情報セキュリティスペシャリスト試験の午前Ⅱ問題と旧試験の午前問題からランダムに25問抽出します。問題を入れ替えたい場合は、ブラウザで再読み込みを行ってください。

SC:情報セキュリティスペシャリスト試験
SU:情報セキュリティアドミニストレータ試験(旧試験)
SV:テクニカルエンジニア(情報セキュリティ)試験(旧試験)

SC H23 秋 午前Ⅱ 問2

セキュアハッシュ関数 SHA-256 を用いて、32ビット、256ビット、2,048ビットの三つの長さのメッセージからハッシュ値を求めたとき、それぞれのメッセージのハッシュ値の長さはどれか。

am2_h23_aki_q2

解答を見る
正解:ウ

SHA-256(Secure Hash Algorithm 256 bit)は、ハッシュ関数であり、原文の長さに関係なく、256ビットのハッシュ値を算出する。


SC H24 春 午前Ⅱ 問4

米国NISTが制定した,AES における鍵長の条件はどれか。

  • 128ビット,192ビット,256ビットから選択する。
  • 256ビット未満で任意に指定する。
  • 暗号化処理単位のブロック長より32ビット長くする。
  • 暗号化処理単位のブロック長より32ビット短くする。
  • 解答を見る
    正解:ア

    AES(Advanced Encryption Standard)とは、旧標準暗号方式DESの安全性が低下したため、米国の標準技術研局(NIST)が後継として採用した新標準暗号方式です。

    AESについては、以下を押さえておきましょう。

    • 米国標準の共通鍵暗号方式
    • 暗号や復号が高速である(これは共通鍵方式のメリット)
    • 使用する鍵長は128ビット・192ビット・256ビットの3つの中から選択できる。


    SC H21 秋 午前Ⅱ 問13

    レイヤ2スイッチや無線LANアクセスポイントで接続を許可する仕組みはどれか。

  • DHCP
  • Webシングルサインオン
  • 認証VLAN
  • パーソナルファイアウォール
  • 解答を見る
    正解:ウ


    SC H23 特別 午前Ⅱ 問15

    ICカードの耐タンパ性を高める対策はどれか。

  • ICカードとICカードリーダとが非接触の状態で利用者を認証して、利用者の利便性を高めるようにする。
  • 故障に備えてあらかじめ作成した予備のICカードを保管し、故障時に直ちに予備カードに交換して利用者がICカードを続けられるようにする。
  • 信号の読み出し用プローブの取付けを検出するとICチップ内の保存情報を消去する回路を設けて、ICチップ内の情報を容易に解析できないようにする。
  • 退職者のICカードは業務システム側で利用を停止して、ほかの利用者が使用できないようにする。
  • 解答を見る
    正解:ウ

    耐タンパ性
    物理的または論理的に内部のデータを解析することへの耐性。
    タンパは「許可なくいじくる」という意味。


    SC H23 秋 午前Ⅱ 問24

    情報システムの設計において,フェールソフトが講じられているのはどれか。

  • UPS装置を設置することで,停電時に手順どおりにシステムを停止できるようにし,データを保全する。
  • 制御プログラムの障害時に,システムの暴走を避け,安全に運転を停止できるようにする。
  • ハードウェアの障害時に,パフォーマンスは低下するが,構成を縮小して運転を続けられるようにする。
  • 利用者の誤操作や誤入力を未然に防ぐことで,システムの呉動作を防止できるようにする。
  • 解答を見る
    正解:ウ

  • フォールトアボイダンスの説明。
    システムやそれを構成する装置の信頼性を上げ、故障そのものを回避しようとする設計思想。
    直訳するとフォールトは「障害」、アボイダンスは「回避」。
  • フェールセーフの説明。
    システムが故障した場合でも、常に安全に制御する設計思想。
    直訳するとフェールは「故障」、セーフは「安全」。
  • フェールソフトの説明。
    システムを完全には停止させず、故障した箇所を切り離すなどして、必要最低限の機能でシステムを稼働する設計思想。
    直訳するとフェールは「故障」、ソフトは「柔軟な」。
  • フールプルーフの説明。
    システムがよく分からない人が使っても安全な設計思想。
    直訳するとフールは「ばか」、プルーフは「耐性」。

  • SC H27 春 午前Ⅱ 問13

    迷惑メールの検知手法であるベイジアンフィルタリングの説明はどれか。

  • 信頼できるメール送信元を許可リストに登録しておき, 許可リストにないメール送信元からの電子メールは迷惑メールと判定する。
  • 電子メールが正規のメールサーバから送信されていることを検証し, 迷惑メールであるかどうかを判定する。
  • 電子メールの第三者中継を許可しているメールサーバを登録したデータベースに掲載されている情報を基に, 迷惑メールであるかどうかを判定する。
  • 利用者が振り分けた迷惑メールから特徴を学習し, 迷惑メールであるかどうかを統計的に解析して判定する。
  • 解答を見る
    正解:エ

  • メールのホワイトリストの説明。
  • 送信ドメイン認証の説明です。送信ドメイン認証の技術には、SPF、Sender ID、DKIMなどがあります。
  • DSBL(Distributed Sender Blackhole List)の説明。DSBLとは、電子メールの第三者中継を許可しているメールサーバ等のIPアドレスを登録しているブラックリストです。
  • ベイジアンフィルタリングの説明です。
    ベイズ理論という手法を用いて、過去の迷惑メールから特徴を学習し、迷惑メールであるかどうかを統計的に解析して判定します。

  • SC H22 秋 午前Ⅱ 問11

    社内とインターネットの接続点にパケットフィルタリング型ファイアウォールを設置したネットワーク構成において, 社内のPCからインターネット上の SMTP サーバに電子メールを送信するとき, ファイアウォールで通信許可とするTCPパケットのポート番号の組合せはどれか。

    送信元 あて先 送信元
    ポート番号
    あて先
    ポート番号
    発信 PC SMTP サーバ 25 1024 以上
    発信 SMTP サーバ PC 1024 以上 25
    発信 PC SMTP サーバ 1024 以上 25
    発信 SMTP サーバ PC 25 1024 以上
    発信 SMTP サーバ PC 110 1024 以上
    発信 PC SMTP サーバ 1024 以上 110
    発信 SMTP サーバ PC 1024 以上 110
    発信 PC SMTP サーバ 110 1024 以上

    解答を見る
    正解:イ


    SC H24 秋 午前Ⅱ 問15

    WAF(Web Application Firewall)のブラックリスト又はホワイトリストの説明のうち,適切なものはどれか。

  • ブラックリストは脆弱性のあるサイトのIPアドレスを登録したものであり,該当する通信を遮断する。
  • ブラックリストは,問題のある通信データパターンを定義したものであり,該当する通信を遮断するか又は無害化する。
  • ホワイトリストは,暗号化された受信データをどのように復号するかを定義したものであり,復号鍵が登録されていないデータを遮断する。
  • ホワイトリストは,脆弱性のないサイトのFQDNを登録したものであり,登録がないサイトへの通信を遮断する。
  • 解答を見る
    正解:イ

  • ブラックリストにIPアドレスは登録しません。
  • 正しい記述です。
  • ホワイトリストの説明ではない。
  • ホワイトリストにFQDNは登録しません。
  • WAFは、Webアプリケーションへの攻撃を検出して防御するツール。
    検出パターンには、「ブラックリスト」と「ホワイトリスト」の2つがあり、それぞれに長所と短所がある。

  • ブラックリスト
    通過させたくない不正な値または通信データパターンを定義する。
    ブラックリストの定義と一致した場合、不正な通信と判定する。

    長所:既知の攻撃を効率よく検出できる。
    短所:未知の攻撃は検出できない。新たな攻撃手法が発生した場合、随時更新する必要がある。

  • ホワイトリスト
    通過させて問題ない値または通信データパターンを定義する。
    ホワイトリストの定義と一致しなかった場合、不正な通信と判定する。

    長所:未知の攻撃を検出できる。
    短所:細かな設定が必要で高度なスキルを要する。Webアプリケーションの仕様変更が発生した場合、ホワイトリストの定義も見直しが必要となるため、運用コストが大きい。


  • SC H25 春 午前Ⅱ 問10

    基本評価基準, 現状評価基準, 環境評価基準の三つの基準でIT製品のセキュリティ脆弱性の深刻さを評価するものはどれか。

  • CVSS
  • ISMS
  • PCI DSS
  • PMS
  • 解答を見る
    正解:ア

    CVSS(Common Vulnerability Scoring System)
    共通脆弱性評価システム。情報システムの脆弱性に対する汎用的な評価手法を提供している。CVSSを用いると、脆弱性の深刻度を同一の基準の下で定量的に比較できるようになる。
    CVSSでは「基本評価基準」「現状評価基準」「環境評価基準」の3つの基準で脆弱性を評価します。


    SC H24 春 午前Ⅱ 問6

    JIS Q 27001:2006における情報システムのリスクとその評価に関する記述のうち, 適切なものはどれか。

  • 脅威とは,脆弱性が顕在化する源のことであり,情報システムに組み込まれた技術的管理策によって脅威のレベルと発生の可能性が決まる。
  • 脆弱性とは,情報システムに対して悪い影響を与える要因のことであり,自然災害,システム障害,人為的過失及び不正行為に大別される。
  • リスクの特定では,脅威が情報資産の脆弱性に付け込むことによって,情報資産に与える影響を特定する。
  • リスク評価では,リスク回避とリスク低減の二つに評価を分類し,リスクの大きさを判断して対策を決める。
  • 解答を見る
    正解:ウ

    JIS Q 27001
    「情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項」
    ISMS適合性評価制度の認証基準でもある。

    JIS(Japanese Industrial Standards)は、日本工業規格。
    JISの後ろのローマ字1文字はJISの部門を表す。Qは管理システム。
    ":2006"は、2006年に発行されたことを表している。


    SC H26 秋 午前Ⅱ 問5

    FIPS 140-2 を説明したものはどれか。

  • 暗号モジュールのセキュリティ要求事項
  • 情報セキュリティマネジメントシステムに関する認証基準
  • ディジタル証明書や証明書失効リストの標準仕様
  • 無線LANセキュリティ技術
  • 解答を見る
    正解:ア

    FIPS 140(Federal Information Processing Standardization 140)
    暗号モジュール(暗号処理を行うソフトウェア及びハードウエア)のセキュリティ要求事項を規定した米国連邦標準規格。FIPS 140-2の末尾の2は、規格のバージョンを表す。


    SC H22 秋 午前Ⅱ 問20

    TCPのコネクション確立方式である3ウェイハンドシェイクを表す図はどれか。

    SC H22 秋 午前Ⅱ 問20

    解答を見る
    正解:ア


    SC H27 秋 午前Ⅱ 問7

    特定の情報資産の漏えいに関するリスク対応のうち, リスク回避に該当するものはどれか。

  • 外部の者が侵入できないように, 入退室をより厳重に管理する。
  • 情報資産を外部のデータセンタに預託する。
  • 情報の新たな収集を禁止し, 収集済みの情報を消去する。
  • 情報の重要性と対策費用を勘案し, あえて対策をとらない。
  • 解答を見る
    正解:ウ

    リスク対応には、「リスクコントロール」と「リスクファイナンス」の2種類があります。

    リスクコントロール
    リスクの発生や損失を最小限に抑えるために事前に行う対策のこと。
    リスクコントロールの種類には、リスクの発生・損失を抑える「リスク最適化(リスク低減)」、リスクそのものを持たない「リスク回避」などがある。

    リスクファイナンス
    リスクが発生した際に生じる損失に備えて行う資金的対策のこと。
    リスクファイナンスの種類には、保険に加入することで自社以外にもリスクを移す「リスク移転」、自己資金を蓄えて損失時の対応に備える「リスク保有」などがある。

  • リスク最適化(リスク低減)に該当する
  • リスク移転に該当する
  • リスク回避に該当する
  • リスク保有に該当する

  • SC H22 春 午前Ⅱ 問7

    経済産業省告示の"ソフトウェア等脆弱性関連情報取扱基準"におけるWebアプリケーションに関する脆弱性関連情報の適切な取扱いはどれか。

  • Webアプリケーションの脆弱性についての情報を受けた受付機関は, 発見者の氏名・連絡先をWebサイト運営者に通知する。
  • Webアプリケーションの脆弱性についての通知を受けたWebサイト運営者は, 当該脆弱性に起因する個人情報の漏えいなどが発生した場合, 事実関係を公表しない。
  • 受付機関は, Webサイト運営者からWebアプリケーションの脆弱性が修正されたという通知を受けたら, それを速やかに発見者に通知する。
  • 受付機関は, 一般利用者に不安を与えないために, Webアプリケーションの脆弱性関連情報の届出状況は, 受付機関の中で管理し, 公表しない。
  • 解答を見る
    正解:ウ


    SC H22 春 午前Ⅱ 問9

    ワームの浸入に関する記述のうち, 適切なものはどれか。

  • 公開サーバへのワームの侵入は, IDSでは検知できない。
  • 未知のワームの浸入は, パターンマッチング方式で検知できる。
  • ワームは, アプリケーションソフトの脆弱性を突いて浸入できる。
  • ワームは, 仮想OS環境内のゲストOSに浸入できない。
  • 解答を見る
    正解:ウ

  • 公開サーバへのワームの侵入は、IDSで検知することができる。
  • パターンマッチング方式では未知のワームの浸入を検知できないが、既知のワームの浸入を検知することができる。
  • 正しい。
  • ワームは、仮想OS環境内のゲストOSに浸入することができる。

  • SC H23 特別 午前Ⅱ 問18

    インターネットVPNを実現するために用いられる技術であり、ESP(Encapsulating Security Payload)やAH(Authentication Header)などのプロトコルを含むものはどれか。

  • IPsec
  • MPLS
  • PPP
  • SSL
  • 解答を見る
    正解:ア


    SC H23 特別 午前Ⅱ 問19

    TCPのフロー制御に関する記述のうち, 適切なものはどれか。

  • OSI基本参照モデルのネットワーク層の機能である。
  • ウィンドウ制御はビット単位で行う。
  • 確認応答がない場合は再送処理によってデータ回復を行う。
  • データの順序を持たないので, データは受信した順番のまま処理する。
  • 解答を見る
    正解:ウ


    SU H20 秋 午前 問32

    無線LANのセキュリティ技術に関する記述のうち, 適切なものはどれか。

  • ESS-ID及びWEPを使ってアクセスポイントと通信するには, クライアントにEAP(Extensible Authentication Protocol)を実装する必要がある。
  • WEPの暗号化鍵の長さは128ビットと256ビットがあり, どちらを利用するかによって処理速度とセキュリティ強度に差が生じる。
  • アクセスポイントにMACアドレスを登録して認証する場合, ローミング時にESS-IDを照合しない。
  • 無線LANの複数のアクセスポイントが, 1台のRADIUSサーバと連携してユーザ認証を行うことができる。
  • 解答を見る
    正解:エ


    SC H21 秋 午前Ⅱ 問14

    SQLインジェクション対策について, Webアプリケーションの実装における対策とWebアプリケーションの実装以外の対策の組合せとして, 適切なものはどれか。

    Webアプリケーションの実装における対策 Webアプリケーションの実装以外の対策
    Webアプリケーション中でシェルを起動しない。 chroot環境でWebサーバを実行する。
    セッションIDを複雑なものにする。 SSLによって通信内容を秘匿する。
    バインド機構を利用する。 データベースのアカウントのもつデータベースアクセス権限を最小限にする。
    パス名やファイル名をパラメタとして受け取らないようにする。 重要なファイルを公開領域に置かない。

    解答を見る
    正解:ウ

  • OSコマンドインジェクションの対策。
  • セッションハイジャックの対策。
  • SQLインジェクションの対策。
  • ディレクトリトラバーサルの対策。
  • SQLインジェクション対策は、午後試験でも問われます。選択肢がなくても答えられるようにしておきたい。


    SC H26 春 午前Ⅱ 問2

    XML署名において署名対象であるオブジェクトの参照を指定する表記形式はどれか。

  • OIDの形式
  • SSIDの形式
  • URIの形式
  • ディジタル証明書のシリアル番号の形式
  • 解答を見る
    正解:ウ

    XML署名とは、XML文書にディジタル署名を行う技術です。
    署名対象と署名アルゴリズムをXML構文で記述します。

    XML署名と署名対象であるオブジェクトがそれぞれ独立している場合、
    XML署名の中にURI(Uniform Resource Identifiers)を指定することで、署名対象のオブジェクトを参照できます。


    SC H22 秋 午前Ⅱ 問1

    シングルサインオンの説明のうち, 適切なものはどれか。

  • クッキーを使ったシングルサインオンの場合, サーバごとの認証情報を含んだクッキーをクライアントで生成し, 各サーバ上で保存、管理する。
  • クッキーを使ったシングルサインオンの場合, サーバごとの認証情報を含んだクッキーをクライアントで生成し, 各サーバ上で保存、管理する。
  • リバースプロキシを使ったシングルサインオンの場合, 認証対象の各Webサーバを異なるインターネットドメインにする必要がある。
  • リバースプロキシを使ったシングルサインオンの場合, ユーザ認証においてパスワードの代わりにディジタル証明書を用いることができる。
  • 解答を見る
    正解:エ


    SC H24 秋 午前Ⅱ 問7

    ポリモーフィック型ウイルスの説明として,適切なものはどれか。

  • インターネットを介して,攻撃者が PC を遠隔操作する。
  • 感染するごとに鍵を変えてウイルスのコードを暗号化することによってウイルス自身を変化させて,同一のパターンで検知されないようにする。
  • 複数のOSで利用できるプログラム言語でウイルスを作成することによって,複数のOS上でウイルスが動作する。
  • ルートキットを利用してウイルスに感染していないように見せかけることによって,ウイルスを隠蔽する。
  • 解答を見る
    正解:イ

    ポリモーフィック型ウイルスは、感染するごとにウイルスのコードを異なる鍵で暗号化するコンピュータウイルス。
    ポリモーフィック(polymorphic)は、多形性という意味。
    ミューテーション型ウイルスとも呼ばれる。


    SC H21 秋 午前Ⅱ 問1

    チャレンジレスポンス方式として, 適切なものはどれか。

  • SSLによって, クライアント側で固定のパスワードを暗号化して送信する。
  • トークンという装置が表示する毎回異なったデータをパスワードとして送信する。
  • 任意長のデータを入力として固定長のハッシュ値を出力する。
  • 利用者が入力したパスワードと, サーバから送られてきたランダムなデータとをクライアント側で演算し、その結果を確認用データに用いる。
  • 解答を見る
    正解:エ

  • 一般的なパスワード認証の説明。
  • ワンタイムパスワードの説明。
  • ハッシュ関数の説明。
  • チャレンジレスポンス方式の説明。

  • SC H27 秋 午前Ⅱ 問21

    データウェアハウスを構築するために, 業務システムごとに異なっているデータ属性やコード体系を統一する処理はどれか。

  • ダイス
  • データクレンジング
  • ドリルダウン
  • ロールアップ
  • 解答を見る
    正解:イ


    SC H23 特別 午前Ⅱ 問5

    SMTP-AUTHにおける認証の動作を説明したものはどれか。

  • SMTPサーバへ電子メールを送信する前に、電子メールを受信し、その際にパスワード認証が行われたクライアントのIPアドレスに対して、一定時間だけ電子メールの送信を許可する。
  • クライアントがSMTPサーバにアクセスするときに利用者認証を行い、許可された利用者だけから電子メールを受け付ける。
  • サーバは認証局のディジタル証明書をもち、クライアントから送信された認証局の署名付きクライアント証明書の妥当性を確認する。
  • 利用者が電子メールを受信する際の認証情報を秘匿できるように, パスワードからハッシュ値を計算して, その値で利用者認証を行う。
  • 解答を見る
    正解:イ

    SMTP-AUTHとは、SMTPにユーザ認証機能を追加したもの。

  • POP before SMTPの説明。
  • SMTP-AUTHの説明。
  • クライアント認証の説明。
  • APOPの説明。