情報セキュリティスペシャリスト試験の午前Ⅱ問題と旧試験の午前問題からランダムに25問抽出します。問題を入れ替えたい場合は、ブラウザで再読み込みを行ってください。

SC:情報セキュリティスペシャリスト試験
SU:情報セキュリティアドミニストレータ試験(旧試験)
SV:テクニカルエンジニア(情報セキュリティ)試験(旧試験)

SC H26 秋 午前Ⅱ 問17

サンドボックスの仕組みについて述べたものはどれか。

  • Webアプリケーションの脆弱性を悪用する攻撃に含まれる可能性が高い文字列を定義し, 攻撃であると判定した場合には, その通信を遮断する。
  • 侵入者をおびき寄せるために本物そっくりのシステムを設置し, 侵入者の挙動などを監視する。
  • プログラムの影響がシステム全体に及ばないように, プログラムが実行できる機能やアクセスできるリソースを制限して動作させる。
  • プログラムのソースコードでSQL文の雛形の中に変数の場所を示す記号を置いた後, 実際の値を割り当てる。
  • 解答を見る
    正解:ウ


    SC H22 春 午前Ⅱ 問4

    S/KEYワンタイムパスワードに関する記述のうち, 適切なものはどれか。

  • クライアントは認証要求のたびに, サーバへシーケンス番号と種(Seed)からなるチャレンジデータを送信する。
  • サーバはクライアントから送られた使い捨てパスワードを演算し, サーバで記憶している前回の使い捨てパスワードと比較することによって, クライアントを認証する。
  • 時刻情報を基にパスワードを生成し, クライアント, サーバ間でパスワードを時刻で同期させる。
  • 利用者が設定したパスフレーズは1回ごとに使い捨てる。
  • 解答を見る
    正解:イ


    SC H22 秋 午前Ⅱ 問6

    DMZ上に公開しているWeb サーバで入力データを受け付け, 内部ネットワークのDBサーバにそのデータを蓄積するシステムがある。
    インターネットからDMZを経由してなされるDBサーバへの不正侵入対策の一つとして, DMZと内部ネットワークとの間にファイアウォールを設置するとき, 最も適切なものはどれか。

    SC H22 秋 午前Ⅱ 問6

  • DB サーバの受信ポート番号を固定し, WebサーバからDBサーバの受信ポート番号への通信だけをファイウォールで通す。
  • DMZからDBサーバへの通信だけをファイウォールで通す。
  • Webサーバの発信ポート番号は任意のポート番号を使用し, ファイウォールでは、いったん終了した通信と同じ発信ポート番号を使った通信を拒否する。
  • Webサーバの発信ポート番号を固定し, その発信ポート番号からの通信だけをファイウォールで通す。
  • 解答を見る
    正解:ア


    SC H24 秋 午前Ⅱ 問1

    特定の CA が発行した CRL(Certificate Revocation List) に関する記述のうち,適切なものはどれか。

  • CRLには,失効された公開鍵証明書に対応する秘密鍵が登録される。
  • CRLには,有効期限内の公開鍵証明書のうち破棄されている公開鍵証明書と破棄された日時の対応が提示される。
  • CRLは,鍵の漏えい,破棄申請の状況をリアルタイムに反映するプロトコルである。
  • 有効期限切れで無効になった公開鍵証明書は,所有者が新たに公開鍵証明書を取得するまでの間,CRL に登録される。
  • 解答を見る
    正解:イ

    CRLは、有効期限内に失効されたCAのディジタル証明書のシリアル番号のリストで、証明書の有効性を検証するために使われます。

    CRL には失効された証明書のシリアル番号、CRL の発行者名、更新日、次回更新日などが記載されます。有効期限切れとなった証明書はCRLには記載されません。

  • CRLに、ディジタル証明書に対応する秘密鍵は登録されません。
  • 正しい記述です。
  • このようなプロトコルは存在しません。そもそもCRLはプロトコルではありません。
  • 有効期限切れとなった証明書はCRLには記載されません。

  • SC H25 秋 午前Ⅱ 問19

    電子メールシステムにおいて, 利用者端末がサーバから電子メールを受信するために使用するプロトコルであり, 選択した電子メールだけを利用者端末へ転送する機能, サーバ上の電子メールを検索する機能, 電子メールのヘッダだけを取り出す機能などをもつものはどれか。

  • IMAP4
  • MIME
  • POP3
  • SMTP
  • 解答を見る
    正解:ア

    電子メールを受信するプロトコルには、POP3とIMAP4があります。
    この2つのプロトコルの大きな違いは、メールの管理方法です。

    POP3の場合、メールは自端末のローカルフォルダに保存されます。自端末でメールデータを管理するため、PCを買い替えた場合、メールデータを移行しないと、過去のメールを閲覧できません。

    一方、IMAP4の場合、メールサーバ上でメールを管理します。
    選択した電子メールだけを自端末へ転送したり、サーバ上の電子メールを検索する機能などがあります。PCを買い替えた場合でも、インターネットさえ利用できれば、メールデータを移行することなく、過去のメールを閲覧できます。


    SC H23 特別 午前Ⅱ 問2

    IEEE 802.1Xで使われるEAP-TLSによって実現される認証はどれか。

  • あらかじめ登録した共通鍵によるサーバ認証と, 時刻同期のワンタイムパスワードによる利用者認証
  • チャレンジレスポンスによる利用者認証
  • ディジタル証明書による認証サーバとクライアントの相互認証
  • 利用者IDとパスワードによる利用者認証
  • 解答を見る
    正解:ウ


    SC H24 春 午前Ⅱ 問23

    開発した製品で利用している新規技術に関して特許の出願を行った。
    日本において特許権の取得が可能なものはどれか。

  • 学会で技術内容を発表した日から11か月目に出願した。
  • 顧客と守秘義務の確認を取った上で技術内容を説明した後,製品発表前に出願した。
  • 製品を使用した暗号の生成式を出願した。
  • 製品を販売した後に出願した。
  • 解答を見る
    正解:イ


    SC H22 春 午前Ⅱ 問7

    経済産業省告示の"ソフトウェア等脆弱性関連情報取扱基準"におけるWebアプリケーションに関する脆弱性関連情報の適切な取扱いはどれか。

  • Webアプリケーションの脆弱性についての情報を受けた受付機関は, 発見者の氏名・連絡先をWebサイト運営者に通知する。
  • Webアプリケーションの脆弱性についての通知を受けたWebサイト運営者は, 当該脆弱性に起因する個人情報の漏えいなどが発生した場合, 事実関係を公表しない。
  • 受付機関は, Webサイト運営者からWebアプリケーションの脆弱性が修正されたという通知を受けたら, それを速やかに発見者に通知する。
  • 受付機関は, 一般利用者に不安を与えないために, Webアプリケーションの脆弱性関連情報の届出状況は, 受付機関の中で管理し, 公表しない。
  • 解答を見る
    正解:ウ


    SC H23 特別 午前Ⅱ 問9

    ウイルスの検出手法であるビヘイビア法を説明したものはどれか。

  • あらかじめ特徴的なコードをパターンとして登録したウイルス定義ファイルを用いてウイルス検査対象と比較し, 同じパターンがあれば感染を検出する。
  • ウイルスに感染していないことを保証する情報をあらかじめ検査対象に付加しておき, 検査時に不整合があれば感染を検出する。
  • ウイルスの感染が疑わしい検査対象を, 安全な場所に保管する原本と比較し, 異なっていれば感染を検出する。
  • ウイルスの感染や発病によって生じるデータ書込み動作の異常や通信量の異常増加などの変化を監視して, 感染を検出する。
  • 解答を見る
    正解:エ

  • パターンマッチング法の説明。
  • チェックサム法の説明。
  • コンペア法の説明。
  • ビヘイビア法の説明。

  • SC H25 春 午前Ⅱ 問20

    電子メールが配送される途中に経由したMTAのIPアドレスや時刻などの経由情報を, MTAが付加するヘッダフィールドがどれか。

  • Accept
  • Received
  • Return-Path
  • Via
  • 解答を見る
    正解:イ

    MTA(Message Transfer Agent)とは、インターネット内で電子メールを配送するソフトウェア。

  • Acceptは、メールヘッダに存在しない。
  • Receivedは、経由したMTAのIPアドレスや時刻などの経由情報を記録するメールヘッダのフィールド。
  • Return-Pathは、メールを正常に送信できなかった際にエラーを送り返すための宛先を記録するメールヘッダのフィールド。
  • Viaは、メールヘッダに存在しない。

  • SC H22 春 午前Ⅱ 問18

    図のような2台のレイヤ2スイッチ、1台のルータ、4台の端末からなるIPネットワークで, 端末Aから端末Cに通信を行う際に, 送付されるパケットのあて先IPアドレスである端末Cの IP アドレスと, 端末CのMACアドレスとを対応付けるのはどの機器か。
    ここで, ルータZにおいてプロキシARPは設定されていないものとする。

    SC H22 春 午前Ⅱ 問18

  • 端末 A
  • ルータ Z
  • レイヤ 2 スイッチ X
  • レイヤ 2 スイッチ Y
  • 解答を見る
    正解:イ


    SC H24 春 午前Ⅱ 問13

    迷惑メールの検知手法であるベイジアンフィルタリングの説明はどれか。

  • 信頼できるメール送信元を許可リストに登録しておき,許可リストにない送信元からの電子メールは迷惑メールと判定する。
  • 電子メールが正規のメールサーバから送信されていることを検証し,迷惑メールであるかどうかを判定する。
  • 電子メールの第三者中継を許可しているメールサーバを登録したデータベースに掲載されている情報を基に,迷惑メールであるかどうかを判定する。
  • 迷惑メールを利用者が振り分けるときに,迷惑メールの特徴を自己学習し,迷惑メールであるかどうかを統計的に解析して判定する。
  • 解答を見る
    正解:エ

  • メールのホワイトリストの説明。
  • 送信ドメイン認証の説明です。送信ドメイン認証の技術には、SPF、Sender ID、DKIMなどがあります。
  • DSBL(Distributed Sender Blackhole List)の説明。DSBLとは、電子メールの第三者中継を許可しているメールサーバ等のIPアドレスを登録しているブラックリストです。
  • ベイジアンフィルタリングの説明です。
    ベイズ理論という手法を用いて、過去の迷惑メールから特徴を学習し、迷惑メールであるかどうかを統計的に解析して判定します。

  • SC H26 秋 午前Ⅱ 問21

    トランザクションA~Dに関する待ちグラフのうち, デッドロックが発生しているものはどれか。ここで, 待ちグラフの矢印は, X → Y のとき, トランザクションXはトランザクションYがロックしている資源のアンロックを待っていることを表す。

    sc-h26-aki-am-q21


    解答を見る
    正解:イ


    SC H22 春 午前Ⅱ 問9

    ワームの浸入に関する記述のうち, 適切なものはどれか。

  • 公開サーバへのワームの侵入は, IDSでは検知できない。
  • 未知のワームの浸入は, パターンマッチング方式で検知できる。
  • ワームは, アプリケーションソフトの脆弱性を突いて浸入できる。
  • ワームは, 仮想OS環境内のゲストOSに浸入できない。
  • 解答を見る
    正解:ウ

  • 公開サーバへのワームの侵入は、IDSで検知することができる。
  • パターンマッチング方式では未知のワームの浸入を検知できないが、既知のワームの浸入を検知することができる。
  • 正しい。
  • ワームは、仮想OS環境内のゲストOSに浸入することができる。

  • SC H21 春 午前Ⅱ 問14

    TCP/IPのネットワークにおいて, TCPのコネクションを識別するために必要なものの組合せはどれか。

  • あて先IPアドレス, あて先TCPポート番号
  • あて先IPアドレス, あて先TCPポート番号, 送信元IPアドレス, 送信元TCPポート番号
  • あて先IPアドレス, 送信元IPアドレス
  • あて先MACアドレス, あて先IPアドレス, あて先TCPポート番号, 送信元MACアドレス, 送信元IPアドレス, 送信元TCPポート番号
  • 解答を見る
    正解:イ


    SC H24 秋 午前Ⅱ 問24

    ソフトウェア開発・保守工程において,リポジトリを構築する理由として,最も適切なものはどれか。

  • 各工程で検出した不良を管理することが可能になり,ソフトウェアの品質分析が容易になる。
  • 各工程での作業手順を定義することが容易になり,開発・保守時の作業のミスを防止することができる。
  • 各工程での作業予定と実績を関連付けて管理することが可能になり,作業の進捗管理が容易になる。
  • 各工程での成果物を一元管理することによって,開発・保守作業の効率が良くなり,用語の統一もできる。
  • 解答を見る
    正解:エ


    SC H21 秋 午前Ⅱ 問11

    パケットフィルタリング型ファイアウォールのフィルタリングルールを用いて, 本来必要なサービスに影響を及ぼすことなく防げるものはどれか。

    • 外部に公開していないサービスへのアクセス
    • サーバで動作するソフトウェアのセキュリティ脆弱性を突く攻撃
    • 電子メールに添付されたファイルのマクロウイルスの侵入
    • 電子メール爆弾などのDoS攻撃

    解答を見る
    正解:ア

    パケットフィルタリング型ファイアウォールは、送信先または送信元のIPアドレスやポート番号をもとに、フィルタリングルールを決めて通信の許可または拒否を判断する。

    選択肢アは、対象サービスのポート番号をもとにフィルタリングルールを定めれば、本来必要なサービスに影響を及ぼすことなく外部からの通信を拒否できるので正しい。

    それ以外の選択肢は、サーバへの通信を拒否することは可能だが、本来必要なサービスに影響を及ぼすため、誤り。


    SC H25 秋 午前Ⅱ 問15

    SQLインジェクション対策について, Webアプリケーションの実装における対策とWebアプリケーションの実装以外の対策として, ともに適切なものはどれか。

    Webアプリケーションの
    実装における対策
    Webアプリケーションの
    実装以外の対策
    Webアプリケーション中でシェルを起動しない。 chroot環境でWebサーバを実行する。
    セッションIDを乱数で生成する。 SSLによって通信内容を秘匿する。
    バインド機構を利用する。 データベースのアカウントのもつデータベースアクセス権限を必要最小限にする。
    パス名やファイル名をパラメタとして受け取らないようにする。 重要なファイルを公開領域に置かない。

     

    解答を見る
    正解:ウ

    • OSコマンドインジェクションの対策。
    • セッションハイジャックの対策。
    • SQLインジェクションの対策。
    • ディレクトリトラバーサルの対策。

    SQLインジェクション対策は、午後試験でも問われます。選択肢がなくても答えられるようにしておきたい。


    SC H23 秋 午前Ⅱ 問6

    100人の送受信者が共通鍵暗号方式で、それぞれ秘密に通信を行うときに必要な共通鍵の総数は幾つか。

  • 200
  • 4,950
  • 9,900
  • 10,000
  • 解答を見る
    正解:イ

    共通鍵暗号方式の鍵の総数の求め方:
    n(n-1)/2

    n=100なので、100(100 - 1)/2 = 4,950 となる。


    SU H18 秋 午前 問23

    公開鍵暗号方式の用法によって,送信者が間違いなく本人であることを受信者が確認できる鍵の組合せはどれか。

  • 送信者は自分の公開鍵で暗号化し,受信者は自分の秘密鍵で復号する。
  • 送信者は自分の秘密鍵で暗号化し,受信者は送信者の公開鍵で復号する。
  • 送信者は受信者の公開鍵で暗号化し,受信者は自分の秘密鍵で復号する。
  • 送信者は受信者の秘密鍵で暗号化し,受信者は自分の公開鍵で復号する。
  • 解答を見る
    正解:イ

    送信者が「送信者の秘密鍵」で暗号化し、受信者が「送信者の公開鍵」で復号する場合

    秘密鍵は特定の個人だけが持つ秘密の鍵で、他人に知られないように保持します。
    そのため、送信者が間違いなく本人であることを受信者が確認できます。主にディジタル署名に用いられる。

    送信者が「受信者の公開鍵」で暗号化し、受信者が「受信者の秘密鍵」で復号する場合

    受信者のみが復号できます。第三者が暗号データを取得できたとしても秘密鍵がないので、データを復号することができません。つまり、データの盗聴防止ができます。


    SC H22 春 午前Ⅱ 問16

    セキュリティプロトコルSSL/TLSの機能はどれか。

  • FTPなどの様々なアプリケーションに利用されて, アプリケーション層とトランスポート層(TCP)との間で暗号化する。
  • MIMEをベースとして, 電子署名とメッセージの暗号化によって電子メールのセキュリティを強化する。
  • PPTPとL2Fが統合された仕様で, PPPをトンネリングする。
  • 特定のアプリケーションの通信だけでなく, あらゆるIPパケットをIP層で暗号化する。
  • 解答を見る
    正解:ア


    SC H23 特別 午前Ⅱ 問22

    操作に不慣れな人も利用するシステムでは, 間違ったデータが入力されることが想定される。
    誤入力が発生しても, プログラムやシステムを異常終了させずに, エラーメッセージを表示して次の操作を促すような設計を何というか。

  • フールプルーフ
  • フェールセーフ
  • フェールソフト
  • フォールトトレランス
  • 解答を見る
    正解:ア

    似たような用語が並んでいるが、英単語の意味を知っておくと、用語の意味をイメージしやすい。

  • フールプルーフ
    システムがよく分からない人が使っても安全な設計思想。
    直訳するとフールは「ばか」、プルーフは「耐性」。
  • フェールセーフ
    システムが故障した場合でも、常に安全に制御する設計思想。
    直訳するとフェールは「故障」、セーフは「安全」。
  • フェールソフト
    システムを完全には停止させず、故障した箇所を切り離すなどして、必要最低限の機能でシステムを稼働する設計思想。
    直訳するとフェールは「故障」、ソフトは「柔軟な」。
  • フォールトトレランス
    システムに障害が発生しても正常に処理を続行するシステム。
    直訳するとフォールトは「障害」、トレランスは「耐久」。

  • SC H27 秋 午前Ⅱ 問12

    クロスサイトスクリプティングによる攻撃を防止する対策はどれか。

  • WebサーバにSNMPエージェントを常駐稼働させ, Webサーバの負荷状態を監視する。
  • WebサーバのOSのセキュリティパッチについて, 常に最新のものを適用する。
  • Webサイトへのデータ入力について, 許容範囲を超えた大きさのデータの書込みを禁止する。
  • Webサイトへの入力データを表示するときに, HTMLで特別な意味をもつ文字のエスケープ処理を行う。
  • 解答を見る
    正解:エ

    クロスサイトスクリプティング対策とくれば、サニタイジング(エスケープ処理とほぼ同義)

    サニタイジングとは、特別な意味を持つ文字(メタキャラクタ)を別の文字に置換して入力データを無害化することです。クロスサイトスクリプティング対策において、サニタイジングはスクリプトの無効化を意味します。

    サニタイジングとエスケープ処理の違いとは?

    エスケープ処理とは、特別な意味を持つ文字(メタキャラクタ)を別の文字に置換する処理のこと。
    サニタイジングとほぼ同義と考えてよい。
    入力データを無害化することが「サニタイジング」で、それを実現するための手段のひとつが「エスケープ処理」です。


    SC H24 春 午前Ⅱ 問25

    内部監査として実施したシステム監査で,問題点の検出後,改善勧告を行うまでの間に監査人が考慮すべき事項として,適切なものはどれか。

  • 改善事項を被監査部門へ事前に通知した場合,不備の是正が行われ,元から不備が存在しなかったように見える可能性があるので,被監査部門に秘匿する。
  • 監査人からの一方的な改善提案は実行不可能なものとなる恐れがあるので,改善勧告の前に,改善策について被監査部門との間で協議する場をもつ。
  • 経営判断に関することを避けるため,不備を改善する際の経済合理性などの判断を行わず,そのまま経営者に対する改善勧告とする。
  • 将来のフォローアップに際して,客観的で中立的な判断を阻害する要因となるので,改善勧告の優先度付けや取捨選択を行うことを避ける。
  • 解答を見る
    正解:イ


    SC H22 春 午前Ⅱ 問5

    100人の送受信者が共通鍵暗号方式で, それぞれの秘密に通信を行うときに必要な共通鍵の総数は幾つか。

  • 200
  • 4,950
  • 9,900
  • 10,000
  • 解答を見る
    正解:イ

    共通鍵暗号方式の鍵の総数の求め方:
    n(n-1)/2

    n=100なので、100(100 – 1)/2 = 4,950 となる。