後半 / 出力

ペネトレーションテストについて、授業資料に記述されている用語を使って簡潔に説明して下さい。

• 回答例:外部から侵入や攻撃を実際に行ない脆弱性をチェッ
クする方法
WAFの説明はどれですか。(情報処理安全確保支援士試験)

(1)Webアプリケーションへの攻撃を検知し阻止する。
(2)Webブラウザの通信内容を改ざんする攻撃をPC内で監視し検出する
(3)サーバのOSへの不正なログインを監視する。
(4)ファイルのマルウェア感染を監視し検出する。

(1)Webアプリケーションへの攻撃を検知し阻止する。◎
IDSの検知方式に関する記述のうち適切なものはどれですか。(情報処理安全確保支援士試験)

(1)アノマリ検知方式は、ネガティブセキュリティを実現している。
(2)アノマリ検知方式では、登録された攻撃の特徴的なパターンを基に検知する。
(3)シグネチャ検知方式では、シグネチャを最新に維持することに留意する必要がある。
(4)シグネチャ検知方式では、デジタル署名を用いて正規の通

(3)シグネチャ検知方式では、シグネチャを最新に維持することに留意する必要がある。◎
通常はプログラムが実行された時に起動したユーザの権限で実行されるが、他のユーザの権限をもって実行されることをなんといいますか。

(1)実効グループ
(2)実効ユーザ
(3)ユーザ権限
(4)root権限

(2)実効ユーザ ◎
ハニーポッドの説明で適切なものはどれですか。

(1)クラッカーを検出する仕組みである。
(2)クラッカーはシステムの最も上位部分を狙う。
(3)防御側はわざとシステムに弱い部分を作りクラッカーを誘い込む。
(4)クラッカーの行動の監視や識別子を収集する。

(3)防御側はわざとシステムに弱い部分を作りクラッカーを誘
い込む。◎
• ARPスプーフィング攻撃に関する記述はどれですか。(情報処理安全確保支援士試験)

(1)アドレス解決の要求に対して偽装したMACアドレスを応答し、他人宛ての通信を盗聴する。
(2)L2スイッチのミラーポートを悪用して、プロミスキャスモードに設定した端末を用いて他人宛ての通信を盗聴する。
(3)pingコマンドを大量に送りつけ、通信経路のトラフィックを過負荷状態にして正常な通信を妨害する。
(4)TCPコネクション確立要求の送信元IPアドレスを偽装して、接続先サーバのリソースを枯渇させる。

(1)アドレス解決の要求に対して偽装したMACアドレスを応答し、他人宛ての通信を盗聴する。◎
IPスプーフィング攻撃に関する記述のうち適切なものはどれですか。

(1)対策は、ファイアウォールによって外部から他組織のIPアドレスを持ったパケットを遮断すること。
(2)送信元IPアドレスを偽装しパケットを外部から流し込む。
(3)他の攻撃において送信先の身元を隠すために使用される。
(4)標的ノードがデータベースホストに指定されていると、攻撃者ノードからのコマンドは無条件で実行される。

(2)送信元IPアドレスを偽装しパケットを外部から流し込む。◎
• MACアドレススプーフィング攻撃に関する記述のうち適切なものはどれですか。

(1)MACアドレスはネットワーク層で使用されるアドレスのこと
(2)送信元を改ざんするさまざまな攻撃の基礎となっている。
(3)MACアドレスは、クラウドのROMに書き込まれているが、メモリ上でキャッシュされているため変更することが可能である
(4)送信先のMACアドレスを偽装する攻撃である。

(2)送信元を改ざんするさまざまな攻撃の基礎となっている。
◎
• SYNフラッド攻撃に関する記述で適切なものはどれですか。

(1)攻撃側は、TCPのFINセグメントを大量に送信し、その後にACKセグメントを送信しない。
(2)サーバ側では、接続のためのリソースを確保したまま、タイムアウトするまでクライアントからのSYNセグメントを待ち続ける。
(3)サーバ側が意図的に3ウェイハンドシェイクを終了させない。
(4)サーバ側では、リソースを浪費し、他のクライアントからの新規のネットワーク接続が妨害される。

(4)サーバ側では、リソースを浪費し、他のクライアントからの新
規のネットワーク接続が妨害される。◎
バッファオーバーフロー攻撃の説明で適切なものはどれですか。

(1)Python言語で作成されたプログラムのバッファ領域を破壊する
(2)オーバーフローとは想定された容量以下のデータが入力されることである。
(3)SSD内の値を書き換えプログラムを誤作動させる
(4)バッファはメモリのスタック領域に作成される。

(4)バッファはメモリのスタック領域に作成される。◎
スタック領域に関する記述で適切なものはどれですか。

(1)スタックフレームとは関数の変数が格納されるメモリ領域のことである。
(2)必要になると最下段にデータが積まれ、不要になると最下段から開放されるデータ構造である。
(3)プログラム開始の度に、その関数の変数領域が確保されスタックに積まれる。
(4)ポインタとは関数終了時に呼び出し元に復帰するためのアドレスのことである

(1)スタックフレームとは関数の変数が格納されるメモリ領域
のことである。◎
ローカル変数の改ざんを使ったBOF攻撃において行われる動作はどれですか。

(1)ローカル変数に定義された以上のデータを送信する。
(2)ローカル変数に文字列をコピーする。
(3)ローカル変数のメモリを上書きする。
(4)ローカル変数を使って関数呼び出しをしない。

(3)ローカル変数のメモリを上書きする。◎
シェルコードを使った攻撃がどのように行われるのか授業資料をもとに簡潔に説明して下さい。

• 回答例:攻撃者が、関数の復帰アドレスをシェルコードの先
頭アドレスに改ざんすることで、関数の処理が完了すると
シェルコードが実行されてしまう。
バッファオーバーフロー攻撃の対策で適切でないものはどれですか。

(1)ASLR
(2)SSL
(3)PIE
(4)安全なC言語ライブラリの利用

(2)SSL ◎ → SSP
• スタック領域のアドレスをランダム化することによって攻撃者からアドレスを隠蔽する手法を何といいますか。

(1)SSP
(2)PIE
(3)ASLR
(4)RBP

(3)ASLR ◎
• 実行プログラム本体の実行コードのアドレスを可変にする手法を何といいますか。

(1)SSP
(2)PIE
(3)ASLR
(4)RBP

(2)PIE ◎
• スタック内のローカル変数と復帰アドレスの間にcanaryを入れることでBOF攻撃を検出する手法を何といいますか。

(1)SSP
(2)PIE
(3)ASLR
(4)RBP

(1)SSP ◎
• 書式文字列攻撃の説明として適切なものはどれですか。

(1)printf関数による文字列取得機能を悪用している。
(2)scanf関数で書式が %s の場合、メモリを動的に確保してデータを受け取ってしまう。
(3)printf関数では、呼び出し時のレジスタやスタックの値を定数として扱うことができてしまう。
(4)printf関数において本来の引数の数を超えて指定しても実行してしまう。

(4)printf関数において本来の引数の数を超えて指定しても実
行してしまう。◎
一般的にWebアプリケーションの基本構造に含まれないものはどれですか。

(1)HTML
(2)ICMP
(3)CSS
(4)JavaScript

(2)ICMP ◎
Webサーバ上でOSコマンドを不正に実行させる攻撃を何といいますか?

(1)サニタイジング
(2)クロスサイトスクリプティング
(3)セッションハイジャック
(4)OSコマンドインジェクション

4)OSコマンドインジェクション ◎
JavaScriptについての記述で適切なものはどれですか。

(1)通信処理待ちやマウスイベントなどの非同期処理に強い。
(2)ブラウザの文書構造をJavaScriptオブジェクトとして表現したものをJSONという。
(3)ブラウザでの処理を目的に開発されたコンパイラ言語である。
(4)JavaScriptのデータ表現法をDOMといい、Web上でのデータ交換の標準となっている。

(1)通信処理待ちやマウスイベントなどの非同期処理に強い。
◎
JavaScriptの文法に関する説明で適切なものはどれですか。

(1)タイマーによる非同期処理では、setInterval()によって指定時間が経過すると関数を一度だけ実行することができる。
(2)イテレータとは配列の木構造に沿った処理の繰り返しのことである。
(3)スプレッド構文による分割代入を行うことができる。
(4)変数名は先頭が小文字であるアッパーキャメルケースを使

(3)スプレッド構文による分割代入を行うことができる。◎
• JavaScriptとDOMの関係についての説明で適切なものはどれですか。

(1)getElementById(セッションID).textContentを使って要素のコンテナを取得することができる。
(2)JavaScriptではDOM要素を使ってメモリの内容にアクセスできる。
(3)同期ハンドラがDOM要素の属性になっている。
(4)document.cookieによりクッキーを参照し更新すること

(4)document.cookieによりクッキーを参照し更新すること
• サニタイジングについて授業資料の用語を用いて簡潔に説明して下さい。

• 回答例:クロスサイトスクリプティングへの対策として
HTMLタグなどの文字列を無害化すること。
セッションハイジャックに関する説明で適切なものはどれですか。

(1)盗んだクッキーを使ってセッションを乗っ取り、購入処理などの不正を行う。
(2)ユーザがログイン後、Webサーバに保管しているクッキー内のセッションIDを窃取する攻撃である。
(3)httpはクライアントとのセッションの維持を行わないので、 Webサーバ側でセッションの状態を管理する必要がある。
(4)Webアプリケーションのログイン時にクッキーへセッションIDを設定されると、document.coolieで参照できてしまう

(4)Webアプリケーションのログイン時にクッキーへセッションIDを設定されると、document.coolieで参照できてしまう
• クロスサイトスクリプティングの説明で適切なものはどれですか。

(1)ブラウザでなく、WebサーバへのURLやcurlコマンドでも実行可能である。
(2)Webの静的ページのユーザ入力を使った攻撃である。
(3)入力フィールドにDOMのコードを埋め込んで攻撃する。
(4)入力フィールドに「<script>alert(document.dom)</script>」を入れるとクッキーに保存されているセッションIDが参照できてしまう。

(1)ブラウザでなく、WebサーバへのURLやcurlコマンドでも実
行可能である。◎
クロスサイトスクリプティングによる攻撃を防止する対策はどれですか。(情報処理安全確保支援士試験)

(1)WebサーバにSNMPエージェントを常駐稼働させ、Webサーバの負荷状態を監視する。
(2)Webサイトへの入力データを表示するときに、HTMLで特別な意味を持つ文字のサニタイジング処理を行う。
(3)WebサーバのOSのセキュリティパッチについて、常に最新のものを適用する。
(4)Webサイトへのデータ入力について、許容範囲を超えた大き

(2)Webサイトへの入力データを表示するときに、HTMLで特別な意味を持つ文字のサニタイジング処理を行う。◎
CSRFに関する説明で適切なものはどれですか。

(1)ファイル名を指定してファイルをダウンロードするWebアプリにおいて、ディレクトリを指定できると任意のファイルがダウンロードできてしまう。
(2)罠サイトの閲覧によって、強制的に意図しない動作を行わさせられてしまう。
(3)WebサーバにアクセスされたURLの全情報が記録され、攻撃者に知らないうちにアクセスされると秘密情報が漏洩する。
(4)URLの引数部分に秘密の情報が含まれていればそのまま記録されてしまう。

(2)罠サイトの閲覧によって、強制的に意図しない動作を行わさせ
られてしまう。◎
HTTP上でセッションを実現する一般的な方法の説明で適切なものはどれですか。

(1)ログインが成功するとセッションIDを作成してユーザを識別する。
(2)Webサーバ側ではセッションIDを保管する。
(3)Webブラウザは、DBによってセッションIDを検証する。
(4)Webサーバは、セッションの無効を認識する。

(1)ログインが成功するとセッションIDを作成してユーザを識
別する。◎
ブラウザからWebサーバへCookieを送信するときのヘッダはどれですか。

(1)Cookie
(2)Set-Cookie
(3)HttpOnly
(4)Content-Type

(1)Cookie ◎
• HTML5の WebStrage とはどのような仕様ですか。

(1)Cookieは毎回自動送信されるが、WebStrageは自動送信されないのでセキュリティに強い。
(2)WebStrageは、HTMLに代わるブラウザ側の新しいストレージの仕様である
(3)Cookieが4Mバイトであるのに対して、WebStorageは5Mバイトの容量がある。
(4)WebStrageはセッション管理用と永続保管用のCookieを有する。

(1)Cookieは毎回自動送信されるが、WebStrageは自動送信
されないのでセキュリティに強い。◎
同一オリジンポリシーについて授業資料内の用語を用い簡潔に説明して下さい。

• 回答例:オリジンの3つ組であるプロトコル、サーバ、ポー
ト番号をリソース保護の境界とし、混合を禁止すること。
JavaScriptによる攻撃を避けるためにCookieに持たせるべき属性はどれですか。

(1)Set-Cookie
(2)HttpOnly
(3)Content-Type
(4)Cookie

(2)HttpOnly ◎
• SQLインジェクションに関する説明で適切なものはどれですか。

(1)SQLのレスポンスに不正な文字を混入させ、データベースを誤作動させる攻撃である
(2)SQLログインの機能を悪用し、AND条件を回避することがある。
(3)SQLのSELECT文を不正に挿入することによりデータベース全体を破壊する場合がある。
(4)クレジットカード情報などの個人情報漏洩の多くがSQLインジェクション攻撃によるものである。

(4)クレジットカード情報などの個人情報漏洩の多くがSQLインジェクション攻撃によるものである。◎
SQLインジェクション対策の説明として適切なものはどれですか。

(1)利用するSQLにおいて入力部分を無害化するプレースホルダ
を用いる。
(2)入力文字列をプレースホルダして無害化する。
(3)パスワード文字列、ユーザIDの文字列などの入力内容が正しいかを事前に確認する。
(4)db.execute(“select * from user where user=(?)pw=(?)”,

(3)パスワード文字列、ユーザIDの文字列などの入力内容が正しい
かを事前に確認する。◎
• Webブラウザからサーバに渡されるパラメータを変更し、サーバのプログラムを誤作動させる攻撃に使われるHTMLの属性名はどれですか。

(1)text
(2)submit
(3)passward
(4)hidden

(4)hidden ◎
チャレンジ・アンド・レスポンス法についての記述で適切なものはどれですか。

(1)本人固有の筆跡による認証を行うことで、相手に秘密そのものは教えずに認証が可能になる。
(2)チャレンジは定数、そのレスポンスは計算結果が使われる。
(3)検証者がチャレンジを発生し、本人がチャレンジに対して暗号鍵を使った固有の計算を行う。
(4)本人は、その計算結果を利用して検証者であることを確認する。

(3)検証者がチャレンジを発生し、本人がチャレンジに対して
暗号鍵を使った固有の計算を行う。◎
• デジタル署名についての記述で適切なものはどれですか。

(1)前提として検証者は署名作成者の秘密鍵を持っている。
(2)メッセージのハッシュ値を作成者の秘密鍵で暗号化することで署名を作成する。
(3)作成者は署名作成者の公開鍵で検証を行う。
(4)デジタル署名によって、メッセージの検証者や改ざんされていないことが証明できる。

(2)メッセージのハッシュ値を作成者の秘密鍵で暗号化するこ
とで署名を作成する。◎
PKIについての記述で適切なものはどれですか。

(1)PKIは、暗号利用のための社会基盤であり、共通鍵暗号基盤ともいう。
(2)PKIは、デジタル署名や証明書の形式とデータ内容を示している。
(3)PKIにより、全員が自分の公開鍵と秘密鍵を持ち、相互に、認証、署名、暗号通信を可能となる。
(4)共通鍵暗号方式であれば、n人のための暗号鍵はn対でよいので、現実的な暗号基盤を構築できる。

(3)PKIにより、全員が自分の公開鍵と秘密鍵を持ち、相互に、
認証、署名、暗号通信を可能となる。◎
• CAについて授業資料内の用語を使い簡潔に説明して下さい。

• 回答例:公開鍵証明書を発行する信頼できる第三者のことで
あり、電子認証局ともいう。
公開鍵証明書についての記述で適切なものはどれですか。

(1)公開鍵証明書は、公開鍵と本人との結合を証明するデータである。
(2)信頼できる第三者が、本人確認後、秘密鍵にデジタル署名したもの。
(3)本人の公開鍵を使って公開鍵証明書の正統性を検証する。
(4)電子認証局は下位へ向かって連鎖しており、上位のデジタル署名は下位の公開鍵証明書によって検証できる。

(1)公開鍵証明書は、公開鍵と本人との結合を証明するデータ
である。◎
公開鍵証明書の発行手順についての記述で適切なものはどれですか。

(1)申請者がCAを作成する。
(2)申請者がCSRをCAに送付する。
(3)申請者が公開鍵証明書を作成する。
(4)申請者が公開鍵証明書をCAへ送付する。

2)申請者がCSRをCAに送付する。◎
PKIの標準についての記述で適切なものはどれですか。

(1)X.505は、現時点のPKIで最も普及している公開鍵証明書の標準である。
(2)デジタル署名には、証明書の署名アルゴリズムと署名そのものが含まれている。
(3)公開鍵証明書内の本名の記述にはS/MIMEが使われている。
(4)RSA Security社が定めた暗号を安全に利用するための運用技術をPKCSという。

(4)RSA Security社が定めた暗号を安全に利用するための運
用技術をPKCSという。◎
マイナンバーカードについての記述で適切でないものはどれですか。

(1)マイナンバーカードは、電子署名及び認証業務に関する法律にて正式に運用されている。
(2)マイナンバーカードのICチップには、署名用電子証明書と利用者証明用デジタル署名が含まれている。
(3)マイナンバーカードでは、公的個人認証サービスであるJPKIを利用している。
(4)JPKIは、インターネット上での本人確認に必要な電子証明書を日本国民に対して提供するサービスであり、住民基本台帳に

(2)マイナンバーカードのICチップには、署名用電子証明書と利用
者証明用デジタル署名が含まれている。◎ → 電子証明書
デジタル署名に用いる鍵の組合せのうち、適切なものはどれですか。(情報処理安全確保支援士試験)

(1)署名作成の鍵=共通鍵、署名検証の鍵=秘密鍵
(2)署名作成の鍵=公開鍵、署名検証の鍵=秘密鍵
(3)署名作成の鍵=秘密鍵、署名検証の鍵=共通鍵
(4)署名作成の鍵=秘密鍵、署名検証の鍵=公開鍵

(4)署名作成の鍵=秘密鍵、署名検証の鍵=公開鍵 ◎
CRLに掲載されるものはどれですか。(情報処理安全確保支援士試験)

(1)有効期間内に失効した公開鍵証明書の公開鍵
(2)有効期限切れになった公開鍵証明書の公開鍵
(3)有効期間内に失効した公開鍵証明書のシリアル番号
(4)有効期限切れになった公開鍵証明書のシリアル番号

(3)有効期間内に失効した公開鍵証明書のシリアル番号 ◎
HTTPのセキュリティ上の問題で適切でないものはどれですか。

(1)パスワードやクレジットカード番号を安心して送信することができる。
(2)本物のサイトと偽のサイトの区別がつかない。
(3)通信内容の盗聴が可能である。
(4)偽のサイトに誘導される可能性がある。

(1)パスワードやクレジットカード番号を安心して送信するこ
とができる。◎
SSL/TLSは何層のプロトコルですか。

(1)アプリケーション層
(2)トランスポート層
(3)インターネット層
(4)ネットワークインタフェース層

(2)トランスポート層 ◎
• SSL/TLSの基本機能でないものはどれですか。

(1)暗号化
(2)完全性保証
(3)認証
(4)可用性保証

(4)可用性保証 ◎
TLSハンドシェークプロトコルについての記述で適切なものはどれですか。

(1)サーバとクライアントの間で暗号鍵の生成を行う。
(2)マスターシークレットを生成するための元となる乱数のデータをプレマスターシークレットという。
(3)サーバとクライアントで利用する暗号技術を証明する。
(4)共通鍵証明書による認証を行う。

(2)マスターシークレットを生成するための元となる乱数の
データをプレマスターシークレットという。◎
• TLSレコードプロトコルについての記述で適切なものはどれですか。

(1)メッセージをフラグメントに分割し、フラグメント単位で実行する。
(2)公開鍵暗号を利用してデータを暗号化する。
(3)サーバとクライアントで合意した圧縮アルゴリズムを利用してプロトコルヘッダを圧縮する。
(4)PKCSによりデータの完全性を保証する。

(1)メッセージをフラグメントに分割し、フラグメント単位で
実行する。◎
• サーバ認証とクライアント認証の違いについて、適切なものはどれですか。

(1)サーバ認証は、クライアントがサーバ証明書でサーバが本物であることを確認する。クライアント認証は、サーバがクライアント証明書でサーバの認証を行う。
(2)サーバ認証は、クライアントがサーバ証明書でサーバが本物であることを確認する。クライアント認証は、サーバがクライアント証明書でユーザの認証を行う。
(3)サーバ認証ではサーバ内に公開鍵を置く。クライアント認証では、ブラウザに秘密鍵を置く。
(4)サーバ認証ではサーバ内に秘密鍵を置く。クライアント認証で

(2)サーバ認証は、クライアントがサーバ証明書でサーバが本物であることを確認する。クライアント認証は、サーバがクライアント証明書でユーザの認証を行う。◎
TLSハンドシェイクプロトコルの機能について適切な記述はどれですか。

(1)TLSハンドシェイクプロトコルは、認証、鍵交換、管理仕様の合意の機能を持つ。
(2)認証では、共通鍵証明書を利用し、サーバ認証とクライアント認証がある。
(3)サーバとクライアントで利用する、公開鍵暗号、共通鍵暗号、ハッシュ関数の暗号技術を合意する。
(4)鍵交換では、サーバとクライアントの間で公開暗号鍵の共有を行う。

(3)サーバとクライアントで利用する、公開鍵暗号、共通鍵暗
号、ハッシュ関数の暗号技術を合意する。◎
• TLSレコードプロトコルに関する記述で適切なものはどれですか。

(1)AESなどの共通鍵暗号を利用してデータを暗号化する。
(2)サーバとクライアントで宣言した圧縮アルゴリズムを使ってメッセージの圧縮を行う。
(3)データの完全性を保証するためにメッセージ認証であるハッシュを付加する。
(4)メッセージをフレームに分割し、フレーム単位で実行する。

(1)AESなどの共通鍵暗号を利用してデータを暗号化する。
◎
TLSのブロック暗号のCBCモードに対する仲介者攻撃の例はどれですか。

(1)圧縮サイドチャンネル攻撃
(2)暗号化パターンによる解読
(3)BEAST攻撃
(4)POODLE攻撃

(4)POODLE攻撃 ◎
インターネットに接続された利用者のPCから、DMZ上の公開Webサイトにアクセスし、利用者の個人情報を入力すると、その個人情報が内部ネットワークのデータベースサーバに蓄積されるシステムがある。このシステムにおいて、利用者個人のデジタル証明書を用いたTLS通信を行うことによって期待できるセキュリティ上の効果はどれですか。(安全確保支援士試験)

(1) PCとDBサーバ間の通信データを暗号化すると共に、正当なDBサーバであるかを検証することができる。
(2) PCとDBサーバ間の通信データを暗号化すると共に、利用者を認証することができる。
(3) PCとWebサーバ間の通信データを暗号すると共に、利用者を認証することができる
(4) PCとWebサーバ間の通信データを暗号化すると共に、正当なDBサーバであるか

(3) PCとWebサーバ間の通信データを暗号すると共に、利用者を認証することができる。◎
エンティティとアイデンティティに関する記述で適切なものはどれですか。

(1)エンティティは、アイデンティティが持つ属性の集合である。
(2)クレデンシャルは、エンティティ認証に用いるアイデンティティ情報である。
(3)アイデンティティ認証は、クレデンシャルで属性情報を証明することであり、Authorizationともいう。
(4)認可は、ポリシーに基づいてアクセス権限を決定することであり、Authenticationともいう。

2)クレデンシャルは、エンティティ認証に用いるアイデンティ
ティ情報である。◎
• IMSに関する記述で適切なものはどれですか。

(1)アイデンティティ情報の保管庫をアイデンティティレジスターという。
(2)アイデンティティ情報の検証をIdPに依拠する主体をDIDという。
(3)IMSとはエンティティ管理システムのことである。
(4)アイデンティティ情報を維持/管理/提供する主体をRPという。

(1)アイデンティティ情報の保管庫をアイデンティティレジス
ターという。
• IMSのプロセスのうち、アカウントを有効化し、エンティティがリソースへアクセス可能にするものを何といいますか。

(1)登録
(2)活性化
(3)調整
(4)停止/再開
(5)保管/削除/再確立

(2)活性化 ◎
• ひとつだけのIdPへリダイレクトすることによりユーザ認証を行う方式を何といいますか。

(1)IdP認証
(2)クレーム
(3)Authorization
(4)ID連携

(4)ID連携 ◎
OpenID connectに関する記述で適切でないものはどれですか。

(1)アクセストークンに加えてIDトークンを発行する。
(2)ID連携のためのフレームワークである。
(3)OAuth 2.0の拡張仕様である。
(4)アクセストークンは、認証済アイデンティティを意味するトークンである。

(4)アクセストークンは、認証済アイデンティティを意味する
トークンである。◎ → IDトークン
• JSONに関する記述で適切なものはどれですか。

(1)JWTは、Web上の認証や認可トークンの標準形式である。
(2)JWTは、JSONデータに対するデジタル署名の標準的方法である。
(3)JSONは、認証サーバ間で利用される標準のデータ形式である。
(4)JSONは、Webサーバ内部のコミュニケーションで用いられる。

(1)JWTは、Web上の認証や認可トークンの標準形式である。
◎
Webアプリのマイクロサービス化に関する記述で適切なものはどれですか。
(1)マイクロサービスは、機能ごとに独立したWebサービスの集合体である。
(2)マイクロサービスは、Web APIによって相互接続する密結合システムである。
(3)マイクロサービスには、Google AppやAmazon Appなどがある。
(4)マイクロサービスのWebサービスは、全機能を一つに詰

(1)マイクロサービスは、機能ごとに独立したWebサービス
の集合体である。◎
以下の認証処理の中で、FIDOに基づいたものはどれですか。(安全確保支援士試験)

(1) SaaS接続時の認証において、PINコードとトークンが表示したワンタイムパスワードをPCから認証サーバへ送信した。
(2) SaaS接続時の認証において、スマートフォンで顔認証した後、スマートフォン内の秘密鍵でデジタル署名を生成し、認証サーバへ送信した。
(3) インターネットバンキング接続時の認証において、PCに接続されたカードリーダを使い、利用者のキャッシュカードからクライアント証明書を読み取って認証サーバへ送信した。
(4) インターネットバンキング接続時の認証において、スマートフォン

(2) SaaS接続時の認証において、スマートフォンで顔認証した後、スマートフォン内の秘密鍵でデジタル署名を生成し、認証サーバへ送信した。◎
OAuthにおいて、RPであるWebサービスAの利用者Cが、ASとRSを持つWebサービスBにリソースDを所有している。利用者C の承認の下、WebサービスAが、リソースDへのアクセス権限を取得するときのOAuthの動作はどれですか。(安全確保支援士試験)

(1) WebサービスAが、アクセストークンを発行する。
(2) WebサービスAが、利用者Cのデジタル証明書をWebサービスBに送信する
(3) WebサービスBが、アクセストークンを発行する。
(4) WebサービスBが、利用者Cのデジタル証明書をWebサービスAに送信する。

(3) WebサービスBが、アクセストークンを発行する。◎
• 個人情報保護法第2条第1項の特定の個人を識別することができる情報の例はどれですか。

(1)位置情報
(2)通信履歴
(3)住民基本台帳
(4)購買履歴

(3)住民基本台帳 ◎
• 個人情報保護法第2条第2項の個人識別符号の例はどれですか。

(1)生年月日
(2)性別
(3)マイナンバー

(3)マイナンバー ◎
• プライバシ情報に関する記述で適切なものはどれですか。

(1)プライバシ情報は、個人の行動や嗜好などの個人の尊厳に関連する情報である。
(2)プライバシは憲法13条に規定される基本的情報の一つである。
(3)GDPRは、日本における個人データの保護に対する権利という基本的人権の保護を目的とした法律である。
(4)個人の機密性を表す個人情報とは別の概念である。

(1)プライバシ情報は、個人の行動や嗜好などの個人の尊厳に
関連する情報である。◎
個人データで、他の属性との組み合わせで個人を特定できる可能性があるものを何といいますか。

(1)属性
(2)識別子
(3)履歴
(4)データベース

(1)属性 ◎
匿名加工に関する記述で適切なものはどれですか。

(1)匿名加工とは仮名から識別子を変更できなくする技術である。
(2)項目削除では、データを上位概念に変更する。
(3)一般化では、住所や年齢などのデータベースのカラムごと情報を削除する。
(4)ミクロアグリゲーションでは、データをしきい値以上にグループ化し、その代表値に置き換える。

(4)ミクロアグリゲーションでは、データをしきい値以上にグ
ループ化し、その代表値に置き換える。◎
匿名加工情報とはどのような技術ですか。

(1)匿名加工情報から個人情報が復元されるという識別のリスクがある。
(2)匿名加工情報は、データ解析目的で第三者に提供してはならない
(3)匿名加工情報とは、データ主体とデータとの相関を取り除いた情報のことである。
(4)複数の履歴が同一人物のものであることがわかるという特定のリスクがある。

(3)匿名加工情報とは、データ主体とデータとの相関を取り除
いた情報のことである。◎
• 仮名化と匿名化の違いについての記述で適切なものはどれですか。

(1)匿名加工情報は、第三者提供に制限はない。
(2)匿名加工情報は、その情報を他の情報と結びつけることで個人情報が復元できてよい。
(3)仮名加工情報は、利用目的を公表しなくてもよい。
(4)仮名加工情報からの再識別を行う行為は禁止されていない。

(1)匿名加工情報は、第三者提供に制限はない。◎
k-匿名性に関する記述で適切なものはどれですか。

(1)ミクロアグリゲーションは、値を墨塗りすることであり、情報量が減るのでデータ解析としては使いにくくなる。
(2)k-匿名性とは、疑似識別子に対して少なくともk個のレコードが存在することである。
(3)kはしきい値で、kが小さいほど安全である。
(4)抑制では、数値属性に注目しデータをグループ化して匿名化する。

(2)k-匿名性とは、疑似識別子に対して少なくともk個のレ
コードが存在することである。◎
CookieによるWeb閲覧履歴の追跡に関する記述で適切なものはどれですか。

(1)サードパーティクッキー規制では、サーバでサードティクッキーをブロックする。
(2)改正電気通信事業法のCookie規制では、Cookieが個人関連情報として定義された。
(3)個人情報保護法では、Cookieを電気通信役務利用者情報として規制している。
(4)ユーザのブラウザにCookieを埋め込み、トラッキングでユーザの閲覧履歴を収集する

(4)ユーザのブラウザにCookieを埋め込み、トラッキングでユーザの閲覧履歴を収集する
オプトインとオプトアウトに関する記述で適切なものはどれですか。

(1)GDPRでは、Cookieなどによる個人データ取得を開始する場合、明示的なオプトアウトが必要である
(2)迷惑メール防止法では、広告や宣伝メールはオプトインした人にしか送ってはいけない。
(3)オプトアウトでは、ユーザがサービス参加の意思表明したときだけ参加される。
(4)オプトインでは、ユーザがサービス停止の意思表明したときに停止できる。

(2)迷惑メール防止法では、広告や宣伝メールはオプトインした人
にしか送ってはいけない。◎

オンライン単語帳

このページを利用するにはログインする必要があります。ログインするとAnkilotをより便利にご利用いただけます。

登録するログインする