情報処理安全確保支援士午前II
2018(平成30年)/秋期分
問 1
AESの特徴はどれか。
| ア | 鍵長によって、段数が決まる。 |
| イ | 段数は、6回以内の範囲で選択できる。 |
| ウ | データの暗号化、復号、暗号化の順に3回繰り返す。 |
| エ | 同一の公開鍵を用いて暗号化を3回繰り返す。 |
問 2
JVNなどの脆弱性対策情報ポータルサイトで採用されているCVE(Common Vulnerabilities and Exposures)識別子の説明はどれか。
| ア | コンピュータで必要なセキュリティ設定項目を識別するための識別子 |
| イ | 脆弱性が悪用されて改ざんされたWebサイトのスクリーンショットを識別するための識別子 |
| ウ | 製品に含まれる脆弱性を識別するための識別子 |
| エ | セキュリティ製品を識別するための識別子 |
問 3
ブロックチェーンに関する記述のうち、適切なものはどれか。
| ア | RADIUSが必須の技術であり、参加者の利用者認証を一元管理するために利用する。 |
| イ | SPFが必須の技術であり、参加者間で電子メールを送受信するときに送信元の正当性を確認するために利用する。 |
| ウ | 楕円曲線暗号が必須の技術であり、参加者間のP2P(Peer to Peer)ネットワークを暗号化するために利用する。 |
| エ | ハッシュ関数が必須の技術であり、参加者がデータの改ざんを検出するために利用する。 |
問 4
マルチベクトル型DDoS攻撃に該当するものはどれか。
| ア | 攻撃対象のWebサーバ1台に対して、多数のPCから一斉にリクエストを送ってサーバのリソースを枯渇させる攻撃と、大量のDNS通信によってネットワークの帯域を消費させる攻撃を同時に行う。 |
| イ | 攻撃対象のWebサイトのログインパスワードを解読するために、ブルートフォースによるログイン試行を、多数のスマートフォンやIoT機器などの踏み台から成るボットネットから一斉に行う。 |
| ウ | 攻撃対象のサーバに大量のレスポンスが同時に送り付けられるようにするために、多数のオープンリゾルバに対して、送信元IPアドレスを攻撃対象のサーバのIPアドレスに偽装した名前解決のリクエストを一斉に送信する。 |
| エ | 攻撃対象の組織内の多数の端末をマルウェアに感染させ、当該マルウェアを遠隔操作することによってデータの改ざんやファイルの消去を一斉に行う。 |
問 5
FIPS PUB 140-2の記述内容はどれか。
| ア | 暗号モジュールのセキュリティ要求事項 |
| イ | 情報セキュリティマネジメントシステムの要求事項 |
| ウ | ディジタル証明書や証明書失効リストの技術仕様 |
| エ | 無線LANセキュリティの技術仕様 |
問 6
経済産業省とIPAが策定した"サイバーセキュリティ経営ガイドライン(Ver2.0)"の説明はどれか。
| ア | 企業がIT活用を推進していく中で、サイバー攻撃から企業を守る観点で経営者が認識すべき3原則と、情報セキュリティ対策を実施する上での責任者となる担当幹部に、経営者が指示すべき事項をまとめたもの |
| イ | 経営者が情報セキュリティについて方針を示し、マネジメントシステムの要求事項を満たすルールを定め、組織が保有する情報資産をCIAの観点から維持管理し、継続的に見直すためのプロセス及び管理策を体系的に規定したもの |
| ウ | 事業体のITに関する経営者の活動を、大きくITガバナンス(統制)とITマネジメント(管理)に分割し、具体的な目標と工程として37のプロセスを定義したもの |
| エ | 世界的規模で生じているサイバーセキュリティ上の脅威の深刻化に関して、企業の経営者を支援する施策を総合的かつ効果的に推進するための国の責務を定めたもの |
問 7
UDPの性質を悪用したDDoS攻撃に該当するものはどれか。
| ア | DNSリフレクタ攻撃 |
| イ | SQLインジェクション攻撃 |
| ウ | ディレクトリトラバーサル攻撃 |
| エ | パスワードリスト攻撃 |
問 8
EDSA認証における評価対象と評価項目について、適切な組みはどれか。
問 9
インターネットバンキングの利用時に被害をもたらすMITB攻撃に有効な対策はどれか。
| ア | インターネットバンキングでの送金時にWebブラウザで利用者が入力した情報と、金融機関が受信した情報とに差異がないことを検証できるよう、トランザクション署名を利用する。 |
| イ | インターネットバンキングでの送金時に接続するWebサイトの正当性を確認できるよう、EV SSLサーバ証明書を採用する。 |
| ウ | インターネットバンキングでのログイン認証において、一定時間ごとに自動的に新しいパスワードに変更されるワンタイムパスワードを用意する。 |
| エ | インターネットハンキング利用時の通信をSSLではなくTLSを利用して暗号化する。 |
問 10
JIS X 9401:2016(情報技術-クラウドコンピューティング-概要及び用語)の定義によるクラウドサービス区分の一つであり、クラウドサービスカスタマの責任者が表中の項番1と2の責務を負い、クラウドサービスプロバイダが項番3~5の責務を負うものはどれか。
問 11
マルウェアMiraiの動作はどれか。
| ア | IoT機器などで動作するWebサーバの脆弱性を悪用して感染を広げ、WebサーバのWebページを改ざんし、決められた日時に特定のIPアドレスに対してDDoS攻撃を行う。 |
| イ | Webサーバの脆弱性を悪用して企業のWebページに不正なJavaScriptを挿入し、当該Webページを閲覧した利用者を不正なWebサイトへと誘導する。 |
| ウ | ファイル共有ソフトを使っているPC内でマルウェアの実行ファイルを利用者が誤って実行すると、PC内の情報をインターネット上のWebサイトにアップロードして不特定多数の人に公開する。 |
| エ | ランダムなIPアドレスを生成してtelnetポートにログインを試行し、工場出荷時の弱いパスワードを使っているIoT機器などに感染を広げるとともに、C&Cサーバからの指令に従って標的に対してDDoS攻撃を行う。 |
問 12
HTTP Strict Transport Security(HSTS)の動作はどれか。
| ア | HTTP over TLS(HTTPS)によって接続しているとき、EV SSL証明書であることを利用者が容易に識別できるように、Webブラウザのアドレス表示部分を緑色に表示する。 |
| イ | Webサーバからコンテンツをダウンロードするとき、どの文字列が秘密情報かを判定できないように圧縮する。 |
| ウ | WebサーバとWebブラウザとの間のTLSのハンドシェイクにおいて、一度確立したセッションとは別の新たなセッションを確立するとき、既に確立したセッションを使って改めてハンドシェイクを行う。 |
| エ | Webサイトにアクセスすると、Webブラウザは、以降の指定された期間、当該サイトには全てHTTPSによって接続する。 |
問 13
Webアプリケーションの脆弱性を悪用する攻撃手法のうち、Webページ上で入力した文字列がPerlのsystem関数やPHPのexec関数などに渡されることを利用し、不正にシェルスクリプトを実行させるものは、どれに分類されるか。
| ア | HTTPヘッダインジェクション |
| イ | OSコマンドインジェクション |
| ウ | クロスサイトリクエストフォージェリ |
| エ | セッションハイジャック |
問 14
SMTP-AUTHの特徴はどれか。
| ア | ISP管理下の動的IPアドレスから管理外ネットワークのメールサーバへのSMTP接続を禁止する。 |
| イ | 電子メール送信元のサーバが、送信元ドメインのDNSに登録されていることを確認して、電子メールを受信する。 |
| ウ | メールクライアントからメールサーバへの電子メール送信時に、利用者IDとパスワードによる利用者認証を行う。 |
| エ | メールクライアントからメールサーバへの電子メール送信は、POP接続で利用者認証済みの場合にだけ許可する。 |
問 15
TLSに関する記述のうち、適切なものはどれか。
| ア | TLSで使用するWebサーバのディジタル証明書にはIPアドレスの組込みが必須なので、WebサーバのIPアドレスを変更する場合は、ディジタル証明書を再度取得する必要がある。 |
| イ | TLSで使用する共通鍵の長さは、128ビット未満で任意に指定する。 |
| ウ | TLSで使用する個人認証用のディジタル証明書は、ICカードにも格納することができ、利用するPCを特定のPCに限定する必要はない。 |
| エ | TLSはWebサーバを経由した特定の利用者が通信するためのプロトコルであり、Webサーバへの事前の利用者登録が不可欠である。 |
問 16
電子メール又はその通信を暗号化する三つのプロトコルについて、公開鍵を用意する単位の組合せのうち、適切なものはどれか。
問 17
利用者認証情報を管理するサーバ1台と複数のアクセスポイントで構成された無線LAN環境を実現したい。PCが無線LAN環境に接続するときの利用者認証とアクセス制御に、IEEE 802.1XとRADIUSを利用する場合の標準的な方法はどれか。
| ア | PCにはIEEE 802.1Xのサプリカントを実装し、かつ、RADIUSクライアントの機能をもたせる。 |
| イ | アクセスポイントにはIEEE 802.1Xのオーセンティケータを実装し、かつ、RADIUSクライアントの機能をもたせる。 |
| ウ | アクセスポイントにはIEEE 802.1Xのサプリカントを実装し、かつ、RADIUSサーバの機能をもたせる。 |
| エ | サーバにはIEEE 802.1Xのオーセンティケータを実装し、かつ、RADIUSサーバの機能をもたせる。 |
問 18
TCPのコネクション確立方式である3ウェイハンドシェイクを表す図はどれか。
問 19
クラスDのIPアドレス(224.0.0.0~239.255.255.255)に関する記述として、適切なものはどれか。
| ア | DHCPサーバが見つからないときの自動設定アドレスに使用される。 |
| イ | IETFでの実験用アドレスとして予約されており、一般には使用されない。 |
| ウ | UDPなどを用いるマルチキャスト通信で使用される。 |
| エ | 小規模なネットワークでプライベートアドレスとして使用される。 |
問 20
日本国内において、無線LANの規格IEEE802.11n及びIEEE802.11acで使用される周波数帯域の組合せとして、適切なものはどれか。
問 21
次のSQL文の実行結果の説明に関する記述のうち、適切なものはどれか。
| ア | このビューには、8823行までを記録できる。 |
| イ | このビューの作成者は、このビューに対するSELECT権限をもたない。 |
| ウ | 実表"取引先"が削除されても、このビューに対する利用者の権限は残る。 |
| エ | 利用者"8823"は、実表"取引先"の所在地が’東京’の行を参照できるようになる。 |
問 22
図のような階層構造で設計及び実装した組込みシステムがある。このシステムの開発プロジェクトにおいて、デバイスドライバ層の単体テスト工程が未終了で、アプリケーション層及びミドルウェア層の単体テストが先に終了した。この段階で行うソフトウェア結合テストの方式として、適切なものはどれか。
| ア | サンドイッチテスト |
| イ | トップダウンテスト |
| ウ | ビッグバンテスト |
| エ | ボトムアップテスト |
問 23
SOAでサービスを設計する際の注意点のうち、適切なものはどれか。
| ア | 可用性を高めるために、ステートフルなインタフェースとする。 |
| イ | 業務からの独立性を確保するために、サービスの名称は抽象的なものとする。 |
| ウ | 業務の変化に対応しやすくするために、サービス間の関係は疎結合にする。 |
| エ | セキュリティを高めるために、一度開発したサービスの設計は再利用しない。 |
問 24
ITサービスマネジメントの情報セキュリティ管理プロセスに対して、JIS Q 20000-1(サービスマネジメントシステム要求事項)が要求している事項はどれか。
| ア | CMDBに記録されているCIの原本を、セキュリティが保たれた物理的又は電子的に格納庫で管理しなければならない。 |
| イ | 潜在的な問題を低減させるために、予防処置をとらなければならない。 |
| ウ | 変更要求が情報セキュリティ基本方針及び管理策に与える潜在的影響を評価しなければならない。 |
| エ | 変更要求の受入れについての意思決定では、リスク、事業利益及び技術的実現可能性を考慮しなければならない。 |
問 25
ある企業が、自社が提供するWebシステムのセキュリティについて、外部監査人による保証を受ける場合において、次の表のA~Dのうち、ITに係る保証業務の"三当事者"のそれぞれに該当する者の適切な組合せはどれか。
| ア | A |
| イ | B |
| ウ | C |
| エ | D |
問題目次
| 問1 | AESの特徴はどれか。 |
| 問2 | JVNなどの脆弱性対策情報ポータルサイトで採用されているCV... |
| 問3 | ブロックチェーンに関する記述のうち、適切なものはどれか。 |
| 問4 | マルチベクトル型DDoS攻撃に該当するものはどれか。 |
| 問5 | FIPS PUB 140-2の記述内容はどれか。 |
| 問6 | 経済産業省とIPAが策定した”サイバーセキュリティ経営ガイド... |
| 問7 | UDPの性質を悪用したDDoS攻撃に該当するものはどれか。 |
| 問8 | EDSA認証における評価対象と評価項目について、適切な組みは... |
| 問9 | インターネットバンキングの利用時に被害をもたらすMITB攻撃... |
| 問10 | JIS X 9401:2016(情報技術-クラウドコンピュー... |
| 問11 | マルウェアMiraiの動作はどれか。 |
| 問12 | HTTP Strict Transport Security... |
| 問13 | Webアプリケーションの脆弱性を悪用する攻撃手法のうち、We... |
| 問14 | SMTP-AUTHの特徴はどれか。 |
| 問15 | TLSに関する記述のうち、適切なものはどれか。 |
| 問16 | 電子メール又はその通信を暗号化する三つのプロトコルについて、... |
| 問17 | 利用者認証情報を管理するサーバ1台と複数のアクセスポイントで... |
| 問18 | TCPのコネクション確立方式である3ウェイハンドシェイクを表... |
| 問19 | クラスDのIPアドレス(224.0.0.0~239.255.... |
| 問20 | 日本国内において、無線LANの規格IEEE802.11n及び... |
| 問21 | 次のSQL文の実行結果の説明に関する記述のうち、適切なものは... |
| 問22 | 図のような階層構造で設計及び実装した組込みシステムがある。こ... |
| 問23 | SOAでサービスを設計する際の注意点のうち、適切なものはどれ... |
| 問24 | ITサービスマネジメントの情報セキュリティ管理プロセスに対し... |
| 問25 | ある企業が、自社が提供するWebシステムのセキュリティについ... |