応用情報技術者試験 - SE娘の剣 -

応用情報処理技術者試験の対策サイトです。 応用情報処理技術者試験の午前問題を中心とした基礎用語の解説を中心に掲載します。書き始めたばかりなので、内容はまだまだ不十分です。少しずつ追記していきます

平成25年秋FEの過去問(セキュリティ部分)

問38 ディジタル署名などに用いるハッシュ関数の特徴はどれか。
ア 同じメッセージダイジェストを出力する二つの異なるメッセージは容易に求められる。
イ メッセージが異なっていても,メッセージダイジェストは全て同じである。
ウ メッセージダイジェストからメッセージを復元することは困難である。
エ メッセージダイジェストの長さはメッセージの長さによって異なる。

【解説】
ア:メッセージダイジェストからメッセージを求めるのはほぼ不可能です。
イ:はメッセージが異なれば、メッセージダイジェストも異なります。
ウ:正解選択肢です。
エ:メッセージダイジェストの長さは、常に同じです。

【正解】 ウ

問39 リスク共有(リスク移転)に該当するものはどれか。
ア 損失の発生率を低下させること
イ 保険への加入などで,他者との間でリスクを分散すること
ウ リスクの原因を除去すること
エ リスクを扱いやすい単位に分解するか集約すること

【解説】
正解はイです。保険会社に、リスクを移転させます。
参考までに、アはリスク低減、ウはリスク回避です。

【正解】 イ

問40 BYOD (Bring Your Own Device)の説明はどれか。
ア 従業員が企業から'貸与された情報端末を,客先などへの移動中に業務に利用することであり,ショルダハッキングなどのセキュリティリスクが増大する。
イ 従業員が企業から貸与された情報端末を,自宅に持ち帰って私的に利用することであり,機密情報の漏えいなどのセキュリティリスクが増大する。
ウ 従業員が私的に保有する情報端末を,職場での休憩時間などに私的に利用することであり,社内でのセキュリティ意識の低下などのセキュリティリスクが増大する。
エ 従業員が私的に保有する情報端末を業務に利用することであり,セキュリティ設定の不備に起因するウイルス感染などのセキュリティリスクが増大する。

【解説】
BYOD(Bring Your Own Device)とは、そのフルスペルの通り、個人が所有(Own)するモバイル端末(Device)を持ってくる(Bring)という意味です。個人端末はセキュリティ対策が不十分な場合があり、セキュリティリスクとなります。正解はエです。

【正解】 エ

問41 クライアントとWebサーバの間において,クライアントからWebサーバに送信されたデータを検査して, SQLインジェクションなどの攻撃を遮断するためのものはどれか。
ア SSL-VPN機能
イ WAF
ウ クラスタ構成
エ ロードバランシング機能

【解説】
この中で、攻撃を防ぐものはイのWAFしかありません。WAFとは、Web Application Firewallという言葉通り、Webアプリ用のファイアウォールである。通常のファイウォールでは防御できないSQLインジェクションなどの高度な攻撃も防ぐことができます。

【正解】 イ

問42 クライアントPCで行うマルウェア対策のうち,適切なものはどれか。
ア PCにおけるウイルスの定期的な手動検査では,ウイルス対策ソフトの定義ファイルを最新化した日時以降に作成したファイルだけを対象にしてスキャンする。
イ ウイルスがPCの屁弱性を突いて感染しないように,0S及びアプリケーションの修正パッチを適切に適用する。
ウ 電子メールに添付されたウイルスに感染しないように,使用しないTCPポート宛ての通信を禁止する。
エ ワームが侵入しないように,クライアントPCに動的グローバルIPアドレスを付与する。

【解説】
ア:すべてのファイルを対象にすべきです。
イ:正解選択肢です。ウイルス対策ソフトを入れるだけでなく、そもそもの脆弱性を無くすために、修正パッチの適用が必要です。
ウ:この対策をしても、電子メールに添付されたウイルス感染を防ぐことはできません。
エ:動的グローバルIPアドレスは、ワーム侵入を防ぐことと関連がありません。

【正解】 イ

問43 コンピュータ犯罪の手口の一つであるサラミ法はどれか。
ア 回線の一部にひそかにアクセスして他人のパスワードやIDを盗み出してデータを盗用する方法である。
イ ネットワークを介して送受信されているデータを不正に傍受する方法である。
ウ 不正行為が表面化しない程度に,多数の資産から少しずつ詐取する方法である。
エ プログラム実行後のコンピュータの内部又は周囲に残っている情報をひそかに探索して,必要情報を入手する方法である。

【解説】
サラミといえば、お酒の友である乾いたソーセージの薄切りです。少しずつ薄く切る様子が、この不正行為と似ていると判断したのでしょう。正解はウです。

【正解】 ウ

問44 利用者情報を管理するデータベースにおいて,利用者情報を検索して表示するアプリケーションがある。このアプリケーションに与えるデータベースへのアクセス権限として,セキュリティ管理上適切なものはどれか。ここで,権限の範囲は次のとおりとする。

〔権限の範囲〕
 参照権限: レコードの参照が可能
 更新権限: レコードの登録,変更,削除が可能
 管理者権限:テーブルの参照,登録,変更,削除が可能

ア 管理者権限
イ 更新権限
ウ 参照権限
エ 参照権限と更新権限

【解説】
必要以上の権限を与えると、不正行為や攻撃を受けるリスクにつながります。「最小権限(need-to-know)」の考え方で、必要最小限の権限を付与します。今回は、「利用者情報を検索して表示するアプリケーション」とありますから、「参照権限」それさえあれば十分です。

【正解】 ウ

問45 社内ネットワークとインターネットの接続点にパケットフィルタリング型ファイアウォールを設置して,社内ネットワーク上のPCからインターネット上のWebサーバの80番ポートにアクセスできるようにするとき,フィルタリングで許可するルールの適切な組合せはどれか。
3d2eabb4.jpg


【解説】
「社内ネットワーク上のPCからインターネット上のWebサーバの80番ポートにアクセスできるように」とあり、これがヒントです。「PCからインターネット上のWebサーバ」とありますから、送信元は「PC」で、宛先は「Webサーバ」です。また、宛先のポート番号は80番になります。これに該当するのは、ウとエです。
また、その通信に対する戻りのパケットも必要です。戻りのパケットは、行きのパケットを単純に逆にすればいいので、ウが正解です。

【正解】 ウ