SC H27 秋 午前Ⅱ 問1

AESの暗号化方式を説明したものはどれか。

  • 鍵長によって, 段数が決まる。
  • 段数は, 6回以内の範囲で選択できる。
  • データの暗号化, 復号, 暗号化の順に3回繰り返す。
  • 同一の公開鍵を用いて暗号化を3回繰り返す。
  • 解答を見る
    正解:ア

    AES(Advanced Encryption Standard)
    ・米国標準の共通鍵暗号方式(DESの後継規格)
    ・暗号や復号が高速である(共通鍵暗号方式のメリット)
    ・使用する鍵長は128ビット・192ビット・256ビットの3つの中から選択できる。鍵長によって、段数(ラウンド数ともいう)が決まる。段数とは、暗号化処理を繰り返す回数のことです。


  • AESの説明。
  • 段数は6回以内の範囲ではない。
    128ビットは10回、192ビットは12回、256ビットは14回と決まっている。
  • トリプルDESの説明。トリプルDESは、DESの暗号化処理を3回繰り返す。
  • このような暗号化方式は存在しない。

  • SC H27 秋 午前Ⅱ 問2

    特定の認証局が発行した CRLに関する記述のうち,適切なものはどれか。

  • CRLには,失効したディジタル証明書に対応する秘密鍵が登録される。
  • CRLには,有効期限内のディジタル証明書のうち失効したディジタル証明書と失効した日時の対応が提示される。
  • CRLは,鍵の漏えい,破棄申請の状況をリアルタイムに反映するプロトコルである。
  • 有効期限切れで失効したディジタル証明書は,所有者が新たなディジタル証明書を取得するまでの間,CRL に登録される。
  • 解答を見る
    正解:イ

    CRLは、有効期限内に失効されたディジタル証明書のシリアル番号のリストで、証明書の有効性を検証するために使われます。

    CRL には失効された証明書のシリアル番号、CRL の発行者名、更新日、次回更新日などが記載されます。有効期限切れとなった証明書はCRLには記載されません。

  • CRLに、ディジタル証明書に対応する秘密鍵は登録されません。
  • 正しい記述です。
  • このようなプロトコルは存在しません。そもそもCRLはプロトコルではありません。
  • 有効期限切れで失効した証明書はCRLには記載されません。

  • SC H27 秋 午前Ⅱ 問3

    ステートフルインスペクション方式のファイアウォールの特徴はどれか。

  • WebブラウザとWebサーバとの間に配置され, リバースプロキシサーバとして動作する方式であり, WebブラウザからWebサーバへの通信に不正なデータがないかどうかを検査する。
  • アプリケーションプロトコルごとにプロキシプログラムを用意する方式であり, クライアントからの通信を目的のサーバに中継する際に, 不正なデータがないかどうかを検査する。
  • 特定のアプリケーションプログラムだけを透過させるゲートウェイソフトウェアを利用する方式であり, クライアントからのコネクションの要求を受け付けて, 目的のサーバに改めてコネクションを要求することによって, アクセスを制御する。
  • パケットフィルタリングを拡張した方式であり, 過去に通過したパケットから通信セッションを認識し, 受け付けたパケットを通信セッションの状態に照らし合わせて通過させるか遮断させるかを判断する。
  • 解答を見る
    正解:エ


    SC H27 秋 午前Ⅱ 問4

    PCに内蔵されるセキュリティチップ(TPM:Trusted Platform Module)がもつ機能はどれか。

  • TPM間の共通鍵の交換
  • 鍵ペアの生成
  • ディジタル証明書の発行
  • ネットワーク経由の乱数送信
  • 解答を見る
    正解:イ

    TPMは、耐タンパ性をもつセキュリティチップ。
    RSA暗号による鍵ペア生成、SHA-1によるハッシュ値計算などの機能を提供する。

  • TPM間の共通鍵の交換機能はない。
  • TPM内部でRSA暗号による鍵ペア(公開鍵と共通鍵)を生成できる。
  • ディジタル証明書の発行機能はない。
  • ネットワーク経由の乱数送信機能はない。

  • SC H27 秋 午前Ⅱ 問5

    ポリモーフィック型ウイルスの説明として,適切なものはどれか。

  • インターネットを介して,攻撃者が PC を遠隔操作する。
  • 感染するごとにウイルスのコードを異なる鍵で暗号化し, ウイルス自身を変化させて同一のパターンで検知されないようにする。
  • 複数のOSで利用できるプログラム言語でウイルスを作成することによって,複数のOS上でウイルスが動作する。
  • ルートキットを利用してウイルスに感染していないように見せかけることによって,ウイルスを隠蔽する。
  • 解答を見る
    正解:イ

    ポリモーフィック型ウイルスは、感染するごとにウイルスのコードを異なる鍵で暗号化するコンピュータウイルス。
    ポリモーフィック(polymorphic)は、多形性という意味。
    ミューテーション型ウイルスとも呼ばれる。


    SC H27 秋 午前Ⅱ 問6

    ISO/IEC 15408 を評価基準とする"ITセキュリティ評価及び認証制度"の説明として, 適切なものはどれか。

  • 暗号モジュールに暗号アルゴリズムが適切に実装され, 暗号鍵などが確実に保護されているかどうかを評価及び認証する制度
  • 主に無線LANにおいて, RADIUSなどと連携することで, 認証されていない利用者を全て排除し, 認証された利用者だけの通信を通過させることを評価及び認証する制度
  • 情報技術に関連した製品のセキュリティ機能の適切性, 確実性を第三者機関が評価し, その結果を公的に認証する制度
  • 情報セキュリティマネジメントシステムが, 基準にのっとり, 適切に組織内に構築, 運用されていることを評価及び認証する制度
  • 解答を見る
    正解:ウ


    SC H27 秋 午前Ⅱ 問7

    特定の情報資産の漏えいに関するリスク対応のうち, リスク回避に該当するものはどれか。

  • 外部の者が侵入できないように, 入退室をより厳重に管理する。
  • 情報資産を外部のデータセンタに預託する。
  • 情報の新たな収集を禁止し, 収集済みの情報を消去する。
  • 情報の重要性と対策費用を勘案し, あえて対策をとらない。
  • 解答を見る
    正解:ウ

    リスク対応には、「リスクコントロール」と「リスクファイナンス」の2種類があります。

    リスクコントロール
    リスクの発生や損失を最小限に抑えるために事前に行う対策のこと。
    リスクコントロールの種類には、リスクの発生・損失を抑える「リスク最適化(リスク低減)」、リスクそのものを持たない「リスク回避」などがある。

    リスクファイナンス
    リスクが発生した際に生じる損失に備えて行う資金的対策のこと。
    リスクファイナンスの種類には、保険に加入することで自社以外にもリスクを移す「リスク移転」、自己資金を蓄えて損失時の対応に備える「リスク保有」などがある。

  • リスク最適化(リスク低減)に該当する
  • リスク移転に該当する
  • リスク回避に該当する
  • リスク保有に該当する

  • SC H27 秋 午前Ⅱ 問8

    水飲み場型攻撃(Watering Hole Attack)の手口はどれか。

  • アイコンを文書ファイルのものに偽装した上で, 短いスクリプトを埋め込んだショートカットファイル(LNKファイル)を電子メールに添付して標的組織の従業員に送信する。
  • 事務連絡などのやり取りを行うことで, 標的組織の従業員の気を緩めさせ, 信用させた後, 攻撃コードを含む実行ファイルを電子メールに添付して送信する。
  • 標的組織の従業員が頻繁にアクセスするWebサイトに攻撃コードを埋め込み, 標的組織の従業員がアクセスしたときだけ攻撃が行われるようにする。
  • ミニブログのメッセージにおいて, ドメイン名を短縮してリンク先のURLを分かりにくくすることによって, 攻撃コードを埋め込んだWebサイトに標的組織の従業員を誘導する。
  • 解答を見る
    正解:ウ
    水飲み場型攻撃は、特定の組織や企業を対象とした標的型攻撃の手法のひとつです。

    攻撃者は、攻撃対象のユーザが普段頻繁にアクセスするWebサイトを改ざんし、Webサイトを閲覧しただけで自動的にマルウェアをインストールさせる悪意あるコードを埋め込みます。

    ユーザーは普段頻繁にアクセスするWebサイトは信頼しているという点をつけ込んだ攻撃であるため、攻撃による被害を受けたことに気づきにくい。

    「水飲み場」の由来は、肉食獣であるライオン(=攻撃者)が、水飲み場(=頻繁にアクセスするWebサイト)に集まる草食獣(=攻撃対象のユーザ)を獲物として待ち伏せする状況になぞらえている。


    SC H27 秋 午前Ⅱ 問9

    不正が発生する際には"不正のトライアングル"の3要素全てが存在すると考えられている。"不正のトライアングル"の構成要素の説明のうち, 適切なものはどれか。

  • "機会"とは, 情報システムなどの技術や物理的な環境及び組織のルールなど, 内部者による不正行為の実行を可能, 又は容易にする環境の存在である。
  • "情報と伝達"とは, 必要な情報が識別, 把握及び処理され, 組織内外及び関係者相互に正しく伝えられるようにすることである。
  • "正当化"とは, ノルマによるプレッシャーなどのことである。
  • "動機"とは, 良心のかしゃくを乗り越える都合の良い解釈や他人への責任転嫁など, 内部者が不正行為を自ら納得させるための自分勝手な理由付である。
  • 解答を見る
    正解:ア


    SC H27 秋 午前Ⅱ 問10

    ICMP Flood攻撃に該当するものはどれか。

  • HTTP GET コマンドを繰返し送ることによって,攻撃対象のサーバのコンテンツ送信の負荷を掛ける。
  • pingコマンドを用いて大量の要求パケットを発信することによって,攻撃対象のサーバに至るまでの回線を過負荷にしてアクセスを妨害する。
  • コネクション開始要求に当たるSYNパケットを大量に送ることによって,攻撃対象のサーバに,接続要求ごとに応答を返すための過大な負荷を掛ける。
  • 大量のTCPコネクションを確立することによって,攻撃対象のサーバに接続を維持させ続けてリソースを枯渇させる。
  • 解答を見る
    正解:イ

  • HTTP GET Flood攻撃の説明。代表的な攻撃として、手動でF5キーを連打するF5アタックがある。
  • ICMP Flood攻撃の説明。
  • SYN Flood攻撃の説明。
  • Connection Flood攻撃の説明。
  • Floodは直訳すると「洪水」「~にあふれる」という意味。


    SC H27 秋 午前Ⅱ 問11

    VLAN機能をもった1台のレイヤ3スイッチに複数のPCを接続している。スイッチのポートをグループ化して複数のセグメントに分けると, セグメントを分けない場合に比べて, どのようなセキュリティ上の効果が得られるか。

  • スイッチが, PCから送出されるICMPパケットを全て遮断するので, PC間のマルウェア感染のリスクを低減できる。
  • スイッチが, PCからのブロードキャストパケットの到達範囲を制限するので, アドレス情報の不要な流出のリスクを低減できる。
  • スイッチが, PCのMACアドレスから接続可否を判別するので, PCの不正接続のリスクを低減できる。
  • スイッチが, 物理ポートごとに, 決まったIPアドレスのPC接続だけを許可するので, PCの不正接続のリスクを低減できる。
  • 解答を見る
    正解:イ


    SC H27 秋 午前Ⅱ 問12

    クロスサイトスクリプティングによる攻撃を防止する対策はどれか。

  • WebサーバにSNMPエージェントを常駐稼働させ, Webサーバの負荷状態を監視する。
  • WebサーバのOSのセキュリティパッチについて, 常に最新のものを適用する。
  • Webサイトへのデータ入力について, 許容範囲を超えた大きさのデータの書込みを禁止する。
  • Webサイトへの入力データを表示するときに, HTMLで特別な意味をもつ文字のエスケープ処理を行う。
  • 解答を見る
    正解:エ

    クロスサイトスクリプティング対策とくれば、サニタイジング(エスケープ処理とほぼ同義)

    サニタイジングとは、特別な意味を持つ文字(メタキャラクタ)を別の文字に置換して入力データを無害化することです。クロスサイトスクリプティング対策において、サニタイジングはスクリプトの無効化を意味します。

    サニタイジングとエスケープ処理の違いとは?

    エスケープ処理とは、特別な意味を持つ文字(メタキャラクタ)を別の文字に置換する処理のこと。
    サニタイジングとほぼ同義と考えてよい。
    入力データを無害化することが「サニタイジング」で、それを実現するための手段のひとつが「エスケープ処理」です。


    SC H27 秋 午前Ⅱ 問13

    WebサーバがHTTPS通信の応答でCookieにSecure属性を設定したときのブラウザの処理はどれか。

  • ブラウザは, Cookieの“Secure=”に続いて指定された時間を参照し, 指定された時間を過ぎている場合にそのCookieを削除する。
  • ブラウザは, Cookieの“Secure=”に続いて指定されたホスト名を参照し, 指定されたホストにそのCookieを送信する。
  • ブラウザは, Cookieの“Secure”を参照し, HTTPS通信時だけそのCookieを送信する。
  • ブラウザは, Cookieの“Secure”を参照し, ブラウザの終了時にそのCookieを削除する。
  • 解答を見る
    正解:ウ

    Cookieは、Webサーバーが発行し Webブラウザを通じてユーザのコンピュータに保存される情報で、ユーザの識別やセッション管理のために利用されます。例えば、ショッピングサイトのカート情報がしばらくの間保持されるのもCookieの機能によるものです。

    Cookieは、Secure属性という属性を設定することができる。
    Secure属性を設定した場合、HTTPS通信の時だけWebブラウザからWebサーバにCookieが送信される。HTTP通信の時はCookieが送信されません。
    Secure属性が設定していない場合、HTTPS通信時に平文で送信されるため、盗聴される危険性がある。


    SC H27 秋 午前Ⅱ 問14

    テンペスト(TEMPEST)攻撃を説明したものはどれか。

  • 故意に暗号化演算を誤動作させて正しい処理結果との差異を解析する。
  • 処理時間の差異を計測し解析する。
  • 処理中に機器から放射される電磁波を観測し解析する。
  • チップ内の信号線などに探針を直接当て,処理中のデータを観測し解析する。
  • 解答を見る
    正解:ウ

    テンペスト攻撃とは、電磁波盗聴攻撃のこと。
    ディスプレイなどから放射される微弱な電磁波を観測し、解析することで情報を盗み見る攻撃です。
    対策としては、電磁波を遮断する製品を使用したり、電磁波を遮断可能な部屋に機器を設置することで対抗します。


    SC H27 秋 午前Ⅱ 問15

    脆弱性検査で, 対象ホストに対してポートスキャンを行った。対象ポートの状態を判定する方法のうち, 適切なものはどれか。

  • 対象ポートにSYNパケットを送信し, 対象ホストから“RST/ACK”パケットを受信するとき, 対象ポートが開いていると判定する。
  • 対象ポートにSYNパケットを送信し, 対象ホストから“SYN/ACK”パケットを受信するとき, 接続要求が中断又は拒否されたと判定する。
  • 対象ポートにUDPパケットを送信し, 対象ホストからメッセージ“port unreachable”を受信するとき, 対象ポートが閉じていると判定する。
  • 対象ポートにUDPパケットを送信し, 対象ホストからメッセージ“port unreachable”を受信するとき, 対象ポートが開いていると判定する。
  • 解答を見る
    正解:ウ

    ポートスキャンとは、対象ホストのポートが開いているか、閉じているかを調査するための行為です。本来、ネットワーク管理者などが脆弱性検査を行うための行為ですが、攻撃者が脆弱性のあるポートを見つける目的で悪用もされている。

    ポートスキャンにはたくさんの種類があります。
    以下はポートスキャンの手法のほんの一部です。

    • TCP SYNスキャン
      対象ポートにSYNパケットを送信し、応答パケットを確認する手法。最後のFINパケットを送信せず、コネクションの途中で止めることからTCPハーフスキャンとも呼ばれる。
      ・SYN/ACKパケットを受信した場合、そのポートは開いていると判定する。
      ・RST/ACKパケットを受信した場合、そのポートは閉じていると判断する。
    • UDPスキャン
      対象ポートにUDPパケットを送信し、ポートの状況を確認する手法。
      ・応答がない場合、そのポートは開いていると判定する。(UDPはコネクションレス型)
      ・“port unreachable”は「ポートに到達できません」という意味。このメッセージを受信した場合、そのポートは閉じていると判定する。

    【選択肢の解説】

  • “RST/ACK”パケットを受信するとき, 対象ポートが開じていると判定する。
  • “SYN/ACK”パケットを受信するとき, 対象ポートが開いていると判定する。
  • 正しい記述です。
  • “port unreachable”メッセージを受信した場合, 対象ポートが閉じていると判定する。
  • 【補足】
    以下は、TCPヘッダに設定される制御用フラグの一部です。
    ・SYN(Synchronize)…TCP接続の確立を要求するためのフラグ
    ・ACK(Acknowledgement)…確認応答のためのフラグ。
    ・RST(Reset)…コネクションを強制切断するためのフラグ
    ・FIN(Finish)…TCP接続を終了する際にFINフラグが立つ。


    SC H27 秋 午前Ⅱ 問16

    ダウンローダ型ウイルスが内部ネットワークのPCに感染したとき, そのマルウェアによってインターネット経由で他のマルウェアがダウンロードされることを防ぐ対策として, 最も有効なものはどれか。

  • URLフィルタを用いてインターネット上の危険なWebサイトへの接続を遮断する。
  • インターネットから内部ネットワークに向けた要求パケットによる不正侵入行為をIPSで破棄する。
  • スパムメール対策サーバでインターネットからのスパムメールを拒否する。
  • メールフィルタで他サイトへの不正メール発信を遮断する。
  • 解答を見る
    正解:ア

    ダウンローダ型ウイルス
    インターネット経由で他のウイルスをダウンロードして実行するタイプのウイルス。
    ダウンローダー型ウイルス単独でおかしな挙動はしないので、ウイルス対策ソフトでも検出されにくい。
    URLフィルタを用いてインターネット上の不正Webサイトへの接続を遮断する対策が有効。


    SC H27 秋 午前Ⅱ 問17

    OAuth2.0において, WebサービスAの利用者Cが, WebサービスBにリソースDを所有している。利用者Cの承認の下, WebサービスAが, リソースDへの限定的なアクセス権限を取得するときのプロトコルOAuth2.0の動作はどれか。

  • WebサービスAが, アクセストークンを発行する。
  • WebサービスAが, 利用者Cのディジタル証明書をWebサービスBに送信する。
  • WebサービスBが, アクセストークンを発行する。
  • WebサービスBが, 利用者Cのディジタル証明書をWebサービスAに送信する。
  • 解答を見る
    正解:ウ


    SC H27 秋 午前Ⅱ 問18

    DNSのMXレコードで指定するものはどれか。

  • 宛先ドメインへの電子メールを受け付けるメールサーバ
  • エラーが発生したときの通知先のメールアドレス
  • 複数のDNSサーバが動作しているときのマスタDNSサーバ
  • メーリングリストを管理しているサーバ
  • 解答を見る
    正解:ア


    SC H27 秋 午前Ⅱ 問19

    スパニングツリープロトコルの機能を説明したものはどれか。

  • MACアドレスを見て, フレームを廃棄するか中継するかを決める。
  • 一定時間通信が行われていないMACアドレスを, MACアドレステーブルから消去する。
  • 経路が複数存在する場合, アプリケーションやアドレスごとに経路を振り分けて, 負荷を分散する。
  • 複数のブリッジ間で情報を交換し合い, ループ発生の検出や障害発生時の迂回ルート決定を行う。
  • 解答を見る
    正解:エ


    SC H27 秋 午前Ⅱ 問20

    ファイル転送プロトコルTFTPをFTPと比較したときの記述として, 適切なものはどれか。

  • 暗号化を用いてセキュリティ機能を強化したファイル転送プロトコル
  • インターネットからのファイルのダウンロード用に特化したファイル転送プロトコル
  • テキストデータの転送を効率的に行うためにデータ圧縮機能を追加したファイル転送プロトコル
  • ユーザ認証を省略したUDPを用いる, 簡素化されたファイル転送プロトコル
  • 解答を見る
    正解:エ

    TFTP(Trivial File Transfer Protocol)
    TFTPは、FTPよりもシンプルなファイル転送プロトコル。ユーザIDとパスワードを利用した認証処理がなく、UDPを用いているため、信頼性は低いが、処理が軽い。
    ちなみに、Trivialは「ささいな」「取るに足らない」という意味を持つ。


    SC H27 秋 午前Ⅱ 問21

    データウェアハウスを構築するために, 業務システムごとに異なっているデータ属性やコード体系を統一する処理はどれか。

  • ダイス
  • データクレンジング
  • ドリルダウン
  • ロールアップ
  • 解答を見る
    正解:イ


    SC H27 秋 午前Ⅱ 問22

    ソフトウェア開発・保守工程において,リポジトリを構築する理由として,最も適切なものはどれか。

  • 各工程で検出した不良を管理することが可能になり,ソフトウェアの品質分析が容易になる。
  • 各工程での作業手順を定義することが容易になり,開発・保守時の作業のミスを防止することができる。
  • 各工程での作業予定と実績を関連付けて管理することが可能になり,作業の進捗管理が容易になる。
  • 各工程での成果物を一元管理することによって,開発・保守作業の効率が良くなり,用語の統一もできる。
  • 解答を見る
    正解:エ


    SC H27 秋 午前Ⅱ 問23

    特許権に関する記述のうち,適切なものはどれか。

  • A社が特許を出願するより前に独自に開発して販売した製品は,A社の特許権の侵害にならない。
  • 組込み機器におけるハードウェアは特許権で保護されるが,ソフトウェアは保護されない。
  • 審査を受けて特許権を取得した後に,特許権が無効になることはない。
  • 先行特許と同一の技術であっても,独自に開発した技術であれば特許権の侵害にならない。
  • 解答を見る
    正解:ア


    SC H27 秋 午前Ⅱ 問24

    入出力データの管理方針のうち, 適切なものはどれか。

  • 出力帳票の受渡しは授受管理表などを用いて確実に行い, 情報の重要度によっては業務部門の管理者に手渡しする。
  • 出力帳票の利用状況を定期的に点検し, 利用されていないと判断したものは, 情報システム部門の判断で出力を停止する。
  • チェックによって発見された入力データの誤りは, 情報システム部門の判断で修復する。
  • 入力原票やEDI受信ファイルなどの取引情報は, 機密性を確保するために, データをシステムに取り込んだら速やかに廃棄する。
  • 解答を見る
    正解:ア


    SC H27 秋 午前Ⅱ 問25

    システム監査における監査証拠の説明のうち, 適切なものはどれか。

  • 監査人が収集又は作成する資料であり, 監査報告書に記載する監査意見や指摘事項は, その資料によって裏付けられていなければならない。
  • 監査人が当初設定した監査手続を記載した資料であり, 管理人はその資料に基づいて監査を実施しなければならない。
  • 機密性の高い情報が含まれている資料であり, 監査人は監査報告書の作成後, 速やかに全てを処分しなければならない。
  • 被監査部門が監査人に提出する資料であり, 監査人が自ら作成する資料は含まれない。
  • 解答を見る
    正解:ア