カテゴリ:7.セキュリティ > 7.2 リスクマネジメント

■H25春AP
問36 HTTPS通信において,暗号化とサーバ認証に使用されるものはどれか。
ア Cookie     イ S/MIME
ウ SSL/TLS     エ ダイジェスト認証
【正解】ウ

問37 暗号アルゴリズムの危鎔化を説明したものはどれか。
ア 外国の輸出規制によって,十分な強度をもつ暗号アルゴリズムを実装した製品が
 利用できなくなること
イ 鍵の不適切な管理によって,鍵が漏えいする危険性が増すこと
ウ 計算能力の向上などによって,鍵の推定が可能になり,暗号の安全性が低下する
 こと
エ 最高性能のコンピュータを用い,膨大な時間とコストを掛けて暗号強度をより確
 実なものにすること
【正解】ウ

問39 公開鍵暗号を使って夕1人が相互に通信する場合,全体で何個の異なる鍵が必要にな
  るか。ここで,一組の公開鍵と秘密鍵は2個と数える。
7-2 H25h_39
【正解】イ

問40 ソーシャルエンジニアリング手法を利用した標的型攻撃メールの特徴はどれか。
ア 件名に“未承諾広告※”と記述されている。
イ 件名や本文に,受信者の業務に関係がありそうな内容が記述されている。
ウ 支払う必要がない料金を振り込ませるために,債権回収会社などを装い無差別に
 送信される。
エ 偽のホームページにアクセスさせるために,金融機関などを装い無差別に送信さ
 れる。
【正解】イ

問41 ネットワーク障害の原因を調べるために,ミラーポートを用意して, LANアナライザを使用するときに留意することはどれか。
ア LANアナライザがパケットを破棄してしまうので,測定中は測定対象外のコンビ
 ュータの利用を制限しておく必要がある。
イ LANアナライザはネットワークを通過するパケットを表示できるので,盗聴など
 に悪用されないように注意する必要がある。
ウ 障害発生に備えて,ネットワーク利用者に対してLANアナライザの保管場所と使
 用方法を周知しておく必要がある。
エ 測定に当たって, LANケーブルを一時的に切断する必要があるので,ネットワーク利用者に対して測定日を事前に知らせておく必要がある。
【正解】イ

問42 パケットフィルタリング型ファイアウォールのフィルタリングルールを用いて,本来必要なサービスに影響を及ぼすことなく防げるものはどれか。
ア 外部に公開しないサービスへのアクセス
イ サーバで動作するソフトウェアの脆弱性を突く攻撃
ウ 電子メールに添付されたファイルに含まれるマクロウイルスの侵入
エ 電子メール爆弾などのDOS攻撃
【正解】ア

問43 毎回参加者が変わる100名程度の公開セミナにおいて,参加者が持参する端末に対
  して無線LAN接続環境を提供する。参加者の端末以外からのアクセスポイントへの接
  続を防止するために効果があるセキュリティ対策はどれか。
ア アクセスポイントがもつDHCPサーバ機能において,参加者の端末に対して動的
 に割り当てるIPアドレスの範囲をセミナごとに変更する。
イ アクセスポイントがもつURLフィルタリング機能において,参加者の端末に対す
 る条件をセミナごとに変更する。
ウ アクセスポイントがもつ暗号化機能において,参加者の端末とアクセスポイント
 との間で事前に共有する鍵をセミナごとに変更する。
エ アクセスポイントがもつプライバシセパレータ機能において,参加者の端末への
 アクセス制限をセミナごとに変更する。
【正解】ウ
 
問44 サンドボックスの仕組みについて述べたものはどれか。
ア Webアプリケーションの脆弱性を悪用する攻撃に含まれる可能性が高い文字列を
 定義し,攻撃であると判定した場合には,その通信を遮断する。
イ 侵入者をおびき寄せるために本物そっくりのシステムを設置し,侵入者の挙動な
 どを監視する。
ウ プログラムの影響がシステム全体に及ぶことを防止するために,プログラムが実
 行できる機能やアクセスできるリソースを制限して動作させる。
エ プログラムのソースコードSQL文の莚形の中に変数の場所を示す記号を置いた後,実際の値を割り当てる。
【正解】ウ

■H24秋AP
(H23特別 問38と同じ)
問33 SSLによるクライアントとWebサーバ間の通信手順(1)~(5)において,  a,  bに入る適切な語句の組合せはどれか。ここで,記述した手順は,一部簡略化している。
(1)クライアントからのSSLによる接続要求に対し, Webサーバはサーバ証明書をクライアントに送付する。
(2)クライアントは,保持している[二二E二二]を用いてこのサーバ証明書の正当性
を確認する。
(3)クライアントは,共通鍵生成用のデータを作成し,サーバ証明書に添付された
「 ̄ ̄7 ̄ ̄1を用いてこの共通鍵生成用データを暗号化し,  Webサーバに送付する。
(4)暗号化された共通鍵生成用データを受け取ったWebサーバは,自らの秘密鍵を用いてこれを復号する。
(5)クライアントとWebサーバの両者は,同一の共通鍵生成用データによって共通鍵を作成し,これ以降の両者間の通信は,この共通鍵による暗号化通信を行う。
7-2 H24a_33
【正解】ウ

問34 W3Cで仕様が定義され,矩形や円,直線,文字列などの図形オブジェクトをXML形式で記述し, Webページでの図形描画にも使うことができる画像フォーマットはどれか。
ア OpenGL
イ PNG
ウ SVG
エ TIFF
【正解】ウ

問35 ルータ,  PBX,  VoIPゲートウェイ, VoIPゲートキーパを図の①~④に配置して内線用のアナログ電話機とIP電話機を混在させる場合, VoIPゲートウェイを配置する場所はどこか。
7-2 H24a_35
ア ①
イ ②
ウ ③
エ ④
【正解】イ

問36 シングルサインオンの説明のうち,適切なものはどれか。
ア クッキーを使ったシングルサインオンの場合,サーバごとの認証情報を含んだクッキーをクライアントで生成し,各サーバ上で保存,管理する。
イ クッキーを使ったシングルサインオンの場合,認証対象のサーバを,異なるインターネットドメインに配置する必要がある。
ウ リバースプロキシを使ったシングルサインオンの場合,認証対象のWebサーバを,異なるインターネットドメインに配置する必要がある。
エ リバースプロキシを使ったシングルサインオンの場合,利用者認証においてパスワードの代わりにディジタル証明書を用いることができる。
【正解】エ

問37 パスワードに使用できる文字の種類の数をM,パスワードの文字数をnとするとき,設定できるパスワードの理論的な総数を求める数式はどれか。
7-2 H24a_37
【正解】ア

問38 手順に示すハッジュ関数とメッセージダイジェストの処理を行うことで得られるセキュリテイ上の効果はどれか。ここで,メッセージダイジェストは安全な方法で保護され,改ざんや破壊がされていないものとする。
〔手順〕
(1)送信者Aは,電子メールの本文からハッジュ関数を用いて,メッセージダイジェストを作成する。電子メールの本文とメッセージダイジェストを別々に受信者Bに送信する。
(2)受信者Bは受信した電子メールの本文からハッジュ関数を用いて,メッセージダイジェストを作成する。その作成したメッセージダイジェストと,受信したメッセージダイジェストを比較する。
ア 電子メールの改ざんの有無の確認     イ 電子メールの誤送信の防止
ウ 電子メールの送達確認     エ 電子メールの盗聴の防止
【正解】ア

問39 暗号方式に関する記述のうち,適切なものはどれか。
ア AESは公開鍵暗号方式RSA共通鍵暗号方式の一種である。
イ 共通鍵暗号方式では,暗号化及び復号に使用する鍵が同一である。
ウ 公開鍵暗号方式を通信内容の秘匿に使用する場合は,暗号化に使用する鍵を秘密にして,復号に使用する鍵を公開する。
エ ディジタル署名公開鍵暗号方式が使用されることはなく,共通鍵暗号方式が使用される。<
【正解】イ

問42 ウイルス検知手法の一つであるビヘイビア法を説明したものはどれか。
ア ウイルスの特徴的なコード列が検査対象プログラム内に存在するかどうかを調べて,もし存在していればウイルスとして検知する。
イ 各ファイルに,チェックサム値などウイルスではないことを保証する情報を付加しておき,もし保証する情報が検査対象ファイルに付加されていないか無効ならば,ウイルスとして検知する。
ウ 検査対象ファイルのハッジュ値と,安全な場所に保管してあるその対象の原本のハッジュ値を比較して,もし異なっていればウイルスとして検知する。
エ 検査対象プログラムを動作させてその挙動を監視し,もしウイルスによく見られる行動を起こせばウイルスとして検知する。
【正解】エ

問43 自社の中継用メールサーバで,接続元IPアドレス,電子メールの送信者のドメイン名及び電子メールの受信者のドメイン名のログを取得するとき,外部ネットワークからの第三者中継と判断できるログはどれか。ここで,  AAA.168.1.5とAAA.168.1.10は自社のグローバルIPアドレスとし,  BBB.45.67.89とBBB.45.67.90は社外のクローバルIPアドレスとする。a.b.cは自社のドメイン名とし, a.b.dとa.b.eは他社のドメイン名とする。また, IPアドレスドメイン名は詐称されていないものとする。
7-2 H24a_43
【正解】ウ

■H24春AP
問37 WAFの説明として,適切なものはどれか。
ア DMZに設置されているWebサーバヘ外部から実際に侵入を試みる。
イ WebサーバのCPU負荷を軽減するために,  SSLによる暗号化と復号の処理をWebサーバではなく専用のハードウェア上で行う。
ウ システム管理者が質問に答える形式で,自組織の情報セキュリティ対策のレベルを診断する。
エ 特徴的なパターンが含まれるかなどWebアプリケーションへの通信内容を検査して,不正な操作を遮断する。
【正解】エ

問38 ディジタル署名などに用いるハッジュ関数の特徴はどれか。
ア 同じメッセージダイジェストを出力する異なる二つのメッセージが,容易に求められる。
イ メッセージが異なっていても,メッセージダイジェストは同じである。
ウ メッセージダイジェストからメッセージを復元することは困難である。
エ メッセージダイジェストの長さはメッセージの長さによって異なる。
【正解】ウ

問39 手順に示すクライアントとサーバの処理と通信で可能になることはどれか。
〔手順〕
(1)サーバはクライアントから要求があるたびに異なる予測困難な値(チャレンジ)を生成して保持するとともに,クライアントへ送る。
(2)クライアントは利用者が入力したパスワードのメッセージダイジェストを計算し,(1)でサーバから送られだチャレンジ"と合わせたものから,さらに,メッセージダイジェスト(レスポンス)を計算する。この“レスポンスと利用者が入力した利用者IDをサーバに送る。
(3)サーバは,クライアントから受け取った利用者IDで利用者情報を検索して,取り出したパスワードのメッセージダイジェストと(1)で保持していだチャレンジ"を合わせたものから,メッセージダイジェストを計算する(レスポンス照合データ)。この“レスポンス照合データ'とクライアントから受け取っだレスポンズとを比較する。
ア 伝送上で発生したパスワードのビット誤りのサーバでの訂正
イ 伝送上で発生した利用者IDのビット誤りのサーバでの訂正
ウ ネットワーク上でのパスワードの,漏えい防止とリプレイ攻撃の防御
エ ネットワーク上での利用者IDの,漏えい防止とリプレイ攻撃の防御
【正解】ウ

問40 ディジタル署名における署名鍵の用い方と,ディジタル署名を行う目的のうち,適切なものはどれか。
ア 受信者が署名鍵を使って,暗号文を元のメッセージに戻すことができるようにする。
イ 送信者が固定文字列を付加したメッセージを,署名鍵を使って暗号化することによって,受信者がメッセージの改ざん部位を特定できるようにする。
ウ 送信者が署名鍵を使って署名を作成し,それをメッセージに付加することによって,受信者が送信者を確認できるようにする。
エ 送信者が署名鍵を使ってメッセージを暗号化することによって,メッセージの内容を関係者以外に分からないようにする。
【正解】ウ

問41 サイト運営者に不特定の利用者が電子メールで機密データを送信するに当たって,機密性を確保できる仕組みのうち,適切なものはどれか。
ア サイト運営者はサイト内のSSLで保護されたWebページに共通鍵を公開し,利用者は電子メールで送信するデータをその共通鍵で暗号化する。
イ サイト運営者はサイト内のSSLで保護されたWebページにサイト運営者の公開鍵を公開し,利用者は電子メールで送信するデータをその公開鍵で暗号化する。
ウ サイト運営者はサイト内のSSLで保護されたWebページに利用者の公開鍵を公開し,利用者は電子メールで送信するデータをその公開鍵に対応する秘密鍵で暗号化する。
エ サイト運営者はサイト内の認証局で利用者の公開鍵を公開し,利用者は電子メールで送信するデータをその公開鍵に対応する秘密鍵で暗号化する。
【正解】イ

問44 ステガノグラフィを説明したものはどれか。
ア データをコピーできないようにする技術のことをいう。
イ データを第三者に盗み見られても解読できないようにするために,決まった規則に従ってデータを変換することをいう。
ウ 文書の正当性を保証するために付けられる暗号化された署名情報のことをいう。
エ メッセージを画像データや音声データなどに埋め込み,メッセージの存在を隠す技術のことをいう。
【正解】エ

■H23秋
問38 ディジタル署名を生成するときに,発信者がメッセージのハッジュ値をディジタル署名に変換するのに使う鍵はどれか。
ア 受信者の公開鍵     イ 受信者の秘密鍵
ウ 発信者の公開鍵     エ 発信者の秘密鍵
【正解】エ

問39 フィッシング(phishing)による被害はどれか。
ア インターネットからソフトウェアをダウンロードしてインストールしたところ,設定したはずのない広告がデスクトップ上に表示されるようになった。
イ インターネット上の多数のコンピュータから,公開しているサーバに一斉にパケットが送り込まれたので,当該サーバが一時使用不能になった。
ウ 知人から送信されてきた電子メールに添付されていたファイルを実行したところ,ハードディスク上にあった全てのファイルを消失してしまった。
エ “本人情報の再確認が必要なので入力してください"という電子メールで示されたURLにアクセスし,個人情報を入力したところ,詐取された。
【正解】エ

問40 クライアントとWebサーバの間において,クライアントがWebサーバに送信するデータを検査して,  SQLインジェクションなどの攻撃を遮断するためのものはどれか。
ア SSL-VPN機能     イ WAF
ウ クラスタ構成     エ ロードバランシング機能
【正解】イ

問41 パケットフィルタリング型ファイアウォールのフィルタリングルールを用いて,本来必要なサービスに影響を及ぼすことなく防げるものはどれか。
ア 外部に公開していないサービスへのアクセス
イ サーバで動作するソフトウェアのセキュリティの脆弱性を突く攻撃
ウ 電子メールに添付されたファイルに含まれるマクロウイルスの侵入
エ 電子メール爆弾などのDOS攻撃
【正解】ア

問42 ブルートフォース攻撃に該当するものはどれか。
ア 可能性のある文字のあらゆる組合せのパスワードでログインを試みる。
イ コンピュータへのキー入力を全て記録して外部に送信する。
ウ 盗聴者が正当な利用者のログインシーケンスをそのまま記録してサーバに送信する。
エ 認証が終了してセッションを開始している,ブラウザとWebサーバの間の通信で,Cookieなどのセッション|吉報を盗む。
【正解】ア

■H23特別
問39 TCP/IPの環境で使用されるプロトコルのうち,構成機器や障害時の情報収集を行うために使用されるネットワーク管理プロトコルはどれか。
ア NNTP     イ NTP     ウ SMTP     エ SNMP
【正解】エ

問40 http:;//host.example.co.jp:8080/fileで示されるURLの説明として,適切なものはどれか。
ア :8080はプロキシサーバ経由で接続することを示している。
イ fileはHTMLで作成されたWebページであることを示している。
ウ hostexa万mple.co.jpは参照先のサーバが日本国内にあることを示している。
エ http:はプロトコルとしてHTTPを使用して参照することを示している。
【正解】エ

H28春AP午前

問38 重要情報の取扱いを委託する場合における,委託元の情報セキュリティ管理のうち,適切なものはどれか。

ア 委託先が再委託を行うかどうかは委託先の判断に委ね,事前報告も不要とする。
イ 委託先の情報セキュリティ対策が確認できない場合は,短期間の業務に限定して委託する。
ウ 委託先の情報セキュリティ対策が適切かどうかは,契約開始前ではなく契約終了時に評価する。
エ 情報の安全管理に必要な事項を事前に確認し,それらの事項を盛り込んだ上で委託先との契約書を取り交わす。

正解は、エです。

H27春AP午前

問40 JPCERT/CCの説明はどれか。

ア 工業標準化法に基づいて経済産業省に設置されている審議会であり,工業標準化全般に関する調査・審議を行っている。
イ 電子政府推奨暗号の安全性を評価・監視し,暗号技術の適切な実装法・運用法を調査・検討するプロジェクトであり,総務省及び経済産業省が共同で運営する暗号技術検討会などで構成される。
ウ 特定の政府機関や企業から独立した組織であり,国内のコンピュータセキュリティインシデントに関する報告の受付,対応の支援,発生状況の把握,手口の分析,再発防止策の検討や助言を行っている。
エ 内閣官房に設置され,我が国をサイバー攻撃から防衛するための司令塔機能を担う組織である。

正解は、ウです。

問41 JIS Q 31000:2010(リスクマネジメント-原則及び指針)における,残留リスクの定義はどれか。

ア 監査手続を実施しても監査人が重要な不備を発見できないリスク
イ 業務の性質や本来有する特性から生じるリスク
ウ 利益を生む可能性に内在する損失発生の可能性として存在するリスク
エ リスク対応後に残るリスク

正解は、エです。

H26秋AP午前

問44 システム運用管理者による機密ファイルの不正な持出しを牽制するための対策はどれか。

ア 運用管理者のPCの定期的なウイルス検査
イ 運用管理者のPCへのクライアントファイアウォールの導入
ウ 監視者の配置
エ 機密ファイルのバックアップ

正解は、ウです。

H25秋AP午前
 
問40 ISMSにおいて定義することが求められている情報セキュリティ基本方針に関する記述のうち,適切なものはどれか。

ア 重要な基本方針を定めた機密文書であり,社内の関係者以外の目に触れないようにする。
イ 情報セキュリティの基本方針を述べたものであり,ビジネス環境や技術が変化しても変更してはならない。
ウ 情報セキュリティのための経営陣の方向性及び支持を規定する。
エ 特定のシステムについてリスク分析を行い,そのセキュリティ対策とシステム運用の詳細を記述する。

正解は、ウです。

問39 経済産業省IPAが策定した"サイバーセキュリティ経営ガイドライン(Ver1.1)”の説明はどれか。

ア 企業がIT活用を推進していく中で,サイバー攻撃から企業を守る観点で経営者が認識すべき3原則と,情報セキュリティ対策を実施する上での責任者となる担当幹部に,経営者が指示すべき事項をまとめたもの
イ 経営者が,情報セキュリティについて方針を示し,マネジメントシステムの要求事項を満たすルールを定め,組織が保有する情報をCIAの観点から維持し,継続的に見直すためのプロセス及び管理策を体系的に規定したもの
ウ 事業体のITに関する経営者の活動を大きくITガバナンス(統制)とITマネジメント(管理)に分割し,具体的な目標と工程として37のプロセスを定義したもの
エ 世界的規模で生じているサイバーセキュリティ上の脅威に関して,企業の経営者を支援する施策を総合的かつ効果的に推進するための国の責務を定めたもの
正解は、アです。

情報資産とは、「営業秘密」「個人情報」に代表される、その名の通り「情報」の「資産」です。
以下に、もう少し詳しい解説をしています。
http://sc.seeeko.com/archives/3825813.html

いまでは、名刺1枚落としたても,情報漏えい事故として扱われるような時代で、特に個人情報に関する情報資産の管理が厳しく言われています。 
たとえば,携帯電話の電話帳に登録するのを禁止する会社も少なくありません。電子的に大量のデータが保存できるのだから,これも情報資産という考え方です。
そこで,ある会社では,会社の携帯電話にはお客様の名前をニックネームで登録しているそうです。
しかし、自分専用の携帯電話ではなく、共用の携帯電話の場合,「これ誰?」が連発されるようです。
5fe29b22.jpg

1.リスクとは
リスクに関しては、以下を参照ください。
http://sc.seeeko.com/archives/3825813.html

2.リスクマネジメント
リスクへの対処方法は、一つではありません。
詳しくは以下です。
http://sc.seeeko.com/archives/cat_125459.html

USB持ち出し制限には抜けがない?
33570d59.jpg

技術的なものには限界がある。でれば、人的面で対策をするしかありません。

(1)ISMS
ISMSとは
http://sc.seeeko.com/archives/3828417.html

(2)情報セキュリティポリシー
①情報セキュリティポリシーとは
http://sc.seeeko.com/archives/895946.html

②情報セキュリティ基本方針
http://sc.seeeko.com/archives/4877721.html

Q.携帯を落としたら、携帯会社は何をしてくれるの?

情報セキュリティマネジメント試験を目指す剣持成子_2 

先日、私が携帯電話を落としてしまいました。
かなり慌てたのですが、携帯会社が結構やってくれました。
たとえば、支払機能をOFFにしたり、遠隔で探してくれたり、遠隔ロックなどです。
これらは、もし携帯を落としたらどんな対処ができるかを、事前に整理しているからできることです。
当然、事故が起こった後の対応も重要ですが、事前に対応策を整理しておくことが、何よりも重要です。

対応は、事前対応と事後対応の両方が必要です。

1.事前対応
情報セキュリティインシデント管理の手順、対応部署(危機管理室など)を明確化しておきます。そして、インシデントが発生した場合には、手順に従って迅速な対応を実施します。

2.事後対応
インシデントが発生した後の対応に関しては、以下を参照ください。
過去問を含めてがっつり書いています。
http://sc.seeeko.com/archives/cat_125555.html

①情報セキュリティ委員会
http://sc.seeeko.com/archives/5129542.html

②CSIRT
http://sc.seeeko.com/archives/4675916.html

③NISC(内閣官房情報セキュリティセンター)
http://sc.seeeko.com/archives/4884662.html

IPAセキュリティセンター
http://sc.seeeko.com/archives/4554416.html

----------
通帳に印鑑(副印鑑という)が貼られなくなったのはなぜ?
----------

かつては、通帳には、登録印が押されていました。私は当時、郵便局と銀行の2つの通帳を持っていたのですが、銀行には印鑑が押されておらず、郵便局では押されていました。住所変更などの手続きをするには印鑑が必要なのですが、自分の印鑑がどれか分からなくて困った経験があります。

それが、郵便局(現ゆうちょ銀行)でも、2013年6月3日(月)から、通帳への副印鑑貼付が廃止されました。
http://www.jp-bank.japanpost.jp/news/2013/news_id000931.html
その理由として、以下が記載されています。

----------
しかし通帳を紛失したり、盗難にあわれた場合に、副印鑑によりお届け印が偽造される可能性を踏まえ、お客さまの大切な財産をお守りするために、この度、副印鑑を廃止することといたしました。
----------

これには違う背景もあります。
現在では、書類押した印鑑が本物かはコンピュータで判断します。しかし、これまでは、窓口の人が、通帳に貼られた印鑑と、実際の印鑑を目で照合していました。ですから、偽造印鑑などによる不正が行われたのです。全国には莫大な数の郵便局がありますから、コンピュータで判断するシステムを導入するのに、時間がかかったようです。

さて、脆弱性とは何でしょう。
他の試験の過去問では、脆弱性に関して、「情報資産に内在して、リスクを顕在化させる弱点(H22AP春AM問41) 」と述べられています。
詳しくは以下を参照ください。
http://sc.seeeko.com/archives/4877729.html

↑このページのトップヘ