情報セキュリティ過去問①

15回閲覧 • 30問 • 1年前

問題一覧

リスクベース認証についての記述はどれか？

利用者のIPアドレスなどの環境を分析し、いつもと異なるネットワークからのアクセスに対して追加の認証を行う

手順に示す電子メールの送受信によって得られるセキュリテイ上の効果はどれか。・手順 ①送信者は，電子メールの本文を共通鍵暗号方式で暗号化し(暗号文)，その共通鍵を受信者の公開鍵を用いて公開鍵暗号方式で暗号化する(共通鍵の暗号化データ)。 ②送信者は，暗号文と共通鍵の暗号化データを電子メールで送信する。 ③受信者は，受信した電子メールから取り出した共通鍵の暗号化データを，自分の秘密鍵を用いて公開鍵暗号方式で復号し，得た共通鍵で暗号文を復号する。

電子メールの本文の内容の漏えいの防止

情報セキュリティの要素である機密性，完全性及び可用性のうち，完全性を高める例として，最も適切なものはどれか。

データの入力者以外の者が，入力されたデータの正しさをチェックする。

WPA3はどれに当てはまるセキュリティか？

無線LANのセキュリティ規格

情報セキュリティにおける脅威であるバッファオーバーフローの説明として，適切なものはどれか。

プログラムが用意している入力用のデータ領域を超えるサイズのデータを入力することで，想定外の動作をさせる。

【覚える用】パスワードクラック(攻撃)の種類についてと対策について。辞書攻撃・・・イメージとしては予測変換。辞書に登録のある文字列を何度も試しPWが通るか試す攻撃スニッフィング・・・通信で流れるパケットを盗聴してその内容からPWを判別する攻撃ブルートフォース攻撃・・・考えられる組み合わせを全て試してPWを解除する攻撃回答では対策を記載

辞書攻撃：ランダムな値でPWを設定する

テンペスト技術の説明とその対策として，適切なものはどれか

ディスプレイやケーブルなどから放射される電磁波を傍受し，内容を観察する技術であり，電磁波遮断が施された部屋に機器を設置することによって対抗する。

BEC(Business E-mail Compromise)の説明として適切なものはどれか。

巧妙なだましの手口を駆使し，取引先になりすまして偽の電子メールを送り，金銭をだまし取る。

参加組織及びそのグループ企業において検知されたサイバー攻撃などの情報を，IPAが情報ハブになって集約し，参加組織間で共有する取組はどれか。

J-CSIP

攻撃者が，多数のオープンリゾルバに対して，"あるドメイン"の実在しないランダムなサブドメインを多数問い合わせる攻撃(ランダムサブドメイン攻撃)を仕掛け，多数のオープンリゾルバが応答した。このときに発生する事象はどれか

"あるドメイン"を管理する権威DNSサーバに対して負荷が掛かる。

アクセス制御を監査するシステム監査人の行為のうち，適切なものはどれか。

データに関するアクセス制御の管理規程を閲覧した。

ヒューマンエラーに起因する障害を発生しにくくする方法に，エラープルーフ化がある。運用作業における【エラープルーフ化】の例として，最も適切なものはどれか。

画面上の複数のウィンドウを同時に使用する作業では，ウィンドウを間違えないようにウィンドウの背景色をそれぞれ異なる色にする。

プロジェクトライフサイクルの一般的な特性はどれか。

リスクは，プロジェクトが完了に近づくにつれて減少する。

PCが，Webサーバ，メールサーバ，他のPCなどと通信を始める際に，通信相手のIPアドレスを問い合わせる仕組みはどれか。

DNS(Domain Name System)

事業継続計画で用いられる用語であり，インシデントの発生後，次のいずれかの事項までに要する時間を表すものはどれか。１：製品又はサービスが再開される。２：事業活動が再開される。３：資源が復旧される。

RTO

組織の活動に関する記述a～dのうち，ISMSの特徴として，適切なものだけを全て挙げたものはどれか。 a.一過性の活動でなく改善と活動を継続する。 b.現場が主導するボトムアップ活動である。 c.導入及び活動は経営層を頂点とした組織的な取組みである。 d,目標と期限を定めて活動し，目標達成によって終了する。

a，c

X.509におけるCRL(Certificate Revocation List)についての説明のうち，適切なものはどれか。

認証局は，有効期限内のデジタル証明書をCRLに登録することがある。

デジタル証明書に関する記述のうち，適切なものはどれか。

デジタル証明書は，SSL/TLSプロトコルにおいて通信データの暗号化のための鍵交換や通信相手の認証に利用されている。

ペネトレーションテストに該当するものはどれか。

公開Webサーバや組織のネットワークの脆弱性を探索し，サーバに実際に侵入できるかどうかを確認する。

経済産業省“ソフトウェア管理ガイドライン”におけるソフトウェア管理責任者が実施すべき要求事項はどれか。

ソフトウェア使用許諾契約に規定された使用条件を，すべてのソフトウェアユーザーに周知徹底すること

ウイルスの調査手法に関する記述のうち，適切なものはどれか。

逆アセンブルはバイナリコードの新種ウイルスの動作を解明するのに有効な手法である

VLAN機能をもった1台のレイヤ3スイッチに複数のPCを接続している。スイッチのポートをグループ化して複数のセグメントに分けると，セグメントを分けない場合に比べて，どのようなセキュリティ上の効果が得られるか。

スイッチが，PCからのブロードキャストパケットの到達範囲を制限するので，アドレス情報の不要な流出のリスクを低減できる。

刑法における，いわゆるコンピュータウイルスに関する罪となるものはどれか。

他人が作成したウイルスを発見し，後日これを第三者のコンピュータで動作させる目的で保管した。

システム及び製品に関する情報技術セキュリティ評価基準の国際規格はどれか。

ISO/IEC 15408

コンピュータで使われている文字符号の説明のうち，適切なものはどれか。

ASCII符号はアルファベット，数字，特殊文字及び制御文字からなり，漢字に関する規定はない。

デジタルフォレンジクスの説明として，適切なものはどれか。

不正アクセスなどコンピュータに関する犯罪の法的な証拠性を確保できるように，原因究明に必要な情報の保全，収集，分析をすること

ISMSにおけるリスク分析の方法の一つであるベースラインアプローチはどれか。

公表されている基準などに基づいて一定のセキュリティレベルを設定し，実施している管理策とのギャップ分析を行った上で，リスクを評価する

JIS Q 27000:2019(情報セキュリティマネジメントシステム－用語)において，不適合が発生した場合にその原因を除去し，再発を防止するためのものとして定義されているものはどれか。

是正処置

情報セキュリティ管理を行う上での情報の収集源の一つとしてJVNが挙げられる。JVNが主として提供する情報はどれか。

ソフトウェアなどの脆弱性関連情報や対策情報

JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)の"サポートユーティリティ"に関する例示に基づいて，サポートユーティリティと判断されるものはどれか。

サーバ室の空調

情報セキュリティ過去問②

情報セキュリティ過去問②

医学・医療系2017～2019

医学・医療系2017～2019

医学・医療系2021～2022

医学・医療系2021～2022

医学・医療系_extra

医学・医療系_extra

医療情報システム系2021～2022

医療情報システム系2021～2022

医療情報システム系2019～2017

医療情報システム系2019～2017

医療情報システム Extra

医療情報システム Extra

情報処理2022

情報処理2022

情報処理 Extra

情報処理 Extra

問題一覧

リスクベース認証についての記述はどれか？

利用者のIPアドレスなどの環境を分析し、いつもと異なるネットワークからのアクセスに対して追加の認証を行う

電子メールの本文の内容の漏えいの防止

情報セキュリティの要素である機密性，完全性及び可用性のうち，完全性を高める例として，最も適切なものはどれか。

データの入力者以外の者が，入力されたデータの正しさをチェックする。

WPA3はどれに当てはまるセキュリティか？

無線LANのセキュリティ規格

情報セキュリティにおける脅威であるバッファオーバーフローの説明として，適切なものはどれか。

プログラムが用意している入力用のデータ領域を超えるサイズのデータを入力することで，想定外の動作をさせる。

辞書攻撃：ランダムな値でPWを設定する

テンペスト技術の説明とその対策として，適切なものはどれか

BEC(Business E-mail Compromise)の説明として適切なものはどれか。

巧妙なだましの手口を駆使し，取引先になりすまして偽の電子メールを送り，金銭をだまし取る。

J-CSIP

"あるドメイン"を管理する権威DNSサーバに対して負荷が掛かる。

アクセス制御を監査するシステム監査人の行為のうち，適切なものはどれか。

データに関するアクセス制御の管理規程を閲覧した。

画面上の複数のウィンドウを同時に使用する作業では，ウィンドウを間違えないようにウィンドウの背景色をそれぞれ異なる色にする。

プロジェクトライフサイクルの一般的な特性はどれか。

リスクは，プロジェクトが完了に近づくにつれて減少する。

PCが，Webサーバ，メールサーバ，他のPCなどと通信を始める際に，通信相手のIPアドレスを問い合わせる仕組みはどれか。

DNS(Domain Name System)

RTO

a，c

X.509におけるCRL(Certificate Revocation List)についての説明のうち，適切なものはどれか。

認証局は，有効期限内のデジタル証明書をCRLに登録することがある。

デジタル証明書に関する記述のうち，適切なものはどれか。

デジタル証明書は，SSL/TLSプロトコルにおいて通信データの暗号化のための鍵交換や通信相手の認証に利用されている。

ペネトレーションテストに該当するものはどれか。

公開Webサーバや組織のネットワークの脆弱性を探索し，サーバに実際に侵入できるかどうかを確認する。

経済産業省“ソフトウェア管理ガイドライン”におけるソフトウェア管理責任者が実施すべき要求事項はどれか。

ソフトウェア使用許諾契約に規定された使用条件を，すべてのソフトウェアユーザーに周知徹底すること

ウイルスの調査手法に関する記述のうち，適切なものはどれか。

逆アセンブルはバイナリコードの新種ウイルスの動作を解明するのに有効な手法である

スイッチが，PCからのブロードキャストパケットの到達範囲を制限するので，アドレス情報の不要な流出のリスクを低減できる。

刑法における，いわゆるコンピュータウイルスに関する罪となるものはどれか。

他人が作成したウイルスを発見し，後日これを第三者のコンピュータで動作させる目的で保管した。

システム及び製品に関する情報技術セキュリティ評価基準の国際規格はどれか。

ISO/IEC 15408

コンピュータで使われている文字符号の説明のうち，適切なものはどれか。

ASCII符号はアルファベット，数字，特殊文字及び制御文字からなり，漢字に関する規定はない。

デジタルフォレンジクスの説明として，適切なものはどれか。

不正アクセスなどコンピュータに関する犯罪の法的な証拠性を確保できるように，原因究明に必要な情報の保全，収集，分析をすること

ISMSにおけるリスク分析の方法の一つであるベースラインアプローチはどれか。

公表されている基準などに基づいて一定のセキュリティレベルを設定し，実施している管理策とのギャップ分析を行った上で，リスクを評価する

是正処置

情報セキュリティ管理を行う上での情報の収集源の一つとしてJVNが挙げられる。JVNが主として提供する情報はどれか。

ソフトウェアなどの脆弱性関連情報や対策情報

サーバ室の空調