暗記メーカー

暗記メーカー

ログイン

3-5 セキュリティ

3-5 セキュリティ
79問 • 7ヶ月前
  • 早川遼
    • 通報

    問題一覧

  • 1

    ISMSで定義されている三つのことを答えろ

    機密性、完全制、可用性

  • 2

    ISMSで定義されている機密性について説明しろ

    認可されていない個人、エンティティまたはプロセスに対して、情報を使用させず,また,開示しない特性

  • 3

    ISMSで定義されている安全性に関して説明しろ

    正確さ及び完全さの特性

  • 4

    ISMSで定義されている可用性に関して説明しろ

    認可されたエンティティが要求したときに, アクセス及び使用が可能である特性

  • 5

    ISMSで定義されている三つの特性以外の四つをこたえろ

    真正性、責任者追跡性、否認防止、信頼性

  • 6

    ISMSで定義されている真正性を説明しろ

    エンティティは、それが主張とおりであることを確実にする特性

  • 7

    ISMSで定義されている責任追跡性を説明しろ

    あるエンティティの動作が、その動作から動作主のエンティティまで一意に追跡できることを確実にする特性

  • 8

    ISMSで定義されている否認防止を説明しろ

    主張された事象または処置の発生, 及びそれを引き起こしたエンティティを証明する能力

  • 9

    ISMSで定義されている信頼性を説明文しろ

    意図する行動と結果とが一貫しているという特性

  • 10

    人によって起こされる脅威であり、人間の心理的、社会的な性質につけ込んで機密情報を入手することをなんというか

    ソーシャルエンジニアリング

  • 11

    マルウェアの一つで下記説明に該当するものを答えろ セキュリティ攻撃を成功させた後に,その痕跡を消して見つ かりにくくするためのツールです。

    ルートキット

  • 12

    マルウェアの一つで下記説明に該当するものを答えろ 正規の手続き (ログインなど) を行わずに利用できる通信経路 です。攻撃成功後の不正な通信などに利用されます

    バックドア

  • 13

    マルウェアの一つで下記説明に該当するものを答えろ ユーザに関する情報を取得し,それを自動的に送信するソフトウェアです。キーボードの入力を監視し,それを記録するキーロガーや,ユーザーの承諾なしに新たなプログラムなどを無断 でダウンロードし導入するダウンローダなどが該当します。

    スパイウェア

  • 14

    マルウェアの一つで下記説明に該当するものを答えろ 悪意のないプログラムと見せかけて,不正な動きをするソフト ウェアです。 自己伝染機能はありません。

    トロイの木馬

  • 15

    マルウェアの一つで下記説明に該当するものを答えろ システムを暗号化するなどしてアクセスを制限し、 その制限を解除するための代金(身代金) を要求するソフトウェアです。 ランサムウェアに感染する前にデータのバックアップを取ってお き,復元できるようにする対策が有効です。

    ランサムウェア

  • 16

    マルウェアの一つで下記説明に該当するものを答えろ インターネット上で動く自動化されたソフトウェア全般を指します。 不正目的のボットがボットネットとして協調して活動し,様々な攻撃を行います。 例えば,離れたところから遠隔操作を行うことができる遠隔操作ウイルスはボットに該当します。 近年では、攻撃者が用意したC&Cサーバ (Command & Control Server) を利用してボットに指令を出すことが増えています。

    ボット

  • 17

    マルウェアの一つで下記説明に該当するものを答えろ 独立したプログラムで,自身を複製して他のシステムに拡散 する性質をもったマルウェアです。感染するときに、宿主となる人 ファイルを必要としないことが特徴です。

    ワーム

  • 18

    マルウェアの一つで下記説明に該当するものを答えろ 新たな脆弱性が発見されたときにその再現性を確認し、攻撃 が可能であることを検証するためのプログラムです。単にエクス プロイトということもあります。 ソフトウェアやハードウェアの集金脆弱性を利用するために作成されたプログラムなので、悪意の来 ある用途にも使用でき, 改変することで容易にマルウェアが作成センできます。そのため、脆弱性の検証用であっても、エクスプロイ トコードの公開には注意が必要となります

    エクスプライドコード

  • 19

    サイバーキルチェーンはなにかと七つの段階ではを説明しろ

    攻撃者の視点から攻撃の手口を偵察から目的の実行までの段階にわけたもよ

  • 20

    パスワード攻撃に関する攻撃で下記の説明に該当するものはなに? 同じユーザーに対して, 適当な文字列を組み合わせて任せにログインの試行を繰り返す攻撃です。 ⭐️⭐️⭐️とは逆に,同じパスワードを使って様々なユーザに対してログインを試行するリバースブルートフォース攻撃もあります

    ブルートフォース攻撃

  • 21

    パスワード攻撃に関する攻撃で下記の説明に該当するものはなに? 辞書に出てくるような定番の用語を順に使用してログインを試みる攻撃です。

    辞書攻撃

  • 22

    ウェブサイト攻撃に関する攻撃で下記の説明に該当するものはなに? 悪意のあるスクリプト (プログラム)を, 標的となるサイトに埋め込む攻撃です。 悪意のある人が用意したサイトにアク<キャ セスした人のブラウザを経由して, XSSの脆弱性のあるサイトに対してスクリプトが埋め込まれます。 そのスクリプトをユーザが実行することによって, Cookie (クッキー)情報などが漏えいするなどの被害が発生します。

    クロスサイトスクリプティング攻撃

  • 23

    ウェブサイト攻撃に関する攻撃で下記の説明に該当するものはなに? Webサイトにログイン中のユーザのスクリプトを操ることで, Webサイトに被害を与える攻撃です。XSSとの違いは,XSSではクライアント上でスクリプトを実行するのに対して, CSRF ではサーバ上に不正な書き込みなどを文食行って被害を起こします。攻対策としては,不正な処理を検知するため, Cookieとは別に秘密情報をやり取りし、正常な情報かどうかを判断する方法があります。

    クロスサイトリクエストフォージェリ攻撃

  • 24

    ウェブサイト攻撃に関する攻撃で下記の説明に該当するものはなに? Webサイトにアクセスしただけで, ソフトウェアをダウンロードさせる攻撃です。 利用者がWebサイトを閲覧したとき,利用者に気付かれないように,利用者のPCに不正プログラムを転送させます。

    ドライブバイダウンロード

  • 25

    ウェブサイト攻撃に関する攻撃で下記の説明に該当するものはなに? 不正なSQLを投入することで,通常はアクセスできないデータにアクセスしたり更新したりする攻撃です 対策としては,制御文字を置き換えるエスケープ処理や、事前にあらかじめSQL文を組み立てておき、プレースホルダー呼ばれる位置に値を設定して制御文字を無効化するバインド機 構などが有効です。

    SQLインジェクション

  • 26

    通信攻撃に関する攻撃で下記の説明に該当するものはなに? DNSサーバのキャッシュに不正な情報を注入することで,不金正なサイトへのアクセスを誘導する攻撃です。 対策としては,DNSサーバをキャッシュサーバとコンテンツサーバの2台のサーバに分けて, キャッシュサーバでは外部からのアクセスを受け付けないようにする方法が有効です。

    DNSキャッシュポイズニング攻撃

  • 27

    通信攻撃に関する攻撃で下記の説明に該当するものはなに? SEO (Search Engine Optimization poisoning) a は,Web検索サイトの順位付けアルゴリズムを悪用する攻撃です。 SEOを利用して、 検索結果の上位に、悪意のあるWebサイトを意図的に表示させます。

    SEOポイズニング

  • 28

    通信攻撃に関する攻撃で下記の説明に該当するものはなに? サーバなどのネットワーク機器に大量のパケットを送るなどして サービスの提供を不能にする攻撃です。 踏み台と呼ばれる複数のコンピュータから一斉に攻撃を行うDDoS攻撃 (Distributed DoS attack) もあります。 対策としては, ファイアウォールなどを活用して不正なパケットをフィルタリングする, 不正な攻撃をサーバで検知して防ぐなどがあります。

    Dos攻撃

  • 29

    通信攻撃に関する攻撃で下記の説明に該当するものはなに? 特定の企業や組織を狙った攻撃です。 標的とした企業の社員 に向けて、関係者を装ってウイルスメールを送付するなどして ウイルスに感染させます。 また、その感染させたPCからさらに 攻撃の手を広げて、 最終的に企業の機密情報を盗み出します。 APT (Advanced Persistent Threat 先進的で執拗な脅威) と呼 ばれることもあります。 標的型攻撃の典型的な手法は, まず標的型攻撃メールを送り、 そのメールにマルウェアを添付して実行させます。 このときの メールは通常の仕事関連のメールと同様の形式で送られてくる

    標的型攻撃

  • 30

    その他攻撃に関する攻撃で下記の説明に該当するものはなに? Webサーバで稼働しているサービスのポート番号を列挙して、 不要なサービスが稼働していないことを確認する手法をポート スキャンといいます。ポートスキャンのためのツールがポートス キャナです。

    ポートスキャン

  • 31

    利用者認証の3大要素をこたえろ

    記憶、所持、生体

  • 32

    利用者認証で、コンピュータで判別ができない画像などを使う技術を何というか

    CAPTCHA

  • 33

    リスクレベルの定義をこたえろ

    結果とその起こりやすさの組み合わせとして表現されるリスクの大きさ

  • 34

    リスク対応の種類を四つこたえろ

    リスクテイク リスクの回避 リスクの共有 リスクの保有

  • 35

    下記のリスクの説明で該当するものを答えろ ある機会を追求するために, リスクを取るまたは増加させます。 方法としては次の2つがあります。 ・起こりやすさを変える •結果を変える 一般的なリスクを減らすようなセキュリティ対策はこれに当たりリスク最適化、リスク低減または強化ともいわれます。

    リスクテイク

  • 36

    下記のリスクの説明で該当するものを答えろ リスク源を除去する, つまり, リスクを生じさせる活動を開始または継続しないと決定することによって, リスクを回避します。例えば、メーリングリストのリスクを考慮して運用をやめるなどです。

    リスクの回避

  • 37

    下記のリスクの説明で該当するものを答えろ 1つ以上の他者とリスクを共有します。 保険をかけるなどでリスク発生時の費用負担を外部に転嫁するなどの方法があります。

    リスクの共有

  • 38

    下記のリスクの説明で該当するものを答えろ 情報に基づいた意思決定によって, リスクを保有することを受け入れます。具体的な対策をしない対応です。リスク分析を始める前にリスク受容基準を決めておき、結果を見てから基準 を変えないようにします。

    リスクの保有

  • 39

    情報セキュリティの組織で下記説明に該当するものを答えろ 主にセキュリティ対策のためにコンピュータやネットワークを監 視し、問題が発生した際にはその原因の解析や調査を行う組織 です。 ⭐️⭐️⭐️ では, インシデントが発生したときに適切に対処するインシデントハンドリングを行います。 日本には、他のCSIRT との情報連携や調整を行うJPCERT コーディネーションセンター (Japan Computer Emergency Response Team Coordination Center) があります。JPCERT コーディネーションセンターでは, CSIRT マテリアルを作成し、組織的なイン シデント対応体制の構築を支援しています。

    CSIRT

  • 40

    情報セキュリティの組織で下記説明に該当するものを答えろ 日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供する 脆弱性対策情報ポータルサイトです。 JPCERT/CCとIPAが共同で運営しています。

    JVN

  • 41

    情報セキュリティレベルを評価せるための基準として下記説明に該当するものは何かこたえろ NIST (National Institute of Standards and Technology)開発した, 情報セキュリティ対策の自動化と標準化を目指した技術仕様をSCAP (Security Content Automation Protocol:セキュリティ設定共通化手順)といいます。 SCAPの中にある,脆弱性の深刻度を評価するための評価手法が○○○です。 ①基本評価基準 脆弱性そのものの特性を評価する視点 ②現状評価基準 脆弱性の現在の深刻度を評価する視点 ③環境評価基準 製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する視点

    CVSS

  • 42

    脆弱性診断で手法として下記の説明は何かこたえろ システムに実際に攻撃して侵入を試みることで, 脆弱性診断を行う手法です。 疑似攻撃を行うことになるため、あらかじめ攻撃の許可を得ておくことや, 攻撃によりシステムに影響がないよう準備することなどが必要です。

    ペネとレーションテスト

  • 43

    脆弱性診断で手法として下記の説明は何かこたえろ ソフトウェア製品において、 開発者が認知し ていない脆弱性を検出する検査手法です。 検査対象のソフトウェア製品に, ファズ (Fuzz) と呼ばれる, 問題を引き起こしそうな データを大量に送り込み、 その応答や挙動を監視することで脆弱性を検出します。

    ファジング

  • 44

    技術的セキュリティ対策として下記の説明に該当するものは何か? ネットワークを中継する場所に設置され アクセス制御のルールに基づいて, パケットの中継や遮断の機能をもつものです。 インターネットから内部ネットワークへのアクセスは,ファイアウォールによって制御されます。 しかし、完全に防御するだ けでなく、外部に公開する必要がある Web サーバやメールサーバなどの機器もあります。 そこで, インターネットと内部ネットワークの間に,中間のネットワークとしてDMZ (DemilitarizedZone: 非武装地帯) を設定します。

    DMZ ファイアウォール

  • 45

    マルウェアの動的解析としての説明をしろ

    検体をサンドボックス上で実行しその動作や外部との通信を観測する

  • 46

    下記はなんというか 法科学の一分野です。 不正アクセスや機密情報の漏えいなどで法的な紛争が生じた際に原因究明や層に必要なデータを収集分析して、証拠性を明らかにする手段や技術の総称

    デジタルフォレンジックス

  • 47

    PCの起動時にOSやドライバのデジタル署名を検証する技術をなんというか。これにより許可されていないものの実行を防ぐことができる

    セキュアブート

  • 48

    セキュリティを守る商品として下記の説明に該当するものは何か ,あらかじめ設定されたルールに基づいて,パケットを中継するかどうかを決めていきます。 主な方式に,IPアドレスとポート番号を基にアクセス制御を行うパケットフィルタリング型と, HTTP, SMTPなどのアプリケーションプログラムごとに細かく中継可否を設定できるアプリケーション ゲートウェイ型があります。 最初のパケット(リクエスト) を記憶しておき、その返答 (レスポンス) は通過させるステートフルインスペクションの機能がある機器もあります。

    ファイアウォール

  • 49

    セキュリティを守る商品として下記の説明に該当するものは何か はネットワークやホストをリアルタイムで監視して侵入や攻撃を検知 し,管理者に通知するシステムです。 ネットワークに接続されてネットワーク全般を管理するNIDS(ネットワーク型IDS) と, ホ ストにインストールされ特定のホストを監視するHIDS (ホスト型IDS) があります。 また, IDSは侵入を検知するだけで防御はできないので,防御も行えるシステムとして, IPS (侵入防御システム: Intrusion Prevention System)も用意されています。

    IDS

  • 50

    セキュリティを守る商品として下記の説明に該当するものは何か Webアプリケーションで発生する脆弱性を防ぐ対策として、WAF(Web Application Firewall) があります。 WAFは、ア プリケーションゲートウェイ型のファイアウォールの一種で、HTTPに特化して,詳細なチェックを行います。 WAFには,脆弱性を取り除ききれなかったWebアプリケーションに対する攻撃を防御する効果があります。 WAFでは,HTTPのヘッダをチェックするために,暗号化してあるパケットを元に戻す必要があります。 HTTPS (HTTPover TLS/SSL) での通信では, SSL/TLSで暗号化されているの で, SSL アクセラレータなどの機器を使用して、あらかじめ暗号化されたパケットを復号しておく必要があります。

    WAF

  • 51

    セキュリティを守る商品として下記の説明に該当するものは何か 複数のサーバやネットワーク機器のログを収集分析して一元管理し、不審なアクセスを検知する仕組みとして, ⭐️⭐️⭐️があります。 様々な機器から集められたログを総合的に分析し,管理者による分析と対 応を支援します。

    SIEM

  • 52

    セキュリティを守る商品として下記の説明に該当するものは何か 組織内の端末を全体的に一元管理することです。 会社貸与, 個人所有のどちらでも, MDMを適切に行うことが重要となります。 MDMツールには,端末の紛失・盗難時にスマートデバイスをロックするリモートロック機能や、出荷時の状態に戻すリモートワイプ機能などがあります。

    MDMMobile Device Management

  • 53

    物理的にセキュリティ対策として、入室の認証に用いられなかったIDカードでの退室を許可しない、逆も然りな方法をなんというか

    アンチパスバック

  • 54

    物理的にセキュリティ対策で、停電時に数分間電力を供給し、システムを安定して停止させることができる機能をなんというか

    UPS Uninterruptible Power Supply

  • 55

    セキュアプロトコルの一つで下記説明に該当するものは何か セキュリティを要求される 通信のためのプロトコルです。 SSL3.0 を基に, TLS (TransportLayer Security) 1.0が考案されました。 現在の最新バージョンは,TLS1.3です。提供する機能は,認証,暗号化、改ざん検出の3つです。最初に,通信相手を確認するために認証を行います。 このとき、サー バがサーバ証明書をクライアントに送り, クライアントがその正当性を確認します。クライアントがクライアント証明書を送って サーバが確認することもあります。さらに,サーバ証明書の公開鍵を用いて, クライアントはデータの暗号化に使う共通鍵の種を,サーバの公開鍵で暗号化して送ります。 その種を基にクライアントとサーバで共通鍵を生成し,その共通鍵を用いて暗号化通信を行います。

    SSL

  • 56

    セキュアプロトコルの一つで下記説明に該当するものは何か IPパケット単位でのデータの改ざん防止や秘匿機能を提供するプロトコルです。 AH (Authentication Header) では完全性 確保と認証を,ESP (Encapsulated Security Payload) では AHの機能に加えて暗号化をサポートします。 また, IKE (Internet Key Exchange) により, 共通鍵の鍵交換を行います。

    IPsec

  • 57

    セキュアプロトコルの一つで下記説明に該当するものは何か MIME形式の電子メールを暗号化し、デジタル署名を行う標準規格です

    S/MIME

  • 58

    認証プロトコルの一つで、下記説明に該当するものは何かこたえろ 電子メールの認証技術の1つで、差出人のIPアドレスなどを基にメールのドメインの正当性を検証します。 DNS サーバにSPFレコードとしてメールサーバのIPアドレスを登録しておき、 送られたメールと比較します。

    SPF (Sender Policy Framework)

  • 59

    認証プロトコルの一つで、下記説明に該当するものは何かこたえろ 電子メールの認証技術の一つでデジタル署名を用いて送信者の正当性を立証します。署名に使う公開鍵をDNSサーバーに公開しておくことで、受信者は正当性を確認できます

    DKIM

  • 60

    認証プロトコルの一つで、下記説明に該当するものは何かこたえろ 送信メールサーバで, ユーザ名とパスワードなどを用いてユーザを認証する方法です。 通常のSMTPのポート番号ではなく,サブミッションポートと呼ばれる特別なポートを利用する場合が多いです。

    SMTP-AUTH (SMTP Authentication SMTP認証)

  • 61

    セキュリティでRSA方式に関して説明しろ

    画像参照

  • 62

    RSA方式と比べて鍵長が短くても安全性を保証できる方式をなんというか 安全性は変わらないけど短くて済むのがポイント

    楕円曲線暗号

  • 63

    複数サイトで同一のIDとPWを使う傾向を利用して、他サイトでも試す

    パスワードリスト攻撃

  • 64

    ボットネットにおけるC &Cサーバーの役割を答えろ

    侵入して乗っ取ったコンピュータに対して,他のコンピュータへの攻撃などの不正な操作をするよう, 外部から命令を出したり応答を受け取ったりする。

  • 65

    下記説明に該当するものは何か クライアント (PCなど) の代わりにサー バに情報を中継するサーバです。 複数のPCなどからWebサーバなどへのアクセス要求を受け取り、それを中継してWebサーバなどに送ります。

    プロキシサーバー

  • 66

    下記説明に該当するものはなにか プロキシサーバとは逆に, Webサーバなどの代わりのサーバが, クライアント (PCなど)からサーバへのアクセス要求を代理で集中して受け付け、サーバに中継することを

    リバースプロキシ

  • 67

    下記説明に該当するものは何か 一種のおとり戦法で、不正アクセスを受けるた めに存在するシステムです。 何か有益そうな場所を用意しておきそれにつられてやってきた者を観察し、不正アクセスのやり方を学習します。 マルウェアなどを入手したり,不正アクセスの動向を調査したりするのに利用します。

    バニーポット

  • 68

    情報セキュリティを企画、設計段階から確保する方針をなんというか

    セキュリティバイデザイン

  • 69

    以下のような対策をしてセキュリティ攻撃を防ぐことをなんというか ⚫︎入力値のチェックを行い必要ならエスケープ処理をいれる ⚫︎SQLは全てバインド機構を使う ⚫︎エラーをそのままブラウザに表示しない

    セキュアプログラミング

  • 70

    セキュリティ攻撃の一つで下記説明に該当するものは何か WEBサイトのパス名に上位のディレクトリを示す記号を入れることで、公開が予定されていないファイルを指定する攻撃

    ディレクトリトラバーサル攻撃

  • 71

    メッセージ人書の一つで、メッセージに受信者と送信者で持っている秘密鍵を使って計算したメッセージも送る。受信者は同じことをしてMACが同じであればメッセージが改ざんされていないことを確認する

    HMAC メッセージ認証符号

  • 72

    会社で許可されていないソフトなどのことをなんというか

    シャドーIT

  • 73

    セキュリティ技術のSSL/TSLが提供する機能を三つこたえろ

    認証 暗号化 改ざん検出

  • 74

    企業がリスクが現実化してもいいように資金を準備しておくことをなんというか

    リスクファイナンシング

  • 75

    下記説明に該当するものは何か答えろ ソフトウェアやハードウェアが備える, 内部 構造や記憶しているデータなどの解析の困難さのことです。解析をしようとすると,それを検知してシステム自体を破壊するなどの方法で、XXXを確保します

    耐タンパ性

  • 76

    リスクマネジメントの流れを答えろ

    リスクの識別 リスクアセスメント リスクの対応

  • 77

    複数のサーバーやネットワーク機器のログを収集分析して一元管理し、不審なアクセスを検知する仕組みをなんというか

    SIEM Security information and event management

  • 78

    マルウェアなどを安全な隔離された場所で実行する、その場所をなんというか

    サンドボックス

  • 79

    例外、想定していない情報を入力してソフトの挙動を見ることをなんというか

    ファジング

    • レビュータイプ

    レビュータイプ

    早川遼 · 21問 · 1年前

    レビュータイプ

    レビュータイプ

    21問 • 1年前
    早川遼

    テスト戦略

    テスト戦略

    早川遼 · 6問 · 1年前

    テスト戦略

    テスト戦略

    6問 • 1年前
    早川遼

    ツール

    ツール

    早川遼 · 19問 · 1年前

    ツール

    ツール

    19問 • 1年前
    早川遼

    テストレベル(実行者)

    テストレベル(実行者)

    早川遼 · 5問 · 1年前

    テストレベル(実行者)

    テストレベル(実行者)

    5問 • 1年前
    早川遼

    テスト技法

    テスト技法

    早川遼 · 6問 · 1年前

    テスト技法

    テスト技法

    6問 • 1年前
    早川遼

    テストレベル

    テストレベル

    早川遼 · 6問 · 1年前

    テストレベル

    テストレベル

    6問 • 1年前
    早川遼

    その他

    その他

    早川遼 · 19問 · 1年前

    その他

    その他

    19問 • 1年前
    早川遼

    テストマネジャーとテスト担当者

    テストマネジャーとテスト担当者

    早川遼 · 23問 · 1年前

    テストマネジャーとテスト担当者

    テストマネジャーとテスト担当者

    23問 • 1年前
    早川遼

    テストプロセス

    テストプロセス

    早川遼 · 33問 · 1年前

    テストプロセス

    テストプロセス

    33問 • 1年前
    早川遼

    午前ニ(価値実現)

    午前ニ(価値実現)

    早川遼 · 27問 · 1年前

    午前ニ(価値実現)

    午前ニ(価値実現)

    27問 • 1年前
    早川遼

    午前ニ(ステークホルダー)

    午前ニ(ステークホルダー)

    早川遼 · 10問 · 1年前

    午前ニ(ステークホルダー)

    午前ニ(ステークホルダー)

    10問 • 1年前
    早川遼

    午前II (リスク)

    午前II (リスク)

    早川遼 · 5問 · 1年前

    午前II (リスク)

    午前II (リスク)

    5問 • 1年前
    早川遼

    午前II(進捗)

    午前II(進捗)

    早川遼 · 6問 · 1年前

    午前II(進捗)

    午前II(進捗)

    6問 • 1年前
    早川遼

    午前II(予算)

    午前II(予算)

    早川遼 · 10問 · 1年前

    午前II(予算)

    午前II(予算)

    10問 • 1年前
    早川遼

    午前II(品質)

    午前II(品質)

    早川遼 · 6問 · 1年前

    午前II(品質)

    午前II(品質)

    6問 • 1年前
    早川遼

    午前II(調達)

    午前II(調達)

    早川遼 · 5問 · 1年前

    午前II(調達)

    午前II(調達)

    5問 • 1年前
    早川遼

    PMBOOK6版

    PMBOOK6版

    早川遼 · 30問 · 1年前

    PMBOOK6版

    PMBOOK6版

    30問 • 1年前
    早川遼

    午前1(11章/システム戦略)

    午前1(11章/システム戦略)

    早川遼 · 18問 · 1年前

    午前1(11章/システム戦略)

    午前1(11章/システム戦略)

    18問 • 1年前
    早川遼

    午前1(11章/経営戦略)

    午前1(11章/経営戦略)

    早川遼 · 32問 · 1年前

    午前1(11章/経営戦略)

    午前1(11章/経営戦略)

    32問 • 1年前
    早川遼

    午前1(11章/ORとIE)

    午前1(11章/ORとIE)

    早川遼 · 22問 · 1年前

    午前1(11章/ORとIE)

    午前1(11章/ORとIE)

    22問 • 1年前
    早川遼

    4-1 システム開発技術

    4-1 システム開発技術

    早川遼 · 47問 · 6ヶ月前

    4-1 システム開発技術

    4-1 システム開発技術

    47問 • 6ヶ月前
    早川遼

    3-3 データベース

    3-3 データベース

    早川遼 · 42問 · 5ヶ月前

    3-3 データベース

    3-3 データベース

    42問 • 5ヶ月前
    早川遼

    4-2 開発プロセス 手法

    4-2 開発プロセス 手法

    早川遼 · 12問 · 6ヶ月前

    4-2 開発プロセス 手法

    4-2 開発プロセス 手法

    12問 • 6ヶ月前
    早川遼

    3-4 ネットワーク方式

    3-4 ネットワーク方式

    早川遼 · 37問 · 7ヶ月前

    3-4 ネットワーク方式

    3-4 ネットワーク方式

    37問 • 7ヶ月前
    早川遼

    5-1 プロジェクトマネジメント

    5-1 プロジェクトマネジメント

    早川遼 · 20問 · 6ヶ月前

    5-1 プロジェクトマネジメント

    5-1 プロジェクトマネジメント

    20問 • 6ヶ月前
    早川遼

    6-1 サービスマネジメント

    6-1 サービスマネジメント

    早川遼 · 12問 · 6ヶ月前

    6-1 サービスマネジメント

    6-1 サービスマネジメント

    12問 • 6ヶ月前
    早川遼

    6-2 システム監査

    6-2 システム監査

    早川遼 · 8問 · 6ヶ月前

    6-2 システム監査

    6-2 システム監査

    8問 • 6ヶ月前
    早川遼

    7-1 システム戦略

    7-1 システム戦略

    早川遼 · 27問 · 6ヶ月前

    7-1 システム戦略

    7-1 システム戦略

    27問 • 6ヶ月前
    早川遼

    7-2 システム企画

    7-2 システム企画

    早川遼 · 8問 · 6ヶ月前

    7-2 システム企画

    7-2 システム企画

    8問 • 6ヶ月前
    早川遼

    8-1 経営戦略マネジメント

    8-1 経営戦略マネジメント

    早川遼 · 50問 · 6ヶ月前

    8-1 経営戦略マネジメント

    8-1 経営戦略マネジメント

    50問 • 6ヶ月前
    早川遼

    8-2 技術戦略マネジメント

    8-2 技術戦略マネジメント

    早川遼 · 9問 · 6ヶ月前

    8-2 技術戦略マネジメント

    8-2 技術戦略マネジメント

    9問 • 6ヶ月前
    早川遼

    8-3 ビジネスインダストリ

    8-3 ビジネスインダストリ

    早川遼 · 21問 · 6ヶ月前

    8-3 ビジネスインダストリ

    8-3 ビジネスインダストリ

    21問 • 6ヶ月前
    早川遼

    9-1 企業活動

    9-1 企業活動

    早川遼 · 47問 · 6ヶ月前

    9-1 企業活動

    9-1 企業活動

    47問 • 6ヶ月前
    早川遼

    9-2 法務

    9-2 法務

    早川遼 · 27問 · 5ヶ月前

    9-2 法務

    9-2 法務

    27問 • 5ヶ月前
    早川遼

    問題一覧

  • 1

    ISMSで定義されている三つのことを答えろ

    機密性、完全制、可用性

  • 2

    ISMSで定義されている機密性について説明しろ

    認可されていない個人、エンティティまたはプロセスに対して、情報を使用させず,また,開示しない特性

  • 3

    ISMSで定義されている安全性に関して説明しろ

    正確さ及び完全さの特性

  • 4

    ISMSで定義されている可用性に関して説明しろ

    認可されたエンティティが要求したときに, アクセス及び使用が可能である特性

  • 5

    ISMSで定義されている三つの特性以外の四つをこたえろ

    真正性、責任者追跡性、否認防止、信頼性

  • 6

    ISMSで定義されている真正性を説明しろ

    エンティティは、それが主張とおりであることを確実にする特性

  • 7

    ISMSで定義されている責任追跡性を説明しろ

    あるエンティティの動作が、その動作から動作主のエンティティまで一意に追跡できることを確実にする特性

  • 8

    ISMSで定義されている否認防止を説明しろ

    主張された事象または処置の発生, 及びそれを引き起こしたエンティティを証明する能力

  • 9

    ISMSで定義されている信頼性を説明文しろ

    意図する行動と結果とが一貫しているという特性

  • 10

    人によって起こされる脅威であり、人間の心理的、社会的な性質につけ込んで機密情報を入手することをなんというか

    ソーシャルエンジニアリング

  • 11

    マルウェアの一つで下記説明に該当するものを答えろ セキュリティ攻撃を成功させた後に,その痕跡を消して見つ かりにくくするためのツールです。

    ルートキット

  • 12

    マルウェアの一つで下記説明に該当するものを答えろ 正規の手続き (ログインなど) を行わずに利用できる通信経路 です。攻撃成功後の不正な通信などに利用されます

    バックドア

  • 13

    マルウェアの一つで下記説明に該当するものを答えろ ユーザに関する情報を取得し,それを自動的に送信するソフトウェアです。キーボードの入力を監視し,それを記録するキーロガーや,ユーザーの承諾なしに新たなプログラムなどを無断 でダウンロードし導入するダウンローダなどが該当します。

    スパイウェア

  • 14

    マルウェアの一つで下記説明に該当するものを答えろ 悪意のないプログラムと見せかけて,不正な動きをするソフト ウェアです。 自己伝染機能はありません。

    トロイの木馬

  • 15

    マルウェアの一つで下記説明に該当するものを答えろ システムを暗号化するなどしてアクセスを制限し、 その制限を解除するための代金(身代金) を要求するソフトウェアです。 ランサムウェアに感染する前にデータのバックアップを取ってお き,復元できるようにする対策が有効です。

    ランサムウェア

  • 16

    マルウェアの一つで下記説明に該当するものを答えろ インターネット上で動く自動化されたソフトウェア全般を指します。 不正目的のボットがボットネットとして協調して活動し,様々な攻撃を行います。 例えば,離れたところから遠隔操作を行うことができる遠隔操作ウイルスはボットに該当します。 近年では、攻撃者が用意したC&Cサーバ (Command & Control Server) を利用してボットに指令を出すことが増えています。

    ボット

  • 17

    マルウェアの一つで下記説明に該当するものを答えろ 独立したプログラムで,自身を複製して他のシステムに拡散 する性質をもったマルウェアです。感染するときに、宿主となる人 ファイルを必要としないことが特徴です。

    ワーム

  • 18

    マルウェアの一つで下記説明に該当するものを答えろ 新たな脆弱性が発見されたときにその再現性を確認し、攻撃 が可能であることを検証するためのプログラムです。単にエクス プロイトということもあります。 ソフトウェアやハードウェアの集金脆弱性を利用するために作成されたプログラムなので、悪意の来 ある用途にも使用でき, 改変することで容易にマルウェアが作成センできます。そのため、脆弱性の検証用であっても、エクスプロイ トコードの公開には注意が必要となります

    エクスプライドコード

  • 19

    サイバーキルチェーンはなにかと七つの段階ではを説明しろ

    攻撃者の視点から攻撃の手口を偵察から目的の実行までの段階にわけたもよ

  • 20

    パスワード攻撃に関する攻撃で下記の説明に該当するものはなに? 同じユーザーに対して, 適当な文字列を組み合わせて任せにログインの試行を繰り返す攻撃です。 ⭐️⭐️⭐️とは逆に,同じパスワードを使って様々なユーザに対してログインを試行するリバースブルートフォース攻撃もあります

    ブルートフォース攻撃

  • 21

    パスワード攻撃に関する攻撃で下記の説明に該当するものはなに? 辞書に出てくるような定番の用語を順に使用してログインを試みる攻撃です。

    辞書攻撃

  • 22

    ウェブサイト攻撃に関する攻撃で下記の説明に該当するものはなに? 悪意のあるスクリプト (プログラム)を, 標的となるサイトに埋め込む攻撃です。 悪意のある人が用意したサイトにアク<キャ セスした人のブラウザを経由して, XSSの脆弱性のあるサイトに対してスクリプトが埋め込まれます。 そのスクリプトをユーザが実行することによって, Cookie (クッキー)情報などが漏えいするなどの被害が発生します。

    クロスサイトスクリプティング攻撃

  • 23

    ウェブサイト攻撃に関する攻撃で下記の説明に該当するものはなに? Webサイトにログイン中のユーザのスクリプトを操ることで, Webサイトに被害を与える攻撃です。XSSとの違いは,XSSではクライアント上でスクリプトを実行するのに対して, CSRF ではサーバ上に不正な書き込みなどを文食行って被害を起こします。攻対策としては,不正な処理を検知するため, Cookieとは別に秘密情報をやり取りし、正常な情報かどうかを判断する方法があります。

    クロスサイトリクエストフォージェリ攻撃

  • 24

    ウェブサイト攻撃に関する攻撃で下記の説明に該当するものはなに? Webサイトにアクセスしただけで, ソフトウェアをダウンロードさせる攻撃です。 利用者がWebサイトを閲覧したとき,利用者に気付かれないように,利用者のPCに不正プログラムを転送させます。

    ドライブバイダウンロード

  • 25

    ウェブサイト攻撃に関する攻撃で下記の説明に該当するものはなに? 不正なSQLを投入することで,通常はアクセスできないデータにアクセスしたり更新したりする攻撃です 対策としては,制御文字を置き換えるエスケープ処理や、事前にあらかじめSQL文を組み立てておき、プレースホルダー呼ばれる位置に値を設定して制御文字を無効化するバインド機 構などが有効です。

    SQLインジェクション

  • 26

    通信攻撃に関する攻撃で下記の説明に該当するものはなに? DNSサーバのキャッシュに不正な情報を注入することで,不金正なサイトへのアクセスを誘導する攻撃です。 対策としては,DNSサーバをキャッシュサーバとコンテンツサーバの2台のサーバに分けて, キャッシュサーバでは外部からのアクセスを受け付けないようにする方法が有効です。

    DNSキャッシュポイズニング攻撃

  • 27

    通信攻撃に関する攻撃で下記の説明に該当するものはなに? SEO (Search Engine Optimization poisoning) a は,Web検索サイトの順位付けアルゴリズムを悪用する攻撃です。 SEOを利用して、 検索結果の上位に、悪意のあるWebサイトを意図的に表示させます。

    SEOポイズニング

  • 28

    通信攻撃に関する攻撃で下記の説明に該当するものはなに? サーバなどのネットワーク機器に大量のパケットを送るなどして サービスの提供を不能にする攻撃です。 踏み台と呼ばれる複数のコンピュータから一斉に攻撃を行うDDoS攻撃 (Distributed DoS attack) もあります。 対策としては, ファイアウォールなどを活用して不正なパケットをフィルタリングする, 不正な攻撃をサーバで検知して防ぐなどがあります。

    Dos攻撃

  • 29

    通信攻撃に関する攻撃で下記の説明に該当するものはなに? 特定の企業や組織を狙った攻撃です。 標的とした企業の社員 に向けて、関係者を装ってウイルスメールを送付するなどして ウイルスに感染させます。 また、その感染させたPCからさらに 攻撃の手を広げて、 最終的に企業の機密情報を盗み出します。 APT (Advanced Persistent Threat 先進的で執拗な脅威) と呼 ばれることもあります。 標的型攻撃の典型的な手法は, まず標的型攻撃メールを送り、 そのメールにマルウェアを添付して実行させます。 このときの メールは通常の仕事関連のメールと同様の形式で送られてくる

    標的型攻撃

  • 30

    その他攻撃に関する攻撃で下記の説明に該当するものはなに? Webサーバで稼働しているサービスのポート番号を列挙して、 不要なサービスが稼働していないことを確認する手法をポート スキャンといいます。ポートスキャンのためのツールがポートス キャナです。

    ポートスキャン

  • 31

    利用者認証の3大要素をこたえろ

    記憶、所持、生体

  • 32

    利用者認証で、コンピュータで判別ができない画像などを使う技術を何というか

    CAPTCHA

  • 33

    リスクレベルの定義をこたえろ

    結果とその起こりやすさの組み合わせとして表現されるリスクの大きさ

  • 34

    リスク対応の種類を四つこたえろ

    リスクテイク リスクの回避 リスクの共有 リスクの保有

  • 35

    下記のリスクの説明で該当するものを答えろ ある機会を追求するために, リスクを取るまたは増加させます。 方法としては次の2つがあります。 ・起こりやすさを変える •結果を変える 一般的なリスクを減らすようなセキュリティ対策はこれに当たりリスク最適化、リスク低減または強化ともいわれます。

    リスクテイク

  • 36

    下記のリスクの説明で該当するものを答えろ リスク源を除去する, つまり, リスクを生じさせる活動を開始または継続しないと決定することによって, リスクを回避します。例えば、メーリングリストのリスクを考慮して運用をやめるなどです。

    リスクの回避

  • 37

    下記のリスクの説明で該当するものを答えろ 1つ以上の他者とリスクを共有します。 保険をかけるなどでリスク発生時の費用負担を外部に転嫁するなどの方法があります。

    リスクの共有

  • 38

    下記のリスクの説明で該当するものを答えろ 情報に基づいた意思決定によって, リスクを保有することを受け入れます。具体的な対策をしない対応です。リスク分析を始める前にリスク受容基準を決めておき、結果を見てから基準 を変えないようにします。

    リスクの保有

  • 39

    情報セキュリティの組織で下記説明に該当するものを答えろ 主にセキュリティ対策のためにコンピュータやネットワークを監 視し、問題が発生した際にはその原因の解析や調査を行う組織 です。 ⭐️⭐️⭐️ では, インシデントが発生したときに適切に対処するインシデントハンドリングを行います。 日本には、他のCSIRT との情報連携や調整を行うJPCERT コーディネーションセンター (Japan Computer Emergency Response Team Coordination Center) があります。JPCERT コーディネーションセンターでは, CSIRT マテリアルを作成し、組織的なイン シデント対応体制の構築を支援しています。

    CSIRT

  • 40

    情報セキュリティの組織で下記説明に該当するものを答えろ 日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供する 脆弱性対策情報ポータルサイトです。 JPCERT/CCとIPAが共同で運営しています。

    JVN

  • 41

    情報セキュリティレベルを評価せるための基準として下記説明に該当するものは何かこたえろ NIST (National Institute of Standards and Technology)開発した, 情報セキュリティ対策の自動化と標準化を目指した技術仕様をSCAP (Security Content Automation Protocol:セキュリティ設定共通化手順)といいます。 SCAPの中にある,脆弱性の深刻度を評価するための評価手法が○○○です。 ①基本評価基準 脆弱性そのものの特性を評価する視点 ②現状評価基準 脆弱性の現在の深刻度を評価する視点 ③環境評価基準 製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する視点

    CVSS

  • 42

    脆弱性診断で手法として下記の説明は何かこたえろ システムに実際に攻撃して侵入を試みることで, 脆弱性診断を行う手法です。 疑似攻撃を行うことになるため、あらかじめ攻撃の許可を得ておくことや, 攻撃によりシステムに影響がないよう準備することなどが必要です。

    ペネとレーションテスト

  • 43

    脆弱性診断で手法として下記の説明は何かこたえろ ソフトウェア製品において、 開発者が認知し ていない脆弱性を検出する検査手法です。 検査対象のソフトウェア製品に, ファズ (Fuzz) と呼ばれる, 問題を引き起こしそうな データを大量に送り込み、 その応答や挙動を監視することで脆弱性を検出します。

    ファジング

  • 44

    技術的セキュリティ対策として下記の説明に該当するものは何か? ネットワークを中継する場所に設置され アクセス制御のルールに基づいて, パケットの中継や遮断の機能をもつものです。 インターネットから内部ネットワークへのアクセスは,ファイアウォールによって制御されます。 しかし、完全に防御するだ けでなく、外部に公開する必要がある Web サーバやメールサーバなどの機器もあります。 そこで, インターネットと内部ネットワークの間に,中間のネットワークとしてDMZ (DemilitarizedZone: 非武装地帯) を設定します。

    DMZ ファイアウォール

  • 45

    マルウェアの動的解析としての説明をしろ

    検体をサンドボックス上で実行しその動作や外部との通信を観測する

  • 46

    下記はなんというか 法科学の一分野です。 不正アクセスや機密情報の漏えいなどで法的な紛争が生じた際に原因究明や層に必要なデータを収集分析して、証拠性を明らかにする手段や技術の総称

    デジタルフォレンジックス

  • 47

    PCの起動時にOSやドライバのデジタル署名を検証する技術をなんというか。これにより許可されていないものの実行を防ぐことができる

    セキュアブート

  • 48

    セキュリティを守る商品として下記の説明に該当するものは何か ,あらかじめ設定されたルールに基づいて,パケットを中継するかどうかを決めていきます。 主な方式に,IPアドレスとポート番号を基にアクセス制御を行うパケットフィルタリング型と, HTTP, SMTPなどのアプリケーションプログラムごとに細かく中継可否を設定できるアプリケーション ゲートウェイ型があります。 最初のパケット(リクエスト) を記憶しておき、その返答 (レスポンス) は通過させるステートフルインスペクションの機能がある機器もあります。

    ファイアウォール

  • 49

    セキュリティを守る商品として下記の説明に該当するものは何か はネットワークやホストをリアルタイムで監視して侵入や攻撃を検知 し,管理者に通知するシステムです。 ネットワークに接続されてネットワーク全般を管理するNIDS(ネットワーク型IDS) と, ホ ストにインストールされ特定のホストを監視するHIDS (ホスト型IDS) があります。 また, IDSは侵入を検知するだけで防御はできないので,防御も行えるシステムとして, IPS (侵入防御システム: Intrusion Prevention System)も用意されています。

    IDS

  • 50

    セキュリティを守る商品として下記の説明に該当するものは何か Webアプリケーションで発生する脆弱性を防ぐ対策として、WAF(Web Application Firewall) があります。 WAFは、ア プリケーションゲートウェイ型のファイアウォールの一種で、HTTPに特化して,詳細なチェックを行います。 WAFには,脆弱性を取り除ききれなかったWebアプリケーションに対する攻撃を防御する効果があります。 WAFでは,HTTPのヘッダをチェックするために,暗号化してあるパケットを元に戻す必要があります。 HTTPS (HTTPover TLS/SSL) での通信では, SSL/TLSで暗号化されているの で, SSL アクセラレータなどの機器を使用して、あらかじめ暗号化されたパケットを復号しておく必要があります。

    WAF

  • 51

    セキュリティを守る商品として下記の説明に該当するものは何か 複数のサーバやネットワーク機器のログを収集分析して一元管理し、不審なアクセスを検知する仕組みとして, ⭐️⭐️⭐️があります。 様々な機器から集められたログを総合的に分析し,管理者による分析と対 応を支援します。

    SIEM

  • 52

    セキュリティを守る商品として下記の説明に該当するものは何か 組織内の端末を全体的に一元管理することです。 会社貸与, 個人所有のどちらでも, MDMを適切に行うことが重要となります。 MDMツールには,端末の紛失・盗難時にスマートデバイスをロックするリモートロック機能や、出荷時の状態に戻すリモートワイプ機能などがあります。

    MDMMobile Device Management

  • 53

    物理的にセキュリティ対策として、入室の認証に用いられなかったIDカードでの退室を許可しない、逆も然りな方法をなんというか

    アンチパスバック

  • 54

    物理的にセキュリティ対策で、停電時に数分間電力を供給し、システムを安定して停止させることができる機能をなんというか

    UPS Uninterruptible Power Supply

  • 55

    セキュアプロトコルの一つで下記説明に該当するものは何か セキュリティを要求される 通信のためのプロトコルです。 SSL3.0 を基に, TLS (TransportLayer Security) 1.0が考案されました。 現在の最新バージョンは,TLS1.3です。提供する機能は,認証,暗号化、改ざん検出の3つです。最初に,通信相手を確認するために認証を行います。 このとき、サー バがサーバ証明書をクライアントに送り, クライアントがその正当性を確認します。クライアントがクライアント証明書を送って サーバが確認することもあります。さらに,サーバ証明書の公開鍵を用いて, クライアントはデータの暗号化に使う共通鍵の種を,サーバの公開鍵で暗号化して送ります。 その種を基にクライアントとサーバで共通鍵を生成し,その共通鍵を用いて暗号化通信を行います。

    SSL

  • 56

    セキュアプロトコルの一つで下記説明に該当するものは何か IPパケット単位でのデータの改ざん防止や秘匿機能を提供するプロトコルです。 AH (Authentication Header) では完全性 確保と認証を,ESP (Encapsulated Security Payload) では AHの機能に加えて暗号化をサポートします。 また, IKE (Internet Key Exchange) により, 共通鍵の鍵交換を行います。

    IPsec

  • 57

    セキュアプロトコルの一つで下記説明に該当するものは何か MIME形式の電子メールを暗号化し、デジタル署名を行う標準規格です

    S/MIME

  • 58

    認証プロトコルの一つで、下記説明に該当するものは何かこたえろ 電子メールの認証技術の1つで、差出人のIPアドレスなどを基にメールのドメインの正当性を検証します。 DNS サーバにSPFレコードとしてメールサーバのIPアドレスを登録しておき、 送られたメールと比較します。

    SPF (Sender Policy Framework)

  • 59

    認証プロトコルの一つで、下記説明に該当するものは何かこたえろ 電子メールの認証技術の一つでデジタル署名を用いて送信者の正当性を立証します。署名に使う公開鍵をDNSサーバーに公開しておくことで、受信者は正当性を確認できます

    DKIM

  • 60

    認証プロトコルの一つで、下記説明に該当するものは何かこたえろ 送信メールサーバで, ユーザ名とパスワードなどを用いてユーザを認証する方法です。 通常のSMTPのポート番号ではなく,サブミッションポートと呼ばれる特別なポートを利用する場合が多いです。

    SMTP-AUTH (SMTP Authentication SMTP認証)

  • 61

    セキュリティでRSA方式に関して説明しろ

    画像参照

  • 62

    RSA方式と比べて鍵長が短くても安全性を保証できる方式をなんというか 安全性は変わらないけど短くて済むのがポイント

    楕円曲線暗号

  • 63

    複数サイトで同一のIDとPWを使う傾向を利用して、他サイトでも試す

    パスワードリスト攻撃

  • 64

    ボットネットにおけるC &Cサーバーの役割を答えろ

    侵入して乗っ取ったコンピュータに対して,他のコンピュータへの攻撃などの不正な操作をするよう, 外部から命令を出したり応答を受け取ったりする。

  • 65

    下記説明に該当するものは何か クライアント (PCなど) の代わりにサー バに情報を中継するサーバです。 複数のPCなどからWebサーバなどへのアクセス要求を受け取り、それを中継してWebサーバなどに送ります。

    プロキシサーバー

  • 66

    下記説明に該当するものはなにか プロキシサーバとは逆に, Webサーバなどの代わりのサーバが, クライアント (PCなど)からサーバへのアクセス要求を代理で集中して受け付け、サーバに中継することを

    リバースプロキシ

  • 67

    下記説明に該当するものは何か 一種のおとり戦法で、不正アクセスを受けるた めに存在するシステムです。 何か有益そうな場所を用意しておきそれにつられてやってきた者を観察し、不正アクセスのやり方を学習します。 マルウェアなどを入手したり,不正アクセスの動向を調査したりするのに利用します。

    バニーポット

  • 68

    情報セキュリティを企画、設計段階から確保する方針をなんというか

    セキュリティバイデザイン

  • 69

    以下のような対策をしてセキュリティ攻撃を防ぐことをなんというか ⚫︎入力値のチェックを行い必要ならエスケープ処理をいれる ⚫︎SQLは全てバインド機構を使う ⚫︎エラーをそのままブラウザに表示しない

    セキュアプログラミング

  • 70

    セキュリティ攻撃の一つで下記説明に該当するものは何か WEBサイトのパス名に上位のディレクトリを示す記号を入れることで、公開が予定されていないファイルを指定する攻撃

    ディレクトリトラバーサル攻撃

  • 71

    メッセージ人書の一つで、メッセージに受信者と送信者で持っている秘密鍵を使って計算したメッセージも送る。受信者は同じことをしてMACが同じであればメッセージが改ざんされていないことを確認する

    HMAC メッセージ認証符号

  • 72

    会社で許可されていないソフトなどのことをなんというか

    シャドーIT

  • 73

    セキュリティ技術のSSL/TSLが提供する機能を三つこたえろ

    認証 暗号化 改ざん検出

  • 74

    企業がリスクが現実化してもいいように資金を準備しておくことをなんというか

    リスクファイナンシング

  • 75

    下記説明に該当するものは何か答えろ ソフトウェアやハードウェアが備える, 内部 構造や記憶しているデータなどの解析の困難さのことです。解析をしようとすると,それを検知してシステム自体を破壊するなどの方法で、XXXを確保します

    耐タンパ性

  • 76

    リスクマネジメントの流れを答えろ

    リスクの識別 リスクアセスメント リスクの対応

  • 77

    複数のサーバーやネットワーク機器のログを収集分析して一元管理し、不審なアクセスを検知する仕組みをなんというか

    SIEM Security information and event management

  • 78

    マルウェアなどを安全な隔離された場所で実行する、その場所をなんというか

    サンドボックス

  • 79

    例外、想定していない情報を入力してソフトの挙動を見ることをなんというか

    ファジング