<全12問>

SC H21 春 午前Ⅱ 問1

DNSキャッシュポイズニングに分類される攻撃内容はどれか。

  • DNSサーバのソフトのバージョン情報を入手して, DNSサーバのセキュリティホールを特定する。
  • PCが参照するDNSサーバに誤ったドメイン管理情報を注入して, 偽装されたWebサーバにPCの利用者を誘導する。
  • 攻撃対象のサービスを妨害するために, 攻撃者がDNSサーバを踏み台に利用して再帰的な問合せを大量に行う。
  • 内部情報を入手するために, DNSサーバが保存するゾーン情報をまとめて転送させる。
  • 解答を見る
    正解:イ

    DNSは、IPアドレスとホスト名を対応付ける仕組みシステム。
    このDNSの仕組みを悪用した攻撃として、DNSキャッシュポイズニングがある。

    DNSキャッシュポイズニング(汚染)は、DNSサーバに偽の情報を蓄積(キャッシュ)させる攻撃手法。
    PCの利用者が正しいホスト名に接続しているつもりでも、攻撃者が罠を仕掛けたWebサーバに誘導されてしまう。



    SC H21 春 午前Ⅱ 問2

    SSLを使用して通信を暗号化する場合, SSL-VPN装置に必要な条件はどれか。

  • SSL-VPN装置は, 1台1台を識別できるようにディジタル証明書を組み込む必要がある。
  • SSL-VPN装置は, 装置メーカが用意した機器固有のディジタル証明書を組み込む必要がある。
  • SSL-VPN装置は, 装置メーカから提供される認証局を利用する必要がある。
  • 同一ドメイン内で複数拠点にSSL-VPN装置を設置する場合は, 同一のディジタル証明書を利用する必要がある。
  • 解答を見る
    正解:ア



    SC H21 春 午前Ⅱ 問3

    シングルサインオンの説明のうち, 適切なものはどれか。

  • クッキーを使ったシングルサインオンの場合, サーバごとに認証情報を含んだクッキーをクライアントで生成し, 各サーバ上で保存, 管理する。
  • クッキーを使ったシングルサインオンの場合, 認証対象の各サーバを異なるインターネットドメインに配置する必要がある。
  • リバースプロキシを使ったシングルサインオンの場合, 認証対象の各Webサーバをそれぞれ異なるインターネットドメインにする必要がある。
  • リバースプロキシを使ったシングルサインオンの場合, 利用者認証においてパスワードの代わりにディジタル証明書を用いることができる。
  • 解答を見る
    正解:エ



    SC H21 春 午前Ⅱ 問4

    スパムメールの対策として, あて先ポート番号25番のメールに対しISPが実施するOP25Bの説明はどれか。

  • ISP管理外のネットワークからの受信メールのうち, スパムメールのシグネチャに該当するメールを遮断する。
  • 動的IPアドレスを割り当てたネットワークからISP管理外のネットワークに直接送信されたメールを遮断する。
  • メール送信元のメールサーバについてDNSの逆引きができない場合, そのメールサーバからのメールを遮断する。
  • メール不正中継の脆(ぜい)弱性をもつメールサーバからの受信メールを遮断する。
  • 解答を見る
    正解:イ

    OP25B(Outbound Port 25 Blocking)
    ISP提供のメールサーバを経由せず、外部のSMTPサーバ(25番ポート)へ直接接続しようとするパケットをブロックすることです。



    SC H21 春 午前Ⅱ 問5

    ディジタル署名を利用する目的はどれか。

  • 受信者が署名鍵を使って暗号文を元の平文に戻すことができるようにする。
  • 送信者が固定文字列を付加した平文を署名鍵を使って暗号化し, 受信者がメッセージの改ざん部位を特定できるようにする。
  • 送信者が署名鍵を使って署名を作成し, それに平文に付加することによって、受信者が送信者を確認できるようにする。
  • 送信者が署名鍵を使って平文を暗号化し, 平文の内容を関係者以外に分からないようにする。
  • 解答を見る
    正解:ウ



    SC H21 春 午前Ⅱ 問6

    SHA-1を説明したものはどれか。

  • 160ビットの出力データを生成し, 改ざんの検出に利用するアルゴリズム
  • IPsecで使用される暗号化アルゴリズム
  • 公開鍵暗号方式において暗号化鍵を生成するアルゴリズム
  • データの暗号化が正常に完了したことの確認に利用するアルゴリズム
  • 解答を見る
    正解:ア
    SHA-1(Secure Hash Algorithm 1)は、ハッシュ関数であり、原文の長さに関係なく、160ビットのハッシュ値を算出する。



    SC H21 春 午前Ⅱ 問8

    情報システムのリスク分析に関する記述のうち, 適切なものはどれか。

  • リスクには, 投機的リスクと純粋リスクがある。 情報セキュリティのためのリスク分析で対象とするのは, 投機的リスクである。
  • リスクの予想損失額は, 損害予防のために投入されるコスト, 復旧に要するコスト, 及びほかの手段で業務を継続するための代替コストの合計で表される。
  • リスク分析では, 現実に発生すれば損失をもたらすリスクが, 情報システムのどこに, どのように潜在しているかを識別し, その影響の大きさを測定する。
  • リスクを金額で測定するリスク評価額は, 損害が現実になった場合の1回当たりの平均予想損失額で表される。
  • 解答を見る
    正解:ウ



    SC H21 春 午前Ⅱ 問9

    DMZ上の公開Webサーバで入力データを受け付け, 内部ネットワークのDBサーバにそのデータを蓄積するシステムがある。 DBサーバへの不正侵入対策の一つとして, ファイアウォールの最も有効な設定はどれか。

    SC H21 春 午前Ⅱ 問9

  • DBサーバの受信ポートを固定にし, WebサーバからDBサーバの受信ポートへ発信された通信だけをファイアウォールで通す。
  • DMZからDBサーバあての通信だけをファイアウォールで通す。
  • Webサーバの発信ポートは任意のポート番号を使用し, ファイアウォールでは, いったん終了した通信と同じ発信ポートを使った通信を拒否する。
  • Webサーバの発信ポートを固定し, その発信ポートの通信だけをファイアウォールで通す。
  • 解答を見る
    正解:ア



    SC H21 春 午前Ⅱ 問10

    通信の暗号化に関する記述のうち, 適切なものはどれか。

  • IPsecのトランスポートモードでは, ゲートウェイ間の通信経路上だけでなく, 発信ホストと受信ホストの間の全経路上でメッセージが暗号化される。
  • LDAPクライアントがLDAPサーバに接続するとき, その通信内容は暗号化することができない。
  • S/MIMEで暗号化した電子メールは, 受信側のメールサーバ内に格納されている間は, メール管理者が平文として見ることができる。
  • SSLを使用すると, 暗号化されたHTML文書はブラウザのキャッシュの有無が設定できず, ディスク内に必ず保存される。
  • 解答を見る
    正解:ア



    SC H21 春 午前Ⅱ 問11

    メールサーバ(SMTPサーバ)の不正利用を防止するために行う設定はどれか。

  • ゾーン転送のアクセス元を制御する。
  • 第三者中継を禁止する。
  • ディレクトリに存在するファイル名の表示を禁止する。
  • 特定のディレクトリ以外でのCGIプログラムの実行を禁止する。
  • 解答を見る
    正解:イ



    SC H21 春 午前Ⅱ 問12

    ルートキット(rootkit)を説明したものはどれか。

  • OSの中核であるカーネル部分の脆弱性を分析するツール
  • コンピュータがウイルスやワームに感染していないかをチェックするツール
  • コンピュータやルータのアクセス可能な通信ポートを外部から調査するツール
  • 不正侵入してOSなどに不正に組み込んだものを隠ぺいする機能をまとめたツール
  • 解答を見る
    正解:エ

    ルートキットの由来は、UNIXからきています。

    攻撃者であるクラッカーが、システムのあらゆる操作権限を持つ「root」ユーザの権限を奪った後も、不正侵入に気づかれないようするための「キット」ということから、ルートキットと呼ばれるようになりました。

    現在では、UNIXに限らず、不正侵入時にOSなどに組み込んだものを隠蔽するツール群のことを指す用語として使われています。



    SC H21 春 午前Ⅱ 問7

    リスク対策をリスクコントロールとリスクファイナンスに分けた場合, リスクファイナンスに該当するものはどれか。

  • システムが被害を受けた場合を想定して保険をかけた。
  • システム被害につながるリスクの発生を抑える対策に資金を投入した。
  • システムを復旧するのに掛かった費用を金融機関から借り入れた。
  • リスクが顕在化した場合のシステム被害を小さくする対策に資金を投入した。
  • 解答を見る
    正解:ア

    リスクコントロールは、リスクの発生や損失を最小限に抑えるために事前に行う対策のこと。
    リスクコントロールの種類には、リスクの発生・損失を抑える「リスク最適化(リスク低減)」、リスクそのものを持たない「リスク回避」などがある。

    リスクファイナンスは、リスクが発生した際に生じる損失に備えて行う資金的対策のこと。
    リスクファイナンスの種類には、保険に加入することで自社以外にもリスクを移す「リスク移転」、自己資金を蓄えて損失時の対応に備える「リスク保有」などがある。

  • リスク発生時の損失に備えて、保険をかけるのはリスクファイナンスに該当する。
  • リスクコントロールのリスク最適化(リスク低減)に該当する。
  • リスク対策に該当しない。
  • リスクコントロールのリスク最適化(リスク低減)に該当する。