問題一覧
1
IPスプーフィングとは?
攻撃者が身元を隠すためや応答パケットを攻撃対象に送りつけるために、IPヘッダーに含まれる送信元アドレスを偽装する攻撃手法
2
DNS ampとは?
脆弱性のある公開DNSキャッシュサーバを踏み台として悪用することで行なわれる分散型サービス妨害
3
NoSQLは処理速度が優れており、RDBはデータの一貫性が担保され、かつ検索性が高い特徴がある。
○
4
コンティンジェンシープランとは?
脅威が万が一発生した場合に、プライオリティが高い業務から順に復旧させるなどの対応策をまとめた計画
5
ストアドプロシージャとは、データベースに対する複数の命令をまとめて、RDBMSに保存する機能である。
○
6
ユーザーが主体となって運営、管理するネットワーク。
LAN
7
VLANとは、物理的な機器の接続に関係なく、仮想的なネットワークを構築できる技術である。
○
8
イーサネットで特定の宛先を指定せず、一斉送信したデータが届く範囲のこと。
ブロードキャストドメイン
9
ブロードキャストドメインを分割することのメリットとして該当しないものを選べ。
アクセス経路の特定に役立つ
10
電子メールのセキュリティを向上する暗号化方式の一つ。送信者なりすましの防止やメールの改ざんを検知する。
S/MIME
11
認証と改ざん防止のみを行う「AH」と、データの暗号化を行う「ESP」の2つのプロトコルに最も関係する用語。
IPsec
12
一定の通信速度は保証されないが、月額料金が安く個人向けの光回線に採用される方式。
ベストエフォート型
13
ある特性をもたらす一連の原因を階層的に整理する手法。
特性要因図
14
連続した量や数値などのデータを時系列に並べ、異常かどうかの判断基準を管理限界線として引いて管理する図。
管理図
15
多くの散乱した情報から、言葉の意味合いを整理して問題を確定する手法。
親和図法
16
想定される問題やトラブルと、それに対する対処方法を予め計画に盛り込んでおくことで、プロジェクトの目標・計画の遂行を、できるだけ望ましい方向へ導くための道しるべとなる手法。
PDPC法
17
対象の集合を似たようなグループに分け、それぞれの要因がどのような近さになっているかを、直感的に理解できる分析手法。
クラスタ分析
18
バナーや広告文、Webサイトなどを最適化するために実施するテストの一つ。
A/Bテスト
19
棚卸資産の評価や原価計算をする際、先に仕入れた物品から先に払い出されたと仮定する方法。
先入先出法
20
物品を仕入れるたびに在庫の平均単価を算出し直し、棚卸資産の評価や原価計算に用いる方法。
移動平均法
21
減価償却費 = 取得価額×定額法の償却率 で表される減価償却方法。毎年の償却費がわかりやすい点がメリット。
定額法
22
期首時点で保有している在庫の金額。前期末に売れ残った在庫が当期に繰り越されたもの。
期首商品棚卸高
23
システム監査における監査人の判断基準と,組織が情報戦略を立案してリスクコントロールを適切に整備・運用するための指針を示したものをシステム管理基準という。
○
24
概念検証、試作開発に入る前段階の検証プロセス。
PoC
25
非機能要件に当てはまらないカテゴリ。
一貫性
26
地方自治体が発注を行う際に、不特定多数の事業者を公募し、最も有利な条件を提示した事業者を選定する契約方式。
一般競争入札
27
サイバーセキュリティ経営ガイドラインの「経営者が認識すべき3原則」として当てはまらないもの。
サイバーセキュリティリスク管理体制の構築
28
ユーザが知らぬうちにコンピュータへ侵入し、インターネット経由でPC内部の情報を外部に発信・漏えいし続けるプログラム。
スパイウェア
29
スパイウェアに感染した際の対処法として最も相応しいものを選べ。
セキュリティソフトを使って対処したが不安が残ったため、さらにシステムの初期化を行った。
30
システムの深いレベルで潜伏し、不正なアクセスや制御を可能にするソフトウェアをまとめたパッケージのこと。
ルートキット
31
ルートキットの各ツールの説明のうち誤っているもの。
ネットワークを介してやり取りされるデータを盗聴するツールは、キーロガーツールである。
32
「自己増殖機能」を備えており、ファイルに寄生する必要がなく、単体で存在・活動することができるマルウェア。
ワーム
33
インターネット通信でやり取りされる「パケット」を、攻撃者が不正に傍受する攻撃手口。
スニッフィング
34
SQLインジェクションの対策として適切なもの。
プレースホルダ(SQL文の雛形の中に変数の場所を示す記号)に、実際の値を割り当てる処理を行う。
35
XSSで発生しうる脅威について誤っているもの。
プログラムの異常停止や意図しないサービス停止
36
CSRFの脅威について説明されているもの。
不正な送金、利用者が意図しない商品購入、利用者が意図しない退会処理
37
ウェブアプリケーションで、HTTPレスポンスヘッダの出力処理に問題がある場合、レスポンス内容に任意のヘッダフィールドを追加したり、任意のボディを作成したり、複数のレスポンスを作り出すような攻撃。
HTTPヘッダインジェクション
38
セッションIDの発行や管理に不備がある場合、悪意のある人にログイン中の利用者のセッションIDを不正に取得され、その利用者になりすましてアクセスされてしまう手口。
セッションハイジャック
39
セッションIDの推測や盗用以外に、セッション管理の不備を狙ったもう一つの攻撃手法。
セッションIDの固定化
40
DNSの名前解決を行うサーバやネットワーク機器などのうち、 不特定のクライアントからのDNSの問い合わせについて、 最終的な答えが得られるまで繰り返し問い合わせを行う再帰的な名前解決を行い、 結果を回答するDNSサーバ
オープンリゾルバ
41
下図の攻撃の名称。
DNSキャッシュポイズニング
42
ランダムサブドメイン攻撃について最も適切な説明文。
「UDP53番ポート」への通信を遮断する仕組みを利用して対策する。(IP53B)
43
ドメイン名ハイジャック攻撃の対策として適切なもの。
株式会社日本レジストリサービスが提供するツールを使い、定期的にドメイン名ハイジャックされているかを確認する。
44
IPアドレスを偽装して大量のリクエストを送信し、応答結果を攻撃対象にレスポンスとして送信する手法。
DNSリフレクション攻撃
45
企業や組織が廃棄したゴミや記憶媒体から個人情報や機密情報を盗み取る行為。
スキャベンジング
46
ガンブラー攻撃とは、Webサイトの訪問者をマルウェア感染させる攻撃手法であるが、その特徴として最も該当するもの。
このマルウェア感染をもたらすWebサイトが、被害者であり加害者でもある。
47
二者同士の通信に割り込みを行い、データ暗号化のための「公開鍵」を窃取して、盗聴や改ざんを実行するサイバー攻撃
中間者攻撃(MitM攻撃)
48
Webブラウザとサーバーとの間に攻撃者が介入することで、ターゲットの入力情報やリクエストを改ざんしたり、個人情報を盗聴したりする攻撃手法
MITB攻撃
49
MITB攻撃の対策として不適切なもの。
事前にエスケープ処理を施す
50
機器が発する信号や正常時と異常時の動作の違いなどから情報を盗み取る攻撃をサイドチャネル攻撃と呼ぶが、テンペスト攻撃との違いは何か?
サイドチャネル攻撃は暗号を解読する攻撃に対し、テンペスト攻撃は盗聴を目的に行われる
51
サイドチャネル攻撃の種類として該当しないもの。
DNSリフレクション攻撃とは、DNSサーバーにDNSリクエストを送信し、攻撃対象のサーバーをダウンさせる攻撃
52
サイバー攻撃を行う前に、攻撃対象のコンピューターやネットワークに関する情報収集を行う手法
フットプリンティング
53
取引先や顧客、あるいは社内の関係者などを装い、マルウェアを添付した、あるいはクリックするとマルウェアに感染するURLを本文に記載したメールを送信する手法
APT
54
共通鍵暗号方式の種類として該当しないもの。
SHA-1
55
公開鍵暗号方式で自分の署名を行い、真正性を実現したい。この時、暗号化に用いる鍵はどれか?
送信者の秘密鍵
56
公開鍵暗号方式の種類のうち、一般的に使用されている方式。
RSA
57
ハッシュ関数の説明について関係のないものを選べ。
電子署名の円滑な利用を確保し、電子商取引の推進を目的として制定された法律を電子署名法という
58
電子政府推奨暗号リストに登録されているハッシュ関数の種類。
SHA-256
59
公開鍵、秘密鍵、ハッシュを組み合わせることで、ハッカーが情報を解凍できないようにするメッセージ認証の暗号化技術の1つ
HMAC
60
ある時刻にその電子データが存在していたことと、それ以降改ざんされていないことを証明する技術。
タイムスタンプ
61
ワンタイムパスワードは、二段階認証で利用されている一度きりの使い捨てパスワードである。
○
62
この図の認証方式を選べ。
チャレンジレスポンス認証
63
シングルサインオンの説明として関係ないもの。
トークンを第三者に盗られてしまった場合、ワンタイムパスワードを悪用される恐れがある。
64
シングルサインオンの認証方式の説明として適切なもの。
クラウドサービスと認証情報を提供するIdPの間で、チケット情報をやり取りする方式をフェデレーション方式という。
65
OASISによって策定された異なるインターネットドメイン間でのユーザー認証を実現するXMLベースの標準規格
SAML
66
デジタル証明書の正当性を確認したい。デジタル証明書(A社の公開鍵)を受け取った人は、デジタル署名をどのようにすれば良いか?
CAの公開鍵で復元してハッシュ値にした上で、デジタル証明書のハッシュ値と比較する。
67
インターネット通信の中での信頼性を確保するための認証方法。デジタル証明書を利用。
X.509認証
68
デジタル証明書に関する用語の説明のうち誤っているもの。
RAとは、登録局 の確認した申請に従い、実際にディジタル証明書を発行する機関である。
69
ISMSのファミリー規格の概要や、使用される用語について定められている。
JIS Q 27000:2019
70
組織がISMSを確立し、実施し、維持し、継続的に改善するための要求事項を規定するとともに、組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても定めている。
JIS Q 27001:2014
71
情報セキュリティマネジメントシステム(ISMS) において、情報セキュリティリスク対応の管理策を決定し、実施するための参考として用いることができる規格。
JIS Q 27002:2014
72
クラウドサービスに関する情報セキュリティ管理策のガイドライン規格。
JIS Q 27017:2016
73
情報システムを運用する施設の稼働に不可欠な設備やライフライン、公共インフラなどのこと。
サポートユーティリティ
74
企業や組織のネットワークやシステムを監視し、サイバー攻撃の検知や分析、対応策のアドバイスを行う専門組織
SOC
75
セキュリティインシデントが発生した際、「対応」「復旧」「対策」を担う組織。
CSIRT
76
インターネット上のコンピューターセキュリティインシデント(インシデント)に対応する情報提供機関。独立した中立の組織として、日本における情報セキュリティ対策の向上に寄与している。
JPCERT/CC
77
脆弱性関連情報の適切な流通により、コンピュータウイルス、不正アクセスなどによる被害発生を抑制するために、関係者及び関係業界と協調して国内におけるソフトウェア等の脆弱性関連情報を適切に取り扱うための指針
情報セキュリティ早期警戒パートナーシップガイドライン
78
中小企業の情報セキュリティ対策ガイドラインで取り扱っていない内容
サイバーセキュリティ経営の重要10項目
79
経済産業省告示「ソフトウェア等脆弱性関連情報取扱基準」を受けて、日本国内の製品開発者の脆弱性対応状況を公開するサイト
JVN
80
電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討するプロジェクト
CRYPTREC
81
J-CSIPの説明について適当でないもの。
情報セキュリティ早期警戒パートナーシップ制度を運用している。
82
情報技術セキュリティの観点から、情報技術に関連した製品及びシステムが適切に設計され、その設計が正しく実装されていることを評価するための国際標準規格
CC (Common Criteria)
83
CCの評価では、「適合する保証要件」や「評価保証レベル(EAL: Evaluation Assurance Level)」という言葉が使われている。
○
84
クレジットカードの会員データを安全に取り扱うことを目的とした、クレジットカード業界のセキュリティ基準
PCI DSS(Payment Card Industry Data Security Standards)
85
SCAPの説明として適当ではないもの。
代表的な基準として、CVE(共通脆弱性識別子)やCPE(共通脆弱性評価システム)などがある。
86
SCAPの標準仕様の説明のうち適切なもの。
CVSSを用いると、脆弱性の深刻度を同一の基準の下で定量的に比較できる。
87
ソフトウェアにおけるセキュリティ上の弱点(脆弱性)の種類を識別するための共通の基準
CWE(Common Weakness Enumeration)
88
通信可能なポートをひとつひとつ順番に特定のデータを送信して、その応答状況を調べること
ポートスキャン
89
ソフトウェアやシステムの潜在的なバグや脆弱性を検出するためのテスト手法
ファジング
90
ファイアウォールのフィルタリング(通過させるかどうか判断する)の方法について適切な説明を選べ。
プロキシサーバ経由で接続を行い、パケットフィルタリング型システムの方法に加えポート制御機能を持つ。コネクションごとに認証を行う方法はサーキットゲートウェイ型である。
91
ファイアウォールについて、パケットフィルタリング型システムのメリットを選べ。
パケットごとにフィルタリングルールを設定できるので、強力で柔軟性のある制御ができる
92
WAFで防御できない攻撃対象。
ポートスキャン
93
コンピューターネットワークやホストコンピュータを監視して、不正なアクセスや異常な通信を検知するセキュリティシステム
IDS
94
IDSは図の左右どちらに該当するか?
左
95
IDS/IPSのうち、検知能力は提供ベンダーによって異なるが、インターネット経由で利用できるので、ネットワーク設定を変更する必要がない方式。
クラウド型
96
「署名」を意味し、不正とはどのようなものか定義したリスト
シグネチャ
97
IDSの不正検出(シグネチャ型)検知と異常検出(アノマリ型)検知の説明について、適当なもの。
シグネチャ型は、パターンと一致していれば、より正確に不正な通信を検知できる
98
コンピュータウイルスやハッキングなどの脅威から、コンピューターネットワークを効率的かつ包括的に保護する管理手法
Unified Threat Management
99
UTMの説明のうち適当なもの。
セキュリティ機能を1つに統合し、外部のネットワークと社内のネットワークとのあいだに設置して、セキュリティ対策を一括管理できる
100
機密情報や重要データの漏えいや消失を防ぐためのシステムや機能
DLP(Data Loss Prevention)