SC H24 秋 午前Ⅱ 問1

特定の CA が発行した CRL(Certificate Revocation List) に関する記述のうち,適切なものはどれか。

  • CRLには,失効された公開鍵証明書に対応する秘密鍵が登録される。
  • CRLには,有効期限内の公開鍵証明書のうち破棄されている公開鍵証明書と破棄された日時の対応が提示される。
  • CRLは,鍵の漏えい,破棄申請の状況をリアルタイムに反映するプロトコルである。
  • 有効期限切れで無効になった公開鍵証明書は,所有者が新たに公開鍵証明書を取得するまでの間,CRL に登録される。
  • 解答を見る
    正解:イ

    CRLは、有効期限内に失効されたCAのディジタル証明書のシリアル番号のリストで、証明書の有効性を検証するために使われます。

    CRL には失効された証明書のシリアル番号、CRL の発行者名、更新日、次回更新日などが記載されます。有効期限切れとなった証明書はCRLには記載されません。

  • CRLに、ディジタル証明書に対応する秘密鍵は登録されません。
  • 正しい記述です。
  • このようなプロトコルは存在しません。そもそもCRLはプロトコルではありません。
  • 有効期限切れとなった証明書はCRLには記載されません。

  • SC H24 秋 午前Ⅱ 問2

    IEEE802.1X で使われる EAP-TLS によって実現される認証はどれか。

  • CHAP を用いたチャレンジレスポンスによる利用者認証
  • あらかじめ登録した共通鍵によるサーバ認証と、時刻同期のワンタイムパスワードによる利用者認証
  • ディジタル証明書による認証サーバとクライアントの相互認証
  • 利用者 ID とパスワードによる利用者認証
  • 解答を見る
    正解:ウ


    SC H24 秋 午前Ⅱ 問3

    SEO(Search Engine Optimization) ポイズニングの説明はどれか。

  • Web 検索サイトの順位付けアルゴリズムを悪用して,キーワードで検索した結果の上位に,悪意のあるサイトを意図的に表示させる。
  • ウイルス検索エンジンのセキュリティ上の脆弱性を悪用して,システム権限で不正な実行を処理させる。
  • 車などで移動しながら,無線LANのアクセスポイントを探し出して,ネットワークに不正侵入する。
  • ネットワークを流れるパケットから,不正侵入のパターンに合致するものを検出して,管理者への通知や,検出した内容の記録を行う。
  • 解答を見る
    正解:ア


    SC H24 秋 午前Ⅱ 問4

    2011年に経済産業省が公表した"クラウドサービス利用のための情報セキュリティマネジメントガイドライン"が策定された目的について述べたものはどれか。

  • JIS Q 27002の管理策を拡張し,クラウドサービス利用者が情報セキュリティ対策を円滑に行えるようにする。
  • クラウドサービス提供事業者に対して情報セキュリティ監査を実施する方法を利用者に提示する。
  • クラウドサービスの利用がもたらすセキュリティリスクをサービス事業者の視点で提示する。
  • セキュリティリスクの懸念の少ないクラウドサービス提供事業者を利用者が選択できるような格付け基準を提供する。
  • 解答を見る
    正解:ア

    「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」

    本ガイドラインは、情報セキュリティマネジメントのベストプラクティスをまとめた国際規格(ISO/IEC27002:2005)を参照して、情報セキュリティ確保のために、クラウド利用者自ら行うべきことと、クラウド事業者に対して求めるべきことをまとめています。経済産業省


    SC H24 秋 午前Ⅱ 問5

    スパムメールの対策として,あて先ポート番号25番の通信に対してISP が実施する OP25B の説明はどれか。

  • ISP管理外のネットワークからの通信のうち,スパムメールのシグネチャに該当するものを遮断する。
  • 動的 IPアドレスを割り当てたネットワークから ISP管理外のネットワークへの直接の通信を遮断する。
  • メール送信元のメールサーバについてDNSの逆引きができない場合,そのメールサーバからの通信を遮断する。
  • メール不正中継の脆弱性をもつメールサーバからの通信を遮断する。
  • 解答を見る
    正解:イ

    OP25B(Outbound Port 25 Blocking)
    ISP提供のメールサーバを経由せず、外部のSMTPサーバ(25番ポート)へ直接接続しようとするパケットをブロックすることです。


    SC H24 秋 午前Ⅱ 問6

    ファイアウォールにおけるダイナミックパケットフィルタリングの特徴はどれか。

  • IPアドレスの変換が行われるので,ファイアウォール内部のネットワーク構成を外部から隠蔽できる。
  • 暗号化されたパケットのデータ部を復号して,許可された通信かどうかを判断できる。
  • 戻りパケットに関しては,過去に通過したリクエストパケットに対応したものだけを通過させることができる。
  • パケットのデータ部をチェックして,アプリケーション層で不正なアクセスを防止できる。
  • 解答を見る
    正解:ウ


    SC H24 秋 午前Ⅱ 問7

    ポリモーフィック型ウイルスの説明として,適切なものはどれか。

  • インターネットを介して,攻撃者が PC を遠隔操作する。
  • 感染するごとに鍵を変えてウイルスのコードを暗号化することによってウイルス自身を変化させて,同一のパターンで検知されないようにする。
  • 複数のOSで利用できるプログラム言語でウイルスを作成することによって,複数のOS上でウイルスが動作する。
  • ルートキットを利用してウイルスに感染していないように見せかけることによって,ウイルスを隠蔽する。
  • 解答を見る
    正解:イ

    ポリモーフィック型ウイルスは、感染するごとにウイルスのコードを異なる鍵で暗号化するコンピュータウイルス。
    ポリモーフィック(polymorphic)は、多形性という意味。
    ミューテーション型ウイルスとも呼ばれる。


    SC H24 秋 午前Ⅱ 問8

    FIPS 140-2を説明したものはどれか。

  • 暗号モジュールのセキュリティ要求事項
  • 情報セキュリティマネジメントシステムに関する認証基準
  • ディジタル証明書や証明書失効リストの標準仕様
  • 無線 LAN セキュリティ技術
  • 解答を見る
    正解:ア

    FIPS 140(Federal Information Processing Standardization 140)
    暗号モジュール(暗号処理を行うソフトウェア及びハードウエア)のセキュリティ要求事項を規定した米国連邦標準規格。FIPS 140-2の末尾の2は、規格のバージョンを表す。


    SC H24 秋 午前Ⅱ 問9

    特定の情報資産の漏えいに関するリスク対応のうち,リスク回避に該当するものはどれか。

  • 外部の者が侵入できないように,入退出を厳重に管理する。
  • 情報資産を外部のデータセンタに預託する。
  • 情報の新たな収集を禁止し,収集済みの情報を消去する。
  • 情報の重要性と対策費用を勘案し,あえて対策をとらない。
  • 解答を見る
    正解:ウ

    リスク対応には、「リスクコントロール」と「リスクファイナンス」の2種類があります。

    リスクコントロールは、リスクの発生や損失を最小限に抑えるために事前に行う対策のこと。
    リスクコントロールの種類には、リスクの発生・損失を抑える「リスク最適化(リスク低減)」、リスクそのものを持たない「リスク回避」などがある。

    リスクファイナンスは、リスクが発生した際に生じる損失に備えて行う資金的対策のこと。
    リスクファイナンスの種類には、保険に加入することで自社以外にもリスクを移す「リスク移転」、自己資金を蓄えて損失時の対応に備える「リスク保有」などがある。

  • リスク最適化(リスク低減)に該当する
  • リスク移転に該当する
  • リスク回避に該当する
  • リスク保有に該当する

  • SC H24 秋 午前Ⅱ 問10

    ICMP Flood攻撃に該当するものはどれか。

  • pingコマンドを用いて同時に発生した大量の要求パケットによって,攻撃対象のサーバに至るまでの回線を過負荷にしてアクセスを妨害する。
  • 繰返し HTTP GET コマンドを送ることによって,攻撃対象のサーバのコンテンツ送信の負荷を掛ける。
  • コネクション開始要求に当たるSYNパケットを大量に送ることによって,攻撃対象のサーバに,接続要求ごとに応答を返すための過大な負荷を掛ける。
  • 大量のTCPコネクションを確立することによって,攻撃対象のサーバに接続を維持させ続けリソースを枯渇させる。
  • 解答を見る
    正解:ア

  • ICMP Flood攻撃の説明。
  • HTTP GET Flood攻撃の説明。代表的な攻撃として、手動でF5キーを連打するF5アタックがある。
  • SYN Flood攻撃の説明。
  • Connection Flood攻撃の説明。
  • Floodは直訳すると「洪水」「~にあふれる」という意味。


    SC H24 秋 午前Ⅱ 問11

    標準化団体OASISが,Webサイト間で認証,属性及び許可の情報を安全に交換するために策定したフレームワークはどれか。

  • SAML
  • SOAP
  • XKMS
  • XML Signature
  • 解答を見る
    正解:ア

  • SAML(Security Assertion Markup Language)は、IPやパスワードなどの認証、属性及び許可の情報をWebサイト間で安全に交換するためのXML仕様。標準化団体 OASISによって策定された。
  • SOAP(Simple Object Access Protocol)は、Webサービスの送受信プログラム間で、XML形式のメッセージを受け渡すプロトコルです。
  • XKMS(XML Key Management Specification)は、XMLディジタル署名や暗号化を利用するWebサービスのプリケーションのために、公開鍵の配布と登録を行うプロトコル。
  • XML Signatureは、XMLディジタル署名のこと。

  • SC H24 秋 午前Ⅱ 問12

    ディジタルフォレンジックスを説明したものはどれか。

  • 画像や音楽などのディジタルコンテンツの著作権者などの情報を埋め込む。
  • コンピュータやネットワークのセキュリティ上の弱点を発見するテスト手法の一つであり,システムを実際に攻撃して侵入を試みる。
  • ネットワーク管理者や利用者などから,巧みな話術や盗み聞き,盗み見などの手段によって,パスワードなどのセキュリティ上重要な情報を入手する。
  • 犯罪に対する証拠となり得るデータを保全し,その後の訴訟などに備える。
  • 解答を見る
    正解:エ


    SC H24 秋 午前Ⅱ 問13

    ゼロデイ攻撃の特徴はどれか。

  • セキュリティパッチが提供される前にパッチが対象とする脆弱性を攻撃する。
  • 特定のサイトに対し、日時を決めて、複数台のPCから同時に攻撃する。
  • 特定のターゲットに対し、フィッシングメールを送信して不正サイトへ誘導する。
  • 不正中継が可能なメールサーバを見つけた後、それを踏み台にチェーンメールを大量に送信する。
  • 解答を見る
    正解:ア


    SC H24 秋 午前Ⅱ 問14

    SSLに関する記述のうち,適切なものはどれか。

  • SSLで使用するWebサーバのディジタル証明書には IP アドレスの組込みが必須なので,Web サーバの IP アドレスを変更する場合は,ディジタル証明書を再度取得する必要がある。
  • SSLで使用する個人認証用のディジタル証明書は,ICカードなどに格納できるので,格納場所を特定のPCに限定する必要はない。
  • SSLはWebサーバを経由した特定の利用者間の通信のために開発されたプロトコルであり,Webサーバ提供者への事前の利用者登録が不可欠である。
  • 日本国内では,SSLで使用できる共通鍵の長さは,128ビット未満に制限されている。
  • 解答を見る
    正解:イ

  • ディジタル証明書にIP アドレスは含まれません。
  • 個人認証用のディジタル証明書は、ICカードなどに格納できます。
  • 事前の利用者登録は必要ありません。
  • このような制限はない。

  • SC H24 秋 午前Ⅱ 問16

    SSLに対するバージョンロールバック攻撃の説明はどれか。

  • SSL実装の脆弱性を用いて,通信経路に介在する攻撃者が弱い暗号化通信方式を強制することによって,暗号化通信の内容を解読して情報を得る。
  • SSLのハンドシェイクプロトコルの終了前で使用暗号アルゴリズムの変更メッセージを,通信経路に介在する攻撃者が削除することによって,通信社が暗号化なしでセッションを開始し,攻撃者がセッションの全通信を盗聴したり改ざんしたりする。
  • SSLを実装した環境において,攻撃者が物理的デバイスから得られた消費電流の情報などを利用して秘密情報を得る。
  • 保守作業のミスや誤操作のときに回復できるようにバックアップしたSSLの旧バージョンのライブラリを,攻撃者が外部から破壊する。
  • 解答を見る
    正解:ア

    バージョンロールバック攻撃とは、通信プロトコルを古いバージョンに強制変更させ、古いバージョンの脆弱性を突いて攻撃する手法。

    オープンソースの暗号化ソフトウェアライブラリ「OpenSSL」 (ver 0.9.8 以前)には、バージョン・ロールバック攻撃の脆弱性が存在する。
    OpenSSLによる通信を行う場合、強制的に弱い暗号化方式に変更され、盗聴や改ざん等の攻撃を受ける可能性があります。

    参考サイト:JVN


    SC H24 秋 午前Ⅱ 問17

    ネットワークを構成する装置の用途や機能に関する記述のうち,適切なものはどれか。

  • ゲートウェイは,主にトランスポート層以上での中継を行う装置であり,異なったプロトコル体系のネットワーク間の接続などに用いられる。
  • ブリッジは,物理層での中継を行う装置であり,フレームのフィルタリング機能を持つ。
  • リピータは,ネットワーク層での中継を行う装置であり,伝送途中で減衰した信号レベルの補正を再生増幅を行う。
  • ルータは,データリンク層のプロトコルに基づいてフレームの中継と交換を行う装置であり,フロー制御や最適経路選択などの機能を持つ。
  • 解答を見る
    正解:ア


    SC H24 秋 午前Ⅱ 問18

    DNSSECに関する記述として,適切なものはどれか。

  • DNSサーバへのDoS攻撃を防止できる。
  • IPsecによる暗号化通信が前提となっている。
  • 代表的なDNSサーバの実装であるBINDの代替として使用する。
  • ディジタル署名によってDNS応答の正当性を確認できる。
  • 解答を見る
    正解:エ

    DNSSEC(DNS Security Extensions)は、DNSのセキュリティ拡張方式。
    DNSのレコードに公開鍵暗号方式によるディジタル署名を付加し、応答を受け取った側で、そのディジタル署名を検証する仕組み。ディジタル署名を検証することで、レコードの送信者の正当性と応答が改ざんされてないことを保証できる。
    DNSキャッシュポイズニングの対策に有効。


    SC H24 秋 午前Ⅱ 問19

    2 台の PC を IPv6 ネットワークに接続するとk、2 台ともプレフィックスが 2001:db8:100:1000::/56 の IPv6 サブネットに入るようになるIPアドレスの組合せはどれか。

    1台目のPC 2台目のPC
    2001:db8:100::aa:bb 2001:db8:100::cc:dd
    2001:db8:100:1000::aa:bb 2001:db8:100:2000::cc:dd
    2001:db8:100:1010::aa:bb 2001:db8:100:1020::cc:dd
    2001:db8:100:1100::aa:bb 2001:db8:100:1200::cc:dd

    解答を見る
    正解:ウ


    SC H24 秋 午前Ⅱ 問20

    HTTPの認証機能を利用するクライアント側の処理として,適切なものはどれか。

  • ダイジェスト認証では,利用者IDとパスワードを":"で連結したものを,MD5を使ってエンコードし Authorization ヘッダで指定する。
  • ダイジェスト認証では,利用者IDとパスワードを":"で連結したものを,SHAを使ってエンコードし Authorization ヘッダで指定する。
  • ベーシック認証では,利用者IDとパスワードを":"で連結したものを,BASE64でエンコードし Authorizationヘッダで指定する。
  • ベーシック認証では,利用者IDとパスワードを":"で連結したものを,エンコードせずにAuthorizationヘッダで指定する。
  • 解答を見る
    正解:ウ


    SC H24 秋 午前Ⅱ 問21

    データベースのデータを更新するトランザクションが,実行途中で異常終了したとき,更新中のデータに対して行われる処理はどれか。

  • 異常終了時点までの更新ログ情報を破棄することによって,データをトランザクション開始前の状態に回復する。
  • チェックポイント時点からコミット完了しているトランザクションの更新をロールフォワードすることによって,データを回復する。
  • トランザクションの更新ログ情報を使って異常終了時点までロールフォワードすることによって,データを回復する。
  • ロールバックすることによって,データをトランザクション開始前の状態に回復する。
  • 解答を見る
    正解:エ


    SC H24 秋 午前Ⅱ 問22

    オブジェクト指向における情報隠蔽に関する記述として,適切なものはどれか。

  • オブジェクトの特性(属性,関連,操作)をまとめて抽象化する。
  • オブジェクトは,メッセージによってだけアクセス可能となる。
  • 親クラスに定義されたメソッドを,実行時に子クラスに引き継ぐ。
  • 同一メッセージでも,実行時の受信クラスに基づいて適用されるメソッドが決まる。
  • 解答を見る
    正解:イ

  • クラスの説明。
  • 情報隠蔽(カプセル化)の説明。
  • 継承(インヘリタンス)の説明。
  • 多様性(ポリモルフィズム)の説明

  • SC H24 秋 午前Ⅱ 問23

    特許権に関する記述のうち,適切なものはどれか。

  • A社が特許を出願するより前に独自に開発して販売した製品は,A社の特許権の侵害にならない。
  • 組込み機器におけるハードウェアは特許権で保護されるが,ソフトウェアは保護されない。
  • 審査を受けて特許権を取得した後に,特許権が無効になることはない。
  • 先行特許と同一の技術であっても,独自に開発した技術であれば特許権の侵害にならない。
  • 解答を見る
    正解:ア


    SC H24 秋 午前Ⅱ 問24

    ソフトウェア開発・保守工程において,リポジトリを構築する理由として,最も適切なものはどれか。

  • 各工程で検出した不良を管理することが可能になり,ソフトウェアの品質分析が容易になる。
  • 各工程での作業手順を定義することが容易になり,開発・保守時の作業のミスを防止することができる。
  • 各工程での作業予定と実績を関連付けて管理することが可能になり,作業の進捗管理が容易になる。
  • 各工程での成果物を一元管理することによって,開発・保守作業の効率が良くなり,用語の統一もできる。
  • 解答を見る
    正解:エ


    SC H24 秋 午前Ⅱ 問25

    システム監査で用いる統計的サンプリングに関する記述のうち,適切なものはどれか。

  • 開発プロセスにおけるコントロールを評価する際には,開発規模及び影響度の大きい案件を選定することによって,母集団全体の評価を導き出すことができる。
  • コントロールが有効であると判断するために必要なサンプル件数を事前に決めることができる。
  • 正しいサンプリング手順を踏むことによって,母集団全体に対して検証を行う場合と同じ結果を常に導き出すことができる。
  • 母集団からエラー対応が行われたデータを選定することによって,母集団全体に対してコントロールが適切に行われていることを確認できる。
  • 解答を見る
    正解:イ