SC H21 秋 午前Ⅱ 問1

チャレンジレスポンス方式として, 適切なものはどれか。

  • SSLによって, クライアント側で固定のパスワードを暗号化して送信する。
  • トークンという装置が表示する毎回異なったデータをパスワードとして送信する。
  • 任意長のデータを入力として固定長のハッシュ値を出力する。
  • 利用者が入力したパスワードと, サーバから送られてきたランダムなデータとをクライアント側で演算し、その結果を確認用データに用いる。
  • 解答を見る
    正解:エ

  • 一般的なパスワード認証の説明。
  • ワンタイムパスワードの説明。
  • ハッシュ関数の説明。
  • チャレンジレスポンス方式の説明。

  • SC H21 秋 午前Ⅱ 問2

    ブラウザがWebサーバとの間でSSLで通信する際, ディジタル証明書に関する警告メッセージが表示される原因となり得るものはどれか。

  • Webサーバが, SSL通信の暗号方式として, ハンドシェイク終了後に共通鍵暗号方式でSSLセッションを開始した。
  • ブラウザがCRLの妥当性をVAに問い合わせる際に, OCSPやSCVPが用いられた。
  • ブラウザがWebサーバのディジタル証明書の検証に成功した後に, WebサーバからSSLを確立した。
  • ルートCAのディジタル証明書について, Webサーバのディジタル証明書のものがブラウザで保持しているものとも一致しなかった。
  • 解答を見る
    正解:エ


    SC H21 秋 午前Ⅱ 問3

    SMTP-AUTH認証はどれか。

  • SMTPサーバへ電子メールを送信する前に, 電子メールを受信し, その際にパスワード認証が行われたクライアントのIPアドレスに対して, 一定時間だけ電子メールの送信を可能にする。
  • クライアントがSMTPサーバにアクセスするときに利用者認証を行い, 許可されたユーザだけから電子メールを受け付ける。
  • サーバはCAの公開鍵証明書をもち, クライアントから送信されたCAの署名付きクライアント証明書の妥当性を確認する。
  • 電子メールを受信する際の認証情報を秘匿できるように, パスワードからハッシュ値を計算して, その値で利用者認証を行う。
  • 解答を見る
    正解:イ


    SC H21 秋 午前Ⅱ 問4

    コンティンジェンシープランにおける留意点はどれか。

  • 企業のすべてのシステムを対象とするのではなく, システムの復旧の重要性と緊急性を勘案して対象を決定する。
  • 災害などへの対応のために, すぐに利用できるよう, バックアップデータをコンピュータ室内又はセンタ内に保存しておく。
  • バックアップの対象は, 機密情報の中から機密度を勘案して選択する。
  • 被害状況のシナリオを作成し, これに基づく“予防策定手順”と“バックアップ対策とその手順”を策定する。
  • 解答を見る
    正解:ア

    コンティンジェンシープランとは、システム障害など不測の事態に備え、緊急時の対応策や行動手順を計画することです。
    コンティンジェンシーは、「偶発事件、不慮の出来事」という意味を持つ。

  • 正しい記述です。企業のすべてのシステムを対象とするのは規模が大きく難しいため、システムの復旧の重要性や緊急性などを考え合わせて対象を決定する方が効率的。
  • コンティンジェンシープランとは無関係の対応。そもそもバックアップデータは遠隔地に保存すべき。
  • コンティンジェンシープランとは無関係の対応。
  • コンティンジェンシープランは、"緊急時"の手順は策定するが、"予防"の手順は策定しない。

  • SC H21 秋 午前Ⅱ 問5

    企業のDMZ上で1台のDNSサーバをインターネット公開用と社内用で共用している。このDNSサーバが, DNSキャッシュポイズニングの被害を受けた結果, 引き起こされ得る現象はどれか。

  • DNSサーバで設定された自社の公開WebサーバのFQDN情報が書き換えられ, 外部から参照者が, 本来とは異なるWebサーバに誘導される。
  • DNSサーバのメモリ上にワームが常駐し, DNS参照元に対して不正プログラムを送り込む。
  • 社内の利用者が, インターネット上の特定のWebサーバを参照する場合に, 本来とは異なるWebサーバに誘導される。
  • 電子メールの不正中継対策をした自社のメールサーバが, 不正中継の踏み台にされる。
  • 解答を見る
    正解:ウ


    SC H21 秋 午前Ⅱ 問6

    NIDS(ネットワーク型IDS)を導入する目的はどれか。

  • 管理下のネットワーク内への不正侵入の試みを検知し, 管理者に通知する。
  • サーバ上のファイルが改ざんされたかどうかを判定する。
  • 実際にネットワークを介してサイトを攻撃し, 不正に侵入できるかどうかを検査する。
  • ネットワークからの攻撃が防御できないときの損害の大きさを判定する。
  • 解答を見る
    正解:ア


    SC H21 秋 午前Ⅱ 問7

    クロスサイトスクリプティングによる攻撃へのセキュリティ対策に該当するものはどれか。

  • OSのセキュリティパッチを適用することによって、Webサーバへの侵入を防止する。
  • Webアプリケーションがクライアントに入力データを表示する場合、データ内の特殊文字を無効にする処理を行う。
  • WebサーバにSNMPプログラムを常駐稼動させることによって、攻撃を検知する。
  • 許容範囲を超えた大きさのデータの書き込みを禁止し、Webサーバへの侵入を防止する。
  • 解答を見る
    正解:イ
    掲示板サイトなど閲覧者からの入力で、動的なページを生成するサイトは、クロスサイトスクリプティング攻撃の標的に成りうる。
    Webアプリケーション側の対策としては、入力データをそのまま解釈せず、データ内の特殊文字を無効にする処理(エスケープ処理)を行う。


    SC H21 秋 午前Ⅱ 問8

    ウイルスの検出手法であるビヘイビア法を説明したものはどれか。

  • あらかじめ特徴的なコードをパターンとして登録したウイルス定義ファイルを用いてウイルス検査対象と比較し、同じパターンがあれば感染を検出する。
  • ウイルスに感染していないことを保証する情報をあらかじめ付加しておき、検査対象の検査時に不整合があれば感染を検出する。
  • ウイルスの感染が疑わしい検査対象を、安全な場所に保管する原本と比較し、異なっていれば感染を検出する。
  • ウイルスの感染や発病によって生じるデータ書込み動作の異常や通信量の異常増加などの変化を監視して、感染を検出する。
  • 解答を見る
    正解:エ


    SC H21 秋 午前Ⅱ 問9

    コンピュータフォレンジクスの説明として、適切なものはどれか。

  • あらかじめ設定した運用基準に従って、メールサーバを通過する送受信メールをフィルタリングすること
  • 磁気ディスクなどの書換え可能な記憶媒体を単に初期化するだけではデータを復元される可能性があるので、覆い隠すように上書きすること
  • 不正アクセスなどコンピュータに関する犯罪の法的な証拠性を確保できるように、原因究明に必要な情報を保全、収集して分析すること
  • ホストに対する外部からの攻撃や不正なアクセスを防御すること
  • 解答を見る
    正解:ウ

    コンピュータフォレンジクス
    コンピュータに関する犯罪や法的問題が発生した場合に、原因究明に必要な情報を収集して分析し、法的証拠を確保すること。

    フォレンジクス(forensics)には、「犯罪科学の」「法医学的な」といった意味がある。


    SC H21 秋 午前Ⅱ 問10

    ステガノグラフィの機能はどれか。

  • 画像データなどにメッセージを埋め込み, メッセージの存在そのものを隠す。
  • メッセージの改ざんやなりすましを検出し, 否認の防止を行う。
  • メッセージの認証を行って改ざんの有無を検出する。
  • メッセージを決まった手順で変換し, 通信途中での盗聴を防ぐ。
  • 解答を見る
    正解:ア


    SC H21 秋 午前Ⅱ 問11

    パケットフィルタリング型ファイアウォールのフィルタリングルールを用いて, 本来必要なサービスに影響を及ぼすことなく防げるものはどれか。

    • 外部に公開していないサービスへのアクセス
    • サーバで動作するソフトウェアのセキュリティ脆弱性を突く攻撃
    • 電子メールに添付されたファイルのマクロウイルスの侵入
    • 電子メール爆弾などのDoS攻撃

    解答を見る
    正解:ア

    パケットフィルタリング型ファイアウォールは、送信先または送信元のIPアドレスやポート番号をもとに、フィルタリングルールを決めて通信の許可または拒否を判断する。

    選択肢アは、対象サービスのポート番号をもとにフィルタリングルールを定めれば、本来必要なサービスに影響を及ぼすことなく外部からの通信を拒否できるので正しい。

    それ以外の選択肢は、サーバへの通信を拒否することは可能だが、本来必要なサービスに影響を及ぼすため、誤り。


    SC H21 秋 午前Ⅱ 問12

    ブルートフォース攻撃に該当するものはどれか。

  • 可能性のある文字のあらゆる組合せでログインを試みる。
  • コンピュータへのキー入力をすべて記録して外部に送信する。
  • 盗聴者が正当な利用者のログインシーケンスをそのまま記録してサーバに送信する。
  • 認証が終了し、セッションを開始しているブラウザとWebサーバ間の通信で、クッキー情報などのセッション情報を盗む。
  • 解答を見る
    正解:ア

  • ブルートフォース攻撃の説明。
  • キーロガーの説明。
  • リプレイ攻撃の説明。
  • セッションハイジャックの説明。

  • SC H21 秋 午前Ⅱ 問13

    レイヤ2スイッチや無線LANアクセスポイントで接続を許可する仕組みはどれか。

  • DHCP
  • Webシングルサインオン
  • 認証VLAN
  • パーソナルファイアウォール
  • 解答を見る
    正解:ウ


    SC H21 秋 午前Ⅱ 問14

    SQLインジェクション対策について, Webアプリケーションの実装における対策とWebアプリケーションの実装以外の対策の組合せとして, 適切なものはどれか。

    Webアプリケーションの実装における対策 Webアプリケーションの実装以外の対策
    Webアプリケーション中でシェルを起動しない。 chroot環境でWebサーバを実行する。
    セッションIDを複雑なものにする。 SSLによって通信内容を秘匿する。
    バインド機構を利用する。 データベースのアカウントのもつデータベースアクセス権限を最小限にする。
    パス名やファイル名をパラメタとして受け取らないようにする。 重要なファイルを公開領域に置かない。

    解答を見る
    正解:ウ

  • OSコマンドインジェクションの対策。
  • セッションハイジャックの対策。
  • SQLインジェクションの対策。
  • ディレクトリトラバーサルの対策。
  • SQLインジェクション対策は、午後試験でも問われます。選択肢がなくても答えられるようにしておきたい。


    SC H21 秋 午前Ⅱ 問15

    SLCP(共通フレーム)に従いシステム開発の要件定義の段階で実施することとして, 適切なものはどれか。

  • システムに必要なセキュリティ機能及びその機能が達成すべき保証の程度を決定する。
  • システムに必要なセキュリティ機能に関連するチェックリストを用いてソースコードをレビューする。
  • 組織に必要なセキュリティ機能を含むシステム化計画を立案する。
  • 第三者によるシステムのセキュリティ監査を脆(ぜい)弱性評価ツールを用いて定期的に実施する。
  • 解答を見る
    正解:ア


    SC H21 秋 午前Ⅱ 問16

    ネットワークのQoSで使用されるトラフィック制御方式に関する説明のうち, 適切なものはどれか。

  • 通信を開始する前にネットワークに対して帯域などのリソースを要求し, 確保の状況に応じて通信を制御することを, アドミッション制御という。
  • 入力されたトラフィックが規定された最大速度を超過しないか監視し, 超過分のパケットを破棄するか優先度を下げる制御を, シェーピングという。
  • パケットの送出間隔を調整することによって, 規定された最大速度を超過しないようにトラフィックを平準化する制御を, ポリシングという。
  • フレームの種類やあて先に応じて優先度を変えて中継することを, ベストエフォートという。
  • 解答を見る
    正解:ア


    SC H21 秋 午前Ⅱ 問17

    電源オフ時にIPアドレスを保持することができない装置が, 電源オン時に自装置のMACアドレスから自装置に割り当てられているIPアドレスを知るために用いるデータリンク層のプロトコルで, ブロードキャストを利用するものはどれか。

  • ARP
  • DHCP
  • DNS
  • RARP
  • 解答を見る
    正解:エ

  • ARP(Address Resolution Protocol)は、IPアドレスからMACアドレスを求めるプロトコル。
  • DHCP(Dynamic Host Configuration Protocol)は、IPアドレスを自動的に割り振てるプロトコル。
  • DNS(Domain Name System)は、ホスト名とIPアドレスを対応付ける仕組み。
  • RARP(Reverse Address Resolution Protocol)は、ARPとは逆で、MACアドレスからIPアドレスを求めるプロトコル。ホストがRARPリクエストをブロードキャストし、パケットを受信したRARPサーバがMACアドレスの対となるIPアドレスをホストに返信する仕組み。

  • SC H21 秋 午前Ⅱ 問18

    ネットワークに接続されているホストのIPアドレスが212.62.31.90で, サブネットマスクが255.255.255.224のとき, ホストアドレスはどれか。

    • 10
    • 26
    • 90
    • 212

    解答を見る
    正解:イ


    SC H21 秋 午前Ⅱ 問19

    イーサネットのレイヤ2で使用されるプロトコルで, ネットワークを冗長化させる際にループを防ぐものはどれか。

  • IGMP
  • RIP
  • SIP
  • スパニングツリープロトコル
  • 解答を見る
    正解:エ

  • IGMP(Internet Group Management Protocol):
    特定の複数の相手に同一データを送信するためのプロトコル
  • RIP(Routing Information Protocol):
    ルータ同士が経路情報を互いにやり取りするためのプロトコル
  • SIP(Session Initiation Protocol):
    インターネット電話などで用いられる通話制御プロトコル
  • スパニングツリープロトコル(STP):
    ネットワークを冗長化させる際にループを防ぐためのプロトコル

  • SC H21 秋 午前Ⅱ 問20

    暗号化や認証機能を持ち, リモートからの遠隔操作の機能をもったプロトコルはどれか。

  • IPsec
  • L2TP
  • RADIUS
  • SSH
  • 解答を見る
    正解:エ


    SC H21 秋 午前Ⅱ 問21

    Webサーバを使ったシステムにおいて, インターネットから受け取ったリクエストをWebサーバに中継する仕組みはどれか。

  • DMZ
  • フォワードプロキシ
  • プロキシARP
  • リバースプロキシ
  • 解答を見る
    正解:エ


    SC H21 秋 午前Ⅱ 問22

    ブラックボックステストのテストデータの作成方法のうち, 最も適切なものはどれか。

  • 稼動中のシステムから実データを無作為に抽出し, テストデータを作成する。
  • 機能仕様から同値クラスや限界値を識別し, テストデータを作成する。
  • 業務で発生するデータの発生頻度を分析し, テストデータを作成する。
  • プログラムの流れ図から, 分岐条件に基づいたテストデータを作成する。
  • 解答を見る
    正解:イ


    SC H21 秋 午前Ⅱ 問23

    開発した製品で利用している新規技術に関して特許の出願を行った。 日本において特許権の取得が可能なものはどれか。

  • 学会で技術内容を発表した日から11か月目に出願した。
  • 顧客と守秘義務の確認を取った上で技術内容を説明した後, 製品発表前に出願した。
  • 製品に使用した暗号の生成式を出願した。
  • 製品を発売した後に出願した。
  • 解答を見る
    正解:イ


    SC H21 秋 午前Ⅱ 問24

    雷サージによって通信回線に誘起された異常電圧から通信機器を保護するための装置はどれか。

  • IDF(Intermediate Distributing Frame)
  • MCCB(Molded Case Circuit Breaker)
  • アレスタ
  • 避雷針
  • 解答を見る
    正解:ウ


    SC H21 秋 午前Ⅱ 問25

    ITにかかる内部統制を評価し検証するシステム監査の対象となるのはどれか。

  • 経営企画部が行っている中期経営計画の策定の経緯
  • 人事部が行っている従業員の人事考課の結果
  • 製造部が行っている不良品削減のための生産設備見直しの状況
  • 販売部が行っているデータベース入力・更新における正当性確保の方法
  • 解答を見る
    正解:エ