情報セキュリティスペシャリスト試験の午前Ⅱ問題と旧試験の午前問題からランダムに25問抽出します。問題を入れ替えたい場合は、ブラウザで再読み込みを行ってください。

SC:情報セキュリティスペシャリスト試験
SU:情報セキュリティアドミニストレータ試験(旧試験)
SV:テクニカルエンジニア(情報セキュリティ)試験(旧試験)

SC H25 春 午前Ⅱ 問24

情報システムの設計のうち, フェールソフトの例はどれか。

  • UPSを設置することによって, 停電時に手順どおりにシステムを停止できるようにし, データを保全する。
  • 制御プログラムの障害時に, システムの暴走を避け, 安全に停止できるようにする。
  • ハードウェアの障害時に, パフォーマンスは低下するが, 構成を縮小して運転を続けられるようにする。
  • 利用者の誤操作やご入力を未然に防ぐことによって, システムの誤動作を防止できるようにする。
  • 解答を見る
    正解:ウ

  • フォールトアボイダンスの説明。
    システムやそれを構成する装置の信頼性を上げ、故障そのものを回避しようとする設計思想。
    直訳するとフォールトは「障害」、アボイダンスは「回避」。
  • フェールセーフの説明。
    システムが故障した場合でも、常に安全に制御する設計思想。
    直訳するとフェールは「故障」、セーフは「安全」。
  • フェールソフトの説明。
    システムを完全には停止させず、故障した箇所を切り離すなどして、必要最低限の機能でシステムを稼働する設計思想。
    直訳するとフェールは「故障」、ソフトは「柔軟な」。
  • フールプルーフの説明。
    システムがよく分からない人が使っても安全な設計思想。
    直訳するとフールは「ばか」、プルーフは「耐性」。

  • SC H27 秋 午前Ⅱ 問19

    スパニングツリープロトコルの機能を説明したものはどれか。

  • MACアドレスを見て, フレームを廃棄するか中継するかを決める。
  • 一定時間通信が行われていないMACアドレスを, MACアドレステーブルから消去する。
  • 経路が複数存在する場合, アプリケーションやアドレスごとに経路を振り分けて, 負荷を分散する。
  • 複数のブリッジ間で情報を交換し合い, ループ発生の検出や障害発生時の迂回ルート決定を行う。
  • 解答を見る
    正解:エ


    SU H20 秋 午前 問38

    情報セキュリティの評価基準JIS X5070(ISO/IEC 15408)の説明のうち, 適切なものはどれか。

  • IT製品及びシステムの, 経済産業省による情報セキュリティマネジメント適合性評価制度に用いられる評価基準
  • IT製品及びシステムの, セキュリティ機能にかかわる部分の評価基準
  • IT製品及びシステムの, セキュリティ機能を含むシステム全体の評価基準
  • IT製品のうち,OSとハードウェアを対象とするセキュリティレベルの評価基準
  • 解答を見る
    正解:イ


    SC H23 特別 午前Ⅱ 問12

    自社の中継用メールサーバのログのうち, 外部ネットワークからの第三者中継と判断できるものはどれか。 ここで, AAA.168.1.5とAAA.168.1.10は自社のグローバルIPアドレスとし、BBB.45.67.89とBBB.45.67.90は社外のグローバルIPアドレスとする。 a.b.cは自社のドメイン名とし、a.b.dとa.b.eは他社のドメイン名とする。 また, IPアドレスとドメイン名は詐称されていないものとする。

    送信元IPアドレス 送信者のドメイン名 受信者のドメイン名
    AAA.168.1.5 a.b.c a.b.d
    AAA.168.1.10 a.b.c a.b.c
    BBB.45.67.89 a.b.d a.b.e
    BBB.45.67.90 a.b.d a.b.c

    解答を見る
    正解:ウ


    SC H21 秋 午前Ⅱ 問16

    ネットワークのQoSで使用されるトラフィック制御方式に関する説明のうち, 適切なものはどれか。

  • 通信を開始する前にネットワークに対して帯域などのリソースを要求し, 確保の状況に応じて通信を制御することを, アドミッション制御という。
  • 入力されたトラフィックが規定された最大速度を超過しないか監視し, 超過分のパケットを破棄するか優先度を下げる制御を, シェーピングという。
  • パケットの送出間隔を調整することによって, 規定された最大速度を超過しないようにトラフィックを平準化する制御を, ポリシングという。
  • フレームの種類やあて先に応じて優先度を変えて中継することを, ベストエフォートという。
  • 解答を見る
    正解:ア


    SC H27 秋 午前Ⅱ 問24

    入出力データの管理方針のうち, 適切なものはどれか。

  • 出力帳票の受渡しは授受管理表などを用いて確実に行い, 情報の重要度によっては業務部門の管理者に手渡しする。
  • 出力帳票の利用状況を定期的に点検し, 利用されていないと判断したものは, 情報システム部門の判断で出力を停止する。
  • チェックによって発見された入力データの誤りは, 情報システム部門の判断で修復する。
  • 入力原票やEDI受信ファイルなどの取引情報は, 機密性を確保するために, データをシステムに取り込んだら速やかに廃棄する。
  • 解答を見る
    正解:ア


    SC H22 秋 午前Ⅱ 問23

    SOA (Service Oriented Architecture) でサービスを設計する際の注意点のうち, 適切なものはどれか。

  • 可用性を高めるために, ステートフルなインタフェースとする。
  • 業務からの独立性を確保するために, サービスの命名は役割を表すものとする。
  • 業務の変化に対応しやすくするために, サービス間の関係は疎結合にする。
  • セキュリティを高めるために, 一度開発したサービスは再利用しない方がよい。
  • 解答を見る
    正解:ウ


    SC H21 秋 午前Ⅱ 問1

    チャレンジレスポンス方式として, 適切なものはどれか。

  • SSLによって, クライアント側で固定のパスワードを暗号化して送信する。
  • トークンという装置が表示する毎回異なったデータをパスワードとして送信する。
  • 任意長のデータを入力として固定長のハッシュ値を出力する。
  • 利用者が入力したパスワードと, サーバから送られてきたランダムなデータとをクライアント側で演算し、その結果を確認用データに用いる。
  • 解答を見る
    正解:エ

  • 一般的なパスワード認証の説明。
  • ワンタイムパスワードの説明。
  • ハッシュ関数の説明。
  • チャレンジレスポンス方式の説明。

  • SC H26 秋 午前Ⅱ 問2

    ハッシュ関数の性質の一つである衝突発見困難性に関する記述のうち, 適切なものはどれか。

  • SHA-256の衝突発見困難性を示す, ハッシュ値が一致する二つのメッセージの探索に要する最大の計算量は, 256の2乗である。
  • SHA-256の衝突発見困難性を示す, ハッシュ値の元のメッセージの探索に要する最大の計算量は, 2の256乗である。
  • ハッシュ値が与えられたときに, 元のメッセージの探索に要する計算量の大きさによる, 探索の困難性のことである。
  • ハッシュ値が一致する二つのメッセージの探索に要する計算量の大きさによる, 探索の困難性のことである。
  • 解答を見る
    正解:エ

    ハッシュ関数は、次の3つの特性が必須です。

    原像計算困難性 (preimage resistance)
    ハッシュ値 h が与えられたとき、そこから h = hash(m) となるような任意のメッセージ m を探すことが困難でなければならない。

    第2原像計算困難性 (second preimage resistance)
    入力 m1 が与えられたとき、hash(m1) = hash(m2) となるようなもう1つの入力 m2(m1とは異なる入力)を見つけることが困難でなければならない。

    衝突困難性 (collision resistance)
    hash(m1) = hash(m2) となるような2つの異なるメッセージ m1 と m2 を探すことが困難でなければならない。フリー百科事典『ウィキペディア(Wikipedia)

    選択肢の文章がちょっと分かりにくいですが、答えはエとなります。


    SC H21 春 午前Ⅱ 問8

    情報システムのリスク分析に関する記述のうち, 適切なものはどれか。

  • リスクには, 投機的リスクと純粋リスクがある。 情報セキュリティのためのリスク分析で対象とするのは, 投機的リスクである。
  • リスクの予想損失額は, 損害予防のために投入されるコスト, 復旧に要するコスト, 及びほかの手段で業務を継続するための代替コストの合計で表される。
  • リスク分析では, 現実に発生すれば損失をもたらすリスクが, 情報システムのどこに, どのように潜在しているかを識別し, その影響の大きさを測定する。
  • リスクを金額で測定するリスク評価額は, 損害が現実になった場合の1回当たりの平均予想損失額で表される。
  • 解答を見る
    正解:ウ


    SC H22 秋 午前Ⅱ 問9

    通信を要求したPCに対し, ARPの仕組みを利用して実現できる通信の可否の判定方法のうち, 最も適切なものはどれか。

  • PCにインストールされているソフトウェアを確認し, 登録されているソフトウェアだけがインストールされている場合に通信を許可する。
  • PCのMACアドレスを確認し, 事前に登録されているMACアドレスをもつ場合だけ通信を許可する。
  • PCのOSのパッチ適用状況を確認し, 最新のパッチが適用されている場合だけ通信を許可する。
  • PCのマルウェア対策ソフトウェアの定義ファイルを確認し, 最新になっている場合だけ通信を許可する。
  • 解答を見る
    正解:イ


    SC H21 秋 午前Ⅱ 問5

    企業のDMZ上で1台のDNSサーバをインターネット公開用と社内用で共用している。このDNSサーバが, DNSキャッシュポイズニングの被害を受けた結果, 引き起こされ得る現象はどれか。

  • DNSサーバで設定された自社の公開WebサーバのFQDN情報が書き換えられ, 外部から参照者が, 本来とは異なるWebサーバに誘導される。
  • DNSサーバのメモリ上にワームが常駐し, DNS参照元に対して不正プログラムを送り込む。
  • 社内の利用者が, インターネット上の特定のWebサーバを参照する場合に, 本来とは異なるWebサーバに誘導される。
  • 電子メールの不正中継対策をした自社のメールサーバが, 不正中継の踏み台にされる。
  • 解答を見る
    正解:ウ


    SU H18 秋 午前 問28

    クロスサイトスクリプティングによる攻撃へのセキュリティ対策はどれか。

  • OS のセキュリティパッチを適用することによって,Web サーバへの侵入を防止する。
  • Web アプリケーションで,クライアントに入力データを再表示する場合,情報内のスクリプトを無効にする処理を行う。
  • Web サーバに SNMP プログラムを常駐稼働させることによって,攻撃を検知する。
  • 許容範囲を超えた大きさのデータの書込みを禁止し,Web サーバへの侵入を防止する。
  • 解答を見る
    正解:イ

    クロスサイトスクリプティング対策とくれば、サニタイジング

    サニタイジングとは、特別な意味を持つ文字(メタキャラクタ)を別の文字に置換して入力データを無害化することです。クロスサイトスクリプティング対策において、サニタイジングはスクリプトの無効化を意味します。

    サニタイジングとエスケープ処理の違いとは?

    エスケープ処理とは、特別な意味を持つ文字(メタキャラクタ)を別の文字に置換する処理のこと。
    サニタイジングとほぼ同義と考えてよい。
    入力データを無害化することが「サニタイジング」で、それを実現するための手段のひとつが「エスケープ処理」です。


    SC H22 秋 午前Ⅱ 問24

    レプリケーションが有効な対策となるものはどれか。

  • 悪意によるデータの改ざんを防ぐ。
  • コンピュータウィルスによるデータの破壊を防ぐ。
  • 災害発生時にシステムが長時間停止するのを防ぐ。
  • 操作ミスによるデータの削除を防ぐ。
  • 解答を見る
    正解:ウ


    SC H21 春 午前Ⅱ 問23

    データベースサーバのハードディスクに障害が発生した場合でもサービスを続行できるようにするための方策として, 最も適切なものはどれか。

  • 共通データベースの格納場所を複数のハードディスクに分散させる。
  • サーバディスクを二重化し, 通常稼働時は同時に二つのディスクに書き込む。
  • サーバの予備機を設置し, OSとアプリケーションソフトを本番機と同じ構成にして待機させておく。
  • 別のディスクにデータベースを毎週末にコピーする。
  • 解答を見る
    正解:イ

  • RAID0(ストライピング)の説明。ハードディスクが1台でも故障するとデータを復旧できません。
  • RAID1(ミラーリング)の説明。片方のハードディスクが故障した場合、もう一方のハードディスクでサービスを続行できます。
  • 本番機のハードディスクが故障すれば、データを復旧することができません。
  • 週末のバックアップでは、ハードディスク障害時点の状態にデータを戻すことはできない。

  • SC H25 春 午前Ⅱ 問3

    PKIを構成するOCSP(Online Certificate Status Protocol)を利用する目的はどれか。

  • 誤って破棄してしまった秘密鍵の再発行処理の進捗状況を問い合わせる。
  • ディジタル証明書から生成した鍵情報の交換がOCSPクライアントとレスポンダの間で失敗した際, 認証状態を確認する。
  • ディジタル証明書の失効情報を問い合わせる。
  • 有効期限の切れたディジタル証明書の更新処理の進捗状況を確認する。
  • 解答を見る
    正解:ウ

    OCSPは、リアルタイムでディジタル証明書の失効情報を確認するためのプロトコル。


    SC H25 秋 午前Ⅱ 問12

    送信元を詐称した電子メールを拒否するために, SPF(Sender Policy Framework)の仕組みにおいて受信側が行うことはどれか。

  • Resent-Sender:, Resent-From:, Sender:, From: などのメールヘッダ情報の送信者メールアドレスを基に送信メールアカウントを検証する。
  • SMTPが利用するポート番号25の通信を拒否する。
  • SMTP通信中にやり取りされるMAIL FROMコマンドで与えられた送信ドメインと送信サーバのIPアドレスの適合性を検証する。
  • 付加されたディジタル署名を受信側が検証する。
  • 解答を見る
    正解:ウ

  • Sender ID の説明。
  • OP25B(Outbound Port 25 Blocking)の説明。
  • SPF(Sender Policy Framework)の説明。
  • S/MIME の説明。

  • SC H26 春 午前Ⅱ 問18

    10M ビット/秒のLANで接続された4台のノード(A, B, C, D)のうち, 2組(AとB, CとD)のノード間でそれぞれ次のファイル転送を行った場合, LANの利用率はおよそ何%か。ここで, 転送時にはファイルの大きさの30%に当たる各種制御情報が付加されるものとする。また, LANではリピータハブが使用されており, 更に衝突は考えないものとする。

    ファイルの大きさ:平均1,000バイト
    ファイルの転送頻度:平均60回/秒(1組当たり)

  • 2
  • 6
  • 10
  • 12
  • 解答を見る
    正解:エ

    ファイルの大きさは1,000バイト。その30%に当たる制御情報が付加されるとあるので、1ファイル転送時のサイズは、
    1000(バイト) × 1.30(%) = 1300(バイト)

    ファイル転送頻度は1秒あたり60回で2組あるので、1秒あたりの転送されるファイルサイズは、
    1300(バイト)× 60(回/秒)× 2(組)= 156000(バイト/秒)

    156000(バイト/秒)と10M(ビット/秒)の単位が異なるため、バイトをビットに変換する。

    156000(バイト/秒)× 8 = 1248000(ビット/秒)

    LANの利用率を求める。
    1248000(ビット/秒)÷ 10000000(ビット/秒)× 100(%)= 12.48(%)

    よって、LANの利用率はおよそ12%である。


    SC H27 春 午前Ⅱ 問7

    JVN(Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCVE(Common Vulnerabilities and Exposures)識別子の説明はどれか。

  • コンピュータで必要なセキュリティ設定項目を識別するための識別子である。
  • 脆弱性を利用して改ざんされたWebサイトのスクリーンショットを識別するための識別子である。
  • 製品に含まれる脆弱性を識別するための識別子である。
  • セキュリティ製品を識別するための識別子である。
  • 解答を見る
    正解:ウ
    CVEとは、製品に含まれる脆弱性を識別するために、米国政府の支援を受けた非営利団体のMITRE社が採番している識別子です。
    JVNとは、情報処理推進機構(IPA)とJPCERT/CCとが共同管理している脆弱性対策ポータルサイトで、「CVE情報源サイト」の一つです。


    SC H27 秋 午前Ⅱ 問20

    ファイル転送プロトコルTFTPをFTPと比較したときの記述として, 適切なものはどれか。

  • 暗号化を用いてセキュリティ機能を強化したファイル転送プロトコル
  • インターネットからのファイルのダウンロード用に特化したファイル転送プロトコル
  • テキストデータの転送を効率的に行うためにデータ圧縮機能を追加したファイル転送プロトコル
  • ユーザ認証を省略したUDPを用いる, 簡素化されたファイル転送プロトコル
  • 解答を見る
    正解:エ

    TFTP(Trivial File Transfer Protocol)
    TFTPは、FTPよりもシンプルなファイル転送プロトコル。ユーザIDとパスワードを利用した認証処理がなく、UDPを用いているため、信頼性は低いが、処理が軽い。
    ちなみに、Trivialは「ささいな」「取るに足らない」という意味を持つ。


    SC H22 春 午前Ⅱ 問11

    DMZ上のコンピュータがインターネットからのpingに応答しないようにファイアウォールのセキュリティルールを定めるとき, "通過禁止"に設定するものはどれか。

  • ICMP
  • TCP及びUDPのポート番号53
  • TCPのポート番号21
  • UDPのポート番号123
  • 解答を見る
    正解:ア

  • pingは、ICMPのネットワーク診断機能です。
  • TCP及びUDPのポート番号53は、DNSで使用するポートです。
  • TCPのポート番号21は、FTPの制御用ポートです。FTPはデータ転送用(TCPポート番号20)と制御用(TCPポート番号21)の2つのポートを使用します。
  • UDPのポート番号123は、NTPで使用するポートです。

  • SC H27 春 午前Ⅱ 問2

    IEEE802.1X で使われる EAP-TLS によって実現される認証はどれか。

  • CHAP を用いたチャレンジレスポンスによる利用者認証
  • あらかじめ登録した共通鍵によるサーバ認証と、時刻同期のワンタイムパスワードによる利用者認証
  • ディジタル証明書による認証サーバとクライアントの相互認証
  • 利用者 ID とパスワードによる利用者認証
  • 解答を見る
    正解:ウ

    EAP-TLS(Extensible Authentication Protocol Transport Layer Security)
    IEEE802.1X等で使われる認証方式「EAP」の実装方式の一つ。
    EAP-TLSは、ディジタル証明書によるやり取りでサーバとクライアントの相互認証を行う方式である。


    SC H24 秋 午前Ⅱ 問15

    WAF(Web Application Firewall)のブラックリスト又はホワイトリストの説明のうち,適切なものはどれか。

  • ブラックリストは脆弱性のあるサイトのIPアドレスを登録したものであり,該当する通信を遮断する。
  • ブラックリストは,問題のある通信データパターンを定義したものであり,該当する通信を遮断するか又は無害化する。
  • ホワイトリストは,暗号化された受信データをどのように復号するかを定義したものであり,復号鍵が登録されていないデータを遮断する。
  • ホワイトリストは,脆弱性のないサイトのFQDNを登録したものであり,登録がないサイトへの通信を遮断する。
  • 解答を見る
    正解:イ

  • ブラックリストにIPアドレスは登録しません。
  • 正しい記述です。
  • ホワイトリストの説明ではない。
  • ホワイトリストにFQDNは登録しません。
  • WAFは、Webアプリケーションへの攻撃を検出して防御するツール。
    検出パターンには、「ブラックリスト」と「ホワイトリスト」の2つがあり、それぞれに長所と短所がある。

  • ブラックリスト
    通過させたくない不正な値または通信データパターンを定義する。
    ブラックリストの定義と一致した場合、不正な通信と判定する。

    長所:既知の攻撃を効率よく検出できる。
    短所:未知の攻撃は検出できない。新たな攻撃手法が発生した場合、随時更新する必要がある。

  • ホワイトリスト
    通過させて問題ない値または通信データパターンを定義する。
    ホワイトリストの定義と一致しなかった場合、不正な通信と判定する。

    長所:未知の攻撃を検出できる。
    短所:細かな設定が必要で高度なスキルを要する。Webアプリケーションの仕様変更が発生した場合、ホワイトリストの定義も見直しが必要となるため、運用コストが大きい。


  • SC H21 秋 午前Ⅱ 問2

    ブラウザがWebサーバとの間でSSLで通信する際, ディジタル証明書に関する警告メッセージが表示される原因となり得るものはどれか。

  • Webサーバが, SSL通信の暗号方式として, ハンドシェイク終了後に共通鍵暗号方式でSSLセッションを開始した。
  • ブラウザがCRLの妥当性をVAに問い合わせる際に, OCSPやSCVPが用いられた。
  • ブラウザがWebサーバのディジタル証明書の検証に成功した後に, WebサーバからSSLを確立した。
  • ルートCAのディジタル証明書について, Webサーバのディジタル証明書のものがブラウザで保持しているものとも一致しなかった。
  • 解答を見る
    正解:エ


    SC H24 秋 午前Ⅱ 問25

    システム監査で用いる統計的サンプリングに関する記述のうち,適切なものはどれか。

  • 開発プロセスにおけるコントロールを評価する際には,開発規模及び影響度の大きい案件を選定することによって,母集団全体の評価を導き出すことができる。
  • コントロールが有効であると判断するために必要なサンプル件数を事前に決めることができる。
  • 正しいサンプリング手順を踏むことによって,母集団全体に対して検証を行う場合と同じ結果を常に導き出すことができる。
  • 母集団からエラー対応が行われたデータを選定することによって,母集団全体に対してコントロールが適切に行われていることを確認できる。
  • 解答を見る
    正解:イ