平成20年度 秋期 情報セキュリティアドミニストレータ試験(SU)の午前問題からセキュリティ分野のみを掲載しています。

SU H20 秋 午前 問18

電子メールの機密性を高めるために用いられるプロトコルはどれか。

  • IMAP4
  • POP3
  • SMTP
  • S/MIME
  • 解答を見る
    正解:エ


    SU H20 秋 午前 問19

    SSLに関する記述のうち, 適切なものはどれか。

  • SSL-VPNで使用できるアプリケーションは, HTTPプロトコルを使用するアプリケーションに限定される。
  • 暗号化には, 共通鍵暗号方式ではなく, 公開鍵暗号方式が使われる。
  • 通信内容を暗号化する機能と通信相手を認証する機能をもつ。
  • トランスポートモードとトンネルモードの二つのモードがある。
  • 解答を見る
    正解:ウ


    SU H20 秋 午前 問22

    AESの暗号化方式を説明したものはどれか。

  • 鍵長によって, 段数が決まる。
  • 段数は, 6回以内の範囲で選択できる。
  • データの暗号化, 復号, 暗号化の順に3回繰り返す。
  • 同一の公開鍵を用いて暗号化を3回繰り返す。
  • 解答を見る
    正解:ア


    SU H20 秋 午前 問24

    公開鍵暗号方式に関する記述として, 適切なものはどれか。

  • DESやAESなどの暗号方式がある。
  • RSAや楕円曲線暗号などの暗号方式がある。
  • 暗号鍵と複合鍵が同一である。
  • 共通鍵の配送が必要である。
  • 解答を見る
    正解:イ


    SU H20 秋 午前 問25

    公開鍵暗号方式によるディジタル署名の手続とハッシュ値の使用方法のうち, 適切なものはどれか。

  • 受信者は, 送信者の公開鍵で署名を復号してハッシュ値を取り出し, 元のメッセージを変換して求めたハッシュ値と比較する。
  • 送信者はハッシュ値を自分の公開鍵で暗号化して, 元のメッセージとともに受信者に送る。
  • ディジタル署名を付ける元となったメッセージをハッシュ値から復元する。
  • 元のメッセージ全体に対して公開鍵で暗号化を行い, ハッシュ値を用いて復号する。
  • 解答を見る
    正解:ア


    SU H20 秋 午前 問26

    SQLインジェクション攻撃を防ぐ方法はどれか。

  • 入力から, 上位ディレクトリを指定する文字列 (../) を取り除く。
  • 入力中の文字がデータベースへの問合せや操作において特別な意味をもつ文字として解釈されないようにする。
  • 入力にHTML タグが含まれていたら, 解釈, 実行できないほかの文字列に置き換える。
  • 入力の全体の長さが制限を超えていたときは受け付けない。
  • 解答を見る
    正解:イ

  • ディレクトリトラバーサルの対策
  • SQLインジェクションの対策
  • クロスサイトスクリプティング(XSS)の対策
  • バッファオーバーフローの対策

  • SU H20 秋 午前 問28

    パスワードに使用できる文字の種類の数を〟,パスワードの文字数を形とするとき,設定できるパスワードの理論的な総数を求める数式はどれか。

    SU H20 秋 午前Ⅱ 問28

    解答を見る
    正解:ア


    SU H20 秋 午前 問29

    クロスサイトスクリプティングの手口はどれか。

  • Webアプリケーションに用意された入力フィールドに, 悪意のあるJavaScriptコードを含んだデータを入力する。
  • インターネットなどのネットワークを通じてサーバに不正に侵入したり, データの改ざん・破壊を行ったりする。
  • 大量のデータをWebアプリケーションに送ることによって, 用意されたバッファ領域をあふれさせる。
  • パス名を推定することによって, 本来は認証された後にしかアクセスできないページに直接ジャンプする。
  • 解答を見る
    正解:ア


    SU H20 秋 午前 問30

    RADIUSに関する記述として, 適切なものはどれか。

  • ISPや企業内LANなどへのリモートアクセスを実現するとき, ユーザ認証, アクセス制御, アカウント情報管理を統括的に行う。
  • LANに接続されたコンピュータに対して自動的にIPアドレスを割り当てる。
  • コンピュータごと, アプリケーションごとに個別に管理されていたユーザ情報やネットワーク資源の情報を, 企業や組織全体のディレクトリ情報として格納し, 統括的に管理する。
  • 複数のLANやコンピュータシステムをインターネットや公衆回線を用いて, 仮想的に同一のネットワークとして接続する技術であり, 情報の機密性, 完全性を提供する。
  • 解答を見る
    正解:ア


    SU H20 秋 午前 問31

    テンペスト技術の説明とその対策として, 適切なものはどれか。

  • ディスプレイなどから放射される電磁波を傍受し, 表示内容などを盗み見る技術であり, 電磁波を遮断することによって対抗する。
  • データ通信の途中でパケットを横取りし, 内容を改ざんする技術であり, ディジタル署名を利用した改ざん検知によって対抗する。
  • マクロウイルスにおいて使われる技術であり, ウイルス対策ソフトを導入し, 最新の定義ファイルを適用することによって対抗する。
  • 無線LANの信号から通信内容を傍受し, 解析する技術であり, 通信パケットを暗号化することによって対抗する。
  • 解答を見る
    正解:ア


    SU H20 秋 午前 問32

    無線LANのセキュリティ技術に関する記述のうち, 適切なものはどれか。

  • ESS-ID及びWEPを使ってアクセスポイントと通信するには, クライアントにEAP(Extensible Authentication Protocol)を実装する必要がある。
  • WEPの暗号化鍵の長さは128ビットと256ビットがあり, どちらを利用するかによって処理速度とセキュリティ強度に差が生じる。
  • アクセスポイントにMACアドレスを登録して認証する場合, ローミング時にESS-IDを照合しない。
  • 無線LANの複数のアクセスポイントが, 1台のRADIUSサーバと連携してユーザ認証を行うことができる。
  • 解答を見る
    正解:エ


    SU H20 秋 午前 問38

    情報セキュリティの評価基準JIS X5070(ISO/IEC 15408)の説明のうち, 適切なものはどれか。

  • IT製品及びシステムの, 経済産業省による情報セキュリティマネジメント適合性評価制度に用いられる評価基準
  • IT製品及びシステムの, セキュリティ機能にかかわる部分の評価基準
  • IT製品及びシステムの, セキュリティ機能を含むシステム全体の評価基準
  • IT製品のうち,OSとハードウェアを対象とするセキュリティレベルの評価基準
  • 解答を見る
    正解:イ