情報処理安全確保支援士午前II
2019(平成31年、令和元年)/秋期分
問 1
認証処理のうち、FIDO(Fast IDentity Online) UAF(Universal Authentication Framework)1.1に基づいたものはどれか。
| ア | SaaS接続時の認証において、PINコードとトークンが表示したワンタイムパスワードとをPCから認証サーバに送信した。 |
| イ | SaaS接続時の認証において、スマートフォンで顔認証を行った後、スマートフォン内の秘密鍵でディジタル署名を生成して、そのディジタル署名を認証サーバに送信した。 |
| ウ | インターネットバンキング接続時の認証において、PCに接続されたカードリーダを使って、利用者のキャッシュカードからクライアント証明書を読み取って、そのクライアント証明書を認証サーバに送信した。 |
| エ | インターネットバンキング接続時の認証において、スマートフォンを使い指紋情報を読み取って、その指紋情報を認証サーバに送信した。 |
問 2
暗号機能を実装したIoT機器において脅威となるサイドチャネル攻撃に該当するものはどれか。
| ア | 暗号化関数を線形近似する式を導き、その線形近似式から秘密情報の取得を試みる。 |
| イ | 機器が発する電磁波を測定することによって秘密情報の取得を試みる。 |
| ウ | 二つの平文の差とそれぞれの暗号文の差の関係から、秘密情報の取得を試みる。 |
| エ | 理論的にあり得る復号鍵の全てを機器に入力して秘密情報の取得を試みる。 |
問 3
VA(Validation Authority)の役割はどれか。
| ア | 属性証明書の発行を代行する。 |
| イ | ディジタル証明書にディジタル署名を付与する。 |
| ウ | ディジタル証明書の失効状態についての問合せに応答する。 |
| エ | 本人確認を行い、ディジタル証明書の発行を指示する。 |
問 4
XMLディジタル署名の特徴として、適切なものはどれか。
| ア | XML文書中の任意のエレメントに対してデタッチ署名(Detached Signature)を付けることができる。 |
| イ | エンベローピング署名(Enveloping Signature)では一つの署名対象に必ず複数の署名を付ける。 |
| ウ | 署名形式として、CMS(Cryptographic Message Syntax)を用いる。 |
| エ | 署名対象と署名アルゴリズムをASN.1によって記述する。 |
問 5
ファイアウォールにおけるダイナミックパケットフィルタリングの特徴はどれか。
| ア | IPアドレスの変換が行われるので、内部のネットワーク構成を外部から隠蔽できる。 |
| イ | 暗号化されたパケットのデータ部を復号して、許可された通信かどうかを判断できる。 |
| ウ | 過去に通過したリクエストパケットに対応付けられる戻りのパケットを通過させることができる。 |
| エ | パケットのデータ部をチェックして、アプリケーション層での不正なアクセスを防止できる。 |
問 6
X.509におけるCRL(Certificate Revocation List)に関する記述のうち、適切なものはどれか。
| ア | PKIの利用者は、認証局の公開鍵がWebブラウザに組み込まれていれば、CRLを参照しなくてもよい。 |
| イ | 認証局は、発行した全てのディジタル証明書の有効期限をCRLに登録する。 |
| ウ | 認証局は、発行したディジタル証明書のうち、失効したものは、シリアル番号を失効後1年間CRLに登録するよう義務付けられている。 |
| エ | 認証局は、有効期限内のディジタル証明書のシリアル番号をCRLに登録することがある。 |
問 7
JIS Q 27014:2015(情報セキュリティガバナンス)における、情報セキュリティを統治するために経営陣が実行するガバナンスプロセスのうちの"モニタ"はどれか。
| ア | 情報セキュリティの目的及び戦略について、指示を与えるガバナンスプロセス |
| イ | 戦略的目的の達成を評価することを可能にするガバナンスプロセス |
| ウ | 独立した立場からの客観的な監査、レビュー又は認証を委託するガバナンスプロセス |
| エ | 利害関係者との間で、特定のニーズに沿って情報セキュリティに関する情報を交換するガバナンスプロセス |
問 8
総務省及び経済産業省が策定した"電子政府における調達のために参照すべき暗号のリスト(CRYPTREC 暗号リスト)"を構成する暗号リストの説明のうち、適切なものはどれか。
| ア | 推奨候補暗号リストとは、CRYPTRECによって安全性及び実装性能が確認された暗号技術のうち、市場における利用実績が十分であるか今後の普及が見込まれると判断され、当該技術の利用を推奨するもののリストである。 |
| イ | 推奨候補暗号リストとは、候補段階に格下げされ、互換性維持目的で利用する暗号技術のリストである。 |
| ウ | 電子政府推奨暗号リストとは、CRYPTRECによって安全性及び実装性能が確認された暗号技術のうち、市場における利用実績が十分であるか今後の普及が見込まれると判断され、当該技術の利用を推奨するもののリストである。 |
| エ | 電子政府推奨暗号リストとは、推奨段階に格下げされ、互換性維持目的で利用する暗号技術のリストである。 |
問 9
基本評価基準、現状評価基準、環境評価基準の三つの基準で情報システムの脆弱性の深刻度を評価するものはどれか。
| ア | CVSS |
| イ | ISMS |
| ウ | PCI DSS |
| エ | PMS |
問 10
BlueBorneの説明はどれか。
| ア | Bluetoothを悪用してデバイスを不正に操作したり、情報を窃取したりする、複数の脆弱性の呼称 |
| イ | 感染したPCの画面の背景を青1色に表示させた上、金銭の支払を要求するランサムウェアの一種 |
| ウ | 攻撃側(Red Team)と防御側(Blue Team)に分かれて疑似的にサイバー攻撃を行う演習における、防御側の戦術の一種 |
| エ | ブルーレイディスクを経由して感染を拡大した、日本の政府機関や重要インフラ事業者を標的としたAPT攻撃の呼称 |
問 11
CookieにSecure属性を設定しなかったときと比較した、設定したときの動作として、適切なものはどれか。
| ア | Cookieに指定された有効期間を過ぎると、Cookieが無効化される。 |
| イ | JavaScriptによるCookieの読出しが禁止される。 |
| ウ | URL内のスキームがhttpsのときだけ、WebブラウザからCookieが送出される。 |
| エ | WebブラウザがアクセスするURL内のパスとCookieによって指定されたパスのプレフィックスが一致するとき、WebブラウザからCookieが送出される。 |
問 12
DKIM(DomainKeys Identified Mail)の説明はどれか。
| ア | 送信側メールサーバにおいてディジタル署名を電子メールのヘッダに付与し、受信側メールサーバにおいてそのディジタル署名を公開鍵によって検証する仕組み |
| イ | 送信側メールサーバにおいて利用者が認証された場合、電子メールの送信が許可される仕組み |
| ウ | 電子メールのヘッダや配送経路の情報から得られる送信元情報を用いて、メール送信元のIPアドレスを検証する仕組み |
| エ | ネットワーク機器において、内部ネットワークから外部のメールサーバのTCPポート番号25への直接の通信を禁止する仕組み |
問 13
マルチベクトル型DDoS攻撃に該当するものはどれか。
| ア | DNSリフレクタ攻撃によってDNSサービスを停止させ、複数のPCでの名前解決を妨害する。 |
| イ | Webサイトに対して、SYN Flood攻撃とHTTP POST Flood攻撃を同時に行う。 |
| ウ | 管理者用IDのパスワードを初期設定のままで利用している複数のIoT機器を感染させ、それらのIoT機器から、WebサイトにUDP Flood攻撃を行う。 |
| エ | ファイアウォールでのパケットの送信順序を不正に操作するパケットを複数送信することによって、ファイアウォールのCPUやメモリを枯渇させる。 |
問 14
Webサイトにおいて、全てのWebページをTLSで保護するよう設定する常時SSL/TLSのセキュリティ上の効果はどれか。
| ア | WebサイトでのSQL組立て時にエスケープ処理が施され、SQLインジェクション攻撃による個人情報などの非公開情報の漏えいやデータベースに蓄積された商品価格などの情報の改ざんを防止する。 |
| イ | Webサイトへのアクセスが人間によるものかどうかを確かめ、Webブラウザ以外の自動化されたWebクライアントによる大量のリクエストへの応答を避ける。 |
| ウ | Webサイトへのブルートフォース攻撃によるログイン試行を検出してアカウントロックし、Webサイトへの不正ログインを防止する。 |
| エ | WebブラウザとWebサイトとの間における中間者攻撃による通信データの漏えい及び改ざんを防止し、サーバ証明書によって偽りのWebサイトの見分けを容易にする。 |
問 15
攻撃者に脆弱性に関する専門の知識がなくても、OSやアプリケーションソフトウェアの脆弱性を悪用した攻撃ができる複数のプログラムや管理機能を統合したものはどれか。
| ア | Exploit Kit |
| イ | iLogScanner |
| ウ | MyJVN |
| エ | Remote Access Tool |
問 16
IEEE802.1Xで使われるEAP-TLSが行う認証はどれか。
| ア | CHAPを用いたチャレンジレスポンスによる利用者認証 |
| イ | あらかじめ登録した共通鍵によるサーバ認証と、時刻同期のワンタイムパスワードによる利用者認証 |
| ウ | ディジタル証明書による認証サーバとクライアントの相互認証 |
| エ | 利用者IDとパスワードによる利用者認証 |
問 17
SQLインジェクション対策について、Webアプリケーションプログラムの実装における対策と、Webアプリケーションプログラムの実装以外の対策の組合せとして、ともに適切なものはどれか。
問 18
DNSSECに関する記述として、適切なものはどれか。
| ア | DNSサーバへのDoS攻撃を防止できる。 |
| イ | IPsecによる暗号化通信が前提となっている。 |
| ウ | 代表的なDNSサーバの実装であるBINDの代替として使用する。 |
| エ | ディジタル署名によってDNS応答の正当性を確認できる。 |
問 19
IPv4ネットワークにおいて、IPパケットの分割処理と、分割されたパケットを元に戻す再構築処理に関する記述のうち、適切なものはどれか。
| ア | IPパケットの再構築処理は宛先のホストで行われる。 |
| イ | IPパケットの再構築処理は中継するルータで行われる。 |
| ウ | IPパケットの分割処理は送信元のホストだけで行われる。 |
| エ | IPパケットの分割処理は中継するルータだけで行われる。 |
問 20
TCPに関する記述のうち、適切なものはどれか。
| ア | OSI基本参照モデルのネットワーク層の機能である。 |
| イ | ウインドウ制御の単位は、バイトではなくビットである。 |
| ウ | 確認応答がない場合は再送処理によってデータ回復を行う。 |
| エ | データの順序番号をもたないので、データは受信した順番のままで処理する。 |
問 21
JSON形式で表現される図1、図2のような商品データを複数のWebサービスから取得し、商品データベースとして蓄積する際のデータの格納方法に関する記述のうち、適切なものはどれか。ここで、商品データの取得元となるWebサービスは随時変更され、項目数や内容は予測できない。したがって、商品データベースの検索時に使用するキーにはあらかじめ制限を設けない。
| ア | 階層型データベースを使用し、項目名を上位階層とし、値を下位階層とした2階層でデータを格納する。 |
| イ | グラフ型データベースを使用し、商品データの項目名の集合から成るノードと値の集合から成るノードを作り、二つのノードを関係づけたグラフとしてデータを格納する。 |
| ウ | ドキュメント型データベースを使用し、項目構成の違いを区別せず、商品データ単位にデータを格納する。 |
| エ | リレーショナルデータベースを使用し、商品データの各項目名を個別の列名とした表を定義してデータを格納する。 |
問 22
次の仕様で動作する装置がある。未完成の状態遷移図を完成させるために、追加すべき遷移はどれか。
[仕様]
・レディでStartボタンが押された場合、運転開始して低速運転に遷移する。
・低速運転でUpボタンが押された場合、加速して高速運転に遷移する。
・低速運転でDownボタンが押された場合、運転休止して一時停止に遷移する。
・高速運転でDownボタンが押された場合、減速して低速運転に遷移する。
・一時停止でUpボタンが押された場合、運転再開して低速運転に遷移する。
・レディ以外の状態でStopボタンが押された場合、運転停止してレディに遷移する。
[来完成の状態遷移図]
問 23
マッシュアップを利用してWebコンテンツを表示する例として、最も適切なものはどれか。
| ア | Webブラウザにプラグインを組み込み、動画やアニメーションを表示する。 |
| イ | 地図上のカーソル移動に伴い、Webページを切り替えずにスクロール表示する。 |
| ウ | 鉄道経路の探索結果上に、各鉄道会社のWebページへのリンクを表示する。 |
| エ | 店舗案内のWebページ上に、他のサイトが提供する地図探索機能を利用して出力された情報を表示する。 |
問 24
情報システムの設計のうち、フェールソフトの考え方を適用した例はどれか。
| ア | UPSを設置することによって、停電時に手順どおりにシステムを停止できるようにする。 |
| イ | 制御プログラムの障害時に、システムの暴走を避け、安全に停止できるようにする。 |
| ウ | ハードウェアの障害時に、パフォーマンスは低下するが、構成を縮小して運転を続けられるようにする。 |
| エ | 利用者の誤操作や誤入力を未然に防ぐことによって、システムの誤動作を防止できるようにする。 |
問 25
システムの本番移行が失敗するリスクに対するコントロールを監査するときのチェックポイントはどれか。
| ア | システム運用段階で新システムの稼働状況がレビューされ、その結果についてシステム開発部門及び利用部門の責任者の承認が得られていること |
| イ | システム開発段階で抽出された問題への対策が、次期システム改善計画に反映されていること |
| ウ | システム企画段階で、システムの投資対効果が評価されていること |
| エ | 利用部門を含めた各部門の役割と責任を明確にした本番移行計画が作成されていること |
問題目次
| 問1 | 認証処理のうち、FIDO(Fast IDentity Onl... |
| 問2 | 暗号機能を実装したIoT機器において脅威となるサイドチャネル... |
| 問3 | VA(Validation Authority)の役割はどれ... |
| 問4 | XMLディジタル署名の特徴として、適切なものはどれか。 |
| 問5 | ファイアウォールにおけるダイナミックパケットフィルタリングの... |
| 問6 | X.509におけるCRL(Certificate Revoc... |
| 問7 | JIS Q 27014:2015(情報セキュリティガバナンス... |
| 問8 | 総務省及び経済産業省が策定した”電子政府における調達のために... |
| 問9 | 基本評価基準、現状評価基準、環境評価基準の三つの基準で情報シ... |
| 問10 | BlueBorneの説明はどれか。 |
| 問11 | CookieにSecure属性を設定しなかったときと比較した... |
| 問12 | DKIM(DomainKeys Identified Mai... |
| 問13 | マルチベクトル型DDoS攻撃に該当するものはどれか。 |
| 問14 | Webサイトにおいて、全てのWebページをTLSで保護するよ... |
| 問15 | 攻撃者に脆弱性に関する専門の知識がなくても、OSやアプリケー... |
| 問16 | IEEE802.1Xで使われるEAP-TLSが行う認証はどれ... |
| 問17 | SQLインジェクション対策について、Webアプリケーションプ... |
| 問18 | DNSSECに関する記述として、適切なものはどれか。 |
| 問19 | IPv4ネットワークにおいて、IPパケットの分割処理と、分割... |
| 問20 | TCPに関する記述のうち、適切なものはどれか。 |
| 問21 | JSON形式で表現される図1、図2のような商品データを複数の... |
| 問22 | 次の仕様で動作する装置がある。未完成の状態遷移図を完成させる... |
| 問23 | マッシュアップを利用してWebコンテンツを表示する例として、... |
| 問24 | 情報システムの設計のうち、フェールソフトの考え方を適用した例... |
| 問25 | システムの本番移行が失敗するリスクに対するコントロールを監査... |