • IEEE 802.1XとRADIUSを利用する場合、アクセスポイントにRADIUSクライアントの機能、認証サーバにRADIUSサーバの機能を持たせる。


    SC H21 春 午前Ⅱ 問4

    スパムメールの対策として, あて先ポート番号25番のメールに対しISPが実施するOP25Bの説明はどれか。

  • ISP管理外のネットワークからの受信メールのうち, スパムメールのシグネチャに該当するメールを遮断する。
  • 動的IPアドレスを割り当てたネットワークからISP管理外のネットワークに直接送信されたメールを遮断する。
  • メール送信元のメールサーバについてDNSの逆引きができない場合, そのメールサーバからのメールを遮断する。
  • メール不正中継の脆(ぜい)弱性をもつメールサーバからの受信メールを遮断する。
  • 解答を見る
    正解:イ

    OP25B(Outbound Port 25 Blocking)
    ISP提供のメールサーバを経由せず、外部のSMTPサーバ(25番ポート)へ直接接続しようとするパケットをブロックすることです。


    SC H25 秋 午前Ⅱ 問4

    無線LANにおけるWPA2の特徴はどれか。

  • AHとESPの機能によって認証と暗号化を実現する。
  • 暗号化アルゴリズムにAESを採用したCCMP(Counter-mode with CBC-MAC Protocol)を使用する。
  • 端末とアクセスポイントの間で通信を行う際に, SSL Handshake Protocol を使用して, お互いが正当な相手かどうかを認証する。
  • 利用者が設定する秘密鍵と, 製品で生成するIV(Initialization Vector)とを連結した数字を基に, データをフレームごとにRC4で暗号化する。
  • 解答を見る
    正解:イ

  • IPsecの説明です。
  • WPA2の説明です。WPAを改良した新バージョンがWPA2です。大きな変更点は、暗号アルゴリズムにAESを採用したCCMPという暗号方式を使用している点です。それ以外の仕様はWPAとほとんど変わりません。
  • SSLセッションの認証処理の説明。
  • WEPの説明です。

  • SC H25 春 午前Ⅱ 問17

    IEEE 802.11aやIEEE 802.11b で採用されているアクセス制御方式でどれか。

  • CSMA/CA
  • CSMA/CD
  • LAPB
  • トークンパッシング方式
  • 解答を見る
    正解:ア

    IEEE 802.11aやIEEE 802.11bは、無線LANの規格の1つ。
    無線LANのアクセス制御方式はCSMA/CAなので、アが正解となる。

    イのCSMA/CDは、有線LANのアクセス制御方式です。


    SC H22 秋 午前Ⅱ 問21

    和両立である R (ID, NAME), S (NO, NAME) がある。 差集合 R-S を求めるSELECT文とするために, a に入れるべき適切な字句はどれか。 ここで, 下線部は主キーを表す。また, NAMEとNAMEはNULL不可とする。

    SELECT * FROM R WHERE [  a  ]
      (SELECT * FROM S WHERE S.NO = R.ID AND S.NAME = R.NAME)

    • EXISTS
    • NOT EXISTS
    • NOT IN
    • R.ID NOT IN

    解答を見る
    正解:イ


    SC H21 春 午前Ⅱ 問24

    アクセス権限を管理しているシステムの利用者IDリストから, 退職による権限喪失者が削除されていることを検証する手続として、最も適切なものはどれか。

  • アクセス権限削除申請書の全件について, 利用者IDリストから削除されていることを確認する。
  • 最新の利用者IDリストの全件について, 対応するアクセス権限削除申請書が存在しないことを確認する。
  • 人事発令簿の退職者の全件について, 利用者IDリストから削除されていることを確認する。
  • 利用者IDリストの更新履歴の全件について, 対応するアクセス権限削除申請書の存在を確認する。
  • 解答を見る
    正解:ウ


    SC H22 秋 午前Ⅱ 問12

    送信元を詐称した電子メールを拒否するために, SPF(Sender Policy Framework)の仕組みにおいて受信側が行うことはどれか。

  • Resent-Sender:, Resent-From:, Sender:, From: などのメールヘッダ情報の送信者メールアドレスを基に送信メールアカウントを検証する。
  • SMTPが利用するポート番号25の通信を拒否する。
  • SMTP通信中にやり取りされるMAIL FROMコマンドで与えられた送信ドメインと送信サーバのIPアドレスの適合性を検証する。
  • 付加されたディジタル署名を受信側が検証する。
  • 解答を見る
    正解:ウ

  • Sender ID の説明。
  • OP25B(Outbound Port 25 Blocking)の説明。
  • SPF(Sender Policy Framework)の説明。
  • S/MIME の説明。

  • SC H25 秋 午前Ⅱ 問23

    表は, システムへの要求の明確さに応じた開発方針と, 開発方針に適した開発モデルの組である。a ~c に該当する開発モデルの組合せはどれか。

    要求の明確さ 開発方針 開発モデル
    要求が明確になっている。 全機能を一斉に開発する。 a
    要求に不明確な部分がある。 簡易なシステムを実装し, 動作を評価しながら要求を早期に明確にする。その後は全機能を一斉に開発する。 b
    要求に変更される可能性が高い部分がある。 最初に要求が確定した部分だけを開発する。そのあとに要求が確定した部分を逐次追加していく。 c

     

    a b c
    ウォータフォールモデル 進化的モデル プロトタイピングモデル
    ウォータフォールモデル プロトタイピングモデル 進化的モデル
    進化的モデル ウォータフォールモデル プロトタイピングモデル
    プロトタイピングモデル ウォータフォールモデル 進化的モデル

     

    解答を見る
    正解:イ

    開発モデル a :
    要件の変更がほとんどなく、全機能を一斉に開発するとなった場合、計画を立てやすいウォータフォールモデルが適しています。

    開発モデル b :
    開発方針に「簡易なシステムを実装し, 動作を評価しながら」とあるので、プロトタイピングモデルが適しています。

    開発モデル c :
    要件が確定した部分を逐次開発していくのが進化的モデルです。
    要件の変更が多い場合に適した開発モデルです。


    SC H27 春 午前Ⅱ 問25

    入出金管理システムから出力された入金データファイルを, 売掛金管理システムが読み込んでマスタファイルを更新する。
    入出金管理システムから売掛金管理システムへのデータ受渡しの正確性及び網羅性を確保するコントロールはどれか。

  • 売掛金管理システムにおける入力データと出力結果とのランツーランコントロール
  • 売掛金管理システムのマスタファイル更新におけるタイムスタンプ機能
  • 入金額及び入金データ件数のコントロールトータルのチェック
  • 入出金管理システムへの入力のエディットバリデーションチェック
  • 解答を見る
    正解:ウ


    SU H20 秋 午前 問29

    クロスサイトスクリプティングの手口はどれか。

  • Webアプリケーションに用意された入力フィールドに, 悪意のあるJavaScriptコードを含んだデータを入力する。
  • インターネットなどのネットワークを通じてサーバに不正に侵入したり, データの改ざん・破壊を行ったりする。
  • 大量のデータをWebアプリケーションに送ることによって, 用意されたバッファ領域をあふれさせる。
  • パス名を推定することによって, 本来は認証された後にしかアクセスできないページに直接ジャンプする。
  • 解答を見る
    正解:ア


    SC H21 秋 午前Ⅱ 問23

    開発した製品で利用している新規技術に関して特許の出願を行った。 日本において特許権の取得が可能なものはどれか。

  • 学会で技術内容を発表した日から11か月目に出願した。
  • 顧客と守秘義務の確認を取った上で技術内容を説明した後, 製品発表前に出願した。
  • 製品に使用した暗号の生成式を出願した。
  • 製品を発売した後に出願した。
  • 解答を見る
    正解:イ


    SC H21 春 午前Ⅱ 問21

    ソフトウェアを保守するときなどに利用される技術であるリバースエンジニアリングの説明としてはどれか。

  • ソースプログラムを解析してプログラム仕様書を作る。
  • ソースプログラムを探索して修正個所や影響度を調べる。
  • ソースプログラムを見直して構造化プログラムに変換する。
  • ソースプログラムを分かりやすい表現に書き換える。
  • 解答を見る
    正解:ア


    SC H22 春 午前Ⅱ 問15

    SMTP-AUTHを使ったメールセキュリティ対策はどれか。

  • ISP管理下の動的IPアドレスからの電子メール送信について、管理外ネットワークのメールサーバへSMTP通信を禁止する。
  • PCからの電子メール送信について, POP接続で利用者認証済の場合にだけ許可する。
  • 通常のSMTPとは独立したサブミッションポートを使用して, メールサーバ接続時の認証を行う。
  • 電子メール送信元のサーバについてDNSの逆引きが成功した場合にだけ, 電子メール受信を許可する。
  • 解答を見る
    正解:ウ

  • OP25B(Outbound Port 25 Blocking)の説明。
  • POP before SMTPの説明。
  • SMTP-AUTHを使ったメールセキュリティ対策です。
  • DNSの逆引きとは、IPアドレスからドメイン名に変換すること。SMTP-AUTHとは関係ないので、誤り。
  • 【解説】
    一般的に電子メールの送信には、SMTP(25番ポート)を利用しています。

    SMTPには、ユーザー認証機能がないため、スパムメールを送信する業者(スパマー)がたくさんいます。スパマーは、ISP提供のメールサーバを経由せず、メール送信先のメールサーバに直接接続しようとします。

    そこで多くのISPでは、スパムメール対策として、OP25B(Outbound Port 25 Blocking)を導入しています。

    OP25Bとは、ISP提供のメールサーバを経由せず、外部のSMTPサーバ(25番ポート)へ直接接続しようとするパケットをブロックすることです。

    正当な利用者が、ISP提供のメールサーバを経由せず、メール送信先のメールサーバに直接接続する場合は、ポート番号25の代わりに、サブミッションポート(587番ポート)を使用します。

    サブミッションポートの利用には、「SMTP-AUTH」による認証が必要となるため、正当な利用者のみがメール送信を行うことができます。


    SC H21 秋 午前Ⅱ 問15

    SLCP(共通フレーム)に従いシステム開発の要件定義の段階で実施することとして, 適切なものはどれか。

  • システムに必要なセキュリティ機能及びその機能が達成すべき保証の程度を決定する。
  • システムに必要なセキュリティ機能に関連するチェックリストを用いてソースコードをレビューする。
  • 組織に必要なセキュリティ機能を含むシステム化計画を立案する。
  • 第三者によるシステムのセキュリティ監査を脆(ぜい)弱性評価ツールを用いて定期的に実施する。
  • 解答を見る
    正解:ア


    SC H26 秋 午前Ⅱ 問11

    暗号化や認証機能をもち, 遠隔にあるコンピュータを操作する機能をもったものはどれか。

  • IPsec
  • L2TP
  • RADIUS
  • SSH
  • 解答を見る
    正解:エ