問題一覧
1
SOA(Service Oriented Architecture)の説明はどれか。
ウ 業務機能を提供するサービスを組み合わせることによって,システムを構築する考え方である。
2
サイドチャネル攻撃の手法であるタイミング攻撃の対策として,最も適切なものはどれか。
ア 演算アルゴリズムに対策を施して,演算内容による処理時間の差異が出ないようにする。
3
経済産業省"ソフトウェア管理ガイドライン"に定められた,ソフトウェアを使用する法人,団体などが実施すべき基本的事項の記述のうち,適切なものはどれか。
ウ ソフトウェアの違法複製などの有無を確認するため,すべてのソフトウェアを対象として,その使用状況についての監査を実施する。
4
HTTPの認証機能を利用するクライアント側の処理として,適切なものはどれか。
ウ ベーシック認証では,利用者IDとパスワードを":"で連結したものを,BASE64でエンコードしAuthorizationヘッダで指定する。
5
共通フレーム2007で取り決められているものはどれか。
エ プロセスごとの作業者の主体者(役割)と責任の所在
6
DNSSECに関する記述として,適切なものはどれか。
エ デジタル署名によってDNS応答の正当性を確認できる。
7
FIPS 140-2を説明したものはどれか。
ア 暗号モジュールのセキュリティ要求事項
8
SMTP-AUTHを使ったメールセキュリティ対策はどれか。
ウ 通常のSMTPとは独立したサブミッションポートを使用して,メールサーバ接続時の認証を行う。
9
JVN(Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCVE(Common Vulnerabilities and Exposures)識別子の説明はどれか。
ウ 製品に含まれる脆弱性を識別するための識別子である。
10
CRL(Certificate Revocation List)に掲載されるものはどれか。
エ 有効期限内に失効したデジタル証明書のシリアル番号
11
特定のCAが発行したCRL(Certificate Revocation List)に関する記述のうち,適切なものはどれか。
イ CRLには,有効期限内の公開鍵証明書のうち破棄されている公開鍵証明書と破棄された日時の対応が提示される。
12
水飲み場型攻撃(Watering Hole Attack)の手口はどれか。
ウ 標的組織の従業員が頻繁にアクセスするWebサイトに攻撃コードを埋め込み,標的組織の従業員がアクセスしたときだけ攻撃が行われるようにする。
13
IEEE802.1Xで使われるEAP-TLSによって実現される認証はどれか。
ウ デジタル証明書による認証サーバとクライアントの相互認証
14
攻撃者に脆弱性に関する専門の知識がなくても,OSやアプリケーションソフトウェアの脆弱性を悪用した攻撃ができる複数のプログラムや管理機能を統合したものはどれか。
ア Exploit Kit
15
ICMP Flood攻撃に該当するものはどれか。
イ pingコマンドを用いて大量の要求パケットを発信することによって,攻撃対象のサーバに至るまでの回線を過負荷にしてアクセスを妨害する。
16
TCPのコネクション確立方式である3ウェイハンドシェイクを表す図はどれか。
ア SYN → SYN+ACK → ACK
17
ITサービスマネジメントの情報セキュリティ管理プロセスに対して,JIS Q 20000-1が要求している事項はどれか。
ウ 変更要求が情報セキュリティ基本方針及び管理策に与える潜在的影響を評価しなければならない。
18
サービス不能攻撃(DoS)の一つであるSmurf攻撃の特徴はどれか。
ア ICMPの応答パケットを大量に発生させる。
19
X.509におけるCRL(Certificate Revocation List)についての説明のうち,適切なものはどれか。
エ 認証局は,有効期限内のデジタル証明書をCRLに登録することがある。
20
利用者PCがボットに感染しているかどうかをhostsファイルで確認するとき,設定内容が改ざんされていないと判断できるものはどれか。ここで,hostsファイルには設定内容が1行だけ書かれているものとする。
エ 127.0.0.1 localhost|localhostは利用者PC自身を示す。
21
テンペスト技術の説明とその対策として,適切なものはどれか。
ア ディスプレイやケーブルなどから放射される電磁波を傍受し,表示内容などを盗み見る技術であり,電磁波を遮断することによって対抗する。
22
SPF(Sender Policy Framework)によるドメイン認証を実施する場合,SPFの導入時に,電子メール送信元アドレスのドメイン所有者側で行う必要がある設定はどれか。
ア DNSサーバにSPFレコードを登録する。
23
ダウンローダ型ウイルスがPCに侵入した場合に,インターネット経路で他のウイルスがダウンロードされることを防ぐ対策のうち,最も有効なものはどれか。
ア URLフィルターを用いてインターネット上の不正Webサイトへの接続を遮断する。
24
SMTP-AUTHを使ったメールセキュリティ対策はどれか。
ウ 通常のSMTPのポートとは別のサブミッションポートを使用して,PCからメールサーバへの電子メール送信時の認証を行う。
25
ファイアウォールにおいて,自ネットワークのホストへの侵入を防止する対策のうち,IPスプーフィング(spoofing)攻撃の対策について述べたものはどれか。
エ 外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば,そのパケットを破棄する。
26
通信の暗号化や利用者の認証の機能をもち,遠隔にあるコンピュータに安全にログインするためのプロトコルはどれか。
エ SSH
27
ソフトウェア開発・保守工程において,リポジトリを構築する理由として,最も適切なものはどれか。
エ 各工程での成果物を一元管理することによって,開発・保守作業の効率が良くなり,用語の統一もできる。
28
JIS X 25010:2013(システム及びソフトウェア製品の品質要求及び評価(SQuaRE)-システム及びソフトウェア品質モデル)におけるシステムの利用時の品質特性に"満足性"がある。"満足性"の品質副特性の一つである"実用性"の説明はどれか。
エ 利用の結果及び利用の影響を含め,利用者が把握した目標の達成状況によって得られる利用者の満足の度合い
29
Webアプリケーションの脆弱性を悪用する攻撃手法のうち,Perlのsystem関数やPHPのexec関数など外部プログラムの呼出しを可能にするための関数を利用し,不正にシェルスクリプトや実行形式のファイルを実行させるものはどれに分類されるか。
イ OSコマンドインジェクション
30
基本評価基準,現状評価基準,環境評価基準の三つの基準でIT製品のセキュリティ脆弱性の深刻さを評価するものはどれか。
ア CVSS
31
セキュリティプロトコルのSSL/TLSの機能はどれか。
ア FTPなどの様々なアプリケーションに利用されて,アプリケーション層とトランスポート層(TCP)との間で暗号化する。
32
ソフトウェア開発組織の活動状態のうち,CMMIモデルにおける成熟度レベルが最も高いものはどれか。
エ プロセスを継続的に改善していくための仕組みが機能している。
33
TCPヘッダ中のウィンドウサイズの説明として,適切なものはどれか。
イ 受信側からの確認応答を待たずに,データを続けて送信できるかどうかの判断に使用される。
34
サイバーキルチェーンに関する説明として,適切なものはどれか。
ウ 攻撃者の視点から,攻撃の手口を偵察から目的の実行までの段階に分けたもの
35
ITサービスマネジメントの情報セキュリティ管理プロセスに対して,JIS Q 20000-1が要求している事項はどれか。
エ 変更を実装する前に,変更がセキュリティ管理策に与える影響のアセスメントを行わなければならない。
36
サイドチャネル攻撃の手法であるタイミング攻撃の対策として,最も適切なものはどれか。
ア 演算アルゴリズムに対策を施して,機密情報の違いによって演算の処理時間の差異が出ないようにする。
37
"情報セキュリティ監査基準"の位置付けはどれか。
ウ 情報セキュリティ監査業務の品質を確保し,有効かつ効果的に監査を実施することを目的とした監査人の行為規範である。
38
サービスマネジメントにおける問題管理において実施する活動はどれか。
イ インシデントの発生後に未知の根本原因を特定し,恒久的な解決策を策定する。
39
無線LAN環境に複数台のPC,複数台のアクセスポイント及び利用者認証情報を管理する1台のサーバがある。利用者認証とアクセス制御にIEEE802.1XとRADIUSを利用する場合の特徴はどれか。
イ アクセスポイントにはIEEE802.1Xのオーセンティケータを実装し,RADIUSクライアントの機能をもたせる。
40
PKIを構成するOCSPを利用する目的はどれか。
ウ デジタル証明書の失効情報を問い合わせる。
41
リスク対策をリスクコントロールとリスクファイナンスに分けた場合,リスクファイナンスに該当するものはどれか。
ア システムが被害を受けた場合を想定して保険をかけた。
42
特定の情報資産の漏えいに関するリスク対応のうち,リスク回避に該当するものはどれか。
ウ 情報の新たな収集を禁止し,収集済みの情報を消去する。
43
和両立である表R(ID,NAME),S(NO,NAMAE)がある。差集合R-Sを求めるSELECT文とするために,aに入れるべき適切な字句はどれか。ここで,下線部は主キーを表す。また,NAMEとNAMAEはNULL不可とする。
イ NOT EXISTS
44
JIS X 9401:2016(情報技術-クラウドコンピューティング-概要及び用語)の定義によるクラウドサービス区分の一つであり,クラウドサービスカスタマが表中の項番1と2の責務を負い,クラウドサービスプロバイダが項番3~5の責務を負うものはどれか。
ウ PaaS
45
シングルサインオンの実装方式に関する記述のうち,適切なものはどれか。
エ リバースプロキシを使ったシングルサインオンの場合,利用者認証においてパスワードの代わりにデジタル証明書を用いることができる。
46
企業のDMZ上で1台のDNSサーバをインターネット公開用と社内用で共用している。このDNSサーバが,DNSキャッシュポイズニングの被害を受けた結果,引き起こされ得る現象はどれか。
ウ 社内の利用者が,インターネット上の特定のWebサーバを参照する場合に,本来とは異なるWebサーバに誘導される。
47
既存システムを基に,新システムのモデル化を行う場合のDFD作成の手順として,適切なものはどれか。
イ 現物理モデル→現論理モデル→新論理モデル→新物理モデル
48
WebDAVの特徴はどれか。
イ HTTPを拡張したプロトコルを使って,サーバ上のファイルの参照や作成,削除及びバージョン管理が行える。
49
セキュアハッシュ関数SHA-256を用いて,32ビット,256ビット,2,048ビットの三つの長さのメッセージからハッシュ値を求めたとき,それぞれのメッセージのハッシュ値の長さはどれか。
ウ 256|256|256
50
認証にクライアント証明書を用いるプロトコルはどれか。
ウ EAP-TLS
51
SQLインジェクション対策について,Webアプリケーションの実装における対策とWebアプリケーションの実装以外の対策の組合せとして,ともに適切なものはどれか。
エ プレースホルダを利用する。|Webアプリケーションプログラムが利用するデータベースのアカウントがもつデータベースアクセス権限を必要最小限にする。
52
クラウドサービスの導入検討プロセスに対するシステム監査において,クラウドサービス上に保存されている情報の保全及び消失の予防に関するチェックポイントとして,最も適切なものはどれか。
ウ クラウドサービスを提供する事業者が信頼できるか,事業者の事業継続性に懸念がないか,及びサービスが継続して提供されるかどうかが検討されているか。
53
システム監査報告書に記載された改善勧告に対して,被監査部門から提出された改善計画を経営者がITガバナンスの観点から評価する際の方針のうち,適切なものはどれか。
イ 経営資源の状況を踏まえて改善を実施する。
54
スパニングツリープロトコルの機能を説明したものはどれか。
エ 複数のブリッジ間で情報を交換し合い,ループ発生の検出や障害発生時の迂回ルート決定を行う。
55
送信元を詐称した電子メールを拒否するために,SPF(Sender Policy Framework)の仕組みにおいて受信側が行うことはどれか。
ウ SMTP通信中にやり取りされるMAIL FROMコマンドで与えられた送信ドメインと送信サーバのIPアドレスの適合性を検証する。
56
ダウンローダ型マルウェアが内部ネットワークのPCに感染したとき,そのマルウェアによってインターネット経由で他のマルウェアがダウンロードされることを防ぐ対策として,最も有効なものはどれか。
ア URLフィルターを用いてインターネット上の危険なWebサイトへの接続を遮断する。
57
電子メールが配送される途中に経由したMTAのIPアドレスや時刻などの経由情報を,MTAが付加するヘッダフィールドはどれか。
イ Received
58
リスクベース認証に該当するものはどれか。
ウ 利用者のIPアドレスなどの環境を分析し,いつもと異なるネットワークからのアクセスに対して追加の認証を行う。
59
SQLインジェクション対策について,Webアプリケーションプログラムの実装における対策と,Webアプリケーションプログラムの実装以外の対策の組みとして,適切なものはどれか。
エ プレースホルダを利用する。|Webアプリケーションプログラムが利用するデータベースのアカウントがもつデータベースアクセス権限を必要最小限にする。
60
ネットワーク管理プロトコルであるSNMPv3で使われるPDUのうち,事象の発生をエージェントが自発的にマネージャに知らせるために使用するものはどれか。ここで,エージェントとはエージェント相当のエンティティ,マネージャとはマネージャ相当のエンティティを指す。
エ SNMPv2-Trap-PDU
61
標準化団体OASISが,Webサイト間で認証,属性及び認可の情報を安全に交換するために策定したフレームワークはどれか。
ア SAML
62
サイバー情報共有イニシアティブ(J-CSIP)の説明として,適切なものはどれか。
エ 標的型サイバー攻撃などに関する情報を参加組織間で共有し,高度なサイバー攻撃対策につなげる取組み
63
スパムメールへの対策であるDKIM(DomainKeys Identified Mail)の説明はどれか。
ア 送信側メールサーバにおいてデジタル署名を電子メールのヘッダに付与し,受信側メールサーバにおいてそのデジタル署名を公開鍵によって検証する仕組み
64
ファイアウォールにおいて,自ネットワークのホストへの侵入を防止する対策のうち,IPスプーフィング(spoofing)攻撃の対策について述べたものはどれか。
エ 外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば,そのパケットを破棄する。
65
ファイアウォールにおけるダイナミックパケットフィルタリングの特徴はどれか。
ウ 戻りのパケットに関しては,過去に通過したリクエストパケットに対応したものだけを通過させることができる。
66
マッシュアップを利用してWebコンテンツを表示している例として,最も適切なものはどれか。
エ 店舗案内のWebページ上に,他のサイトが提供する地図探索機能を利用して出力された情報を表示する。
67
操作に不慣れな人も利用するシステムでは,間違ったデータが入力されることが想定される。誤入力が発生しても,プログラムやシステムを異常終了させずに,エラーメッセージを表示して次の操作を促すような設計を何というか。
ア フールプルーフ
68
CVSS v3の評価基準には,基本評価基準,現状評価基準,環境評価基準の三つがある。基本評価基準の説明はどれか。
ア 機密性への影響,どこから攻撃が可能かといった攻撃元区分,攻撃する際に必要な特権レベルなど,脆弱性そのものの特性を評価する。
69
内部ネットワークのPCがダウンローダ型マルウェアに感染したとき,そのマルウェアがインターネット経由で他のマルウェアをダウンロードすることを防ぐ方策として,最も有効なものはどれか。
イ インターネット上の危険なWebサイトの情報を保持するURLフィルターを用いて,危険なWebサイトとの接続を遮断する。
70
内部監査として実施したシステム監査で,問題点の検出後,改善勧告を行うまでの間に監査人が考慮すべき事項として,適切なものはどれか。
イ 監査人からの一方的な改善提案は実行不可能なものとなる恐れがあるので,改善勧告の前に,改善策について被監査部門との間で協議する場をもつ。
71
PCやスイッチングハブがもつイーサネットインタフェース(物理ポート)の,Automatic MDI/MDI-Xの機能はどれか。
ア コネクタの送信端子と受信端子が正しい組合せとなるように,自動で判別して切り替える機能
72
総務省及び経済産業省が策定した"電子政府における調達のために参照すべき暗号のリスト(CRYPTREC 暗号リスト)"を構成する暗号リストの説明のうち,適切なものはどれか。
ウ 電子政府推奨暗号リストとは,CRYPTRECによって安全性及び実装性能が確認された暗号技術のうち,市場における利用実績が十分であるか今後の普及が見込まれると判断され,当該技術の利用を推奨するもののリストである。
73
IPsecに関する記述のうち,適切なものはどれか。
ウ トンネルモードを使用すると,元のヘッダまで含めて暗号化される。
74
ウイルスの検出手法であるビヘイビア法を説明したものはどれか。
エ ウイルスの感染や発病によって生じるデータ書込み動作の異常や通信量の異常増加などの変化を監視して,感染を検出する。
75
マルウェアの活動傾向などを把握するための観測用センサーが配備されるダークネットはどれか。
ア インターネット上で到達可能,かつ,未使用のIPアドレス空間
76
FIPS 140-2を説明したものはどれか。
ア 暗号モジュールのセキュリティ要求事項
77
TCPのフロー制御に関する記述のうち,適切なものはどれか。
ウ 確認応答がない場合は再送処理によってデータ回復を行う。
78
次の攻撃において,攻撃者がサービス不能にしようとしている標的はどれか。 〔攻撃〕 A社ドメイン配下のサブドメイン名を,ランダムに多数生成する。 (1)で生成したサブドメイン名に関する大量の問合せを,多数の第三者のDNSキャッシュサーバに分散して送信する。 (2)で送信する問合せの送信元IPアドレスは,問合せごとにランダムに設定して詐称する。
ア A社ドメインの権威DNSサーバ
79
JIS Q 20000-1で定義されるインシデントに該当するものはどれか。
ア ITサービス応答時間の大幅な超過
80
FIPS PUB 140-2の記述内容はどれか。
ア 暗号モジュールのセキュリティ要求事項
81
セキュアハッシュ関数SHA-256を用いて,32ビット,256ビット,2,048ビットの三つの長さのメッセージからハッシュ値を求めたとき,それぞれのメッセージのハッシュ値の長さはどれか。
ウ 256|256|256
82
AESの特徴はどれか。
ア 鍵長によって,段数が決まる。
83
システム開発で行われる各テストについて,そのテスト要求事項が定義されているアクティビティとテストの組合せのうち,適切なものはどれか。
ウ システム結合テスト|ソフトウェア結合テスト|ソフトウェアユニットテスト
84
ネットワークカメラなどのIoT機器ではTCP23番ポートへの攻撃が多い理由はどれか。
ア TCP23番ポートはIoT機器の操作用プロトコルで使用されており,そのプロトコルを用いると,初期パスワードを使って不正ログインが容易に成功し,不正にIoT機器を操作できることが多いから
85
SSL/TLSのダウングレード攻撃に該当するものはどれか。
ウ 暗号化通信を確立するとき,弱い暗号スイートの使用を強制することによって,解読しやすい暗号化通信を行わせる。
86
DNSSECで実現できることはどれか。
ア DNSキャッシュサーバが得た応答中のリソースレコードが,権威DNSサーバで管理されているものであり,改ざんされていないことの検証
87
IEEE802.1Xで使われるEAP-TLSによって実現される認証はどれか。
ウ デジタル証明書による認証サーバとクライアントの相互認証
88
ネットワークに接続されているホストのIPアドレスが212.62.31.90で,サブネットマスクが255.255.255.224のとき,ホストアドレスはどれか。
イ 26
89
ISO/IEC 15408を評価基準とする"ITセキュリティ評価及び認証制度"の説明として,適切なものはどれか。
ウ 情報技術に関連した製品のセキュリティ機能の適切性,確実性を第三者機関が評価し,その結果を公的に認証する制度
90
JIS X 9401:2016(情報技術-クラウドコンピューティング-概要及び用語)の定義によるクラウドサービス区分の一つであり,クラウドサービスカスタマの責任者が表中の項番1と2の責務を負い,クラウドサービスプロバイダが項番3~5の責務を負うものはどれか。
ウ PaaS
91
TCPに関する記述のうち,適切なものはどれか。
ウ 確認応答がない場合は再送処理によってデータ回復を行う。
92
アクセス権限を管理しているシステムの利用者IDリストから,退職による権限喪失者が削除されていることを検証する手続として,最も適切なものはどれか。
ウ 人事発令簿の退職者の全件について,利用者IDリストから削除されていることを確認する。
93
DNSにおいてDNS CAA(Certification Authority Authorization)レコードを使うことによるセキュリティ上の効果はどれか。
エ 不正なサーバ証明書の発行を防ぐ。
94
コンティンジェンシープランにおける留意点はどれか。
ア 企業のすべてのシステムを対象とするのではなく,システムの復旧の重要性と緊急性を勘案して対象を決定する。
95
特定の認証局が発行したCRLに関する記述のうち,適切なものはどれか。
イ CRLには,有効期限内のデジタル証明書のうち失効したデジタル証明書と失効した日時の対応が提示される。
96
情報セキュリティにおけるエクスプロイトコードの説明はどれか。
エ ソフトウェアやハードウェアの脆弱性を利用するために作成されたプログラム
97
LANの制御方式に関する記述のうち,適切なものはどれか。
ア CSMA/CD方式では,単位時間当たりの送出フレーム数が増していくと,衝突の頻度が増すので,スループットはある値をピークとして,その後下がる。
98
ICMP Flood攻撃に該当するものはどれか。
イ pingコマンドを用いて大量の要求パケットを発信することによって,攻撃対象のサーバに至るまでの回線を過負荷にしてアクセスを妨害する。
99
個人情報の漏えいに関するリスク対応のうち,リスク回避に該当するものはどれか。
エ 収集済みの個人情報を消去し,新たな収集を禁止する。
100
ハードウェアの保守点検及び修理作業を実施するときに,運用管理者が実施すべき,事前又は事後に確認に関する説明のうち,適切なものはどれか。
エ 臨時保守の場合,事前に保守作業者が障害の発生状況を確認したことを確認し,事後に障害原因や作業実施結果を確認する。