情報セキュリティスペシャリスト試験の午前Ⅱ問題と旧試験の午前問題からランダムに25問抽出します。問題を入れ替えたい場合は、ブラウザで再読み込みを行ってください。

SC:情報セキュリティスペシャリスト試験
SU:情報セキュリティアドミニストレータ試験(旧試験)
SV:テクニカルエンジニア(情報セキュリティ)試験(旧試験)

SC H27 春 午前Ⅱ 問14

DNSSECで実現できることはどれか。

  • DNSキャッシュサーバからの応答中のリソースレコードが, 権威DNSサーバで管理されているものであり, 改ざんされていないことの検証
  • 権威DNSサーバとDNSキャッシュサーバとの通信を暗号化することによる, ゾーン情報の漏えいの防止
  • 長音 “ー” と漢数字 “一”などの似た文字をドメイン名に用いて, 正規サイトのように見せかける攻撃の防止
  • 利用者のURLの打ち間違いを悪用して, 偽サイトに誘導する攻撃の検知
  • 解答を見る
    正解:ア


    SC H24 春 午前Ⅱ 問25

    内部監査として実施したシステム監査で,問題点の検出後,改善勧告を行うまでの間に監査人が考慮すべき事項として,適切なものはどれか。

  • 改善事項を被監査部門へ事前に通知した場合,不備の是正が行われ,元から不備が存在しなかったように見える可能性があるので,被監査部門に秘匿する。
  • 監査人からの一方的な改善提案は実行不可能なものとなる恐れがあるので,改善勧告の前に,改善策について被監査部門との間で協議する場をもつ。
  • 経営判断に関することを避けるため,不備を改善する際の経済合理性などの判断を行わず,そのまま経営者に対する改善勧告とする。
  • 将来のフォローアップに際して,客観的で中立的な判断を阻害する要因となるので,改善勧告の優先度付けや取捨選択を行うことを避ける。
  • 解答を見る
    正解:イ


    SC H27 秋 午前Ⅱ 問23

    特許権に関する記述のうち,適切なものはどれか。

  • A社が特許を出願するより前に独自に開発して販売した製品は,A社の特許権の侵害にならない。
  • 組込み機器におけるハードウェアは特許権で保護されるが,ソフトウェアは保護されない。
  • 審査を受けて特許権を取得した後に,特許権が無効になることはない。
  • 先行特許と同一の技術であっても,独自に開発した技術であれば特許権の侵害にならない。
  • 解答を見る
    正解:ア


    SC H21 秋 午前Ⅱ 問6

    NIDS(ネットワーク型IDS)を導入する目的はどれか。

  • 管理下のネットワーク内への不正侵入の試みを検知し, 管理者に通知する。
  • サーバ上のファイルが改ざんされたかどうかを判定する。
  • 実際にネットワークを介してサイトを攻撃し, 不正に侵入できるかどうかを検査する。
  • ネットワークからの攻撃が防御できないときの損害の大きさを判定する。
  • 解答を見る
    正解:ア


    SC H21 春 午前Ⅱ 問3

    シングルサインオンの説明のうち, 適切なものはどれか。

  • クッキーを使ったシングルサインオンの場合, サーバごとに認証情報を含んだクッキーをクライアントで生成し, 各サーバ上で保存, 管理する。
  • クッキーを使ったシングルサインオンの場合, 認証対象の各サーバを異なるインターネットドメインに配置する必要がある。
  • リバースプロキシを使ったシングルサインオンの場合, 認証対象の各Webサーバをそれぞれ異なるインターネットドメインにする必要がある。
  • リバースプロキシを使ったシングルサインオンの場合, 利用者認証においてパスワードの代わりにディジタル証明書を用いることができる。
  • 解答を見る
    正解:エ


    SC H23 特別 午前Ⅱ 問7

    認証局が送信者に発行したディジタル証明書を使用して送信者又は受信者が行えることはどれか。

  • 受信した暗号文を復号して, 盗聴を検知する。
  • 受信した暗号文を復号して, メッセージが改ざんされていないことと送信者が商取引相手として信頼できることを確認する。
  • 受信したメッセージのディジタル署名を検証して, メッセージが改ざんされていないこととメッセージの送信者に誤りがないことを確認する。
  • メッセージにディジタル署名を添付して, 盗聴を防止する。
  • 解答を見る
    正解:ウ


    SC H25 秋 午前Ⅱ 問4

    無線LANにおけるWPA2の特徴はどれか。

  • AHとESPの機能によって認証と暗号化を実現する。
  • 暗号化アルゴリズムにAESを採用したCCMP(Counter-mode with CBC-MAC Protocol)を使用する。
  • 端末とアクセスポイントの間で通信を行う際に, SSL Handshake Protocol を使用して, お互いが正当な相手かどうかを認証する。
  • 利用者が設定する秘密鍵と, 製品で生成するIV(Initialization Vector)とを連結した数字を基に, データをフレームごとにRC4で暗号化する。
  • 解答を見る
    正解:イ

  • IPsecの説明です。
  • WPA2の説明です。WPAを改良した新バージョンがWPA2です。大きな変更点は、暗号アルゴリズムにAESを採用したCCMPという暗号方式を使用している点です。それ以外の仕様はWPAとほとんど変わりません。
  • SSLセッションの認証処理の説明。
  • WEPの説明です。

  • SC H22 春 午前Ⅱ 問18

    図のような2台のレイヤ2スイッチ、1台のルータ、4台の端末からなるIPネットワークで, 端末Aから端末Cに通信を行う際に, 送付されるパケットのあて先IPアドレスである端末Cの IP アドレスと, 端末CのMACアドレスとを対応付けるのはどの機器か。
    ここで, ルータZにおいてプロキシARPは設定されていないものとする。

    SC H22 春 午前Ⅱ 問18

  • 端末 A
  • ルータ Z
  • レイヤ 2 スイッチ X
  • レイヤ 2 スイッチ Y
  • 解答を見る
    正解:イ


    SC H26 秋 午前Ⅱ 問4

    ディジタル証明書に関する記述のうち, 適切なものはどれか。

  • S/MIME や TLS で利用するディジタル証明書の規格は, ITU-T X.400 で規定されている。
  • ディジタル証明書は, SSL/TLS プロトコルにおいて通信データの暗号化のための鍵交換や通信相手の認証に利用されている。
  • 認証局が発行するディジタル証明書は, 申請者の秘密鍵に対して認証局がディジタル署名したものである。
  • ルート認証局は, 下位の認証局の公開鍵にルート認証局の公開鍵でディジタル署名したディジタル証明書を発行する。
  • 解答を見る
    正解:イ

  • ディジタル証明書の規格は、ITU(国際電気通信連合)が策定したX.509で規定されている。
  • 正しい記述です。
  • 認証局が発行するディジタル証明書は、申請者の公開鍵に対して認証局がディジタル署名したものである。
  • ディジタル証明書は階層構造になっており、下位層の認証局の公開鍵に上位層の認証局の秘密鍵でディジタル署名したディジタル証明書を発行することで、自らの正当性を証明する。

  • SV H20 春 午前 問38

    暗号方式に関する記述のうち, 適切なものはどれか。

  • AESは公開鍵暗号方式, RSAは共通鍵暗号方式の一種である。
  • 共通鍵暗号方式では, 暗号鍵と複合鍵が同一である。
  • 公開鍵暗号方式を通信内容の秘匿に使用する場合は, 暗号化鍵を秘密にして, 復号鍵を公開する。
  • ディジタル署名に公開鍵暗号方式が使用されることはなく, 共通鍵暗号方式が使用される。
  • 解答を見る
    正解:イ

  • RSAは公開鍵暗号方式, AESは共通鍵暗号方式の一種である。
  • 正しい記述です。
  • 公開鍵暗号方式で通信内容を暗号化するには、受信者の公開鍵で暗号化し、受信者の秘密鍵で復号する。
  • ディジタル署名には公開鍵暗号方式が使用されます。

  • SC H23 特別 午前Ⅱ 問2

    IEEE 802.1Xで使われるEAP-TLSによって実現される認証はどれか。

  • あらかじめ登録した共通鍵によるサーバ認証と, 時刻同期のワンタイムパスワードによる利用者認証
  • チャレンジレスポンスによる利用者認証
  • ディジタル証明書による認証サーバとクライアントの相互認証
  • 利用者IDとパスワードによる利用者認証
  • 解答を見る
    正解:ウ


    SC H23 特別 午前Ⅱ 問25

    入出金管理システムから出力された入金データファイルを, 売掛金管理システムが読み込んでマスタファイルを更新する。
    入出金管理システムから売掛金管理システムへのデータ受渡しの正確性及び網羅性を確保するコントロールはどれか。

  • 売掛金管理システムにおける入力データと出力結果とのランツーランコントロール
  • 売掛金管理システムのマスタファイル更新におけるタイムスタンプ機能
  • 入金額及び入金データ件数のコントロールトータルのチェック
  • 入出金管理システムへの入力のエディットバリデーションチェック
  • 解答を見る
    正解:ウ


    SC H21 秋 午前Ⅱ 問8

    ウイルスの検出手法であるビヘイビア法を説明したものはどれか。

  • あらかじめ特徴的なコードをパターンとして登録したウイルス定義ファイルを用いてウイルス検査対象と比較し、同じパターンがあれば感染を検出する。
  • ウイルスに感染していないことを保証する情報をあらかじめ付加しておき、検査対象の検査時に不整合があれば感染を検出する。
  • ウイルスの感染が疑わしい検査対象を、安全な場所に保管する原本と比較し、異なっていれば感染を検出する。
  • ウイルスの感染や発病によって生じるデータ書込み動作の異常や通信量の異常増加などの変化を監視して、感染を検出する。
  • 解答を見る
    正解:エ


    SC H22 秋 午前Ⅱ 問16

    WAF(Web Application Firewall)のブラックリスト又はホワイトリストの説明のうち, 適切なものはどれか。

  • ブラックリストは, 脆弱性のあるサイトのIPアドレスを登録したものであり, 該当する通信を遮断する。
  • ブラックリストは, 問題のある通信データパターンを定義したものであり, 該当する通信を遮断するか又は無害化する。
  • ホワイトリストは, 脆弱性のないサイトのFQDNを登録したものであり, 該当する通信を遮断する。
  • ホワイトリストは, 問題のある送信データをどのように無害化するかを定義したものであり, 該当するデータを無害化する。
  • 解答を見る
    正解:イ

  • ブラックリストにIPアドレスは登録しません。
  • 正しい記述です。
  • ホワイトリストにFQDNは登録しません。
  • どのように無害化するかは定義されていない。
  • WAFは、Webアプリケーションへの攻撃を検出して防御するツール。
    検出パターンには、「ブラックリスト」と「ホワイトリスト」の2つがあり、それぞれに長所と短所がある。

  • ブラックリスト
    通過させたくない不正な値または通信データパターンを定義する。
    ブラックリストの定義と一致した場合、不正な通信と判定する。

    長所:既知の攻撃を効率よく検出できる。
    短所:未知の攻撃は検出できない。新たな攻撃手法が発生した場合、随時更新する必要がある。

  • ホワイトリスト
    通過させて問題ない値または通信データパターンを定義する。
    ホワイトリストの定義と一致しなかった場合、不正な通信と判定する。

    長所:未知の攻撃を検出できる。
    短所:細かな設定が必要で高度なスキルを要する。Webアプリケーションの仕様変更が発生した場合、ホワイトリストの定義も見直しが必要となるため、運用コストが大きい。


  • SC H22 春 午前Ⅱ 問8

    DNSサーバに格納されるネットワーク情報のうち, 第三者に公表する必要のない情報が攻撃に利用されることを防止するための, プライマリDNSサーバの設定はどれか。

  • SOAレコードのシリアル番号を更新する。
  • 外部のDNSサーバにリソースレコードがキャッシュされる時間を短く設定する。
  • ゾーン転送をDNSサーバを登録する。
  • ラウンドロビン設定を行う。
  • 解答を見る
    正解:ウ


    SC H23 特別 午前Ⅱ 問10

    ウイルス調査手法に関する記述のうち, 適切なものはどれか。

  • 逆アセンブルは, バイナリコードの新種ウイルスの動作を解明するのに有効な手法である。
  • パターンマッチングでウイルスを検知する方式は, 暗号化された文書中のマクロウイルスの動作を解明するのに有効な手法である。
  • ファイルのハッシュ値を基にウイルスを検知する方式は, ウイルスのハッシュ値からウイルスの亜種かを特定するのに確実な手法である。
  • 不正な動作からウイルスを検知する方式では, ウイルス名を特定するのに確実な手法である。
  • 解答を見る
    正解:ア

  • 逆アセンブルは、コンピュータが解釈できる機械語を人間が見ても解釈しやすいアセンブリ言語に変換することです。バイナリコードを逆アセンブルで判読可能なコードに変換すれば、ウイルスの動作を解明しやすくなります。
  • 暗号化されている場合、パターンマッチングでウイルスを検知することはできません。
  • ウイルスのハッシュ値からウイルスの亜種かを特定することはできません。
  • ウイルスのタイプを知ることはできますが、ウイルス名を確実に特定することはできません。

  • SC H27 秋 午前Ⅱ 問24

    入出力データの管理方針のうち, 適切なものはどれか。

  • 出力帳票の受渡しは授受管理表などを用いて確実に行い, 情報の重要度によっては業務部門の管理者に手渡しする。
  • 出力帳票の利用状況を定期的に点検し, 利用されていないと判断したものは, 情報システム部門の判断で出力を停止する。
  • チェックによって発見された入力データの誤りは, 情報システム部門の判断で修復する。
  • 入力原票やEDI受信ファイルなどの取引情報は, 機密性を確保するために, データをシステムに取り込んだら速やかに廃棄する。
  • 解答を見る
    正解:ア


    SC H22 秋 午前Ⅱ 問1

    シングルサインオンの説明のうち, 適切なものはどれか。

  • クッキーを使ったシングルサインオンの場合, サーバごとの認証情報を含んだクッキーをクライアントで生成し, 各サーバ上で保存、管理する。
  • クッキーを使ったシングルサインオンの場合, サーバごとの認証情報を含んだクッキーをクライアントで生成し, 各サーバ上で保存、管理する。
  • リバースプロキシを使ったシングルサインオンの場合, 認証対象の各Webサーバを異なるインターネットドメインにする必要がある。
  • リバースプロキシを使ったシングルサインオンの場合, ユーザ認証においてパスワードの代わりにディジタル証明書を用いることができる。
  • 解答を見る
    正解:エ


    SC H26 秋 午前Ⅱ 問11

    暗号化や認証機能をもち, 遠隔にあるコンピュータを操作する機能をもったものはどれか。

  • IPsec
  • L2TP
  • RADIUS
  • SSH
  • 解答を見る
    正解:エ


    SC H21 秋 午前Ⅱ 問23

    開発した製品で利用している新規技術に関して特許の出願を行った。 日本において特許権の取得が可能なものはどれか。

  • 学会で技術内容を発表した日から11か月目に出願した。
  • 顧客と守秘義務の確認を取った上で技術内容を説明した後, 製品発表前に出願した。
  • 製品に使用した暗号の生成式を出願した。
  • 製品を発売した後に出願した。
  • 解答を見る
    正解:イ


    SC H22 春 午前Ⅱ 問5

    100人の送受信者が共通鍵暗号方式で, それぞれの秘密に通信を行うときに必要な共通鍵の総数は幾つか。

  • 200
  • 4,950
  • 9,900
  • 10,000
  • 解答を見る
    正解:イ

    共通鍵暗号方式の鍵の総数の求め方:
    n(n-1)/2

    n=100なので、100(100 – 1)/2 = 4,950 となる。


    SV H20 春 午前 問49

    JIS Q 27001:2006における情報システムのリスクとその評価に関する記述のうち, 適切なものはどれか。

  • 脅威とは, 脆弱性が顕在化する確率のことであり, 情報システムに組み込まれた技術的管理策によって決まる。
  • 脆弱性とは, 情報システムに対して悪い影響を与える要因のことであり, 自然災害, システム障害, 人為的過失及び不正行為に大別される。
  • リスクとは, 脅威が情報資産の脆弱性につけ込み, 情報資産に損失又は損害を与える可能性のことである。
  • リスク評価とは, リスクの大きさを判断して対策を決めることであり, リスク回避とリスク低減の二つに分類される。
  • 解答を見る
    正解:ウ


    SC H23 秋 午前Ⅱ 問21

    次数が n の関係 R には、属性なし (φ) も含めて異なる射影は幾つあるか。

  • n
  • 2n
  • n2
  • 2n
  • 解答を見る
    正解:エ


    SC H27 春 午前Ⅱ 問15

    DNSの再帰的な問合せを使ったサービス不能攻撃(DNS amp攻撃)の踏み台にされることを防止する対策はどれか。

  • DNSキャッシュサーバとコンテンツサーバに分離し, インターネット側からキャッシュサーバに問合せできないようにする。
  • 問合せがあったドメインに関する情報をWhoisデータベースで確認する。
  • 一つのDNSレコードに複数のサーバのIPアドレスを割り当て, サーバへのアクセスを振り分けて分散させるように設定する。
  • 他のDNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性を, ディジタル署名で確認するように設定する。
  • 解答を見る
    正解:ア

    DNS ampとは、DNSキャッシュサーバの再帰的な問合せを悪用したDDoS攻撃の一種で、パケットを増幅(amplify)させることから、DNS amp攻撃と呼ばれています。

    DNSキャッシュサーバがインターネット側から利用できる状態の場合、踏み台にされる危険性があります。対応策としては、DNSのキャッシュサーバとコンテンツサーバを分離し、インターネット側からキャッシュサーバに問合せできないようにします。
    ちなみにコンテンツサーバは、自分が管理しているゾーン情報のみを応答するDNSサーバのことです。


    SC H27 春 午前Ⅱ 問3

    RLO (Right-to-Left Override) を利用した手口の説明はどれか。

  • “コンピュータウイルスに感染している”といった偽の警告を出して利用者を脅し, ウイルス対策ソフトの購入などを迫る。
  • 脆弱性があるホストのシステムをあえて公開し, 攻撃の内容を観察する。
  • ネットワーク機器のMIB情報のうち監視項目の値の変化を感知し, セキュリティに関するイベントをSNMPマネージャに通知するように動作させる。
  • 文字の表示順を変える制御文字を利用し, ファイル名の拡張子を偽装する。
  • 解答を見る
    正解:エ

    RLO(Right-to-Left Override) は文字の流れを右から左へ変更するUnicodeの制御文字です。本来、文字を右から左へ読む文化圏(アラビア言語など)に対応するために実装されました。

    しかし、標的型攻撃メールではファイル偽装の手口として悪用されていて、実行形式ファイルを文書ファイル等に偽装して、相手にファイルを開かせようとします。