情報セキュリティスペシャリスト試験の午前Ⅱ問題と旧試験の午前問題からランダムに25問抽出します。問題を入れ替えたい場合は、ブラウザで再読み込みを行ってください。

SC:情報セキュリティスペシャリスト試験
SU:情報セキュリティアドミニストレータ試験(旧試験)
SV:テクニカルエンジニア(情報セキュリティ)試験(旧試験)

SC H26 秋 午前Ⅱ 問21

トランザクションA~Dに関する待ちグラフのうち, デッドロックが発生しているものはどれか。ここで, 待ちグラフの矢印は, X → Y のとき, トランザクションXはトランザクションYがロックしている資源のアンロックを待っていることを表す。

sc-h26-aki-am-q21


解答を見る
正解:イ


SC H26 秋 午前Ⅱ 問7

基本評価基準, 現状評価基準, 環境評価基準の三つの基準でIT製品のセキュリティ脆弱性の深刻さを評価するものはどれか。

  • CVSS
  • ISMS
  • PCI DSS
  • PMS
  • 解答を見る
    正解:ア

    CVSS(Common Vulnerability Scoring System)
    共通脆弱性評価システム。情報システムの脆弱性に対する汎用的な評価手法を提供している。CVSSを用いると、脆弱性の深刻度を同一の基準の下で定量的に比較できるようになる。
    CVSSでは「基本評価基準」「現状評価基準」「環境評価基準」の3つの基準で脆弱性を評価します。


    SC H27 秋 午前Ⅱ 問25

    システム監査における監査証拠の説明のうち, 適切なものはどれか。

  • 監査人が収集又は作成する資料であり, 監査報告書に記載する監査意見や指摘事項は, その資料によって裏付けられていなければならない。
  • 監査人が当初設定した監査手続を記載した資料であり, 管理人はその資料に基づいて監査を実施しなければならない。
  • 機密性の高い情報が含まれている資料であり, 監査人は監査報告書の作成後, 速やかに全てを処分しなければならない。
  • 被監査部門が監査人に提出する資料であり, 監査人が自ら作成する資料は含まれない。
  • 解答を見る
    正解:ア


    SC H25 春 午前Ⅱ 問23

    SOA(Service Oriented Architecture)でサービスを設計する際の注意点のうち, 適切なものはどれか。

  • 可用性を高めるために, ステートフルなインタフェースとする。
  • 業務からの独立性を確保するために, サービスの命名は役割を表すものとする。
  • 業務の変化に対応しやすくするために, サービス間の関係は疎結合にする。
  • セキュリティを高めるために, 一度開発したサービスは再利用しない。
  • 解答を見る
    正解:ウ

    SOA(サービス指向アーキテクチャ)
    各業務プロセスを構成しているソフトウェアを「サービス」としてとらえ、このサービスを集合させることで、システムを構築する手法。

  • ステートフルとは前後の状態を維持すること。可用性とは無関係。
  • サービスの命名は独立性の確保とは無関係。
  • サービス間の関係を疎結合にすることで、業務の変化に対応しやすくなる。
  • 新規のサービスを作成するより、既存のサービスは再利用した方が、セキュリティを高める手法として有効である。

  • SC H27 春 午前Ⅱ 問1

    Webのショッピングサイトを安全に利用するため, WebサイトのSSL証明書を表示して内容を確認する。Webサイトが, EV SSL証明書を採用している場合, 存在するサブジェクトフィールドの Organaization Name に記載されているものはどれか。

  • Webサイトの運営団体の組織名
  • 証明書の登録業務を行う機関(RA)の組織名
  • 証明書の発行業務を行う機関(CA)の組織名
  • ドメイン名の登録申請を受け付ける機関(レジストラ)の組織名
  • 解答を見る
    正解:ア

    EV SSL証明書は、Extended Validation SSL証明書の略で、従来のSSL証明書よりも厳格かつ統一的な審査基準が設けられた証明書です。

    EV SSLでは、証明書のフィールドにOrganaization Nameに、「Webサイト運営組織名」を必ず設定する必要があります。

    主要なブラウザでは、EV SSL証明書を採用している場合、Webブラウザのアドレスバーが緑色で表示され、Webサイト運営組織名が表示されます。
    Webブラウザのアドレスバーが緑色であることは、そのWebサイトは厳格な審査が行われており、安心して利用できることを表します。


    SC H24 秋 午前Ⅱ 問7

    ポリモーフィック型ウイルスの説明として,適切なものはどれか。

  • インターネットを介して,攻撃者が PC を遠隔操作する。
  • 感染するごとに鍵を変えてウイルスのコードを暗号化することによってウイルス自身を変化させて,同一のパターンで検知されないようにする。
  • 複数のOSで利用できるプログラム言語でウイルスを作成することによって,複数のOS上でウイルスが動作する。
  • ルートキットを利用してウイルスに感染していないように見せかけることによって,ウイルスを隠蔽する。
  • 解答を見る
    正解:イ

    ポリモーフィック型ウイルスは、感染するごとにウイルスのコードを異なる鍵で暗号化するコンピュータウイルス。
    ポリモーフィック(polymorphic)は、多形性という意味。
    ミューテーション型ウイルスとも呼ばれる。


    SC H26 秋 午前Ⅱ 問8

    CRYPTREC の活動内容はどれか。

  • 暗号技術の安全性, 実装性及び利用実績の評価・検討を行う。
  • 情報セキュリティ政策に係る基本戦略の立案, 官民における統一的, 横断的な情報セキュリティ対策の推進に係る企画などを行う。
  • 組織の情報セキュリティマネジメントシステムについて評価し認証する制度を運用する。
  • 認証機関から貸与された暗号モジュール試験報告書作成支援ツールを用いて暗号モジュールの安全性についての評価試験を行う。
  • 解答を見る
    正解:ア

  • CRYPTREC(Cryptography Research and Evaluation Committees)の説明。
    クリプトレックと読む。総務省及び経済産業省が共同で実施している暗号技術評価プロジェクト。客観的な評価により安全性及び実装性に優れると判断された暗号技術をリスト化する。
  • NISC(National Information Security Center)の活動内容。
  • JIPDEC(日本情報経済社会推進協会)の活動内容。
  • CRYPTRECの活動内容ではない。

  • SC H23 秋 午前Ⅱ 問8

    DNSサーバに格納されるネットワーク情報のうち,第三者に公表する必要のない情報が攻撃に利用されることを防止するための,プライマリDNSサーバの設定はどれか。

  • SOAレコードのシリアル番号を更新する。
  • 外部のDNSサーバにリソースレコードがキャッシュされる時間を短く設定する。
  • ゾーン転送をDNSサーバを登録する。
  • ラウンドロビン設定を行う。
  • 解答を見る
    正解:ウ


    SC H27 春 午前Ⅱ 問2

    IEEE802.1X で使われる EAP-TLS によって実現される認証はどれか。

  • CHAP を用いたチャレンジレスポンスによる利用者認証
  • あらかじめ登録した共通鍵によるサーバ認証と、時刻同期のワンタイムパスワードによる利用者認証
  • ディジタル証明書による認証サーバとクライアントの相互認証
  • 利用者 ID とパスワードによる利用者認証
  • 解答を見る
    正解:ウ

    EAP-TLS(Extensible Authentication Protocol Transport Layer Security)
    IEEE802.1X等で使われる認証方式「EAP」の実装方式の一つ。
    EAP-TLSは、ディジタル証明書によるやり取りでサーバとクライアントの相互認証を行う方式である。


    SC H27 秋 午前Ⅱ 問24

    入出力データの管理方針のうち, 適切なものはどれか。

  • 出力帳票の受渡しは授受管理表などを用いて確実に行い, 情報の重要度によっては業務部門の管理者に手渡しする。
  • 出力帳票の利用状況を定期的に点検し, 利用されていないと判断したものは, 情報システム部門の判断で出力を停止する。
  • チェックによって発見された入力データの誤りは, 情報システム部門の判断で修復する。
  • 入力原票やEDI受信ファイルなどの取引情報は, 機密性を確保するために, データをシステムに取り込んだら速やかに廃棄する。
  • 解答を見る
    正解:ア


    SC H21 秋 午前Ⅱ 問3

    SMTP-AUTH認証はどれか。

  • SMTPサーバへ電子メールを送信する前に, 電子メールを受信し, その際にパスワード認証が行われたクライアントのIPアドレスに対して, 一定時間だけ電子メールの送信を可能にする。
  • クライアントがSMTPサーバにアクセスするときに利用者認証を行い, 許可されたユーザだけから電子メールを受け付ける。
  • サーバはCAの公開鍵証明書をもち, クライアントから送信されたCAの署名付きクライアント証明書の妥当性を確認する。
  • 電子メールを受信する際の認証情報を秘匿できるように, パスワードからハッシュ値を計算して, その値で利用者認証を行う。
  • 解答を見る
    正解:イ


    SV H20 春 午前 問45

    パケットフィルタリング型ファイアウォールがルール一覧に示したアクションに基づいてパケットを制御する場合, パケットAに対する処理はどれか。ここで, ファイアウォールでの処理は, ルール一覧に示す番号の1から順に行い, 一つのルールが適用された場合には残りのルールは適用されない。

    sv-h20-haru-am-q45

  • 番号1によって, 通過が禁止される。
  • 番号2によって, 通過が許可される。
  • 番号3によって, 通過が許可される。
  • 番号4によって, 通過が禁止される。
  • 解答を見る
    正解:ア


    SC H21 秋 午前Ⅱ 問18

    ネットワークに接続されているホストのIPアドレスが212.62.31.90で, サブネットマスクが255.255.255.224のとき, ホストアドレスはどれか。

    • 10
    • 26
    • 90
    • 212

    解答を見る
    正解:イ


    SC H25 春 午前Ⅱ 問24

    情報システムの設計のうち, フェールソフトの例はどれか。

  • UPSを設置することによって, 停電時に手順どおりにシステムを停止できるようにし, データを保全する。
  • 制御プログラムの障害時に, システムの暴走を避け, 安全に停止できるようにする。
  • ハードウェアの障害時に, パフォーマンスは低下するが, 構成を縮小して運転を続けられるようにする。
  • 利用者の誤操作やご入力を未然に防ぐことによって, システムの誤動作を防止できるようにする。
  • 解答を見る
    正解:ウ

  • フォールトアボイダンスの説明。
    システムやそれを構成する装置の信頼性を上げ、故障そのものを回避しようとする設計思想。
    直訳するとフォールトは「障害」、アボイダンスは「回避」。
  • フェールセーフの説明。
    システムが故障した場合でも、常に安全に制御する設計思想。
    直訳するとフェールは「故障」、セーフは「安全」。
  • フェールソフトの説明。
    システムを完全には停止させず、故障した箇所を切り離すなどして、必要最低限の機能でシステムを稼働する設計思想。
    直訳するとフェールは「故障」、ソフトは「柔軟な」。
  • フールプルーフの説明。
    システムがよく分からない人が使っても安全な設計思想。
    直訳するとフールは「ばか」、プルーフは「耐性」。

  • SC H22 春 午前Ⅱ 問23

    SOA(Service Oriented Architecture)の説明はどれか。

  • Webサービスを利用するためのインタフェースやプロトコルを規定したものである。
  • XMLを利用して, インターネットに存在するWebサービスを検索できる仕組みである。
  • 業務機能を提供するサービスを組み合わせることによって, システムを構築する考え方である。
  • サービス提供者と委託者との間でサービスの内容, 範囲及び品質に対する要求水準を明確にして, あらかじめ合意を得ておくことである。
  • 解答を見る
    正解:ウ

    SOA(サービス指向アーキテクチャ)
    各業務プロセスを構成しているソフトウェアを「サービス」としてとらえ、このサービスを集合させることで、システムを構築する手法。

  • HTTP(HyperText Transfer Protocol)の説明。
  • UDDI(Universal Description, Discovery and Integration)の説明。
  • SOA(Service Oriented architecture)の説明。
  • SLA(Service Level Agreement)の説明。

  • SC H21 春 午前Ⅱ 問8

    情報システムのリスク分析に関する記述のうち, 適切なものはどれか。

  • リスクには, 投機的リスクと純粋リスクがある。 情報セキュリティのためのリスク分析で対象とするのは, 投機的リスクである。
  • リスクの予想損失額は, 損害予防のために投入されるコスト, 復旧に要するコスト, 及びほかの手段で業務を継続するための代替コストの合計で表される。
  • リスク分析では, 現実に発生すれば損失をもたらすリスクが, 情報システムのどこに, どのように潜在しているかを識別し, その影響の大きさを測定する。
  • リスクを金額で測定するリスク評価額は, 損害が現実になった場合の1回当たりの平均予想損失額で表される。
  • 解答を見る
    正解:ウ


    SC H25 秋 午前Ⅱ 問2

    XMLディジタル署名の特徴はどれか。

  • XML文書中の, 指定したエレメントに対して署名することができる。
  • エンべローピング署名(Enveloping Signature) では一つの署名対象に必ず複数の署名を付ける。
  • 署名形式として, CMS(Cryptographic Message Syntax)を用いる。
  • 署名対象と署名アルゴリズムをASN.1によって記述する。
  • 解答を見る
    正解:ア
    XMLディジタル署名とは、XML文書にディジタル署名を行う技術のことです。
    署名対象と署名アルゴリズムをXML構文で記述します。

  • 正しい記述です。
  • 一つの署名対象に必ず複数の署名を付ける必要はありません。
  • ディジタル署名の説明です。
  • XMLディジタル署名は、署名対象と署名アルゴリズムをXML構文で記述します。

  • SC H26 春 午前Ⅱ 問9

    自ネットワークのホストへの侵入を, ファイアウォールにおいて防止する対策のうち,IPスプーフィング(spoofing)攻撃の対策について述べたものはどれか。

  • 外部から入るTCPコネクション確立要求パケットのうち,外部へのインターネットサービスの提供に必要なもの以外を破棄する。
  • 外部から入るUDPパケットのうち,外部へのインタネットサービスの提供や利用したいインターネットサービスに必要なもの以外を破棄する。
  • 外部から入るパケットの宛先 IP アドレスが,インターネットとの直接の通信をすべきでない自ネットワークのホストのものであれば,そのパケットを破棄する。
  • 外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば,そのパケットを破棄する。
  • 解答を見る
    正解:エ

    IPスプーフィング
    送信元IPアドレスを詐称して、別のIPアドレスになりすます(スプーフィング)ことで、攻撃対象となるホストに侵入する攻撃手法。

    対策
    外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば,そのパケットを破棄する。


    SC H25 春 午前Ⅱ 問19

    TCPのフロー制御に関する記述のうち, 適切なものはどれか。

  • OSI基本参照モデルのネットワーク層の機能である。
  • ウィンドウ制御機能の単位は, バイトではなくビットである。
  • 確認応答がない場合は再送処理によってデータ回復を行う。
  • データの順序番号をもたないので, データは受信した順番のままで処理する。
  • 解答を見る
    正解:ウ

  • ネットワーク層ではなく、トランスポート層の機能。
  • ビット単位ではなく、バイト単位で制御する。
  • 正しい。
  • シーケンス番号を参照することで、正しい順序で処理することができる。

  • SC H26 秋 午前Ⅱ 問12

    DoS攻撃の一つであるSmurf攻撃の特徴はどれか。

  • ICMPの応答パケットを大量に送り付ける。
  • TCP接続要求であるSYNパケットを大量に送り付ける。
  • サイズが大きいUDPパケットを大量に送り付ける。
  • サイズが大きい電子メールや大量の電子メールを送り付ける。
  • 解答を見る
    正解:ア

  • Smurf攻撃の説明。
  • SYN flood攻撃の説明。
  • UDP flood攻撃の説明。
  • メールボムの説明。/li>

  • SC H24 秋 午前Ⅱ 問19

    2 台の PC を IPv6 ネットワークに接続するとk、2 台ともプレフィックスが 2001:db8:100:1000::/56 の IPv6 サブネットに入るようになるIPアドレスの組合せはどれか。

    1台目のPC 2台目のPC
    2001:db8:100::aa:bb 2001:db8:100::cc:dd
    2001:db8:100:1000::aa:bb 2001:db8:100:2000::cc:dd
    2001:db8:100:1010::aa:bb 2001:db8:100:1020::cc:dd
    2001:db8:100:1100::aa:bb 2001:db8:100:1200::cc:dd

    解答を見る
    正解:ウ


    SC H27 秋 午前Ⅱ 問23

    特許権に関する記述のうち,適切なものはどれか。

  • A社が特許を出願するより前に独自に開発して販売した製品は,A社の特許権の侵害にならない。
  • 組込み機器におけるハードウェアは特許権で保護されるが,ソフトウェアは保護されない。
  • 審査を受けて特許権を取得した後に,特許権が無効になることはない。
  • 先行特許と同一の技術であっても,独自に開発した技術であれば特許権の侵害にならない。
  • 解答を見る
    正解:ア


    SC H26 秋 午前Ⅱ 問9

    DNSキャッシュサーバに対して外部から行われるキャッシュポイズニング攻撃への対策のうち, 適切なものはどれか。

  • 外部ネットワークからの再帰的な問合せに応答できるように, コンテンツサーバにキャッシュサーバを兼ねさせる。
  • 再帰的な問合せに対しては, 内部ネットワークからのものだけに応答するように設定する。
  • 再帰的な問合せを行う際の送信元のポート番号を固定する。
  • 再帰的な問合せを行う際のトランザクションIDを固定する。
  • 解答を見る
    正解:イ


    SC H26 秋 午前Ⅱ 問20

    インターネット標準RFC 5322 (旧RFC 822)に準拠した電子メールにおいて, ヘッダと本体を区別する方法はどれか。

  • <header>と</header>で囲まれた部分をヘッダ, <body>と</body>で囲まれた部分を本体とする。
  • 1個のピリオドだけから成る行の前後でヘッダと本体を分ける。
  • Subjectフィールドがヘッダの最後であり, それ以降を本体とする。
  • 最初に現れる空行の前後でヘッダと本体を分ける。
  • 解答を見る
    正解:エ


    SC H22 春 午前Ⅱ 問18

    図のような2台のレイヤ2スイッチ、1台のルータ、4台の端末からなるIPネットワークで, 端末Aから端末Cに通信を行う際に, 送付されるパケットのあて先IPアドレスである端末Cの IP アドレスと, 端末CのMACアドレスとを対応付けるのはどの機器か。
    ここで, ルータZにおいてプロキシARPは設定されていないものとする。

    SC H22 春 午前Ⅱ 問18

  • 端末 A
  • ルータ Z
  • レイヤ 2 スイッチ X
  • レイヤ 2 スイッチ Y
  • 解答を見る
    正解:イ