| ◆空欄a~eを埋めて文章を完成させよ。#8
(1)これまで”公衆電話網経由”ではあまり問題にならなかったが、”インターネット経由”では[a]を防ぐ仕組みが必要である。この対策例としては、通信データの[b]がある。
(2)”公衆電話網経由”と”インターネット経由”のいずれも[c]をいかに行うかという検討が必要である。これは、ログインごとに有効なパスワードが変更されるような仕組みの利用が考えられる。また、”公衆電話網経由”では[d]機能の利用も一般的であるが、G社の場合は客先の電話機からの利用要求があり、その機能は採用できない。
(3)上記の仕組み以外にも[e]機能の検討が一般的には必要である。この機能は、不正アクセスをしようとした端末の特定などに利用できる。
解答:
a
b
c
d
e
|
| ◆空欄a~dを埋めて文章を完成させよ。#13
X社は、ファイアウォールで[a]を実施しているので、社内LAN上にあるすべてのマシンが社外へのアクセスに際して1つのIPアドレスを使用することになる。調査の結果、サーバ2上のNTPサーバが、別のプログラムと入れ替えられており、これが社外のサイトに対してTCPポートのセキュリティホールに攻撃を加えていることが判明した。このような不正行為のことを[b]という。
E課長のアカウントを不正利用した侵入者が、管理者権限を不正に取得したうえで、サーバに常駐して不正行為を行う[c]を残していったものと考えられた。K主任は、NTPサーバソフトウェアを[d]することによって対処した。
解答:
a
b
c
d
|
| 【セキュリティアドミニストレータ】
|
◆セキュリティアドミニストレータの役割について正しいものはどれか。
- セキュリティアドミニストレータは、会社の規則の範囲内でセキュリティが確保されるようにうまくバランスをとらなければならない。
- セキュリティアドミニストレータは、会社のセキュリティ確保のために、他の社員にもその存在を明かしてはならない。
- セキュリティアドミニストレータは、社長直属の命を受けて全社員に対して、セキュリティの重要性を周知させる役割を持つ。
- セキュリティアドミニストレータは、情報システム部門に所属しているメンバから選出し、情報システム部長の指示のもと、全社的にセキュリティを確保する役割を持つ。
解答:
|
◆スクリプトキディの説明について正しいものはどれか。
- 新たなコンピュータウィルスを、自らの技術で作り出すものの総称。
- インターネットで配布されているツールを利用して、攻撃をしかけてくる人々の総称。
- 技術的探究心が旺盛で、新しいセキュリティ・ホールを探し出し、スクリプト言語を巧みに使って、新手の攻撃ツールを作り出す人々の総称。
- 自社のサーバに、スクリプト言語で開発したツールを仕掛けておき、自分のクライアントから自由に操作する内部犯行者。
解答:
|
◆ソーシャルエンジニアリングとよばれる攻撃について、適切な記述はどれか。
- インターネット上からハッキングツールをダウンロードし、その使用方法を教えてもらい、好奇心から侵入を試みてみた。悪意は特にない。
- 警備が手薄の時間帯を狙って侵入し、その部屋のLAN接続のジャックにパソコンを接続して、ネットワークに不正に侵入する。
- 社員の家族を名乗って電話をし、サーバ管理者のパスウワードを巧妙に聞きだすような手口。
- 第三者を攻撃するプログラムを作成し、電子メールを通じてそのプログラムをばらまく。そうした感染を広げ、タイミングを計って一斉に第三者を総攻撃する手口。
解答:
|
◆Smurf攻撃の手口について説明しているのはどれか。
- DDoS攻撃の一種でICMPエコー要求に対する応答パケットを利用したものである。ターゲットとなるサーバのIPアドレスを送信元にセット(偽造)して、大量に送り返されるパケットで、サービス停止に陥れる。
- DoS攻撃の一種で、IPパケットの分割と組立ての際に異常を発生させるものである。パケットヘッダの情報を偽造することで、組立て不能に陥れ、サービス停止させるもの。
- DoS攻撃の一種で、TCPコネクションの確立に使うSYNパケット内のIPアドレスに送信元とあて先が同一のものをセットする。これにより、不正パケット処理からサービスを停止してしまう。
- DoS攻撃の一種で、UDPパケットを偽造し、2台のコンピュータ間で終わりのない送受信を繰返させるものである。
解答:
|
◆マクロウィルスに関する記述のうち、適切なものはどれか。
- 感染したプログラムを実行すると、マクロウィルスは主記憶にロードされ、その間に実行したほかのプログラムのプログラムファイルに感染する。
- 感染したフロッピーディスクからシステムを起動するとマクロウィルスは主記憶にロードされ、ほかのフロッピーディスクのブートセクタに感染する。
- 感染した文書ファイルを開いた後に、別に開いたり新規作成したりした文書ファイルに感染する。
- マクロがウィルスに感染しているかどうかが容易に判断できるので、開く時点で感染を防止することができる。
解答:
|
◆”コンピュータウィルス対策基準”において、コンピュータウィルスは三つの機能のうち少なくとも一つを有するものと定義されている。この三つの機能はどれか。
- 自己伝染機能、潜伏機能、増殖機能
- 自己伝染機能、潜伏機能、発病機能
- 自己伝染機能、増殖機能、マクロ機能
- 増殖機能、発病機能、マクロ機能
解答:
|
◆ソフトウェアの著作権に関する記述のうち、適切なものはどれか。
- 共同開発したソフトウェアの著作権は、契約の有無にかかわらず、開発者間で均等に分割保有しなければならい。
- 従業員が職務上開発したソフトウェアの著作権は、契約等で特に定めない限り、その従業員の所属する会社にある。
- ソフトウェアハウスに開発を委託したソフトウェアの著作権は、契約の有無にかかわらず、常にソフトウェアハウスにある。
- 著作権登録申請によって、著作者人格権を含めて著作権を譲渡できる。
解答:
|
◆ソフトウェアの著作権に関する記述のうち、適切なものはどれか。
- 引用目的であっても、他人のホームページからダウンロードしたコンテンツを無断で自分のホームページに載せることは、常に著作権の侵害になる。
- 営利を目的としない教育機関においても、インターネットで他人のホームページからダウンロードしたコンテンツを無断で使用することは、常に著作権の侵害に当たる。
- 車の販売台数を説明するために、通商白書の統計データをそのまま使って図表化し、ホームページに活用しても良い。
- 最新情報を提供するために、新聞に掲載された写真をスキャナでホームページに取り込んで活用しても良い。
解答:
|
◆不正競争防止法が保護する対象はどれか。
- 事業活動に有用な技術上又は営業上の秘密として管理されている情報
- 自然法則を利用した技術的思想の創作のうち高度なもの
- 著作物を翻訳、翻案して創作された二次的著作物
- 法人の発意に基づいて作成されたプログラムの著作物
解答:
|
◆コンピュータ犯罪に関する次の記述のうち、正しいものはどれか。
- 業務に用いるデータやプログラムを他人が改ざん又は消去する行為は、電磁的記録物不正作出罪にあたる。
- 権利・義務に関する他人の電磁的記録を壊したり、棄てたりする行為は、電子計算機損壊等業務妨害罪にあたる。
- 電磁的記録の元帳ファイルに権限なくデータを入力して改ざんする行為は、電磁的記録物不正作出罪にあたる。
- 入手した他人の暗証番号を不正入力してキャッシュカードを偽造する行為は、電子計算機使用詐欺罪にあたる。
解答:
|
◆情報システムや製品に対して、信頼できるITセキュリティ機能を装備するために1999年に制定された国際標準規格で、”IT
Security Evaluation
Criteria”とも呼ばれる。IT資産が共有されている情報処理製品やシステムにおいて、そのIT資産を不当な利用から保護することを目的に、必要な要件を規定したものである。この国際標準規格をなんというか。
- ISO/IEC15408
- ISO/IEC17799
- ISO/IEC TR 13335
- ISO/IEC TR 14516
解答:
|
◆経済産業省が定めた次の基準の名称として、適切なものはどれか。
システムの機密性、保全性および可用性を確保することを目的として、自然災害、機器の障害、故意・過失などのリスクを未然に防止し、また、発生したときの影響の最小化及び回復の迅速化を図るため、システムの利用者が実施する対策項目を列挙した基準
- 金融機関などのコンピュータシステムの安全対策基準
- コンピュータウィルス対策基準
- システム監査基準
- 情報システム安全対策基準
解答:
|
| 【セキュリティポリシの策定】
|
◆2000年7月18日に発表された「情報セキュリティポリシに関するガイドライン」に関する説明のうち、正しいのはどれか。
- 英国のBS7799のパートⅠをベースに作成した、セキュリティポリシに記載すべき項目。
- 経済産業省が策定した「情報システム安全対策基準」や「コンピュータウィルス対策基準」と同様のシリーズで、セキュリティポリシの作成ノウハウをまとめた手引書。
- このガイドラインに基づいてセキュリティポリシを作成し、第三者機関に認証を受ける制度の手引書。
- 政府全体の情報セキュリティについての基本方針および各省庁におけるポリシ策定のために参考とする手引書。
解答:
|
◆セキュリティ基本方針の説明について正しいものを選べ。
- セキュリティ基本方針には、経営方針に合致した社長のセキュリティに対する考え方が記載されている。
- セキュリティ基本方針は、どこの企業でも同じようなものなので、他の企業が作った方針を改定して利用するほうがいい。
- セキュリティ基本方針は、ネットワーク、ハードウェア、ソフトウェア等を安全管理していくための宣言書で、情報システム部門の部長が発行する。
- 電子メール運用規定や、パスワード管理規定等の規定書さえあれば、セキュリティ基本方針は特に必要ない。
解答:
|
| ◆情報セキュリティ対策の構築手順において、次の各作業を行わなければならない順番に並べた場合、最適な答えはどれか。
a)セキュリティ基準の策定
b)セキュリティシステムの運用管理
c)セキュリティシステムの実装および検査
d)セキュリティシステムの設計
e)セキュリティの分析
f)セキュリティ方針の策定
g)セキュリティポリシの見直し
- a → f → d → c → b → e → g
- a → f → d → c → b → g → e
- f → a → d → c → b → e → g
- f → a → d → c → b → g → e
解答:
|
| ◆リスク分析を行う手順を、次のような作業項目に分けた場合、最も適切な作業手順はどれか。
a)脅威の認識
b)情報資産の評価
c)セキュリティ方針の策定
d)対策の整理と調査
e)リスクの識別
f)リスクの評価
- b → a → e → d → f → c
- b → a → e → f → d → c
- b → e → a → d → f → c
- b → e → a → f → d → c
解答:
|
◆電子メールの運用ルールに関して、適切なものはどれか。
- 一斉同報送信機能をうまく利用して、CCで担当顧客に商品案内のメールを送信した。
- 電子メールにウィルスが添付していた場合、すぐに全社員に電子メールを転送して知らせてあげるほうがいい。
- 「電子メールの内容をシステム管理者が自由に閲覧できる」と電子メール利用規定に記載しており、利用に先立って合意していた場合、電子メールの内容をシステム管理者は、自由に閲覧することができる。
- 電子メールは個人的にやりとりするコミュニケーションツールであるため、そのメールでの発言は、会社を代表したものではない。
解答:
|
◆プライバシーマークについて、適切な説明はどれか。
- 個人情報保護に関する規定は、JIS Q
15001に準拠すると、利用・提供・保管の三つの概念に分けられている。
- 申請の条件として、「個人情報保護に関するコンプライアンス・プログラムの要求事項」(JIS
Q
15001)に準拠したコンプライアンスプログラムを定めている必要がある。
- プライバシーマーク制度は、個人情報を第三者に公開しない利用方法が確立していることを認定する制度である。
- プライバシーマークは、取得後に名刺や封筒に印刷して使用する場合は問題ないが、ホームページ上で公開すると悪意のある第三者にコピーされ、不正に利用される恐れがあるので、利用してはいけない。
解答:
|
| 【セキュリティシステムの実装】
|
◆情報システムにおける各種セキュリティ規定のうち、社内ネットワークに接続するための「パスワード運用管理規定」に記述されるべきもののうち、最も適切かつ重要だと思われるものはどれか。
- パスワードの最初の割当ては、管理者が「仮パスワードを発行する」ことによって行う。その後、直ちに変更する旨のメッセージを画面表示させ、利用者がパスワードを変更し、その後は利用者側で、各自管理する。
- パスワードは、本人しか知り得ないものでできるだけ長いけた数、例えば電話番号などを用いて設定すること。
- パスワードを1週間に一度変更する。この運用を守れば、セキュリティは強くなるので、端末にパスワードを書いたシールを張ってもよいことにする。
- パスワードを忘れたときのために、部門内で共通のパスワードをひとつ発行する。
解答:
|
◆共同利用のコンピュータセンタにおけるパスワードの漏えい対策として、不適切な記述はどれか。
- パスワードの変更は、過去の使用履歴をチェックすることによって、同一パスワードが再び使用されなることを禁止する。
- ユーザにパスワードを複数もたせ、使い分けを義務づけることによって、定期的なパスワード変更を不要とする。
- ユーザ認証において、誤ったパスワードが、一定回数以上連続して指定されると、そのユーザを使用禁止状態にする。
- ユーザ別にパスワードの有効期限を設定して、一定期間以内に必ずパスワードを変更させる。
解答:
|
◆売掛金管理システムのユーザ部門におけるアクセスコントロールに関する記述のうち、適切なものはどれか。
- 売掛金の金額訂正は、入力担当者の訂正入力で済むようにする。
- 売掛金の金額訂正や入金予定日の変更は、管理者による承認が必要となるようにする。
- 金額の訂正を伴わない入金予定日の変更は、入力担当者の権限で行えるようにする。
- 訂正内容については、機密情報保護の観点から管理者でなければ照会できないようにする。
解答:
|
◆PPPのリンク確立後、一定の周期でチャレンジメッセージを送り、それに対して相手がハッシュ関数による計算で得た値を返信する。このようにして相手を認証するプロトコルはどれか。
- ARP
- CHAP
- PAP
- PPTP
解答:
|
◆次のプロトコルに関して、ログイン時のセキュリティ強化の正しい組合せはどれか。
- IMAP4、LOGIN
- POP3、APOP
- SMTP、PLAIN
- TELNET、LOGIN
解答:
|
◆ワンタイムパスワードに関する次の記述のうち、正しいものを選べ。
- パスフレーズとは、毎回新たに生成される使い捨てパスワードのことで、これを使ってログインする。
- シードとは、パスワードを計算するためにサーバで秘密管理しておく、かぎの種のことである。
- トークンとは、S/Key方式で利用されるパスワード計算機である。
- シーケンス番号とは、暗号化する回数のことである。最初にサーバに回数が設定され、一度使うたびに一つずつ減じていく。
解答:
|
◆認証メカニズムのKerberosに関して正しいものを選べ。
- クライアントはまず、認証サーバにチケットを要求し、チケットの発行を受けてから目的のサーバにチケットを持ってアクセスにいく。
- 認証を含め、サーバとクライアント間の通信をすべて公開かぎ暗号方式を用いて暗号化するため、かぎ管理を意識しなくてもよい。
- もともとはIBMが開発した独自プロトコルである。
- PCMCIAカードの中に、ユーザ認証用のデジタル証明書を保存する。カードを使うことによって安全性を高くするもので、米国政府のセキュリティ標準として利用されている。
解答:
|
◆バイオメトリックスを利用した個人認証のうち、小型光学式センサや薄型静電式センサから入力した画像を、特徴点の位置関係と流れの方向で照合するものはどれか。
- 虹彩
- 指紋
- 声紋
- 網膜
解答:
|
◆無線LANに関する次の記述のうち、正しいものはどれか。
- 24GHz帯を利用した規格は、IEEE802.3である。
- 基地局が端末を認証するためにSSIDというネットワークIDを使う。
- 無線LANのデータは、DESによって暗号化されたものが標準となっている。
- 無線LANを利用する場合のセキュリティ対策と製品選択は無関係である。
解答:
|
◆インターネット接続において、セキュリティを確保するために使用されるファイアウォールの機能として、最も適切な記述はどれか。
- TCP/IPプロトコルでアクセス制御することができるが、内部ネットワークで使用しているIPアドレスの隠ぺいはできない。
- インターネットから内部ネットワークへの直接アクセスは阻止するが、内部ネットワークからインターネットへのアクセスはできるようにする。
- 不正侵入され、改ざんされたデータを自動修正して元のデータに復元する。
- 不正侵入したコンピュータウィルスを自動発見する。
解答:
|
◆インターネットで注目されているVPN(Virtual
Private
Network)の説明として、適切なものはどれか。
- インターネットによって安価な国際電話網を実現するために利用される。
- 通信内容の暗号化などを利用して、インターネットを仮想的な専用ネットワークとして利用する。
- ディジタル通信ネットワークISDNを使って、組織内のネットワークとインターネットを接続するために利用される。
- 分散している社内LANを専用線で接続し、全社規模の高速ネットワークを実現するために利用される。
解答:
|
◆代表的な暗号方式の一つであるDESについて、正しいものはどれか。
- アルゴリズムが公開されている共通かぎ方式である。
- 暗号化かぎだけを公開し、復号かぎを秘密にする方式である。
- 処理に時間がかかるが、認証機能に優れインターネットでの利用に適した方式である。
- 米国政府の標準方式で、盗聴者はもちろん、作成者も暗号文を平文に戻すことはできない安全性の高い方式である。
解答:
|
| ◆図は公開かぎ暗号方式による機密情報の送受信の概念図である。a、bに入れる適切な組合せはどれか。
送信者
---------→受信者
平文→暗号化→暗号文 暗号文→復号化→平文
↑ ↑
a b
- a(受信者の公開鍵)b(受信者の秘密鍵)
- a(受信者の秘密鍵)b(受信者の公開鍵)
- a(受信者の公開鍵)b(受信者の秘密鍵)
- a(受信者の秘密鍵)b(受信者の公開鍵)
解答:
|
◆公開かぎ暗号方式によって、n人の加入者が相互に暗号を使って通信する場合、異なるかぎは全体で幾つ必要になるか。
- n+1
- 2n
- (n-1)/2
- log2n
解答:
|
◆ディジタル署名を生成するときに、発信者がメッセージのハッシュ値を暗号化するのに使うものはどれか。
- 相手の公開かぎ
- 相手の秘密かぎ
- 自分の公開かぎ
- 自分の秘密かぎ
解答:
|
◆電子メールを暗号化して送受信するために使用される技術はどれか。
- BASE64
- GZIP
- PNG
- S/MIME
解答:
|
◆クレジットカード決済のセキュリティ手順を定めたものはどれか。
- CA(Certificate Authority)
- KPS(Key Predistribution System)
- SET(Secure Electronic Transaction)
- SHS(Secure Hash Standard)
解答:
|
| 【セキュリティシステムの運用】
|
| ◆サーバ上のファイルのバックアップを磁気テープで行うために、次のようなデータ保存方針を立てた。
(1)毎月1日と15日にフルバックアップをとる。
(2)フルバックアップをとった翌日から次のフルバックアップまでは、毎日差分バックアップをとる。
(3)本日から3ヶ月前の同一日までの任意の日付のデータについて復元を保証する。
(注)本日の3ヶ月前の同一日が存在しない場合は、当該月の月末日以降の任意の日付のデータについて復元を保証する(例:本日が8月31日の場合、5月31日以降のデータの復元を保証する)
フルバックアップは磁気テープ1本で可能であり、フルバックアップから次のフルバックアップまでの差分バックアップは、差分バックアップ用として別の磁気テープ1本に追記していく方式を採る。
このような条件でバックアップの運用を行うために必要な磁気テープは何本か。
- 10
- 12
- 14
- 16
解答:
|
◆電子メールの添付ファイルにウィルスが存在し、誤って感染してしまった。ウィルスに感染した後の処置として最も適切なものはどれか。
- 感染した端末を社内LANから切り離した後、OSの再インストールを行う。
- 感染した端末を社内LANから切り離した後、システム管理者に連絡する。
- 業務に支障がなければ業務優先で運用を続ける。その後、現象を再現させ、再現性があり原因が特定できれば、原因を除去する、またはOSから再インストールする。
- ネットワークに接続されている端末すべてにウィルスが発生した旨の警戒メールを発信する。
解答:
|
◆IDS(Intrusion
Detection
System)に関する記述のうち、最も適切なものを選べ。
- Anomaly検知では、攻撃パターンのデータベースを保持している。
- IDSは、ネットワークに設置し、LANを流れるパケットを受信してチェックするため、サーバにトロイの木馬を仕掛けられると、対応ができない。
- シグネチャを使えば、未知の攻撃パターンを検知できる。
- ネットワーク型のIDSには、IPアドレスを割当てないステルスモードのものも存在する。
解答:
|
| ◆次の説明文に相当する機関はどれか。
「コンピュータウィルスおよび不正アクセス被害の届出機関に指定されているところで、寄せられた届出の調査を行い対策をまとめている。また、情報技術に関連した製品のセキュリティの強度を評価・認証する制度を進めている。」
- IPA
- ISO
- ITSSP
- JPCERT/CC
解答:
|
| ◆次の3種類のシステム障害によって発生する不具合のいずれにも効果が期待される対策はどれか。
(1)ディスク、CPU、メモリなどのハードウェアの障害
(2)誤ってファイルを消去したり、上書きしたりする人為的エラー
(3)コンピュータウィルスによる被害
- ウィルス対策ソフト
- ハードウェアの二重化
- ファイルのバックアップ
- ミラーリング
解答:
|
◆エンドユーザへの障害対応窓口としてヘルプディスクを設定した。障害の報告を受けた際にヘルプディスクが対応する順番として、最も適切なものはどれか。
- 受付と記録、問題判別、応急処置、原因解決への優先度設定、原因の解決
- 受付と記録、問題判別、原因解決への優先度設定、応急処置、原因の解決
- 問題判別、受付と記録、応急処置、原因解決への優先度設定、原因の解決
- 問題判別、応急処置、原因解決への優先度設定、受付と記録、原因の解決
解答:
|
◆システムを運用する際には、ユーザを管理する必要がある。ユーザID、パスワードの管理に関する記述のうち、適切なものはどれか。
- 希望者にはユーザIDを無条件で与え、パスワードを登録してもらう。
- 担当者が退職した場合でも、ユーザIDはそのまま残しておく。
- 定期的にパスワードを変更しなければ、ログインできない仕掛けを作る。
- パスワードには誕生日、電話番号など、その人固有のデータを使うように指導する。
解答:
|
