暗記メーカー

暗記メーカー

ログイン
情報処理安全確保支援士
53問 • 2ヶ月前
  • ユーザ名非公開
    • 通報

    問題一覧

  • 1

    暗号文と秘密鍵が危たい化しても暗号文を複合できない鍵交換の概念。

    PFS

  • 2

    TCPポート番号389。ディレクトリのアクセスに使用されるプロトコル。

    LDAP

  • 3

    サーバ証明書が失効していないかをCAに問い合わせる、RFC6960で規定されているプロトコル。

    OCSP

  • 4

    メールサーバに蓄積されたメールを取りに行く、TCPポート番号110番のプロトコル。

    POP3

  • 5

    メールサーバにメールを蓄積管理できる、メールの一覧を取得する、TCPポート番号143番のプロトコル

    IMAP4

  • 6

    エンベロープの送信者メールアドレスを指定するためのコマンド

    MAIL FROM

  • 7

    複数のサーバを分散配置し、ユーザは最も近いサーバからコンテンツを受け取ることサービスの事。

    CDN

  • 8

    HTML内のスクリプトからcookieへのアクセスを禁止するcookieに付与する属性

    HttpOnly属性

  • 9

    HTTPリクエストのWedブラウザの種類やバージョン番号を通知する為のフィールド

    User-Agentヘッダフィールド

  • 10

     攻撃を受けたPCのHDDをファイル単位ではなくセクタ単位でコピーする意義は?  セクタ単位だと削除された○○○○の内容を調べる事ができ、空きセクタの情報から○○○○を復元する事ができるため。

    ファイル

  • 11

    暗号文一致攻撃とは?  同一の○○○が2度現れた時、平文に関する情報を得られる攻撃。

    暗号ブロック

  • 12

    ディレクトリサービスを提供するサーバのことです。 システム上の資源や登録利用者の情報をまとめて一元的に管理することが可能です。

    LDAPサーバ

  • 13

    認可コード横取り攻撃への対策を目的とし、RFC7636 で定義されているOAuth2.0拡張仕様

    PKCE

  • 14

    パソコンに感染したウイルスが、ブラウザとHTTP/HTTPS通信の中間に入り込み、 不正なポップアップ画面を表示させ、通信を盗聴しデータを改ざんする攻撃

    MITB攻撃

  • 15

    ネットワーク上で発生するログを収集し、監視・分析・通知する技術のことです。 異常なアクティビティやセキュリティインシデントを検知することで、企業や組織のセキュリティを維持し、脅威に対処

    SIEM

  • 16

    日本語で共通脆弱性タイプ一覧と言う。 情報セキュリティの分野において、ソフトウェアやハードウェアなどのシステムに存在する脆弱性や弱点を組織的かつ一元的に識別・整理するためのフレームワーク

    CWE

  • 17

    特定のドメイン名を別のドメイン名に関連付けるために使用されるDNSレコード

    CNAME

  • 18

    fは認可コード gはアクセストークン CSRF攻撃の対策としてFサービスがstateパラメータを使う場合どのような処理を行うか

    IDaaSリダイレクト(2)でstateパラメータを付与して送信し、認可コード(7)で送られてきたstateパラメータと比較する

  • 19

    fは認可コード gはアクセストークン CSRF攻撃を対策するため、FサービスのスマホアプリとIDaaSとの間でPKCEを使うとする。その際、スマホアプリはどの通信にどの情報を付与するか。

    認可要求(3)に検証コードをハッシュ化し生成したチャレンジコードを付与し送信し、認可コード送信時に検証コードを付与し送信する。

  • 20

    自社から送信されるメールがフィッシングメールだと判断されないために、S/MIMEやPGPではなく、送信ドメイン認証に対応するだけで良い理由

    自社ドメインから送信されたメールアドレスであることを自社で保証するから

  • 21

    登録更新処理にCSRF脆弱性が存在し、登録情報を改ざんされる可能性がある。CSRFトークンを使用して対策をする場合、Webアプリでどのような手順で処理を行うか、リクエクトとレスポンスという字句を用いて答えよ

    登録更新処理を実行する直前のレスポンスの画面にCSRFトークンを格納し、リクエストで返送されたCSRFトークンを検証する

  • 22

    FQDNを書き換えて、攻撃者がアクセスできないサイトにアクセスする攻撃

    サーバサイトリクエストフォージェリ

  • 23

    ディレクトリトラバーサル脆弱性に対し、固定のディレクトリを指定し、さらにファイル名を取り出す処理が必要である。 なぜファイル名を取り出す必要があるのか。

    入力パラメータに「:/」などが作られると意図しないパスが形成されるため

  • 24

    Cookieの保持する期限の日時を持つ属性

    Expires属性

  • 25

    Cookieの保持する期間(秒数)を保持する属性

    Max-Age属性

  • 26

    データ抹消処理の一つである暗号化消去では、データは暗号化された状態で保存される。(1)を抹消することによって、上書きする消去処理と比較して、処理が極めて(2)に実行できることや、OSから(3)も消去できると言った利点がある。

    暗号鍵, 高速, アクセス不可能なデータ

  • 27

    CDNを悪用して、SNIフィールドに無害なドメイン名を指定し、実際にアクセスしたいドメインをHTTP Hostヘッダに設定することで検閲を回避する手法

    ドメインフロンティング

  • 28

    TLS接続先サーバ名をアルファベット3文字で

    SNI

  • 29

    SameSite属性のStrict

    クロスサイト要求ではCookieを送信しない

  • 30

    SameSite属性のLax

    トップレベルのナビゲーションの時のみCookieを送信する

  • 31

    SaemSite属性のNone

    クロスサイトでもCookieを送信する

  • 32

    SSH認証方式2つ

    公開鍵認証方式, パスワード認証方式

  • 33

    攻撃者はクライアント側からサーバ側へ送信された認証データを盗み取り、サーバへのログインを試みる。サーバから認証データの送信を要求されたら盗み取ったものをそのまま送信し、本人に成り代わってアクセスを試みる攻撃

    リプレイ攻撃

  • 34

    電子政府における調達のために参照するべき暗号リストを選定している組織

    CRYPTREC

  • 35

    LANに繋がっているコンピュータの電源を遠隔でつける機能

    Wake on LAN

  • 36

    Wake on LANを使うために送る起動パケットは何に続けて何を16回繰り返したものか。

    FF:FF:FF:FF:FF:FF, MACアドレス

  • 37

    OSに搭載されたディスク暗号化機能を3つ

    パスワード方式, スマートカード方式, TPM方式

  • 38

    OpenID Connectは認可?認証?

    両方

  • 39

    アクセスログを確認し、GETメソッドを使用して実行されたOSコマンドの内容は分かったが、POSTメソッドを使用して実行されたOSコマンドの内容がわからなかった。それはなぜか。

    POSTメソッドで送信したボディ部はアクセスログに記録されないため

  • 40

    一般権限の利用者が、一時的にrootアカウントの権限を得るためのコマンド

    sudoコマンド

  • 41

    SQLの組み立てにおいて、SQL文のひな形の中に変数の場所を示す?記号を置く手法がある。この?記号はなんと言うか。また、この?記号に値を割り入れる処理をなんと言うか。

    プレースホルダ, バインド

  • 42

    HTTPレスポンスのヘッダに”Content-Security-Policy:script-src’self’を追加すると、Wedブラウザに対して指定したスクリプトファイルの実行だけを許可する。 実行されるスクリプトファイルはどのようなものか。

    URLと同じオリジンのスクリプトファイル

  • 43

    Webサービスにおける認証を行うOIDCのクライアントのことをなんと呼ぶか

    RP

  • 44

    IDaaSのTLSクライアント認証を用いてPCの利用者認証を行う。その際、プライベートCAを利用する場合、どのような準備が必要か。PCおよびルート証明書という字句を用いてこたえよ

    PCのクライアント証明書を発行するプラベートCAの証明書をIDaaSに信用されたルート証明書として登録する。

  • 45

    マイナンバーで利用者認証を行う。 サービス側に当該デジタル署名、当該データ本体、署名用電子証明書が送られてきた。デジタル証明書が改ざんされていないことを確認した後、地方公共団体情報システム機構に○○○を確認する。

    署名用電子証明書の有効性

  • 46

    サービスにログインした状態を維持しながらアプリでの不正利用を防ぐための機能を追加する。何を追加すれば良いか。

    アプリ起動時に、PINコードで利用者を認証する機能

  • 47

    中継する通信のログを元にクラウドサービスの利用情報の可視化を行う機能

    CASB

  • 48

    ソフトウェアを構成する部品(ライブラリ、モジュールなど)とその依存関係、バージョン情報などをリスト化することにより、セキュリティリスクを可視化し、脆弱性管理やライセンス管理などを効率的に行うことができる管理法をなんと呼ぶか。

    SBOM

  • 49

    入力時の予測文字列の表示やパスワードをPCに記憶させてログイン時に自動入力させる機能

    オートコンプリート

  • 50

    メモリ上のデータを書き出す処理

    メモリダンプ

  • 51

    ハードディスク上のデータを制御情報などと共にファイル化したもの

    ディスクイメージ

  • 52

    FWで許可されているプロトコルを用いて社内からC&Cサーバに接続し、その応答通信に指令を埋め込むことで、C&Cサーバ側から指令を受け取る方式をとる通信のこと

    コネクトバック通信

  • 53

    DNS通信の中に指令を埋め込んだり、窃取した情報を埋め込んでC&Cサーバと不正通信する手口

    DNSトンネリング

    • 情報処理安全確保支援士2

    情報処理安全確保支援士2

    ユーザ名非公開 · 97問 · 2ヶ月前

    情報処理安全確保支援士2

    情報処理安全確保支援士2

    97問 • 2ヶ月前
    ユーザ名非公開

    情報処理安全確保支援士3

    情報処理安全確保支援士3

    ユーザ名非公開 · 45問 · 2ヶ月前

    情報処理安全確保支援士3

    情報処理安全確保支援士3

    45問 • 2ヶ月前
    ユーザ名非公開

    問題一覧

  • 1

    暗号文と秘密鍵が危たい化しても暗号文を複合できない鍵交換の概念。

    PFS

  • 2

    TCPポート番号389。ディレクトリのアクセスに使用されるプロトコル。

    LDAP

  • 3

    サーバ証明書が失効していないかをCAに問い合わせる、RFC6960で規定されているプロトコル。

    OCSP

  • 4

    メールサーバに蓄積されたメールを取りに行く、TCPポート番号110番のプロトコル。

    POP3

  • 5

    メールサーバにメールを蓄積管理できる、メールの一覧を取得する、TCPポート番号143番のプロトコル

    IMAP4

  • 6

    エンベロープの送信者メールアドレスを指定するためのコマンド

    MAIL FROM

  • 7

    複数のサーバを分散配置し、ユーザは最も近いサーバからコンテンツを受け取ることサービスの事。

    CDN

  • 8

    HTML内のスクリプトからcookieへのアクセスを禁止するcookieに付与する属性

    HttpOnly属性

  • 9

    HTTPリクエストのWedブラウザの種類やバージョン番号を通知する為のフィールド

    User-Agentヘッダフィールド

  • 10

     攻撃を受けたPCのHDDをファイル単位ではなくセクタ単位でコピーする意義は?  セクタ単位だと削除された○○○○の内容を調べる事ができ、空きセクタの情報から○○○○を復元する事ができるため。

    ファイル

  • 11

    暗号文一致攻撃とは?  同一の○○○が2度現れた時、平文に関する情報を得られる攻撃。

    暗号ブロック

  • 12

    ディレクトリサービスを提供するサーバのことです。 システム上の資源や登録利用者の情報をまとめて一元的に管理することが可能です。

    LDAPサーバ

  • 13

    認可コード横取り攻撃への対策を目的とし、RFC7636 で定義されているOAuth2.0拡張仕様

    PKCE

  • 14

    パソコンに感染したウイルスが、ブラウザとHTTP/HTTPS通信の中間に入り込み、 不正なポップアップ画面を表示させ、通信を盗聴しデータを改ざんする攻撃

    MITB攻撃

  • 15

    ネットワーク上で発生するログを収集し、監視・分析・通知する技術のことです。 異常なアクティビティやセキュリティインシデントを検知することで、企業や組織のセキュリティを維持し、脅威に対処

    SIEM

  • 16

    日本語で共通脆弱性タイプ一覧と言う。 情報セキュリティの分野において、ソフトウェアやハードウェアなどのシステムに存在する脆弱性や弱点を組織的かつ一元的に識別・整理するためのフレームワーク

    CWE

  • 17

    特定のドメイン名を別のドメイン名に関連付けるために使用されるDNSレコード

    CNAME

  • 18

    fは認可コード gはアクセストークン CSRF攻撃の対策としてFサービスがstateパラメータを使う場合どのような処理を行うか

    IDaaSリダイレクト(2)でstateパラメータを付与して送信し、認可コード(7)で送られてきたstateパラメータと比較する

  • 19

    fは認可コード gはアクセストークン CSRF攻撃を対策するため、FサービスのスマホアプリとIDaaSとの間でPKCEを使うとする。その際、スマホアプリはどの通信にどの情報を付与するか。

    認可要求(3)に検証コードをハッシュ化し生成したチャレンジコードを付与し送信し、認可コード送信時に検証コードを付与し送信する。

  • 20

    自社から送信されるメールがフィッシングメールだと判断されないために、S/MIMEやPGPではなく、送信ドメイン認証に対応するだけで良い理由

    自社ドメインから送信されたメールアドレスであることを自社で保証するから

  • 21

    登録更新処理にCSRF脆弱性が存在し、登録情報を改ざんされる可能性がある。CSRFトークンを使用して対策をする場合、Webアプリでどのような手順で処理を行うか、リクエクトとレスポンスという字句を用いて答えよ

    登録更新処理を実行する直前のレスポンスの画面にCSRFトークンを格納し、リクエストで返送されたCSRFトークンを検証する

  • 22

    FQDNを書き換えて、攻撃者がアクセスできないサイトにアクセスする攻撃

    サーバサイトリクエストフォージェリ

  • 23

    ディレクトリトラバーサル脆弱性に対し、固定のディレクトリを指定し、さらにファイル名を取り出す処理が必要である。 なぜファイル名を取り出す必要があるのか。

    入力パラメータに「:/」などが作られると意図しないパスが形成されるため

  • 24

    Cookieの保持する期限の日時を持つ属性

    Expires属性

  • 25

    Cookieの保持する期間(秒数)を保持する属性

    Max-Age属性

  • 26

    データ抹消処理の一つである暗号化消去では、データは暗号化された状態で保存される。(1)を抹消することによって、上書きする消去処理と比較して、処理が極めて(2)に実行できることや、OSから(3)も消去できると言った利点がある。

    暗号鍵, 高速, アクセス不可能なデータ

  • 27

    CDNを悪用して、SNIフィールドに無害なドメイン名を指定し、実際にアクセスしたいドメインをHTTP Hostヘッダに設定することで検閲を回避する手法

    ドメインフロンティング

  • 28

    TLS接続先サーバ名をアルファベット3文字で

    SNI

  • 29

    SameSite属性のStrict

    クロスサイト要求ではCookieを送信しない

  • 30

    SameSite属性のLax

    トップレベルのナビゲーションの時のみCookieを送信する

  • 31

    SaemSite属性のNone

    クロスサイトでもCookieを送信する

  • 32

    SSH認証方式2つ

    公開鍵認証方式, パスワード認証方式

  • 33

    攻撃者はクライアント側からサーバ側へ送信された認証データを盗み取り、サーバへのログインを試みる。サーバから認証データの送信を要求されたら盗み取ったものをそのまま送信し、本人に成り代わってアクセスを試みる攻撃

    リプレイ攻撃

  • 34

    電子政府における調達のために参照するべき暗号リストを選定している組織

    CRYPTREC

  • 35

    LANに繋がっているコンピュータの電源を遠隔でつける機能

    Wake on LAN

  • 36

    Wake on LANを使うために送る起動パケットは何に続けて何を16回繰り返したものか。

    FF:FF:FF:FF:FF:FF, MACアドレス

  • 37

    OSに搭載されたディスク暗号化機能を3つ

    パスワード方式, スマートカード方式, TPM方式

  • 38

    OpenID Connectは認可?認証?

    両方

  • 39

    アクセスログを確認し、GETメソッドを使用して実行されたOSコマンドの内容は分かったが、POSTメソッドを使用して実行されたOSコマンドの内容がわからなかった。それはなぜか。

    POSTメソッドで送信したボディ部はアクセスログに記録されないため

  • 40

    一般権限の利用者が、一時的にrootアカウントの権限を得るためのコマンド

    sudoコマンド

  • 41

    SQLの組み立てにおいて、SQL文のひな形の中に変数の場所を示す?記号を置く手法がある。この?記号はなんと言うか。また、この?記号に値を割り入れる処理をなんと言うか。

    プレースホルダ, バインド

  • 42

    HTTPレスポンスのヘッダに”Content-Security-Policy:script-src’self’を追加すると、Wedブラウザに対して指定したスクリプトファイルの実行だけを許可する。 実行されるスクリプトファイルはどのようなものか。

    URLと同じオリジンのスクリプトファイル

  • 43

    Webサービスにおける認証を行うOIDCのクライアントのことをなんと呼ぶか

    RP

  • 44

    IDaaSのTLSクライアント認証を用いてPCの利用者認証を行う。その際、プライベートCAを利用する場合、どのような準備が必要か。PCおよびルート証明書という字句を用いてこたえよ

    PCのクライアント証明書を発行するプラベートCAの証明書をIDaaSに信用されたルート証明書として登録する。

  • 45

    マイナンバーで利用者認証を行う。 サービス側に当該デジタル署名、当該データ本体、署名用電子証明書が送られてきた。デジタル証明書が改ざんされていないことを確認した後、地方公共団体情報システム機構に○○○を確認する。

    署名用電子証明書の有効性

  • 46

    サービスにログインした状態を維持しながらアプリでの不正利用を防ぐための機能を追加する。何を追加すれば良いか。

    アプリ起動時に、PINコードで利用者を認証する機能

  • 47

    中継する通信のログを元にクラウドサービスの利用情報の可視化を行う機能

    CASB

  • 48

    ソフトウェアを構成する部品(ライブラリ、モジュールなど)とその依存関係、バージョン情報などをリスト化することにより、セキュリティリスクを可視化し、脆弱性管理やライセンス管理などを効率的に行うことができる管理法をなんと呼ぶか。

    SBOM

  • 49

    入力時の予測文字列の表示やパスワードをPCに記憶させてログイン時に自動入力させる機能

    オートコンプリート

  • 50

    メモリ上のデータを書き出す処理

    メモリダンプ

  • 51

    ハードディスク上のデータを制御情報などと共にファイル化したもの

    ディスクイメージ

  • 52

    FWで許可されているプロトコルを用いて社内からC&Cサーバに接続し、その応答通信に指令を埋め込むことで、C&Cサーバ側から指令を受け取る方式をとる通信のこと

    コネクトバック通信

  • 53

    DNS通信の中に指令を埋め込んだり、窃取した情報を埋め込んでC&Cサーバと不正通信する手口

    DNSトンネリング