本サイトで公開している午後問題 一問一答のアーカイブです。
まだストックは少ないですが、少しずつ追加していく予定です。

SC H23 秋 午後Ⅱ 問2 設問3 (4) 改題

ログを保存する際は, 一度データを書き込むと再書込みが不可能な磁気テープ媒体(以下, WORM(Write Once Read Many)テープという)に保存している。

ログの保存にWORMテープを用いる目的を,15字以内で答えよ。

APIの解答例
「ログの改ざん防止のため」(11字)

一度しかデータを書き込めないとくれば、改ざん防止。定番問題です。


SC H24 春 午後Ⅰ 問3 設問4 (1) 改題

M社は、保険システムの開発をソフトウェア開発会社のZ社に委託している。

M社は情報漏えい対策として、Z社の保守チームが行う作業の操作ログを取得し、作業内容とは無関係な機密ファイルの操作(以下、機密ファイル操作違反という)を検知する仕組みを整える対策方針を立てた。

更に機密ファイル操作違反を抑止することを効果的に行うためには,M社は何を実施すべきか。40字以内で述べよ。

APIの解答例
「Z社の保守チームに,操作ログを取得し,監視していることを伝える。」(32字)

通知するだけで抑止効果があります。これは定番問題。


SC H24 秋 午後Ⅰ 問2 設問2 (1) 改題

H社では、顧客情報を管理する顧客情報管理システムを利用している。
個人情報漏えいにつながるような不審な利用がないか、その予兆も含めて、ログを分析して確認するモニタリングを実施することにした。
モニタリングの実施を社内に通達する場合、どのような効果があると考えられるか。20字以内で述べよ。

APIの解答例
「悪意ある行動を抑止する効果」(13字)

通知するだけで抑止効果があります。これは定番問題。


SC H23 特別 午後Ⅰ 問2 設問5 改題

C社では、ソフトウェアの保有ライセンスを管理するためのツール(以下、管理ツールという)がある。現状、管理ツール利用者自身が保有ライセンスを登録できる。しかし、登録された保有ライセンスが購入された保有ライセンス情報であるかどうかはC社で確認していない。このため、T部長は、管理ツール利用者は自分自身が利用するソフトウェアの保有ライセンスを登録できないようにする運用方針を提案した。

T部長が提案した運用方針が,保有ライセンス情報の不正登録の対策となる理由は何か。30字以内で述べよ。

APIの解答例
「ライセンスの利用者と登録者の間で相互けん制が働くから。」(27字)

相互けん制による不正防止は定番問題。


SC H23 秋 午後Ⅰ 問4 設問3 (3) 改題

Y社では、事務担当者が会計連携データをUSBメモリに保存して経理部まで運搬している。しかし、運搬中のUSBメモリ内のデータ保護対策がとれていないため、悪意を持った事務担当者による不正行為を防止出来ない。
このためにどのような管理的対策が効果的か。30字以内で述べよ。

APIの解答例
「USBメモリに関わる作業の複数人化による相互けん制」(25字)

相互けん制による不正防止は定番問題。


SC H24 秋 午後Ⅰ 問2 設問2 (2) 改題

H社では、顧客情報を管理する顧客情報管理システムを利用している。
個人情報漏えいにつながるような不審な利用がないか、その予兆も含めて、ログを分析して確認するモニタリングを実施することにした。
モニタリング条件を社内に開示する場合、セキュリティ上の懸念が発生する。
モニタリング条件の開示によるセキュリティ上の懸念とは何か。40字以内で述べよ。

APIの解答例
「モニタリング条件を回避するようにして悪意ある行動をとられること」(31字)


SC H22 秋 午後Ⅱ 問1 設問2 (1) 改題

本番稼働直前の脆弱性テストだけで安全なWebアプリケーションを開発しようとする計画には、プロジェクトマネジメント上、問題がある。
どのような問題が発生するか35字以内で述べよ。

APIの解答例
「修正に時間がかかり,本番稼働が延期となる可能性があるから」(28字)


SC H23 特別 午後Ⅰ 問3 設問2 改題

E社では、社外に持ち出し可能なノートパソコン(以下、貸与PCとする)が存在する。
情報システム部のZ君は、業務情報持ち出しによる情報漏えいリスクの対策として、貸与PCのHDD暗号化を行った。
また社員に対して、貸与PCの持ち出しに関する注意点を周知した。その注意点を15字以内で具体的に述べよ。

APIの解答例
「移動中は肌身離さず持つ。」(12字)

午後は常識問題も出題されます。深読みはせず、シンプルに答えましょう。


SC H24 秋 午後Ⅰ 問3 設問3 (1) 改題

ある日、Y社のXという人からZ社営業部のA君に対して、“あなたが差出人の不審なメールが届いた。そのメールを添付したので、確認してほしい”という問合せメールが届いた。

A君が添付されていたメールを開いて確認すると、確かにA君が差出人になっていたが、心当たりのないものだった。
そのメールには添付ファイルはなかったが、本文に社外サイトへのリンクが記入されていた。A君がリンクをたどったところ、やはり心当たりのない社外サイトであった。A君はこの事態をセキュリティデスクに通報した。

A君の対応のうち、添付されていたメールを不用意に開いた点以外に不適切だった点を20字以内で述べよ。

APIの解答例
「メール中の社外サイトのリンクを辿った」(18字)

リンク先のサイトでウイルスに感染する危険性があります。
怪しいリンクは容易にクリックしてはいけません。


SC H24 春 午後Ⅰ 問4 設問4 改題

K社のT主任は、悪意あるプログラムを電子メールの添付ファイルとして送付してくる攻撃に注意が必要であると考えている。

特に、①メール本文やタイトルにK社に関連した内容が含まれるなど高度な偽装が施されており、かつ、②新たに作成された悪意あるプログラムを含んだファイルが添付されている、いわゆる標的型攻撃メールに対して危機感を持っている。

下線①及び下線②の特徴を持った標的型攻撃メールを受信した場合の被害を回避するためには、従業員にどのような指導を行えばよいか。添付ファイル付きメールの取扱いについて指導すべき内容を40字以内で述べよ。

APIの解答例
「添付ファイルの安全性が確認できない場合,電話などで送信者に送信の事実を確認する。」(40字)

以下は管理人が考えた解答です。これでも正解はもらえると思います。

「不審な添付ファイルは開かず、組織内のセキュリティ対策担当者に報告し、指示を仰ぐ。」(40字)


SC H24 春 午後Ⅰ 問4 設問1 改題

K社のT主任は、悪意あるプログラムを電子メールの添付ファイルとして送付してくる攻撃に注意が必要であると考えている。

特に、①メール本文やタイトルにK社に関連した内容が含まれるなど高度な偽装が施されており、かつ、②新たに作成された悪意あるプログラムを含んだファイルが添付されている、いわゆる標的型攻撃メールに対して危機感を持っている。

下線①及び下線②のような細工をする目的を、下線①について40字以内、下線②について30字以内で述べよ。

APIの解答例
下線①:「メール受信者に正常なメールと誤認識させて添付ファイルを開かせるため」(33字)

シンプルに考えれば答えられる問題です。

下線②:「ウイルス対策ソフトで検出されることを防ぐため」(22字)

標的型攻撃メールは、ウイルス対策ソフトで検出されないように攻撃者がプログラムを細工していることが多い。


SC H24 秋 午後Ⅱ 問2 設問2 (1) 改題

情報システム部のC君は、無線LANの不正利用対策として、③ノートPCのネットワークインターフェースがもつMACアドレスによるフィルタリングや、無線LAN用のアクセスポイントが定期的に送信しているビーコンを停止する④SSIDのステルス化などの対策を検討している。

下線③と下線④は、無線LANの不正利用対策として必ずしも効果が得られない。その理由を、それぞれ20字以内で述べよ。

APIの解答例
③:「MACアドレスは偽装可能だから」(15字)

④:「SSIDは傍受可能だから」(12字)


SC H24 秋 午後Ⅱ 問1 設問1 (1) 改題

J社が運営しているαサイトで、サービス妨害の脆弱性(以下、DoS脆弱性という)が検出された。

DoS脆弱性は、数か月前に公表された脆弱性であった。
J社では脆弱性情報を入手しておらず、Webサーバで使用しているミドルウェアに修正プログラムを適用していなかった。

J社のQ主任がαサイトのサイト担当者に修正プログラムを適用するよう依頼したところ、
①修正プログラムの適用にはリスクがあるので、適用前に実施しておくべき作業がある”という回答であった。

本文中の下線①(修正プログラムの適用にはリスクがある)の修正プログラムの適用に際して考慮すべきリスクは何か。20字以内で述べよ。

APIの解答例
「サーバが正常に動作しなくなるリスク」(17字)


SC H23 特別 午後Ⅱ 問2 設問3 (1) 改題

Y社は、開発系プラットフォーム上でWebアプリケーションの脆弱性検査を実施した。
Webアプリケーションの脆弱性検査の主な検査項目と内容を以下の表に示す。

検査項目 検査する脆弱性の内容
( a ) HTML出力文字列のエスケープ処理が不適切な場合、攻撃者の作成した不正なリンクによってWebサイトを閲覧した利用者のブラウザ上でスクリプトが実行される脆弱性。
( b ) 利用者のブラウザによって、利用者の意図しないリクエストがWebサーバに送信され、ログイン中の利用者だけ許可されたWebサイトの機能が勝手に実行される脆弱性
HTTPヘッダインジェクション 外部から渡されたパラメタをレスポンスのHTTPヘッダに反映する場合、不正なヘッダを生成されたり、レスポンスボディに不正な文字列を挿入されたりする脆弱性
SQLインジェクション・OSコマンドインジェクション 入力フォームのパラメタなどへの不正な文字列挿入によって、SQL文やOSのコマンドが不正に実行される脆弱性
パス(ディレクトリ)トラバーサル パス文字列の処理が不適切な場合、攻撃者の不正な入力によって、管理者がアクセスを想定していないファイルにアクセスされる脆弱性

表中の( a ),( b )に入れる,脆弱性を表す適切な用語を答えよ。

APIの解答例
a :「クロスサイトスクリプティング」
b :「クロスサイトリクエストフォージェリ」

Webアプリケーションの脆弱性は、午後試験によく出題される。それぞれの脆弱性の特徴と対策は理解しておきたい。


SC H25 春 午後Ⅱ 問2 設問5 (1)

TSA(Time Stamping Authority)が発行するタイムスタンプを付与すれば, タイムスタンプの有効期間中は, 電子ファイルが( e )及び( f )を証明可能である。

本文中の( e ),( f )に入れる証明可能なことを, それぞれ30字以内で述べよ。

APIの解答例
(順不同)
「タイムスタンプの時刻に存在していたこと」(19字)
「タイムスタンプの時刻以降に改ざんされていないこと」(24字)

タイムスタンプ技術で実現できることは以下の2点です。

  • 完全性証明:
    タイムスタンプを付与したデータがある時刻以前に存在していたことを証明する。否認の防止に有効。
  • 存在証明:
    データの改ざんを検知できる。改ざんを防止するわけではないので注意。


SC H25 春 午後Ⅰ 問3 設問1 改題

H社は、従業員数600名の産業用機械製造・販売会社であり、本社と8か所の支店がある。H社では、全従業員に1台ずつデスクトップPCを貸与している。他拠点への出張が多い従業員と、外出が多い営業部員には、社外持出し用PCも貸与している。

現在H社では、PC管理の効率化、及び従業員の利便性向上を目的として、デスクトップ仮想化によるシンクライアント環境(以下、VDIという)の導入の準備をしており、社内で利用しているデスクトップPCをVDIに置き換えることが決定した。

また、①本社及び支店に、共有端末として数台のデスクトップPC型シンクライアント端末を設置し、他拠点から出張中の従業員に利用できるようにするとともに、出張時のPC利用に関するルールを設ける。

問 下線①によって得られるセキュリティ上の効果を、40字以内で具体的に述べよ。

APIの解答例
「社外持出し用PCの紛失や盗難による情報漏えいリスクを低減する効果」(32文字)

ノートパソコンなど社外持出しPCによるリスクとセキュリティ対策は、覚えておきましょう。