平成20年度 セキュアド 問21−40 問題編




このページは

セキュアド

(情報セキュリティアドミニストレータ試験)

過去問のページです。

解答と解説も欲しい方は解答ページへ行ってください

問21 ネットワークを構成する装置の用途や機能に関する記述のうち、適切なものはどれか。
ゲートウェイは、主にトランスポート層以上での中継を行う装置であり、異なったプロトコル体系のネットワーク間の接続などに用いられる。
ブリッジは、物理層での中継を行う装置であり、フレームのフィルタリング機能をもつ。
リピータは、ネットワーク層での中継を行う装置であり、伝送途中で減衰した信号レベルの補正と再生増幅を行う。
ルータは、データリンク層のプロトコルに基づいてフレームの中継と交換を行う装置であり、フロー制御や最適経路選択などの機能をもつ。
問22 AESの暗号化方式を説明したものはどれか。
鍵長によって、段数が決まる。
段数は、6回以内の範囲で選択できる。
データの暗号化、復号、暗号化の順に3回繰り返す。
同一の公開鍵を用いて暗号化を3回繰り返す。
問23 TLSの機能を説明したものはどれか。
TCPとアプリケーションとの間のレイヤにおいて、通信相手の認証や、暗号方式や暗号鍵のネゴシエーションをHandshakeプロトコルで行う。
電子メールに対して、PKIを適用するためのデータフォーマットを提供する。
ネットワーク層のプロトコルであり、IPパケットの暗号化及び認証を行う。
ログインやファイル転送の暗号通信を行う目的で、チャレンジレスポンスの仕組みを用いてrコマンド群の認証を行う。
問24 公開鍵暗号方式に関する記述として、適切なものはどれか。
DESやAESなどの暗号方式がある。
RSAや楕円曲線暗号などの暗号方式がある。
暗号化鍵と復号鍵が同一である。
共通鍵の配送が必要である。
問25 公開鍵暗号方式によるディジタル署名の手続きとハッシュ値の使用方法のうち、適切なものはどれか。
受信者は、送信者の公開鍵で署名を復号してハッシュ値を取り出し、元のメッセージを変換して求めたハッシュ値と比較する。
受信者はハッシュ値を自分の公開鍵で暗号化して、元のメッセージとともに受信者に送る。
ディジタル署名を付ける元となったメッセージをハッシュ値から復号する。
元のメッセージ全体に対して公開鍵で暗号化を行い、ハッシュ値を用いて復号する。
問26 SQLインジェクション攻撃を防ぐ方法はどれか。
入力値から、上位ディレクトリを指定する文字(../)を取り除く。
入力値から、データベースへの問い合わせや操作において特別な意味を持つ文字を解釈されないよう保護する。
入力値にHTMLタグが含まれていたら、解釈、実行できないほかの文字列に置き換える。
入力値の全体の長さが制限を越えていたときは受け付けない。
問27 表に示すテーブルX,Yへのアクセス要件に関して、JIS Q 27001:2006(ISO/IEC27001:2005)が示す“完全性”の観点からセキュリティを脅かすおそれのあるアクセス権付与はどれか。

画像(問27)を表示できません
GRANT INSERT ON Y TO A
GRANT INSERT ON Y TO B
GRANT SELECT ON X TO A
GRANT SELECT ON X TO B
問28 パスワードに使用できる文字の種類の数をM、パスワードの文字数をnとするとき、設定できるパスワードの論理的な総数を求める数式はどれか。
画像(問28ans)を表示できません
問29 クロスサイトスクリプティングの手口はどれか。
Webアプリケーションに用意された入力フィールドに、悪意のあるJavaScriptコードを含んだデータを入力する。
インターネットなどのネットワークを通じてサーバに不正侵入したり、データの改ざん・破壊を行ったりする。
大量のデータをWebアプリケーションに送ることによって、用意されたバッファ領域をあふれさせる。
バス名を推定することによって、本来は認証された後にしかアクセスできないページに直接ジャンプする。
問30 RADIUSに関する記述として、適切なものはどれか。
ISPや企業内LANなどへのリモートアクセスを実現するとき、ユーザ認証、アクセス制御、アカウント情報管理を統括的に行う。
LANに接続されたコンピュータに対して自動的にIPアドレスを割り当てる。
コンピュータごと、アプリケーションごとに個別に管理されていたユーザ情報やネットワーク資源の情報を、企業や組織全体のディレクトリ情報として格納し、統括的に管理する。
複数のLANやコンピュータシステムをインターネットや公衆回線を用いて、仮想的に同一のネットワークとして接続する技術であり、情報の機密性、完全性を提供する。
問31 テンペスト技術の説明とその対策として、適切なものはどれか。
ディスプレイやケーブルなどから放射される電磁波を傍受し、内容を観察する技術であり、電磁波遮断が施された部屋に機器を設置することによって対抗する。
データ通信の途中でパケットを横取りし、内容を改ざんする技術であり、ディジタル署名による改ざん検知の仕組みを実装することによって対抗する。
マクロウイルスにおいて使われる技術であり、ウイルス対策ソフトを導入し、最新の定義ファイルを適用することによって対抗する。
無線LANの信号から通信内容を傍受し、解析する技術であり、通信パケットを暗号化することによって対抗する。
問32 無線LANのセキュリティ技術に関する記述のうち、適切なものはどれか。
ESS−ID及びWEPを使ってアクセスポイントと通信するには、クライアントにEAP(Extensible Authentication Protocol)を実装する必要がある。
WEPの暗号化鍵の長さは128ビットと256ビットがあり、どちらを利用するかによって処理速度とセキュリティ強度に差が生じる。
アクセスポイントにMACアドレスを登録して認証する場合、ローミング時にEES−IDを照合しない。
無線LANの複数のアクセスポイントが、1台のRADIUSサーバと連携してユーザ認証を行うことができる。
問33 情報システムのリスクマネジメント全体の説明として、最も適切なものはどれか。
事故や災害の発生を防止したり、それが万一発生した場合には損失を最小限にしたりする手段であり、回避、最適化、移転、保有などの手段がある。
情報システムの機密特性を損なう不安定要因やシステムに内在する脆弱性を識別して、企業活動に生じる損失を防止、軽減するとともに、合理的なコストでの対策を行う。
情報システムの機能に障害が発生した際に、業務の中断や機密漏えいを、防止又は軽減する緊急時対策を行う。
リスクを経済的な範囲で最小化するコントロールを設計するために必要な情報を提供する。
問34 金融庁の“財務報告に係る内部統制の評価及び監査の基準”において、内部統制に関係を有する者の役割と責任の記述のうち、適切なものはどれか。
株主は、組織のすべての活動について最終的な責任を有する。
監査役は、内部統制の整備及び運用に係る基本方針を決定する。
経営者は、取締役の職務の遂行に対して監査の一環として、独立した立場から、内部統制の設備及び運用状況を監視、検証する役割と責任を有する。
内部監査人は、モニタリングの一環として、内部統制の設備及び運用状況を検討、評価し、必要に応じて、その改善を促す職務を担っている。
問35 情報システムのコンティジェンシープランに関する記述のうち、適切なものはどれか。
コンティンジェンシープランの目的は、リスクを回避するためのコントロールを設計することである。
障害の抑制・防止対策が適切に設定されているシステムは、コンティジェンシープランの対象外である。
障害復旧までの見込み時間の長さによって、幾つかの対応方法を盛り込んだコンティンジェンシープランを策定する。
ソフトウェアのバグによるシステムの停止は、コンティンジェンシープランの対策外である。
問36 “JIS Q 9001:2000(ISO 9001:2000)品質マネジメントシステム−要求事項”に規定されている経営者の責任はどれか。
経営者は、品質マネジメントシステムの構築、実施及び改善に対するコミットメントの証拠を示さなければならない。
組織内の部門、階層ごとの品質目標は、経営者が設定しなければならない。
品質管理の責任は経営者にあるので、権限を委譲することなく、必要なプロセスの確立、実施及び維持を確実にしなければならない。
不具合又は不満足な状況に陥った場合、それが是正されるまで、経営者は後工程への進行を止めなければならない。
問37 共通フレーム2007(SLCP−JCF2007)の目的はどれか。
ISO/IECのSLCPの内容を基にして、対象範囲にシステム監査プロセスを加え、ソフトウェア取引に関する提案責任と管理責任を明確にすること
ソフトウェア開発作業全般にわたって“共通の物差し”を使うことによって、作業範囲・作業内容を明確にし、取得者と供給者の取引内容を明確にすること
ソフトウェアを適切に購入・使用するためのガイドラインを示すことによって、ソフトウェアの違法複製行為や違法複製品の使用を防止し、ソフトウェアの適正な取引及び管理を促進すること
特定の業種やシステム形態、開発方法論などに極力依存しないよう配慮し、社内の部門間での取引を除く受発注契約をスムーズに遂行すること
問38 情報セキュリティの評価基準JISX5070(ISO/IEC15408)の説明のうち、適切なものはどれか。
IT製品及びシステムの、経済産業省による情報セキュリティマネジメント整合性評価制度に用いられる評価基準
IT製品及びシステムの、セキュリティにかかわる部分の評価基準
IT製品及びシステムの、セキュリティを含むシステム全体のの評価基準
IT製品のうち、OSとハードウェアを対象とするセキュリティレベルの評価基準
問39 JISQ2007:2006のリスクマネジメントで採用されているセーフガードはどれか。
ITシステムの資源に影響を及ぼす不確かな事象を識別、制御、除去、又は低減する総合的なプロセス
脅威によって影響を受ける資産又は資産グループの弱さ
重要情報を含む資産をどのように管理、保護、及び分配するかを統制する規則、指令、及び実践
リスクを低減する実践、手順、又はメカニズム
問40 SAML(Security Assertion Markup Language)の説明として、最も適切なものはどれか。
Webサービスに関する情報を広く公開し、それらが提供する機能などを検索可能にするための仕組み
権限のない利用者による傍受、読取り、改ざんから電子メールを保護して送信するためのプロトコル
ディジタル署名に使われる鍵情報を効率よく管理するためのWebサービスプロトコル
認証情報に加え、属性情報とアクセス制御情報を異なるドメインに伝達するためのWebサービスプロトコル