応用情報技術者試験 - SE娘の剣 -

応用情報処理技術者試験の対策サイトです。 応用情報処理技術者試験の午前問題を中心とした基礎用語の解説を中心に掲載します。書き始めたばかりなので、内容はまだまだ不十分です。少しずつ追記していきます

セキュリティ対策に関する過去問

H28春AP午前
(H24春AP午前 問37と同じ)
問40 WAFの説明として,適切なものはどれか。

ア DMZに設置されているWebサーバへ外部から実際に侵入を試みる。
イ WebサーバのCPU負荷を軽減するために,TLSによる暗号化と復号の処理をWebサーバではなく専用のハードウェアで行う。
ウ システム管理者が質問に答える形式で,自組織の情報セキュリティ対策のレベルを診断する。
エ 特徴的なパターンが含まれるかなどWebアプリケーションへの通信内容を検査して,不正な操作を遮断する。

正解は、エです。

問41 Webアプリケーションのセッションが攻撃者に乗っ取られ,攻撃者が乗っ取ったセッションを利用してアクセスした場合でも,個人情報の漏えいなどの被害が拡大しないようにするために,Webアプリケーションが重要な情報をWebブラウザに送信する直前に行う対策として,最も適切なものはどれか。

ア Webブラウザとの間の通信を暗号化する。
イ 発行済セッションIDをCookieに格納する。
ウ 発行済セッションIDをURLに設定する。
エ パスワードによる利用者認証を行う。

正解は、エです。

問44 スパムメール対策として,サブミッションポート(ポート番号587)を導入する目的はどれか。

ア DNSサーバに登録されている公開鍵を用いて署名を検証する。
イ DNSサーバにSPFレコードを問い合わせる。
ウ POP before SMTPを使用して,メール送信者を認証する。
エ SMTP-AUTHを使用して,メール送信者を認証する。

正解は、エです。

H27秋AP午前

問41 図のような構成と通信サービスのシステムにおいて,Webアプリケーションの脆弱性対策のためのWAFの設置場所として,最も適切な箇所はどこか。ここで,WAFには通信を暗号化したり,復号したりする機能はないものとする。
170829_6
ア a
イ b
ウ c
エ d

正解は、ウです。
以下の出題あり
http://sc.seeeko.com/archives/3825528.html

H27秋AP午前(H26春AP午前 問41と同じ)

問43 ディジタルフォレンジックスの説明として,適切なものはどれか。

ア あらかじめ設定した運用基準に従って,メールサーバを通過する送受信メールをフィルタリングすること
イ 外部からの攻撃や不正なアクセスからサーバを防御すること
ウ 磁気ディスクなどの書換え可能な記憶媒体を単に初期化するだけではデータを復元できる可能性があるので,任意のデータ列で上書きすること
エ 不正アクセスなどコンピュータに関する犯罪に対してデータの法的な証拠性を確保できるように,原因究明に必要なデータの保全,収集,分析をすること

正解は、エです。

H27秋AP午前(H26春AP午前 問42と同じ)

問45 ペネトレーションテストの目的はどれか。

ア 暗号化で使用している暗号方式と鍵長が,設計仕様と一致することを確認する。
イ 対象プログラムの入力に対する出力結果が,出力仕様と一致することを確認する。
ウ ファイアウォールが単位時間当たりに処理できるセッション数を確認する。
エ ファイアウォールや公開サーバに対して侵入できないかどうかを確認する。

正解は、エです。

H26秋AP午前(H24春FE午前 問44を同じ)

問42 通信を要求したPCに対し,ARPの仕組みを利用して実現できる通信可否の判定方法のうち,最も適切なものはどれか。

ア PCにインストールされているソフトウェアを確認し,事前に許可されているソフトウェア以外がインストールされていない場合だけ通信を許可する。
イ PCのMACアドレスを確認し,事前に登録されているMACアドレスである場合だけ通信を許可する。
ウ PCのOSのパッチ適用状況を確認し,最新のパッチが適用されている場合だけ通信を許可する。
エ PCのウイルス対策ソフトの定義ファイルを確認し,最新になっている場合だけ通信を許可する。

正解は、イです。

(H24秋AP午前 問43と同じ)
問43 自社の中継用メールサーバで,接続元IPアドレス,電子メールの送信者のドメイン名及び電子メールの受信者のドメイン名のログを取得するとき,外部ネットワークからの第三者中継と判断できるログはどれか。ここで,AAA.168.1.5とAAA.168.1.10は自社のグローバルIPアドレスとし,BBB.45.67.89とBBB.45.67.90は社外のクローバルIPアドレスとする。a.b.cは自社のドメイン名とし,a.b.dとa.b.eは他社のドメイン名とする。また,IPアドレスドメイン名は詐称されていないものとする。
170829_4

正解は、ウです。

H26春AP午前(H24秋AP午前 問41と同じ)

問40 安全なWebアプリケーションの作り方について,攻撃と対策の適切な組合せはどれか。
170829_5

正解は、アです。

問43 家庭内で,PCを無線LANブロードバンドルータを介してインターネットに接続するとき,期待できるセキュリティ上の効果の記述のうち,適切なものはどれか。

ア IPマスカレード機能による,インターネットからの不正侵入に対する防止効果
イ PPPoE機能による,経路上の盗聴に対する防止効果
ウ WPA機能による,不正なWebサイトへの接続に対する防止効果
エ WPS機能による,インターネットからのウイルス感染に対する防止効果

正解は、アです。

問45 Webサーバにおいて,機密情報を記載したページが第三者に不正利用されることを防止するためのセキュリティ対策のうち,最も適切なものはどれか。

ア Webサーバの受信用のポート番号を標準ポート番号から変更する。
イ 機密情報を記載したページでは,アクセス時に利用者認証を要求する。
ウ 機密情報を記載したページのURLは非公開にし,関係者だけに伝える。
エ ドメイン名をDNSに登録せず,IPアドレスの直接入力だけでアクセスさせる。

正解は、イです。

H25秋AP午前
 
問41 ビヘイビア法のウイルス検出手法に当たるものはどれか。

ア あらかじめ検査対象に付加された,ウイルスに感染していないことを保証する情報と,検査対象から算出した情報とを比較する。
イ 検査対象と安全な場所に保管してあるその原本とを比較する。
ウ 検査対象のハッシュ値と既知のウイルスファイルのハッシュ値とを比較する。
エ 検査対象をメモリ上の仮想環境下で実行して,その挙動を監視する。

正解は、エです。

■H24秋AP午前
問36 シングルサインオンの説明のうち,適切なものはどれか。
ア クッキーを使ったシングルサインオンの場合,サーバごとの認証情報を含んだクッキーをクライアントで生成し,各サーバ上で保存,管理する。
イ クッキーを使ったシングルサインオンの場合,認証対象のサーバを,異なるインターネットドメインに配置する必要がある。
ウ リバースプロキシを使ったシングルサインオンの場合,認証対象のWebサーバを,異なるインターネットドメインに配置する必要がある。
エ リバースプロキシを使ったシングルサインオンの場合,利用者認証においてパスワードの代わりにディジタル証明書を用いることができる。

【正解】エ


問37 パスワードに使用できる文字の種類の数をM,パスワードの文字数をnとするとき,設定できるパスワードの理論的な総数を求める数式はどれか。
アM”

M!n\(M一n)!


M!
(肛一m)!
(M+n-i).n!(肛一1)!

【正解】ア


問41 安全なWebアプリケーションの作り方について,攻撃と対策の適切な組合せはどれか。
 攻撃 対策
ア SQLインジェクション SQL文の組立てに静的プレースホルダを使用する。
イ クロスサイトスクリプティング 任意の外部サイトのスタイルシートを取り込めるようにする。
ウ クロスサイトリクエストフォージェリ リクエストにGETメソッドを使用する。
工 セッションハイジャック 利用者ごとに固定のセッションIDを使用する。

【正解】ア


■H24春AP午前
問43 Webアプリケーションにおける脅威とそのセキュリティ対策の適切な組合せはどれか。
ア OSコマンドインジェクションを防ぐために, Webアプリケーションが発行するセッションIDを推測困難なものにする。
SQLインジェクションを防ぐために, Webアプリケーション内でデータベースへの問合せを作成する際にパイント機構を使用する。
ウ クロスサイトスクリプディングを防ぐために,外部から渡す入力データをWebサーバ内のファイル名として直接指定しない。
セッションハイジャックを防ぐために, Webアプリケーションからシェルを起動できないようにする。

【正解】イ


問44 ステガノグラフィを説明したものはどれか。
ア データをコピーできないようにする技術のことをいう。
イ データを第三者に盗み見られても解読できないようにするために,決まった規則に従ってデータを変換することをいう。
ウ 文書の正当性を保証するために付けられる暗号化された署名情報のことをいう。エ メッセージを画像データや音声データなどに埋め込み,メッセージの存在を隠す技術のことをいう。

【正解】エ