<全17問>

SC H23 秋 午前Ⅱ 問1

DNSSEC (DNS Security Extensions) の機能はどれか。

  • DNSキャッシュサーバの設定によって再帰的な問合せの受付範囲が最大限になるように拡張する。
  • DNSサーバから受け取るリソースレコードに対するディジタル署名を利用して,リソースレコードの送信者の正当性とデータの完全性を検証する。
  • ISPなどのセカンダリDNSサーバを利用して DNSコンテンツサーバを二重化することで名前解決の可用性を高める。
  • 共通鍵暗号技術とハッシュ関数を利用したセキュアな方法で,DNS更新要求が許可されているエンドポイントを特定し認証する。
  • 解答を見る
    正解:イ

    DNSSEC(DNS Security Extensions)は、DNSのセキュリティ拡張方式。
    DNSのレコードに公開鍵暗号方式によるディジタル署名を付加し、応答を受け取った側で、そのディジタル署名を検証する仕組み。ディジタル署名を検証することで、レコードの送信者の正当性と応答が改ざんされてないことを保証できる。
    DNSキャッシュポイズニングの対策に有効。



    SC H23 秋 午前Ⅱ 問2

    セキュアハッシュ関数 SHA-256 を用いて、32ビット、256ビット、2,048ビットの三つの長さのメッセージからハッシュ値を求めたとき、それぞれのメッセージのハッシュ値の長さはどれか。

    am2_h23_aki_q2

    解答を見る
    正解:ウ

    SHA-256(Secure Hash Algorithm 256 bit)は、ハッシュ関数であり、原文の長さに関係なく、256ビットのハッシュ値を算出する。



    SC H23 秋 午前Ⅱ 問3

    A社のWebサーバは,認証局で生成したWebサーバ用のディジタル証明書を使ってSSL/TLS通信を行っている。PCがA社のWebサーバにSSL/TLSを用いてアクセスしたときにPCが行う処理のうち,サーバのディジタル証明書を入手した後に,認証局の公開鍵を利用して行うものはどれか。

  • 暗号化通信に利用する共通鍵を生成し,認証局の公開鍵を使って暗号化する。
  • 暗号化通信に利用する共通鍵を認証局の公開鍵を使って復号する。
  • ディジタル証明書の正当性を認証局の公開鍵を使って検証する。
  • 利用者が入力して送付する秘匿データを認証局の公開鍵を使って暗号化する。
  • 解答を見る
    正解:ウ



    SC H23 秋 午前Ⅱ 問4

    SSLを使用して通信を暗号化する場合、SSL-VPN装置に必要な条件はどれか。

  • SSL-VPN装置は,FQDN 又は IPアドレスを含むディジタル証明書を組み込む必要がある。
  • SSL-VPN装置は,装置メーカが用意した機種固有のディジタル証明書を組み込む必要がある。
  • SSL-VPN装置は,装置メーカから提供される認証局を利用する必要がある。
  • 同一ドメイン内で複数拠点にSSL-VPN装置を設置する場合は,同一のディジタル証明書を利用する必要がある。
  • 解答を見る
    正解:ア



    SC H23 秋 午前Ⅱ 問5

    ISP"A"管理下のネットワークから別のISP"B"管理下の宛先へSMTPで電子メールを送信する。
    電子メール送信者がSMTP-AUTHを利用していない場合,スパムメール対策OP25Bによって遮断される電子メールはどれか。

  • ISP"A"管理下の固定IPアドレスから送信されたが,受信者の承諾を得ていない広告の電子メール
  • ISP"A"管理下の固定IPアドレスから送信されたが,送信元IPアドレスがDNSで逆引きできなかった電子メール
  • ISP"A"管理下の動的IPアドレスからISP"A"のメールサーバを経由して送信された電子メール
  • ISP"A"管理下の動的IPアドレスからISP"A"のメールサーバを経由せずに送信された電子メール
  • 解答を見る
    正解:エ

    一般的に電子メールの送信には、SMTP(25番ポート)を利用しています。

    SMTPには、ユーザー認証機能がないため、スパムメールを送信する業者(スパマー)がたくさんいます。スパマーは、ISP提供のメールサーバを経由せず、メール送信先のメールサーバに直接接続しようとします。

    そこで多くのISPでは、スパムメール対策として、OP25B(Outbound Port 25 Blocking)を導入しています。

    OP25Bとは、ISP提供のメールサーバを経由せず、外部のSMTPサーバ(25番ポート)へ直接接続しようとするパケットをブロックすることです。

    よって、正解はエです。

    ちなみに、正当な利用者が、ISP提供のメールサーバを経由せず、メール送信先のメールサーバに直接接続する場合は、ポート番号25の代わりに、サブミッションポート(587番ポート)を使用します。サブミッションポートの利用には、「SMTP AUTH」による認証が必要となるため、正当な利用者のみがメール送信を行うことができます。



    SC H23 秋 午前Ⅱ 問6

    100人の送受信者が共通鍵暗号方式で、それぞれ秘密に通信を行うときに必要な共通鍵の総数は幾つか。

  • 200
  • 4,950
  • 9,900
  • 10,000
  • 解答を見る
    正解:イ

    共通鍵暗号方式の鍵の総数の求め方:
    n(n-1)/2

    n=100なので、100(100 - 1)/2 = 4,950 となる。



    SC H23 秋 午前Ⅱ 問7

    IPアドレスに対するMAC アドレスの不正な対応関係を作り出す攻撃はどれか。

  • ARPスプーフィング攻撃
  • DNSキャッシュポイズニング攻撃
  • URLエンコーディング攻撃
  • バッファオーバフロー攻撃
  • 解答を見る
    正解:ア

    ARPスプーフィング攻撃は、攻撃者が対象ホストに偽装したARPパケットを応答し、ホストのARPキャッシュに不正な情報を作り出す攻撃。通信パケットが攻撃者のホストを経由するため、通信が盗聴されてしまう。



    SC H23 秋 午前Ⅱ 問8

    DNSサーバに格納されるネットワーク情報のうち,第三者に公表する必要のない情報が攻撃に利用されることを防止するための,プライマリDNSサーバの設定はどれか。

  • SOAレコードのシリアル番号を更新する。
  • 外部のDNSサーバにリソースレコードがキャッシュされる時間を短く設定する。
  • ゾーン転送をDNSサーバを登録する。
  • ラウンドロビン設定を行う。
  • 解答を見る
    正解:ウ



    SC H23 秋 午前Ⅱ 問9

    サービス不能攻撃(Dos)の一つであるSmurf攻撃の特徴はどれか。

  • ICMPの応答パケットを大量に発生させる。
  • TCP接続要求であるSYNパケットを大量に送信する。
  • サイズの大きいUDPパケットを大量に送信する。
  • サイズの大きい電子メールや大量の電子メールを送信する。
  • 解答を見る
    正解:ア

  • Smurf攻撃の説明。
  • SYN flood攻撃の説明。
  • UDP flood攻撃の説明。
  • メールボムの説明。


  • SC H23 秋 午前Ⅱ 問10

    表に示すテーブル X,Y へのアクセス要件に関して,JIS Q 27001:2006(ISO/IEC 27001:2005) が示す"完全性"の観点からセキュリティを脅かすおそれのあるアクセス権付与はどれか。

    テーブル アクセス要件
    X(注文テーブル) ① 調達課の利用者Aが注文データを入力するために,
    又は内容を容認するためにアクセスする。
    ② 管理課の利用者Bはアクセスしない。
    Y(仕入先マスタテーブル) ① 調達課の利用者Aが仕入先データを照会する目的だけで
    アクセスする。
    ② 管理課の利用者Bが仕入先データのマスタメンテナンス
    作業を行うためにアクセスする。
  • GRANT INSERT ON Y TO A
  • GRANT INSERT ON Y TO B
  • GRANT SELECT ON X TO A
  • GRANT SELECT ON X TO B
  • 解答を見る
    正解:ア

    "完全性"とは、データが正確かつ改ざんされていない状態のことです。

    データベースユーザーに対して、権限を付与するにはGRANT文を使用します。
    構文:GRANT {権限} ON {テーブル名} TO {ユーザ}

  • 利用者Aに対して、YテーブルのINSERT権限を付与しています。
    問題文に「利用者Aが仕入先データを照会する目的だけでアクセスする。」とありますので、不適切な権限付与です。完全性の観点からセキュリティ上問題があります。
  • 利用者Bに対して、YテーブルのINSERT権限を付与しています。
    問題文に「利用者Bが仕入先データのマスタメンテナンス作業を行うためにアクセスする」とあるので、適切な権限付与です。
  • 利用者Aに対して、XテーブルのSELECT権限を付与しています。
    「調達課の利用者Aが注文データを入力するために,又は内容を容認するためにアクセスする」とあるので、適切な権限付与です。
  • 利用者Bに対して、XテーブルのSELECT権限を付与しています。
    利用者BはXテーブルにアクセスしないため、不適切な権限付与ですが、SELECT権限を付与しても、データの改ざんはできないため、完全性の観点からいうとセキュリティ上問題ありません。


  • SC H23 秋 午前Ⅱ 問11

    テンペスト(TEMPEST)攻撃を説明したものはどれか。

  • 故意に暗号化演算を誤動作させて正しい処理結果との差異を解析する。
  • 処理時間の差異を計測し解析する。
  • 処理中に機器から放射される電磁波を観測し解析する。
  • チップ内の信号線などに探針を直接当て,処理中のデータを観測し解析する。
  • 解答を見る
    正解:ウ

    テンペスト攻撃とは、電磁波盗聴攻撃のこと。
    ディスプレイなどから放射される微弱な電磁波を観測し、解析することで情報を盗み見る攻撃です。
    対策としては、電磁波を遮断する製品を使用したり、電磁波を遮断可能な部屋に機器を設置することで対抗します。



    SC H23 秋 午前Ⅱ 問12

    ダウンローダ型ウイルスがPCに浸入した場合に,インターネット経由でほかのウィルスがダウンロードされることを防ぐ有効な対策はどれか。

  • URLフィルタを用いてインターネット上の不正Webサイトへの接続を遮断する。
  • インターネットから内部ネットワークに向けた要求パケットによる不正浸入行為をIPSで破棄する。
  • スパムメール対策サーバでインターネットからのスパムメールを拒否する。
  • メールフィルタで他サイトへの不正メール発信を遮断する。
  • 解答を見る
    正解:ア

    ダウンローダ型ウイルス
    インターネット経由で他のウイルスをダウンロードして実行するタイプのウイルス。
    ダウンローダー型ウイルス単独でおかしな挙動はしないので、ウイルス対策ソフトでも検出されにくい。
    URLフィルタを用いてインターネット上の不正Webサイトへの接続を遮断する対策が有効。



    SC H23 秋 午前Ⅱ 問13

    ルートキット(rootkit)を説明したものはどれか。

  • OSの中核であるカーネル部分の脆弱性を分析するツール
  • コンピュータがウィルスやワームに感染していないことをチェックするツール
  • コンピュータやルータのアクセス可能な通信ポートを外部から調査するツール
  • 不正侵入してOSなどに不正に組み込んだものを隠蔽する機能をまとめたツール
  • 解答を見る
    正解:エ

    ルートキットの由来は、UNIXからきています。

    攻撃者であるクラッカーが、システムのあらゆる操作権限を持つ「root」ユーザの権限を奪った後も、不正侵入に気づかれないようするための「キット」ということから、ルートキットと呼ばれるようになりました。

    現在では、UNIXに限らず、不正侵入時にOSなどに組み込んだものを隠蔽するツール群のことを指す用語として使われています。



    SC H23 秋 午前Ⅱ 問14

    スパムメールの対策であるDKIM(DomainKeys Identified Mail)の説明はどれか。

  • 送信側メールサーバでディジタル署名を電子メールのヘッダに付与して,受信側メールサーバで検証する。
  • 送信側メールサーバで利用者が認証されたとき,電子メールの送信が許可される。
  • 電子メールのヘッダや配送経路の情報から得られる送信元情報を用いて,メール送信元の IPアドレスを検証する。
  • ネットワーク機器で,内部ネットワークから外部のメールサーバのTCPポート25番への直接の通信を許可する。
  • 解答を見る
    正解:ア

  • DKIMの説明。
  • SMTP-AUTHの説明。
  • Sender IDの説明。
  • OP25Bの説明。


  • SC H23 秋 午前Ⅱ 問15

    IPsecのAHに関する説明のうち,適切なものはどれか。

  • IPパケットを暗号化する対象部分によって,トランスポートモード,トンネルモードの方式がある。
  • 暗号化アルゴリズムや暗号化鍵のライフタイムが設定される管理テーブルで,期間を過ぎると新しいデータに更新される。
  • 暗号化アルゴリズムを決定し,暗号化鍵を動的に生成する鍵交換プロトコルで,暗号化通信を行う。
  • データの暗号化は行わず,SPI,シーケンス番号,認証データを用い,完全性の確保と認証を行う。
  • 解答を見る
    正解:エ

    AH(Authentication Header、認証ヘッダ)
    通信データの認証機能を持ち、改ざんを検知できる。
    データの暗号化までは行わないため、盗聴の防止はできない。



    SC H23 秋 午前Ⅱ 問16

    Webアプリケーションの脆弱性を悪用する攻撃手法のうち,Perlのsystem関数やPHPのexec関数など外部プログラムの呼出しを可能にするための関数を利用し,不正にシェルスクリプトや実行形式のファイルを実行させるものはどれか。

  • HTTP ヘッダインジェクション
  • OSコマンドインジェクション
  • クロスサイトリクエストフォージェリ
  • セッションハイジャック
  • 解答を見る
    正解:イ



    SC H23 秋 午前Ⅱ 問25

    ISMSにおけるリスク分析手法の一つである"詳細リスク分析"で行う作業はどれか。

  • 情報セキュリティポリシの作成
  • セーフガードの選択
  • リスクの評価
  • リスクの容認
  • 解答を見る
    正解:ウ