平成20年度 春期 テクニカルエンジニア(情報セキュリティ)試験(SV)の午前問題からセキュリティ分野のみを掲載しています。

SV H20 春 午前 問41

作成者によってディジタル署名された電子文書に,タイムスタンプ機関がタイムスタンプを付与した。この電子文書を公開する場合のタイムスタンプの効果のうち,適切なものはどれか。

  • タイムスタンプの時刻以前に存在したことを示し,作成者が,電子文書の作成を否認することを防止する。
  • タイムスタンプの時刻以前に存在したことを示し,第三者が,電子文書を改ざんすることを防止する。
  • タイムスタンプを付与した時刻以降に,作成者が,ほかの電子文書へ流用することを防止する。
  • タイムスタンプを付与した時刻以降に,第三者が,ほかの電子文書へ流用することを防止する。
  • 解答を見る
    正解:ア

    タイムスタンプ技術で実現できることは以下の2点です。

    • 完全性証明:タイムスタンプを付与したデータがある時刻以前に存在していたことを証明する。否認の防止に有効。
    • 存在証明:データの改ざんを検知できる。
  • 正しい記述です。
  • タイムスタンプで改ざんの検知はできるが、改ざんの防止はできない。
  • 作成者であろうと、電子文書の内容コピーをタイムスタンプで防ぐことはできない。
  • 電子文書の内容コピーをタイムスタンプで防ぐことはできない。

  • SV H20 春 午前 問35

    データベースの監査ログを取得する目的として, 適切なものはどれか。

  • 権限のない利用者のアクセスを拒否する。
  • チェックポイントからのデータ復旧に使用する。
  • データの不当な書換えや削除を事前に検知する。
  • 問題のあるデータ操作を事後に調査する。
  • 解答を見る
    正解:エ


    SV H20 春 午前 問34

    SQLインジェクション対策として行う特殊文字の無効化操作はどれか。

  • クロスサイトスクリプティング
  • サニタイジング
  • パケットフィルタリング
  • フィッシング
  • 解答を見る
    正解:イ


    SV H20 春 午前 問37

    送信者からメール本文とそのハッシュ値を受け取り, そのハッシュ値と, 受信者がメール本文から求めたハッシュ値とを比較して実現できることはどれか。ここで, 送信者からのハッシュ値は保護されているものとする。

  • 改ざんの有無の検出
  • 盗聴の防止
  • なりすましの防止
  • メールの送達の確認
  • 解答を見る
    正解:ア


    SV H20 春 午前 問38

    暗号方式に関する記述のうち, 適切なものはどれか。

  • AESは公開鍵暗号方式, RSAは共通鍵暗号方式の一種である。
  • 共通鍵暗号方式では, 暗号鍵と複合鍵が同一である。
  • 公開鍵暗号方式を通信内容の秘匿に使用する場合は, 暗号化鍵を秘密にして, 復号鍵を公開する。
  • ディジタル署名に公開鍵暗号方式が使用されることはなく, 共通鍵暗号方式が使用される。
  • 解答を見る
    正解:イ

  • RSAは公開鍵暗号方式, AESは共通鍵暗号方式の一種である。
  • 正しい記述です。
  • 公開鍵暗号方式で通信内容を暗号化するには、受信者の公開鍵で暗号化し、受信者の秘密鍵で復号する。
  • ディジタル署名には公開鍵暗号方式が使用されます。

  • SV H20 春 午前 問39

    Xさんは, Yさんにインターネットを使って電子メールを送ろうとしている。電子メールの内容を秘密にする必要があるので, 公開鍵暗号方式を使って暗号化して送信したい。電子メールの内容を暗号化するのに使用する鍵はどれか。

  • Xさんの公開鍵
  • Xさんの秘密鍵
  • Yさんの公開鍵
  • Yさんの秘密鍵
  • 解答を見る
    正解:ウ

    公開鍵暗号方式による暗号化は、受信者(Yさん)の公開鍵で暗号化し、受信者(Yさん)の秘密鍵で復号する。


    SV H20 春 午前 問43

    コンピュータフォレンジクスの説明として、適切なものはどれか。

  • あらかじめ設定した運用基準に従って、メールサーバを通過する送受信メールをフィルタリングすること
  • 磁気ディスクなどの書換え可能な記憶媒体を単に初期化するだけではデータを復元される可能性があるので、覆い隠すように上書きすること
  • ネットワークやホストに対する外部からの攻撃や侵入を検出し、管理者に通報すること
  • 不正アクセスなどコンピュータに関する犯罪の法的な証拠性を明らかにするために、原因究明に必要な情報を収集して分析すること
  • 解答を見る
    正解:エ

    コンピュータフォレンジクス
    コンピュータに関する犯罪や法的問題が発生した場合に、原因究明に必要な情報を収集して分析し、法的証拠を確保すること。

    フォレンジクス(forensics)には、「犯罪科学の」「法医学的な」といった意味がある。


    SV H20 春 午前 問44

    Webアプリケーションの脅威とそのセキュリティ対策の適切な組合せはどれか。

  • OSコマンドインジェクションを防ぐために, Webアプリケーションが発行するセッションIDを推測困難なものにする。
  • SQLインジェクションを防ぐために, Webアプリケーション内でデータベースへの問合せを作成する際にバインド機構を使用する。
  • クロスサイトスクリプティングを防ぐために, 外部から渡す入力データをWebサーバ内のファイル名として直接指定しない。
  • セッションハイジャックを防ぐために, Webアプリケーションからシェルを起動できないようにする。
  • 解答を見る
    正解:イ


    SV H20 春 午前 問42

    チャレンジ・レスポンス方式として, 適切なものはどれか。

  • 暗号化プロトコル(SSL)によって、クライアント側で固定のパスワードを暗号化して送信する。
  • 固定パスワードと, サーバから送られたランダムなデータとをクライアント側で演算し, その結果を認証用データに用いる。
  • トークンというデバイスで毎回異なった表示されるデータをパスワードとして送信する。
  • ゆがんだ文字などの画像データをサーバから送り, 利用者にそれを読み取らせて入力させることによって認証する。
  • 解答を見る
    正解:イ


    SV H20 春 午前 問40

    CRL(Certificate Revocation List)はどれか。

  • 有効期限切れになったCAのディジタル証明書の公開健のリスト
  • 有効期限切れになったCAのディジタル証明書のシリアル番号のリスト
  • 有効期限内に失効したCAのディジタル証明書の公開鍵のリスト
  • 有効期限内に失効したCAのディジタル証明書のシリアル番号のリスト
  • 解答を見る
    正解:エ

    CRLは、有効期限内に失効されたCAのディジタル証明書のシリアル番号のリストで、証明書の有効性を検証するために使われます。

    CRL には失効された証明書のシリアル番号、CRL の発行者名、更新日、次回更新日などが記載されます。有効期限切れとなった証明書はCRLには記載されません。


    SV H20 春 午前 問36

    A社のWebサーバは, 認証局で生成したWebサーバ用のディジタル証明書を使ってSSL通信を行っている。A社のWebサーバにアクセスしたPCが, ディジタル証明書を入手した後に認証局の公開鍵を利用する処理はどれか。

  • 暗号化通信に利用する共通鍵を生成し, 認証局の公開鍵で暗号化する。
  • 認証局の公開鍵を使って, 暗号化通信に利用する共通鍵を復号する。
  • 認証局の公開鍵を使って, ディジタル証明書の正当性を検証する。
  • 秘匿データを認証局の公開鍵で暗号化する。
  • 解答を見る
    正解:ウ


    SV H20 春 午前 問45

    パケットフィルタリング型ファイアウォールがルール一覧に示したアクションに基づいてパケットを制御する場合, パケットAに対する処理はどれか。ここで, ファイアウォールでの処理は, ルール一覧に示す番号の1から順に行い, 一つのルールが適用された場合には残りのルールは適用されない。

    sv-h20-haru-am-q45

  • 番号1によって, 通過が禁止される。
  • 番号2によって, 通過が許可される。
  • 番号3によって, 通過が許可される。
  • 番号4によって, 通過が禁止される。
  • 解答を見る
    正解:ア


    SV H20 春 午前 問46

    サーバへのログイン時に用いるパスワードを不正に取得しようとする攻撃とその対策の組合せのうち, 適切なものはどれか。

    辞書攻撃 スニッフィング ブルートフォース攻撃
    パスワードを平文で送信しない。 ログインの試行回数に制限を設ける。 ランダムな値でパスワードを設定する。
    ランダムな値でパスワードを設定する。 パスワードを平文で送信しない。 ログインの試行回数に制限を設ける。
    ランダムな値でパスワードを設定する ログインの試行回数に制限を設ける。 パスワードを平文で送信しない。
    ログインの試行回数に制限を設ける。 ランダムな値でパスワードを設定する。 パスワードを平文で送信しない。

    解答を見る
    正解:イ

    辞書攻撃
    辞書に記載されている用語を片っ端から入力し、不正ログインを試みる攻撃。
    パスワードはランダムな値で設定することが対策として有効。

    スニッフィング
    ネットワーク上のパケットを盗聴し、IDやパスワードを不正取得すること。
    パスワードは平文で送信せず、暗号化を行うことが対策として有効。

    ブルートフォース攻撃
    総当たり攻撃のこと。ブルートフォースは「力づくで」という意味を持つ。
    考えられる値を総当たりで入力し、力づくで解析を行う。
    ログインの試行回数に制限を設けることが対策として有効。


    SV H20 春 午前 問47

    IPsecのAHに関する説明のうち,適切なものはどれか。

  • IPパケットを暗号化する対象部分によって,トランスポートモード,トンネルモードの方式がある。
  • 暗号化アルゴリズムや暗号化鍵のライフタイムが設定される管理テーブルで,期間を過ぎると新しいものに更新される。
  • 暗号化アルゴリズムを決定し,暗号化鍵を動的に生成する鍵交換プロトコルで,暗号化通信を行う。
  • データの暗号化は行わず,SPI,シーケンス番号,認証データを用い,完全性の確保と認証を行う。
  • 解答を見る
    正解:エ

    IPsecは、パケットをネットワーク層で暗号化する機能。
    AH、ESP、IKEなどの複数のプロトコルで構成されている。

    • IKE(Internet Key Exchange、鍵交換)
      暗号化に用いる鍵交換をするために利用するプロトコル。IKE(アイク)と発音する。
    • ESP(Encapsulated Security Payload、暗号化ペイロード)
      通信データの認証とペイロード部(ヘッダ部を除いたデータ本体)の暗号化機能を持つ。
      改ざん検知と盗聴防止ができる。
    • AH(Authentication Header、認証ヘッダ)
      通信データの認証機能を持ち、改ざんを検知できる。
      データの暗号化までは行わないため、盗聴の防止はできない。


    SV H20 春 午前 問48

    無線LANにおける通信の暗号化の仕組みに関する記述のうち, 適切なものはどれか。

  • EAP は, クライアントPCとアクセスポイントとの間であらかじめ登録した共通鍵による暗号化通信を実現する。
  • EES-IDは, クライアントPCごとの秘密鍵を定めたものであり, 公開鍵暗号方式の暗号化通信を実現する。
  • IEEE 802.1Xの規格を利用して機器認証を行い, 動的に異なる暗号化鍵を用いた暗号化通信を実現できる。
  • WEPでは, クライアントPCとアクセスポイントとの間で公開鍵暗号方式による暗号化通信を実現できる。
  • 解答を見る
    正解:ウ


    SV H20 春 午前 問49

    JIS Q 27001:2006における情報システムのリスクとその評価に関する記述のうち, 適切なものはどれか。

  • 脅威とは, 脆弱性が顕在化する確率のことであり, 情報システムに組み込まれた技術的管理策によって決まる。
  • 脆弱性とは, 情報システムに対して悪い影響を与える要因のことであり, 自然災害, システム障害, 人為的過失及び不正行為に大別される。
  • リスクとは, 脅威が情報資産の脆弱性につけ込み, 情報資産に損失又は損害を与える可能性のことである。
  • リスク評価とは, リスクの大きさを判断して対策を決めることであり, リスク回避とリスク低減の二つに分類される。
  • 解答を見る
    正解:ウ


    SV H20 春 午前 問50

    事業者が, 一般に公開されている個人情報を使用して継続的にダイレクトメールを送付する場合, JIS Q 15001:2006への適合性から見て適切な措置はどれか。

  • JIS Q 15001:2006に規定された通知事項を本人に通知し, 同意を得れば送付できる。
  • JIS Q 15001:2006に規定された通知事項を本人に通知すれば送付できる。
  • 一般に公開されている個人情報なので何もせずに送付できる。
  • 公開情報を使ってダイレクトメールを送付することを, ホームページに公表すれば送付できる。
  • 解答を見る
    正解:ア