| No. | 問題集 | 詳細No. | 内容 | 操作 |
|---|---|---|---|---|
| 1 | 平成30年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | CVSS v3 の評価基準には,基本評価基準,現状評価基準, 環境評価基準の三つがある。基本評価基準の説明はどれか。 | 詳細 | |
|
1. 機密性への影響, どこから攻撃が可能かといった攻撃元区分,攻撃する際に必要な特権レベルなど, 脆弱性そのものの特性を評価する。 2. 攻撃される可能性, 利用可能な対策のレベル, 脆弱性情報の信頼性など、評価時点における脆弱性の特性を評価する。 3. 脆弱性を悪用した攻撃シナリオについて,機会, 正当化, 動機の三つの観点から, 脆弱性が悪用される基本的なリスクを評価する。 4. 利用者のシステムやネットワークにおける情報セキュリティ対策など、攻撃の難易度や攻撃による影響度を再評価し, 脆弱性の最終的な深刻度を評価する。 |
機密性への影響, どこから攻撃が可能かといった攻撃元区分,攻撃する際に必要な特権レベルなど, 脆弱性そのものの特性を評価する。 |
|||
| 2 | 平成30年度 春期 午前Ⅱ 情報処理安全確保支援士試験 |
Web サーバのログを分析したところ, Web サーバへの攻撃と思われる HTTP リク エストヘッダが記録されていた。次の HTTP リクエストヘッダから推測できる, 攻 撃者が悪用しようとしている脆弱性はどれか。ここで, HTTP リクエストヘッダは デコード済みである。 (HTTPリクエストヘッダの部分) GET /cgi-bin/submit.cgi?user=;cat /etc/passwd HTTP/1.1 Accept: */* Accept-Language: ja UA-CPU: x86 Accept-Encoding: gzip, deflate User-Agent: (省略) Host: test.example.com Connection: Keep-Alive |
詳細 | |
|
1. HTTP ヘッダインジェクション 2. OS コマンドインジェクション 3. SQLインジェクション 4. クロスサイトスクリプティング |
OS コマンドインジェクション |
|||
| 3 | 平成30年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | XML ディジタル署名の特徴のうち,適切なものはどれか。 | 詳細 | |
|
1. XML 文書中の, 任意のエレメントに対してデタッチ署名(Detached Signature)を付けることができる。 2. エンベローピング署名(Enveloping Signature)では一つの署名対象に必ず複数の署名を付ける。 3. 署名形式として, CMS (Cryptographic Message Syntax)を用いる。 4. 署名対象と署名アルゴリズムを ASN.1 によって記述する。 |
XML 文書中の, 任意のエレメントに対してデタッチ署名(Detached Signature)を付けることができる。 |
|||
| 4 | 平成30年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | エクスプロイトコードの説明はどれか。 | 詳細 | |
|
1. 攻撃コードとも呼ばれ, 脆弱性を悪用するソフトウェアのコードのことであるが, 使い方によっては脆弱性の検証に役立つこともある。 2. マルウェアのプログラムを解析して得られる, マルウェアを特定するための特徴的なコードのことであり, マルウェア対策ソフトの定義ファイルとしてマルウ ェアの検知に用いられる。 3. メッセージとシークレットデータから計算されるハッシュコードのことであり,メッセージの改ざんの検知に用いられる。 4. ログインの度に変化する認証コードのことであり,窃取されても再利用できな いので不正アクセスを防ぐ。 |
攻撃コードとも呼ばれ, 脆弱性を悪用するソフトウェアのコードのことであるが, 使い方によっては脆弱性の検証に役立つこともある。 |
|||
| 5 | 平成30年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | シングルサインオンの実装方式に関する記述のうち,適切なものはどれか。 | 詳細 | |
|
1. cookie を使ったシングルサインオンの場合, サーバごとの認証情報を含んだcookie をクライアントで生成し,各サーバ上で保存、管理する。 2. cookie を使ったシングルサインオンの場合, 認証対象のサーバを,異なるインターネットドメインに配置する必要がある。 3. リバースプロキシを使ったシングルサインオンの場合, 認証対象の Web サーバを,異なるインターネットドメインに配置する必要がある。 4. リバースプロキシを使ったシングルサインオンの場合,利用者認証においてパスワードの代わりにディジタル証明書を用いることができる。 |
リバースプロキシを使ったシングルサインオンの場合,利用者認証においてパスワードの代わりにディジタル証明書を用いることができる。 |
|||
|
スポンサー |
||||
| 6 | 平成30年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | ファイアウォールにおけるダイナミックパケットフィルタリングの特徴はどれか。 | 詳細 | |
|
1. IP アドレスの変換が行われるので, ファイアウォール内部のネットワーク構成を外部から隠蔽できる。 2. 暗号化されたパケットのデータ部を復号して,許可された通信かどうかを判断できる。 3. 過去に通過したリクエストパケットに対応付けられる戻りのパケットを通過させることができる。 4. パケットのデータ部をチェックして,アプリケーション層での不正なアクセスを防止できる。 |
過去に通過したリクエストパケットに対応付けられる戻りのパケットを通過させることができる。 |
|||
| 7 | 平成30年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | 発信者がメッセージのハッシュ値からディジタル署名を生成するのに使う鍵はどれか。 | 詳細 | |
|
1. 受信者の公開鍵 2. 受信者の秘密鍵 3. 発信者の公開鍵 4. 発信者の秘密鍵 |
発信者の秘密鍵 |
|||
| 8 | 平成30年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | X.509 における CRL (Certificate Revocation List)に関する記述のうち,適切なものはどれか。 | 詳細 | |
|
1. PKI の利用者は,認証局の公開鍵が Web ブラウザに組み込まれていれば, CRLを参照しなくてもよい。 2. 認証局は,発行した全てのディジタル証明書の有効期限を CRL に登録する。 3. 認証局は,発行したディジタル証明書のうち,失効したものは, シリアル番号を失効後1年間 CRL に登録するよう義務付けられている。 4. 認証局は,有効期限内のディジタル証明書のシリアル番号を CRL に登録することがある。 |
認証局は,有効期限内のディジタル証明書のシリアル番号を CRL に登録することがある。 |
|||
| 9 | 平成30年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | 認証デバイスに関する記述のうち,適切なものはどれか。 | 詳細 | |
|
1. USB メモリにディジタル証明書を組み込み, 認証デバイスとする場合は,そのUSB メモリを接続する PC の MACアドレスを組み込む必要がある。 2. 成人の虹彩は,経年変化がなく,虹彩認証では,認証デバイスでのパターン更新がほとんど不要である。 3. 静電容量方式の指紋認証デバイスは, LED 照明を設置した室内では正常に認証できなくなる可能性が高くなる。 4. 認証に利用する接触型IC カードは、カード内のコイルの誘導起電力を利用している。 |
成人の虹彩は,経年変化がなく,虹彩認証では,認証デバイスでのパターン更新がほとんど不要である。 |
|||
| 10 | 平成30年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | サイバー情報共有イニシアティブ(J-CSIP)の説明として,適切なものはどれか。 | 詳細 | |
|
1. サイバー攻撃対策に関する情報セキュリティ監査を参加組織間で相互に実施して, 監査結果を共有する取組み 2. 参加組織がもつデータを相互にバックアップして, サイバー攻撃から保護する取組み 3. セキュリティ製品のサイバー攻撃に対する有効性に関する情報を参加組織が取りまとめ,その情報を活用できるように公開する取組み 4. 標的型サイバー攻撃などに関する情報を参加組織間で共有し, 高度なサイバー攻撃対策につなげる取組み |
標的型サイバー攻撃などに関する情報を参加組織間で共有し, 高度なサイバー攻撃対策につなげる取組み |
|||
|
スポンサー |
||||
| 11 | 平成30年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | cookie に secure 属性を設定しなかったときと比較した,設定したときの動作の差として,適切なものはどれか。 | 詳細 | |
|
1. cookie に設定された有効期間を過ぎると, cookie が無効化される。 2. JavaScript による cookie の読出しが禁止される。 3. URL のスキームが https のときだけ, Web ブラウザから cookie が送出される。 4. Web ブラウザがアクセスする URL 内のパスと cookie に設定されたパスのプレフィックスが一致するとき, Web ブラウザから cookie が送出される。 |
URL のスキームが https のときだけ, Web ブラウザから cookie が送出される。 |
|||
| 12 | 平成30年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | スパムメールへの対策である DKIM(DomainKeys Identified Mail)の説明はどれか。 | 詳細 | |
|
1. 送信側メールサーバにおいてディジタル署名を電子メールのヘッダに付加し,受信側メールサーバにおいてそのディジタル署名を公開鍵によって検証する仕組み 2. 送信側メールサーバにおいて利用者が認証された場合, 電子メールの送信が許可される仕組み 3. 電子メールのヘッダや配送経路の情報から得られる送信元情報を用いて,メール送信元の IPアドレスを検証する仕組み 4. ネットワーク機器において,内部ネットワークから外部のメールサーバの TCPポート番号 25 への直接の通信を禁止する仕組み |
送信側メールサーバにおいてディジタル署名を電子メールのヘッダに付加し,受信側メールサーバにおいてそのディジタル署名を公開鍵によって検証する仕組み |
|||
| 13 | 平成30年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | テンペスト攻撃を説明したものはどれか。 | 詳細 | |
|
1. 故意に暗号化演算を誤動作させて正しい処理結果との差異を解析する。 2. 処理時間の差異を計測して解析する。 3. 処理中に機器から放射される電磁波を観測して解析する。 4. チップ内の信号線などに探針を直接当て,処理中のデータを観測して解析する。 |
処理中に機器から放射される電磁波を観測して解析する。 |
|||
| 14 | 平成30年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | 内部ネットワークの PC がダウンローダ型マルウェアに感染したとき,そのマルウェアがインターネット経由で他のマルウェアをダウンロードすることを防ぐ方策 として,最も有効なものはどれか。 | 詳細 | |
|
1. インターネットから内部ネットワークに向けた要求パケットによる不正侵入行為を IPS で破棄する。 2. インターネット上の危険な Web サイトの情報を保持する URL フィルタを用いて, 危険なWeb サイトとの接続を遮断する。 3. スパムメール対策サーバでインターネットからのスパムメールを拒否する。 4. メールフィルタでインターネット上の他サイトへの不正な電子メールの発信を遮断する。 |
インターネット上の危険な Web サイトの情報を保持する URL フィルタを用いて, 危険なWeb サイトとの接続を遮断する。 |
|||
| 15 | 平成30年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | ルートキットの特徴はどれか。 | 詳細 | |
|
1. OS などに不正に組み込んだツールを隠蔽する。 2. OS の中核であるカーネル部分の脆弱性を分析する。 3. コンピュータがウイルスやワームに感染していないことをチェックする。 4. コンピュータやルータのアクセス可能な通信ポートを外部から調査する。 |
OS などに不正に組み込んだツールを隠蔽する。 |
|||
|
スポンサー |
||||
| 16 | 平成30年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | DNSSEC で実現できることはどれか。 | 詳細 | |
|
1. DNS キャッシュサーバが得た応答中のリソースレコードが、 権威 DNS サーバで管理されているものであり,改ざんされていないことの検証 2. 権威 DNS サーバと DNS キャッシュサーバとの通信を暗号化することによるゾーン情報の漏えいの防止 3. 長音"ー"と漢数字"一”などの似た文字をドメイン名に用いて,正規サイトのように見せかける攻撃の防止 4. 利用者の URLの入力誤りを悪用して,偽サイトに誘導する攻撃の検知 |
DNS キャッシュサーバが得た応答中のリソースレコードが、 権威 DNS サーバで管理されているものであり,改ざんされていないことの検証 |
|||
| 17 | 平成30年度 春期 午前Ⅱ 情報処理安全確保支援士試験 |
 |
詳細 | |
|
1. 2. 3. 4. |
|
|||
| 18 | 平成30年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | IPv4 において, IP パケットで送られているデータが, ICMP メッセージであることを識別できるヘッダ情報はどれか。 | 詳細 | |
|
1. IPヘッダのプロトコル番号 2. MAC ヘッダのイーサタイプ値 3. TCPヘッダのコントロールフラグ 4. UDP ヘッダの宛先ポート番号 |
IPヘッダのプロトコル番号 |
|||
| 19 | 平成30年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | IEEE 802.1Q の VLAN機能を有したスイッチにおいて,複数の VLAN に所属しているポートを何と呼ぶか。 | 詳細 | |
|
1. アクセスポート 2. 代表ポート 3. トランクポート 4. ルートポート |
トランクポート |
|||
| 20 | 平成30年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | WebDAV の特徴はどれか。 | 詳細 | |
|
1. HTTP 上の SOAP によってソフトウェア同士が通信して, ネットワーク上に分散したアプリケーションを連携させることができる。 2. HTTP を拡張したプロトコルを使って, サーバ上のファイルの参照, 作成, 削除及びバージョン管理が行える。 3. Web アプリケーションから IMAP サーバにアクセスして, Web ブラウザから添付ファイルを含む電子メールの操作ができる。 4. Web ブラウザで“ftp://”から始まる URL を指定して, ソフトウェアなどの大きなファイルのダウンロードができる。 |
HTTP を拡張したプロトコルを使って, サーバ上のファイルの参照, 作成, 削除及びバージョン管理が行える。 |
|||
|
スポンサー |
||||
| 21 | 平成30年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | DBMS がトランザクションのコミット処理を完了とするタイミングはどれか。 | 詳細 | |
|
1. アプリケーションの更新命令完了時点 2. チェックポイント処理完了時点 3. ログバッファへのコミット情報書込み完了時点 4. ログファイルへのコミット情報書込み完了時点 |
ログファイルへのコミット情報書込み完了時点 |
|||
| 22 | 平成30年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | UML 2.0 において,オブジェクト間の相互作用を時間の経過に注目して記述するものはどれか。 | 詳細 | |
|
1. アクティビティ図 2. コミュニケーション図 3. シーケンス図 4. ユースケース図 |
シーケンス図 |
|||
| 23 | 平成30年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | エクストリームプログラミング(XP: eXtreme Programming)における“テスト駆動開発”の特徴はどれか。 | 詳細 | |
|
1. 最初のテストで,なるべく多くのバグを摘出する。 2. テストケースの改善を繰り返す。 3. テストでのカバレージを高めることを重視する。 4. プログラムを書く前にテストケースを作成する。 |
プログラムを書く前にテストケースを作成する。 |
|||
| 24 | 平成30年度 春期 午前Ⅱ 情報処理安全確保支援士試験 |
 |
詳細 | |
|
1. 2. 3. 4. |
|
|||
| 25 | 平成30年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | データベースの直接修正に関して, 監査人がシステム監査報告書で報告すべき指摘事項はどれか。ここで,直接修正とは,アプリケーションの機能を経由せずに, 特権 ID を使用してデータを追加,変更又は削除することをいう。 | 詳細 | |
|
1. 更新ログを加工して,アプリケーションの機能を経由した正常な処理によるログとして残していた。 2. 事前のデータ変更申請の承認, 及び事後のデータ変更結果の承認を行っていた。 3. 直接修正の作業時以外は,使用する直接修正用の特権 ID を無効にしていた。 4. 利用部門からのデータ変更依頼票に基づいて, システム部門が直接修正を実施していた。 |
更新ログを加工して,アプリケーションの機能を経由した正常な処理によるログとして残していた。 |
|||
|
スポンサー |
||||
学習時間記録ツール
