<全13問>

SC H21 秋 午前Ⅱ 問1

チャレンジレスポンス方式として, 適切なものはどれか。

  • SSLによって, クライアント側で固定のパスワードを暗号化して送信する。
  • トークンという装置が表示する毎回異なったデータをパスワードとして送信する。
  • 任意長のデータを入力として固定長のハッシュ値を出力する。
  • 利用者が入力したパスワードと, サーバから送られてきたランダムなデータとをクライアント側で演算し、その結果を確認用データに用いる。
  • 解答を見る
    正解:エ

  • 一般的なパスワード認証の説明。
  • ワンタイムパスワードの説明。
  • ハッシュ関数の説明。
  • チャレンジレスポンス方式の説明。


  • SC H21 秋 午前Ⅱ 問2

    ブラウザがWebサーバとの間でSSLで通信する際, ディジタル証明書に関する警告メッセージが表示される原因となり得るものはどれか。

  • Webサーバが, SSL通信の暗号方式として, ハンドシェイク終了後に共通鍵暗号方式でSSLセッションを開始した。
  • ブラウザがCRLの妥当性をVAに問い合わせる際に, OCSPやSCVPが用いられた。
  • ブラウザがWebサーバのディジタル証明書の検証に成功した後に, WebサーバからSSLを確立した。
  • ルートCAのディジタル証明書について, Webサーバのディジタル証明書のものがブラウザで保持しているものとも一致しなかった。
  • 解答を見る
    正解:エ



    SC H21 秋 午前Ⅱ 問3

    SMTP-AUTH認証はどれか。

  • SMTPサーバへ電子メールを送信する前に, 電子メールを受信し, その際にパスワード認証が行われたクライアントのIPアドレスに対して, 一定時間だけ電子メールの送信を可能にする。
  • クライアントがSMTPサーバにアクセスするときに利用者認証を行い, 許可されたユーザだけから電子メールを受け付ける。
  • サーバはCAの公開鍵証明書をもち, クライアントから送信されたCAの署名付きクライアント証明書の妥当性を確認する。
  • 電子メールを受信する際の認証情報を秘匿できるように, パスワードからハッシュ値を計算して, その値で利用者認証を行う。
  • 解答を見る
    正解:イ



    SC H21 秋 午前Ⅱ 問4

    コンティンジェンシープランにおける留意点はどれか。

  • 企業のすべてのシステムを対象とするのではなく, システムの復旧の重要性と緊急性を勘案して対象を決定する。
  • 災害などへの対応のために, すぐに利用できるよう, バックアップデータをコンピュータ室内又はセンタ内に保存しておく。
  • バックアップの対象は, 機密情報の中から機密度を勘案して選択する。
  • 被害状況のシナリオを作成し, これに基づく“予防策定手順”と“バックアップ対策とその手順”を策定する。
  • 解答を見る
    正解:ア

    コンティンジェンシープランとは、システム障害など不測の事態に備え、緊急時の対応策や行動手順を計画することです。
    コンティンジェンシーは、「偶発事件、不慮の出来事」という意味を持つ。

  • 正しい記述です。企業のすべてのシステムを対象とするのは規模が大きく難しいため、システムの復旧の重要性や緊急性などを考え合わせて対象を決定する方が効率的。
  • コンティンジェンシープランとは無関係の対応。そもそもバックアップデータは遠隔地に保存すべき。
  • コンティンジェンシープランとは無関係の対応。
  • コンティンジェンシープランは、"緊急時"の手順は策定するが、"予防"の手順は策定しない。


  • SC H21 秋 午前Ⅱ 問5

    企業のDMZ上で1台のDNSサーバをインターネット公開用と社内用で共用している。このDNSサーバが, DNSキャッシュポイズニングの被害を受けた結果, 引き起こされ得る現象はどれか。

  • DNSサーバで設定された自社の公開WebサーバのFQDN情報が書き換えられ, 外部から参照者が, 本来とは異なるWebサーバに誘導される。
  • DNSサーバのメモリ上にワームが常駐し, DNS参照元に対して不正プログラムを送り込む。
  • 社内の利用者が, インターネット上の特定のWebサーバを参照する場合に, 本来とは異なるWebサーバに誘導される。
  • 電子メールの不正中継対策をした自社のメールサーバが, 不正中継の踏み台にされる。
  • 解答を見る
    正解:ウ



    SC H21 秋 午前Ⅱ 問6

    NIDS(ネットワーク型IDS)を導入する目的はどれか。

  • 管理下のネットワーク内への不正侵入の試みを検知し, 管理者に通知する。
  • サーバ上のファイルが改ざんされたかどうかを判定する。
  • 実際にネットワークを介してサイトを攻撃し, 不正に侵入できるかどうかを検査する。
  • ネットワークからの攻撃が防御できないときの損害の大きさを判定する。
  • 解答を見る
    正解:ア



    SC H21 秋 午前Ⅱ 問7

    クロスサイトスクリプティングによる攻撃へのセキュリティ対策に該当するものはどれか。

  • OSのセキュリティパッチを適用することによって、Webサーバへの侵入を防止する。
  • Webアプリケーションがクライアントに入力データを表示する場合、データ内の特殊文字を無効にする処理を行う。
  • WebサーバにSNMPプログラムを常駐稼動させることによって、攻撃を検知する。
  • 許容範囲を超えた大きさのデータの書き込みを禁止し、Webサーバへの侵入を防止する。
  • 解答を見る
    正解:イ
    掲示板サイトなど閲覧者からの入力で、動的なページを生成するサイトは、クロスサイトスクリプティング攻撃の標的に成りうる。
    Webアプリケーション側の対策としては、入力データをそのまま解釈せず、データ内の特殊文字を無効にする処理(エスケープ処理)を行う。



    SC H21 秋 午前Ⅱ 問8

    ウイルスの検出手法であるビヘイビア法を説明したものはどれか。

  • あらかじめ特徴的なコードをパターンとして登録したウイルス定義ファイルを用いてウイルス検査対象と比較し、同じパターンがあれば感染を検出する。
  • ウイルスに感染していないことを保証する情報をあらかじめ付加しておき、検査対象の検査時に不整合があれば感染を検出する。
  • ウイルスの感染が疑わしい検査対象を、安全な場所に保管する原本と比較し、異なっていれば感染を検出する。
  • ウイルスの感染や発病によって生じるデータ書込み動作の異常や通信量の異常増加などの変化を監視して、感染を検出する。
  • 解答を見る
    正解:エ



    SC H21 秋 午前Ⅱ 問9

    コンピュータフォレンジクスの説明として、適切なものはどれか。

  • あらかじめ設定した運用基準に従って、メールサーバを通過する送受信メールをフィルタリングすること
  • 磁気ディスクなどの書換え可能な記憶媒体を単に初期化するだけではデータを復元される可能性があるので、覆い隠すように上書きすること
  • 不正アクセスなどコンピュータに関する犯罪の法的な証拠性を確保できるように、原因究明に必要な情報を保全、収集して分析すること
  • ホストに対する外部からの攻撃や不正なアクセスを防御すること
  • 解答を見る
    正解:ウ

    コンピュータフォレンジクス
    コンピュータに関する犯罪や法的問題が発生した場合に、原因究明に必要な情報を収集して分析し、法的証拠を確保すること。

    フォレンジクス(forensics)には、「犯罪科学の」「法医学的な」といった意味がある。



    SC H21 秋 午前Ⅱ 問10

    ステガノグラフィの機能はどれか。

  • 画像データなどにメッセージを埋め込み, メッセージの存在そのものを隠す。
  • メッセージの改ざんやなりすましを検出し, 否認の防止を行う。
  • メッセージの認証を行って改ざんの有無を検出する。
  • メッセージを決まった手順で変換し, 通信途中での盗聴を防ぐ。
  • 解答を見る
    正解:ア



    SC H21 秋 午前Ⅱ 問11

    パケットフィルタリング型ファイアウォールのフィルタリングルールを用いて, 本来必要なサービスに影響を及ぼすことなく防げるものはどれか。

    • 外部に公開していないサービスへのアクセス
    • サーバで動作するソフトウェアのセキュリティ脆弱性を突く攻撃
    • 電子メールに添付されたファイルのマクロウイルスの侵入
    • 電子メール爆弾などのDoS攻撃

    解答を見る
    正解:ア

    パケットフィルタリング型ファイアウォールは、送信先または送信元のIPアドレスやポート番号をもとに、フィルタリングルールを決めて通信の許可または拒否を判断する。

    選択肢アは、対象サービスのポート番号をもとにフィルタリングルールを定めれば、本来必要なサービスに影響を及ぼすことなく外部からの通信を拒否できるので正しい。

    それ以外の選択肢は、サーバへの通信を拒否することは可能だが、本来必要なサービスに影響を及ぼすため、誤り。



    SC H21 秋 午前Ⅱ 問12

    ブルートフォース攻撃に該当するものはどれか。

  • 可能性のある文字のあらゆる組合せでログインを試みる。
  • コンピュータへのキー入力をすべて記録して外部に送信する。
  • 盗聴者が正当な利用者のログインシーケンスをそのまま記録してサーバに送信する。
  • 認証が終了し、セッションを開始しているブラウザとWebサーバ間の通信で、クッキー情報などのセッション情報を盗む。
  • 解答を見る
    正解:ア

  • ブルートフォース攻撃の説明。
  • キーロガーの説明。
  • リプレイ攻撃の説明。
  • セッションハイジャックの説明。


  • SC H21 秋 午前Ⅱ 問14

    SQLインジェクション対策について, Webアプリケーションの実装における対策とWebアプリケーションの実装以外の対策の組合せとして, 適切なものはどれか。

    Webアプリケーションの実装における対策 Webアプリケーションの実装以外の対策
    Webアプリケーション中でシェルを起動しない。 chroot環境でWebサーバを実行する。
    セッションIDを複雑なものにする。 SSLによって通信内容を秘匿する。
    バインド機構を利用する。 データベースのアカウントのもつデータベースアクセス権限を最小限にする。
    パス名やファイル名をパラメタとして受け取らないようにする。 重要なファイルを公開領域に置かない。

    解答を見る
    正解:ウ

  • OSコマンドインジェクションの対策。
  • セッションハイジャックの対策。
  • SQLインジェクションの対策。
  • ディレクトリトラバーサルの対策。
  • SQLインジェクション対策は、午後試験でも問われます。選択肢がなくても答えられるようにしておきたい。