• 身近な例で紹介されたセキュリティカメラの画像漏洩のリスクは「セキュリティ要件」の中のどれに該当しますか。
(1)機密性
(2)完全性
(3)可用性
(4)責任追跡性
(5)真正性
(6)信頼性
(7)否認防止
(1)機密性
• 情報システムの利便性とセキュリティの関係について正しいものはどれですか。
(1)利便性とセキュリティの多重化が大切である。
(2)システムの便利さをよくすると安全でなくなることが少ない。
(3)運営組織によって利便性とセキュリティのバランスは異なる。
(4)利便性とセキュリティは比例関係である。
(5)一般に銀行ではセキュリティより利便性の方が大切である。
(3)運営組織によって利便性とセキュリティのバランスは異な
る。◎
• リスクマネジメントに関する記述で正しくないものはどれですか。
(1)リスクマネジメントとは、想定されるリスクを管理することによりリスクによる損失を回避し最小限に留める管理手法のことである。
(2)脆弱性を完全になくすことは不可能である。
(3)脅威とは弱点を突くシステム外部の要因のことである。
(4)リスクとは脆弱性と脅威のことである。
(5)脆弱性とはシステム外部の弱点のことである.
(5)脆弱性とはシステム外部の弱点のことである。◎ →内部
• リスクアセスメントに含まれていないものはどれですか。
(1)リスクの特定
(2)リスク対策
(3)リスクの評価
(4)リスクの分析
(2)リスク対策
• リスク対策の中で、リスクが与える影響や対策費用を考え、そのまま無視することを何といいますか。
(1)リスク回避
(2)リスク軽減
(3)リスク転嫁
(4)リスク分散
(5)リスク保有
(5)リスク保有
• ISMSにおいて定義することが求められている情報セキュ リティ基本方針に関する記述のうち適切なものはどれですか。(情処技術者試験高度試験 午前問題)
(1)情報セキュリティのための経営陣の方向性を規定する。
(2)重要な基本方針を定めた機密文書であり、社内の関係者以外の 目に触れないようにする。
(3)情報セキュリティの基本方針を述べたものであり、ビジネス環 境や技術が変化しても変更してはならない。
(4)特定のシステムについてリスク分析を行い、そのセキュリティ
対策とシステム運用の詳細を記述する。
(1)情報セキュリティのための経営陣の方向性を規定する。 ◎
• リスクを発生する可能性のあるイベントはどれですか。
(1)ソーシャルイベント
(2)リスクイベント
(3)セキュリティタイミング
(4)インシデント
(5)アクシデント
(4)インシデント ◎
大量のアクセスによりWebサービスを停止する攻撃に対応するセキュリティ要件はどれですか。
(1)機密性
(2)完全性
(3)可用性
(4)責任追跡性
(5)真正性
(6)信頼性
(7)否認防止
(3)可用性 ◎
セキュリティ要件の信頼性に対する攻撃はどれですか。
(1)サービス停止攻撃
(2)アクセス攻撃
(3)否認攻撃
(4)修正攻撃
(4)修正攻撃 ◎
• セキュリティ要件の三大要件はどれですか。
(1)機密性、完全性、真正性
(2)Integrity、Confidentiality、Availability
(3)Confidentiality、Availability、Non-repudiation
(4)信頼性、責任追跡性、可用性
(5)Authenticity、Accountability、Reliability
(2)Integrity、Confidentiality、Availability ◎
• 「不正アクセス行為の禁止に関する法律」において対象としていない行為はどれですか。
(1)識別符号の入力を不正に要求する行為
(2)他人の識別符号を不正に取得する行為
(3)自分の識別符号を不正に保管する行為
(4)不正アクセス行為を助長する行為
(5)不正アクセス行為
(3)自分の識別符号を不正に保管する行為 ◎ → 他人
• アクセス制御の基本モデルでコンピュータの中の世界でプロセスによる読む書く事項などのファイルへの操作を制御する機能を何といいますか。
(1)利用者認証
(2)利用者認可
(3)アクセス制御
(4)監査
(3)アクセス制御 ◎
MACの説明として正しいものはどれですか。
(1)任意アクセス制御ともいう
(2)組織を管理権限者とし、情報管理ポリシーにしたがって集中的に情報を管理する。
(3)ファイルの所有者ごとにファイルへのアクセスを分散的に管理する。
(4)機密性レベルとカテゴリの組み合わせで情報管理組織を定義している。
(2)組織を管理権限者とし、情報管理ポリシーにしたがって集
中的に情報を管理する。◎
• MACによる情報管理ポリシー定義方法として適切なものはどれですか。
(1)情報管理ポリシーによって定義されるアクセス方法には、読む、書く、見る、がある。
(2)機密性レベルのみで情報を分類し、アクセス方法を定義する。
(3)機密性レベルのレベル1の例には公開情報が規定されている。
(4)機密性レベルとカテゴリの組み合わせで情報を分類し、それぞれについてアクセス方法を定義する。
(4)機密性レベルとカテゴリの組み合わせで情報を分類し、それぞれについてアクセス方法を定義する。◎
DACでは、どの主体がファイルへのアクセスを管理しますか。
(1)ファイル所有者
(2)組織
(3)スーパーユーザ
(4)全てのユーザ
(1)ファイル所有者 ◎
• 一人のユーザは、何個の副グループをもつことができますか
(1)プライマリグループの数
(2)1つ
(3)2つ
(4)いくつでも
(4)いくつでも ◎
あるファイルのパーミッションが「所有者が読み書き実行できる」「グループのメンバーが読み書きができる」「そのほかの人は読みだけができる」という状態の表記はどれですか。
(1)--rw-rwx
(2)xwr-wr—r
(3)rwxrw-r--
(4)rwxr—r--
(3)rwxrw-r-- ◎
• ファイル名 testを「所有者が読み書き実行できる」「グループのメンバーが読み書きができる」「そのほかの人は読みだけができる」というパーミッションに変更するコマンドはどれですか。
(1)chmod 764 test
(2)chmod 654 test
(3)chmod 753 test
(4)chmod 664 test
(1)chmod 764 test ◎
パスワードファイル(/etc/passwd)の所有者はroot であり、 所有者だけが書き込み権限を持っているにもかかわらず、一般 ユーザが passwd コマンドをつかってパスワードファイルを更 新できるのはなぜですか。
(1) passwdコマンドはStickyビットがセットされており、passwd ファイルの所有者のrootの権限で動作するので、rootしか更新でき ない/etc/passwd ファイルが更新できる。
(2) passwdコマンドはSUIDがセットされており、passwdファイルの 所有者のrootの権限で動作するので、rootしか更新できない /etc/passwd ファイルが更新できる。
(3) /etc/passwdファイルはSUIDがセットされているので、rootしか 更新できない/etc/passwd ファイルが一般ユーザでも更新できる。
(2) passwdコマンドはSUIDがセットされており、passwdファイルの 所有者のrootの権限で動作するので、rootしか更新できない /etc/passwd ファイルが更新できる。◎
パーミッションが777のディレクトリに対して、その配下の情報を所有者以外からアクセスできないようにするためには、パーミションを8進数でどのように変更すればよいですか。
(1)655
(2)666
(3)766
(4)777
(3)766 ◎
新規ファイルの作成時のパーミッションを 664 にするには、umask をどのように設定しますか。
(1)umask 066
(2)umask 002
(3)umask 222
(4)umask 666
(2)umask 002 ◎
認証と承認に関する記述で正しいものはどれですか。
(1)認証は機密性を実現するものである。
(2)パスワード認証によりその人が誰であるかを判断できる。
(3)認証はその人に何を許可するかを判断する。
(4)承認はその人が誰であるかを判断する。
(2)パスワード認証によりその人が誰であるかを判断できる。
◎
パスワード認証について適切な記述はどれですか。
(1)PAMでは、システム側で一時的なパスワードを生成する。
(2)ワンタイムパスワード認証では、認証と承認を同時に行える
(3)チャレンジ&レスポンス認証ではパスワードをネットワーク上に流さない。
(4)Kerberos認証では、認証サーバを必要としない。
(3)チャレンジ&レスポンス認証ではパスワードをネットワー
ク上に流さない。◎
ハッシュ値化に関する記述で適切なものはどれですか。
(1)データからハッシュ値を計算することは簡単だが、ハッシュ値からもとのデータを復元することは非常に困難である。
(2)ハッシュ値化の技術にはDNSやMD5などがある。
(3)ハッシュ値はデータの長さを示す値である。
(4)元のデータが1ビットでも変化してもハッシュ値は変化しない。
(1)データからハッシュ値を計算することは簡単だが、ハッ
シュ値からもとのデータを復元することは非常に困難であ
る。◎
ネットワーク上で認証を行うサーバはどれですか。
(1)DNS
(2)RADIUS
(3)AAA
(4)DES
2)RADIUS ◎
• チャレンジ&レスポンス認証の特徴として適切なものはどれですか。(情報処理技術者試験 高度試験)
(1)SSLによってクライアント側で固定パスワードを暗号化して送信する。
(2)端末のシリアル番号を、クライアント側で秘密鍵を使って暗号化して送信する。
(3)トークンという装置が表示する毎回異なったデータをパスワードとして送信する。
(4)利用者が入力したパスワードと、サーバから送られたランダムなデータとをクライアント側で演算子、その結果を送信する。
(4)利用者が入力したパスワードと、サーバから送られたランダムなデータとをクライアント側で演算子、その結果を送信する。◎
ブルートフォース攻撃についての記述で適切なものはどれですか。
(1)パスワードが辞書に載っている単語である場合に、辞書中の全単語をハッシュ値化し一致するかで解析する。
(2)ハッシュ値からパスワードを推定するための文字列を集めた表を使って解析する。
(3)パスワードがランダムな文字列の場合に、可能なパターンを総当たりで解析する。
(4)アプリケーションを強制的にクラッシュさせ、coredumpからパスワードを入手する。
(3)パスワードがランダムな文字列の場合に、可能なパターンを総
当たりで解析する。◎
パフワードクラッキングの説明で適切なものはどれですか。
(1)辞書攻撃では、パスワードの平文と辞書中の全単語のハッシュ値を比較して同じものを探す
(2)パスワードクラッカーは、辞書、類推、総当たりなどでパスワードを見つけるツールである。
(3)John the Ripperは、キーロガーの一種である。
(4)キーロガーに対する防御にはハッシュ値化が有効である。
(2)パスワードクラッカーは、辞書、類推、総当たりなどでパ
スワードを見つけるツールである。◎
レインボーテーブルに関する記述で適切なものはどれ
ですか。
(1)レインボーテーブルは、ハッシュ値からパスワードを推定 するための文字列を集めたテーブルである。
(2)レインボーテーブルには、チェーンの真ん中の文字列だけ を保存する。
(3)レインボーテーブルでは、一次関数により求めた還元文字列をチェーン化している。
(4)9文字程度であればレインボーテーブルが無料でアップロード可能である。
(1)レインボーテーブルは、ハッシュ値からパスワードを推定 するための文字列を集めたテーブルである。◎
• キーロガーとは何かを授業資料の用語を用いて簡潔に記述して下さい。
回答例:キーボード入力を横取りして攻撃者に通知するツール
多段階認証・多要素認証に関する記述で適切なものはどれですか。
(1)多段階認証・多要素認証は、サーバ認証の脆弱性を補完するものである。
(2)多要素認証の例では、パスワードと物体認証である指紋認証を使う。
(3)PCを使った2段階/2要素認証が多い。
(4)SMS認証では、パスワードログイン後に事前に指定した スマートフォンにPINを送り、PIN入力によりログインする。
(4)SMS認証では、パスワードログイン後に事前に指定した スマートフォンにPINを送り、PIN入力によりログインす
る。◎
修正攻撃に関する記述で適切なものはどれですか。
(1)Webページやネットワークを流れるデータをコピーする攻撃である。
(2)送受信者の間に割り込み、データを中継しながら改ざんするDoS攻撃と呼ばれるものがある。
(3)認証と承認をくぐり抜けてシステムにアクセスする攻撃である。
(4)WWWサーバへのデータアップロード時に、盗聴したパス ワードを使って別のデータがアップロードされる攻撃である。
(4)WWWサーバへのデータアップロード時に、盗聴したパス ワードを使って別のデータがアップロードされる攻撃であ
る。◎
• ポートスキャンに関する記述で適切なものはどれですか。
(1)TCP接続を確立せずにスキャンすることでログを残さない手法をポリシースキャンという。
(2)TCPやUDPのポート番号に無差別に接続要求を送る。
(3)攻撃に先立ってサーバーの可用性の調査を行う方法
(4)TCP接続が成功するとスキャン結果がサーバログに残らない
(2)TCPやUDPのポート番号に無差別に接続要求を送る。◎
ポートスキャンに使われるLinuxのツールはどれですか。
(1)zenmap
(2)netscan
(3)nmap
(4)ping
(3)nmap ◎
静的NATに関する記述として適切なものはどれですか。
(1)NATで指定した以外のポート番号にはアクセスできない。
(2)グローバルアドレスとIPv6アドレスを固定的に変換する。
(3)IPマスカレードあるいはNAPTともいう。
(4)プライベートアドレス+ポート番号の対を一つのグローバルアドレス+ポート番号に割り当てる。
(1)NATで指定した以外のポート番号にはアクセスできない。
◎
システムやネットワークに負荷をかけ、ユーザがサービスを利用できないようにする攻撃はどれですか。
(1)ソーシャルエンジニアリング
(2)中間者攻撃
(3)アクセス攻撃
(4)DoS攻撃
(4)DoS攻撃 ◎
ファイアウォールにおいて、192.0.2.20からのパケットを全く通過させないACLの設定はどれですか。
(1)access-list 100 permit tcp 192.0.2.20 0.0.0.0 eq 80
(2)access-list 100 permit ip 0.0.0.0 192.0.2.20 any
(3)access-list 103 deny ip 0.0.0.0 192.0.2.20 any
(4)access-list 100 deny ip 192.0.2.20 0.0.0.0 any
(5)access-list 103 deny ip 192.0.2.20 192.0.2.20 any
(4)access-list 100 deny ip 192.0.2.20 0.0.0.0 any ◎
ステートフルインスペクション方式のファイアウォールの特徴はどれ ですか。(情報処理安全確保支援士試験 午前II)
(1) WebブラウザとWebサーバとの間に配置され、リバースプロキシサーバ として動作する方式であり、WebブラウザからWebサーバへの通信に不 正なデータがないかどうかを検査する。
(2) アプリケーションプロトコル毎にプロキシプログラムを用意する方式であ り、クライアントからの通信を目的のサーバに中継する際に不正なデータ がないかどうかを検査する。
(3) 特定のアプリケーションプロトコルだけを通過させるゲートウェイソフト ウェアを利用する方式であり、クライアントからのコネクションの要求を 受け付けて目的のサーバに改めてコネクションを要求することによってア クセスを制御する。
(4) パケットフィルタリングを拡張した方式であり、過去に通過したパケットから通信セッションを認識し、受け付けたパケットを通信セッションの状態に照らし合わせて通過させるかを判断する。
(4) パケットフィルタリングを拡張した方式であり、過去に通過したパケットから通信セッションを認識し、受け付けたパケットを通信セッションの状態に照らし合わせて通過させるかを判断する。◎
ファイアウォールのパケットフィルタリング機能にお
けるスタティックフィルタリングとダイナミックフィ
ルタリングの違いを授業資料の用語を使い簡潔に述べ
なさい。
• 回答例:スタティックフィルタリングはフィルタリングルー
ルをあらかじめ固定的に設定し、ダイナミックフィルタリン
グは、要求パケットのセッション情報を記録し、その応答パ
ケットだけを通過させる。
Linuxのiptablesが有していない機能はどれですか。
(1)パケットフィルタリング
(2)ソーシャルエンジニアリング
(3)ステートフルインスペクション
(4)NAT
(2)ソーシャルエンジニアリング ◎
ファイアウォールの構築において、内部ネットワークの構築に使う手法はどれですか。
(1)静的NAT
(2)動的NAT
(3)DMAT
(4)SNAT
(2)動的NAT ◎
iptablesのチェーンに関する記述で適切なものはどれですか。
(1)最初からiptablesに存在するチェーンをビルトインチェーンという。
(2)チェーン内のルールは、下から順に評価される。
(3)チェーンは、パケットの通過を管理するパラメータの種別のことである。
(4)チェーンは、単一のルールを整理するために利用される。
(1)最初からiptablesに存在するチェーンをビルトインチェー
ンという。◎
iptablesのチェーンに関する記述で適切なものはどれ ですか。
(1)INPUTチェーンは、ホストの下位層へのサーバ宛パケットの処理ルールである。
(2)チェーンにつながるそれぞれのNICはネットワーク名を持ち、iptablesの定義にて指定する。
(3)OUTPUTチェーンは、ホストのサーバへ入力されるパケットに対する処理のルールである。
(4)FORWARDチェーンは、パケットをNIC間でルーティン
(4)FORWARDチェーンは、パケットをNIC間でルーティン
• ファイアウォールにおけるアドレス変換に使うテーブルはどれですか。
(1)arpテーブル
(2)addressテーブル
(3)natテーブル
(4)dnatテーブル
(3)natテーブル ◎
DNATに関する記述で適切なものはどれですか。
(1)DNATは、送信元IPアドレスをもとにアドレス変換を行う。
→ 宛先
(2)DNATは、POSTROUTINGチェーンを使う。
(3)DNATは、Dynamic NATである。
(4)DNATは、外部ネットワークからDMZのサーバにアクセ
スする。
(4)DNATは、外部ネットワークからDMZのサーバにアクセ
スする。◎
SNATに関する記述で適切なものはどれですか。
(1)SNATは、POSTROUTINGチェーンを使う。
(2)SNATにより、DMZのサーバから内部のサーバにアクセスできる
(3)SNATは、Secure NATである。
(4)SNATは、宛先IPアドレスをもとにアドレス変換を行う。
(1)SNATは、POSTROUTINGチェーンを使う。◎
• mailサーバのDNATを定義しているiptablesコマンドはど れですか。
(1)iptables -t nat -A POSTROUTING -o eno1 -p tcp --sport 25 -j SNAT --to-source 192.168.1.3:25
(2)iptables -t nat -A PREROUTING -i eno1 -p tcp - -dport 80 -j DNAT --to-destination 192.168.2.2:80
(3)iptables -t nat -A PREROUTING -i eno1 -p tcp - -dport 25 -j DNAT --to-destination 192.168.2.3:25
(4)iptables -t nat -A POSTROUTING
(3)iptables -t nat -A PREROUTING -i eno1 -p tcp - -dport 25 -j DNAT --to-destination 192.168.2.3:25
◎
DHCPに関する記述で適切なものはどれですか。
(1)端末のMACアドレス設定を自動化する技術である。
(2)NATで区切られた各ネットワークのIPアドレスを発行するために使われる。
(3)DHCP接続によりDHCPサーバがIPアドレスを教える。
(4)DHCPクライアントがDHCP応答パケットをブロードキャストで送信しDHCPサーバを探す。
(2)NATで区切られた各ネットワークのIPアドレスを発行す
るために使われる。◎
• コンピュータフォレンジックの説明で適切なものはどれですか。
(1)インシデント発生時に参照する重要な情報源のこと。
(2)攻撃者によりローカルのログが改ざんされること。
(3)外部からの攻撃を受けた時に原因や被害を調べること。
(4)ローカルログが改ざんされてもリモートログが守られること。
(5)各サーバはローカルではなくネットワーク上の口グサーバにログを転送すること
(3)外部からの攻撃を受けた時に原因や被害を調べること。◎
ペネトレーションテストについて、授業資料に記述されている用語を使って簡潔に説明して下さい。
• 回答例:外部から侵入や攻撃を実際に行ない脆弱性をチェッ
クする方法
WAFの説明はどれですか。(情報処理安全確保支援士試験)
(1)Webアプリケーションへの攻撃を検知し阻止する。
(2)Webブラウザの通信内容を改ざんする攻撃をPC内で監視し検出する
(3)サーバのOSへの不正なログインを監視する。
(4)ファイルのマルウェア感染を監視し検出する。
(1)Webアプリケーションへの攻撃を検知し阻止する。◎
IDSの検知方式に関する記述のうち適切なものはどれですか。(情報処理安全確保支援士試験)
(1)アノマリ検知方式は、ネガティブセキュリティを実現している。
(2)アノマリ検知方式では、登録された攻撃の特徴的なパター ンを基に検知する。
(3)シグネチャ検知方式では、シグネチャを最新に維持するこ とに留意する必要がある。
(4)シグネチャ検知方式では、デジタル署名を用いて正規の通
(3)シグネチャ検知方式では、シグネチャを最新に維持するこ とに留意する必要がある。◎
通常はプログラムが実行された時に起動したユーザの権限で実行されるが、他のユーザの権限をもって実行されることをなんといいますか。
(1)実効グループ
(2)実効ユーザ
(3)ユーザ権限
(4)root権限
(2)実効ユーザ ◎
ハニーポッドの説明で適切なものはどれですか。
(1)クラッカーを検出する仕組みである。
(2)クラッカーはシステムの最も上位部分を狙う。
(3)防御側はわざとシステムに弱い部分を作りクラッカーを誘い込む。
(4)クラッカーの行動の監視や識別子を収集する。
(3)防御側はわざとシステムに弱い部分を作りクラッカーを誘
い込む。◎
• ARPスプーフィング攻撃に関する記述はどれですか。(情報処理安全確保支援士試験)
(1)アドレス解決の要求に対して偽装したMACアドレスを応答し、 他人宛ての通信を盗聴する。
(2)L2スイッチのミラーポートを悪用して、プロミスキャスモー ドに設定した端末を用いて他人宛ての通信を盗聴する。
(3)pingコマンドを大量に送りつけ、通信経路のトラフィックを過 負荷状態にして正常な通信を妨害する。
(4)TCPコネクション確立要求の送信元IPアドレスを偽装して、接続先サーバのリソースを枯渇させる。
(1)アドレス解決の要求に対して偽装したMACアドレスを応答し、 他人宛ての通信を盗聴する。◎
IPスプーフィング攻撃に関する記述のうち適切なものはどれですか。
(1)対策は、ファイアウォールによって外部から他組織のIPアドレスを持ったパケットを遮断すること。
(2)送信元IPアドレスを偽装しパケットを外部から流し込む。
(3)他の攻撃において送信先の身元を隠すために使用される。
(4)標的ノードがデータベースホストに指定されていると、攻撃者ノードからのコマンドは無条件で実行される。
(2)送信元IPアドレスを偽装しパケットを外部から流し込む。◎
• MACアドレススプーフィング攻撃に関する記述のうち適切なものはどれですか。
(1)MACアドレスはネットワーク層で使用されるアドレスのこと
(2)送信元を改ざんするさまざまな攻撃の基礎となっている。
(3)MACアドレスは、クラウドのROMに書き込まれているが、 メモリ上でキャッシュされているため変更することが可能である
(4)送信先のMACアドレスを偽装する攻撃である。
(2)送信元を改ざんするさまざまな攻撃の基礎となっている。
◎
• SYNフラッド攻撃に関する記述で適切なものはどれですか。
(1)攻撃側は、TCPのFINセグメントを大量に送信し、その後にACKセグメントを送信しない。
(2)サーバ側では、接続のためのリソースを確保したまま、タイムアウトするまでクライアントからのSYNセグメントを待ち続ける。
(3)サーバ側が意図的に3ウェイハンドシェイクを終了させない。
(4)サーバ側では、リソースを浪費し、他のクライアントからの新規のネットワーク接続が妨害される。
(4)サーバ側では、リソースを浪費し、他のクライアントからの新
規のネットワーク接続が妨害される。◎
バッファオーバーフロー攻撃の説明で適切なものはどれですか。
(1)Python言語で作成されたプログラムのバッファ領域を破壊する
(2)オーバーフローとは想定された容量以下のデータが入力されることである。
(3)SSD内の値を書き換えプログラムを誤作動させる
(4)バッファはメモリのスタック領域に作成される。
(4)バッファはメモリのスタック領域に作成される。◎
スタック領域に関する記述で適切なものはどれですか。
(1)スタックフレームとは関数の変数が格納されるメモリ領域のことである。
(2)必要になると最下段にデータが積まれ、不要になると最下段から開放されるデータ構造である。
(3)プログラム開始の度に、その関数の変数領域が確保されスタックに積まれる。
(4)ポインタとは関数終了時に呼び出し元に復帰するためのアドレスのことである
(1)スタックフレームとは関数の変数が格納されるメモリ領域
のことである。◎
ローカル変数の改ざんを使ったBOF攻撃において行われる動作はどれですか。
(1)ローカル変数に定義された以上のデータを送信する。
(2)ローカル変数に文字列をコピーする。
(3)ローカル変数のメモリを上書きする。
(4)ローカル変数を使って関数呼び出しをしない。
(3)ローカル変数のメモリを上書きする。◎
シェルコードを使った攻撃がどのように行われるのか授業資料をもとに簡潔に説明して下さい。
• 回答例:攻撃者が、関数の復帰アドレスをシェルコードの先
頭アドレスに改ざんすることで、関数の処理が完了すると
シェルコードが実行されてしまう。
バッファオーバーフロー攻撃の対策で適切でないものはどれですか。
(1)ASLR
(2)SSL
(3)PIE
(4)安全なC言語ライブラリの利用
(2)SSL ◎ → SSP
• スタック領域のアドレスをランダム化することによって攻撃者からアドレスを隠蔽する手法を何といいますか。
(1)SSP
(2)PIE
(3)ASLR
(4)RBP
(3)ASLR ◎
• 実行プログラム本体の実行コードのアドレスを可変にする手法を何といいますか。
(1)SSP
(2)PIE
(3)ASLR
(4)RBP
(2)PIE ◎
• スタック内のローカル変数と復帰アドレスの間にcanaryを入れることでBOF攻撃を検出する手法を何といいますか。
(1)SSP
(2)PIE
(3)ASLR
(4)RBP
(1)SSP ◎
• 書式文字列攻撃の説明として適切なものはどれですか。
(1)printf関数による文字列取得機能を悪用している。
(2)scanf関数で書式が %s の場合、メモリを動的に確保してデータを受け取ってしまう。
(3)printf関数では、呼び出し時のレジスタやスタックの値を定数として扱うことができてしまう。
(4)printf関数において本来の引数の数を超えて指定しても実行してしまう。
(4)printf関数において本来の引数の数を超えて指定しても実
行してしまう。◎
一般的にWebアプリケーションの基本構造に含まれないものはどれですか。
(1)HTML
(2)ICMP
(3)CSS
(4)JavaScript
(2)ICMP ◎
Webサーバ上でOSコマンドを不正に実行させる攻撃を何といいますか?
(1)サニタイジング
(2)クロスサイトスクリプティング
(3)セッションハイジャック
(4)OSコマンドインジェクション
4)OSコマンドインジェクション ◎
JavaScriptについての記述で適切なものはどれですか。
(1)通信処理待ちやマウスイベントなどの非同期処理に強い。
(2)ブラウザの文書構造をJavaScriptオブジェクトとして表現したものをJSONという。
(3)ブラウザでの処理を目的に開発されたコンパイラ言語である。
(4)JavaScriptのデータ表現法をDOMといい、Web上でのデータ交換の標準となっている。
(1)通信処理待ちやマウスイベントなどの非同期処理に強い。
◎
JavaScriptの文法に関する説明で適切なものはどれで すか。
(1)タイマーによる非同期処理では、setInterval()によって指 定時間が経過すると関数を一度だけ実行することができる。
(2)イテレータとは配列の木構造に沿った処理の繰り返しのことである。
(3)スプレッド構文による分割代入を行うことができる。
(4)変数名は先頭が小文字であるアッパーキャメルケースを使
(3)スプレッド構文による分割代入を行うことができる。◎
• JavaScriptとDOMの関係についての説明で適切なも のはどれですか。
(1)getElementById(セッションID).textContentを使って要 素のコンテナを取得することができる。
(2)JavaScriptではDOM要素を使ってメモリの内容にアクセ スできる。
(3)同期ハンドラがDOM要素の属性になっている。
(4)document.cookieによりクッキーを参照し更新すること
(4)document.cookieによりクッキーを参照し更新すること
• サニタイジングについて授業資料の用語を用いて簡潔に説明して下さい。
• 回答例:クロスサイトスクリプティングへの対策として
HTMLタグなどの文字列を無害化すること。
セッションハイジャックに関する説明で適切なものはどれ ですか。
(1)盗んだクッキーを使ってセッションを乗っ取り、購入処理など の不正を行う。
(2)ユーザがログイン後、Webサーバに保管しているクッキー内 のセッションIDを窃取する攻撃である。
(3)httpはクライアントとのセッションの維持を行わないので、 Webサーバ側でセッションの状態を管理する必要がある。
(4)Webアプリケーションのログイン時にクッキーへセッションIDを設定されると、document.coolieで参照できてしまう
(4)Webアプリケーションのログイン時にクッキーへセッションIDを設定されると、document.coolieで参照できてしまう
• クロスサイトスクリプティングの説明で適切なものはどれですか。
(1)ブラウザでなく、WebサーバへのURLやcurlコマンドでも実行可能である。
(2)Webの静的ページのユーザ入力を使った攻撃である。
(3)入力フィールドにDOMのコードを埋め込んで攻撃する。
(4)入力フィールドに「<script>alert(document.dom)</script>」を入れるとクッ キーに保存されているセッションIDが参照できてしまう。
(1)ブラウザでなく、WebサーバへのURLやcurlコマンドでも実
行可能である。◎
クロスサイトスクリプティングによる攻撃を防止する対策 はどれですか。(情報処理安全確保支援士試験)
(1)WebサーバにSNMPエージェントを常駐稼働させ、Webサー バの負荷状態を監視する。
(2)Webサイトへの入力データを表示するときに、HTMLで特別 な意味を持つ文字のサニタイジング処理を行う。
(3)WebサーバのOSのセキュリティパッチについて、常に最新の ものを適用する。
(4)Webサイトへのデータ入力について、許容範囲を超えた大き
(2)Webサイトへの入力データを表示するときに、HTMLで特別 な意味を持つ文字のサニタイジング処理を行う。◎
CSRFに関する説明で適切なものはどれですか。
(1)ファイル名を指定してファイルをダウンロードするWebアプ リにおいて、ディレクトリを指定できると任意のファイルがダ ウンロードできてしまう。
(2)罠サイトの閲覧によって、強制的に意図しない動作を行わさせられてしまう。
(3)WebサーバにアクセスされたURLの全情報が記録され、攻撃 者に知らないうちにアクセスされると秘密情報が漏洩する。
(4)URLの引数部分に秘密の情報が含まれていればそのまま記録されてしまう。
(2)罠サイトの閲覧によって、強制的に意図しない動作を行わさせ
られてしまう。◎
HTTP上でセッションを実現する一般的な方法の説明で適切なものはどれですか。
(1)ログインが成功するとセッションIDを作成してユーザを識別する。
(2)Webサーバ側ではセッションIDを保管する。
(3)Webブラウザは、DBによってセッションIDを検証する。
(4)Webサーバは、セッションの無効を認識する。
(1)ログインが成功するとセッションIDを作成してユーザを識
別する。◎
ブラウザからWebサーバへCookieを送信するときのヘッダはどれですか。
(1)Cookie
(2)Set-Cookie
(3)HttpOnly
(4)Content-Type
(1)Cookie ◎
• HTML5の WebStrage とはどのような仕様ですか。
(1)Cookieは毎回自動送信されるが、WebStrageは自動送信されないのでセキュリティに強い。
(2)WebStrageは、HTMLに代わるブラウザ側の新しいストレージの仕様である
(3)Cookieが4Mバイトであるのに対して、WebStorageは5Mバイトの容量がある。
(4)WebStrageはセッション管理用と永続保管用のCookieを有する。
(1)Cookieは毎回自動送信されるが、WebStrageは自動送信
されないのでセキュリティに強い。◎
同一オリジンポリシーについて授業資料内の用語を用い簡潔に説明して下さい。
• 回答例:オリジンの3つ組であるプロトコル、サーバ、ポー
ト番号をリソース保護の境界とし、混合を禁止すること。
JavaScriptによる攻撃を避けるためにCookieに持たせるべき属性はどれですか。
(1)Set-Cookie
(2)HttpOnly
(3)Content-Type
(4)Cookie
(2)HttpOnly ◎
• SQLインジェクションに関する説明で適切なものはどれですか。
(1)SQLのレスポンスに不正な文字を混入させ、データベースを誤作動させる攻撃である
(2)SQLログインの機能を悪用し、AND条件を回避すること がある。
(3)SQLのSELECT文を不正に挿入することによりデータ ベース全体を破壊する場合がある。
(4)クレジットカード情報などの個人情報漏洩の多くがSQLインジェクション攻撃によるものである。
(4)クレジットカード情報などの個人情報漏洩の多くがSQLインジェクション攻撃によるものである。◎
SQLインジェクション対策の説明として適切なものはどれですか。
(1)利用するSQLにおいて入力部分を無害化するプレースホルダ
を用いる。
(2)入力文字列をプレースホルダして無害化する。
(3)パスワード文字列、ユーザIDの文字列などの入力内容が正しいかを事前に確認する。
(4)db.execute(“select * from user where user=(?)pw=(?)”,
(3)パスワード文字列、ユーザIDの文字列などの入力内容が正しい
かを事前に確認する。◎
• Webブラウザからサーバに渡されるパラメータを変更し、サーバのプログラムを誤作動させる攻撃に使われるHTMLの属性名はどれですか。
(1)text
(2)submit
(3)passward
(4)hidden
(4)hidden ◎
チャレンジ・アンド・レスポンス法についての記述で適切なものはどれですか。
(1)本人固有の筆跡による認証を行うことで、相手に秘密その ものは教えずに認証が可能になる。
(2)チャレンジは定数、そのレスポンスは計算結果が使われる。
(3)検証者がチャレンジを発生し、本人がチャレンジに対して暗号鍵を使った固有の計算を行う。
(4)本人は、その計算結果を利用して検証者であることを確認する。
(3)検証者がチャレンジを発生し、本人がチャレンジに対して
暗号鍵を使った固有の計算を行う。◎
• デジタル署名についての記述で適切なものはどれですか。
(1)前提として検証者は署名作成者の秘密鍵を持っている。
(2)メッセージのハッシュ値を作成者の秘密鍵で暗号化することで署名を作成する。
(3)作成者は署名作成者の公開鍵で検証を行う。
(4)デジタル署名によって、メッセージの検証者や改ざんされていないことが証明できる。
(2)メッセージのハッシュ値を作成者の秘密鍵で暗号化するこ
とで署名を作成する。◎
PKIについての記述で適切なものはどれですか。
(1)PKIは、暗号利用のための社会基盤であり、共通鍵暗号基盤ともいう。
(2)PKIは、デジタル署名や証明書の形式とデータ内容を示している。
(3)PKIにより、全員が自分の公開鍵と秘密鍵を持ち、相互に、認証、署名、暗号通信を可能となる。
(4)共通鍵暗号方式であれば、n人のための暗号鍵はn対でよいので、現実的な暗号基盤を構築できる。
(3)PKIにより、全員が自分の公開鍵と秘密鍵を持ち、相互に、
認証、署名、暗号通信を可能となる。◎
• CAについて授業資料内の用語を使い簡潔に説明して下さい。
• 回答例:公開鍵証明書を発行する信頼できる第三者のことで
あり、電子認証局ともいう。
公開鍵証明書についての記述で適切なものはどれですか。
(1)公開鍵証明書は、公開鍵と本人との結合を証明するデータである。
(2)信頼できる第三者が、本人確認後、秘密鍵にデジタル署名したもの。
(3)本人の公開鍵を使って公開鍵証明書の正統性を検証する。
(4)電子認証局は下位へ向かって連鎖しており、上位のデジタル署名は下位の公開鍵証明書によって検証できる。
(1)公開鍵証明書は、公開鍵と本人との結合を証明するデータ
である。◎
公開鍵証明書の発行手順についての記述で適切なものはどれですか。
(1)申請者がCAを作成する。
(2)申請者がCSRをCAに送付する。
(3)申請者が公開鍵証明書を作成する。
(4)申請者が公開鍵証明書をCAへ送付する。
2)申請者がCSRをCAに送付する。◎
PKIの標準についての記述で適切なものはどれですか。
(1)X.505は、現時点のPKIで最も普及している公開鍵証明書の標準である。
(2)デジタル署名には、証明書の署名アルゴリズムと署名そのものが含まれている。
(3)公開鍵証明書内の本名の記述にはS/MIMEが使われている。
(4)RSA Security社が定めた暗号を安全に利用するための運用技術をPKCSという。
(4)RSA Security社が定めた暗号を安全に利用するための運
用技術をPKCSという。◎
マイナンバーカードについての記述で適切でないものはどれですか。
(1)マイナンバーカードは、電子署名及び認証業務に関する法律にて正式に運用されている。
(2)マイナンバーカードのICチップには、署名用電子証明書と利用者証明用デジタル署名が含まれている。
(3)マイナンバーカードでは、公的個人認証サービスであるJPKIを利用している。
(4)JPKIは、インターネット上での本人確認に必要な電子証明書を日本国民に対して提供するサービスであり、住民基本台帳に
(2)マイナンバーカードのICチップには、署名用電子証明書と利用
者証明用デジタル署名が含まれている。◎ → 電子証明書
デジタル署名に用いる鍵の組合せのうち、適切なものはどれですか。(情報処理安全確保支援士試験)
(1)署名作成の鍵=共通鍵、署名検証の鍵=秘密鍵
(2)署名作成の鍵=公開鍵、署名検証の鍵=秘密鍵
(3)署名作成の鍵=秘密鍵、署名検証の鍵=共通鍵
(4)署名作成の鍵=秘密鍵、署名検証の鍵=公開鍵
(4)署名作成の鍵=秘密鍵、署名検証の鍵=公開鍵 ◎
CRLに掲載されるものはどれですか。(情報処理安全確保支援士試験)
(1)有効期間内に失効した公開鍵証明書の公開鍵
(2)有効期限切れになった公開鍵証明書の公開鍵
(3)有効期間内に失効した公開鍵証明書のシリアル番号
(4)有効期限切れになった公開鍵証明書のシリアル番号
(3)有効期間内に失効した公開鍵証明書のシリアル番号 ◎
HTTPのセキュリティ上の問題で適切でないものはどれですか。
(1)パスワードやクレジットカード番号を安心して送信することができる。
(2)本物のサイトと偽のサイトの区別がつかない。
(3)通信内容の盗聴が可能である。
(4)偽のサイトに誘導される可能性がある。
(1)パスワードやクレジットカード番号を安心して送信するこ
とができる。◎
SSL/TLSは何層のプロトコルですか。
(1)アプリケーション層
(2)トランスポート層
(3)インターネット層
(4)ネットワークインタフェース層
(2)トランスポート層 ◎
• SSL/TLSの基本機能でないものはどれですか。
(1)暗号化
(2)完全性保証
(3)認証
(4)可用性保証
(4)可用性保証 ◎
TLSハンドシェークプロトコルについての記述で適切なものはどれですか。
(1)サーバとクライアントの間で暗号鍵の生成を行う。
(2)マスターシークレットを生成するための元となる乱数のデータをプレマスターシークレットという。
(3)サーバとクライアントで利用する暗号技術を証明する。
(4)共通鍵証明書による認証を行う。
(2)マスターシークレットを生成するための元となる乱数の
データをプレマスターシークレットという。◎
• TLSレコードプロトコルについての記述で適切なものはどれですか。
(1)メッセージをフラグメントに分割し、フラグメント単位で実行する。
(2)公開鍵暗号を利用してデータを暗号化する。
(3)サーバとクライアントで合意した圧縮アルゴリズムを利用してプロトコルヘッダを圧縮する。
(4)PKCSによりデータの完全性を保証する。
(1)メッセージをフラグメントに分割し、フラグメント単位で
実行する。◎
• サーバ認証とクライアント認証の違いについて、適切なも のはどれですか。
(1)サーバ認証は、クライアントがサーバ証明書でサーバが本物で あることを確認する。クライアント認証は、サーバがクライア ント証明書でサーバの認証を行う。
(2)サーバ認証は、クライアントがサーバ証明書でサーバが本物で あることを確認する。クライアント認証は、サーバがクライア ント証明書でユーザの認証を行う。
(3)サーバ認証ではサーバ内に公開鍵を置く。クライアント認証で は、ブラウザに秘密鍵を置く。
(4)サーバ認証ではサーバ内に秘密鍵を置く。クライアント認証で
(2)サーバ認証は、クライアントがサーバ証明書でサーバが本物で あることを確認する。クライアント認証は、サーバがクライア ント証明書でユーザの認証を行う。◎
TLSハンドシェイクプロトコルの機能について適切な記述はどれですか。
(1)TLSハンドシェイクプロトコルは、認証、鍵交換、管理仕様の合意の機能を持つ。
(2)認証では、共通鍵証明書を利用し、サーバ認証とクライア ント認証がある。
(3)サーバとクライアントで利用する、公開鍵暗号、共通鍵暗号、ハッシュ関数の暗号技術を合意する。
(4)鍵交換では、サーバとクライアントの間で公開暗号鍵の共有を行う。
(3)サーバとクライアントで利用する、公開鍵暗号、共通鍵暗
号、ハッシュ関数の暗号技術を合意する。◎
• TLSレコードプロトコルに関する記述で適切なものはどれですか。
(1)AESなどの共通鍵暗号を利用してデータを暗号化する。
(2)サーバとクライアントで宣言した圧縮アルゴリズムを使っ てメッセージの圧縮を行う。
(3)データの完全性を保証するためにメッセージ認証であるハッシュを付加する。
(4)メッセージをフレームに分割し、フレーム単位で実行する。
(1)AESなどの共通鍵暗号を利用してデータを暗号化する。
◎
TLSのブロック暗号のCBCモードに対する仲介者攻撃の例はどれですか。
(1)圧縮サイドチャンネル攻撃
(2)暗号化パターンによる解読
(3)BEAST攻撃
(4)POODLE攻撃
(4)POODLE攻撃 ◎
インターネットに接続された利用者のPCから、DMZ上の公開Webサイトにア クセスし、利用者の個人情報を入力すると、その個人情報が内部ネットワーク のデータベースサーバに蓄積されるシステムがある。このシステムにおいて、 利用者個人のデジタル証明書を用いたTLS通信を行うことによって期待できる セキュリティ上の効果はどれですか。(安全確保支援士試験)
(1) PCとDBサーバ間の通信データを暗号化すると共に、正当なDBサーバであるかを 検証することができる。
(2) PCとDBサーバ間の通信データを暗号化すると共に、利用者を認証することがで きる。
(3) PCとWebサーバ間の通信データを暗号すると共に、利用者を認証することがで きる
(4) PCとWebサーバ間の通信データを暗号化すると共に、正当なDBサーバであるか
(3) PCとWebサーバ間の通信データを暗号すると共に、利用者を認証することがで きる。◎
エンティティとアイデンティティに関する記述で適切なものはどれですか。
(1)エンティティは、アイデンティティが持つ属性の集合である。
(2)クレデンシャルは、エンティティ認証に用いるアイデンティティ情報である。
(3)アイデンティティ認証は、クレデンシャルで属性情報を証明することであり、Authorizationともいう。
(4)認可は、ポリシーに基づいてアクセス権限を決定することであり、Authenticationともいう。
2)クレデンシャルは、エンティティ認証に用いるアイデンティ
ティ情報である。◎
• IMSに関する記述で適切なものはどれですか。
(1)アイデンティティ情報の保管庫をアイデンティティレジスターという。
(2)アイデンティティ情報の検証をIdPに依拠する主体をDIDという。
(3)IMSとはエンティティ管理システムのことである。
(4)アイデンティティ情報を維持/管理/提供する主体をRPという。
(1)アイデンティティ情報の保管庫をアイデンティティレジス
ターという。
• IMSのプロセスのうち、アカウントを有効化し、エンティティがリソースへアクセス可能にするものを何といいますか。
(1)登録
(2)活性化
(3)調整
(4)停止/再開
(5)保管/削除/再確立
(2)活性化 ◎
• ひとつだけのIdPへリダイレクトすることによりユーザ認証を行う方式を何といいますか。
(1)IdP認証
(2)クレーム
(3)Authorization
(4)ID連携
(4)ID連携 ◎
OpenID connectに関する記述で適切でないものはどれですか。
(1)アクセストークンに加えてIDトークンを発行する。
(2)ID連携のためのフレームワークである。
(3)OAuth 2.0の拡張仕様である。
(4)アクセストークンは、認証済アイデンティティを意味するトークンである。
(4)アクセストークンは、認証済アイデンティティを意味する
トークンである。◎ → IDトークン
• JSONに関する記述で適切なものはどれですか。
(1)JWTは、Web上の認証や認可トークンの標準形式である。
(2)JWTは、JSONデータに対するデジタル署名の標準的方法である。
(3)JSONは、認証サーバ間で利用される標準のデータ形式である。
(4)JSONは、Webサーバ内部のコミュニケーションで用いられる。
(1)JWTは、Web上の認証や認可トークンの標準形式である。
◎
Webアプリのマイクロサービス化に関する記述で適切なものはどれですか。
(1)マイクロサービスは、機能ごとに独立したWebサービスの集合体である。
(2)マイクロサービスは、Web APIによって相互接続する密結合システムである。
(3)マイクロサービスには、Google AppやAmazon Appな どがある。
(4)マイクロサービスのWebサービスは、全機能を一つに詰
(1)マイクロサービスは、機能ごとに独立したWebサービス
の集合体である。◎
以下の認証処理の中で、FIDOに基づいたものはどれですか。(安 全確保支援士試験)
(1) SaaS接続時の認証において、PINコードとトークンが表示したワン タイムパスワードをPCから認証サーバへ送信した。
(2) SaaS接続時の認証において、スマートフォンで顔認証した後、ス マートフォン内の秘密鍵でデジタル署名を生成し、認証サーバへ送 信した。
(3) インターネットバンキング接続時の認証において、PCに接続された カードリーダを使い、利用者のキャッシュカードからクライアント 証明書を読み取って認証サーバへ送信した。
(4) インターネットバンキング接続時の認証において、スマートフォン
(2) SaaS接続時の認証において、スマートフォンで顔認証した後、ス マートフォン内の秘密鍵でデジタル署名を生成し、認証サーバへ送 信した。◎
OAuthにおいて、RPであるWebサービスAの利用者Cが、ASとRSを持つWebサービスBにリソースDを所有している。利用者C の承認の下、WebサービスAが、リソースDへのアクセス権限を 取得するときのOAuthの動作はどれですか。(安全確保支援士試験)
(1) WebサービスAが、アクセストークンを発行する。
(2) WebサービスAが、利用者Cのデジタル証明書をWebサービスBに送信する
(3) WebサービスBが、アクセストークンを発行する。
(4) WebサービスBが、利用者Cのデジタル証明書をWebサービスAに送信する。
(3) WebサービスBが、アクセストークンを発行する。◎
• 個人情報保護法 第2条第1項の特定の個人を識別することができる情報の例はどれですか。
(1)位置情報
(2)通信履歴
(3)住民基本台帳
(4)購買履歴
(3)住民基本台帳 ◎
• 個人情報保護法 第2条第2項の個人識別符号の例はどれですか。
(1)生年月日
(2)性別
(3)マイナンバー
(3)マイナンバー ◎
• プライバシ情報に関する記述で適切なものはどれですか。
(1)プライバシ情報は、個人の行動や嗜好などの個人の尊厳に関連する情報である。
(2)プライバシは憲法13条に規定される基本的情報の一つである。
(3)GDPRは、日本における個人データの保護に対する権利という基本的人権の保護を目的とした法律である。
(4)個人の機密性を表す個人情報とは別の概念である。
(1)プライバシ情報は、個人の行動や嗜好などの個人の尊厳に
関連する情報である。◎
個人データで、他の属性との組み合わせで個人を特定できる可能性があるものを何といいますか。
(1)属性
(2)識別子
(3)履歴
(4)データベース
(1)属性 ◎
匿名加工に関する記述で適切なものはどれですか。
(1)匿名加工とは仮名から識別子を変更できなくする技術である。
(2)項目削除では、データを上位概念に変更する。
(3)一般化では、住所や年齢などのデータベースのカラムごと情報を削除する。
(4)ミクロアグリゲーションでは、データをしきい値以上にグループ化し、その代表値に置き換える。
(4)ミクロアグリゲーションでは、データをしきい値以上にグ
ループ化し、その代表値に置き換える。◎
匿名加工情報とはどのような技術ですか。
(1)匿名加工情報から個人情報が復元されるという識別のリスクがある。
(2)匿名加工情報は、データ解析目的で第三者に提供してはならない
(3)匿名加工情報とは、データ主体とデータとの相関を取り除いた情報のことである。
(4)複数の履歴が同一人物のものであることがわかるという特定のリスクがある。
(3)匿名加工情報とは、データ主体とデータとの相関を取り除
いた情報のことである。◎
• 仮名化と匿名化の違いについての記述で適切なものはどれですか。
(1)匿名加工情報は、第三者提供に制限はない。
(2)匿名加工情報は、その情報を他の情報と結びつけることで個人情報が復元できてよい。
(3)仮名加工情報は、利用目的を公表しなくてもよい。
(4)仮名加工情報からの再識別を行う行為は禁止されていない。
(1)匿名加工情報は、第三者提供に制限はない。◎
k-匿名性に関する記述で適切なものはどれですか。
(1)ミクロアグリゲーションは、値を墨塗りすることであり、情報量が減るのでデータ解析としては使いにくくなる。
(2)k-匿名性とは、疑似識別子に対して少なくともk個のレコードが存在することである。
(3)kはしきい値で、kが小さいほど安全である。
(4)抑制では、数値属性に注目しデータをグループ化して匿名化する。
(2)k-匿名性とは、疑似識別子に対して少なくともk個のレ
コードが存在することである。◎
CookieによるWeb閲覧履歴の追跡に関する記述で適切なものはどれですか。
(1)サードパーティクッキー規制では、サーバでサードティ クッキーをブロックする。
(2)改正電気通信事業法のCookie規制では、Cookieが個人関 連情報として定義された。
(3)個人情報保護法では、Cookieを電気通信役務利用者情報として規制している。
(4)ユーザのブラウザにCookieを埋め込み、トラッキングでユーザの閲覧履歴を収集する
(4)ユーザのブラウザにCookieを埋め込み、トラッキングでユーザの閲覧履歴を収集する
オプトインとオプトアウトに関する記述で適切なものはどれですか。
(1)GDPRでは、Cookieなどによる個人データ取得を開始する場合、明示的なオプトアウトが必要である
(2)迷惑メール防止法では、広告や宣伝メールはオプトインした人にしか送ってはいけない。
(3)オプトアウトでは、ユーザがサービス参加の意思表明したときだけ参加される。
(4)オプトインでは、ユーザがサービス停止の意思表明したときに停止できる。
(2)迷惑メール防止法では、広告や宣伝メールはオプトインした人
にしか送ってはいけない。◎
X
LINE
はてな
アプリ
QRコード
URLコピー