-
• 身近な例で紹介されたセキュリティカメラの画像漏洩のリスクは「セキュリティ要件」の中のどれに該当しますか。
(1)機密性
-
• 情報システムの利便性とセキュリティの関係について正しいものはどれですか。
(3)運営組織によって利便性とセキュリティのバランスは異な
る。◎
-
• リスクマネジメントに関する記述で正しくないものはどれですか。
(5)脆弱性とはシステム外部の弱点のことである。◎ →内部
-
• リスクアセスメントに含まれていないものはどれですか。
(2)リスク対策
-
• リスク対策の中で、リスクが与える影響や対策費用を考え、そのまま無視することを何といいますか。
(5)リスク保有
-
• ISMSにおいて定義することが求められている情報セキュ リティ基本方針に関する記述のうち適切なものはどれですか。(情処技術者試験高度試験 午前問題)
(1)情報セキュリティのための経営陣の方向性を規定する。 ◎
-
• リスクを発生する可能性のあるイベントはどれですか。
(4)インシデント ◎
-
大量のアクセスによりWebサービスを停止する攻撃に対応するセキュリティ要件はどれですか。
(3)可用性 ◎
-
セキュリティ要件の信頼性に対する攻撃はどれですか。
(4)修正攻撃 ◎
-
• セキュリティ要件の三大要件はどれですか。
(2)Integrity、Confidentiality、Availability ◎
-
• 「不正アクセス行為の禁止に関する法律」において対象としていない行為はどれですか。
(3)自分の識別符号を不正に保管する行為 ◎ → 他人
-
• アクセス制御の基本モデルでコンピュータの中の世界でプロセスによる読む書く事項などのファイルへの操作を制御する機能を何といいますか。
(3)アクセス制御 ◎
-
MACの説明として正しいものはどれですか。
(2)組織を管理権限者とし、情報管理ポリシーにしたがって集
中的に情報を管理する。◎
-
• MACによる情報管理ポリシー定義方法として適切なものはどれですか。
(4)機密性レベルとカテゴリの組み合わせで情報を分類し、それぞれについてアクセス方法を定義する。◎
-
DACでは、どの主体がファイルへのアクセスを管理しますか。
(1)ファイル所有者 ◎
-
• 一人のユーザは、何個の副グループをもつことができますか
(4)いくつでも ◎
-
あるファイルのパーミッションが「所有者が読み書き実行できる」「グループのメンバーが読み書きができる」「そのほかの人は読みだけができる」という状態の表記はどれですか。
(3)rwxrw-r-- ◎
-
• ファイル名 testを「所有者が読み書き実行できる」「グループのメンバーが読み書きができる」「そのほかの人は読みだけができる」というパーミッションに変更するコマンドはどれですか。
(1)chmod 764 test ◎
-
パスワードファイル(/etc/passwd)の所有者はroot であり、 所有者だけが書き込み権限を持っているにもかかわらず、一般 ユーザが passwd コマンドをつかってパスワードファイルを更 新できるのはなぜですか。
(2) passwdコマンドはSUIDがセットされており、passwdファイルの 所有者のrootの権限で動作するので、rootしか更新できない /etc/passwd ファイルが更新できる。◎
-
パーミッションが777のディレクトリに対して、その配下の情報を所有者以外からアクセスできないようにするためには、パーミションを8進数でどのように変更すればよいですか。
(3)766 ◎
-
新規ファイルの作成時のパーミッションを 664 にするには、umask をどのように設定しますか。
(2)umask 002 ◎
-
認証と承認に関する記述で正しいものはどれですか。
(2)パスワード認証によりその人が誰であるかを判断できる。
◎
-
パスワード認証について適切な記述はどれですか。
(3)チャレンジ&レスポンス認証ではパスワードをネットワー
ク上に流さない。◎
-
ハッシュ値化に関する記述で適切なものはどれですか。
(1)データからハッシュ値を計算することは簡単だが、ハッ
シュ値からもとのデータを復元することは非常に困難であ
る。◎
-
ネットワーク上で認証を行うサーバはどれですか。
2)RADIUS ◎
-
• チャレンジ&レスポンス認証の特徴として適切なものはどれですか。(情報処理技術者試験 高度試験)
(4)利用者が入力したパスワードと、サーバから送られたランダムなデータとをクライアント側で演算子、その結果を送信する。◎
-
ブルートフォース攻撃についての記述で適切なものはどれですか。
(3)パスワードがランダムな文字列の場合に、可能なパターンを総
当たりで解析する。◎
-
パフワードクラッキングの説明で適切なものはどれですか。
(2)パスワードクラッカーは、辞書、類推、総当たりなどでパ
スワードを見つけるツールである。◎
-
レインボーテーブルに関する記述で適切なものはどれですか。
(1)レインボーテーブルは、ハッシュ値からパスワードを推定 するための文字列を集めたテーブルである。◎
-
• キーロガーとは何かを授業資料の用語を用いて簡潔に記述して下さい。
回答例:キーボード入力を横取りして攻撃者に通知するツール
-
多段階認証・多要素認証に関する記述で適切なものはどれですか。
(4)SMS認証では、パスワードログイン後に事前に指定した スマートフォンにPINを送り、PIN入力によりログインす
る。◎
-
修正攻撃に関する記述で適切なものはどれですか。
(4)WWWサーバへのデータアップロード時に、盗聴したパス ワードを使って別のデータがアップロードされる攻撃であ
る。◎
-
• ポートスキャンに関する記述で適切なものはどれですか。
(2)TCPやUDPのポート番号に無差別に接続要求を送る。◎
-
ポートスキャンに使われるLinuxのツールはどれですか。
(3)nmap ◎
-
静的NATに関する記述として適切なものはどれですか。
(1)NATで指定した以外のポート番号にはアクセスできない。
◎
-
システムやネットワークに負荷をかけ、ユーザがサービスを利用できないようにする攻撃はどれですか。
(4)DoS攻撃 ◎
-
ファイアウォールにおいて、192.0.2.20からのパケットを全く通過させないACLの設定はどれですか。
(4)access-list 100 deny ip 192.0.2.20 0.0.0.0 any ◎
-
ステートフルインスペクション方式のファイアウォールの特徴はどれ ですか。(情報処理安全確保支援士試験 午前II)
(4) パケットフィルタリングを拡張した方式であり、過去に通過したパケットから通信セッションを認識し、受け付けたパケットを通信セッションの状態に照らし合わせて通過させるかを判断する。◎
-
ファイアウォールのパケットフィルタリング機能におけるスタティックフィルタリングとダイナミックフィルタリングの違いを授業資料の用語を使い簡潔に述べなさい。
• 回答例:スタティックフィルタリングはフィルタリングルー
ルをあらかじめ固定的に設定し、ダイナミックフィルタリン
グは、要求パケットのセッション情報を記録し、その応答パ
ケットだけを通過させる。
-
Linuxのiptablesが有していない機能はどれですか。
(2)ソーシャルエンジニアリング ◎
-
ファイアウォールの構築において、内部ネットワークの構築に使う手法はどれですか。
(2)動的NAT ◎
-
iptablesのチェーンに関する記述で適切なものはどれですか。
(1)最初からiptablesに存在するチェーンをビルトインチェー
ンという。◎
-
iptablesのチェーンに関する記述で適切なものはどれ ですか。
(4)FORWARDチェーンは、パケットをNIC間でルーティン
-
• ファイアウォールにおけるアドレス変換に使うテーブルはどれですか。
(3)natテーブル ◎
-
DNATに関する記述で適切なものはどれですか。
(4)DNATは、外部ネットワークからDMZのサーバにアクセ
スする。◎
-
SNATに関する記述で適切なものはどれですか。
(1)SNATは、POSTROUTINGチェーンを使う。◎
-
• mailサーバのDNATを定義しているiptablesコマンドはど れですか。
(3)iptables -t nat -A PREROUTING -i eno1 -p tcp - -dport 25 -j DNAT --to-destination 192.168.2.3:25
◎
-
DHCPに関する記述で適切なものはどれですか。
(2)NATで区切られた各ネットワークのIPアドレスを発行す
るために使われる。◎
-
• コンピュータフォレンジックの説明で適切なものはどれですか。
(3)外部からの攻撃を受けた時に原因や被害を調べること。◎
-
ペネトレーションテストについて、授業資料に記述されている用語を使って簡潔に説明して下さい。
• 回答例:外部から侵入や攻撃を実際に行ない脆弱性をチェッ
クする方法
-
WAFの説明はどれですか。(情報処理安全確保支援士試験)
(1)Webアプリケーションへの攻撃を検知し阻止する。◎
-
IDSの検知方式に関する記述のうち適切なものはどれですか。(情報処理安全確保支援士試験)
(3)シグネチャ検知方式では、シグネチャを最新に維持するこ とに留意する必要がある。◎
-
通常はプログラムが実行された時に起動したユーザの権限で実行されるが、他のユーザの権限をもって実行されることをなんといいますか。
(2)実効ユーザ ◎
-
ハニーポッドの説明で適切なものはどれですか。
(3)防御側はわざとシステムに弱い部分を作りクラッカーを誘
い込む。◎
-
• ARPスプーフィング攻撃に関する記述はどれですか。(情報処理安全確保支援士試験)
(1)アドレス解決の要求に対して偽装したMACアドレスを応答し、 他人宛ての通信を盗聴する。◎
-
IPスプーフィング攻撃に関する記述のうち適切なものはどれですか。
(2)送信元IPアドレスを偽装しパケットを外部から流し込む。◎
-
• MACアドレススプーフィング攻撃に関する記述のうち適切なものはどれですか。
(2)送信元を改ざんするさまざまな攻撃の基礎となっている。
◎
-
• SYNフラッド攻撃に関する記述で適切なものはどれですか。
(4)サーバ側では、リソースを浪費し、他のクライアントからの新
規のネットワーク接続が妨害される。◎
-
バッファオーバーフロー攻撃の説明で適切なものはどれですか。
(4)バッファはメモリのスタック領域に作成される。◎
-
スタック領域に関する記述で適切なものはどれですか。
(1)スタックフレームとは関数の変数が格納されるメモリ領域
のことである。◎
-
ローカル変数の改ざんを使ったBOF攻撃において行われる動作はどれですか。
(3)ローカル変数のメモリを上書きする。◎
-
シェルコードを使った攻撃がどのように行われるのか授業資料をもとに簡潔に説明して下さい。
• 回答例:攻撃者が、関数の復帰アドレスをシェルコードの先
頭アドレスに改ざんすることで、関数の処理が完了すると
シェルコードが実行されてしまう。
-
バッファオーバーフロー攻撃の対策で適切でないものはどれですか。
(2)SSL ◎ → SSP
-
• スタック領域のアドレスをランダム化することによって攻撃者からアドレスを隠蔽する手法を何といいますか。
(3)ASLR ◎
-
• 実行プログラム本体の実行コードのアドレスを可変にする手法を何といいますか。
(2)PIE ◎
-
• スタック内のローカル変数と復帰アドレスの間にcanaryを入れることでBOF攻撃を検出する手法を何といいますか。
(1)SSP ◎
-
• 書式文字列攻撃の説明として適切なものはどれですか。
(4)printf関数において本来の引数の数を超えて指定しても実
行してしまう。◎
-
一般的にWebアプリケーションの基本構造に含まれないものはどれですか。
(2)ICMP ◎
-
Webサーバ上でOSコマンドを不正に実行させる攻撃を何といいますか?
4)OSコマンドインジェクション ◎
-
JavaScriptについての記述で適切なものはどれですか。
(1)通信処理待ちやマウスイベントなどの非同期処理に強い。
◎
-
JavaScriptの文法に関する説明で適切なものはどれで すか。
(3)スプレッド構文による分割代入を行うことができる。◎
-
• JavaScriptとDOMの関係についての説明で適切なも のはどれですか。
(4)document.cookieによりクッキーを参照し更新すること
-
• サニタイジングについて授業資料の用語を用いて簡潔に説明して下さい。
• 回答例:クロスサイトスクリプティングへの対策として
HTMLタグなどの文字列を無害化すること。
-
セッションハイジャックに関する説明で適切なものはどれ ですか。
(4)Webアプリケーションのログイン時にクッキーへセッションIDを設定されると、document.coolieで参照できてしまう
-
• クロスサイトスクリプティングの説明で適切なものはどれですか。
(1)ブラウザでなく、WebサーバへのURLやcurlコマンドでも実
行可能である。◎
-
クロスサイトスクリプティングによる攻撃を防止する対策 はどれですか。(情報処理安全確保支援士試験)
(2)Webサイトへの入力データを表示するときに、HTMLで特別 な意味を持つ文字のサニタイジング処理を行う。◎
-
CSRFに関する説明で適切なものはどれですか。
(2)罠サイトの閲覧によって、強制的に意図しない動作を行わさせ
られてしまう。◎
-
HTTP上でセッションを実現する一般的な方法の説明で適切なものはどれですか。
(1)ログインが成功するとセッションIDを作成してユーザを識
別する。◎
-
ブラウザからWebサーバへCookieを送信するときのヘッダはどれですか。
(1)Cookie ◎
-
• HTML5の WebStrage とはどのような仕様ですか。
(1)Cookieは毎回自動送信されるが、WebStrageは自動送信
されないのでセキュリティに強い。◎
-
同一オリジンポリシーについて授業資料内の用語を用い簡潔に説明して下さい。
• 回答例:オリジンの3つ組であるプロトコル、サーバ、ポー
ト番号をリソース保護の境界とし、混合を禁止すること。
-
JavaScriptによる攻撃を避けるためにCookieに持たせるべき属性はどれですか。
(2)HttpOnly ◎
-
• SQLインジェクションに関する説明で適切なものはどれですか。
(4)クレジットカード情報などの個人情報漏洩の多くがSQLインジェクション攻撃によるものである。◎
-
SQLインジェクション対策の説明として適切なものはどれですか。
(3)パスワード文字列、ユーザIDの文字列などの入力内容が正しい
かを事前に確認する。◎
-
• Webブラウザからサーバに渡されるパラメータを変更し、サーバのプログラムを誤作動させる攻撃に使われるHTMLの属性名はどれですか。
(4)hidden ◎
-
チャレンジ・アンド・レスポンス法についての記述で適切なものはどれですか。
(3)検証者がチャレンジを発生し、本人がチャレンジに対して
暗号鍵を使った固有の計算を行う。◎
-
• デジタル署名についての記述で適切なものはどれですか。
(2)メッセージのハッシュ値を作成者の秘密鍵で暗号化するこ
とで署名を作成する。◎
-
PKIについての記述で適切なものはどれですか。
(3)PKIにより、全員が自分の公開鍵と秘密鍵を持ち、相互に、
認証、署名、暗号通信を可能となる。◎
-
• CAについて授業資料内の用語を使い簡潔に説明して下さい。
• 回答例:公開鍵証明書を発行する信頼できる第三者のことで
あり、電子認証局ともいう。
-
公開鍵証明書についての記述で適切なものはどれですか。
(1)公開鍵証明書は、公開鍵と本人との結合を証明するデータ
である。◎
-
公開鍵証明書の発行手順についての記述で適切なものはどれですか。
2)申請者がCSRをCAに送付する。◎
-
PKIの標準についての記述で適切なものはどれですか。
。
(4)RSA Security社が定めた暗号を安全に利用するための運
用技術をPKCSという。◎
-
マイナンバーカードについての記述で適切でないものはどれですか。
(2)マイナンバーカードのICチップには、署名用電子証明書と利用
者証明用デジタル署名が含まれている。◎ → 電子証明書
-
デジタル署名に用いる鍵の組合せのうち、適切なものはどれですか。(情報処理安全確保支援士試験)
(4)署名作成の鍵=秘密鍵、署名検証の鍵=公開鍵 ◎
-
CRLに掲載されるものはどれですか。(情報処理安全確保支援士試験)
(3)有効期間内に失効した公開鍵証明書のシリアル番号 ◎
-
HTTPのセキュリティ上の問題で適切でないものはどれですか。
。
(1)パスワードやクレジットカード番号を安心して送信するこ
とができる。◎
-
SSL/TLSは何層のプロトコルですか。
(2)トランスポート層 ◎
-
• SSL/TLSの基本機能でないものはどれですか。
(4)可用性保証 ◎
-
TLSハンドシェークプロトコルについての記述で適切なものはどれですか。
(2)マスターシークレットを生成するための元となる乱数の
データをプレマスターシークレットという。◎
-
• TLSレコードプロトコルについての記述で適切なものはどれですか。
(1)メッセージをフラグメントに分割し、フラグメント単位で
実行する。◎
-
• サーバ認証とクライアント認証の違いについて、適切なも のはどれですか。
(2)サーバ認証は、クライアントがサーバ証明書でサーバが本物で あることを確認する。クライアント認証は、サーバがクライア ント証明書でユーザの認証を行う。◎
-
TLSハンドシェイクプロトコルの機能について適切な記述はどれですか。
(3)サーバとクライアントで利用する、公開鍵暗号、共通鍵暗
号、ハッシュ関数の暗号技術を合意する。◎
-
• TLSレコードプロトコルに関する記述で適切なものはどれですか。
(1)AESなどの共通鍵暗号を利用してデータを暗号化する。
◎
-
TLSのブロック暗号のCBCモードに対する仲介者攻撃の例はどれですか。
(4)POODLE攻撃 ◎
-
インターネットに接続された利用者のPCから、DMZ上の公開Webサイトにア クセスし、利用者の個人情報を入力すると、その個人情報が内部ネットワーク のデータベースサーバに蓄積されるシステムがある。このシステムにおいて、 利用者個人のデジタル証明書を用いたTLS通信を行うことによって期待できる セキュリティ上の効果はどれですか。(安全確保支援士試験)
(3) PCとWebサーバ間の通信データを暗号すると共に、利用者を認証することがで きる。◎
-
エンティティとアイデンティティに関する記述で適切なものはどれですか。
2)クレデンシャルは、エンティティ認証に用いるアイデンティ
ティ情報である。◎
-
• IMSに関する記述で適切なものはどれですか。
(1)アイデンティティ情報の保管庫をアイデンティティレジス
ターという。
-
• IMSのプロセスのうち、アカウントを有効化し、エンティティがリソースへアクセス可能にするものを何といいますか。
(2)活性化 ◎
-
• ひとつだけのIdPへリダイレクトすることによりユーザ認証を行う方式を何といいますか。
(4)ID連携 ◎
-
OpenID connectに関する記述で適切でないものはどれですか。
(4)アクセストークンは、認証済アイデンティティを意味する
トークンである。◎ → IDトークン
-
• JSONに関する記述で適切なものはどれですか。
(1)JWTは、Web上の認証や認可トークンの標準形式である。
◎
-
Webアプリのマイクロサービス化に関する記述で適切なものはどれですか。
(1)マイクロサービスは、機能ごとに独立したWebサービス
の集合体である。◎
-
以下の認証処理の中で、FIDOに基づいたものはどれですか。(安 全確保支援士試験)
(2) SaaS接続時の認証において、スマートフォンで顔認証した後、ス マートフォン内の秘密鍵でデジタル署名を生成し、認証サーバへ送 信した。◎
-
OAuthにおいて、RPであるWebサービスAの利用者Cが、ASとRSを持つWebサービスBにリソースDを所有している。利用者C の承認の下、WebサービスAが、リソースDへのアクセス権限を 取得するときのOAuthの動作はどれですか。(安全確保支援士試験)
(3) WebサービスBが、アクセストークンを発行する。◎
-
• 個人情報保護法 第2条第1項の特定の個人を識別することができる情報の例はどれですか。
(3)住民基本台帳 ◎
-
• 個人情報保護法 第2条第2項の個人識別符号の例はどれですか。
(3)マイナンバー ◎
-
• プライバシ情報に関する記述で適切なものはどれですか。
(1)プライバシ情報は、個人の行動や嗜好などの個人の尊厳に
関連する情報である。◎
-
個人データで、他の属性との組み合わせで個人を特定できる可能性があるものを何といいますか。
(1)属性 ◎
-
匿名加工に関する記述で適切なものはどれですか。
(4)ミクロアグリゲーションでは、データをしきい値以上にグ
ループ化し、その代表値に置き換える。◎
-
匿名加工情報とはどのような技術ですか。
(3)匿名加工情報とは、データ主体とデータとの相関を取り除
いた情報のことである。◎
-
• 仮名化と匿名化の違いについての記述で適切なものはどれですか。
(1)匿名加工情報は、第三者提供に制限はない。◎
-
k-匿名性に関する記述で適切なものはどれですか。
(2)k-匿名性とは、疑似識別子に対して少なくともk個のレ
コードが存在することである。◎
-
CookieによるWeb閲覧履歴の追跡に関する記述で適切なものはどれですか。
(4)ユーザのブラウザにCookieを埋め込み、トラッキングでユーザの閲覧履歴を収集する
-
オプトインとオプトアウトに関する記述で適切なものはどれですか。
(2)迷惑メール防止法では、広告や宣伝メールはオプトインした人
にしか送ってはいけない。◎
-
