令和2年度 10月 午前Ⅱ 情報処理安全確保支援士試験 | 解答一覧

1. HTTPヘッダインジェクション(HTTP Response Splitting)

2. OSコマンドインジェクション

3. SQLインジェクション

4. クロスサイトスクリプティング

OSコマンドインジェクション

1. Webサービスに関する情報を公開し，それらが提供する機能などを検索可能にするための仕様

2. 権限がない利用者による読取り，改ざんから電子メールを保護して送信するための仕様

3. ディジタル署名に使われる鍵情報を効率よく管理するためのWebサービスの仕様

4. 認証情報に加え，属性情報とアクセス制御情報を異なるドメインに伝達するためのWebのサービス仕様

認証情報に加え，属性情報とアクセス制御情報を異なるドメインに伝達するためのWebのサービス仕様

1. 攻撃コードとも呼ばれ，ソフトウェアの脆弱性を悪用するコードのことであり，使い方によっては脆弱性の検証に役立つこともある。

2. マルウェア定義ファイルとも呼ばれ，マルウェアを特定するための特徴的なコードのことであり，マルウェア対策ソフトによるマルウェアの検知に用いられる。

3. メッセージとシークレットデータから計算されるハッシュコードのことであり，メッセージの改ざん検知に用いられる。

4. ログインのたびに変化する認証コードのことであり，窃取されても再利用できないので不正アクセスを防ぐ。

攻撃コードとも呼ばれ，ソフトウェアの脆弱性を悪用するコードのことであり，使い方によっては脆弱性の検証に役立つこともある。

1. 暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量(処理時間や消費電流など)やエラーメッセージから，攻撃対象の機密情報を得る。

2. 企業などの秘密情報を窃取するソーシャルエンジニアリングの手法の一つであり，不用意に捨てられた機密情報の印刷物をオフィスの紙ごみの中から探し出す。

3. 通信を行う2者間に割り込んで，両者が交換する情報を自分のものとすり替えることによって，その後の通信を気付かれることなく盗聴する。

4. データベースを利用するWebサイトに入力パラメタとしてSQL文の断片を送信することによって，データベースを改ざんする。

暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量(処理時間や消費電流など)やエラーメッセージから，攻撃対象の機密情報を得る。

1. RADIUSを必須の技術として，参加者の利用者認証を一元管理するために利用する。

2. SPFを必須の技術として，参加者間で電子メールを送受信するときに送信元の正当性を確認するために利用する。

3. 楕円曲線暗号を必須の技術として，参加者間のP2P(Peer to Peer)ネットワークを暗号化するために利用する。

4. ハッシュ関数を必須の技術として，参加者がデータの改ざんを検出するために利用する。

ハッシュ関数を必須の技術として，参加者がデータの改ざんを検出するために利用する。

スポンサー

1. NICTが運用するダークネット観測網において，Miraiなどのマルウェアに感染したIoT機器から到達するパケットを分析した結果を当該機器の製造者に提供し，国内での必要な対策を促す。

2. 国内のグローバルIPアドレスを有するIoT機器に，容易に推測されるパスワードを入力することなどによって，サイバー攻撃に悪用されるおそれのある機器を調査し，インターネットサービスプロバイダを通じて当該機器の利用者に注意喚起を行う。

3. 国内の利用者からの申告に基づき，利用者の所有するIoT機器に対して無料でリモートから，侵入テストやOSの既知の脆弱性の有無の調査を実施し，結果を通知するとともに，利用者が自ら必要な対処ができるよう支援する。

4. 製品のリリース前に，不要にもかかわらず開放されているポートの存在，パスワードの設定漏れなど約200項目の脆弱性の有無を調査できるテストベッドを国内のIoT機器製造者向けに公開し，市場に流通するIoT機器のセキュリティ向上を目指す。

国内のグローバルIPアドレスを有するIoT機器に，容易に推測されるパスワードを入力することなどによって，サイバー攻撃に悪用されるおそれのある機器を調査し，インターネットサービスプロバイダを通じて当該機器の利用者に注意喚起を行う。

1. ICTを活用し，場所や時間を有効に活用できる柔軟な働き方(テレワーク)の形態を示し，テレワークの形態に応じた情報セキュリティ対策の考え方を示すこと

2. 新たな産業社会において付加価値を創造する活動が直面するリスクを適切に捉えるためのモデルを構築し，求められるセキュリティ対策の全体像を整理すること

3. クラウドサービスの利用者と提供者が，セキュリティ管理策の実施について容易に連携できるように，実施の手引を利用者向けと提供者向けの対で記述すること

4. データセンタの利用者と事業者に対して"データセンタの適切なセキュリティ"とは何かを考え，共有すべき知見を提供すること

新たな産業社会において付加価値を創造する活動が直面するリスクを適切に捉えるためのモデルを構築し，求められるセキュリティ対策の全体像を整理すること

1. 暗号技術の技術的検討並びに国際競争力の向上及び運用面での安全性向上に関する検討を行う。

2. 情報セキュリティ政策に係る基本戦略の立案，官民における統一的，横断的な情報セキュリティ政策の推進に係る企画などを行う。

3. 組織の情報セキュリティマネジメントシステムについて評価し認証する制度を運用する。

4. 認証機関から貸与された暗号モジュール試験報告書作成支援ツールを用いて暗号モジュールの安全性についての評価試験を行う。

暗号技術の技術的検討並びに国際競争力の向上及び運用面での安全性向上に関する検討を行う。

1. クレジットカードのPIN(Personal Identification Number:暗証番号)を入力させ，検証することによって，なりすましによる不正使用を防止する。

2. クレジットカードのセキュリティコード(カードの裏面又は表面に記載された3桁又は4桁の番号)を入力させ，検証することによって，クレジットカードの不正使用を防止する。

3. クレジットカードの有効期限を入力させ，検証することによって，期限切れクレジットカードの不正使用を防止する。

4. クレジットカード発行会社にあらかじめ登録したパスワードなど，本人しか分からない情報を入力させ，検証することによって，なりすましによるクレジットカードの不正使用を防止する。

クレジットカード発行会社にあらかじめ登録したパスワードなど，本人しか分からない情報を入力させ，検証することによって，なりすましによるクレジットカードの不正使用を防止する。

1. インターネットバンキングでの送金時に接続するWebサイトの正当性を確認できるよう，EV SSLサーバ証明書を採用する。

2. インターネットバンキングでの送金時に利用者が入力した情報と，金融機関が受信した情報とに差異がないことを検証できるよう，トランザクション署名を利用する。

3. インターネットバンキングでのログイン認証において，一定時間ごとに自動的に新しいパスワードに変更されるワンタイムパスワードを用意する。

4. インターネットハンキング利用時の通信をSSLではなくTLSを利用して暗号化する。

インターネットバンキングでの送金時に利用者が入力した情報と，金融機関が受信した情報とに差異がないことを検証できるよう，トランザクション署名を利用する。

スポンサー

1.

2.

3.

4.

1. Webサーバでは，cookie発行時に"Secure="に続いて時間を設定し，Webブラウザは，指定された時間を参照し，指定された時間を過ぎている場合にそのcookieを削除する。

2. Webサーバでは，cookie発行時に"Secure="に続いてホスト名を設定し，Webブラウザは，指定されたホスト名を参照し，指定されたホストにそのcookieを送信する。

3. Webサーバでは，cookie発行時に"Secure"を設定し，Webブラウザは，それを参照し，HTTPS通信時だけそのcookieを送信する。

4. Webサーバでは，cookie発行時に"Secure"を設定し，Webブラウザは，それを参照し，Webブラウザの終了時にcookieの他の属性によらず，そのcookieを削除する。

Webサーバでは，cookie発行時に"Secure"を設定し，Webブラウザは，それを参照し，HTTPS通信時だけそのcookieを送信する。

1. 画像や音楽などのディジタルコンテンツに著作権者などの情報を埋め込む。

2. コンピュータやネットワークのセキュリティ上の弱点を発見するテスト手法の一つであり，システムを実際に攻撃して侵入を試みる。

3. 巧みな話術や盗み聞き，盗み見などの手段によって，ネットワーク管理者や利用者などから，パスワードなどのセキュリティ上重要な情報を入手する。

4. 犯罪に関する証拠となり得るデータを保全し，調査，分析，その後の訴訟などに備える。

犯罪に関する証拠となり得るデータを保全し，調査，分析，その後の訴訟などに備える。

1.

2.

3.

4.

1. DNSキャッシュサーバが得た応答中のリソースレコードが，権威DNSサーバで管理されているものであり，改ざんされていないことの検証

2. 権威DNSサーバとDNSキャッシュサーバとの通信を暗号化することによる，ゾーン情報の漏えいの防止

3. 長音"ー"と漢数字"一"などの似た文字をドメイン名に用いて，正規サイトのように見せかける攻撃の防止

4. 利用者のURLの入力誤りを悪用して，偽サイトに誘導する攻撃の検知

DNSキャッシュサーバが得た応答中のリソースレコードが，権威DNSサーバで管理されているものであり，改ざんされていないことの検証

スポンサー

1. ISP管理下の動的IPアドレスから管理外ネットワークのメールサーバへのSMTP接続を禁止する。

2. 電子メール送信元のメールサーバが送信元ドメインのDNSに登録されていることを確認してから，電子メールを受信する。

3. メールクライアントからメールサーバへの電子メール送信時に，利用者IDとパスワードによる利用者認証を行う。

4. メールクライアントからメールサーバへの電子メール送信は，POP接続で利用者認証済みの場合にだけ許可する。

メールクライアントからメールサーバへの電子メール送信時に，利用者IDとパスワードによる利用者認証を行う。

1. 自社ISPのネットワークの動的IPアドレスから他社ISPの管理するメールサーバへのSMTP通信を制限する。

2. 自社ISPのメールサーバで受信した電子メールのうち，スパムメールのシグネチャに一致する電子メールを隔離する。

3. 他社ISPのネットワークの動的IPアドレスから自社ISPのメールサーバへのSMTP通信を制限する。

4. 他社ISPのメール不正中継の脆弱性をもつメールサーバから自社ISPのメールサーバに送信された電子メールを隔離する。

他社ISPのネットワークの動的IPアドレスから自社ISPのメールサーバへのSMTP通信を制限する。

1.

2.

3.

4.

1. CHAP

2. PAP

3. PPTP

4. RADIUS

RADIUS

1. IGMP

2. RIP

3. SIP

4. スパニングツリープロトコル

スパニングツリープロトコル

スポンサー

1. アプリケーションの更新命令完了時点

2. チェックポイント処理完了時点

3. ログバッファへのコミット情報書込み完了時点

4. ログファイルへのコミット情報書込み完了時点

ログファイルへのコミット情報書込み完了時点

1. エピック

2. ステークホルダ

3. プロダクトオーナ

4. ペルソナ

ペルソナ

1. "タスクボード"に貼ったタスクカードが移動されたとき

2. 各"イテレーション"の最後

3. 毎日行う"朝会"

4. 毎日メンバの気持ちを見える化する"ニコニコカレンダー"に全チームメンバが記入し終えたとき

各"イテレーション"の最後

1.

2.

3.

4.

1. 個人情報管理台帳に，概数でしかつかめない個人情報の保有件数は概数だけで記載している。

2. 個人情報管理台帳に，ほかの項目に加えて，個人情報の保管場所，保管方法，保管期限を記載している。

3. 個人情報管理台帳の機密性を守るための保護措置を講じている。

4. 個人情報管理台帳の見直しは，新たな個人情報の取得があった場合にだけ行っている。

個人情報管理台帳の見直しは，新たな個人情報の取得があった場合にだけ行っている。

スポンサー