応用情報技術者試験 - SE娘の剣 -

応用情報処理技術者試験の対策サイトです。 応用情報処理技術者試験の午前問題を中心とした基礎用語の解説を中心に掲載します。書き始めたばかりなので、内容はまだまだ不十分です。少しずつ追記していきます

平成26年度秋期(IP)(セキュリティ部分、短答式)

問21 個人情報保護法における“個人情報”だけを全て挙げたものはどれか。
 a 記号や数字だけからなるハンドルネームを集めたファイル
 b 購入した職員録に載っている取引先企業の役職と社員名
 c 電話帳に載っている氏名と住所,電話番号
 d 取引先企業担当者の名刺データペース
ア a, b
イ a, c, d
ウ b, c
エ b, c, d

【解説】
個人情報とは、以下に書きましたように、「特定の個人を識別することができる」ものです。
http://sc.seeeko.com/archives/3967953.html
なので、その情報があれば、同姓同名ではなく、「剣持成子だ!」と特定できるものを探します。
すると、b,c,dはズバリ名前や会社などが記載されていますから、個人を特定できます。
一方のaは、ハンドルネームからは、誰かは分かりません。

【正解】 エ

問23 インターネット上の脅威となる行為のうち,不正アクセス禁止法で禁止されているものはどれか。
ア セキュリティホールを利用してWebサイトに侵入する。
イ 不正なデータ送信や大量のトラフィックなどで,ターゲットのコンピュータやネットワーク機器に負荷をかけ,サービス不能にする。
ウ 傍受した無線LANの電波を解析して,競合他社の技術情報を読み取る。
エ 利用者の意図とは無関係な画像を表示するウイルス付きのメールを特定の相手に故意に送付する。

【解説】
不正アクセス禁止法は、「利用権限をもたない第三者が、他人のIDやパスワードを使ってネットワークに接続されたコンピュータを利用可能にする行為及びその助長行為を処罰の対象にしている法律(H21SC秋午前Ⅰ問30より)」です。
この観点で選択肢を確認します。
アはセキュリティホールを利用するという観点から、ネットワーク経由での侵入と考えられます。Webサイトのサーバに直接ログインするのであれば、セキュリティホールを突く必要が無いからです。
イは、ウ、エは、「他人のIDやパスワードを使って」いませんので、対象外です。
不正アクセス禁止法に関しては、以下も参照ください。
http://sc.seeeko.com/archives/3829556.html

【正解】 ア

問26 監査役の役割の説明として,適切なものはどれか。
ア 公認会計士の資格を有して,会社の計算書類を監査すること
イ 財務部門の最高責任者として職務を執行すること
ウ 特定の事業に関する責任と権限を有して,職務を執行すること
エ 取締役の職務執行を監査すること

【解説】
アは、公認会計士で、監査役が内部の人間であるのに対し、外部監査を行います。
イやウは不正解で、財務であったり、特定の事業を行うことが仕事ではなく、エにあるように「取締役の職務執行を監査すること」が職務であり、役割です。

監査役については、以下を参照ください。
http://sm.seeeko.com/archives/65868347.html

【正解】 エ

問47 情報セキュリティのリスクマネジメントにおいて,リスクの重大さを決定するために,算定されたリスクを与えられた基準と比較するプロセスはどれか。
ア リスク対応
イ リスクの特定
ウ リスク評価
エ リスク分析

【解説】
まず、リスクマネジメントの流れを思い出してください。
http://sc.seeeko.com/archives/3826517.html
ここにあるように、リスク分析(リスク因子の特定、リスクの算出)→リスク評価→リスク対応 の流れです。
今回は、リスク分析によって算出されたリスクをもとに、基準と比較するということなので、リスク評価になります。

リスク分析とリスク評価の違いが難しいことだと思います。
リスク評価に関しては、以下も参照ください。
http://sc.seeeko.com/archives/3828380.html

【正解】 ウ

問50 スマートフォンの取扱いに関する記述のうち,セキュリティの観点から不適切な行動はどれか。
ア スマートフォン内の消えてしまうと困るデータは,スマートフォンとは別の場所に暗号化して保存する。
イ スマートフォンにもウイルスは感染する可能性があるので,ウイルス対策ソフトを導入する。
ウ スマートフォンの購入時が最もセキュリティが高い状態なので,OSの更新はしないで使い続ける。
エ スマートフォンを紛失した場合,遠隔からの強制ロックとデータの強制削除を行う。

【解説】
これは簡単だったことと思います。ア、イ、エは正解です。
ウですが、購入時が最もセキュリティが高いというのは、不要なアプリがインストールされていないという点では間違ってもいないかもしれませんが、必ずしも最も高いとは言い切れません。そのときに、重大なセキュリティホールが発見され、その更新がされていないかもしれないからです。また、OSの更新はするべきです。セキュリティホールを修正してくれるからです。

【正解】 ウ

問51 次の認証方式の特徴に関する記述として,適切なものはどれか。
・ 利用者にはあらかじめ乱数表が渡されている。
・乱数表に印刷された数字は利用者ごとに異なる。
・ システムが要求する乱数表の座標位置に記載された数字をパスワードとして入力する。(座標位置は毎回異なる。)
・ 正しいパスワードの入力が確認できた場合に認証が成功する。
672f4dd3.jpg

ア システムが要求する乱数表の座標位置が同じでも,パスワードは毎回異なる。
イ 知識による認証の一種である。
ウ 盗聴したパスワード利用による,なりすましの防止に有効である。
エ 乱数表を他人に渡しても安全である。

【解説】
アは不正解です。乱数表は変わらないので、乱数表の座標位置が同じであれば、パスワードは毎回同じです。
イは不正解です。知識認証の代表例はパスワードです。それ以外に、所有物認証、生体認証があります。今回は、何を知っているかではありません。どの乱数表を持っているかという所有物認証です。知識は使っていませんし、この乱数表を誰かに渡せば、それを受け取った人が認証に成功します。
ウは、正解です。この仕組みであれば、パスワードは毎回異なります。ですから、仮にパスワードが盗聴されたとしても、第三者が今後もログインすることはできません。
エは当然ながら安全ではありません。乱数表があれば、システムにログインすることができます。

【正解】 ウ

問54 セキュリティに問題があるPCを社内ネットワークなどに接続させないことを目的とした仕組みであり,外出先で使用したPCを会社に持ち帰った際に,ウイルスに感染していないことなどを確認するために利用するものはどれか。
ア DMZ
イ IDS
ウ 検疫ネットワーク
エ ファイアウォール

【解説】
検疫ネットワークです。以下の解説も確認ください。
http://sc.seeeko.com/archives/3836041.html

ちなみに、アのDMZは、非武装地帯のことです。詳しくは以下を参照ください。http://nw.seeeko.com/archives/50935415.html
イのIDSは、・・・
エのファイアウォールは以下です。
http://nw.seeeko.com/archives/50897858.html
【正解】 ウ

問55 PKI(公開鍵基盤)における電子証明書に関する記述のうち,適切なものはどれか。
ア 通信内容の改ざんがあった場合,電子証明書を発行した認証局で検知する。
イ 電子メールに電子証明書を付与した場合,送信者が電子メールの送達記録を認証局に問い合わせることができる。
ウ 電子メールの送信者が公開鍵の所有者であることを,電子証明書を発行した認証局が保証することによって,なりすましを検出可能とする。
エ 認証局から電子証明書の発行を受けた送信者が,電子メールにディジタル署名を付与すると,認証局がその電子メールの控えを保持する。

【解説】
PKIについては、詳しくは以下に解説しています。
http://sc.seeeko.com/archives/cat_125390.html
PKI(Public Key Infrastructure)は、その直訳が意味するとおり、公開鍵基盤という意味です。よって、PKIとは、公開鍵を利用したセキュリティの枠組みと考えればいいでしょう。
今回は、設問文に「電子証明書」とあります。ここでは、電子メールなどに電子証明書をつけることで、何ができるかを考えるとよいでしょう。
アですが、ディジタル署名をつけたメールが改ざんされた場合、受信者側にてそれを検知することができます。ですが、認証局では検知できません。
イですが、電子メールに電子証明書を付与すると、受信側にて、送信者の確認をすることができます。ですが、送達記録の確認は、認証局ではできません。認証局とは切り離してメールのやり取りをするからです。
ウですが、

【正解】 ウ

問57 生体認証による'入退室管理システムに全社員を登録し,社内の各部屋に入室を許可する社員を設定した。退室は管理していない。a~dの記述のうち,この入退室管理システムで実現できることだけを全て挙げたものはどれか。
 a 権限のある社員だけに入室を許可する。
 b 入室者が部屋にいた時間を記録する。
 c 入室を試みて,拒否された社員を記録する。
 d 部屋にいる人数を把握する。

ア a, b, c
イ a, c
ウ a, d
工 b, c, d

【解説】

【正解】 イ

問58 不正アクセスなどに利用される,コンピュータシステムやネットワークに存在する弱点や欠陥のことを何というか。
ア インシデント
イ セキュリティホール
ウ ハッキング
エ フォレンジック

【解説】

【正解】 イ

問59 情報セキュリティにおける脅威であるバッファオーバフローの説明として,適切なものはどれか。
ア 特定のサーバに大量の接続要求を送り続けて,サーバが他の接続要求を受け付けることを妨害する。
イ 特定のメールアドレスに大量の電子メールを送り,利用者のメールボックスを満杯にすることで新たな電子メールを受信できなくする。
ウ ネットワークを流れるパスワードを盗聴し,それを利用して不正にアクセスする。
エ プログラムが用意している入力用のデータ領域を超えるサイズのデータを入力することで,想定外の動作をさせる。

【解説】

【正解】 エ

問60 認証技術を,所有物による認証,身体的特徴による認証及び知識による認証の三つに分類したとき,分類と実現例①~③の適切な組合せはどれか。
① ICカードを用いた認証
② ID,パスワードによる認証
③ 指紋による認証
8d7f56c2.jpg


【解説】

【正解】 イ

問61 組織で策定する情報セキュリティポリシに関する記述のうち,最も適切なものはどれか。
ア 情報セキュリティ基本方針だけでなく,情報セキュリティに関する規則や手順
 の策定も経営者が行うべきである。
イ 情報セキュリティ基本方針だけでなく,情報セキュリティに関する規則や手順
 も社外に公開することが求められている。
ウ 情報セキュリティに関する規則や手順は組織の状況にあったものにすべきであ
 るが,最上位の情報セキュリティ基本方針は業界標準の雛形をそのまま採用する
 ことが求められている。
エ 組織内の複数の部門で異なる情報セキュリティ対策を実施する場合でも,情報
 セキュリティ基本方針は組織全体で統一させるべきである。

【解説】

【正解】 エ

問62 ペネトレーションテストの説明として,適切なものはどれか。
ア システムに対して,実際に攻撃して侵入を試みることで,セキュリティ上の弱
 点を発見する。
イ システムに対して,通常以上の高い負荷をかけて,正常に機能するかどうかを
 確認する。
ウ プログラムを変更したときに,その変更によって想定外の影響が現れていない
 かどうかを確認する。
エ 利用者にシステムを実際に使ってもらうことで,使いやすさを確認する。

【解説】

正解】 ア

問63 リスク対策のうち,ソーシャルエンジニアリングへの対策に該当するものはどれか。
ア 電子メールは,メールサーバでウイルス検査をしてから配信する。
イ 電力供給の停止に備えて,自家発電装置を設置する。
ウ 電話で重要情報を伝達するときの方法を定めて,その手順に従って行う。
エ 入荷物は,受取場所で危険物が含まれないことを検査してから使用場所へ移す。

【解説】

【正解】 ウ

問64 電子メールの宛先入力欄におけるBCCに関する記述として,適切なものはどれか。
ア BCCに指定した宛先には,自動的に暗号化された電子メールが送信される。
イ BCCに指定した宛先には,本文を削除した件名だけの電子メールが送信される。
ウ BCCに指定した宛先のメールアドレスは,他の宛先には通知されない。
エ BCCに指定した宛先は,配信エラーが発生したときの通知先になる。

【解説】

【正解】 ウ

問67 情報セキュリティの要素である機密性,完全性及び可用性のうち,完全性を高め
  る例として,最も適切なものはどれか。
ア データの入力者以外の者が,入力されたデータの正しさをチェックする。
イ データを外部媒体に保存するときは,暗号化する。
ウ データを処理するシステムに予備電源を増設する。
エ ファイルに読出し用パスワードを設定する。

【解説】

【正解】 ア

問69 バイオメトリクス認証の例として,適切なものはどれか。
ア 本人だけが知っているパスワードで認証する。
イ 本人だけがもっている身分証明書で認証する。
ウ 本人の指紋で認証する。
エ ワンタイムパスワードを用いて認証する。

【解説】

【正解】 ウ

問75 あるWebサーバにおいて,五つのディレクトリが図のような階層構造になっている。
  このとき,ディレクトリBに格納されているHTML文書からディレクトリEに格納され
  ているファイルimg.jpgを指定するものはどれか。ここで,ディレクトリ及びファイ
  ルの指定は,次の方法によるものとする。
ディレクトリ及びファイルの指定方法〕
(1)ファイルは,“ディレクトリ名/…/ディレクトリ名/ファイル名”のように,経
 路上のディレクトリを順に“/”で区切って並べた後に“/”とファイル名を指定
 する。
(2)カレントディレクトリは∵’で表す。
(3)1階層上のディレクトリぱ。。”で表す。
(4)始まりが“/”のときは,左端にルートディレクトリが省略されているものと
 する。
(5)始まりが“/”,“。”,“‥”のいずれでもないときは,左端にカレントディレク
 トリ配下であることを示ず。/”が省略されているものとする。
IP_75
ア .. /A/D/E/img.jpg
イ ../D/E/img. jpg
ウ ./A/D/E/img. jpg
エ ./D/E/img. jpg

【解説】

【正解】 イ

問76 無線LANの暗号化方式はどれか。
ア ESSID
イ HTTPS
ウ P0P3
エ WPA2

【解説】

【正解】 エ

問77 暗号化通信で使用する鍵a~cのうち,セキュリティ上,第三者に知られてはいけ
  ないものだけを全て挙げたものはどれか。
 a 共通鍵暗号方式の共通鍵
 b 公開鍵暗号方式の公開鍵
 c 公開鍵暗号方式秘密鍵

ア a, b
イ a, c
ウ b, c
エ C

【解説】

【正解】 イ

問78 ISMSを構築する組織において,企業の経営方針に基づいて情報セキュリティ基本
  方針を策定した。これは, ISMSPDCAサイクルのどのプロセスで実施されるか。
ア P
イ D
ウ C
エ A

【解説】

【正解】 ア

問80 物理的セキュリティ対策の不備が原因となって発生するインシデントの例として,
  最も適切なものはどれか。
ア DOS攻撃を受け,サーバが停止する。
イ PCがコンピュータウイルスに感染し,情報が漏えいする。
ウ 社員の誤操作によって,PC内のデータが消去される。
エ 第三者がサーバ室へ侵入し,データを盗み出す。

【解説】

【正解】 エ

問83 社内のISMS活動の一環として,サーバのセキュリティについて監査を行うことに
  なった。最初に実施することとして,適切なものはどれか。
ア 監査の計画書を作成する。
イ サーバのセキュリティ設定を見直す。
ウ 全てのサーバの監査用囗グの所在を確認する。
エ 証弱性検査ツールを利用して,サーバの脆弱性を確認する。

【解説】

【正解】 ア