令和5年度 秋期 午前Ⅱ 情報処理安全確保支援士試験 | 解答一覧

1. HTTPヘッダインジェクション

2. OSコマンドインジェクション

3. クロスサイトリクエストフォージェリ

4. セッションハイジャック

OSコマンドインジェクション

1. AEAD(Authenticated Encryption with Associated Data)とハッシュアルゴリズムの組みで構成されている。

2. TLS1.2で規定されている共通鍵暗号AES-CBCをサポート必須の暗号アルゴリズムとして継続利用できるようにしている。

3. Wi-Fiアライアンスにおいて規格化されている。

4. サーバとクライアントのそれぞれがお互いに別の暗号アルゴリズムを選択できる。

AEAD(Authenticated Encryption with Associated Data)とハッシュアルゴリズムの組みで構成されている。

1. 属性証明書の発行を代行する。

2. デジタル証明書にデジタル署名を付与する。

3. デジタル証明書の失効状態についての問合せに応答する。

4. 本人確認を行い，デジタル証明書の発行を指示する。

デジタル証明書の失効状態についての問合せに応答する。

1. XML文書中の任意のエレメントに対してデタッチ署名(Detached Signature)を作成し，同じXML文書に含めることができる。

2. エンベローピング署名(Enveloping Signature)では一つの署名対象に複数の署名を付与する。

3. 署名の書式として，CMS(Cryptographic Message Syntax)を用いる。

4. デジタル署名では，署名対象と署名アルゴリズムをASN.1によって記述する。

XML文書中の任意のエレメントに対してデタッチ署名(Detached Signature)を作成し，同じXML文書に含めることができる。

1. PCに不正アクセスし，そのPCのリソースを利用して，暗号資産のマイニングを行う攻撃

2. 暗号資産取引所のWebサイトに不正ログインを繰り返し，取引所の暗号資産を盗む攻撃

3. 巧妙に細工した電子メールのやり取りによって，企業の担当者をだまし，攻撃者の用意した暗号資産口座に送金させる攻撃

4. マルウェア感染したPCに制限を掛けて利用できないようにし，その制限の解除と引換えに暗号資産を要求する攻撃

PCに不正アクセスし，そのPCのリソースを利用して，暗号資産のマイニングを行う攻撃

スポンサー

1. IoT機器などで動作するWebサーバプログラムの脆弱性を悪用して感染を広げ，Webページを改ざんし，決められた日時に特定のIPアドレスに対してDDoS攻撃を行う。

2. Webサーバプログラムの脆弱性を悪用して企業のWebページに不正なJavaScriptを挿入し，当該Webページを閲覧した利用者を不正なWebサイトへと誘導する。

3. ファイル共有ソフトを使っているPC内でマルウェアの実行ファイルを利用者が誤って実行すると，PC内の情報をインターネット上のWebサイトにアップロードして不特定多数の人に公開する。

4. ランダムな宛先IPアドレスを使用してIoT機器などに感染を広げるとともに，C&Cサーバからの指令に従って標的に対してDDoS攻撃を行う。

ランダムな宛先IPアドレスを使用してIoT機器などに感染を広げるとともに，C&Cサーバからの指令に従って標的に対してDDoS攻撃を行う。

1. 携帯端末からの送金取引の場合，金融機関から利用者の登録メールアドレスに送金用のワンタイムパスワードを送信する。

2. 特定認証業務の認定を受けた認証局が署名したデジタル証明書をインターネットバンキングでの利用者認証に用いることによって，ログインパスワードが漏えいした際の不正ログインを防止する。

3. 利用者が送金取引時に，"送金操作を行うPCとは別のデバイスに振込先口座番号などの取引情報を入力して表示された値"をインターネットバンキングに送信する。

4. ログイン時に，送金操作を行うPCとは別のデバイスによって，一定時間だけ有効なログイン用のワンタイムパスワードを算出し，インターネットバンキングに送信する。

利用者が送金取引時に，"送金操作を行うPCとは別のデバイスに振込先口座番号などの取引情報を入力して表示された値"をインターネットバンキングに送信する。

1. Webサーバにある利用者のリソースに，Webサーバに限らない他のサーバが利用者に代わってアクセスすることを許可するための認証プロトコル

2. 異なるインターネットドメイン間でセキュリティ情報を共有してシングルサインオンに利用するための，XMLをベースにした標準規格

3. 利用者IDとしてURL又はXRI(Extensible Resource Identifier)だけを使用することができ，一つの利用者IDで様々なWebサイトにログインできる仕組み

4. 利用者が文書やデータの属性情報や論理構造を定義する言語であるSGMLを，インターネット用に最適化したもの

異なるインターネットドメイン間でセキュリティ情報を共有してシングルサインオンに利用するための，XMLをベースにした標準規格

1. 認証局が発行するデジタル証明書の所有者が策定したセキュリティ宣言

2. 認証局でのデジタル証明書発行手続を代行する事業者が策定したセキュリティ宣言

3. 認証局の認証業務の運用などに関する詳細を規定した文書

4. 認証局を監査する第三者機関の運用などに関する詳細を規定した文書

認証局の認証業務の運用などに関する詳細を規定した文書

1. NICTが運用するダークネット観測網において，マルウェアに感染したIoT機器から到達するパケットを分析した結果を当該機器の製造者に提供し，国内での必要な対策を促す。

2. 国内のグローバルIPアドレスを有するIoT機器に対して，容易に推測されるパスワードを入力することなどによって，サイバー攻撃に悪用されるおそれのある機器を調査し，ンターネットサービスプロバイダを通じて当該機器の利用者に注意喚起を行う。

3. 国内の利用者からの申告に基づき，利用者の所有するIoT機器に対して無料でリモートから，侵入テストやOSの既知の脆弱性の有無の調査を実施し，結果を通知するとともに，利用者が自ら必要な対処ができるよう支援する。

4. 製品のリリース前に，不要にもかかわらず開放されているポートの存在，パスワードの設定漏れなど約200項目の脆弱性の有無を調査できるテストベッドを国内のIoT機器製造者向けに公開し，市場に流通するIoT機器のセキュリティ向上を目指

国内のグローバルIPアドレスを有するIoT機器に対して，容易に推測されるパスワードを入力することなどによって，サイバー攻撃に悪用されるおそれのある機器を調査し，ンターネットサービスプロバイダを通じて当該機器の利用者に注意喚起を行う。

スポンサー

1. 脅威とは，一つ以上の要因によって付け込まれる可能性がある，資産又は管理策の弱点のことである。

2. 脆弱性とは，システム又は組織に損害を与える可能性がある，望ましくないインシデントの潜在的な原因のことである。

3. リスク対応とは，リスクの大きさが，受容可能か又は許容可能かを決定するために，リスク分析の結果をリスク基準と比較するプロセスのことである。

4. リスク特定とは，リスクを発見，認識及び記述するプロセスのことであり，リスク源，事象，それらの原因及び起こり得る結果の特定が含まれる。

リスク特定とは，リスクを発見，認識及び記述するプロセスのことであり，リスク源，事象，それらの原因及び起こり得る結果の特定が含まれる。

1. FIPS(Federal Information Processing Standards)

2. SCAP(Security Content Automation Protocol)

3. SIEM(Security Information and Event Management)

4. SOAR(Security Orchestration，Automation and Response)

SCAP(Security Content Automation Protocol)

1. 権威DNSサーバが，DNS問合せに対する応答時に，リソースレコードを公開鍵暗号方式で暗号化することによって，通信経路上の盗聴を防ぐ。

2. 権威DNSサーバが，リソースレコードの受信時にデジタル署名を検証することによって，データの作成元の正当性とデータの完全性を確認する。

3. リゾルバが，DNS問合せに対する応答時に，リソースレコードを公開鍵暗号方式で暗号化することによって，通信経路上の盗聴を防ぐ。

4. リゾルバが，リソースレコードの受信時にデジタル署名を検証することによって，データの作成元の正当性とデータの完全性を確認する。

リゾルバが，リソースレコードの受信時にデジタル署名を検証することによって，データの作成元の正当性とデータの完全性を確認する。

1. 認可を行うためのプロトコルであり，認可サーバが，アクセスしてきた者が利用者(リソースオーナー)本人であるかどうかを確認するためのものである。

2. 認可を行うためのプロトコルであり，認可サーバが，利用者(リソースオーナ-)の許可を得て，サービス(クライアント)に対し，適切な権限を付与するためのものである。

3. 認証を行うためのプロトコルであり，認証サーバが，アクセスしてきた者が利用者(リソースオーナー)本人であるかどうかを確認するためのものである。

4. 認証を行うためのプロトコルであり，認証サーバが，利用者(リソースオーナー)の許可を得て，サービス(クライアント)に対し，適切な権限を付与するためのものである。

認可を行うためのプロトコルであり，認可サーバが，利用者(リソースオーナ-)の許可を得て，サービス(クライアント)に対し，適切な権限を付与するためのものである。

1. L2TP

2. LDAP

3. RADIUS

4. SSH

SSH

スポンサー

1. APOP

2. IMAPS

3. POP3

4. SMTP Submission

IMAPS

1.

2.

3.

4.

1. 255.255.255.0

2. 255.255.255.64

3. 255.255.255.128

4. 255.255.255.192

255.255.255.192

1. 10.0.1.1

2. 127.0.1.1

3. 192.168.1.1

4. 239.0.1.1

239.0.1.1

1. ARP

2. DNS

3. ICMP

4. RARP

ARP

スポンサー

1. DBMS内部でのソートデータ，サブクエリを展開したデータなど，一時的なデータを格納したもの

2. 障害が発生した場合にバックアップを取った時点まで回復させるため，データベース自体の複製を格納したもの

3. データベースに関するユーザー情報，データ構造など，データベース管理情報を格納したもの

4. ユーザーからの指示によるデータベースの読込み情報，書込み情報などを格納したもの

データベースに関するユーザー情報，データ構造など，データベース管理情報を格納したもの

1. DevOps

2. Infrastructure as Code

3. カオスエンジニアリング

4. テスト駆動開発

カオスエンジニアリング

1. コミュニケーション，シンプル，フィードバック，勇気，尊重の五つの価値を基礎とし，テスト駆動型開発，ペアプログラミング，リファクタリングなどのプラクティスを推奨する。

2. 推測(プロジェクト立上げ，適応的サイクル計画)，協調(並行コンポーネント開発)，学習(品質レビュー，最終QA／リリース)のライフサイクルをもつ。

3. プロダクトオーナーなどの役割，スプリントレビューなどのイベント，プロダクトバックログなどの作成物，及びルールから成る。

4. モデルの全体像を作成した上で，優先度を付けた詳細なフィーチャリストを作成し，フィーチャを単位として計画し，フィーチャごとの設計と構築とを繰り返す。

プロダクトオーナーなどの役割，スプリントレビューなどのイベント，プロダクトバックログなどの作成物，及びルールから成る。

1. 監視，測定，分析及び評価

2. サービスの報告

3. 内部監査

4. マネジメントレビュー

内部監査

1. 更新ログ上は，アプリケーションソフトウェアの機能を経由したデータ更新として記録していた。

2. 事前のデータ変更申請の承認，及び事後のデータ変更結果の承認を行っていた。

3. 直接修正の作業終了時には，直接修正用の特権IDを無効にしていた。

4. 利用部門からのデータ変更依頼票に基づいて，システム部門が直接修正を実施していた。

更新ログ上は，アプリケーションソフトウェアの機能を経由したデータ更新として記録していた。

スポンサー