情報処理安全確保支援士午前II
2017(平成29年)/秋期分
問 1
CRL(Certificate Revocation List)に掲載されるものはどれか。
| ア | 有効期限切れになったディジタル証明書の公開鍵 |
| イ | 有効期限切れになったディジタル証明書のシリアル番号 |
| ウ | 有効期限内に失効したディジタル証明書の公開鍵 |
| エ | 有効期限内に失効したディジタル証明書のシリアル番号 |
問 2
PKIを構成するOCSPを利用する目的はどれか。
| ア | 誤って破棄してしまった秘密鍵の再発行処理の進捗状況を問い合わせる。 |
| イ | ディジタル証明書から生成した鍵情報の交換がOCSPクライアントとレスポンダの間で失敗した際、認証状態を確認する。 |
| ウ | ディジタル証明書の失効情報を問い合わせる。 |
| エ | 有効期限の切れたディジタル証明書の更新処理の進捗状況を確認する。 |
問 3
標準化団体OASISが、Webサイト間で認証、属性及び認可の情報を安全に交換するために策定したフレームワークはどれか。
| ア | SAML |
| イ | SOAP |
| ウ | XKMS |
| エ | XML Signature |
問 4
ハッシュ関数の性質の一つである衝突発見困難性に関する記述のうち、適切なものはどれか。
| ア | SHA-256の衝突発見困難性を示す、ハッシュ値が一致する二つのメッセージの探索に要する最大の計算量は、256の2乗である。 |
| イ | SHA-256の衝突発見困難性を示す、ハッシュ値の元のメッセージの探索に要する最大の計算量は、2の256乗である。 |
| ウ | 衝突発見困難性とは、ハッシュ値が与えられたときに、元のメッセージの探索に要する計算量が大きいことによる、探索の困難性のことである。 |
| エ | 衝突発見困難性とは、ハッシュ値が一致する二つのメッセージの探索に要する計算量が大きいことによる、探索の困難性のことである。 |
問 5
情報セキュリティにおけるエクスプロイトコードの説明はどれか。
| ア | 同じセキュリティ機能をもつ製品に乗り換える場合に、CSVなど他の製品に取り込むことができる形式でファイルを出力するプログラム |
| イ | コンピュータに接続されたハードディスクなどの外部記憶装置や、その中に保存されている暗号化されたファイルなどを閲覧、管理するソフトウェア |
| ウ | セキュリティ製品を設計する際の早い段階から実際に動作する試作品を作成し、それに対する利用者の反応を見ながら徐々に完成に近づける開発手法 |
| エ | ソフトウェアやハードウェアの脆弱性を利用するために作成されたプログラム |
問 6
DNSに対するカミンスキー攻撃(Kaminsky's attack)への対策はどれか。
| ア | DNSキャッシュサーバと権威DNSサーバとの計2台の冗長構成とすることによって、過負荷によるサーバダウンのリスクを大幅に低減させる。 |
| イ | SPF(Sender Policy Framework)を用いてMXレコードを認証することによって、電子メールの送信元ドメインが詐称されていないかどうかを確認する。 |
| ウ | 問合せ時の送信元ポート番号をランダム化することによって、DNSキャッシュサーバに偽の情報がキャッシュされる確率を大幅に低減させる。 |
| エ | プレースホルダを用いたエスケープ処理を行うことによって、不正なSQL構文によるDNSリソースレコードの書換えを防ぐ。 |
問 7
DoS攻撃の一つであるSmurf攻撃はどれか。
| ア | ICMPの応答パケットを攻撃対象に大量に送り付ける。 |
| イ | TCP接続要求であるSYNパケットを攻撃対象に大量に送り付ける。 |
| ウ | サイズの大きいUDPパケットを攻撃対象に大量に送り付ける。 |
| エ | サイズの大きい電子メールや大量の電子メールを攻撃対象に送り付ける。 |
問 8
暗号化装置において暗号化処理時に消費電力を測定するなどして、当該装置内部の秘密情報を推定する攻撃はどれか。
| ア | キーロガー |
| イ | サイドチャネル攻撃 |
| ウ | スミッシング |
| エ | 中間者攻撃 |
問 9
ステートフルインスペクション方式のファイアウォールの特徴はどれか。
| ア | WebクライアントとWebサーバとの間に配置され、リバースプロキシサーバとして動作する方式であり、Webクライアントからの通信を目的のWebサーバに中継する際に、通信に不正なデータがないかどうかを検査する。 |
| イ | アプリケーションプロトコルごとにプロキシソフトウェアを用意する方式であり、クライアントからの通信を目的のサーバに中継する際に、通信に不正なデータがないかどうかを検査する。 |
| ウ | 特定のアプリケーションプロトコルだけを通過させるゲートウェイソフトウェアを利用する方式であり、クライアントからのコネクションの要求を受け付けて、目的のサーバに改めてコネクションを要求することによって、アクセスを制御する。 |
| エ | パケットフィルタリングを拡張した方式であり、過去に通過したパケットから通信セッションを認識し、受け付けたパケットを通信セッションの状態に照らし合わせて通過させるか遮断するかを判断する。 |
問 10
ディジタル証明書に関する記述のうち、適切なものはどれか。
| ア | S/MIMEやTLSで利用するディジタル証明書の規格は、ITU-T X.400で標準化されている。 |
| イ | ディジタル証明書は、TLSプロトコルにおいて通信データの暗号化のための鍵交換や通信相手の認証に利用されている。 |
| ウ | 認証局が発行するディジタル証明書は、申請者の秘密鍵に対して認証局がディジタル署名したものである。 |
| エ | ルート認証局は、下位の認証局の公開鍵にルート認証局の公開鍵でディジタル署名したディジタル証明書を発行する。 |
問 11
不適合への対応のうちJIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)の"是正処置"の定義はどれか。
| ア | 不適合によって起こった結果に対処するための処置 |
| イ | 不適合の原因を除去し、再発を防止するための処置 |
| ウ | 不適合の性質及び対応結果について文書化するための処置 |
| エ | 不適合を除去するための処置 |
問 12
JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)における情報セキュリティリスクに関する定義のうち、適切なものはどれか。
| ア | 脅威とは、一つ以上の要因によって悪用される可能性がある、資産又は管理策の弱点のことである。 |
| イ | 脆弱性とは、システム又は組織に損害を与える可能性がある、望ましくないインシデントの潜在的な原因のことである。 |
| ウ | リスク対応とは、リスクの大きさが、受容可能か又は許容可能かを決定するために、リスク分析の結果をリスク基準と比較するプロセスのことである。 |
| エ | リスク特定とは、リスクを発見、認識及び記述するプロセスのことであり、リスク源、事象、それらの原因及び起こり得る結果の特定が含まれる。 |
問 13
基本評価基準、現状評価基準、環境評価基準の三つの基準で情報システムの脆弱性の深刻度を評価するものはどれか。
| ア | CVSS |
| イ | ISMS |
| ウ | PCI DSS |
| エ | PMS |
問 14
攻撃者が、Webアプリケーションのセッションを乗っ取り、そのセッションを利用してアクセスした場合でも、個人情報の漏えいなどに被害が拡大しないようにするために、重要な情報の表示などをする画面の直前でWebアプリケーションが追加的に行う対策として、最も適切なものはどれか。
| ア | Webブラウザとの間の通信を暗号化する。 |
| イ | 発行済セッションIDをCookieに格納する。 |
| ウ | 発行済セッションIDをHTTPレスポンスボディ中のリンク先のURIのクエリ文字列に設定する。 |
| エ | パスワードによる利用者認証を行う。 |
問 15
スパムメールの対策として、宛先ポート番号25のメールに対してISPが実施するOP25Bの例はどれか。
| ア | ISP管理外のネットワークからの通信のうち、スパムメールのシグネチャに該当するものを遮断する。 |
| イ | 動的IPアドレスを割り当てたネットワークからISP管理外のネットワークへの直接の通信を遮断する。 |
| ウ | メール送信元のメールサーバについてDNSの逆引きができない場合、そのメールサーバからの通信を遮断する。 |
| エ | メール不正中継の脆弱性をもつメールサーバからの通信を遮断する。 |
問 16
外部から侵入されたサーバ及びそのサーバに接続されていた記憶媒体を調査対象としてディジタルフォレンジックスを行うことになった。まず、稼働状態にある調査対象サーバや記憶媒体などから表に示すa~dのデータを証拠として保全する。保全の順序のうち、最も適切なものはどれか。
| ア | a → c → d → b |
| イ | b → c → a → d |
| ウ | c → a → d → b |
| エ | d → c → a → b |
問 17
無線LANの情報セキュリティ対策に関する記述のうち、適切なものはどれか。
| ア | EAPでは、クライアントPCとアクセスポイントとの間で、あらかじめ登録した共通鍵による暗号化通信を実現できる。 |
| イ | RADIUSでは、クライアントPCとアクセスポイントとの間で公開鍵暗号方式による暗号化通信を実現できる。 |
| ウ | SSIDは、クライアントPCごとの秘密鍵を定めたものであり、公開鍵暗号方式による暗号化通信を実現できる。 |
| エ | WPA2-Enterpriseでは、IEEE802.1Xの規格に沿った利用者認証及び動的に配布される暗号化鍵を用いた暗号化通信を実現できる。 |
問 18
ルータで接続された二つのセグメント間でのコリジョンの伝搬とブロードキャストフレームの中継について、適切な組合せはどれか。
問 19
1台のサーバと複数台のクライアントが、100Mビット/秒のLANで接続されている。業務のピーク時には、クライアント1台につき1分当たり600kバイトのデータをサーバからダウンロードする。このとき、同時使用してもピーク時に業務を滞りなく遂行できるクライアント数は何台までか。ここで、LANの伝送効率は50%、サーバ及びクライアント内の処理時間は無視できるものとし、1Mビット/秒=106ビット/秒、1kバイト=1,000バイトとする。
| ア | 10 |
| イ | 625 |
| ウ | 1,250 |
| エ | 5,000 |
問 20
ネットワークに接続されているホストのIPアドレスが198.51.100.90で、サブネットマスクが255.255.255.224のとき、ホストアドレスはどれか。
| ア | 10 |
| イ | 26 |
| ウ | 90 |
| エ | 212 |
問 21
ビッグデータの解析に利用されるニューラルネットワークに関する記述のうち、適切なものはどれか。
| ア | 誤差逆伝播法(バックプロパゲーション)は、ニューラルネットワーク全体の重みを調整する手法であり、調整作業は入力層から出力層に向かって行われる。 |
| イ | サポートベクタマシンは機械学習に必要な機能を実現する装置のことであり、ニューラルネットワークで大量計算する際に利用される。 |
| ウ | 深層学習(ディープラーニング)に用いられるニューラルネットワークは、入力層と出力層の間に複数の中間層をもつモデルが利用される。 |
| エ | 中間層を増やしたニューラルネットワークによる訓練データを用いた学習は、訓練データ以外の未知のデータに対しても高精度な正解が導け、これを過学習(オーバフィッティング)という。 |
問 22
JIS X 25010:2013(システム及びソフトウェア製品の品質要求及び評価(SQuaRE)-システム及びソフトウェア品質モデル)におけるシステムの利用時の品質特性に"満足性"がある。"満足性"の品質副特性の一つである"実用性"の説明はどれか。
| ア | 個人的なニーズを満たすことから利用者が感じる喜びの度合い |
| イ | 利用者がシステム又はソフトウェアを利用するときの快適さに満足する度合い |
| ウ | 利用者又は他の利害関係者がもつ、製品又はシステムが意図したとおりに動作するという確信の度合い |
| エ | 利用の結果及び利用の影響を含め、利用者が把握した目標の達成状況によって得られる利用者の満足の度合い |
問 23
企業間で、商用目的で締結されたソフトウェアの開発請負契約書に著作権の帰属が記載されていない場合、著作権の帰属先として、適切なものはどれか。
| ア | 請負人、注文者のどちらにも帰属しない。 |
| イ | 請負人と注文者が共有する。 |
| ウ | 請負人に帰属する。 |
| エ | 注文者に帰属する。 |
問 24
情報システムの設計のうち、フェールソフトの考え方を適用した例はどれか。
| ア | UPSを設置することによって、停電時に手順どおりにシステムを停止できるようにする。 |
| イ | 制御プログラムの障害時に、システムの暴走を避け、安全に停止できるようにする。 |
| ウ | ハードウェアの障害時に、パフォーマンスは低下するが、構成を縮小して運転を続けられるようにする。 |
| エ | 利用者の誤操作や誤入力を未然に防ぐことによって、システムの誤動作を防止できるようにする。 |
問 25
株式会社の内部監査におけるシステム監査を、システム監査基準(平成16年)に基づいて実施する場合の監査責任者及びメンバに関する記述のうち、適切なものはどれか。
| ア | あるメンバを、当該メンバが過去に在籍していた部門に対する監査に従事させる場合、一定の期間を置く。 |
| イ | 監査責任者は、当該株式会社の株主に限る。 |
| ウ | 監査部門の在籍期間について、メンバの場合は制限がないが、監査責任者の場合は会社法における監査役の任期を下回ってはならない。 |
| エ | メンバの給与その他の報酬の水準は、監査部門に在籍中は引き下げてはならない。 |
問題目次
| 問1 | CRL(Certificate Revocation Lis... |
| 問2 | PKIを構成するOCSPを利用する目的はどれか。 |
| 問3 | 標準化団体OASISが、Webサイト間で認証、属性及び認可の... |
| 問4 | ハッシュ関数の性質の一つである衝突発見困難性に関する記述のう... |
| 問5 | 情報セキュリティにおけるエクスプロイトコードの説明はどれか。 |
| 問6 | DNSに対するカミンスキー攻撃(Kaminsky's att... |
| 問7 | DoS攻撃の一つであるSmurf攻撃はどれか。 |
| 問8 | 暗号化装置において暗号化処理時に消費電力を測定するなどして、... |
| 問9 | ステートフルインスペクション方式のファイアウォールの特徴はど... |
| 問10 | ディジタル証明書に関する記述のうち、適切なものはどれか。 |
| 問11 | 不適合への対応のうちJIS Q 27000:2014(情報セ... |
| 問12 | JIS Q 27000:2014(情報セキュリティマネジメン... |
| 問13 | 基本評価基準、現状評価基準、環境評価基準の三つの基準で情報シ... |
| 問14 | 攻撃者が、Webアプリケーションのセッションを乗っ取り、その... |
| 問15 | スパムメールの対策として、宛先ポート番号25のメールに対して... |
| 問16 | 外部から侵入されたサーバ及びそのサーバに接続されていた記憶媒... |
| 問17 | 無線LANの情報セキュリティ対策に関する記述のうち、適切なも... |
| 問18 | ルータで接続された二つのセグメント間でのコリジョンの伝搬とブ... |
| 問19 | 1台のサーバと複数台のクライアントが、100Mビット/秒のL... |
| 問20 | ネットワークに接続されているホストのIPアドレスが198.5... |
| 問21 | ビッグデータの解析に利用されるニューラルネットワークに関する... |
| 問22 | JIS X 25010:2013(システム及びソフトウェア製... |
| 問23 | 企業間で、商用目的で締結されたソフトウェアの開発請負契約書に... |
| 問24 | 情報システムの設計のうち、フェールソフトの考え方を適用した例... |
| 問25 | 株式会社の内部監査におけるシステム監査を、システム監査基準(... |