SC H23 秋 午前Ⅱ 問1

DNSSEC (DNS Security Extensions) の機能はどれか。

  • DNSキャッシュサーバの設定によって再帰的な問合せの受付範囲が最大限になるように拡張する。
  • DNSサーバから受け取るリソースレコードに対するディジタル署名を利用して,リソースレコードの送信者の正当性とデータの完全性を検証する。
  • ISPなどのセカンダリDNSサーバを利用して DNSコンテンツサーバを二重化することで名前解決の可用性を高める。
  • 共通鍵暗号技術とハッシュ関数を利用したセキュアな方法で,DNS更新要求が許可されているエンドポイントを特定し認証する。
  • 解答を見る
    正解:イ

    DNSSEC(DNS Security Extensions)は、DNSのセキュリティ拡張方式。
    DNSのレコードに公開鍵暗号方式によるディジタル署名を付加し、応答を受け取った側で、そのディジタル署名を検証する仕組み。ディジタル署名を検証することで、レコードの送信者の正当性と応答が改ざんされてないことを保証できる。
    DNSキャッシュポイズニングの対策に有効。


    SC H23 秋 午前Ⅱ 問2

    セキュアハッシュ関数 SHA-256 を用いて、32ビット、256ビット、2,048ビットの三つの長さのメッセージからハッシュ値を求めたとき、それぞれのメッセージのハッシュ値の長さはどれか。

    am2_h23_aki_q2

    解答を見る
    正解:ウ

    SHA-256(Secure Hash Algorithm 256 bit)は、ハッシュ関数であり、原文の長さに関係なく、256ビットのハッシュ値を算出する。


    SC H23 秋 午前Ⅱ 問3

    A社のWebサーバは,認証局で生成したWebサーバ用のディジタル証明書を使ってSSL/TLS通信を行っている。PCがA社のWebサーバにSSL/TLSを用いてアクセスしたときにPCが行う処理のうち,サーバのディジタル証明書を入手した後に,認証局の公開鍵を利用して行うものはどれか。

  • 暗号化通信に利用する共通鍵を生成し,認証局の公開鍵を使って暗号化する。
  • 暗号化通信に利用する共通鍵を認証局の公開鍵を使って復号する。
  • ディジタル証明書の正当性を認証局の公開鍵を使って検証する。
  • 利用者が入力して送付する秘匿データを認証局の公開鍵を使って暗号化する。
  • 解答を見る
    正解:ウ


    SC H23 秋 午前Ⅱ 問4

    SSLを使用して通信を暗号化する場合、SSL-VPN装置に必要な条件はどれか。

  • SSL-VPN装置は,FQDN 又は IPアドレスを含むディジタル証明書を組み込む必要がある。
  • SSL-VPN装置は,装置メーカが用意した機種固有のディジタル証明書を組み込む必要がある。
  • SSL-VPN装置は,装置メーカから提供される認証局を利用する必要がある。
  • 同一ドメイン内で複数拠点にSSL-VPN装置を設置する場合は,同一のディジタル証明書を利用する必要がある。
  • 解答を見る
    正解:ア


    SC H23 秋 午前Ⅱ 問5

    ISP"A"管理下のネットワークから別のISP"B"管理下の宛先へSMTPで電子メールを送信する。
    電子メール送信者がSMTP-AUTHを利用していない場合,スパムメール対策OP25Bによって遮断される電子メールはどれか。

  • ISP"A"管理下の固定IPアドレスから送信されたが,受信者の承諾を得ていない広告の電子メール
  • ISP"A"管理下の固定IPアドレスから送信されたが,送信元IPアドレスがDNSで逆引きできなかった電子メール
  • ISP"A"管理下の動的IPアドレスからISP"A"のメールサーバを経由して送信された電子メール
  • ISP"A"管理下の動的IPアドレスからISP"A"のメールサーバを経由せずに送信された電子メール
  • 解答を見る
    正解:エ

    一般的に電子メールの送信には、SMTP(25番ポート)を利用しています。

    SMTPには、ユーザー認証機能がないため、スパムメールを送信する業者(スパマー)がたくさんいます。スパマーは、ISP提供のメールサーバを経由せず、メール送信先のメールサーバに直接接続しようとします。

    そこで多くのISPでは、スパムメール対策として、OP25B(Outbound Port 25 Blocking)を導入しています。

    OP25Bとは、ISP提供のメールサーバを経由せず、外部のSMTPサーバ(25番ポート)へ直接接続しようとするパケットをブロックすることです。

    よって、正解はエです。

    ちなみに、正当な利用者が、ISP提供のメールサーバを経由せず、メール送信先のメールサーバに直接接続する場合は、ポート番号25の代わりに、サブミッションポート(587番ポート)を使用します。サブミッションポートの利用には、「SMTP AUTH」による認証が必要となるため、正当な利用者のみがメール送信を行うことができます。


    SC H23 秋 午前Ⅱ 問6

    100人の送受信者が共通鍵暗号方式で、それぞれ秘密に通信を行うときに必要な共通鍵の総数は幾つか。

  • 200
  • 4,950
  • 9,900
  • 10,000
  • 解答を見る
    正解:イ

    共通鍵暗号方式の鍵の総数の求め方:
    n(n-1)/2

    n=100なので、100(100 - 1)/2 = 4,950 となる。


    SC H23 秋 午前Ⅱ 問7

    IPアドレスに対するMAC アドレスの不正な対応関係を作り出す攻撃はどれか。

  • ARPスプーフィング攻撃
  • DNSキャッシュポイズニング攻撃
  • URLエンコーディング攻撃
  • バッファオーバフロー攻撃
  • 解答を見る
    正解:ア

    ARPスプーフィング攻撃は、攻撃者が対象ホストに偽装したARPパケットを応答し、ホストのARPキャッシュに不正な情報を作り出す攻撃。通信パケットが攻撃者のホストを経由するため、通信が盗聴されてしまう。


    SC H23 秋 午前Ⅱ 問8

    DNSサーバに格納されるネットワーク情報のうち,第三者に公表する必要のない情報が攻撃に利用されることを防止するための,プライマリDNSサーバの設定はどれか。

  • SOAレコードのシリアル番号を更新する。
  • 外部のDNSサーバにリソースレコードがキャッシュされる時間を短く設定する。
  • ゾーン転送をDNSサーバを登録する。
  • ラウンドロビン設定を行う。
  • 解答を見る
    正解:ウ


    SC H23 秋 午前Ⅱ 問9

    サービス不能攻撃(Dos)の一つであるSmurf攻撃の特徴はどれか。

  • ICMPの応答パケットを大量に発生させる。
  • TCP接続要求であるSYNパケットを大量に送信する。
  • サイズの大きいUDPパケットを大量に送信する。
  • サイズの大きい電子メールや大量の電子メールを送信する。
  • 解答を見る
    正解:ア

  • Smurf攻撃の説明。
  • SYN flood攻撃の説明。
  • UDP flood攻撃の説明。
  • メールボムの説明。

  • SC H23 秋 午前Ⅱ 問10

    表に示すテーブル X,Y へのアクセス要件に関して,JIS Q 27001:2006(ISO/IEC 27001:2005) が示す"完全性"の観点からセキュリティを脅かすおそれのあるアクセス権付与はどれか。

    テーブル アクセス要件
    X(注文テーブル) ① 調達課の利用者Aが注文データを入力するために,
    又は内容を容認するためにアクセスする。
    ② 管理課の利用者Bはアクセスしない。
    Y(仕入先マスタテーブル) ① 調達課の利用者Aが仕入先データを照会する目的だけで
    アクセスする。
    ② 管理課の利用者Bが仕入先データのマスタメンテナンス
    作業を行うためにアクセスする。
  • GRANT INSERT ON Y TO A
  • GRANT INSERT ON Y TO B
  • GRANT SELECT ON X TO A
  • GRANT SELECT ON X TO B
  • 解答を見る
    正解:ア

    "完全性"とは、データが正確かつ改ざんされていない状態のことです。

    データベースユーザーに対して、権限を付与するにはGRANT文を使用します。
    構文:GRANT {権限} ON {テーブル名} TO {ユーザ}

  • 利用者Aに対して、YテーブルのINSERT権限を付与しています。
    問題文に「利用者Aが仕入先データを照会する目的だけでアクセスする。」とありますので、不適切な権限付与です。完全性の観点からセキュリティ上問題があります。
  • 利用者Bに対して、YテーブルのINSERT権限を付与しています。
    問題文に「利用者Bが仕入先データのマスタメンテナンス作業を行うためにアクセスする」とあるので、適切な権限付与です。
  • 利用者Aに対して、XテーブルのSELECT権限を付与しています。
    「調達課の利用者Aが注文データを入力するために,又は内容を容認するためにアクセスする」とあるので、適切な権限付与です。
  • 利用者Bに対して、XテーブルのSELECT権限を付与しています。
    利用者BはXテーブルにアクセスしないため、不適切な権限付与ですが、SELECT権限を付与しても、データの改ざんはできないため、完全性の観点からいうとセキュリティ上問題ありません。

  • SC H23 秋 午前Ⅱ 問11

    テンペスト(TEMPEST)攻撃を説明したものはどれか。

  • 故意に暗号化演算を誤動作させて正しい処理結果との差異を解析する。
  • 処理時間の差異を計測し解析する。
  • 処理中に機器から放射される電磁波を観測し解析する。
  • チップ内の信号線などに探針を直接当て,処理中のデータを観測し解析する。
  • 解答を見る
    正解:ウ

    テンペスト攻撃とは、電磁波盗聴攻撃のこと。
    ディスプレイなどから放射される微弱な電磁波を観測し、解析することで情報を盗み見る攻撃です。
    対策としては、電磁波を遮断する製品を使用したり、電磁波を遮断可能な部屋に機器を設置することで対抗します。


    SC H23 秋 午前Ⅱ 問12

    ダウンローダ型ウイルスがPCに浸入した場合に,インターネット経由でほかのウィルスがダウンロードされることを防ぐ有効な対策はどれか。

  • URLフィルタを用いてインターネット上の不正Webサイトへの接続を遮断する。
  • インターネットから内部ネットワークに向けた要求パケットによる不正浸入行為をIPSで破棄する。
  • スパムメール対策サーバでインターネットからのスパムメールを拒否する。
  • メールフィルタで他サイトへの不正メール発信を遮断する。
  • 解答を見る
    正解:ア

    ダウンローダ型ウイルス
    インターネット経由で他のウイルスをダウンロードして実行するタイプのウイルス。
    ダウンローダー型ウイルス単独でおかしな挙動はしないので、ウイルス対策ソフトでも検出されにくい。
    URLフィルタを用いてインターネット上の不正Webサイトへの接続を遮断する対策が有効。


    SC H23 秋 午前Ⅱ 問13

    ルートキット(rootkit)を説明したものはどれか。

  • OSの中核であるカーネル部分の脆弱性を分析するツール
  • コンピュータがウィルスやワームに感染していないことをチェックするツール
  • コンピュータやルータのアクセス可能な通信ポートを外部から調査するツール
  • 不正侵入してOSなどに不正に組み込んだものを隠蔽する機能をまとめたツール
  • 解答を見る
    正解:エ

    ルートキットの由来は、UNIXからきています。

    攻撃者であるクラッカーが、システムのあらゆる操作権限を持つ「root」ユーザの権限を奪った後も、不正侵入に気づかれないようするための「キット」ということから、ルートキットと呼ばれるようになりました。

    現在では、UNIXに限らず、不正侵入時にOSなどに組み込んだものを隠蔽するツール群のことを指す用語として使われています。


    SC H23 秋 午前Ⅱ 問14

    スパムメールの対策であるDKIM(DomainKeys Identified Mail)の説明はどれか。

  • 送信側メールサーバでディジタル署名を電子メールのヘッダに付与して,受信側メールサーバで検証する。
  • 送信側メールサーバで利用者が認証されたとき,電子メールの送信が許可される。
  • 電子メールのヘッダや配送経路の情報から得られる送信元情報を用いて,メール送信元の IPアドレスを検証する。
  • ネットワーク機器で,内部ネットワークから外部のメールサーバのTCPポート25番への直接の通信を許可する。
  • 解答を見る
    正解:ア

  • DKIMの説明。
  • SMTP-AUTHの説明。
  • Sender IDの説明。
  • OP25Bの説明。

  • SC H23 秋 午前Ⅱ 問15

    IPsecのAHに関する説明のうち,適切なものはどれか。

  • IPパケットを暗号化する対象部分によって,トランスポートモード,トンネルモードの方式がある。
  • 暗号化アルゴリズムや暗号化鍵のライフタイムが設定される管理テーブルで,期間を過ぎると新しいデータに更新される。
  • 暗号化アルゴリズムを決定し,暗号化鍵を動的に生成する鍵交換プロトコルで,暗号化通信を行う。
  • データの暗号化は行わず,SPI,シーケンス番号,認証データを用い,完全性の確保と認証を行う。
  • 解答を見る
    正解:エ

    AH(Authentication Header、認証ヘッダ)
    通信データの認証機能を持ち、改ざんを検知できる。
    データの暗号化までは行わないため、盗聴の防止はできない。


    SC H23 秋 午前Ⅱ 問16

    Webアプリケーションの脆弱性を悪用する攻撃手法のうち,Perlのsystem関数やPHPのexec関数など外部プログラムの呼出しを可能にするための関数を利用し,不正にシェルスクリプトや実行形式のファイルを実行させるものはどれか。

  • HTTP ヘッダインジェクション
  • OSコマンドインジェクション
  • クロスサイトリクエストフォージェリ
  • セッションハイジャック
  • 解答を見る
    正解:イ


    SC H23 秋 午前Ⅱ 問17

    DNSのMXレコードで指定するものはどれか。

  • エラーが発生したときの通知先のメールアドレス
  • 送信先ドメインのメールサーバ
  • 複数のDNSサーバが動作しているときのマスタDNSサーバ
  • メーリングリストを管理しているサーバ
  • 解答を見る
    正解:イ

    DNSサーバが管理しているドメイン情報の範囲をゾーンといいます。このゾーンに含まれるデータの単位がレコードです。DNSのレコードには以下のような種類があります。

    レコード名称 役割
    SOA Start Of Authority(権限の開始)の略。DNSサーバのドメイン情報などを指定する。
    NS Name Serverの略。ドメインのDNSサーバを指定する。
    MX Mail eXchangeの略。ドメインのメールサーバを指定する。
    A Addressの略。ホストのIPアドレスを指定する。
    AAAA Quad Addressの略。IPv6に対応するため、Aレコードの4倍となる128ビットのアドレスを指定できる。


    SC H23 秋 午前Ⅱ 問18

    コンピュータとスイッチングハブの間,又は2台のスイッチングハブの間を接続する複数の物理回線を論理的に1本の回線に束ねる技術はどれか。

  • スパニングツリー
  • ブリッジ
  • マルチホーミング
  • リンクアグリゲーション
  • 解答を見る
    正解:エ


    SC H23 秋 午前Ⅱ 問19

    電源オフ時にIPアドレスを保持することができない装置が,電源オン時に自装置のMACアドレスから自装置に割り当てられているIPアドレスを知るために用いるデータリンク層のプロトコルで,ブロードキャストを利用するものはどれか。

  • ARP
  • DHCP
  • DNS
  • RARP
  • 解答を見る
    正解:エ

  • ARP(Address Resolution Protocol)は、IPアドレスからMACアドレスを求めるプロトコル。
  • DHCP(Dynamic Host Configuration Protocol)は、IPアドレスを自動的に割り振てるプロトコル。
  • DNS(Domain Name System)は、ホスト名とIPアドレスを対応付ける仕組み。
  • RARP(Reverse Address Resolution Protocol)は、ARPとは逆で、MACアドレスからIPアドレスを求めるプロトコル。ホストがRARPリクエストをブロードキャストし、パケットを受信したRARPサーバがMACアドレスの対となるIPアドレスをホストに返信する仕組み。

  • SC H23 秋 午前Ⅱ 問20

    TCPヘッダに含まれる情報はどれか。

  • 宛先ポート番号
  • パケット生存時間 (TTL)
  • 発信元IPアドレス
  • プロトコル番号
  • 解答を見る
    正解:ア

    宛先ポート番号はTCPヘッダ、それ以外はIPv4のIPヘッダに含まれる情報です。

    ・TCPヘッダのフォーマット
    TCPヘッダ


    ・IPv4ヘッダのフォーマット
    IPヘッダ


    SC H23 秋 午前Ⅱ 問21

    次数が n の関係 R には、属性なし (φ) も含めて異なる射影は幾つあるか。

  • n
  • 2n
  • n2
  • 2n
  • 解答を見る
    正解:エ


    SC H23 秋 午前Ⅱ 問22

    バグ埋込み法において,埋め込まれたバグ数をS,埋め込まれたバグのうち発見されたバグ数をm,埋め込まれたバグを含まないテスト開始前の存在バグ数をT,発見された総バグ数をnとしたとき,S,T,m,n の関係を表す式はどれか。

    sc_h23_aki_am2_q22

    解答を見る
    正解:ア


    SC H23 秋 午前Ⅱ 問23

    ソフトウェア開発組織の活動状態のうち,CMMI モデルにおける成熟度レベルが最も高いものはどれか。

    • 作業成果物の状況が,主要タスクの完了時点で管理層に対して見える状態になっている。
    • 実績が定量的に把握されており,プロセスが組織的に管理されている。
    • プロセスが明文化されて,組織内の全ての人がそれを利用している。
    • プロセスを継続的に改善していくための仕組みが機能している。

    解答を見る
    正解:エ
    CMMI (Capability Maturity Model Integration、能力成熟度モデル統合)
    システム開発組織におけるプロセスの成熟度を5段階のレベルで定義したモデル。

    成熟度レベル 概要
    レベル1 初期 初期状態 (混沌とした、いきあたりばったりで、一部の英雄的なメンバー依存の状態)。成熟したプロセスを導入する際の、出発点のレベル
    レベル2 管理された 管理された状態 (反復できる状態、プロジェクト管理・プロセスの規則の存在)、反復してプロセスを実行できるレベル
    レベル3 定義された 定義された状態 (制度化された状態)、プロセスが標準ビジネスプロセスとして明示的に定義され関係者の承認を受けているレベル
    レベル4 定量的に管理された 管理が実施され、さまざまなタスク領域を定量的に計測しているレベル
    レベル5 最適化している 最適化している状態 (プロセスを改善する状態)、継続的に自らのプロセスを最適化し改善しているレベル

    概要はウィキペディアから引用しました。

  • レベル2の説明。
  • レベル4の説明。
  • レベル3の説明。
  • 最も成熟度が高いレベル5の説明。

  • SC H23 秋 午前Ⅱ 問24

    情報システムの設計において,フェールソフトが講じられているのはどれか。

  • UPS装置を設置することで,停電時に手順どおりにシステムを停止できるようにし,データを保全する。
  • 制御プログラムの障害時に,システムの暴走を避け,安全に運転を停止できるようにする。
  • ハードウェアの障害時に,パフォーマンスは低下するが,構成を縮小して運転を続けられるようにする。
  • 利用者の誤操作や誤入力を未然に防ぐことで,システムの呉動作を防止できるようにする。
  • 解答を見る
    正解:ウ

  • フォールトアボイダンスの説明。
    システムやそれを構成する装置の信頼性を上げ、故障そのものを回避しようとする設計思想。
    直訳するとフォールトは「障害」、アボイダンスは「回避」。
  • フェールセーフの説明。
    システムが故障した場合でも、常に安全に制御する設計思想。
    直訳するとフェールは「故障」、セーフは「安全」。
  • フェールソフトの説明。
    システムを完全には停止させず、故障した箇所を切り離すなどして、必要最低限の機能でシステムを稼働する設計思想。
    直訳するとフェールは「故障」、ソフトは「柔軟な」。
  • フールプルーフの説明。
    システムがよく分からない人が使っても安全な設計思想。
    直訳するとフールは「ばか」、プルーフは「耐性」。

  • SC H23 秋 午前Ⅱ 問25

    ISMSにおけるリスク分析手法の一つである"詳細リスク分析"で行う作業はどれか。

  • 情報セキュリティポリシの作成
  • セーフガードの選択
  • リスクの評価
  • リスクの容認
  • 解答を見る
    正解:ウ