総合的なセキュリティ技術

　A社では、現在、”[a]1918”で記述されているプライベートアドレスを利用している。
TCP/IPネットワークではIPアドレスに対して、[b]の保証が必要である。インターネットでは、アドレス割り当て機関がIPアドレスを管理することで、[b]を保っている。しかし、”[a]1918”によって、[c]層を使って組織外のネットワークと通信を行っている場合には、組織内で自由にプライベートアドレスを採用することが可能になっている。
　インターネットとの接続に先立ち、A社では、アドレス割り当て機関からIPアドレス（グローバルアドレス）を取得し、A社の[d]として、A-ymb.co.jpを登録することにした。　

解答：a
b
c
d

　インターネットを利用して情報交換を行う場合、さまざまなセキュリティ対策が必要になる。たとえば、インターネット上を流れるデータは第三者によって[ア]される危険性があるので、情報の漏えいを防ぐためにはデータの暗号化が必要になる。また、他人に[イ]て悪事を働く第三者の侵入を防ぐためには、ユーザーの認証が必要になる。
　インターネットを利用して商取引を行うEC（エレクトロニックコマース）では、契約内容の正当性の証明が必要になる。ECにおけるトラブル防止のための認証方法に、[ウ]がある。[ウ]は、(1)第三者によって偽造できない、(2)受信人によっても偽造できない、[ウ]を行った本人が後でそれを[エ]できない、などの機能を持つ。そのほかに、コンピュータウィルス対策も重要な課題である。ウィルス対策としては、防疫、感染の検出、[オ]などがある。

解答：ア
イ
ウ
エ
オ

（１）これまで”公衆電話網経由”ではあまり問題にならなかったが、”インターネット経由”では[a]を防ぐ仕組みが必要である。この対策例としては、通信データの[b]がある。
（２）”公衆電話網経由”と”インターネット経由”のいずれも[c]をいかに行うかという検討が必要である。これは、ログインごとに有効なパスワードが変更されるような仕組みの利用が考えられる。また、”公衆電話網経由”では[d]機能の利用も一般的であるが、G社の場合は客先の電話機からの利用要求があり、その機能は採用できない。
（３）上記の仕組み以外にも[e]機能の検討が一般的には必要である。この機能は、不正アクセスをしようとした端末の特定などに利用できる。　

解答：
a
b
c
d
e

　X社は、ファイアウォールで[a]を実施しているので、社内LAN上にあるすべてのマシンが社外へのアクセスに際して１つのIPアドレスを使用することになる。調査の結果、サーバ２上のNTPサーバが、別のプログラムと入れ替えられており、これが社外のサイトに対してTCPポートのセキュリティホールに攻撃を加えていることが判明した。このような不正行為のことを[b]という。
　E課長のアカウントを不正利用した侵入者が、管理者権限を不正に取得したうえで、サーバに常駐して不正行為を行う[c]を残していったものと考えられた。K主任は、NTPサーバソフトウェアを[d]することによって対処した。　

解答：
a
b
c
d

1. セキュリティアドミニストレータは、会社の規則の範囲内でセキュリティが確保されるようにうまくバランスをとらなければならない。
2. セキュリティアドミニストレータは、会社のセキュリティ確保のために、他の社員にもその存在を明かしてはならない。
3. セキュリティアドミニストレータは、社長直属の命を受けて全社員に対して、セキュリティの重要性を周知させる役割を持つ。
4. セキュリティアドミニストレータは、情報システム部門に所属しているメンバから選出し、情報システム部長の指示のもと、全社的にセキュリティを確保する役割を持つ。

解答：

1. 新たなコンピュータウィルスを、自らの技術で作り出すものの総称。
2. インターネットで配布されているツールを利用して、攻撃をしかけてくる人々の総称。
3. 技術的探究心が旺盛で、新しいセキュリティ・ホールを探し出し、スクリプト言語を巧みに使って、新手の攻撃ツールを作り出す人々の総称。
4. 自社のサーバに、スクリプト言語で開発したツールを仕掛けておき、自分のクライアントから自由に操作する内部犯行者。

解答：

1. インターネット上からハッキングツールをダウンロードし、その使用方法を教えてもらい、好奇心から侵入を試みてみた。悪意は特にない。
2. 警備が手薄の時間帯を狙って侵入し、その部屋のLAN接続のジャックにパソコンを接続して、ネットワークに不正に侵入する。
3. 社員の家族を名乗って電話をし、サーバ管理者のパスウワードを巧妙に聞きだすような手口。
4. 第三者を攻撃するプログラムを作成し、電子メールを通じてそのプログラムをばらまく。そうした感染を広げ、タイミングを計って一斉に第三者を総攻撃する手口。

解答：

1. DDoS攻撃の一種でICMPエコー要求に対する応答パケットを利用したものである。ターゲットとなるサーバのIPアドレスを送信元にセット（偽造）して、大量に送り返されるパケットで、サービス停止に陥れる。
2. DoS攻撃の一種で、IPパケットの分割と組立ての際に異常を発生させるものである。パケットヘッダの情報を偽造することで、組立て不能に陥れ、サービス停止させるもの。
3. DoS攻撃の一種で、TCPコネクションの確立に使うSYNパケット内のIPアドレスに送信元とあて先が同一のものをセットする。これにより、不正パケット処理からサービスを停止してしまう。
4. DoS攻撃の一種で、UDPパケットを偽造し、２台のコンピュータ間で終わりのない送受信を繰返させるものである。

解答：

1. 感染したプログラムを実行すると、マクロウィルスは主記憶にロードされ、その間に実行したほかのプログラムのプログラムファイルに感染する。
2. 感染したフロッピーディスクからシステムを起動するとマクロウィルスは主記憶にロードされ、ほかのフロッピーディスクのブートセクタに感染する。
3. 感染した文書ファイルを開いた後に、別に開いたり新規作成したりした文書ファイルに感染する。
4. マクロがウィルスに感染しているかどうかが容易に判断できるので、開く時点で感染を防止することができる。

解答：

1. 自己伝染機能、潜伏機能、増殖機能
2. 自己伝染機能、潜伏機能、発病機能
3. 自己伝染機能、増殖機能、マクロ機能
4. 増殖機能、発病機能、マクロ機能

解答：

1. 共同開発したソフトウェアの著作権は、契約の有無にかかわらず、開発者間で均等に分割保有しなければならい。
2. 従業員が職務上開発したソフトウェアの著作権は、契約等で特に定めない限り、その従業員の所属する会社にある。
3. ソフトウェアハウスに開発を委託したソフトウェアの著作権は、契約の有無にかかわらず、常にソフトウェアハウスにある。
4. 著作権登録申請によって、著作者人格権を含めて著作権を譲渡できる。

解答：

1. 引用目的であっても、他人のホームページからダウンロードしたコンテンツを無断で自分のホームページに載せることは、常に著作権の侵害になる。
2. 営利を目的としない教育機関においても、インターネットで他人のホームページからダウンロードしたコンテンツを無断で使用することは、常に著作権の侵害に当たる。
3. 車の販売台数を説明するために、通商白書の統計データをそのまま使って図表化し、ホームページに活用しても良い。
4. 最新情報を提供するために、新聞に掲載された写真をスキャナでホームページに取り込んで活用しても良い。

解答：

1. 事業活動に有用な技術上又は営業上の秘密として管理されている情報
2. 自然法則を利用した技術的思想の創作のうち高度なもの
3. 著作物を翻訳、翻案して創作された二次的著作物
4. 法人の発意に基づいて作成されたプログラムの著作物

解答：

1. 業務に用いるデータやプログラムを他人が改ざん又は消去する行為は、電磁的記録物不正作出罪にあたる。
2. 権利・義務に関する他人の電磁的記録を壊したり、棄てたりする行為は、電子計算機損壊等業務妨害罪にあたる。
3. 電磁的記録の元帳ファイルに権限なくデータを入力して改ざんする行為は、電磁的記録物不正作出罪にあたる。
4. 入手した他人の暗証番号を不正入力してキャッシュカードを偽造する行為は、電子計算機使用詐欺罪にあたる。

解答：

1. ISO/IEC15408
2. ISO/IEC17799
3. ISO/IEC TR 13335
4. ISO/IEC TR 14516

解答：

1. 金融機関などのコンピュータシステムの安全対策基準
2. コンピュータウィルス対策基準
3. システム監査基準
4. 情報システム安全対策基準

解答：

1. 英国のBS7799のパートⅠをベースに作成した、セキュリティポリシに記載すべき項目。
2. 経済産業省が策定した「情報システム安全対策基準」や「コンピュータウィルス対策基準」と同様のシリーズで、セキュリティポリシの作成ノウハウをまとめた手引書。
3. このガイドラインに基づいてセキュリティポリシを作成し、第三者機関に認証を受ける制度の手引書。
4. 政府全体の情報セキュリティについての基本方針および各省庁におけるポリシ策定のために参考とする手引書。

解答：

1. セキュリティ基本方針には、経営方針に合致した社長のセキュリティに対する考え方が記載されている。
2. セキュリティ基本方針は、どこの企業でも同じようなものなので、他の企業が作った方針を改定して利用するほうがいい。
3. セキュリティ基本方針は、ネットワーク、ハードウェア、ソフトウェア等を安全管理していくための宣言書で、情報システム部門の部長が発行する。
4. 電子メール運用規定や、パスワード管理規定等の規定書さえあれば、セキュリティ基本方針は特に必要ない。

解答：

　　a)セキュリティ基準の策定
　　b)セキュリティシステムの運用管理
　　c)セキュリティシステムの実装および検査
　　d)セキュリティシステムの設計
　　e)セキュリティの分析
　　f)セキュリティ方針の策定
　　g)セキュリティポリシの見直し

1. a → f → d → c → b → e → g
2. a → f → d → c → b → g → e
3. f → a → d → c → b → e → g
4. f → a → d → c → b → g → e

解答：

　　a)脅威の認識
　　b)情報資産の評価
　　c)セキュリティ方針の策定
　　d)対策の整理と調査
　　e)リスクの識別
　　f)リスクの評価

1. b → a → e → d → f → c
2. b → a → e → f → d → c
3. b → e → a → d → f → c
4. b → e → a → f → d → c

解答：

1. 一斉同報送信機能をうまく利用して、CCで担当顧客に商品案内のメールを送信した。
2. 電子メールにウィルスが添付していた場合、すぐに全社員に電子メールを転送して知らせてあげるほうがいい。
3. 「電子メールの内容をシステム管理者が自由に閲覧できる」と電子メール利用規定に記載しており、利用に先立って合意していた場合、電子メールの内容をシステム管理者は、自由に閲覧することができる。
4. 電子メールは個人的にやりとりするコミュニケーションツールであるため、そのメールでの発言は、会社を代表したものではない。

解答：

1. 個人情報保護に関する規定は、JIS Q
   15001に準拠すると、利用・提供・保管の三つの概念に分けられている。
2. 申請の条件として、「個人情報保護に関するコンプライアンス・プログラムの要求事項」（JIS
   Q
   15001）に準拠したコンプライアンスプログラムを定めている必要がある。
3. プライバシーマーク制度は、個人情報を第三者に公開しない利用方法が確立していることを認定する制度である。
4. プライバシーマークは、取得後に名刺や封筒に印刷して使用する場合は問題ないが、ホームページ上で公開すると悪意のある第三者にコピーされ、不正に利用される恐れがあるので、利用してはいけない。

解答：

1. パスワードの最初の割当ては、管理者が「仮パスワードを発行する」ことによって行う。その後、直ちに変更する旨のメッセージを画面表示させ、利用者がパスワードを変更し、その後は利用者側で、各自管理する。
2. パスワードは、本人しか知り得ないものでできるだけ長いけた数、例えば電話番号などを用いて設定すること。
3. パスワードを１週間に一度変更する。この運用を守れば、セキュリティは強くなるので、端末にパスワードを書いたシールを張ってもよいことにする。
4. パスワードを忘れたときのために、部門内で共通のパスワードをひとつ発行する。

解答：

1. パスワードの変更は、過去の使用履歴をチェックすることによって、同一パスワードが再び使用されなることを禁止する。
2. ユーザにパスワードを複数もたせ、使い分けを義務づけることによって、定期的なパスワード変更を不要とする。
3. ユーザ認証において、誤ったパスワードが、一定回数以上連続して指定されると、そのユーザを使用禁止状態にする。
4. ユーザ別にパスワードの有効期限を設定して、一定期間以内に必ずパスワードを変更させる。

解答：

1. 売掛金の金額訂正は、入力担当者の訂正入力で済むようにする。
2. 売掛金の金額訂正や入金予定日の変更は、管理者による承認が必要となるようにする。
3. 金額の訂正を伴わない入金予定日の変更は、入力担当者の権限で行えるようにする。
4. 訂正内容については、機密情報保護の観点から管理者でなければ照会できないようにする。

解答：

1. ARP
2. CHAP
3. PAP
4. PPTP

解答：

1. IMAP4、LOGIN
2. POP3、APOP
3. SMTP、PLAIN
4. TELNET、LOGIN

解答：

1. パスフレーズとは、毎回新たに生成される使い捨てパスワードのことで、これを使ってログインする。
2. シードとは、パスワードを計算するためにサーバで秘密管理しておく、かぎの種のことである。
3. トークンとは、S/Key方式で利用されるパスワード計算機である。
4. シーケンス番号とは、暗号化する回数のことである。最初にサーバに回数が設定され、一度使うたびに一つずつ減じていく。

解答：

1. クライアントはまず、認証サーバにチケットを要求し、チケットの発行を受けてから目的のサーバにチケットを持ってアクセスにいく。
2. 認証を含め、サーバとクライアント間の通信をすべて公開かぎ暗号方式を用いて暗号化するため、かぎ管理を意識しなくてもよい。
3. もともとはIBMが開発した独自プロトコルである。
4. PCMCIAカードの中に、ユーザ認証用のデジタル証明書を保存する。カードを使うことによって安全性を高くするもので、米国政府のセキュリティ標準として利用されている。

解答：

1. 虹彩
2. 指紋
3. 声紋
4. 網膜

解答：

1. ２４GHz帯を利用した規格は、IEEE802.3である。
2. 基地局が端末を認証するためにSSIDというネットワークIDを使う。
3. 無線LANのデータは、DESによって暗号化されたものが標準となっている。
4. 無線LANを利用する場合のセキュリティ対策と製品選択は無関係である。

解答：

1. TCP/IPプロトコルでアクセス制御することができるが、内部ネットワークで使用しているIPアドレスの隠ぺいはできない。
2. インターネットから内部ネットワークへの直接アクセスは阻止するが、内部ネットワークからインターネットへのアクセスはできるようにする。
3. 不正侵入され、改ざんされたデータを自動修正して元のデータに復元する。
4. 不正侵入したコンピュータウィルスを自動発見する。

解答：

1. インターネットによって安価な国際電話網を実現するために利用される。
2. 通信内容の暗号化などを利用して、インターネットを仮想的な専用ネットワークとして利用する。
3. ディジタル通信ネットワークISDNを使って、組織内のネットワークとインターネットを接続するために利用される。
4. 分散している社内LANを専用線で接続し、全社規模の高速ネットワークを実現するために利用される。

解答：

1. アルゴリズムが公開されている共通かぎ方式である。
2. 暗号化かぎだけを公開し、復号かぎを秘密にする方式である。
3. 処理に時間がかかるが、認証機能に優れインターネットでの利用に適した方式である。
4. 米国政府の標準方式で、盗聴者はもちろん、作成者も暗号文を平文に戻すことはできない安全性の高い方式である。

解答：

　　　　　　　　　　　送信者
－－－－－－－－－→受信者

　　　　　　　平文→暗号化→暗号文　　　暗号文→復号化→平文
　　　　　　　　　　　　　↑　　　 　　　 　　　 　　　　　 　　 　↑
　　　　　　　　　　　　　a　　　　　　　　 　　 　　 　　　　　　b

1. a（受信者の公開鍵）b（受信者の秘密鍵）
2. a（受信者の秘密鍵）b（受信者の公開鍵）
3. a（受信者の公開鍵）b（受信者の秘密鍵）
4. a（受信者の秘密鍵）b（受信者の公開鍵）

解答：

1. n+1
2. 2n
3. (n-1)/2
4. log2n

解答：

1. 相手の公開かぎ
2. 相手の秘密かぎ
3. 自分の公開かぎ
4. 自分の秘密かぎ

解答：

1. BASE64
2. GZIP
3. PNG
4. S/MIME

解答：

1. CA（Certificate Authority）
2. KPS（Key Predistribution System）
3. SET（Secure Electronic Transaction）
4. SHS（Secure Hash Standard）

解答：

（１）毎月１日と１５日にフルバックアップをとる。
（２）フルバックアップをとった翌日から次のフルバックアップまでは、毎日差分バックアップをとる。
（３）本日から３ヶ月前の同一日までの任意の日付のデータについて復元を保証する。
（注）本日の３ヶ月前の同一日が存在しない場合は、当該月の月末日以降の任意の日付のデータについて復元を保証する（例：本日が８月３１日の場合、５月３１日以降のデータの復元を保証する）

フルバックアップは磁気テープ１本で可能であり、フルバックアップから次のフルバックアップまでの差分バックアップは、差分バックアップ用として別の磁気テープ１本に追記していく方式を採る。
このような条件でバックアップの運用を行うために必要な磁気テープは何本か。

1. 10
2. 12
3. 14
4. 16

解答：

1. 感染した端末を社内LANから切り離した後、OSの再インストールを行う。
2. 感染した端末を社内LANから切り離した後、システム管理者に連絡する。
3. 業務に支障がなければ業務優先で運用を続ける。その後、現象を再現させ、再現性があり原因が特定できれば、原因を除去する、またはOSから再インストールする。
4. ネットワークに接続されている端末すべてにウィルスが発生した旨の警戒メールを発信する。

解答：

1. Anomaly検知では、攻撃パターンのデータベースを保持している。
2. IDSは、ネットワークに設置し、LANを流れるパケットを受信してチェックするため、サーバにトロイの木馬を仕掛けられると、対応ができない。
3. シグネチャを使えば、未知の攻撃パターンを検知できる。
4. ネットワーク型のIDSには、IPアドレスを割当てないステルスモードのものも存在する。

解答：

「コンピュータウィルスおよび不正アクセス被害の届出機関に指定されているところで、寄せられた届出の調査を行い対策をまとめている。また、情報技術に関連した製品のセキュリティの強度を評価・認証する制度を進めている。」

1. IPA
2. ISO
3. ITSSP
4. JPCERT/CC

解答：

（１）ディスク、CPU、メモリなどのハードウェアの障害
（２）誤ってファイルを消去したり、上書きしたりする人為的エラー
（３）コンピュータウィルスによる被害

1. ウィルス対策ソフト
2. ハードウェアの二重化
3. ファイルのバックアップ
4. ミラーリング

解答：

1. 受付と記録、問題判別、応急処置、原因解決への優先度設定、原因の解決
2. 受付と記録、問題判別、原因解決への優先度設定、応急処置、原因の解決
3. 問題判別、受付と記録、応急処置、原因解決への優先度設定、原因の解決
4. 問題判別、応急処置、原因解決への優先度設定、受付と記録、原因の解決

解答：

1. 希望者にはユーザIDを無条件で与え、パスワードを登録してもらう。
2. 担当者が退職した場合でも、ユーザIDはそのまま残しておく。
3. 定期的にパスワードを変更しなければ、ログインできない仕掛けを作る。
4. パスワードには誕生日、電話番号など、その人固有のデータを使うように指導する。

解答：