<全16問>

SC H24 春 午前Ⅱ 問1

クリックジャッキング攻撃に該当するものはどれか。

  • Webアプリケーションの脆弱性を悪用し,Webサーバに不正なリクエストを送ってWebサーバからのレスポンスを二つに分割させることによって,利用者のブラウザのキャッシュを偽造する。
  • Webページのコンテンツ上に透明化した標的サイトのコンテンツを配置し、利用者が気づかないうちに標的サイト上で不正操作を実行させる。
  • ブラウザの表示機能を利用し,ブラウザの非活性なタブの中身を,利用者が気づかないうちに偽ログインページに書き換えて,それを操作させる。
  • 利用者のブラウザの設定を変更することによって,利用者のWebページの閲覧履歴やパスワードなどの機密情報を盗み出す。
  • 解答を見る
    正解:イ

  • HTTPレスポンス分割攻撃の説明。
  • クリックジャッキング攻撃の説明。
  • タブナビング(Tabnabbing)攻撃の説明。
  • ブラウザハイジャッカーの説明。


  • SC H24 春 午前Ⅱ 問2

    作成者によってディジタル署名された電子文書に,タイムスタンプ機関がタイムスタンプを付与した。
    この電子文書を公開する場合のタイムスタンプの効果のうち,適切なものはどれか。

  • タイムスタンプを付与した時刻以降に,作成者が,電子文書の内容をほかの電子文書へコピーして流用することを防止する。
  • タイムスタンプを付与した時刻以降に,第三者が,電子文書の内容をほかの電子文書へコピーして流用することを防止する。
  • 電子文書が,タイムスタンプの時刻以前に存在したことを示し,作成者が,電子文書の作成を否認することを防止する。
  • 電子文書が,タイムスタンプの時刻以前に存在したことを示し,第三者が,電子文書を改ざんすることを防止する。
  • 解答を見る
    正解:ウ

    タイムスタンプ技術で実現できることは以下の2点です。

  • 完全性証明:タイムスタンプを付与したデータがある時刻以前に存在していたことを証明する。否認の防止に有効。
  • 存在証明:データの改ざんを検知できる。
  • 作成者であろうと、電子文書の内容コピーをタイムスタンプで防ぐことはできない。
  • 電子文書の内容コピーをタイムスタンプで防ぐことはできない。
  • 正しい記述です。
  • タイムスタンプで改ざんの検知はできるが、改ざんの防止はできない。


  • SC H24 春 午前Ⅱ 問3

    ディジタル証明書に関する記述のうち,適切なものはどれか。

  • S/MIMEやTLSで利用するディジタル証明書の規格は,ITU-T X.400で規定されている。
  • ディジタル証明書は,SSL/TLSプロトコルにおいて通信データの暗号化のための鍵交換や通信相手の認証に利用される。
  • 認証局が発行するディジタル証明書は, 申請者の秘密鍵に対して認証局がディジタル署名したものである。
  • ルート認証局は,下位層の認証局の公開鍵にルート証明書の公開鍵でディジタル署名したディジタル証明書を発行する。
  • 解答を見る
    正解:イ

  • ディジタル証明書の規格は、ITU(国際電気通信連合)が策定したX.509で規定されている。
  • 正しい記述です。
  • 認証局が発行するディジタル証明書は、申請者の公開鍵に対して認証局がディジタル署名したものである。
  • ディジタル証明書は階層構造になっており、下位層の認証局の公開鍵に上位層の認証局の秘密鍵でディジタル署名したディジタル証明書を発行することで、自らの正当性を証明する。


  • SC H24 春 午前Ⅱ 問4

    米国NISTが制定した,AES における鍵長の条件はどれか。

  • 128ビット,192ビット,256ビットから選択する。
  • 256ビット未満で任意に指定する。
  • 暗号化処理単位のブロック長より32ビット長くする。
  • 暗号化処理単位のブロック長より32ビット短くする。
  • 解答を見る
    正解:ア

    AES(Advanced Encryption Standard)とは、旧標準暗号方式DESの安全性が低下したため、米国の標準技術研局(NIST)が後継として採用した新標準暗号方式です。

    AESについては、以下を押さえておきましょう。

    • 米国標準の共通鍵暗号方式
    • 暗号や復号が高速である(これは共通鍵方式のメリット)
    • 使用する鍵長は128ビット・192ビット・256ビットの3つの中から選択できる。



    SC H24 春 午前Ⅱ 問5

    コンティンジェンシープランにおける留意点はどれか。

  • 企業のすべてのシステムを対象とするのではなく,システムの復旧の重要性と緊急性を勘案して対象を決定する。
  • 災害などへの対応のために,すぐに利用できるよう,バックアップデータをコンピュータ室内又はセンタ内に保存しておく。
  • バックアップの対象は,機密情報の中から機密度を勘案して選択する。
  • 被害のシナリオを作成し,これに基づく"予防策定手順"を策定する。
  • 解答を見る
    正解:ア

    コンティンジェンシープランとは、システム障害など不測の事態に備え、緊急時の対応策や行動手順を計画することです。
    コンティンジェンシーは、「偶発事件、不慮の出来事」という意味を持つ。

  • 正しい記述です。企業のすべてのシステムを対象とするのは規模が大きく難しいため、システムの復旧の重要性や緊急性などを考え合わせて対象を決定する方が効率的。
  • コンティンジェンシープランとは無関係の対応。そもそもバックアップデータは遠隔地に保存すべき。
  • コンティンジェンシープランとは無関係の対応。
  • コンティンジェンシープランは、"緊急時"の手順は策定するが、"予防"の手順は策定しない。


  • SC H24 春 午前Ⅱ 問6

    JIS Q 27001:2006における情報システムのリスクとその評価に関する記述のうち, 適切なものはどれか。

  • 脅威とは,脆弱性が顕在化する源のことであり,情報システムに組み込まれた技術的管理策によって脅威のレベルと発生の可能性が決まる。
  • 脆弱性とは,情報システムに対して悪い影響を与える要因のことであり,自然災害,システム障害,人為的過失及び不正行為に大別される。
  • リスクの特定では,脅威が情報資産の脆弱性に付け込むことによって,情報資産に与える影響を特定する。
  • リスク評価では,リスク回避とリスク低減の二つに評価を分類し,リスクの大きさを判断して対策を決める。
  • 解答を見る
    正解:ウ

    JIS Q 27001
    「情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項」
    ISMS適合性評価制度の認証基準でもある。

    JIS(Japanese Industrial Standards)は、日本工業規格。
    JISの後ろのローマ字1文字はJISの部門を表す。Qは管理システム。
    ":2006"は、2006年に発行されたことを表している。



    SC H24 春 午前Ⅱ 問7

    ファイアウォールにおいて,自ネットワークのホストへの侵入を防止する対策のうち,IPスプーフィング(spoofing)攻撃の対策について述べたものはどれか。

  • 外部から入るTCPコネクション確立要求パケットのうち,外部へのインターネットサービスの提供に必要なもの以外を破棄する。
  • 外部から入るUDPパケットのうち,外部へのインタネットサービスの提供や利用したいインターネットサービスに必要なもの以外を破棄する。
  • 外部から入るパケットのあて先 IP アドレスが,インターネットとの直接の通信をすべきでない自ネットワークのホストのものであれば,そのパケットを破棄する。
  • 外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば,そのパケットを破棄する。
  • 解答を見る
    正解:エ

    IPスプーフィング
    送信元IPアドレスを詐称して、別のIPアドレスになりすます(スプーフィング)ことで、攻撃対象となるホストに侵入する攻撃手法。

    対策
    外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば,そのパケットを破棄する。



    SC H24 春 午前Ⅱ 問8

    サイドチャネル攻撃の手法であるタイミング攻撃の対策として,最も適切なものはどれか。

  • 演算アルゴリズムに対策を施して,演算内容による処理時間の差異が出ないようにする。
  • 故障を検出する機構を設けて,検出したら機密情報を破棄する。
  • コンデンサを挿入して,電力消費量が時間的に均一となるようにする。
  • 保護層を備えて,内部のデータが不正に書き換えられないようにする。
  • 解答を見る
    正解:ア

    サイドチャネル攻撃とは、暗号処理装置を物理的手段(処理時間や装置から発する電磁波など)で観察・測定することで、装置内部の機密情報を取得する攻撃手法です。

    サイドチャネル攻撃には様々な種類があり、「タイミング攻撃」や「電力解析攻撃」、「電磁波解析攻撃」(テンペストともいう)などがあります。

    タイミング攻撃とは、暗号化や復号処理にかかる処理時間を測定し、処理時間の違いを統計的に分析して、暗号鍵の解読を行う攻撃手法です。

    対応策として、演算アルゴリズムに対策を施して、演算内容による処理時間の差異が出ないようにします。



    SC H24 春 午前Ⅱ 問9

    PCIデータセキュリティ基準(PCI DSS Version 2.0)の要件のうち,詳細要件の選択肢として,WAFの導入を含むものはどれか。

  • 要件1:カード会員データを保護するために,ファイアウォールをインストールして構成を維持すること
  • 要件3:保存されるカード会員データを保護すること
  • 要件6:安全性の高いシステムとアプリケーションを開発し,保守すること
  • 要件7:カード会員データへのアクセスを,業務上必要な範囲内に制限すること
  • 解答を見る
    正解:ウ

    PCI DSS(Payment Card Industry Data Security Standard)
    クレジットカード情報および取引情報を安全に保護するために策定されたクレジットカード業界における国際的なセキュリティ基準です。
    JCB、American Express、Discover、マスターカード、VISAの5社が共同で策定。

    PCI DSS Version 2.0では、12の要件が規定されていて、要件6.6にWAFの導入に関する記述がある。

    • PCI DSS 要件6.6(抜粋)
      一般公開されているWebアプリケーションの手前にWebアプリケーションファイアウォールをインストールする



    SC H24 春 午前Ⅱ 問10

    DMZ上のコンピュータがインターネットからのpingに応答しないようにファイアウォールのセキュリティルールを定めるとき,“通過禁止"に設定するものはどれか。

  • ICMP
  • TCP及びUDPのポート番号53
  • TCPのポート番号21
  • UDPのポート番号123
  • 解答を見る
    正解:ア

  • pingは、ICMPのネットワーク診断機能です。
  • TCP及びUDPのポート番号53は、DNSで使用するポートです。
  • TCPのポート番号21は、FTPの制御用ポートです。FTPはデータ転送用(TCPポート番号20)と制御用(TCPポート番号21)の2つのポートを使用します。
  • UDPのポート番号123は、NTPで使用するポートです。


  • SC H24 春 午前Ⅱ 問11

    有料の公衆無線LANサービスにおいて実施される,ネットワークサービスの不正利用に対するセキュリティ対策と目的はどれか。

  • 利用者ごとに異なるSSIDを割当てることによって,利用者PCへの不正アクセスを防止する。
  • 利用者ごとに異なるサプリカントを割当てることによって,利用者PCへの不正アクセスを防止する。
  • 利用者ごとに異なるプライベートIPアドレスを割り当てることによって,第三者によるアクセスポイントへのなり済ましを防止する。
  • 利用者ごとに異なる利用者IDを割り当て,パスワードを設定することによって,契約者以外の利用者によるアクセスを防止する。
  • 解答を見る
    正解:エ

  • SSID(Service Set Identifier)は、無線LANにおけるアクセスポイントに割り当てる識別子。利用者ごとに割り当てることはできない。
  • サプリカントは、クライアント側で認証要求するための機器またはソフトウェアのこと。利用者ごとに異なるサプリカントを割り当てても、不正アクセスの防止とはならない。
  • 無線LANのユーザ認証で、プライベートIPアドレスは用いられない。
  • 一般的なセキュリティ対策で、正しい記述です。


  • SC H24 春 午前Ⅱ 問12

    送信元を詐称した電子メールを拒否するために,SPF(Sender Policy Framework)の仕組みにおいて受信側が行うことはどれか。

  • Resent-Sender:,Resent-From:、Sender:,From:などのメールヘッダ情報の送信者メールアドレスを基に送信メールアカウントを検証する。
  • SMTPが利用するポート番号 25の通信を拒否する。
  • SMTP通信中にやり取りされるMAIL FROMコマンドで与えられた送信ドメインと送信サーバの IPアドレスの適合性を検証する。
  • 付加されたディジタル署名を受信側が検証する。
  • 解答を見る
    正解:ウ

  • Sender ID の説明。
  • OP25B(Outbound Port 25 Blocking)の説明。
  • SPF(Sender Policy Framework)の説明。
  • S/MIME の説明。


  • SC H24 春 午前Ⅱ 問13

    迷惑メールの検知手法であるベイジアンフィルタリングの説明はどれか。

  • 信頼できるメール送信元を許可リストに登録しておき,許可リストにない送信元からの電子メールは迷惑メールと判定する。
  • 電子メールが正規のメールサーバから送信されていることを検証し,迷惑メールであるかどうかを判定する。
  • 電子メールの第三者中継を許可しているメールサーバを登録したデータベースに掲載されている情報を基に,迷惑メールであるかどうかを判定する。
  • 迷惑メールを利用者が振り分けるときに,迷惑メールの特徴を自己学習し,迷惑メールであるかどうかを統計的に解析して判定する。
  • 解答を見る
    正解:エ

  • メールのホワイトリストの説明。
  • 送信ドメイン認証の説明です。送信ドメイン認証の技術には、SPF、Sender ID、DKIMなどがあります。
  • DSBL(Distributed Sender Blackhole List)の説明。DSBLとは、電子メールの第三者中継を許可しているメールサーバ等のIPアドレスを登録しているブラックリストです。
  • ベイジアンフィルタリングの説明です。
    ベイズ理論という手法を用いて、過去の迷惑メールから特徴を学習し、迷惑メールであるかどうかを統計的に解析して判定します。


  • SC H24 春 午前Ⅱ 問14

    DNSの再帰的な問合せを使ったサービス不能攻撃(DNS amp)の踏み台にされることを防止する対策はどれか。

  • キャッシュサーバとコンテンツサーバに分離し,インターネット側からキャッシュサーバに問合せできないようにする。
  • 問合せされたドメインに関する情報をWhoisデータベースで確認する。
  • 一つのDNSレコードに複数のサーバのIPアドレスを割り当て,サーバへのアクセスを振り分けて分散させるように設定する。
  • 他のDNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性をディジタル署名で確認するように設定する。
  • 解答を見る
    正解:ア

    DNS ampとは、DNSキャッシュサーバの再帰的な問合せを悪用したDDoS攻撃の一種で、パケットを増幅(amplify)させることから、DNS ampと呼ばれています。

    DNSキャッシュサーバがインターネット側から利用できる状態の場合、踏み台にされる危険性があります。対応策としては、DNSのキャッシュサーバとコンテンツサーバを分離し、インターネット側からキャッシュサーバに問合せできないようにします。
    ちなみにコンテンツサーバは、自分が管理しているゾーン情報のみを応答するDNSサーバのことです。



    SC H24 春 午前Ⅱ 問15

    SMTP-AUTHを使ったメールセキュリティ対策はどれか。

  • ISP管理下の動的IPアドレスからの電子メール送信について,管理外ネットワークのメールサーバへSMTP通信を禁止する。
  • PCからの電子メール送信について,POP接続で利用者認証済の場合にだけ許可する。
  • 通常のSMTPとは独立したサブミッションポートを使用して,PCからメールサーバへの電子メール送信時の認証を行う。
  • 電子メール送信元のサーバについてDNSの逆引きが成功した場合にだけ,電子メール受信を許可する。
  • 解答を見る
    正解:ウ

  • OP25B(Outbound Port 25 Blocking)の説明。
  • POP before SMTPの説明。
  • SMTP-AUTHを使ったメールセキュリティ対策です。
  • DNSの逆引きとは、IPアドレスからドメイン名に変換すること。SMTP-AUTHとは関係ないので、誤り。
  • 【解説】
    一般的に電子メールの送信には、SMTP(25番ポート)を利用しています。

    SMTPには、ユーザー認証機能がないため、スパムメールを送信する業者(スパマー)がたくさんいます。スパマーは、ISP提供のメールサーバを経由せず、メール送信先のメールサーバに直接接続しようとします。

    そこで多くのISPでは、スパムメール対策として、OP25B(Outbound Port 25 Blocking)を導入しています。

    OP25Bとは、ISP提供のメールサーバを経由せず、外部のSMTPサーバ(25番ポート)へ直接接続しようとするパケットをブロックすることです。

    正当な利用者が、ISP提供のメールサーバを経由せず、メール送信先のメールサーバに直接接続する場合は、ポート番号25の代わりに、サブミッションポート(587番ポート)を使用します。

    サブミッションポートの利用には、「SMTP-AUTH」による認証が必要となるため、正当な利用者のみがメール送信を行うことができます。



    SC H24 春 午前Ⅱ 問16

    SQL インジェクション対策について、Web アプリケーションの実装における対策と Web アプリケーションの実装以外の対策の組合せとして、適切なものはどれか。

    Web アプリケーションの
    実装における対策
    Webアプリケーションの
    実装以外の対策
    Web アプリケーション中でシェルを起動しない。 chroot 環境でWebサーバを実行する。
    セッション ID を複雑なものにする。 SSL によって通信内容を秘匿する。
    バインド機構を利用する データベースのアカウントをもつデータベースアクセス権限を必要最小限にする。
    パス名やファイル名をパラメタとして受け取らないようにする。 重要なファイルを公開領域に置かない。

    解答を見る
    正解:ウ

    • OSコマンドインジェクションの対策。
    • セッションハイジャックの対策。
    • SQLインジェクションの対策。
    • ディレクトリトラバーサルの対策。

    SQLインジェクション対策は、午後試験でも問われます。選択肢がなくても答えられるようにしておきたい。