8章

86問 • 3年前

隣の芝生

通報

問題一覧

情報セキュリティマネジメントの国際規格

ISO/IEC27000シリーズ

情報セキュリティの三要素

機密性, 可用性, 完全性

情報セキュリティの三要素以外に加える要素

真正性, 信頼性, 責任追跡性, 否認防止

資産として価値のある情報のこと

情報資産

情報資産に対して攻撃や危害を加えて、業務遂行に好ましくない影響を与える原因となるもの

脅威

情報資産や管理策に内在している弱点

脆弱性

組織の情報資産の脆弱性を突く脅威によって、組織が損失を被る可能性

リスク

リスクを組織的に管理すること

リスクマネジメント

リスクを分析・評価して、リスク受容基準に照らして対応が必要かどうかを判断していくこと

リスクアセスメント

リスクアセスメントが行うプロセスを順3つ選択

リスク特定, リスク分析, リスク評価

リスク評価を受け、実際にどのようなリスク対応を選択するかを決定すること

リスク対応

リスク対応で、リスクの発生確率や大きさを小さくする方法

リスクコントロール

リスク対応で、損失を補填するために金銭的な手当てをする方法

リスクファイナンシング

リスク対応に含まれる機能

リスク軽減, リスク回避, リスク移転, リスク保有

特定の業務が停止・中断した場合に、事業全体に与える影響度を分析・評価すること

ビジネスインパクト分析

情報セキュリティを確保するための方針や体制、対策等を包括的に定めた文書のこと

情報セキュリティポリシ

組織のトップが、情報セキュリティに対する考え方や取り組む姿勢を組織内外に宣言すること

情報セキュリティ基本方針

情報セキュリティマネジメントの基本的な枠組みと具体的な管理項目が規定されているもの

情報セキュリティ管理基準

組織で扱う個人情報の扱い方

プライバシポリシ

企業や宮内庁などに設けるセキュリティ対策チームのこと

CSIRT

ISMS認定基準の評価事項に適合していることを特定の第三者が審査して認定する制度

ISMS適合評価制度

ISMSの規格となっているもの

JIS Q 27000

災害による機器の故障、侵入者による物理的破壊や妨害行為などによる脅威

物理的脅威

操作ミス・紛失・内部関係者による不正使用・怠慢など、人による脅威のこと

人的脅威

人の心理の隙をついて機密情報を入手すること

ソーシャルエンジニアリング

不正行為には機会・動機・正当化の三つの条件がそろったときに行われるという理論

不正のトライアングル理論

不正のトライアングル理論に対する実施者と承認者を別の人にするという対策

職務分掌

コンピュータウイルスやサイバー攻撃などのIT技術を使った脅威

技術的脅威

悪意をもって作成された不正なプログラムの総称

マルウェア

マルウェアの種類の穴埋め(上から順に)

コンピュータウイルス, マクロウイルス, ワーム, ボット, トロイの木馬, スパイウェア, ランサムウェア, キーロガー, ルートキット

個人的に所有するPCやスマートフォンなどの情報端末を業務に利用すること

BYOD

社員などに貸与するスマートフォンの設定やアプリケーションを一元管理する仕組み

MDM

マルウェアを検知して、コンピュータを脅威から守り、安全性を高めるソフトウェアの総称

ウイルス対策ソフト

ウイルス対策ソフトの既知ウイルスのシグネスチャコードを記録したファイル

ウイルス定義ファイル

ウイルス対策ソフトの種類の穴埋め(上から順に)

パターンマッチング方式, ビヘイベア方式

OSやソフトウェアに潜むセキュリティ上の脆弱性のこと

セキュリティホール

ベンダから提供されたら迅速に反映させる修正プログラムのこと

セキュリティパッチ

セキュリティパッチがベンダから提供される前に、セキュリティホールを利用する攻撃

ゼロデイ攻撃

インターネットなどを通じてコンピュータシステムに侵入し、情報の盗聴や窃取、データの改ざんや破壊などのクラッキングを行うこと

サイバー攻撃

特定の官公庁や企業など、標的を決めて行われる攻撃

標的型攻撃

標的型攻撃の種類穴埋め(上から順に)

APT攻撃, 水飲み場型攻撃

パスワードを割り出し、解析すること

パスワードクラック

パスワードクラック攻撃の種類穴埋め(上から順に)

辞書攻撃, ブルートフォース攻撃, パスワードリスト攻撃

特定のサーバなどに大量のパケットを送りつけることで想定以上の負荷を与え、サーバの機能を停止させる攻撃

Dos攻撃

複数のコンピュータから一斉に攻撃するDos攻撃の名称

DDos攻撃

Dos攻撃、DDosの攻撃の対策として不正な通信を検知して管理者に通報する(x)と、検知だけでなく遮断まで行う(y)が導入されている

x:IDS y:IPS

脆弱なWebサイトに対して、悪意のあるスクリプトを埋め込んだ入力データを送ることによって、利用者のブラウザで実行させる攻撃

クロスサイトスクリプティング

クロスサイトスクリプティングの対策の1つで有害な入力を無害化する機能(x) (x)の1つとして(y)がある(順に回答)

サニタイジング, エスケープ処理

攻撃者が脆弱のあるWebアプリケーションの入力領域に、悪意のある問合せや、操作を行う命令文を注入することで、管理者の意図していないSQL文を実行させる攻撃

SQLインジェクション

Webアプリケーション専用のファイアウォール

WAF

攻撃者が正規の利用者を装い、情報資産の窃取や不正行為などを行う攻撃

なりすまし

なりすましによる攻撃(上から順に)

セッションハイジャック, DNSキャッシュボイズニング, SEOボイズニング, IPスプーフィング

攻撃者が、パス名を使ってファイルに指定し、管理者の意図していないファイルを不正に閲覧する攻撃

デイレクトリトラバーサル

その他の攻撃(上から順に)

ドライブバイダウンロード, フィッシング, バッファオーバフロー攻撃

解放されている攻撃できそうなサービスがあるかを調査する行為

ポートスキャン

USBメモリのデータを複製したり、ネットワークやサーバの監視をして、コンピュータ犯罪の証拠となる電子データを集め、解析すること

ディジタルフォレンジクス

人が容易に解読できる平文を暗号化アルゴリズムと暗号化鍵を使って、容易に解読できない暗号文に変換すること

暗号化

暗号化と復合鍵が共通の暗号方式

共通鍵暗号方式

共通鍵暗号方式の別名

秘密鍵暗号方式

共通鍵暗号方式の特徴

第三者に知られることなく、安全に相手に鍵を配布する必要がある, 通信相手ごとに鍵を作成する必要があるため、鍵の管理が煩雑になる, 暗号化や複合にかかる時間が小さく、処理が速い, 次世代暗号方式として規格されたAESがある

暗号化鍵と復号鍵が異なる暗号方式

公開鍵暗号方式

公開鍵暗号方式の特徴

一方の鍵を公開するため、鍵の配布や管理が容易, 暗号化や複合の処理にかかる負担が大きく、処理が遅い, 非常に大きな数を素因数分解することが困難なことを利用したRSA、短い鍵長で同等の安全性を提供できる楕円曲線暗号がある

送信者が本人であるか確認できるのと同時に電子文書の内容が改ざんされていないことを受信者が確認できる仕組み（別名電子署名）

ディジタル署名

ハッシュ関数を使用して、電子文書から文字列（ハッシュ値、またはメッセージダイジェスト）を作成すること

ハッシュ化

代表的なハッシュ関数の総称でもある（ｘ）に入る文字（256ビットの（ｘ）-256、512ビットの（ｘ）-512など）

SHA

取引当事者から独立した信頼できる第三者機関のこと

認証局

インターネット上で安全な通信ができるセキュリティ基盤のこと

PKI

共通鍵を用いて、メッセージの改ざんされてないことを確認する仕組み

メッセージ認証

メッセージ認証の送信者側の処理において、ハッシュ関数を用いて何を作成するか

メッセージ認証コード

インターネット上での通信を暗号化して、盗聴や改ざんを防ぐ仕組み

SSL

SSLの暗号通信をHTTPに実装したもの

HTTPS

SSLをベースに標準化したもの

TLS

共通鍵暗号方式と公開鍵暗号方式の両者の特徴を組み合わせた方式

ハイブリッド方式

PCの起動時にOSやドライバの署名を確認することで、OS起動前のマルウェアの実行を防ぐ仕組み

セキュアブート

利用者が使用することを許可されている本人であるかを確認すること（別名ユーザ認証）

利用者認証

真の利用者だけが知っている知識情報や所持情報、生体情報による認証の名称

多要素認証

二つの認証を組み合わせること

2要素認証

一回限りのパスワードの名称

ワンタイムパスワード

身体的な特徴を使った認証と行動的な特徴を使った認証を併せ持つ認証システム（別名生体認証）

バイオメトリクス認証

ゆがめたり一部を隠したりした画像から文字を判読させて入力させること

CAPTCHA

ネットワーク上にパスワードを流すことなく認証する方法。利用者が入力したパスワードと、サーバから送られてきたランダムな文字列（チャレンジ）とを端末側でハッシュ演算し、その結果（レスポンス）をサーバに送信して認証するもの

チャレンジレスポンス認証

通信通過の可否を判断して、外部からの不正アクセスを防止する仕組み

ファイアウォール

パケットのヘッダで判断し、通信通過の可否を決定する方式、ファイアウォールの仕組みの１つ

パケットフィルタリング方式

外部サーバと通信する場合、中継役となり、クライアントの代わりに外部サーバに接続するサーバ（別名代理サーバ）

プロキシサーバ

インターネットの外部ネットワークと企業などの内部ネットワークの両方から隔離されたセグメント（地域）のこと

DMZ

セキュリティ対策(上から順に)

UTM, SIEM, ペネトレーションテスト, ファジング

7章

7章

FE 第6章　データベース

FE 第6章　データベース

FE 第5章　システム構成

FE 第5章　システム構成

10章

10章

9章

9章

法学憲法４回目

法学憲法４回目

11章

11章

FE 第3章　基礎理論

FE 第3章　基礎理論

FE 第4章　アルゴリズムとプログラミング

隣の芝生 · 48問 · 3年前

FE 第4章　アルゴリズムとプログラミング

48問 • 3年前

隣の芝生

FE 第2章　ソフトウェアとマルチメディア

隣の芝生 · 37問 · 3年前

FE 第2章　ソフトウェアとマルチメディア

FE 第1章コンピュータ構成要素

FE 第1章コンピュータ構成要素

9章

9章

9章

9章

シス魂　けいさん

シス魂　けいさん

コンシス

コンシス

ネットワーク基礎-確認テストより-

ネットワーク基礎-確認テストより-

7章

7章

7章

7章

9章

9章

11章

11章

9章

9章

10章

10章

8章

8章

9章

9章

9章

9章

9章

9章

9章

9章

シス魂　けいさん

シス魂　けいさん

11章

11章

9章

9章

コンシス

コンシス

8章

8章

ネットワーク基礎-確認テストより-

ネットワーク基礎-確認テストより-

9章

9章

11章

11章

9章

9章

プログラミング

プログラミング

シス魂　けいさん

シス魂　けいさん

プログラミング＿前期期末

プログラミング＿前期期末

8章

8章

コンシス

コンシス

コンシス

コンシス

ネットワーク基礎-確認テストより-

ネットワーク基礎-確認テストより-

8章

8章

7章

7章

法学憲法2回目

法学憲法2回目

無線技術特論B

無線技術特論B

技術者倫理

技術者倫理

無限C

無限C

問題一覧

情報セキュリティマネジメントの国際規格

ISO/IEC27000シリーズ

情報セキュリティの三要素

機密性, 可用性, 完全性

情報セキュリティの三要素以外に加える要素

真正性, 信頼性, 責任追跡性, 否認防止

資産として価値のある情報のこと

情報資産

情報資産に対して攻撃や危害を加えて、業務遂行に好ましくない影響を与える原因となるもの

脅威

情報資産や管理策に内在している弱点

脆弱性

組織の情報資産の脆弱性を突く脅威によって、組織が損失を被る可能性

リスク

リスクを組織的に管理すること

リスクマネジメント

リスクを分析・評価して、リスク受容基準に照らして対応が必要かどうかを判断していくこと

リスクアセスメント

リスクアセスメントが行うプロセスを順3つ選択

リスク特定, リスク分析, リスク評価

リスク評価を受け、実際にどのようなリスク対応を選択するかを決定すること

リスク対応

リスク対応で、リスクの発生確率や大きさを小さくする方法

リスクコントロール

リスク対応で、損失を補填するために金銭的な手当てをする方法

リスクファイナンシング

リスク対応に含まれる機能

リスク軽減, リスク回避, リスク移転, リスク保有

特定の業務が停止・中断した場合に、事業全体に与える影響度を分析・評価すること

ビジネスインパクト分析

情報セキュリティを確保するための方針や体制、対策等を包括的に定めた文書のこと

情報セキュリティポリシ

組織のトップが、情報セキュリティに対する考え方や取り組む姿勢を組織内外に宣言すること

情報セキュリティ基本方針

情報セキュリティマネジメントの基本的な枠組みと具体的な管理項目が規定されているもの

情報セキュリティ管理基準

組織で扱う個人情報の扱い方

プライバシポリシ

企業や宮内庁などに設けるセキュリティ対策チームのこと

CSIRT

ISMS認定基準の評価事項に適合していることを特定の第三者が審査して認定する制度

ISMS適合評価制度

ISMSの規格となっているもの

JIS Q 27000

災害による機器の故障、侵入者による物理的破壊や妨害行為などによる脅威

物理的脅威

操作ミス・紛失・内部関係者による不正使用・怠慢など、人による脅威のこと

人的脅威

人の心理の隙をついて機密情報を入手すること

ソーシャルエンジニアリング

不正行為には機会・動機・正当化の三つの条件がそろったときに行われるという理論

不正のトライアングル理論

不正のトライアングル理論に対する実施者と承認者を別の人にするという対策

職務分掌

コンピュータウイルスやサイバー攻撃などのIT技術を使った脅威

技術的脅威

悪意をもって作成された不正なプログラムの総称

マルウェア

マルウェアの種類の穴埋め(上から順に)

コンピュータウイルス, マクロウイルス, ワーム, ボット, トロイの木馬, スパイウェア, ランサムウェア, キーロガー, ルートキット

個人的に所有するPCやスマートフォンなどの情報端末を業務に利用すること

BYOD

社員などに貸与するスマートフォンの設定やアプリケーションを一元管理する仕組み

MDM

マルウェアを検知して、コンピュータを脅威から守り、安全性を高めるソフトウェアの総称

ウイルス対策ソフト

ウイルス対策ソフトの既知ウイルスのシグネスチャコードを記録したファイル

ウイルス定義ファイル

ウイルス対策ソフトの種類の穴埋め(上から順に)

パターンマッチング方式, ビヘイベア方式

OSやソフトウェアに潜むセキュリティ上の脆弱性のこと

セキュリティホール

ベンダから提供されたら迅速に反映させる修正プログラムのこと

セキュリティパッチ

セキュリティパッチがベンダから提供される前に、セキュリティホールを利用する攻撃

ゼロデイ攻撃

インターネットなどを通じてコンピュータシステムに侵入し、情報の盗聴や窃取、データの改ざんや破壊などのクラッキングを行うこと

サイバー攻撃

特定の官公庁や企業など、標的を決めて行われる攻撃

標的型攻撃

標的型攻撃の種類穴埋め(上から順に)

APT攻撃, 水飲み場型攻撃

パスワードを割り出し、解析すること

パスワードクラック

パスワードクラック攻撃の種類穴埋め(上から順に)

辞書攻撃, ブルートフォース攻撃, パスワードリスト攻撃

特定のサーバなどに大量のパケットを送りつけることで想定以上の負荷を与え、サーバの機能を停止させる攻撃

Dos攻撃

複数のコンピュータから一斉に攻撃するDos攻撃の名称

DDos攻撃

Dos攻撃、DDosの攻撃の対策として不正な通信を検知して管理者に通報する(x)と、検知だけでなく遮断まで行う(y)が導入されている

x:IDS y:IPS

脆弱なWebサイトに対して、悪意のあるスクリプトを埋め込んだ入力データを送ることによって、利用者のブラウザで実行させる攻撃

クロスサイトスクリプティング

クロスサイトスクリプティングの対策の1つで有害な入力を無害化する機能(x) (x)の1つとして(y)がある(順に回答)

サニタイジング, エスケープ処理

SQLインジェクション

Webアプリケーション専用のファイアウォール

WAF

攻撃者が正規の利用者を装い、情報資産の窃取や不正行為などを行う攻撃

なりすまし

なりすましによる攻撃(上から順に)

セッションハイジャック, DNSキャッシュボイズニング, SEOボイズニング, IPスプーフィング

攻撃者が、パス名を使ってファイルに指定し、管理者の意図していないファイルを不正に閲覧する攻撃

デイレクトリトラバーサル

その他の攻撃(上から順に)

ドライブバイダウンロード, フィッシング, バッファオーバフロー攻撃

解放されている攻撃できそうなサービスがあるかを調査する行為

ポートスキャン

USBメモリのデータを複製したり、ネットワークやサーバの監視をして、コンピュータ犯罪の証拠となる電子データを集め、解析すること

ディジタルフォレンジクス

人が容易に解読できる平文を暗号化アルゴリズムと暗号化鍵を使って、容易に解読できない暗号文に変換すること

暗号化

暗号化と復合鍵が共通の暗号方式

共通鍵暗号方式

共通鍵暗号方式の別名

秘密鍵暗号方式

共通鍵暗号方式の特徴

暗号化鍵と復号鍵が異なる暗号方式

公開鍵暗号方式

公開鍵暗号方式の特徴

送信者が本人であるか確認できるのと同時に電子文書の内容が改ざんされていないことを受信者が確認できる仕組み（別名電子署名）

ディジタル署名

ハッシュ関数を使用して、電子文書から文字列（ハッシュ値、またはメッセージダイジェスト）を作成すること

ハッシュ化

代表的なハッシュ関数の総称でもある（ｘ）に入る文字（256ビットの（ｘ）-256、512ビットの（ｘ）-512など）

SHA

取引当事者から独立した信頼できる第三者機関のこと

認証局

インターネット上で安全な通信ができるセキュリティ基盤のこと

PKI

共通鍵を用いて、メッセージの改ざんされてないことを確認する仕組み

メッセージ認証

メッセージ認証の送信者側の処理において、ハッシュ関数を用いて何を作成するか

メッセージ認証コード

インターネット上での通信を暗号化して、盗聴や改ざんを防ぐ仕組み

SSL

SSLの暗号通信をHTTPに実装したもの

HTTPS

SSLをベースに標準化したもの

TLS

共通鍵暗号方式と公開鍵暗号方式の両者の特徴を組み合わせた方式

ハイブリッド方式

PCの起動時にOSやドライバの署名を確認することで、OS起動前のマルウェアの実行を防ぐ仕組み

セキュアブート

利用者が使用することを許可されている本人であるかを確認すること（別名ユーザ認証）

利用者認証

真の利用者だけが知っている知識情報や所持情報、生体情報による認証の名称

多要素認証

二つの認証を組み合わせること

2要素認証

一回限りのパスワードの名称

ワンタイムパスワード

身体的な特徴を使った認証と行動的な特徴を使った認証を併せ持つ認証システム（別名生体認証）

バイオメトリクス認証

ゆがめたり一部を隠したりした画像から文字を判読させて入力させること

CAPTCHA

チャレンジレスポンス認証

通信通過の可否を判断して、外部からの不正アクセスを防止する仕組み

ファイアウォール

パケットのヘッダで判断し、通信通過の可否を決定する方式、ファイアウォールの仕組みの１つ

パケットフィルタリング方式

外部サーバと通信する場合、中継役となり、クライアントの代わりに外部サーバに接続するサーバ（別名代理サーバ）

プロキシサーバ

インターネットの外部ネットワークと企業などの内部ネットワークの両方から隔離されたセグメント（地域）のこと

DMZ

セキュリティ対策(上から順に)

UTM, SIEM, ペネトレーションテスト, ファジング