<全16問>

SC H22 秋 午前Ⅱ 問1

シングルサインオンの説明のうち, 適切なものはどれか。

  • クッキーを使ったシングルサインオンの場合, サーバごとの認証情報を含んだクッキーをクライアントで生成し, 各サーバ上で保存、管理する。
  • クッキーを使ったシングルサインオンの場合, サーバごとの認証情報を含んだクッキーをクライアントで生成し, 各サーバ上で保存、管理する。
  • リバースプロキシを使ったシングルサインオンの場合, 認証対象の各Webサーバを異なるインターネットドメインにする必要がある。
  • リバースプロキシを使ったシングルサインオンの場合, ユーザ認証においてパスワードの代わりにディジタル証明書を用いることができる。
  • 解答を見る
    正解:エ



    SC H22 秋 午前Ⅱ 問2

    作成者によってディジタル署名された電子文書に, タイムスタンプ機関がタイムスタンプを付与した。
    この電子文書を公開する場合のタイムスタンプの効果のうち, 適切なものはどれか。

  • タイムスタンプを付与した時刻以降に, 作成者が, 電子文書の内容をほかの電子文書へコピーして流用することを防止する。
  • タイムスタンプを付与した時刻以降に, 第三者が, 電子文書の内容をほかの電子文書へコピーして流用することを防止する。
  • 電子文書が, タイムスタンプの時刻以前に存在したことを示し, 作成者が, 電子文書の作成を否認することを防止する。
  • 電子文書が, タイムスタンプの時刻以前に存在したことを示し, 作成者が, 電子文書の作成を否認することを防止する。
  • 解答を見る
    正解:ウ

    タイムスタンプ技術で実現できることは以下の2点です。

  • 完全性証明:タイムスタンプを付与したデータがある時刻以前に存在していたことを証明する。否認の防止に有効。
  • 存在証明:データの改ざんを検知できる。
  • 作成者であろうと、電子文書の内容コピーをタイムスタンプで防ぐことはできない。
  • 第三者であろうと、電子文書の内容コピーをタイムスタンプで防ぐことはできない。
  • 正しい記述です。
  • タイムスタンプで改ざんの検知はできるが、改ざんの防止はできない。


  • SC H22 秋 午前Ⅱ 問3

    FIPS 140-2を説明したものはどれか。

  • 暗号モジュールのセキュリティ要求事項
  • 情報セキュリティマネジメントシステムに関する認証基準
  • ディジタル証明書や証明書失効リストの標準仕様
  • 無線LANセキュリティ技術
  • 解答を見る
    正解:ア

    FIPS 140(Federal Information Processing Standardization 140)
    暗号モジュール(暗号処理を行うソフトウェア及びハードウエア)のセキュリティ要求事項を規定した米国連邦標準規格。FIPS 140-2の末尾の2は、規格のバージョンを表す。



    SC H22 秋 午前Ⅱ 問4

    米国NISTが制定したAESにおける鍵長の条件はどれか。

  • 128ビット, 192ビット, 256ビットから選択する。
  • 256ビット未満で任意に指定する。
  • 暗号化処理単位のブロック長より32ビット長くする。
  • 暗号化処理単位のブロック長より32ビット短くする。
  • 解答を見る
    正解:ア

    AES(Advanced Encryption Standard)とは、旧標準暗号方式DESの安全性が低下したため、米国の標準技術研局(NIST)が後継として採用した新標準暗号方式です。

    AESについては、以下を押さえておきましょう。

    • 米国標準の共通鍵暗号方式
    • 暗号や復号が高速である(これは共通鍵方式のメリット)
    • 使用する鍵長は128ビット・192ビット・256ビットの3つの中から選択できる。



    SC H22 秋 午前Ⅱ 問5

    JIS Q 27001:2006 における情報システムのリスクとその評価に関する記述のうち, 適切なものはどれか。

  • 脅威とは, 脆弱性が顕在化する確率のことであり, 情報システムに組み込まれた技術的管理策によって決まる。
  • 脆弱性とは, 情報システムに対して悪い影響を与える要因であり, 自然災害, システム障害, 人為的過失及び不正行為に大別される。
  • リスクの特定では, 脅威が情報資産の脆弱性に付け込み, 情報資産に与える影響を特定する。
  • リスク評価では, リスク回避とリスク低減の二つに評価を分類し, リスクの大きさを判断して対策を決める。
  • 解答を見る
    正解:ウ



    SC H22 秋 午前Ⅱ 問6

    DMZ上に公開しているWeb サーバで入力データを受け付け, 内部ネットワークのDBサーバにそのデータを蓄積するシステムがある。
    インターネットからDMZを経由してなされるDBサーバへの不正侵入対策の一つとして, DMZと内部ネットワークとの間にファイアウォールを設置するとき, 最も適切なものはどれか。

    SC H22 秋 午前Ⅱ 問6

  • DB サーバの受信ポート番号を固定し, WebサーバからDBサーバの受信ポート番号への通信だけをファイウォールで通す。
  • DMZからDBサーバへの通信だけをファイウォールで通す。
  • Webサーバの発信ポート番号は任意のポート番号を使用し, ファイウォールでは、いったん終了した通信と同じ発信ポート番号を使った通信を拒否する。
  • Webサーバの発信ポート番号を固定し, その発信ポート番号からの通信だけをファイウォールで通す。
  • 解答を見る
    正解:ア



    SC H22 秋 午前Ⅱ 問7

    ファイアウォールにおいて, 自ネットワークのホストへの侵入を防止する対策のうち, IPスプーフィング(spoofing)攻撃に有効なものはどれか。

  • 外部から入るTCPコネクション確率要求パケットのうち, 外部へのインターネットサービスの提供に必要なもの意外を阻止する。
  • 外部から入るUDPパケットのうち, 外部へのインターネットサービスの提供や利用したいインターネットサービスに必要なもの以外を阻止する。
  • 外部から入るパケットのあて先 IPアドレスが, インターネットとの直接の通信をすべきでない自ネットワークのホストのものであれば, そのパケットを阻止する。
  • 外部から入るパケットの送信元 IPアドレスが自ネットワークのものであれば, そのパケットを阻止する。
  • 解答を見る
    正解:エ

    IPスプーフィング
    送信元IPアドレスを詐称して、別のIPアドレスになりすます(スプーフィング)ことで、攻撃対象となるホストに侵入する攻撃手法。

    対策
    外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば,そのパケットを破棄する。



    SC H22 秋 午前Ⅱ 問8

    SQLインジェクション攻撃を防ぐ方法はどれか。

  • 入力から, 上位ディレクトリを指定する文字列 (../) を取り除く。
  • 入力中の文字がデータベースへの問合せや操作において特別な意味をもつ文字として解釈されないようにする。
  • 入力にHTML タグが含まれていたら, 解釈, 実行できないほかの文字列に置き換える。
  • 入力の全体の長さが制限を超えていたときは受け付けない。
  • 解答を見る
    正解:イ

  • ディレクトリトラバーサルの対策
  • SQLインジェクションの対策
  • クロスサイトスクリプティング(XSS)の対策
  • バッファオーバーフローの対策


  • SC H22 秋 午前Ⅱ 問9

    通信を要求したPCに対し, ARPの仕組みを利用して実現できる通信の可否の判定方法のうち, 最も適切なものはどれか。

  • PCにインストールされているソフトウェアを確認し, 登録されているソフトウェアだけがインストールされている場合に通信を許可する。
  • PCのMACアドレスを確認し, 事前に登録されているMACアドレスをもつ場合だけ通信を許可する。
  • PCのOSのパッチ適用状況を確認し, 最新のパッチが適用されている場合だけ通信を許可する。
  • PCのマルウェア対策ソフトウェアの定義ファイルを確認し, 最新になっている場合だけ通信を許可する。
  • 解答を見る
    正解:イ



    SC H22 秋 午前Ⅱ 問10

    暗号方式に関する記述のうち, 適切なものはどれか。

  • AESは公開鍵暗号方式, RSAは共通鍵暗号方式の一種である。
  • 共通鍵暗号方式では, 暗号化及び複合に使用する鍵が同一である。
  • 公開鍵暗号方式を通信内容の秘匿に使用する場合は, 暗号化鍵を秘密にして, 復号鍵を公開する。
  • ディジタル署名に公開鍵暗号方式が使用されることはなく, 共通鍵暗号方式が使用される。
  • 解答を見る
    正解:イ

  • 誤り。AESは共通鍵暗号方式、RSAは公開鍵暗号方式。
  • 正しい。共通鍵暗号方式の説明。
  • 誤り。通信内容の秘匿に使用する場合は、暗号化鍵を公開にして、復号鍵を秘密する。公開鍵で本人認証を行う場合、暗号化鍵を秘密にして、復号鍵を公開する。
  • 誤り。ディジタル署名には、公開鍵暗号方式が使用される。


  • SC H22 秋 午前Ⅱ 問12

    送信元を詐称した電子メールを拒否するために, SPF(Sender Policy Framework)の仕組みにおいて受信側が行うことはどれか。

  • Resent-Sender:, Resent-From:, Sender:, From: などのメールヘッダ情報の送信者メールアドレスを基に送信メールアカウントを検証する。
  • SMTPが利用するポート番号25の通信を拒否する。
  • SMTP通信中にやり取りされるMAIL FROMコマンドで与えられた送信ドメインと送信サーバのIPアドレスの適合性を検証する。
  • 付加されたディジタル署名を受信側が検証する。
  • 解答を見る
    正解:ウ

  • Sender ID の説明。
  • OP25B(Outbound Port 25 Blocking)の説明。
  • SPF(Sender Policy Framework)の説明。
  • S/MIME の説明。


  • SC H22 秋 午前Ⅱ 問13

    ISP管理下の動的IPアドレスを割り当てたPCからのスパムメール送信を防止する対策OP25Bはどれか。

  • 管理下の動的IPアドレスから, 管理外のグローバルIPアドレスへのPOP通信を拒否する。
  • 管理下の動的IPアドレスから, 管理外のグローバルIPアドレスへのSMTP通信を拒否する。
  • メールサーバで, 受信メールのあて先電子メールアドレスが管理外のドメインを指す場合, 電子メールの受信を拒否する。
  • メールサーバで, スパムメール受信時に送信元の電子メールアドレスをブラックリストに登録しておき, スパムメール送信元からの電子メールの受信を拒否する。
  • 解答を見る
    正解:イ

    OP25B(Outbound Port 25 Blocking)
    ISP管理下のメールサーバを経由せず、外部のSMTPサーバ(25番ポート)へ直接接続しようとするパケットをブロックすることです。

    一般的に電子メールの送信には、SMTP(25番ポート)を利用しています。
    SMTPには、ユーザー認証機能がないため、スパムメールを送信する業者(スパマー)がたくさんいます。スパマーは、ISP管理下のメールサーバを経由せず、メール送信先のメールサーバに直接接続しようとします。そこで多くのISPでは、スパムメール対策として、OP25B(Outbound Port 25 Blocking)を導入しています。



    SC H22 秋 午前Ⅱ 問14

    無線LANにおける通信の暗号化の仕組みに関する記述のうち, 適切なものはどれか。

  • EAP は, クライアントPCとアクセスポイントとの間で, あらかじめ登録した共通鍵による暗号化通信を実現する。
  • EES-IDは, クライアントPCごとの秘密鍵を定めたものであり, 公開鍵暗号方式による暗号化通信を実現する。
  • WEPでは, クライアントPCとアクセスポイントとの間で公開鍵暗号方式による暗号化通信を実現できる。
  • WPA2では, IEEE802.1Xの規格に沿って機器認証を行い, 動的に更新される暗号化鍵を用いて暗号化通信を実現できる。
  • 解答を見る
    正解:エ



    SC H22 秋 午前Ⅱ 問15

    SSLの利用に関する記述のうち, 適切なものはどれか。

  • SSLで使用する個人認証用のディジタル証明書は, ICカードなどに格納できるので, 格納場所を特定のPCに限定する必要はない。
  • SSLはWebサーバを経由した特定の利用者間の通信のために開発されたプロトコルであり, Webサーバ提供者への事前の利用者登録が不可欠である。
  • SSLを利用するWebサーバのディジタル証明書にはIPアドレスの組込みが必須なので, WebサーバのIPアドレスを変更する場合は, ディジタル証明書を再度取得する必要がある。
  • 日本国内では, SSLで使用する共通鍵の長さは, 128ビット未満に制限されている。
  • 解答を見る
    正解:ア

  • 個人認証用のディジタル証明書は、ICカードなどに格納できます。
  • 事前の利用者登録は必要ありません。
  • ディジタル証明書にIP アドレスは含まれません。
  • このような制限はない。


  • SC H22 秋 午前Ⅱ 問16

    WAF(Web Application Firewall)のブラックリスト又はホワイトリストの説明のうち, 適切なものはどれか。

  • ブラックリストは, 脆弱性のあるサイトのIPアドレスを登録したものであり, 該当する通信を遮断する。
  • ブラックリストは, 問題のある通信データパターンを定義したものであり, 該当する通信を遮断するか又は無害化する。
  • ホワイトリストは, 脆弱性のないサイトのFQDNを登録したものであり, 該当する通信を遮断する。
  • ホワイトリストは, 問題のある送信データをどのように無害化するかを定義したものであり, 該当するデータを無害化する。
  • 解答を見る
    正解:イ

  • ブラックリストにIPアドレスは登録しません。
  • 正しい記述です。
  • ホワイトリストにFQDNは登録しません。
  • どのように無害化するかは定義されていない。
  • WAFは、Webアプリケーションへの攻撃を検出して防御するツール。
    検出パターンには、「ブラックリスト」と「ホワイトリスト」の2つがあり、それぞれに長所と短所がある。

  • ブラックリスト
    通過させたくない不正な値または通信データパターンを定義する。
    ブラックリストの定義と一致した場合、不正な通信と判定する。

    長所:既知の攻撃を効率よく検出できる。
    短所:未知の攻撃は検出できない。新たな攻撃手法が発生した場合、随時更新する必要がある。

  • ホワイトリスト
    通過させて問題ない値または通信データパターンを定義する。
    ホワイトリストの定義と一致しなかった場合、不正な通信と判定する。

    長所:未知の攻撃を検出できる。
    短所:細かな設定が必要で高度なスキルを要する。Webアプリケーションの仕様変更が発生した場合、ホワイトリストの定義も見直しが必要となるため、運用コストが大きい。



  • SC H22 秋 午前Ⅱ 問19

    DNSSECの説明として, 適切なものはどれか。

    • DNSサーバへのDoS 攻撃を防止できる。
    • IPsecによる暗号化通信が前提となっている。
    • 代表的なDNSサーバの実装であるBINDの代替として使用する。
    • ディジタル署名によってDNS応答の正当性を確認できる。

    解答を見る
    正解:エ

    DNSSEC(DNS Security Extensions)は、DNSのセキュリティ拡張方式。
    DNSのレコードに公開鍵暗号方式によるディジタル署名を付加し、応答を受け取った側で、そのディジタル署名を検証する仕組み。ディジタル署名を検証することで、レコードの送信者の正当性と応答が改ざんされてないことを保証できる。
    DNSキャッシュポイズニングの対策に有効。