ITパスポート

86問 • 2年前

ユーザ名非公開

通報

問題一覧

不正を実施できる状態にあり、それが発見されにくい状態である。

機会

不正を起こす動機であること。

動機

不正をしても仕方ないと正当化すること

正当化

ネットワークでつながれたサーバーに対して、一斉にアクセスして負荷をかけてサービスを提供できない状態にすること

DDoS攻撃

DDoS攻撃のツールとして（　　）が使われることが多い

BOT

悪意のある第三者が有名企業などになりすまし、利用者に個人情報を入力させることで、個人情報を盗み出す犯罪行為

フィッシング詐欺

Web上で提供されている電子掲示板などに、Web上で動作するJavaScriptなどのプログラミング言語で悪意のあるプログラムを書き込んで公開し、そのページを開いた利用者が被害を受けること

クロスサイトスクリプティング

Webアプリケーションの脆弱性を悪用する攻撃手法の一種。利用者を装ってログイン中のWebサイトに対して内容の変更などをされてしまう

クロスサイトリクエストフォージェリ

透明なページを重ねて表示させることで、利用者のクリックを誘う手法

クリックジャッキング

非公開の領域の情報が読まれてしまう攻撃手法

ディレクトリトラバーサル

Webサービスに使われているデータベースから、想定してない情報を引き出されてしまう手口のこと

SQRインジェクション

悪意のあるWebページにアクセスすると、セキュリティホールなどを突かれて、本人の知らないうちに勝手にソフトフェアをダウンロードし、インストールさせる手口

ドライブバイダウンロード

DNSサーバの情報を書き換える攻撃手法

DNSキャッシュポイズニング

標的型攻撃のうち攻撃対象者がよく訪れるWebサイトを調べ、そのサイトを改ざんしら攻撃対象者だけが感染するウイルスを仕込む（　　　）

水飲み場型攻撃

複数回のメールのやり取りを通じて信用させ、マルウェアを仕込んだ添付ファイルを実行させようとする（　　）

やり取り型攻撃

新しいセキュリティホールが発見された、そのセキュリティホールを塞ぐ修正プログラムが提供されるまでのわずかな期間に攻撃されること

ゼロデイ攻撃

ネットワークに接続されているコンピュータのポートに接続を試み、攻撃に使えそうな脆弱性がないかを調べること

ポートスキャン

パスワードラックのうち利用者がパスワードとして使いそうな単語を試すこと

辞書攻撃

パスワードクラックのうち全ての文字列の組み合わせを試すこと

総当たり攻撃

情報資産に対するリスクマネジメントは国際標準化機構（ISO）により標準化されている。これを（　　）という

情報セキュリティマネジメントシステム（ISMS）

ISMSでは、保護すべき情報資産について機密性、完全性、可能性をバランスよく維持しつつ、（　　）を継続的に繰り返すことで情報セキュリティの向上を図る

PDCAサイクル

事業そのものを停止したりして、リスクそのものを起きなくする

リスク回避

リスクが発生する可能性を小さくしたり、発生時の影響を小さくする

リスク低減

リスクを他社に移す（他者と共有する）。リスクに備えて保険に加入するなど。

リスク転移

お互いに相関の低いリスクを組み合わせ、全体のリスクを軽減させること

リスク分散

なんも対策をとらずにリスクをそのままにする

リスク保有

許可されてる人に限定して情報資産を利用させる

機密性

情報資産は正確なものであり、正確さが損なわれないようにする

完全性

情報資源を管理しすぎて利用できなくなることを防ぎ、利便性にも配慮した管理を行う

可用性

利用者の身元が正しいことを保証する

真正性

誰がいつ、どのような操作をしたか後で追跡できる

責任追跡性

操作の事実を後で否定されないようにする

否認防止

操作が正常に終了し、異常な結果で終わることがない

信頼性

PDCAサイクルとは、情報資産のリスクを分析して、それに対応するためのPlan（）をたて、その計画に沿ってDo（　）し、その結果をCheck（　　）し、評価に基づいて計画をAction（　　）する活動を繰り返し行うことである

計画, 実行, 評価, 改善

企業などの組織における情報資産を、どのようなリスクから、どのようにして守るかについて基本的な考え方と、具体的な対策を取りまとめたもの組織内の全員が理解し遵守することが大切

情報セキュリティポリシ

情報セキュリティの目標と、その理由、範囲を示す

情報セキュリティ基本方針

基本方針の目標を受けて、実際に守るべき規定を具体的に記述する

情報セキュリティ対策基準

対策基準で定めた規定を実施するための、詳細な手順を記述する

情報セキュリティ実施手順

情報システムの利用を許可されている人物かを確認し、管理すること

認証

本人を識別する（　）と、本人しか知らない（　　）を組み合わせて認証を行う

ID, パスワード

指紋、虹彩、静脈パターン、声紋などの登録した人体の特徴と一致した場合に可能とする認証方法

生体認証

使い捨てパスワードともいい、一度使用したパスワードは使用できないようにしたもの

ワンタイムパスワード

出先から自社システムにアクセスする場合、自社のネットワークに接続した後接続を中断して、会社側から登録されている電話番号にかけ直す仕組み

コールバック

携帯端末あてに送信されたSMSに書かれている確認コードを入力して認証を行う

SMS認証

生体による認証をした後に、知識による認証を行うなど、複数の要素を用いた認証のこと

多要素認証

ファイルやデータベースなどを利用する権限

アクセス権

認証時に本人でないと誤る率

本人拒否率

他人の生体情報で認証した時に本人だと誤る率

他人受入率

一回の認証で複数のサービスを利用できる仕組み

シングルサインオン

LANとインターネットをつなぐ場所に設置し、通過するWeb情報や電子メールの内容を監視し、内容に問題があれば接続を遮断したり、内容を保存するもの

コンテンツフィルタ

外部からの不正なアクセスや、不正データの侵入を防ぐセキュリティ対策用のシステム

ファイアウォール

ネットワーク上を流れるパケットの監視や、サーバが受信したデータやログを調べて、不正侵入の兆候を検知すると管理者へ通知するシステム

IDS

攻撃だと思われる通信を自動的に遮断する機能をIDSに追加したシステム

IPS

Webアプリケーションへの不正な攻撃を防ぐために開発された専用防御ツールでWebサーバを防御する

WAF

受信者が隠さずに公開している（　　）を使って暗号化し、受信者だけが持っている（　　）で複合する方式

公開鍵, 秘密鍵

ネットワーク上を通過するデータは（　　）といい、誰にでも読めてしまう

平文

途中で盗聴されてま内容を理解できないようにすることを（　　）という

暗号化

暗号化されているデータを元の平文に戻すこと

復号

情報の送り手と受け手の両方が同じ鍵を使用し、暗号化した時と同じ鍵で複合する方式

共通鍵暗号方式

紙に署名するように、ディジタル文書に対しての電子的な署名のこと

ディジタル署名

公開鍵基盤（PK）を用いて、なりすましや内容の改ざんがなく本人であることを保証する証明書を第三者機関に発行してもらう必要がある。この証明書を？

ディジタル証明書

証明書を発行する第三者機関のこと

認証局（CA）

何らかの理由で有効期限前に失効となったディジタル証明書のリスト

証明書失効リスト

インターネット上でデータを暗号化して受信する仕組み（プロトコル）のこと

SSL/TLS

電子メールの代表的な暗号方式のこと

S/MIME

暗号化や認証の技術を利用して、安全にネットワーク上の端末をリモートコントロールするためのプロトコル

SSH

システム開発の企画設計の段階から必要なセキュリティ対策を組み込むこという考え方。事前に対策するという考え方が必要となった。

セキュリティバイデザイン

システム開発の企画設計の段階から個人情報の保護に取り組むという考え方

プライバシーバイデザイン

ネットワーク機器、サーバなどさまざまな、機器にあるらログやイベントデータを一元的に集約し、マルウェアへの感染などを検知する仕組み

SEIM

ファイアウォールにより、外部のインターネットとも内部のLANとも隔離された区画のこと

DMZ

外部から持ち込んだPCを社内ネットワークに接続する前に、ウイルス感染やセキュリティホールが放置されていないかなどを確認するための外部と遮断した専用のネットワーク

検疫ネットワーク

コンピュータに関する科学捜査のことで、不正アクセスや情報漏洩などのコンピュータに関する犯罪が起きた時に、捜査に必要な機器やコンピュータに記録されている電子データを収集・分析して証拠とするための技術

ディジタルフォレンジックス

自社のコンピュータシステムを実際に攻撃して侵入を試みることで、セキュリティ上の弱点を発見するテスト手法

ペネトレーションテスト

取引内容をブロックとしてまとめて記録し、そのブロックをチェーン状につなげていく。改ざんができない仕組み

ブロックチェーン

産業用ロボットや家電製品などに内蔵され、特定機能を持つ組み込みシステムを制御するOSのこと

組み込みLSI

拡張性に富むが、電力消費や発熱が大きく、主に据え置いて使用するPC全体を指す

デスクトップ型PC

大きさや重さにさまざまな形態があり、用途も異なる。A4サイズ以上の製品は画面も広く、周辺機器も充実しており、各部品の性能も高いことが多い。重量もさまざまで携帯に適さないこともある

ノート型PC

画面をタッチしたり、専用のペンで操作したりするコンピュータのこと

タブレット端末

ブラウザを内蔵しインターネットに接続ができる携帯電話の総称

スマートフォン

IC（集積回路）のうち、そしの集積度が1000個〜10万個程度のもの

LSI

情報・通信機器や移動体通信システムを持つ端末の相性

モバイル

スマートフォンやタブレット端末の総称

スマートデバイス

メモリやグラフィック機能が優れている

ゲーム用PC

周辺装置がモニタの裏などに内蔵されている

一体型PC

ディスプレイ上を指でタッチすることで操作ができる

タッチパネル式

コンパクトで携帯可能な情報通信機器のこと。スケジュール管理などのソフトウェア機能を利用できる

PDA

ソフトウェア

ソフトウェア

ソフトウェア2

ソフトウェア2

歴史

歴史

ソフトウェア　期末

ソフトウェア　期末

問題一覧

不正を実施できる状態にあり、それが発見されにくい状態である。

機会

不正を起こす動機であること。

動機

不正をしても仕方ないと正当化すること

正当化

ネットワークでつながれたサーバーに対して、一斉にアクセスして負荷をかけてサービスを提供できない状態にすること

DDoS攻撃

DDoS攻撃のツールとして（　　）が使われることが多い

BOT

悪意のある第三者が有名企業などになりすまし、利用者に個人情報を入力させることで、個人情報を盗み出す犯罪行為

フィッシング詐欺

クロスサイトスクリプティング

Webアプリケーションの脆弱性を悪用する攻撃手法の一種。利用者を装ってログイン中のWebサイトに対して内容の変更などをされてしまう

クロスサイトリクエストフォージェリ

透明なページを重ねて表示させることで、利用者のクリックを誘う手法

クリックジャッキング

非公開の領域の情報が読まれてしまう攻撃手法

ディレクトリトラバーサル

Webサービスに使われているデータベースから、想定してない情報を引き出されてしまう手口のこと

SQRインジェクション

ドライブバイダウンロード

DNSサーバの情報を書き換える攻撃手法

DNSキャッシュポイズニング

標的型攻撃のうち攻撃対象者がよく訪れるWebサイトを調べ、そのサイトを改ざんしら攻撃対象者だけが感染するウイルスを仕込む（　　　）

水飲み場型攻撃

複数回のメールのやり取りを通じて信用させ、マルウェアを仕込んだ添付ファイルを実行させようとする（　　）

やり取り型攻撃

新しいセキュリティホールが発見された、そのセキュリティホールを塞ぐ修正プログラムが提供されるまでのわずかな期間に攻撃されること

ゼロデイ攻撃

ネットワークに接続されているコンピュータのポートに接続を試み、攻撃に使えそうな脆弱性がないかを調べること

ポートスキャン

パスワードラックのうち利用者がパスワードとして使いそうな単語を試すこと

辞書攻撃

パスワードクラックのうち全ての文字列の組み合わせを試すこと

総当たり攻撃

情報資産に対するリスクマネジメントは国際標準化機構（ISO）により標準化されている。これを（　　）という

情報セキュリティマネジメントシステム（ISMS）

PDCAサイクル

事業そのものを停止したりして、リスクそのものを起きなくする

リスク回避

リスクが発生する可能性を小さくしたり、発生時の影響を小さくする

リスク低減

リスクを他社に移す（他者と共有する）。リスクに備えて保険に加入するなど。

リスク転移

お互いに相関の低いリスクを組み合わせ、全体のリスクを軽減させること

リスク分散

なんも対策をとらずにリスクをそのままにする

リスク保有

許可されてる人に限定して情報資産を利用させる

機密性

情報資産は正確なものであり、正確さが損なわれないようにする

完全性

情報資源を管理しすぎて利用できなくなることを防ぎ、利便性にも配慮した管理を行う

可用性

利用者の身元が正しいことを保証する

真正性

誰がいつ、どのような操作をしたか後で追跡できる

責任追跡性

操作の事実を後で否定されないようにする

否認防止

操作が正常に終了し、異常な結果で終わることがない

信頼性

計画, 実行, 評価, 改善

情報セキュリティポリシ

情報セキュリティの目標と、その理由、範囲を示す

情報セキュリティ基本方針

基本方針の目標を受けて、実際に守るべき規定を具体的に記述する

情報セキュリティ対策基準

対策基準で定めた規定を実施するための、詳細な手順を記述する

情報セキュリティ実施手順

情報システムの利用を許可されている人物かを確認し、管理すること

認証

本人を識別する（　）と、本人しか知らない（　　）を組み合わせて認証を行う

ID, パスワード

指紋、虹彩、静脈パターン、声紋などの登録した人体の特徴と一致した場合に可能とする認証方法

生体認証

使い捨てパスワードともいい、一度使用したパスワードは使用できないようにしたもの

ワンタイムパスワード

コールバック

携帯端末あてに送信されたSMSに書かれている確認コードを入力して認証を行う

SMS認証

生体による認証をした後に、知識による認証を行うなど、複数の要素を用いた認証のこと

多要素認証

ファイルやデータベースなどを利用する権限

アクセス権

認証時に本人でないと誤る率

本人拒否率

他人の生体情報で認証した時に本人だと誤る率

他人受入率

一回の認証で複数のサービスを利用できる仕組み

シングルサインオン

コンテンツフィルタ

外部からの不正なアクセスや、不正データの侵入を防ぐセキュリティ対策用のシステム

ファイアウォール

ネットワーク上を流れるパケットの監視や、サーバが受信したデータやログを調べて、不正侵入の兆候を検知すると管理者へ通知するシステム

IDS

攻撃だと思われる通信を自動的に遮断する機能をIDSに追加したシステム

IPS

Webアプリケーションへの不正な攻撃を防ぐために開発された専用防御ツールでWebサーバを防御する

WAF

受信者が隠さずに公開している（　　）を使って暗号化し、受信者だけが持っている（　　）で複合する方式

公開鍵, 秘密鍵

ネットワーク上を通過するデータは（　　）といい、誰にでも読めてしまう

平文

途中で盗聴されてま内容を理解できないようにすることを（　　）という

暗号化

暗号化されているデータを元の平文に戻すこと

復号

情報の送り手と受け手の両方が同じ鍵を使用し、暗号化した時と同じ鍵で複合する方式

共通鍵暗号方式

紙に署名するように、ディジタル文書に対しての電子的な署名のこと

ディジタル署名

ディジタル証明書

証明書を発行する第三者機関のこと

認証局（CA）

何らかの理由で有効期限前に失効となったディジタル証明書のリスト

証明書失効リスト

インターネット上でデータを暗号化して受信する仕組み（プロトコル）のこと

SSL/TLS

電子メールの代表的な暗号方式のこと

S/MIME

暗号化や認証の技術を利用して、安全にネットワーク上の端末をリモートコントロールするためのプロトコル

SSH

システム開発の企画設計の段階から必要なセキュリティ対策を組み込むこという考え方。事前に対策するという考え方が必要となった。

セキュリティバイデザイン

システム開発の企画設計の段階から個人情報の保護に取り組むという考え方

プライバシーバイデザイン

ネットワーク機器、サーバなどさまざまな、機器にあるらログやイベントデータを一元的に集約し、マルウェアへの感染などを検知する仕組み

SEIM

ファイアウォールにより、外部のインターネットとも内部のLANとも隔離された区画のこと

DMZ

検疫ネットワーク

ディジタルフォレンジックス

自社のコンピュータシステムを実際に攻撃して侵入を試みることで、セキュリティ上の弱点を発見するテスト手法

ペネトレーションテスト

取引内容をブロックとしてまとめて記録し、そのブロックをチェーン状につなげていく。改ざんができない仕組み

ブロックチェーン

産業用ロボットや家電製品などに内蔵され、特定機能を持つ組み込みシステムを制御するOSのこと

組み込みLSI

拡張性に富むが、電力消費や発熱が大きく、主に据え置いて使用するPC全体を指す

デスクトップ型PC

ノート型PC

画面をタッチしたり、専用のペンで操作したりするコンピュータのこと

タブレット端末

ブラウザを内蔵しインターネットに接続ができる携帯電話の総称

スマートフォン

IC（集積回路）のうち、そしの集積度が1000個〜10万個程度のもの

LSI

情報・通信機器や移動体通信システムを持つ端末の相性

モバイル

スマートフォンやタブレット端末の総称

スマートデバイス

メモリやグラフィック機能が優れている

ゲーム用PC

周辺装置がモニタの裏などに内蔵されている

一体型PC

ディスプレイ上を指でタッチすることで操作ができる

タッチパネル式

コンパクトで携帯可能な情報通信機器のこと。スケジュール管理などのソフトウェア機能を利用できる

PDA