2017年07月13日

H28秋AP午前問39

問３９　データベースで管理されるデータの暗号化に用いることができ，かつ，暗号化と復号とで同じ鍵を使用する暗号化方式はどれか。

ア　AES
イ　PKI
ウ　RSA
エ　SHA-256

正解は、アです。

2017年07月13日

H28秋AP午前問38

問３８　チャレンジレスポンス認証方式の特徴はどれか。

ア　TLSによって，クライアント側で固定パスワードを暗号化して送信する。
イ　端末のシリアル番号を，クライアント側で秘密鍵を使って暗号化して送信する。
ウ　トークンという装置が自動的に表示する，認証のたびに異なるデータをパスワードとして送信する。
エ　利用者が入力したパスワードと，サーバから送られたランダムなデータとをクライアント側で演算し，その結果を送信する。

正解は、エです。

2017年07月13日

H28秋AP午前問37

問３７　ISP “A" 管理下のネットワークから別のISP “B" 管理下の宛先にSMTPで電子メールを送信する。電子メール送信者がSMTP-AUTHを利用していない場合，スパムメール対策OP25Bによって遮断される電子メールはどれか。

ア　ISP “A" 管理下の固定IPアドレスから送信しようとしたが，受信者の承諾を得ていない広告の電子メール
イ　ISP “A" 管理下の固定IPアドレスから送信しようとしたが，送信元IPアドレスがDNSで逆引きできなかった電子メール
ウ　ISP “A" 管理下の動的IPアドレスからISP “A" のメールサーバを経由して送信される電子メール
エ　ISP “A" 管理下の動的IPアドレスからISP “A" のメールサーバを経由せずに直接送信される電子メール

正解は、エです。

2017年07月02日

暗号と認証

応用情報技術者試験のシラバスでは、暗号と認証に関して、以下の記載があります。

① 暗号技術
脅威を防止するために用いられる暗号技術の活用を理解する。また，暗号化の種類，代表的な暗号方式の仕組み，特徴を理解する。

用語例 CRYPTREC 暗号リスト，暗号方式（暗号化（暗号鍵），復号（復号鍵），解読，共通鍵暗号方式（共通鍵），公開鍵暗号方式（公開鍵，秘密鍵）），AES（AdvancedEncryption Standard ）， RSA （ Rivest ， Shamir ， Adleman ），楕円暗号方式，S/MIME（Secure MIME），PGP（Pretty Good Privacy），ハイブリッド暗号，ハッシュ関数（SHA-256 ほか），ブロック暗号利用モード（CBC，CTR ほか），鍵管理，ディスク暗号化，ファイル暗号化，危殆化

② 認証技術
認証の種類，仕組み，特徴，脅威を防止するためにどのような認証技術が用いられるか，認証技術が何を証明するかを理解する。

用語例ディジタル署名（署名鍵，検証鍵），XML 署名，タイムスタンプ（時刻認証），メッセージ認証，MAC（Message Authentication Code：メッセージ認証符号），チャレンジレスポンス認証

③ 利用者認証
利用者認証のために利用される技術の種類，仕組み，特徴を理解する。
用語例ログイン（利用者ID とパスワード），アクセス管理，IC カード，PIN コード，Kerberos 方式，ワンタイムパスワード，多要素認証，アイデンティティ連携（OpenID，SAML），セキュリティトークン，シングルサインオン，CAPTCHA

④ 生体認証技術
利用者確認に利用される技術の一つである生体認証技術の種類，仕組み，特徴を理解する。

用語例静脈パターン認証，虹彩認証，声紋認証，顔認証，網膜認証，署名認証，本人拒否率，他人受入率

2017年06月05日

平成29年春期午前問39

問３９　経済産業省とIPAが策定した"サイバーセキュリティ経営ガイドライン(Ver1.1)”の説明はどれか。

ア　企業がIT活用を推進していく中で，サイバー攻撃から企業を守る観点で経営者が認識すべき3原則と，情報セキュリティ対策を実施する上での責任者となる担当幹部に，経営者が指示すべき事項をまとめたもの
イ　経営者が，情報セキュリティについて方針を示し，マネジメントシステムの要求事項を満たすルールを定め，組織が保有する情報をCIAの観点から維持し，継続的に見直すためのプロセス及び管理策を体系的に規定したもの
ウ　事業体のITに関する経営者の活動を大きくITガバナンス（統制）とITマネジメント（管理）に分割し，具体的な目標と工程として37のプロセスを定義したもの
エ　世界的規模で生じているサイバーセキュリティ上の脅威に関して，企業の経営者を支援する施策を総合的かつ効果的に推進するための国の責務を定めたもの

正解は、アです。

2017年06月05日

平成29年春期午前問45

問４５　VPNで使用されるセキュアなプロトコルであるIPsec，L2TP，TLSの，OSI基本参照モデルにおける相対的な位置関係はどれか。
問45

正解は、ウです。

2017年06月05日

平成29年春期午前問44

問４４　攻撃にHTTP over TLS （HTTPS）が使われた場合に起こり得ることはどれか。

ア　HTTPSを使ったSQLインジェクション攻撃を受けると， Webアプリケーションでデータベースへの不正な入力をチェックできないので，悪意のあるSQLが実行されてしまう。
イ　HTTPSを使ったクロスサイトスクリプティング攻撃を受けると，Webブラウザでプログラムやスクリプトを実行しない設定にしても実行を禁止できなくなるので，悪意のあるWebサイトからダウンロードされたプログラムやスクリプトが実行されてしまう。
ウ　HTTPSを使ったブルートフォース攻撃を受けると，ログイン試行のチェックができないので，Webアプリケーションでアカウントロックなどの対策が実行できなくなってしまう。
エ　攻撃者が社内ネットワークに仕掛けたマルウェアによってHTTPSが使われると，通信内容がチェックできないので，秘密情報が社外に送信されてしまう。

正解は、エです。

2017年06月05日

平成29年春期午前問42

問４２　無線LAN環境におけるWPA2-PSKの機能はどれか。

ア　アクセスポイントに設定されているSSIDを共通鍵とし，通信を暗号化する。
イ　アクセスポイントに設定されているのと同じSSIDとパスワード(Pre-Shared Key)が設定されている端末だけに接続を許可する。
ウ　アクセスポイントは，IEEE 802.11acに準拠している端末だけに接続を許可する。
エ　アクセスポイントは，利用者ごとに付与されたSSIDを確認し，無線LANへのアクセス権限を識別する。

正解は、イです。

2017年06月05日

平成29年春期午前問40

問４０　水飲み場型攻撃(Watering Hole Attack)の手口はどれか。

ア　アイコンを文書ファイルのものに偽装した上で，短いスクリプトを埋め込んだショートカットファイル（LNKファイル）を電子メールに添付して標的組織の従業員に送信する。
イ　事務連絡などのやり取りを何度か行うことによって，標的組織の従業員の気を緩めさせ，信用させた後，攻撃コードを含む実行ファイルを電子メールに添付して送信する。
ウ　標的組織の従業員が頻繁にアクセスするWebサイトに攻撃コードを埋め込み，標的組織の従業員がアクセスしたときだけ攻撃が行われるようにする。
エ　ミニブログのメッセージにおいて，ドメイン名を短縮してリンク先のURLを分かりにくくすることによって，攻撃コードを埋め込んだWebサイトに標的組織の従業員を誘導する。

正解は、ウです。

2017年06月05日

平成29年春期午前問38

問３８　暗号方式に関する説明のうち，適切なものはどれか。

ア　共通鍵暗号方式で相手ごとに秘密の通信をする場合，通信相手が多くなるに従って，鍵管理の手間が増える。
イ　共通鍵暗号方式を用いて通信を暗号化するときには，送信者と受信者で異なる鍵を用いるが，通信相手にそれぞれの鍵を知らせる必要はない。
ウ　公開鍵暗号方式で通信文を暗号化して内容を秘密にした通信をするときには，復号鍵を公開することによって，鍵管理の手間を減らす。
エ　公開鍵暗号方式では，署名に用いる鍵を公開しておく必要がある。

正解は、アです。

2017年06月05日

平成29年春期午前問37

問３７　A社のWebサーバは，サーバ証明書を使ってTLS通信を行っている。 PCからA社のWebサーバヘのTLSを用いたアクセスにおいて，当該PCがサーバ証明書を入手した後に，認証局の公開鍵を利用して行う動作はどれか。

ア　暗号化通信に利用する共通鍵を生成し，認証局の公開鍵を使って暗号化する。
イ　暗号化通信に利用する共通鍵を，認証局の公開鍵を使って復号する。
ウ　サーバ証明書の正当性を，認証局の公開鍵を使って検証する。
エ　利用者が入力して送付する秘匿データを，認証局の公開鍵を使って暗号化する。

正解は、ウです。

2017年06月05日

平成29年春期午前問43

問４３　図のような構成と通信サービスのシステムにおいて, Webアプリケーションの脆弱性対策のためのWAFの設置場所として，最も適切な箇所はどこか。ここで, WAFには通信を暗号化したり，復号したりする機能はないものとする。
問43

ア　a
イ　b
ウ　c
エ　d

正解は、ウです。

2017年06月05日

平成29年春期午前問41

問41　DNSキャッシュサーバに対して外部から行われるキャッシュポイズニング攻撃への対策のうち，適切なものはどれか。

ア　外部ネットワークからの再帰的な問合せにも応答できるように，コンテンツサーバにキャッシュサーバを兼ねさせる。
イ　再帰的な問合せに対しては，内部ネットワークからのものだけに応答するように設定する。
ウ　再帰的な問合せを行う際の送信元のポート番号を固定する。
エ　再帰的な問合せを行う際のトランザクションIDを固定する。

正解は、イです。

2017年06月05日

平成29年春期午前問36

問３６　インターネットへの接続において，ファイアウォールでNAPT機能を利用することによるセキュリティ上の効果はどれか。

ア　DMZ上にある公開Webサーバの脆弱性を突く攻撃からWebサーバを防御できる。
イ　インターネットから内部ネットワークへの侵入を検知し，通信経路の途中で遮断できる。
ウ　インターネット上の特定のWebアプリケーションを利用するHTTP通ｲ言を検知し，遮断できる。
エ　インターネットにアクセスする組織内の利用者PCについて，外部からの不正アクセスを困難にすることができる。

正解は、エです。

2015年10月04日

1.情報資産

情報資産とは、「営業秘密」「個人情報」に代表される、その名の通り「情報」の「資産」です。
以下に、もう少し詳しい解説をしています。
http://sc.seeeko.com/archives/3825813.html

いまでは、名刺1枚落としたても，情報漏えい事故として扱われるような時代で、特に個人情報に関する情報資産の管理が厳しく言われています。　
たとえば，携帯電話の電話帳に登録するのを禁止する会社も少なくありません。電子的に大量のデータが保存できるのだから，これも情報資産という考え方です。
そこで，ある会社では，会社の携帯電話にはお客様の名前をニックネームで登録しているそうです。
しかし、自分専用の携帯電話ではなく、共用の携帯電話の場合，「これ誰？」が連発されるようです。