SC H27 春 午前Ⅱ 問1

Webのショッピングサイトを安全に利用するため, WebサイトのSSL証明書を表示して内容を確認する。Webサイトが, EV SSL証明書を採用している場合, 存在するサブジェクトフィールドの Organaization Name に記載されているものはどれか。

  • Webサイトの運営団体の組織名
  • 証明書の登録業務を行う機関(RA)の組織名
  • 証明書の発行業務を行う機関(CA)の組織名
  • ドメイン名の登録申請を受け付ける機関(レジストラ)の組織名
  • 解答を見る
    正解:ア

    EV SSL証明書は、Extended Validation SSL証明書の略で、従来のSSL証明書よりも厳格かつ統一的な審査基準が設けられた証明書です。

    EV SSLでは、証明書のフィールドにOrganaization Nameに、「Webサイト運営組織名」を必ず設定する必要があります。

    主要なブラウザでは、EV SSL証明書を採用している場合、Webブラウザのアドレスバーが緑色で表示され、Webサイト運営組織名が表示されます。
    Webブラウザのアドレスバーが緑色であることは、そのWebサイトは厳格な審査が行われており、安心して利用できることを表します。


    SC H27 春 午前Ⅱ 問2

    IEEE802.1X で使われる EAP-TLS によって実現される認証はどれか。

  • CHAP を用いたチャレンジレスポンスによる利用者認証
  • あらかじめ登録した共通鍵によるサーバ認証と、時刻同期のワンタイムパスワードによる利用者認証
  • ディジタル証明書による認証サーバとクライアントの相互認証
  • 利用者 ID とパスワードによる利用者認証
  • 解答を見る
    正解:ウ

    EAP-TLS(Extensible Authentication Protocol Transport Layer Security)
    IEEE802.1X等で使われる認証方式「EAP」の実装方式の一つ。
    EAP-TLSは、ディジタル証明書によるやり取りでサーバとクライアントの相互認証を行う方式である。


    SC H27 春 午前Ⅱ 問3

    RLO (Right-to-Left Override) を利用した手口の説明はどれか。

  • “コンピュータウイルスに感染している”といった偽の警告を出して利用者を脅し, ウイルス対策ソフトの購入などを迫る。
  • 脆弱性があるホストのシステムをあえて公開し, 攻撃の内容を観察する。
  • ネットワーク機器のMIB情報のうち監視項目の値の変化を感知し, セキュリティに関するイベントをSNMPマネージャに通知するように動作させる。
  • 文字の表示順を変える制御文字を利用し, ファイル名の拡張子を偽装する。
  • 解答を見る
    正解:エ

    RLO(Right-to-Left Override) は文字の流れを右から左へ変更するUnicodeの制御文字です。本来、文字を右から左へ読む文化圏(アラビア言語など)に対応するために実装されました。

    しかし、標的型攻撃メールではファイル偽装の手口として悪用されていて、実行形式ファイルを文書ファイル等に偽装して、相手にファイルを開かせようとします。


    SC H27 春 午前Ⅱ 問4

    VA(Validation Authority)の役割はどれか。

  • ディジタル証明書の失効状態についての問合せに応答する。
  • ディジタル証明書を作成するためにディジタル署名する。
  • 認証局に代わって属性証明書を発行する。
  • 本人確認を行い, ディジタル証明書の発行を指示する。
  • 解答を見る
    正解:ア

    VA(Validation Authority)
    証明書有効性検証機関または検証局とも呼ばれる。
    ディジタル証明書の失効リスト(CRL)を一括管理して、ディジタル証明書が有効であるかどうかを検証する機関。
    VAは、CA(認証局)と異なり、ディジタル証明書の発行は行わず、検証に特化した機関である。


    SC H27 春 午前Ⅱ 問5

    サイドチャネル攻撃の説明はどれか。

  • 暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量(処理時間や消費電流など)やエラーメッセージから, 攻撃対象の機密情報を得る。
  • 企業などの機密情報を詐取するソーシャルエンジニアリングの手法の一つであり, 不用意に捨てられた機密情報の印刷物をオフィスの紙ゴミの中から探し出す。
  • 通信を行う2者間に割り込んで, 両者が交換する情報を自分のものとすり替えることによって, 気づかれることなく盗聴する。
  • データベースを利用するWebサイトに入力パラメタとしてSQL文の断片を与えることによって, データベースを改ざんする。
  • 解答を見る
    正解:ア

  • サイドチャネル攻撃の説明。
    サイドチャネル攻撃は、暗号処理装置を物理的手段(処理時間や装置から発する電磁波など)で観察・測定することで、装置内部の機密情報を取得する攻撃手法です。「タイミング攻撃」や「電力解析攻撃」、「電磁波解析攻撃」などの種類がある。
  • スキャビンジング(ごみ箱あさり)の説明。
  • 中間者攻撃(Man-in-the-middle攻撃)の説明。
  • SQLインジェクションの説明。

  • SC H27 春 午前Ⅱ 問6

    X.509におけるCRL(Certificate Revocation List)についての説明のうち, 適切なものはどれか。

  • PKIの利用者は, 認証局の公開鍵がWebブラウザに組み込まれていれば, CRLを参照しなくてもよい。
  • 認証局は, 発行したすべてのディジタル証明書の有効期限をCRLに登録する。
  • 認証局は, 発行したディジタル証明書のうち, 失効したものは, 失効後1年間CRLに登録するよう義務付けられている。
  • 認証局は, 有効期限内のディジタル証明書をCRLに登録することがある。
  • 解答を見る
    正解:エ


    SC H27 春 午前Ⅱ 問7

    JVN(Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCVE(Common Vulnerabilities and Exposures)識別子の説明はどれか。

  • コンピュータで必要なセキュリティ設定項目を識別するための識別子である。
  • 脆弱性を利用して改ざんされたWebサイトのスクリーンショットを識別するための識別子である。
  • 製品に含まれる脆弱性を識別するための識別子である。
  • セキュリティ製品を識別するための識別子である。
  • 解答を見る
    正解:ウ
    CVEとは、製品に含まれる脆弱性を識別するために、米国政府の支援を受けた非営利団体のMITRE社が採番している識別子です。
    JVNとは、情報処理推進機構(IPA)とJPCERT/CCとが共同管理している脆弱性対策ポータルサイトで、「CVE情報源サイト」の一つです。


    SC H27 春 午前Ⅱ 問8

    財務省及び経済産業省が策定した “電子政府における調達のために参照すべき暗号のリスト(CRYPTREC 暗号リスト)” を構成する暗号リストの説明のうち, 適切なものはどれか。

  • 推奨候補暗号リストとは, CRYPTRECによって安全性及び実装性能が確認された暗号技術のうち, 市場における利用実績が十分であるか今後の普及が見込まれると判断され, 当該技術の利用を推奨するもののリストである。
  • 推奨候補暗号リストとは, 候補段階に格下げされ, 互換性維持目的で利用する暗号技術のリストである。
  • 電子政府推奨暗号リストとは, CRYPTRECによって安全性及び実装性能が確認された暗号技術のうち, 市場における利用実績が十分であるか今後の普及が見込まれると判断され, 当該技術の利用を推奨するもののリストである。
  • 電子政府推奨暗号リストとは, 推奨段階に格下げされ, 互換性維持目的で利用される暗号技術のリストである。
  • 解答を見る
    正解:ウ


    SC H27 春 午前Ⅱ 問9

    IPsecに関する記述のうち, 適切なものはどれか。

  • IKEはIPsecの鍵交換のためのプロトコルであり, ポート番号 80が使用される。
  • 暗号化アルゴリズムとして, HMAC-SHA1が使用される。
  • トンネルモードを使用すると, エンドツーエンドの通信で用いるIPのヘッダまで含めて暗号化される。
  • ホストAとホストBとの間でIPsecによる通信を行う場合, 認証や暗号化アルゴリズムを両者で決めるためにESP ヘッダでなくAHヘッダを使用する。
  • 解答を見る
    正解:ウ

    IPsecは、パケットをネットワーク層で暗号化する機能。
    AH、ESP、IKEなどの複数のプロトコルで構成されている。

    IKE(Internet Key Exchange、鍵交換)
    暗号化に用いる鍵交換をするために利用するプロトコル。IKE(アイク)と発音する。UDPポート番号 500が使用される。

    ESP(Encapsulated Security Payload、暗号化ペイロード)
    通信データの認証とペイロード部(ヘッダ部を除いたデータ本体)の暗号化機能を持つ。改ざん検知と盗聴防止ができる。

    AH(Authentication Header、認証ヘッダ)
    通信データの認証機能を持ち、改ざんを検知できる。データの暗号化までは行わないため、盗聴の防止はできない。

    IPsecの通信モードには、トランスポートモードとトンネルモードの2つのモードがある。トランスポートモードでは元のヘッダまで含めて暗号化されないが、トンネルモードでは元のヘッダまで含めて暗号化される。

  • IKEは、UDPポート番号 500を使用する。ポート番号 80はHTTP。
  • IPsecで使用できる暗号化アルゴリズムは1つだけではない。様々な暗号化アルゴリズムを利用できる仕組みになっている。
  • 正しい。トンネルモードではIPヘッダまで含めて暗号化される。
  • AHには、データの暗号化機能がない。

  • SC H27 春 午前Ⅱ 問10

    NTP を使った増幅型のDDoS攻撃に対して, NTPサーバが踏み台にされることを防止する対策として, 適切なものはどれか。

  • NTPサーバの設定変更によって, NTPサーバの状態確認機能(monlist)を無効にする。
  • NTPサーバの設定変更によって, 自ネットワーク外のNTPサーバへの時刻問合せができないようにする。
  • ファイアウォールの設定変更によって, NTPサーバが存在する自ネットワークのブロードキャストアドレス宛てのパケットを拒否する。
  • ファイアウォールの設定変更によって, 自ネットワーク外からの, NTP以外のUDPサービスへのアクセスを拒否する。
  • 解答を見る
    正解:ア


    SC H27 春 午前Ⅱ 問11

    マルウェアの活動傾向などを把握するための観測用センサが配備されるダークネットはどれか。

  • インターネット上で到達可能, かつ, 未使用のIPアドレス空間
  • 組織に割り当てられているIPアドレスのうち, コンピュータで使用されているIPアドレス空間
  • 通信事業者が他の通信事業者などに貸し出す光ファイバ設備
  • マルウェアに狙われた制御システムのネットワーク
  • 解答を見る
    正解:ア


    SC H27 春 午前Ⅱ 問12

    rootkit に含まれる機能はどれか。

  • OSの中核であるカーネル部分の脆弱性を分析する。
  • コンピュータがウイルスやワームに感染していないことをチェックする。
  • コンピュータやルータのアクセス可能な通信ポートを外部から調査する。
  • 不正侵入してOSなどに組み込んだものを隠蔽する。
  • 解答を見る
    正解:エ


    SC H27 春 午前Ⅱ 問13

    迷惑メールの検知手法であるベイジアンフィルタリングの説明はどれか。

  • 信頼できるメール送信元を許可リストに登録しておき, 許可リストにないメール送信元からの電子メールは迷惑メールと判定する。
  • 電子メールが正規のメールサーバから送信されていることを検証し, 迷惑メールであるかどうかを判定する。
  • 電子メールの第三者中継を許可しているメールサーバを登録したデータベースに掲載されている情報を基に, 迷惑メールであるかどうかを判定する。
  • 利用者が振り分けた迷惑メールから特徴を学習し, 迷惑メールであるかどうかを統計的に解析して判定する。
  • 解答を見る
    正解:エ

  • メールのホワイトリストの説明。
  • 送信ドメイン認証の説明です。送信ドメイン認証の技術には、SPF、Sender ID、DKIMなどがあります。
  • DSBL(Distributed Sender Blackhole List)の説明。DSBLとは、電子メールの第三者中継を許可しているメールサーバ等のIPアドレスを登録しているブラックリストです。
  • ベイジアンフィルタリングの説明です。
    ベイズ理論という手法を用いて、過去の迷惑メールから特徴を学習し、迷惑メールであるかどうかを統計的に解析して判定します。

  • SC H27 春 午前Ⅱ 問14

    DNSSECで実現できることはどれか。

  • DNSキャッシュサーバからの応答中のリソースレコードが, 権威DNSサーバで管理されているものであり, 改ざんされていないことの検証
  • 権威DNSサーバとDNSキャッシュサーバとの通信を暗号化することによる, ゾーン情報の漏えいの防止
  • 長音 “ー” と漢数字 “一”などの似た文字をドメイン名に用いて, 正規サイトのように見せかける攻撃の防止
  • 利用者のURLの打ち間違いを悪用して, 偽サイトに誘導する攻撃の検知
  • 解答を見る
    正解:ア


    SC H27 春 午前Ⅱ 問15

    DNSの再帰的な問合せを使ったサービス不能攻撃(DNS amp攻撃)の踏み台にされることを防止する対策はどれか。

  • DNSキャッシュサーバとコンテンツサーバに分離し, インターネット側からキャッシュサーバに問合せできないようにする。
  • 問合せがあったドメインに関する情報をWhoisデータベースで確認する。
  • 一つのDNSレコードに複数のサーバのIPアドレスを割り当て, サーバへのアクセスを振り分けて分散させるように設定する。
  • 他のDNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性を, ディジタル署名で確認するように設定する。
  • 解答を見る
    正解:ア

    DNS ampとは、DNSキャッシュサーバの再帰的な問合せを悪用したDDoS攻撃の一種で、パケットを増幅(amplify)させることから、DNS amp攻撃と呼ばれています。

    DNSキャッシュサーバがインターネット側から利用できる状態の場合、踏み台にされる危険性があります。対応策としては、DNSのキャッシュサーバとコンテンツサーバを分離し、インターネット側からキャッシュサーバに問合せできないようにします。
    ちなみにコンテンツサーバは、自分が管理しているゾーン情報のみを応答するDNSサーバのことです。


    SC H27 春 午前Ⅱ 問16

    SMTP-AUTH の特徴はどれか。

  • ISP管理下の動的IPアドレスからの電子メール送信について,管理外ネットワークのメールサーバへSMTP接続を禁止する。
  • PCからメールサーバへの電子メール送信時に,ユーザアカウントとパスワードによる利用者認証を行う。
  • PCからメールサーバへの電子メール送信は, POP接続で利用者認証済みの場合にだけ許可する。
  • 電子メール送信元のサーバが, 送信元ドメインのDNSに登録されていることを確認して, 電子メールを受信する。
  • 解答を見る
    正解:イ


    SC H27 春 午前Ⅱ 問17

    SQL インジェクション対策について、Web アプリケーションの実装における対策と Web アプリケーションの実装以外の対策の組合せとして、適切なものはどれか。

    Web アプリケーションの
    実装における対策
    Webアプリケーションの
    実装以外の対策
    Web アプリケーション中でシェルを起動しない。 chroot 環境でWebサーバを稼働させる。
    セッション ID を乱数で生成する。 TLS によって通信内容を秘匿する。
    パス名やファイル名をパラメタとして受け取らないようにする。 重要なファイルを公開領域に置かない。
    プレースホルダを利用する。 データベースのアカウントをもつデータベースアクセス権限を必要最小限にする。

    解答を見る
    正解:エ

    • OSコマンドインジェクションの対策。
    • セッションハイジャックの対策。
    • ディレクトリトラバーサルの対策。
    • SQLインジェクションの対策。

    SQLインジェクション対策は、午後試験でも問われます。選択肢がなくても答えられるようにしておきたい。


    SC H27 春 午前Ⅱ 問18

    TCPヘッダに含まれる情報はどれか。

  • 宛先ポート番号
  • パケット生存時間 (TTL)
  • 発信元IPアドレス
  • プロトコル番号
  • 解答を見る
    正解:ア

    宛先ポート番号はTCPヘッダ、それ以外はIPv4のIPヘッダに含まれる情報です。

    ・TCPヘッダのフォーマット
    TCPヘッダ


    ・IPv4ヘッダのフォーマット
    IPヘッダ


    SC H27 春 午前Ⅱ 問19

    192.168.1.0/24のネットワークアドレスを, 16個のサブネットに分割したときのサブネットマスクはどれか。

  • 255.255.255.192
  • 255.255.255.224
  • 255.255.255.240
  • 255.255.255.248
  • 解答を見る
    正解:ウ


    SC H27 春 午前Ⅱ 問20

    HTTPのヘッダ部で指定するものはどれか。

  • HTMLバージョン情報(DOCTYPE宣言)
  • POSTリクエストのエンティティボディ(POSTデータ)
  • WebサーバとWebブラウザ間の状態を管理するクッキー
  • Webページのタイトル(<TITLE>タグ)
  • 解答を見る
    正解:ウ


    SC H27 春 午前Ⅱ 問21

    分散トランザクション処理で利用される2相コミットプロトコルでは, コミット処理を開始する調停者(coordinator)と, 調停者からの指示を受信してから必要なアクションを開始す参加者(participant)がいる。この2相コミットプロトコルに関する記述のうち, 適切なものはどれか。

  • 参加者は, フェーズ1で調停者にコミット了承の応答を返してしまえば, フェーズ2のコミット要求を受信していなくても, ローカルにコミット処理が進められる。
  • 調停者に障害が発生するタイミングによっては, その回復処理が終わらない限り, 参加者全員がコミットもロールバックも行えない事態が起こる。
  • 一つの分散トランザクションに複数の調停者及び参加者が存在し得る。例えば, 5個のシステム(プログラム)が関与している場合, 調停者の数が2, 参加者の数が3となり得る。
  • フェーズ1で応答のない参加者が存在しても, 調停者は強制的にそのトランザクションをコミットすることができる。
  • 解答を見る
    正解:イ


    SC H27 春 午前Ⅱ 問22

    共通フレームによれば, システム要件の評価タスクにおいて見極めることはどれか。

  • システム要件とシステム方式との間に一貫性があるかどうか。
  • システム要件とシステム方式との関連が追跡できるかどうか。
  • システム要件を満たすシステム方式設計が実現可能かどうか。
  • ソフトウェア品目が割り当てられたシステム要件を満たすかどうか。
  • 解答を見る
    正解:ウ


    SC H27 春 午前Ⅱ 問23

    マッシュアップを利用してWebコンテンツを表示している例として, 最も適切なものはどれか。

  • Webブラウザにプラグインを組み込み, 動画やアニメーションを表示する。
  • 地図上のカーソル移動に伴い, Webページを切り替えずにスクロール表示する。
  • 鉄道経路の探索結果上に, 各鉄道会社のWebページへのリンクを表示する。
  • 店舗案内のWebページ上に, 他のサイトが提供する地図検索機能を利用して出力された情報を表示する。
  • 解答を見る
    正解:エ


    SC H27 春 午前Ⅱ 問24

    データセンタにおけるコールドアイルの説明として, 適切なものはどれか。

  • IT機器の冷却を妨げる熱気をラックの前面(吸気面)に回り込ませないための板であり, IT機器がマウントされていないラックの空き部分に取り付ける。
  • 寒冷な外気をデータセンタ内に直接導入してIT機器を冷却するときの, データセンタへの外気への吸い込み口である。
  • 空調機からの冷気とIT機器からの排熱機を分離するために, ラックの前面(吸気面)同士を対向配置したときの, ラックの前面同士に狭まれた冷気の通る部分である。
  • 発熱量が多い特定の領域に対して, 全体空調とは別に個別空調装置を設置するときの, 個別空調用の冷媒を通すパイプである。
  • 解答を見る
    正解:ウ

    データセンタでは、空調機からの冷気とIT機器からの排熱機を分離するために「コールドアイル」と「ホットアイル」という空間を作ることが一般的である。

    コールドアイル(cold aisle)は、直訳すると「寒い通路」を意味し、サーバの熱を冷却するために冷気を集めた空間のことをいう。
    逆に、サーバーの排熱だけを集めた空間をホットアイルという。


    SC H27 春 午前Ⅱ 問25

    入出金管理システムから出力された入金データファイルを, 売掛金管理システムが読み込んでマスタファイルを更新する。
    入出金管理システムから売掛金管理システムへのデータ受渡しの正確性及び網羅性を確保するコントロールはどれか。

  • 売掛金管理システムにおける入力データと出力結果とのランツーランコントロール
  • 売掛金管理システムのマスタファイル更新におけるタイムスタンプ機能
  • 入金額及び入金データ件数のコントロールトータルのチェック
  • 入出金管理システムへの入力のエディットバリデーションチェック
  • 解答を見る
    正解:ウ