SC H24 春 午前Ⅱ 問1

クリックジャッキング攻撃に該当するものはどれか。

  • Webアプリケーションの脆弱性を悪用し,Webサーバに不正なリクエストを送ってWebサーバからのレスポンスを二つに分割させることによって,利用者のブラウザのキャッシュを偽造する。
  • Webページのコンテンツ上に透明化した標的サイトのコンテンツを配置し、利用者が気づかないうちに標的サイト上で不正操作を実行させる。
  • ブラウザの表示機能を利用し,ブラウザの非活性なタブの中身を,利用者が気づかないうちに偽ログインページに書き換えて,それを操作させる。
  • 利用者のブラウザの設定を変更することによって,利用者のWebページの閲覧履歴やパスワードなどの機密情報を盗み出す。
  • 解答を見る
    正解:イ

  • HTTPレスポンス分割攻撃の説明。
  • クリックジャッキング攻撃の説明。
  • タブナビング(Tabnabbing)攻撃の説明。
  • ブラウザハイジャッカーの説明。

  • SC H24 春 午前Ⅱ 問2

    作成者によってディジタル署名された電子文書に,タイムスタンプ機関がタイムスタンプを付与した。
    この電子文書を公開する場合のタイムスタンプの効果のうち,適切なものはどれか。

  • タイムスタンプを付与した時刻以降に,作成者が,電子文書の内容をほかの電子文書へコピーして流用することを防止する。
  • タイムスタンプを付与した時刻以降に,第三者が,電子文書の内容をほかの電子文書へコピーして流用することを防止する。
  • 電子文書が,タイムスタンプの時刻以前に存在したことを示し,作成者が,電子文書の作成を否認することを防止する。
  • 電子文書が,タイムスタンプの時刻以前に存在したことを示し,第三者が,電子文書を改ざんすることを防止する。
  • 解答を見る
    正解:ウ

    タイムスタンプ技術で実現できることは以下の2点です。

  • 完全性証明:タイムスタンプを付与したデータがある時刻以前に存在していたことを証明する。否認の防止に有効。
  • 存在証明:データの改ざんを検知できる。
  • 作成者であろうと、電子文書の内容コピーをタイムスタンプで防ぐことはできない。
  • 電子文書の内容コピーをタイムスタンプで防ぐことはできない。
  • 正しい記述です。
  • タイムスタンプで改ざんの検知はできるが、改ざんの防止はできない。

  • SC H24 春 午前Ⅱ 問3

    ディジタル証明書に関する記述のうち,適切なものはどれか。

  • S/MIMEやTLSで利用するディジタル証明書の規格は,ITU-T X.400で規定されている。
  • ディジタル証明書は,SSL/TLSプロトコルにおいて通信データの暗号化のための鍵交換や通信相手の認証に利用される。
  • 認証局が発行するディジタル証明書は, 申請者の秘密鍵に対して認証局がディジタル署名したものである。
  • ルート認証局は,下位層の認証局の公開鍵にルート証明書の公開鍵でディジタル署名したディジタル証明書を発行する。
  • 解答を見る
    正解:イ

  • ディジタル証明書の規格は、ITU(国際電気通信連合)が策定したX.509で規定されている。
  • 正しい記述です。
  • 認証局が発行するディジタル証明書は、申請者の公開鍵に対して認証局がディジタル署名したものである。
  • ディジタル証明書は階層構造になっており、下位層の認証局の公開鍵に上位層の認証局の秘密鍵でディジタル署名したディジタル証明書を発行することで、自らの正当性を証明する。

  • SC H24 春 午前Ⅱ 問4

    米国NISTが制定した,AES における鍵長の条件はどれか。

  • 128ビット,192ビット,256ビットから選択する。
  • 256ビット未満で任意に指定する。
  • 暗号化処理単位のブロック長より32ビット長くする。
  • 暗号化処理単位のブロック長より32ビット短くする。
  • 解答を見る
    正解:ア

    AES(Advanced Encryption Standard)とは、旧標準暗号方式DESの安全性が低下したため、米国の標準技術研局(NIST)が後継として採用した新標準暗号方式です。

    AESについては、以下を押さえておきましょう。

    • 米国標準の共通鍵暗号方式
    • 暗号や復号が高速である(これは共通鍵方式のメリット)
    • 使用する鍵長は128ビット・192ビット・256ビットの3つの中から選択できる。


    SC H24 春 午前Ⅱ 問5

    コンティンジェンシープランにおける留意点はどれか。

  • 企業のすべてのシステムを対象とするのではなく,システムの復旧の重要性と緊急性を勘案して対象を決定する。
  • 災害などへの対応のために,すぐに利用できるよう,バックアップデータをコンピュータ室内又はセンタ内に保存しておく。
  • バックアップの対象は,機密情報の中から機密度を勘案して選択する。
  • 被害のシナリオを作成し,これに基づく"予防策定手順"を策定する。
  • 解答を見る
    正解:ア

    コンティンジェンシープランとは、システム障害など不測の事態に備え、緊急時の対応策や行動手順を計画することです。
    コンティンジェンシーは、「偶発事件、不慮の出来事」という意味を持つ。

  • 正しい記述です。企業のすべてのシステムを対象とするのは規模が大きく難しいため、システムの復旧の重要性や緊急性などを考え合わせて対象を決定する方が効率的。
  • コンティンジェンシープランとは無関係の対応。そもそもバックアップデータは遠隔地に保存すべき。
  • コンティンジェンシープランとは無関係の対応。
  • コンティンジェンシープランは、"緊急時"の手順は策定するが、"予防"の手順は策定しない。

  • SC H24 春 午前Ⅱ 問6

    JIS Q 27001:2006における情報システムのリスクとその評価に関する記述のうち, 適切なものはどれか。

  • 脅威とは,脆弱性が顕在化する源のことであり,情報システムに組み込まれた技術的管理策によって脅威のレベルと発生の可能性が決まる。
  • 脆弱性とは,情報システムに対して悪い影響を与える要因のことであり,自然災害,システム障害,人為的過失及び不正行為に大別される。
  • リスクの特定では,脅威が情報資産の脆弱性に付け込むことによって,情報資産に与える影響を特定する。
  • リスク評価では,リスク回避とリスク低減の二つに評価を分類し,リスクの大きさを判断して対策を決める。
  • 解答を見る
    正解:ウ

    JIS Q 27001
    「情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項」
    ISMS適合性評価制度の認証基準でもある。

    JIS(Japanese Industrial Standards)は、日本工業規格。
    JISの後ろのローマ字1文字はJISの部門を表す。Qは管理システム。
    ":2006"は、2006年に発行されたことを表している。


    SC H24 春 午前Ⅱ 問7

    ファイアウォールにおいて,自ネットワークのホストへの侵入を防止する対策のうち,IPスプーフィング(spoofing)攻撃の対策について述べたものはどれか。

  • 外部から入るTCPコネクション確立要求パケットのうち,外部へのインターネットサービスの提供に必要なもの以外を破棄する。
  • 外部から入るUDPパケットのうち,外部へのインタネットサービスの提供や利用したいインターネットサービスに必要なもの以外を破棄する。
  • 外部から入るパケットのあて先 IP アドレスが,インターネットとの直接の通信をすべきでない自ネットワークのホストのものであれば,そのパケットを破棄する。
  • 外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば,そのパケットを破棄する。
  • 解答を見る
    正解:エ

    IPスプーフィング
    送信元IPアドレスを詐称して、別のIPアドレスになりすます(スプーフィング)ことで、攻撃対象となるホストに侵入する攻撃手法。

    対策
    外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば,そのパケットを破棄する。


    SC H24 春 午前Ⅱ 問8

    サイドチャネル攻撃の手法であるタイミング攻撃の対策として,最も適切なものはどれか。

  • 演算アルゴリズムに対策を施して,演算内容による処理時間の差異が出ないようにする。
  • 故障を検出する機構を設けて,検出したら機密情報を破棄する。
  • コンデンサを挿入して,電力消費量が時間的に均一となるようにする。
  • 保護層を備えて,内部のデータが不正に書き換えられないようにする。
  • 解答を見る
    正解:ア

    サイドチャネル攻撃とは、暗号処理装置を物理的手段(処理時間や装置から発する電磁波など)で観察・測定することで、装置内部の機密情報を取得する攻撃手法です。

    サイドチャネル攻撃には様々な種類があり、「タイミング攻撃」や「電力解析攻撃」、「電磁波解析攻撃」(テンペストともいう)などがあります。

    タイミング攻撃とは、暗号化や復号処理にかかる処理時間を測定し、処理時間の違いを統計的に分析して、暗号鍵の解読を行う攻撃手法です。

    対応策として、演算アルゴリズムに対策を施して、演算内容による処理時間の差異が出ないようにします。


    SC H24 春 午前Ⅱ 問9

    PCIデータセキュリティ基準(PCI DSS Version 2.0)の要件のうち,詳細要件の選択肢として,WAFの導入を含むものはどれか。

  • 要件1:カード会員データを保護するために,ファイアウォールをインストールして構成を維持すること
  • 要件3:保存されるカード会員データを保護すること
  • 要件6:安全性の高いシステムとアプリケーションを開発し,保守すること
  • 要件7:カード会員データへのアクセスを,業務上必要な範囲内に制限すること
  • 解答を見る
    正解:ウ

    PCI DSS(Payment Card Industry Data Security Standard)
    クレジットカード情報および取引情報を安全に保護するために策定されたクレジットカード業界における国際的なセキュリティ基準です。
    JCB、American Express、Discover、マスターカード、VISAの5社が共同で策定。

    PCI DSS Version 2.0では、12の要件が規定されていて、要件6.6にWAFの導入に関する記述がある。

    • PCI DSS 要件6.6(抜粋)
      一般公開されているWebアプリケーションの手前にWebアプリケーションファイアウォールをインストールする


    SC H24 春 午前Ⅱ 問10

    DMZ上のコンピュータがインターネットからのpingに応答しないようにファイアウォールのセキュリティルールを定めるとき,“通過禁止"に設定するものはどれか。

  • ICMP
  • TCP及びUDPのポート番号53
  • TCPのポート番号21
  • UDPのポート番号123
  • 解答を見る
    正解:ア

  • pingは、ICMPのネットワーク診断機能です。
  • TCP及びUDPのポート番号53は、DNSで使用するポートです。
  • TCPのポート番号21は、FTPの制御用ポートです。FTPはデータ転送用(TCPポート番号20)と制御用(TCPポート番号21)の2つのポートを使用します。
  • UDPのポート番号123は、NTPで使用するポートです。

  • SC H24 春 午前Ⅱ 問11

    有料の公衆無線LANサービスにおいて実施される,ネットワークサービスの不正利用に対するセキュリティ対策と目的はどれか。

  • 利用者ごとに異なるSSIDを割当てることによって,利用者PCへの不正アクセスを防止する。
  • 利用者ごとに異なるサプリカントを割当てることによって,利用者PCへの不正アクセスを防止する。
  • 利用者ごとに異なるプライベートIPアドレスを割り当てることによって,第三者によるアクセスポイントへのなり済ましを防止する。
  • 利用者ごとに異なる利用者IDを割り当て,パスワードを設定することによって,契約者以外の利用者によるアクセスを防止する。
  • 解答を見る
    正解:エ

  • SSID(Service Set Identifier)は、無線LANにおけるアクセスポイントに割り当てる識別子。利用者ごとに割り当てることはできない。
  • サプリカントは、クライアント側で認証要求するための機器またはソフトウェアのこと。利用者ごとに異なるサプリカントを割り当てても、不正アクセスの防止とはならない。
  • 無線LANのユーザ認証で、プライベートIPアドレスは用いられない。
  • 一般的なセキュリティ対策で、正しい記述です。

  • SC H24 春 午前Ⅱ 問12

    送信元を詐称した電子メールを拒否するために,SPF(Sender Policy Framework)の仕組みにおいて受信側が行うことはどれか。

  • Resent-Sender:,Resent-From:、Sender:,From:などのメールヘッダ情報の送信者メールアドレスを基に送信メールアカウントを検証する。
  • SMTPが利用するポート番号 25の通信を拒否する。
  • SMTP通信中にやり取りされるMAIL FROMコマンドで与えられた送信ドメインと送信サーバの IPアドレスの適合性を検証する。
  • 付加されたディジタル署名を受信側が検証する。
  • 解答を見る
    正解:ウ

  • Sender ID の説明。
  • OP25B(Outbound Port 25 Blocking)の説明。
  • SPF(Sender Policy Framework)の説明。
  • S/MIME の説明。

  • SC H24 春 午前Ⅱ 問13

    迷惑メールの検知手法であるベイジアンフィルタリングの説明はどれか。

  • 信頼できるメール送信元を許可リストに登録しておき,許可リストにない送信元からの電子メールは迷惑メールと判定する。
  • 電子メールが正規のメールサーバから送信されていることを検証し,迷惑メールであるかどうかを判定する。
  • 電子メールの第三者中継を許可しているメールサーバを登録したデータベースに掲載されている情報を基に,迷惑メールであるかどうかを判定する。
  • 迷惑メールを利用者が振り分けるときに,迷惑メールの特徴を自己学習し,迷惑メールであるかどうかを統計的に解析して判定する。
  • 解答を見る
    正解:エ

  • メールのホワイトリストの説明。
  • 送信ドメイン認証の説明です。送信ドメイン認証の技術には、SPF、Sender ID、DKIMなどがあります。
  • DSBL(Distributed Sender Blackhole List)の説明。DSBLとは、電子メールの第三者中継を許可しているメールサーバ等のIPアドレスを登録しているブラックリストです。
  • ベイジアンフィルタリングの説明です。
    ベイズ理論という手法を用いて、過去の迷惑メールから特徴を学習し、迷惑メールであるかどうかを統計的に解析して判定します。

  • SC H24 春 午前Ⅱ 問14

    DNSの再帰的な問合せを使ったサービス不能攻撃(DNS amp)の踏み台にされることを防止する対策はどれか。

  • キャッシュサーバとコンテンツサーバに分離し,インターネット側からキャッシュサーバに問合せできないようにする。
  • 問合せされたドメインに関する情報をWhoisデータベースで確認する。
  • 一つのDNSレコードに複数のサーバのIPアドレスを割り当て,サーバへのアクセスを振り分けて分散させるように設定する。
  • 他のDNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性をディジタル署名で確認するように設定する。
  • 解答を見る
    正解:ア

    DNS ampとは、DNSキャッシュサーバの再帰的な問合せを悪用したDDoS攻撃の一種で、パケットを増幅(amplify)させることから、DNS ampと呼ばれています。

    DNSキャッシュサーバがインターネット側から利用できる状態の場合、踏み台にされる危険性があります。対応策としては、DNSのキャッシュサーバとコンテンツサーバを分離し、インターネット側からキャッシュサーバに問合せできないようにします。
    ちなみにコンテンツサーバは、自分が管理しているゾーン情報のみを応答するDNSサーバのことです。


    SC H24 春 午前Ⅱ 問15

    SMTP-AUTHを使ったメールセキュリティ対策はどれか。

  • ISP管理下の動的IPアドレスからの電子メール送信について,管理外ネットワークのメールサーバへSMTP通信を禁止する。
  • PCからの電子メール送信について,POP接続で利用者認証済の場合にだけ許可する。
  • 通常のSMTPとは独立したサブミッションポートを使用して,PCからメールサーバへの電子メール送信時の認証を行う。
  • 電子メール送信元のサーバについてDNSの逆引きが成功した場合にだけ,電子メール受信を許可する。
  • 解答を見る
    正解:ウ

  • OP25B(Outbound Port 25 Blocking)の説明。
  • POP before SMTPの説明。
  • SMTP-AUTHを使ったメールセキュリティ対策です。
  • DNSの逆引きとは、IPアドレスからドメイン名に変換すること。SMTP-AUTHとは関係ないので、誤り。
  • 【解説】
    一般的に電子メールの送信には、SMTP(25番ポート)を利用しています。

    SMTPには、ユーザー認証機能がないため、スパムメールを送信する業者(スパマー)がたくさんいます。スパマーは、ISP提供のメールサーバを経由せず、メール送信先のメールサーバに直接接続しようとします。

    そこで多くのISPでは、スパムメール対策として、OP25B(Outbound Port 25 Blocking)を導入しています。

    OP25Bとは、ISP提供のメールサーバを経由せず、外部のSMTPサーバ(25番ポート)へ直接接続しようとするパケットをブロックすることです。

    正当な利用者が、ISP提供のメールサーバを経由せず、メール送信先のメールサーバに直接接続する場合は、ポート番号25の代わりに、サブミッションポート(587番ポート)を使用します。

    サブミッションポートの利用には、「SMTP-AUTH」による認証が必要となるため、正当な利用者のみがメール送信を行うことができます。


    SC H24 春 午前Ⅱ 問16

    SQL インジェクション対策について、Web アプリケーションの実装における対策と Web アプリケーションの実装以外の対策の組合せとして、適切なものはどれか。

    Web アプリケーションの
    実装における対策
    Webアプリケーションの
    実装以外の対策
    Web アプリケーション中でシェルを起動しない。 chroot 環境でWebサーバを実行する。
    セッション ID を複雑なものにする。 SSL によって通信内容を秘匿する。
    バインド機構を利用する データベースのアカウントをもつデータベースアクセス権限を必要最小限にする。
    パス名やファイル名をパラメタとして受け取らないようにする。 重要なファイルを公開領域に置かない。

    解答を見る
    正解:ウ

    • OSコマンドインジェクションの対策。
    • セッションハイジャックの対策。
    • SQLインジェクションの対策。
    • ディレクトリトラバーサルの対策。

    SQLインジェクション対策は、午後試験でも問われます。選択肢がなくても答えられるようにしておきたい。


    SC H24 春 午前Ⅱ 問17

    無線LANで用いられるSSIDの説明として,適切なものはどれか。

  • 48ビットのネットワーク識別子であり,アクセスポイントのMACアドレスと一致する。
  • 48ビットのホスト識別子であり,有線LANのMACアドレスと同様の働きをする。
  • 最長32 オクテットのネットワーク識別子であり,接続するアクセスポイントの選択に用いられる。
  • 最長32オクテットのホスト識別子であり,ネットワーク上で一意である。
  • 解答を見る
    正解:ウ


    SC H24 春 午前Ⅱ 問18

    シリアル回線で使用するものと同じデータリンクのコネクション確立やデータ転送を,LAN 上で実現するプロトコルはどれか。

  • MPLS
  • PPP
  • PPPoE
  • PPTP
  • 解答を見る
    正解:ウ

  • MPLS(Multi-Protocol Label Switching)は、ラベルと呼ばれる識別子を利用してパケット転送を行う技術。
  • PPP(Point to Point Protocol)は、2点間を接続してデータ通信を行うための通信プロトコル。
  • PPPoE(Point to Point over Ethernet)は、Ethernet上で、PPPを利用するための通信プロトコル。PPPoEを利用することで、通信接続時にユーザ認証を行うことができる。
  • PPTP(Point to Point Tunneling Protocol)は、PPPを拡張したもので、インターネット上の通信に仮想的なトンネルを作り、安全にデータを送受信するためのプロトコル。

  • SC H24 春 午前Ⅱ 問19

    ネットワーク管理プロトコルであるSNMPバージョン1のメッセージタイプのうち,事象の発生をエージェント自身が自発的にマネージャに知らせるために使用するものはどれか。

  • get-request
  • get-response
  • set-request
  • trap
  • 解答を見る
    正解:エ


    SC H24 春 午前Ⅱ 問20

    WebDAVの特徴はどれか。

  • HTTP上のSOAPによってソフトウェア同士が通信して,ネットワーク上に分散したアプリケーションを連携させることができる。
  • HTTPを拡張したプロトコルを使って,サーバ上のファイルの参照や作成,削除及びバージョン管理が行える。
  • WebアプリケーションからIMAPサーバにアクセスして,ブラウザから添付ファイルを含む電子メールの操作ができる。
  • ブラウザで“ftp://"から始まるURLを指定して,ソフトウェアなどの大容量ファイルのダウンロードができる。
  • 解答を見る
    正解:イ


    SC H24 春 午前Ⅱ 問21

    SQLのGRANT文による権限定義に関する記述のうち,適切なものはどれか。

  • PUBLIC指定によって,すべての権限を与えることができる。
  • WITH GRANT OPTION指定によって,権限を付与可能にすることができる。
  • ビューに対して固有の参照権限を定義できない。
  • 表定義のSQL文内にGRANT文を指定することによって,権限定義ができる。
  • 解答を見る
    正解:イ

    WITH GRANT OPTIONを指定すると、権限を付与されたユーザは自分に与えられている権限を他のユーザに付与することが可能になります。よって、イが正解。


    SC H24 春 午前Ⅱ 問22

    システム開発で行われる各テストについて,そのテスト要求事項が定義されているアクティビティとテストの組合せのうち,適切なものはどれか。

    システム方式設計 ソフトウェア方式設計 ソフトウェア詳細設計
    運用テスト システム結合テスト ソフトウェア結合テスト
    運用テスト ソフトウェア結合テスト ソフトウェアユニットテスト
    システム結合テスト ソフトウェア結合テスト ソフトウェアユニットテスト
    システム結合テスト ソフトウェアユニットテスト ソフトウェア結合テスト

    解答を見る
    正解:ウ


    SC H24 春 午前Ⅱ 問23

    開発した製品で利用している新規技術に関して特許の出願を行った。
    日本において特許権の取得が可能なものはどれか。

  • 学会で技術内容を発表した日から11か月目に出願した。
  • 顧客と守秘義務の確認を取った上で技術内容を説明した後,製品発表前に出願した。
  • 製品を使用した暗号の生成式を出願した。
  • 製品を販売した後に出願した。
  • 解答を見る
    正解:イ


    SC H24 春 午前Ⅱ 問24

    ITサービスマネジメントの情報セキュリティ管理プロセスに対して,JIS Q 20000-1が要求している事項はどれか。

  • 潜在的な問題を低減させるために,予防措置を取らなければならない。
  • ディジタルの構成品目の原本を,物理的又は電子的にセキュリティが保たれた倉庫で管理しなければならない。
  • 変更要求に対しては,そのリスク,影響及び事業利益について,アセスメントを行わなければならない。
  • 変更を実装する前に,変更がセキュリティ管理策に与える影響のアセスメントを行わなければならない。
  • 解答を見る
    正解:エ


    SC H24 春 午前Ⅱ 問25

    内部監査として実施したシステム監査で,問題点の検出後,改善勧告を行うまでの間に監査人が考慮すべき事項として,適切なものはどれか。

  • 改善事項を被監査部門へ事前に通知した場合,不備の是正が行われ,元から不備が存在しなかったように見える可能性があるので,被監査部門に秘匿する。
  • 監査人からの一方的な改善提案は実行不可能なものとなる恐れがあるので,改善勧告の前に,改善策について被監査部門との間で協議する場をもつ。
  • 経営判断に関することを避けるため,不備を改善する際の経済合理性などの判断を行わず,そのまま経営者に対する改善勧告とする。
  • 将来のフォローアップに際して,客観的で中立的な判断を阻害する要因となるので,改善勧告の優先度付けや取捨選択を行うことを避ける。
  • 解答を見る
    正解:イ