| No. | 問題集 | 詳細No. | 内容 | 操作 |
|---|---|---|---|---|
| 1 | 令和6年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | クロスサイトリクエストフォージェリ攻撃の対策として,効果がないものはどれか。 | 詳細 | |
|
1. Webサイトでの決済などの重要な操作の都度,利用者のパスワードを入力させる。 2. Webサイトへのログイン後,毎回異なる値をHTTPレスポンスボディに含め,Webブラウザからのリクエストごとに送付されるその値を,Webサーバ側で照合する。 3. Webブラウザからのリクエスト中のRefererによって正しいリンク元からの遷移であることを確認する。 4. WebブラウザからのリクエストをWebサーバで受け付けた際に,リクエストに含まれる"<"や">"などの特殊文字を,"<"や">" などの文字列に置き換える。 |
WebブラウザからのリクエストをWebサーバで受け付けた際に,リクエストに含まれる"<"や">"などの特殊文字を,"<"や">" などの文字列に置き換える。 |
|||
| 2 | 令和6年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | 送信者から受信者にメッセージ認証符号(MAC:Message Authentication Code)を付与したメッセージを送り,次に受信者が第三者に転送した。そのときのMACに関する記述のうち,適切なものはどれか。ここで,共通鍵は送信者と受信者だけが知っており,送信者と受信者のそれぞれの公開鍵は第三者を含めた3名が知っているものとする。 | 詳細 | |
|
1. MACは,送信者がメッセージと共通鍵を用いて生成する。MACを用いると,受信者がメッセージの完全性を確認できる。 2. MACは,送信者がメッセージと共通鍵を用いて生成する。MACを用いると,第三者が送信者の真正性を確認できる。 3. MACは,送信者がメッセージと受信者の公開鍵を用いて生成する。MACを用いると,第三者がメッセージの完全性を確認できる。 4. MACは,送信者がメッセージと送信者の公開鍵を用いて生成する。MACを用いると,受信者が送信者の真正性を確認できる。 |
MACは,送信者がメッセージと共通鍵を用いて生成する。MACを用いると,受信者がメッセージの完全性を確認できる。 |
|||
| 3 | 令和6年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | PKI(公開鍵基盤)を構成するRA(Registration Authority)の役割はどれか。 | 詳細 | |
|
1. デジタル証明書にデジタル署名を付与する。 2. デジタル証明書に紐づけられた属性証明書を発行する。 3. デジタル証明書の失効リストを管理し,デジタル証明書の有効性を確認する。 4. 本人確認を行い,デジタル証明書の発行申請の承認又は却下を行う。 |
本人確認を行い,デジタル証明書の発行申請の承認又は却下を行う。 |
|||
| 4 | 令和6年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | 標準化団体OASISが,Webサイトなどを運営するオンラインビジネスパートナー間で認証,属性及び認可の情報を安全に交換するために策定したものはどれか。 | 詳細 | |
|
1. SAML 2. SOAP 3. XKMS 4. XML Signature |
SAML |
|||
| 5 | 令和6年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | 送信元IPアドレスがA,送信元ポート番号が80/tcp,宛先IPアドレスがホストに割り振られていない未使用のIPアドレスであるSYN/ACKパケットを大量に受信した場合,推定できる攻撃はどれか。 | 詳細 | |
|
1. IPアドレスAを攻撃先とするサービス妨害攻撃 2. IPアドレスAを攻撃先とするパスワードリスト攻撃 3. IPアドレスAを攻撃元とするサービス妨害攻撃 4. IPアドレスAを攻撃元とするパスワードリスト攻撃 |
IPアドレスAを攻撃先とするサービス妨害攻撃 |
|||
|
スポンサー |
||||
| 6 | 令和6年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | X.509におけるCRLに関する記述のうち,適切なものはどれか。 | 詳細 | |
|
1. RFC 5280では,認証局は,発行したデジタル証明書のうち失効したものについては,シリアル番号を失効後1年間CRLに記載するよう義務付けている。 2. Webサイトの利用者のWebブラウザは,そのWebサイトにサーバ証明書を発行した認証局の公開鍵がWebブラウザに組み込まれていれば,CRLを参照しなくてもよい。 3. 認証局は,発行した全てのデジタル証明書の有効期限をCRLに記載する。 4. 認証局は,有効期限内のデジタル証明書が失効されたとき,そのシリアル番号をCRLに記載する。 |
認証局は,有効期限内のデジタル証明書が失効されたとき,そのシリアル番号をCRLに記載する。 |
|||
| 7 | 令和6年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | ISMAP-LIUクラウドサービス登録規則(令和6年3月1日最終改定)でのISMAP-LIUに関する記述として、適切なものはどれか。 | 詳細 | |
|
1. JIS Q 27001に加え,JIS Q 27017に規定されたクラウドサービス固有の管理策が適切に導入、実施されていることも認証する。 2. アウトソーシング事業者が記述したセキュリティの内部統制に対しても、監査法人が評価手続を実施した結果とその意見を表明する。 3. リスクの小さな業務・情報の処理に用いるSaaSサービスを対象とする。 4. 我が国の政府機関などにおける情報セキュリティのベースライン,及びより高い水準の情報セキュリティを確保するための対策事項を規定している。 |
リスクの小さな業務・情報の処理に用いるSaaSサービスを対象とする。 |
|||
| 8 | 令和6年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | 組織のセキュリティインシデント管理の成熟度を評価するためにOpen CSIRT Foundationが開発したモデルはどれか。 | 詳細 | |
|
1. CMMC 2. CMMI 3. SAMM 4. SIM3 |
SIM3 |
|||
| 9 | 令和6年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | JVNなどの脆弱性対策ポータルサイトで採用されているCWEはどれか。 | 詳細 | |
|
1. IT製品の脆弱性を評価する手法 2. 製品を識別するためのプラットフォーム名の一覧 3. セキュリティに関連する設定項目を識別するための識別子 4. ソフトウェア及びハードウェアの脆弱性の種類の一覧 |
ソフトウェア及びハードウェアの脆弱性の種類の一覧 |
|||
| 10 | 令和6年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | FIPS PUB 140-3の記述内容はどれか。 | 詳細 | |
|
1. 暗号モジュールのセキュリティ要求事項 2. 情報セキュリティマネジメントシステムの要求事項 3. デジタル証明書や証明書失効リストの技術仕様 4. 無線LANセキュリティの技術仕様 |
暗号モジュールのセキュリティ要求事項 |
|||
|
スポンサー |
||||
| 11 | 令和6年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | セキュリティ対策として,CASBを利用した際の効果はどれか。 | 詳細 | |
|
1. クラウドサービスカスタマの管理者が,従業員が利用しているクラウドサービスに対して,CASBを利用して脆弱性診断を行うことによって,脆弱性を特定できる。 2. クラウドサービスカスタマの管理者が,従業員が利用しているクラウドサービスに対して,CASBを利用して利用状況の可視化を行うことによって,許可を得ずにクラウドサービスを利用している者を特定できる。 3. クラウドサービスプロバイダが,運用しているクラウドサービスに対して,CASBを利用してDDoS攻撃対策を行うことによって,クラウドサービスの可用性低下を緩和できる。 4. クラウドサービスプロバイダが,クラウドサービスを運用している施設に対して,CASBを利用して入退室管理を行うことによって,クラウドサービス運用環境への物理的な不正アクセスを防止できる。 |
クラウドサービスカスタマの管理者が,従業員が利用しているクラウドサービスに対して,CASBを利用して利用状況の可視化を行うことによって,許可を得ずにクラウドサービスを利用している者を特定できる。 |
|||
| 12 | 令和6年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | 不特定多数の利用者に無料で開放されている公衆無線LANサービスのアクセスポイントと端末で利用される仕様として,Wi-Fi AllianceのEnhanced Openによって新規に規定されたものはどれか。 | 詳細 | |
|
1. 端末でのパスワードの入力で,端末からアクセスポイントへの接続が可能となる仕様 2. 端末でのパスワードの入力で,端末とアクセスポイントとの通信の暗号化が可能となる仕様 3. 端末でのパスワードの入力なしに,端末からアクセスポイントへの接続が可能となる仕様 4. 端末でのパスワードの入力なしに,端末とアクセスポイントとの通信の暗号化が可能となる仕様 |
端末でのパスワードの入力なしに,端末とアクセスポイントとの通信の暗号化が可能となる仕様 |
|||
| 13 | 令和6年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | HTTP Strict Transport Security(HSTS)の動作はどれか。 | 詳細 | |
|
1. HTTP over TLS(HTTPS)によって接続しているとき,接続先のサーバ証明書がEV SSL証明書である場合とない場合で,Webブラウザのアドレス表示部分を緑色に表示する。 2. Webサーバからコンテンツをダウンロードするとき,どの文字列が秘密情報かを判定できないように圧縮する。 3. WebサーバとWebブラウザとの間のTLSのハンドシェイクにおいて,一度確立したセッションとは別の新たなセッションを確立するとき,既に確立したセッションを使って改めてハンドシェイクを行う。 4. Webブラウザは,Webサイトにアクセスすると,以降の指定された期間,当該サイトには全てHTTPSによって接続する。 |
Webブラウザは,Webサイトにアクセスすると,以降の指定された期間,当該サイトには全てHTTPSによって接続する。 |
|||
| 14 | 令和6年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | IEEE802.1Xにおけるサプリカントはどれか。 | 詳細 | |
|
1. 一度の認証で複数のサーバやアプリケーションを利用できる認証システム 2. クライアント側から送信された認証情報を受け取り、認証を行うシステム 3. クライアント側と認証サーバの仲介役となり,クライアント側から送信された認証情報を受け取り、認証サーバに送信するネットワーク機器 4. 認証を要求するクライアント側の装置やソフトウェア |
認証を要求するクライアント側の装置やソフトウェア |
|||
| 15 | 令和6年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | DNSにおいてDNS CAA(Certification Authority Authorization)レコードを使うことによるセキュリティ上の効果はどれか。 | 詳細 | |
|
1. WebサイトにアクセスしたときのWebブラウザに鍵マークが表示されていれば当該サイトが安全であることを,利用者が確認できる。 2. Webサイトにアクセスする際のURLを短縮することによって,利用者のURLの誤入力を防ぐ。 3. 電子メールを受信するサーバでスパムメールと誤検知されないようにする。 4. 不正なサーバ証明書の発行を防ぐ。 |
不正なサーバ証明書の発行を防ぐ。 |
|||
|
スポンサー |
||||
| 16 | 令和6年度 春期 午前Ⅱ 情報処理安全確保支援士試験 |
電子メール又はその通信を暗号化する三つのプロトコルについて,公開鍵を用意する単位の組合せのうち,適切なものはどれか。
 |
詳細 | |
|
1. 2. 3. 4. |
|
|||
| 17 | 令和6年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | ソフトウェアの脆弱性管理のためのツールとしても利用されるSBOM(Software Bill of Materials)はどれか。 | 詳細 | |
|
1. ソフトウェアの脆弱性に対する,ベンダーに依存しないオープンで汎用的な深刻度の評価方法 2. ソフトウェアのセキュリティアップデートを行うときに推奨される管理プロセス,組織体制などをまとめたガイドライン 3. ソフトウェアを構成するコンポーネント,互いの依存関係などのリスト 4. 米国の非営利団体MITREによって策定された,ソフトウェアにおけるセキュリティ上の弱点の種類を識別するための基準 |
ソフトウェアを構成するコンポーネント,互いの依存関係などのリスト |
|||
| 18 | 令和6年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | TCPヘッダーに含まれる情報はどれか。 | 詳細 | |
|
1. 宛先ポート番号 2. 送信元IPアドレス 3. パケット生存時間(TTL) 4. プロトコル番号 |
宛先ポート番号 |
|||
| 19 | 令和6年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | TCPのサブミッションポート(ポート番号587)の説明として,適切なものはどれか。 | 詳細 | |
|
1. FTPサービスで,制御用コネクションのポート番号21とは別にデータ転送用に使用する。 2. Webサービスで,ポート番号80のHTTP要求とは別に,サブミットボタンをクリックした際の入力フォームのデータ送信に使用する。 3. コマンド操作の遠隔ログインで,通信内容を暗号化するためにTELNETのポート番号23の代わりに使用する。 4. 電子メールサービスで,迷惑メール対策としてSMTPのポート番号25の代わりに使用する。 |
電子メールサービスで,迷惑メール対策としてSMTPのポート番号25の代わりに使用する。 |
|||
| 20 | 令和6年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | Webサーバから送信されるHTTPヘッダーのうち,Webサーバからの応答の内容を,Webブラウザやプロキシサーバなどのキャッシュに保持させないようにするものはどれか。 | 詳細 | |
|
1. Cache-Control: no-cache 2. Cache-Control: no-store 3. Cache-Control: private 4. Cache-Control: public |
Cache-Control: no-store |
|||
|
スポンサー |
||||
| 21 | 令和6年度 春期 午前Ⅱ 情報処理安全確保支援士試験 |
"人事"表に対して次のSQL文を実行したとき,結果として得られる社員番号はどれか。
 |
詳細 | |
|
1. 1,2,5 2. 1,3,4,5 3. 1,3,5 4. 1,5 |
1,5 |
|||
| 22 | 令和6年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | 仕様書やソースコードについて,作成者を含めた複数人で,記述されたシステムやソフトウェアの振る舞いを机上でシミュレートして,問題点を発見する手法はどれか。 | 詳細 | |
|
1. ウォークスルー 2. サンドイッチテスト 3. トップダウンテスト 4. 並行シミュレーション |
ウォークスルー |
|||
| 23 | 令和6年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | ソフトウェアの品質を確保するための検証に形式手法を用いる。このとき行う検証方法の説明として,適切なものはどれか。 | 詳細 | |
|
1. 進行役(モデレーター),記録役などの役割を決めた複数人で,成果物に欠陥がないかどうかを検証する。 2. プログラムの内部構造とは無関係に,プログラムが仕様どおりに機能するかどうかを検証する。 3. プログラムの内部構造に着目し,プログラムが仕様どおりに動作するかどうかを検証する。 4. 明確で厳密な意味を定義することができる言語を用いてソフトウェアの仕様を記述して,満たすべき性質と仕様とが整合しているかどうかを論理的に検証する。 |
明確で厳密な意味を定義することができる言語を用いてソフトウェアの仕様を記述して,満たすべき性質と仕様とが整合しているかどうかを論理的に検証する。 |
|||
| 24 | 令和6年度 春期 午前Ⅱ 情報処理安全確保支援士試験 |
ITサービスにおけるコンピュータシステムの利用に対する課金を逓減課金方式で行うときのグラフはどれか。
 |
詳細 | |
|
1. 2. 3. 4. |
|
|||
| 25 | 令和6年度 春期 午前Ⅱ 情報処理安全確保支援士試験 | 金融庁"財務報告に係る内部統制の評価及び監査に関する実施基準(令和5年)"における,ITに係る全般統制に該当するものとして,最も適切なものはどれか。 | 詳細 | |
|
1. アプリケーションプログラムの例外処理(エラー)の修正と再処理 2. 業務別マスタデータの維持管理 3. システムの開発,保守に係る管理 4. 入力情報の完全性,正確性,正当性等を確保する統制 |
システムの開発,保守に係る管理 |
|||
|
スポンサー |
||||
学習時間記録ツール
