【第８章】情報セキュリティ

65問 • 4ヶ月前

問題一覧

情報セキュリティで維持する特性について、下記に当てはまる言葉を順に答えよ。（①）性：認可された者だけが情報を使用できる（②）性：情報が正確・完全である（③）性：必要な時にいつでも情報を使用できる（④）性：主張するとおりの本物である（⑤）性：意図したとおりの結果が得られる（⑥）性：後で追跡できる（⑦）：後で否定されない

機密, 完全, 可用, 真正, 信頼, 責任追跡, 否認防止

システムの企画設計段階から情報セキュリティ対策を組み込む考え方。

セキュリティバイデザイン

リスクアセスメントについて、下記に当てはまる言葉を順に答えよ。リスク（①）：組織に存在するリスクを洗い出すリスク（②）：発生確率と影響度からリスクレベルを算定するリスク（③）：リスクレベルとリスク受容基準を比較して、リスク対策が必要かを判断し優先順位をつける

特定, 分析, 評価

リスクについて、実際にどのような対応を選択するか決定すること。

リスク対応

リスクの発生確率や大きさを小さくすること。

リスクコントロール

リスクの金銭的な手当てをすること。

リスクファイナシング

下記に当てはまる言葉を順に答えよ。リスク（①）：リスクの損失額や発生確率を縮小リスク（②）：リスクの原因を除去リスク（③）：リスクを第三者へ移転・転嫁（第三者と共有）リスク（④）：許容範囲として保有・受容

軽減, 回避, 移転, 保有

情報セキュリティポリシーは情報セキュリティを確保するための方針や体制、対策等を包括的に定めた文書である。情報セキュリティポリシーを構成する三つの要素を挙げよ。

基本方針, 対策基準, 実施手順

情報セキュリティマネジメントの基本的な枠組みと具体的な管理項目が規定されている。

情報セキュリティ管理基準

企業や官公庁などに設けるセキュリティ対策チームのこと。

CSIRT

不正行為が行われるという三つの条件を挙げよ。これら三つを不正のトライアングル理論という。

機会, 動機, 正当化

自己伝染・潜伏・発病のうち、一つ以上の機能で意図的に何らかの被害を及ぼすマルウェア。

コンピュータウイルス

ワープロソフトや表計算ソフトなどのマクロ機能を悪用するマルウェア。

マクロウイルス

ネットワークなどを媒介として、自ら感染を広げる自己増殖機能をもつマルウェア。

ワーム

PCをネットワークを通じて外部から操るマルウェア。外部から悪意のある命令を出すサーバをC＆Cサーバという。

ボット

有益なソフトウェアと見せかけて悪意の後、悪意のある動作をするマルウェア。

トロイの木馬

利用者の個人情報やアクセス履歴などの情報を収集するマルウェア。

スパイウェア

勝手にPCのファイルを暗号化して読めなくし、戻す対価として金銭を要求するマルウェア。WORM機能のある媒体へのバックアップで対策。

ランサムウェア

キーボードの入力履歴を不正に記録し、利用者IDやパスワードを盗み出す。

キーロガー

ルートキット（侵入するための裏口のアクセス経路）を作り、侵入の痕跡を隠ぺいするなどの機能を持つ不正なプログラム。

バックドア

社員が許可を得て私物のPCやスマートフォンなどの情報端末を業務に利用すること。

BYOD

社員が許可を得ずに私物の端末やクラウドサービスを業務に使うこと。

シャドーIT

企業が社員などに貸与するスマートフォンの設定やアプリケーションを一元管理する仕組み。

MDM

マルウェアを検知してコンピュータを脅威から守り、安全性を高めるソフトウェアの総称。

ウイルス対策ソフト

ウイルス対策のウイルス検出手法のひとつ。検査対象と既知ウイルスのシグネチャコードと比較して、ウイルスを検出する方式。

パターンマッチング方式

ウイルス対策のウイルス検出手法のひとつ。仮想環境で実際に検査対象を実行して、その挙動を監視する方式。

ビヘイビア方式

OSやソフトウェアに潜むセキュリティ上の脆弱性のこと。

セキュリティホール

ベンダから提供される前に、セキュリティホールを突く攻撃。

ゼロデイ攻撃

有害なのに無害と判断すること。

フォールスネガティブ

インターネットなどを通じてコンピュータシステムに侵入し、クラッキングを行うこと。

サイバー攻撃

特定の官公庁や企業など、標的を決めて行われる攻撃。

標的型攻撃

特定の組織を標的に、複数の手法を組み合わせて気付かれないよう執ように攻撃を繰り返す。

APT

特定の組織によく利用される企業などの Webサイトにウイルスを仕込み感染させる。

水飲み場型攻撃

パスワードを割り出すこと。

パスワードクラック

辞書にある単語やその組合せをパスワードとして、ログインを試行すること。

辞書攻撃

英数字などを組み合わせたパスワードを総当たりして、ログインを試行すること。

ブルートフォース攻撃

よく用いられるパスワードを一つ定め、文字を組み合わせた利用者IDを総当たりして、ログインを試行すること。

リバースブルートフォース攻撃

不正に取得した他サイトの利用者IDとパスワードの一覧表で、ログインを試行すること。

パスワードリスト

特定のサーバなどに大量のパケットを送りつけることで想定以上の負荷を与え、サーバの機能を停止させる攻撃。

DoS攻撃

DoS攻撃やDDoS攻撃の対策法を二つ挙げよ。【ヒント】・不正な通信を検知して管理者に通報する・検知だけでなく遮断まで行う

IDS, IPS

脆弱なWebサイトに対して、有害な文字列を送ることで、利用者のブラウザで実行させる攻撃。

クロスサイトスクリプティング

クロスサイトスクリプティングの対策として行う手法。有害な入力を無害化する。

サニタイジング

脆弱なWebアプリケーションの入力領域に，悪意のある問合せや操作を行う命令文を注入することで、管理者が意図しないSQL文を実行させる攻撃。

SQLインジェクション

SQLの命令と解釈されることを防ぐために使う。

プレースホルダ

パス名を使ってファイルを指定し、不正に閲覧する攻撃。

ディレクトリトラバーサル

Webサーバ上で不正にOSコマンドを実行する攻撃。

OSコマンドインジェクション

利用者とWebサイト間の一連の通信を乗っ取り、正規の利用者になりすます攻撃。

セッションハイジャック

PCが参照するDNSサーバに偽のドメイン情報を注入し、利用者を装されたサーバに誘導する攻撃。

DNSキャッシュポイズニング

検索サイトの順位付けアルゴリズムを悪用し、悪意のあるWebサイトが、検索結果の上位に表示されるようにする攻撃。

SEOポイズニング

送信元IPアドレスを詐称して、標的のネットワーク上のホストになりすまして接続する攻撃。

IPスプーフィング

公衆無線LANになりすまし、偽のアクセスポイントに誘導する攻撃。

EvilTwins攻撃

Webサイトを開覧したときに、PCにマルウェアをダウンロード・感染させる攻撃。

ドライブバイダウンロード

電子メールを迷し、偽のWebサイトにアクセスさせ。個人情報をだまし取る攻撃。

フィッシング

入力用のデータ領域を超えるサイズのデータを入力することで、想定外の動作をさせる攻撃。

バッファオーバーフロー

罠サイト上に著名なサイトのボタンを透明化して配置し、意図しない操作をさせる攻撃。

クリックジャッキング

Webページなどに、アクセス動向などを収集するために埋め込まれた利用者には見えない小さな画像。

Webビーコン

サイバー攻撃の前に情報収集すること。

フットプリンティング

フットプリンティングのうち、サーバの各ポートの応答からOSのバージョンなどの情報を調査する行為。

ポートスキャン

コンピュータ犯罪の証拠となる電子データを集め、解析すること。

デジタルフォレンジックス

ネットワーク経由のデータの送受信での脅威を三つ挙げよ。

盗聴, なりすまし, 改ざん

共通鍵暗号方式の特徴について、下記に当てはまる言葉を順に答えよ。＊暗号鍵と複合鍵は（①）＊鍵の配布と管理が（②）＊共通の（③）鍵で暗号化して、共通の（④）鍵で復号する＊暗号化 / 復号の処理が（⑤）＊代表例は（⑥）

共通, 煩雑, 秘密, 秘密, 速い, AES

公開鍵暗号方式の特徴について、下記に当てはまる言葉を順に答えよ。＊暗号鍵と複合鍵は（①）＊鍵の配布と管理が（②）＊（③）者の（④）鍵で暗号化して、（⑤）者の（⑥）鍵で復号する＊暗号化 / 復号の処理が（⑦）＊代表例は楕円曲線暗号・（⑧）

異なる, 容易, 受信, 公開, 受信, 秘密, 遅い, RSA

「電子文書の作成者が本人であるかを受信者が確認できる」「電子文書の内容が改ざんされていないことを受信者が確認できる」仕組みのこと。

デジタル署名

デジタル署名の検証方法について、下記に当てはまる言葉を順に答えよ。デジタル署名は、「（①）者の（②）鍵」で署名し、対となる「（③）者の（④）鍵」で検証する。

送信, 秘密, 送信, 公開

データを固定長のブロックに分割して、それぞれ個別に暗号化すること。

ブロック暗号方式

【第１章】コンピュータ構成要素

Yua · 82問 · 4ヶ月前