暗記メーカー
ログイン
2023後期期末 セキュリティ

  • 渡部

    • 問題数 67 • 11/27/2023

    記憶度

    完璧

    10

    覚えた

    25

    うろ覚え

    0

    苦手

    0

    未解答

    0

    アカウント登録して、解答結果を保存しよう

    問題一覧

  • 1

    ファイルサーバについて,情報セキュリティにおける"可用性"を高めるための管理策として,適切なものはどれか。

    ストレージを二重化し,耐障害性を向上させる。

  • 2

    JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)における真正性及び 信頼性に対する定義 a ~ d の組みのうち,適切なものはどれか。 (定義) a 意図する行動と結果とが一貫しているという特性 b エンティティは,それが主張するとおりのものであるという特性 c 認可されたエンティティが要求したときに,アクセス及び使用が可能であるという特性 d 認可されていない個人,エンティティ又はプロセスに対して,情報を使用させず, また,開示しないという特性

  • 3

    BEC(Business E-mail Compromise)に該当するものはどれか。

    巧妙なだましの手口を駆使し,取引先になりすまして偽の電子メールを送り,金銭をだまし取る。

  • 4

    ソーシャルエンジニアリングに該当するものはどれか。

    オフィスから廃棄された紙ごみを,清掃員を装って収集して,企業や組織に関する重要情報を盗み出す。

  • 5

    ボットネットにおいてC&Cサーバが担う役割はどれか。

    遠隔操作が可能なマルウェアに,情報収集及び攻撃活動を指示する。

  • 6

    ランサムウェアに分類されるものはどれか。

    感染したPCのファイルを暗号化し,ファイルの復号と引換えに金銭を要求するマルウェア

  • 7

    サーバにバックドアを作り,サーバ内で侵入の痕跡を隠蔽するなどの機能がパッケージ化された不正なプログラムやツールはどれか。

    rootkit

  • 8

    不正が発生する際には"不正のトライアングル"の3要素全てが存在すると考えられている。"不正のトライアングル"の構成要素の説明として,適切なものはどれか。

    "機会"とは,情報システムなどの技術や物理的な環境,組織のルールなど,内部者による不正行為の実行を可能又は容易にする環境の存在である。

  • 9

    軽微な不正や犯罪を放置することによって,より大きな不正や犯罪が誘発されるという理論はどれか。

    割れ窓理論

  • 10

    特定のサービスやシステムから流出した認証情報を攻撃者が用いて,認証情報を複数のサービスやシステムで使い回している利用者のアカウントへのログインを試みる攻撃はどれか。

    パスワードリスト攻撃

  • 11

    リバースブルートフォース攻撃に該当するものはどれか。

    パスワードを一つ選び,利用者IDとして次々に文字列を用意して総当たりにログインを試行する。

  • 12

    インターネットバンキングでのMITB攻撃による不正送金について,対策として用いられるトランザクション署名の説明はどれか。

    利用者が送金取引時に,送金処理を行うPCとは別のデバイスに振込先口座番号などの取引情報を入力して表示された値をインターネットバンキングに送信する。

  • 13

    ドライブバイダウンロード攻撃に該当するものはどれか。

    公開Webサイトにおいて,スクリプトをWebページ中の入力フィールドに入力し,Webサーバがアクセスするデータベース内のデータを不正にダウンロードする。

  • 14

    攻撃者が,多数のオープンリゾルバに対して,"あるドメイン"の実在しないランダムなサブドメインを多数問い合わせる攻撃(ランダムサブドメイン攻撃)を仕掛け,多数のオープンリゾルバが応答した。このときに発生する事象はどれか。

    "あるドメイン"を管理する権威DNSサーバに対して負荷が掛かる。

  • 15

    SEOポイズニングの説明はどれか。

    Web検索サイトの順位付けアルゴリズムを悪用して,検索結果の上位に,悪意のあるWebサイトを意図的に表示させる。

  • 16

    攻撃者が用意したサーバXのIPアドレスが,A社WebサーバのFQDNに対応するIPアドレスとして,B社DNSキャッシュサーバに記憶された。これによって,意図せずサーバXに誘導されてしまう利用者はどれか。ここで,A社,B社の各従業員は自社のDNSキャッシュサーバを利用して名前解決を行う。

    A社WebサーバにアクセスしようとするB社従業員

  • 17

    従量課金制のクラウドサービスにおけるEDoS(Economic Denial of Service,又はEconomic Denial of Sustainability)攻撃の説明はどれか。

    クラウドサービス利用者の経済的な損失を目的に,リソースを大量消費させる攻撃

  • 18

    公開鍵暗号によって,n人が相互に通信する場合,全体で何個の異なる鍵が必要になるか。ここで,ひと組の公開鍵と秘密鍵は2個と数える。

    2n

  • 19

    PCとサーバとの間でIPsecによる暗号化通信を行う。ブロック暗号の暗号化アルゴリズムとしてAESを使うとき,用いるべき鍵はどれか。

    PCとサーバで共有された共通鍵

  • 20

    データベースで管理されるデータの暗号化に用いることができ,かつ,暗号化と復号とで同じ鍵を使用する暗号化方式はどれか。

    AES

  • 21

    楕円曲線暗号の特徴はどれか。

    RSA暗号と比べて,短い鍵長で同レベルの安全性が実現できる。

  • 22

    利用者PC上のSSHクライアントからサーバに公開鍵認証方式でSSH接続するとき,利用者のログイン認証時にサーバが使用する鍵とSSHクライアントが使用する鍵の組みはどれか。

    サーバに登録されたSSHクライアントの公開鍵と,利用者PC上のSSHクライアントの秘密鍵

  • 23

    OpenPGPやS/MIMEにおいて用いられるハイブリッド暗号方式の特徴はどれか。

    公開鍵暗号方式と共通鍵暗号方式を組み合わせることによって鍵管理コストと処理性能の両立を図る。

  • 24

    手順に示す電子メールの送受信によって得られるセキュリティ上の効果はどれか。 〔手順〕 (1)送信者は,電子メールの本文を共通鍵暗号方式で暗号化し(暗号文),その共通鍵を受信者の公開鍵を用いて公開鍵暗号方式で暗号化する(共通鍵の暗号化データ)。 (2)送信者は,暗号文と共通鍵の暗号化データを電子メールで送信する。 (3)受信者は,受信した電子メールから取り出した共通鍵の暗号化データを,自分の秘密鍵を用いて公開鍵暗号方式で復号し,得た共通鍵で暗号文を復号する。

    電子メールの本文の内容の漏えいの防止

  • 25

    アプリケーションソフトウェアにディジタル署名を施す目的はどれか。

    アプリケーションソフトウェアの改ざんを利用者が検知できるようにする。

  • 26

    ディジタル証明書をもつA氏が,B商店に対して電子メールを使って商品の注文を行うときに,A氏は自分の秘密鍵を用いてディジタル署名を行い,B商店はA氏の公開鍵を用いて署名を確認する。この手法によって確認できることはどれか。ここで,A氏の秘密鍵はA氏だけが使用できるものとする。

    B商店に届いたものは,A氏からの注文である。

  • 27

    XML署名を利用することによってできることはどれか。

    XML文書全体に対する単一の署名だけではなく,文書の一部に対して署名を付与する部分署名や多重署名などの複雑な要件に対応する。

  • 28

    メッセージが改ざんされていないかどうかを確認するために,そのメッセージから,ブロック暗号を用いて生成することができるものはどれか。

    メッセージ認証符号

  • 29

    利用者PCの内蔵ストレージが暗号化されていないとき,攻撃者が利用者PCから内蔵ストレージを抜き取り,攻撃者が用意したPCに接続して内蔵ストレージ内の情報を盗む攻撃の対策に該当するものはどれか。

    利用者PC上でHDDパスワードを設定する。

  • 30

    セキュアハッシュ関数SHA-256を用いてファイルA及びファイルBのハッシュ値を算出すると,どちらも全く同じ次に示すハッシュ値n(16進数で示すと64桁)となった。この結果から考えられることとして,適切なものはどれか。 ハッシュ値n: 86620f2f 152524d7 dbed4bcb b8119bb6 d493f734 0b4e7661 88565353 9e6d2074

    ファイルAの内容とファイルBの内容は同じである。

  • 31

    リスクベース認証に該当するものはどれか。

    利用者のIPアドレスなどの環境を分析し,いつもと異なるネットワークからのアクセスに対して追加の認証を行う。

  • 32

    2要素認証に該当する組みはどれか。

    パスワード認証,静脈認証

  • 33

    バイオメトリクス認証システムの判定しきい値を変化させるとき,FRR(本人拒否率)と FAR(他人受入率)との関係はどれか。

    FRRを減少させると,FARは増大する。

  • 34

    Webサイトで利用されるCAPTCHAに該当するものはどれか。

    人からのアクセスであることを確認できるよう,アクセスした者に応答を求め,その応答を分析する仕組み

  • 35

    A社のWebサーバは,サーバ証明書を使ってTLS通信を行っている。PCからA社のWebサーバへのTLSを用いたアクセスにおいて,当該PCがサーバ証明書を入手した後に,認証局の公開鍵を利用して行う動作はどれか。

    サーバ証明書の正当性を,認証局の公開鍵を使って検証する。

  • 36

    JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)及びJIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)における情報セキュリティ事象と情報セキュリティインシデントの関係のうち,適切なものはどれか。

    単独又は一連の情報セキュリティ事象は,情報セキュリティインシデントに分類され得る。

  • 37

    情報の取扱基準の中で,社外秘情報の持出しを禁じ,周知した上で,従業員に情報を不正に持ち出された場合に,"社外秘情報とは知らなかった"という言い訳をさせないことが目的の一つになっている対策はどれか。

    情報の管理レベルについてのラベル付け

  • 38

    A社では,利用しているソフトウェア製品の脆弱性に対して,ベンダから提供された最新のセキュリティパッチを適用することを決定した。ソフトウェア製品がインストールされている組織内のPCやサーバについて,セキュリティパッチの適用漏れを防ぎたい。そのために有効なものはどれか。

    ソフトウェア製品の名称やバージョン,それらが導入されている機器の所在,IPアドレスを管理するIT資産管理システム

  • 39

    ディジタルフォレンジックスでハッシュ値を利用する目的として,適切なものはどれか。

    証拠と原本との同一性を証明する。

  • 40

    Webシステムにおいて,セッションの乗っ取りの機会を減らすために,利用者のログアウト時にWebサーバ又はWebブラウザにおいて行うべき処理はどれか。ここで,利用者は自分専用のPCにおいて,Webブラウザを利用しているものとする。

    WebサーバにおいてセッションIDを無効にする。

  • 41

    セキュリティバイデザインの説明はどれか。

    システムの企画・設計段階からセキュリティを確保する方策のことである。

  • 42

    PCが,Webサーバ,メールサーバ,他のPCなどと通信を始める際に,通信相手のIPアドレスを問い合わせる仕組みはどれか。

    DNS(Domain Name System)

  • 43

    ヒューマンエラーに起因する障害を発生しにくくする方法に,エラープルーフ化がある。運用作業におけるエラープルーフ化の例として,最も適切なものはどれか。

    画面上の複数のウィンドウを同時に使用する作業では,ウィンドウを間違えないようにウィンドウの背景色をそれぞれ異なる色にする。

  • 44

    情報セキュリティにおける"完全性"を脅かす攻撃はどれか。

    Webページの改ざん

  • 45

    マルウェアの説明として,適切なものはどれか。

    コンピュータウイルス,ワームなどを含む悪意のあるソフトウェアの総称

  • 46

    ランサムウェアの説明として,適切なものはどれか。

    感染すると勝手にファイルやデータの暗号化などを行って,正常にデータにアクセスできないようにし,元に戻すための代金を利用者に要求するソフトウェア

  • 47

    パスワードの解読方法の一つとして,全ての文字の組合せを試みる総当たり攻撃がある。"0" から"9"の10種類の文字を使用できるパスワードにおいて,桁数を4桁から6桁に増やすと,総当たり攻撃でパスワードを解読するための最大の試行回数は何倍になるか。

    100

  • 48

    パスワードリスト攻撃に該当するものはどれか。

    どこかのWebサイトから流出した利用者IDとパスワードのリストを用いて,他のWebサイトに対してログインを試行する。

  • 49

    銀行やクレジット会社などを装った偽のWebページを開設し,金融機関や公的機関などを装った偽の電子メールなどで,利用者を巧みに誘導して,暗証番号やクレジットカード番号などの個人情報を盗み取る行為を何というか。

    クラッキング

  • 50

    クロスサイトスクリプティングに関する記述として,適切なものはどれか。

    Webサイトの運営者が意図しないスクリプトを含むデータであっても,利用者のブラウザに送ってしまう脆弱性を利用する。

  • 51

    DoS(Denial of Service)攻撃の説明として,適切なものはどれか。

    電子メールやWebリクエストなどを大量に送りつけて,ネットワーク上のサービスを提供不能にすること

  • 52

    SQLインジェクション攻撃の説明として,適切なものはどれか。

    Webアプリケーションのデータ操作言語の呼出し方に不備がある場合に,攻撃者が悪意をもって構成した文字列を入力することによって,データベースのデータの不正な取得,改ざん及び削除をする攻撃

  • 53

    ソーシャルエンジニアリングに分類される手口はどれか。

    システム管理者などを装い,利用者に問い合わせてパスワードを取得する。

  • 54

    APT(Advanced Persistent Threats)の説明はどれか。

    攻撃者は特定の目的をもち,特定組織を標的に複数の手法を組み合わせて気付かれないよう執拗(よう)に攻撃を繰り返す。

  • 55

    ソーシャルエンジニアリング手法を利用した標的型攻撃メールの特徴はどれか。

    件名や本文に,受信者の業務に関係がありそうな内容が記述されている。

  • 56

    セキュリティ事故の例のうち,原因が物理的脅威に分類されるものはどれか。

    大雨によってサーバ室に水が入り,機器が停止する。

  • 57

    企業内ネットワークやサーバに侵入するために攻撃者が組み込むものはどれか。

    バック

  • 58

    ゼロデイ攻撃の説明として,適切なものはどれか。

    ソフトウェアに脆弱性が存在することが判明したとき,そのソフトウェアの修正プログラムがベンダから提供される前に,判明した脆弱性を利用して行われる攻撃

  • 59

    データを暗号化することによって防ぐことのできる脅威はどれか。

    通信内容の盗聴

  • 60

    共通鍵暗号方式では通信の組合せごとに鍵が1個必要となる。例えばA-Dの4人が相互に通信を行う場合は,AB,AC,AD,BC,BD,CDの組合せの6個の鍵が必要である。8人が相互に通信を行うためには何個の鍵が必要か。

    28

  • 61

    Xさんは,Yさんにインターネットを使って電子メールを送ろうとしている。電子メールの内容を秘密にする必要があるので,公開鍵暗号方式を用いて暗号化して送信したい。電子メールの内容を暗号化するのに使用する鍵はどれか。

    Yさんの公開鍵

  • 62

    認証技術を,所有物による認証,身体的特徴による認証及び知識による認証の三つに分類したとき,分類と実現例①~③の適切な組合せはどれか。 ①ICカードを用いた認証 ②ID,パスワードによる認証 ③指紋による認証

  • 63

    生体認証システムを導入するときに考慮すべき点として,最も適切なものはどれか。

    本人を誤って拒否する確率と他人を誤って許可する確率の双方を勘案して装置を調整する。

  • 64

    メッセージ認証符号におけるメッセージダイジェストの利用目的はどれか。

    メッセージが改ざんされていないことを確認する。

  • 65

    受信した電子メールにPKI(公開鍵基盤)を利用したディジタル署名が付与されている場合に判断できることだけを全て挙げたものはどれか。 a.電子メールの添付ファイルはウイルスに感染していない。 b.電子メールの内容は通信途中において,他の誰にも盗み見られていない。 c.電子メールの発信者は,なりすましされていない。 d.電子メールは通信途中で改ざんされていない。

    c.d

  • 66

    ディジタル署名に用いる鍵の種別に関する組合せのうち,適切なものはどれか。

  • 67

    PKI(公開鍵基盤)の認証局が果たす役割はどれか。

    失効したディジタル証明書の一覧を発行する。