考査試験

217問 • 1年前

問題一覧

JISQ27000：2014（情報セキュリティマネジメントシステムー用語）における真正性及び信頼性に対する定義a~dの組のうち適切なものはどれか a.意図する行動と結果とが一貫しているという特性 b.エンティティは、それが主張する通りのものであるという特性 c.認可されたエンティティが要求したときに、アクセスおよび使用が可能であるという特性 d.認可されていない個人、エンティティまたはプロセスに対して、情報を使用させず、また、開示しないという特性

真正性：b、信頼性：a

情報セキュリティの対応に関する記述のうち、情報セキュリティの要素の一つである「機密性」を直接的に高める具体的な例はどれか。

アクセス権を制限してアクセスできる人や機器を特定する。

JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)において定義されている情報セキュリティの特性に関する記述のうち,否認防止の特性に関する記述はどれか。

ある利用者があるシステムを利用したという事実が証明可能である。

情報セキュリティの三大要素である機密性,完全性及び可用性に関する記述のうち,最も適切なものはどれか。

機密性と可用性は互いに反する側面をもっているので,実際の運用では両者をバランスよく確保することが求められる。

情報セキュリティにおける"完全性"を脅かす攻撃はどれか。

Webページの改ざん

情報セキュリティにおける"可用性"の説明として,適切なものはどれか。

認められた利用者が,必要なときに情報にアクセスできること

情報セキュリティ対策を,技術的対策,人的対策及び物理的対策の三つに分類したとき,物理的対策の例として適切なものはどれか。

セキュリティ区画を設けて施錠し,鍵の貸出し管理を行って不正な立入りがないかどうかをチェックする。

情報セキュリティ対策のクリアデスクに該当するものはどれか。

帰宅時,書類やノートPCを机の上に出したままにせず,施錠できる机の引出しなどに保管する。

ルートキットの特徴はどれか。

OSなどに不正に組み込んだツールの存在を隠す。

スクリプトキディの典型的な行為に該当するものはどれか。

技術不足なので新しい攻撃手法を考え出すことはできないが,公開された方法に従って不正アクセスを行う。

情報セキュリティマネジメントにおける、脅威と脆弱性に関する記述のうち、最も適切なものはどれか

脅威が存在しないと判断できる場合、脆弱性に対処する必要性は低い

物理的セキュリティ対策の不備が原因となって発生するインシデントの例として、最も適切なものはどれか

第三者がサーバー室へ侵入し、データを盗み出す

生体認証による入退室管理システムに全社員を登録し、社内の各部屋に入室を許可する社員を設定した。退室は管理していない。a~dの記述のうち、この入退室管理システムで実現できることだけをすべて挙げたものはどれか a.権限の合う社員だけに入室を許可する b.入室者が部屋にいた時間を記録する c.入室を試みて、拒否された社員を記録する d.下野にいる人数を把握する

a,c

軽微な不正や犯罪を放置することによって、より大きな不正や犯罪が誘発されるという理論はどれか

割れ窓理論

特定のサービスやシステムから流出した認証情報を攻撃者が用いて、認証情報を複数のサービスやシステムで使いまわしている利用者のアカウントへのログインを試みる攻撃はどれか

パスワードリスト攻撃

情報セキュリティにおいてバックドアに該当する者はどれか

アクセスする際にパスワード認証などの正規の手続きが必要なWebサイトに、当該手続を経ないでアクセス可能なURL

DNSキャッシュポイズニングに該当する者はどれか

PCが問い合わせを行うDNSキャッシュサーバに偽のDNS応答を送ることによって、偽のドメイン情報を注入する

ディレクトリトラバーサル攻撃に該当する者はどれか

攻撃者が、バス名を使ってファイルを指定し、管理者の意図していないファイルを不正に閲覧する

BEC(Business E-mail Compromise)に該当する者はどれか

巧妙なだましの手口を駆使し、取り引き先に成りすまして偽の電子メールを送り金銭をだまし取る

ゼロデイ攻撃の特徴はどれか

脆弱性に対してセキュリティパッチが提供される前に当該脆弱性を悪用して攻撃する

情報の取扱いに関する不適切な行為a~cのうち,不正アクセス禁止法で定められている禁止行為に該当するものだけを全て挙げたものはどれか。 a オフィス内で拾った手帳に記載されていた他人の利用者IDとパスワードを無断で使って,自社のサーバにネットワークを介してログインし,格納されていた人事評価情報を閲覧した。 b 同僚が席を離れたときに,同僚のPCの画面に表示されていた,自分にはアクセスする権限のない人事評価情報を閲覧した。 c 部門の保管庫に保管されていた人事評価情報が入ったUSBメモリを上司に無断で持ち出し,自分のPCで人事評価情報を閲覧した。

Webサーバの検査におけるポートスキャナーの利用目的はどれか。

Webサーバで稼働しているサービスを列挙して,不要なサービスが稼働していないことを確認する。

情報セキュリティにおける脅威であるバッファオーバーフローの説明として,適切なものはどれか。

プログラムが用意している入力用のデータ領域を超えるサイズのデータを入力することで,想定外の動作をさせる。

暗号解読の手法のうち,ブルートフォース攻撃はどれか。

与えられた1組の平文と暗号文に対し,総当たりで鍵を割り出す。

情報セキュリティの脅威であるキーロガーの説明として,適切なものはどれか。

キーボード入力を記録する仕組みを利用者のPCで動作させ,この記録を入手する。

不正アクセスを行う手段の一つであるIPスプーフィングの説明として,適切なものはどれか。

偽の送信元IPアドレスをもったパケットを送ること

TCP/IPネットワークにおけるARPの説明として,適切なものはどれか。

IPアドレスからMACアドレスを得るプロトコルである。

オンラインバンキングにおいて,マルウェアなどでブラウザを乗っ取り,正式な取引画面の間に不正な画面を介在させ,振込先の情報を不正に書き換えて,攻撃者の指定した口座に送金させるなどの不正操作を行うことを何と呼ぶか。

MITB(Man In The Browser)攻撃

フィッシングの手口に該当するものはどれか。

エ電子メールを発信して受信者を誘導し,実在する会社などを装った偽のWebサイトにアクセスさせ,個人情報をだまし取る。

DoS(Denial of Service)攻撃の説明として,適切なものはどれか。

電子メールやWebリクエストなどを大量に送りつけて,ネットワーク上のサービスを提供不能にすること

攻撃者が,多数のオープンリゾルバに対して,"あるドメイン"の実在しないランダムなサブドメインを多数問い合わせる攻撃(ランダムサブドメイン攻撃)を仕掛け,多数のオープンリゾルバが応答した。このときに発生する事象はどれか。

"あるドメイン"を管理する権威DNSサーバに対して負荷が掛かる。

ICMP Flood攻撃に該当するものはどれか。

pingコマンドを用いて大量の要求パケットを発信することによって,攻撃対象のサーバに至るまでの回線を過負荷にしてアクセスを妨害する。

不正アクセス禁止法による処罰の対象となる行為はどれか。

不正アクセスを行う目的で他人の利用者ID,パスワードを取得したが,これまでに不正アクセスは行っていない。

ソーシャルエンジニアリングに分類される手口はどれか。

システム管理者などを装い,利用者に問い合わせてパスワードを取得する。

特定電子メール送信適正化法で規制される,いわゆる迷惑メール(スパムメール)はどれか。

送信することの承諾を得ていない不特定多数の人に送った広告メール

クロスサイトスクリプティングに該当するものはどれか。

攻撃者が罠(わな)を仕掛けたWebページを利用者が閲覧し,当該ページ内のリンクをクリックしたときに, 不正スクリプトを含む文字列が脆弱なWebサーバに送り込まれ,レスポンスに埋め込まれた不正スクリプトの実行によって,情報漏えいをもたらす。

SQLインジェクション攻撃の説明はどれか。

Webアプリケーションに問題があるとき,悪意のある問合せや操作を行う命令文をWebサイトに入力してデータベースのデータを不正に取得したり改ざんしたりする攻撃

DoS攻撃の一つであるSmurf攻撃はどれか。

偽装したICMPの要求パケットを送って,大量の応答パケットが攻撃対象に送られるようにする。

PCとサーバとの間でIPsecによる暗号化通信を行う。通信データの暗号化アルゴリズムとしてAESを使うとき、用いる鍵はどれか

PCとサーバで共有された共通鍵

暗号アルゴリズムの危殆化を説明したものはどれか

計算能力の向上などによって、鍵の推定が可能になり、暗号の安全性が低下すること

XさんはYさんにインターネットを使って電子メールを送ろうとしている。でんしメールの内容を秘密にする必要があるので、公開鍵暗号方式を使って送信したい。その時に使用する鍵はどれか

Yさんの公開鍵

OpenPGPやS/MIMEにおいて用いられるハイブリット暗号方式の特徴はどれか

公開鍵暗号方式と共通鍵暗号方式を組み合わせることによって鍵管理コストと処理性能の両立を図る

CRYPTRECの役割として,適切なものはどれか。

電子政府での利用を推奨する暗号技術の安全性を評価,監視する。

次の記述のうち,公開鍵暗号方式と比較したときの共通鍵暗号方式の特徴として適切なものはどれか。

事前に安全な方法で通信相手に鍵を送付しておく必要がある。

共通鍵暗号方式の特徴はどれか。

同じ程度の暗号強度をもつ鍵長を選んだ場合,公開鍵暗号方式と比較して,暗号化や復号に必要な時間が短い。

暗号方式に関する記述のうち,適切なものはどれか。

大量のデータを短い時間で暗号化する場合には,公開鍵暗号方式よりも共通鍵暗号方式が適している。

暗号化通信で使用される共通鍵暗号方式に関する記述のうち,適切なものはどれか。

公開鍵暗号方式よりも,暗号化処理と復号処理に掛かる計算量は少ない。

公開鍵暗号方式で使用する鍵に関する次の記述中のa,bに入れる字句の適切な組合せはどれか。それぞれ公開鍵と秘密鍵をもつA社とB社で情報を送受信するとき,他者に通信を傍受されても内容を知られないように,情報を暗号化して送信することにした。A社からB社に情報を送信する場合,A社は Ⓐを使って暗号化した情報をB社に送信する。B社はA社から受信した情報を Ⓑ で復号して情報を取り出す。

ⒶB社の公開鍵、ⒷB社の秘密鍵

公開鍵暗号方式に関する記述のうち,適切なものはどれか。

RSAは,素因数分解の計算の困難さを利用した公開鍵暗号方式である。

暗号化方式の名称に関する記述のうち,共通かぎ方式に分類されるものはどれか。

DES

暗号化通信で使用する鍵a~cのうち,セキュリティ上,第三者に知られてはいけないものだけを全て挙げたものはどれか。 a . 共通鍵暗号方式の共通鍵 b. 公開鍵暗号方式の公開鍵 c. 公開鍵暗号方式の秘密鍵

a,c

非常に大きな数の素因数分解が困難なことを利用した公開鍵暗号方式はどれか。

RSA

暗号方式に関する記述のうち,適切なものはどれか。

通信の開始時に共通鍵を公開鍵暗号方式で暗号化して相手に送り,データの暗号化を共通鍵暗号方式で行う方法が実用化されている

ハイブリッド暗号方式を用いてメッセージを送信したい。メッセージと復号用の鍵の暗号化手順を表した図において,メッセージの暗号化に使用する鍵を(1)とし,(1)の暗号化に使用する鍵を(2)としたとき,図のa,b に入れる字句の適切な組合せはどれか。

ア

暗号アルゴリズムの危殆化を説明したものはどれか。

計算能力の向上などによって,鍵の推定が可能になり,暗号の安全性が低下すること

パスワードを用いて利用者を認証する方法のうち、適切なものはどれか

パスワードをハッシュ値に変換して登録しておき、認証時に入力されたパスワードをハッシュ関数で、変換して比較する

リスクベース認証に該当する者はどれか

利用者IPアドレスなどの環境を分析し、いつもと異なるネットワークからのアクセスに対して追加の認証を行う

バイオメトリクス認証システムのはんていしきい地を変化させるとき、FRR（本人拒否率）とFAR（他人受入率）との関係はどれか

FRRを減少させると、FARは増大する

アプリケーションソフトウェアにデジタル署名を示す目的はどれか

アプリケーションソフトウェアの改ざんを利用者が検知できるようにする

デジタル署名に用いる組のうち、適切なものはどれか

デジタル署名の作成：秘密鍵　検証：公開鍵

デジタル証明書をもつA氏が、B商店に対して電子メールを使って商品を注文するときに、A氏は自分の秘密鍵を用いてデジタル署名を行い、B商店はA氏の公開鍵を用いて署名を確認する。この手法によって実現できることはどれか。ここでA氏の秘密鍵はA氏だけが使用できるものとする

B焦点に届いた注文、A氏からの注文であることを確認できる

メッセージ暗号符号の目的に該当する者はどれか

メッセージが改ざんされていないことを確認する

PKI（公開会議基盤において、認証局が果たす役割の１つはどれか

失効したデジタル証明書の一覧補発行する

特定の認証局が発行したCRL（Certificate Revocation List）に関する記述のうち、適切なものはどれか

CRLには、有効期限内のデジタル証明書のうち破棄されているデジタル証明書と破棄された日時の対応が提示される

ある会社では,技術部,開発部,検査部のそれぞれのパソコンをLANで接続し,各部のデータベースにアクセス制御設定を行った。次の設定にしたとき,A,B,Cはどの部に該当するか。〔アクセス制御設定〕 (1) 各部の社員には,自分の所属する部のデータベースの読み書きを許可する。 (2) 技術部のデータベースは,開発部の社員に読出しを許可する。 (3) 検査部のデータベースは,技術部と開発部の社員に読出しを許可する。

A部：検査部　B部：開発部　C部：技術部

バイオメトリクス認証には身体的特徴を抽出して認証する方式と行動的特徴を抽出して認証する方式がある。行動的特徴を用いているものはどれか。

署名するときの速度や筆圧から特徴を抽出して認証する。

バイオメトリクス認証の例として,適切なものはどれか。

タッチペンなどを用いて署名する際の筆跡や筆圧など,動作の特徴を読み取ることによって認証する。

チャレンジレスポンス認証方式に該当するものはどれか

利用者が入力したパスワードと,サーバから受け取ったランダムなデータとをクライアントで演算し,その結果をサーバに送信する。

デジタル署名やブロックチェーンなどで利用されているハッシュ関数の特徴に関する,次の記述中のa,bに入れる字句の適切な組合せはどれか。ハッシュ関数によって,同じデータは, Ⓐハッシュ値に変換され,変換後のハッシュ値から元のデータを復元することが Ⓑ。

A：常に同じ　B：できない

リスクベース認証の特徴はどれか。

普段と異なる利用条件でのアクセスと判断した場合には,追加の本人認証をすることによって,不正アクセスに対する安全性を高める。

S/KEYワンタイムパスワードに関する記述のうち,適切なものはどれか。

サーバはクライアントから送られた使い捨てパスワードを演算し,サーバで記憶している前回の使い捨てパスワードと比較することによって,クライアントを認証する。

ワンタイムパスワードに関する記述中のa,bに入れる字句の適切な組合せはどれか。利用者は,トークンと呼ばれる装置などを用いて生成された Ⓐのパスワードを使って認証を受ける。このパスワードをワンタイムパスワードと呼び,これを利用することで,パスワードの漏えいによる Ⓑのリスクを低減することができる。

A：使い捨て　B：なりすまし

コンピュータの内部時計を,基準になる時刻情報をもつサーバとネットワークを介して同期させるときに用いられるプロトコルはどれか。

NTP

利用者が,トークンと呼ばれる装置などで生成した毎回異なる情報を用いて,認証を受ける認証方式を何というか

ワンタイムパスワード

リバースブルートフォース攻撃に該当するものはどれか。

パスワードを一つ選び,利用者IDとして次々に文字列を用意して総当たりにログインを試行する。

2要素認証に該当する組はどれか。

ICカード認証,指紋認証

二要素認証の説明として,最も適切なものはどれか。

所有物,記憶及び生体情報の3種類のうちの2種類を使用して認証する方式

デジタル署名における署名鍵の用い方と,デジタル署名を行う目的のうち,適切なものはどれか。

送信者が署名鍵を使って署名を作成し,それをメッセージに付加することによって,受信者が送信者を確認できるようにする。

XMLデジタル署名の特徴のうち,適切なものはどれか。

XML文書中の,指定したエレメントに対してデタッチ署名(Detached Signature)することができる。

デジタル署名に関する記述のうち,適切なものはどれか。

データの改ざんが検知できる。

デジタル署名などに用いるハッシュ関数の特徴はどれか。

メッセージダイジェストからメッセージを復元することは困難である。

PKIにおけるCA(Certificate Authority)の役割に関する記述として,適切なものはどれか。

利用者の公開鍵に対する公開鍵証明書の発行や失効を行い,鍵の正当性を保証する。

何らかの理由で有効期間中に失効したデジタル証明書の一覧を示すデータはどれか。

CRL

PKIを構成するOCSPを利用する目的はどれか。

デジタル証明書の失効情報を問い合わせる。

Ａ～Ｄのうち、リスクアセスメントプロセスのリスク特定において特定する対象だけをすべて挙げたものはどれか「特定する対象」Ａ：リスク対応にかかる費用Ｂ：リスクによって引き起こされる事象Ｃ：リスクによって引き起こされる事象の原因及び起こりえる結果Ｄ：リスクを顕在化させる可能性を持つリスク源

Ｂ，Ｃ，Ａ

ＪＩＳＱ３１０００：２０１９において、リスクマネジメントは、リスクについて組織を指揮統制するための調整された活動と定義されている。そのプロセスを構成する活動の実行順序として、適切なものはどれか

リスク特定→リスク分析→リスク評価→リスク対応

ＪＩＳＱ２７００１：２０２３（上布セキュリティマネジメントシステムー要求事項）において、リスクを受容するプロセスに求められるものはどれか

受容するリスクについては、リスク所有者が承認すること

リスク対応のうち、リスクの回避に該当するものはどれか

リスクレベルが大きいと評価した情報システムを用いるサービスの提供をやめる

リスクアセスメントに関する記述のうち,適切なものはどれか。

損失額と発生確率の予測に基づくリスクの大きさに従うなどの方法で,対応の優先順位を付ける。

リスクアセスメントを三つのプロセスに分けるとすると,リスクの特定,リスクの評価ともう一つはどれか。

リスクの分析

情報セキュリティにおけるリスクアセスメントを,リスク特定,リスク分析,リスク評価の三つのプロセスに分けたとき,リスク分析に関する記述として,最も適切なものはどれか。

受容基準と比較できるように,各リスクのレベルを決定する必要がある。

a~dのうち,リスクアセスメントプロセスのリスク特定において特定する対象だけを全て挙げたものはどれか。〔特定する対象〕 a.リスク対応に掛かる費用 b.リスクによって引き起こされる事象 c.リスクによって引き起こされる事象の原因及び起こり得る結果 d.リスクを顕在化させる可能性をもつリスク源

b,c,d

情報セキュリティの三大要素である機密性,完全性及び可用性に関する記述のうち,最も適切なものはどれか。

機密性と可用性は互いに反する側面をもっているので,実際の運用では両者をバランスよく確保することが求められる

情報セキュリティのリスクマネジメントにおけるリスク対応を, リスク回避,リスク共有,リスク低減及びリスク保有の四つに分類するとき,情報漏えい発生時の損害に備えてサイバー保険に入ることはどれに分類されるか。

リスク共有

ISMSにおけるリスク分析手法の一つである"詳細リスク分析"で行う作業はどれか。

リスクの評価

情報セキュリティのリスクマネジメントにおいて, リスク移転,リスク回避,リスク低減, リスク保有などが分類に用いられることがある。これらに関する記述として,適切なものはどれか。

リスク対応において,リスクへの対応策を分類したものであり,リスクの顕在化に備えて保険を掛けることはリスク移転に分類される。

リスク対応のうち,リスクファイナンシングに該当するものはどれか。

システムが被害を受けるリスクを想定して,保険を掛ける。

リスクが顕在化しても,その影響が小さいと想定されるので,損害の負担を受容するリスク対応はどれか。

リスク保有

企業活動におけるBCPを説明したものはどれか。

災害やシステム障害など予期せぬ事態が発生した場合でも,重要な業務の継続を可能とするために事前に策定される行動計画のこと

100

地震,洪水といった自然災害,テロ行為といった人為災害などによって企業の業務が停止した場合,顧客や取引先の業務にも重大な影響を与えることがある。こうした事象の発生を想定して,製造業のX社は次の対策を採ることにした。対策aとbに該当する用語の組合せはどれか。

ア

情報のCIA

平川巧真 · 24問 · 1年前

情報のCIA