平成16年度試験　問題(午前問21～問30)

情報セキュリティスペシャリスト試験情報＞平成16年度試験メニュー＞問題と解説
　

情報セキュアド　平成16年度試験　問題(午前問21～問30)

　
問21　暗号方式に関する記述のうち，適切なものはどれか。
　

ア　AESは公開かぎ暗号方式，RSAは共通かぎ暗号方式の一種である。

イ　共通かぎ暗号方式では，暗号化かぎと復号かぎが同一である。

ウ　公開かぎ暗号方式を通信内容の秘匿に使用する場合は，暗号化かぎを秘密にして，復号かぎを公開する。

エ　ディジタル署名は，公開かぎ暗号方式を使用せず，共通かぎ暗号方式を使用する。

　

問21の解答例と解説へ
　
問22　公開かぎ暗号を利用した証明書の作成，管理，格納，配布，破棄に必要な方式，システム，プロトコル及びポリシの集合によって実現されるものはどれか。
　

ア　IPsec イ　PKI

ウ　ゼロ知識証明エ　ハイブリッド暗号

　

 問22の解答例と解説へ
　
問23　インターネット上で，安全なクレジット決済の取引処理を提供するために定められたプロトコルはどれか。
　
ア　CII　　　　イ　RAS　　　　ウ　SET　　　　エ　SSL
　

問23の解答例と解説へ
　
問24　JPCERT/CC（JPCERTコーディネーションセンター）では，インシデントを六つのタイプに分類している。
　

Scan：プローブ，スキャン，そのほかの不審なアクセス

Abuse：サーバブログラムの機能を悪用した不正中継

Forged：送信ヘッダを詐称した電子メールの配送

Intrusion：システムへの侵入

DoS：サービス運用妨害につながる攻撃

Other：その他

　
　次の三つのインシデントとタイプの組合せのうち，適切なものはどれか。
　　インシデント1：ワームの攻撃が試みられた形跡があるが，侵入されていない。
　　インシデント2：ネットワークの輻輳(ふくそう)による妨害を受けた。
　　インシデント3：DoS用の踏み台プログラムがシステムに設置されていた。
　

　インシデント1 インシデント2 インシデント3

ア Abuse DoS Intrusion

イ Abuse Forged DoS

ウ Scan DoS Intrusion

エ Scan Forged DoS

　

問24の解答例と解説へ
　
問25　マクロウイルスの感染に関する記述のうち，適切なものはどれか。
　

ア　感染したプログラムを実行すると，マクロウイルスが主記憶にロードされ，その間に実行したほかのプログラムのプログラムファイルに感染する。

イ　感染したフロッピーディスクからシステムを起動すると，マクロウイルスが主記憶にロードされ，ほかのフロッピーディスクのブートセクタに感染する。

ウ　感染した文書ファイルを開くと，テンプレートやスプレッドシートにマクロウイルスが感染して，その後，別に開いたり新規作成したりした文書ファイルに感染する。

エ　マクロがウイルスに感染しているかどうかは容易に判断できるので，文書ファイルを開く時点で感染を防止することができる。

　

問25の解答例と解説へ
　
問26　ネットワーク監視型侵入検知ツール（NIDS）の導入目的はどれか。
　

ア　管理下のサイトへの不正侵入の試みを記録し，管理者に通知する。

イ　攻撃が防御できないときの損害の大きさを判定する。

ウ　サイト上のファイルやシステム上の資源への不正アクセスであるかどうかを判定する。

エ　時間をおいた攻撃の関連性とトラフィックを解析する。

　

問26の解答例と解説へ
　
問27　情報システムへの脅威とセキュリティ対策の組合せのうち，適切なものはどれか。
　

　脅威　セキュリティ対策

ア地震と火災フォールトトレラント方式のコンピュータによるシステムの二重化

イデータの物理的な盗難と破壊ディスクアレイやファイアウォール

ウ伝送中のデータヘの不正アクセス HDLCプロトコルのCRC

エメッセージの改ざん公開かぎ暗号方式を応用したディジタル署名

　

 問27の解答例と解説へ
　
問28　ネットワークの非武装セグメント（DMZ）の構築や運用に関する記述のうち，適切なものはどれか。
　

ア　DMZのサーバの運用監視を内部ネットワークから行うことは，セキュリティ上好ましくないので，操作員がサーバのコンソールから監視するようにする。

イ　データ保持用のサーバを，DMZのWebサーバから切り離して内部ネットワークに設置することによって，重要データがDMZに置かれることを避ける。

ウ　不正侵入をリアルタイムに検出するソフトウェアは，DMZではなく，重要なサーバが設置されている内部ネットワークで稼働させる。

エ　メールサーバをDMZに設置することによって，電子メールの不正中継を阻止できる。

　

問28の解答例と解説へ
　
問29　SSLに関する記述のうち，適切なものはどれか。
　

ア　SSLで使用する個人認証用のディジタル証明書は，ICカードやUSBデバイスに格納できるので，格納場所を特定のパソコンに限定する必要はない。

イ　SSLは特定ユーザ間の通信のために開発されたプロトコルであり，事前の利用者登録が不可欠である。

ウ　ディジタル証明書にはIPアドレスが組み込まれているので，SSLを利用するWebサーバのIPアドレスを変更する場合は，ディジタル証明書を再度取得する必要がある。

エ　日本国内では，SSLで使用する共通かぎの長さは，128ビット未満に制限されている。

　

問29の解答例と解説へ
　
問30　“情報セキュリティ監査制度：情報セキュリティ管理基準”において，情報セキュリティ基本方針の目的として記述されている内容はどれか。
　

ア　情報セキュリティのための経営陣の指針及び支持を規定するため

イ　人為的ミス，盗難，不正行為，又は設備誤用によるリスクを軽減するため

ウ　組織内の情報セキュリティを管理するため

エ　組織の資産を適切に保護し，管理するため

　

 問30の解答例と解説へ
　
メニューへ戻る
　

　

ア	AESは公開かぎ暗号方式，RSAは共通かぎ暗号方式の一種である。
イ	共通かぎ暗号方式では，暗号化かぎと復号かぎが同一である。
ウ	公開かぎ暗号方式を通信内容の秘匿に使用する場合は，暗号化かぎを秘密にして，復号かぎを公開する。
エ	ディジタル署名は，公開かぎ暗号方式を使用せず，共通かぎ暗号方式を使用する。

ア　IPsec	イ　PKI
ウ　ゼロ知識証明	エ　ハイブリッド暗号

Scan：	プローブ，スキャン，そのほかの不審なアクセス
Abuse：	サーバブログラムの機能を悪用した不正中継
Forged：	送信ヘッダを詐称した電子メールの配送
Intrusion：	システムへの侵入
DoS：	サービス運用妨害につながる攻撃
Other：	その他

	インシデント1	インシデント2	インシデント3
ア	Abuse	DoS	Intrusion
イ	Abuse	Forged	DoS
ウ	Scan	DoS	Intrusion
エ	Scan	Forged	DoS

ア	感染したプログラムを実行すると，マクロウイルスが主記憶にロードされ，その間に実行したほかのプログラムのプログラムファイルに感染する。
イ	感染したフロッピーディスクからシステムを起動すると，マクロウイルスが主記憶にロードされ，ほかのフロッピーディスクのブートセクタに感染する。
ウ	感染した文書ファイルを開くと，テンプレートやスプレッドシートにマクロウイルスが感染して，その後，別に開いたり新規作成したりした文書ファイルに感染する。
エ	マクロがウイルスに感染しているかどうかは容易に判断できるので，文書ファイルを開く時点で感染を防止することができる。

ア	管理下のサイトへの不正侵入の試みを記録し，管理者に通知する。
イ	攻撃が防御できないときの損害の大きさを判定する。
ウ	サイト上のファイルやシステム上の資源への不正アクセスであるかどうかを判定する。
エ	時間をおいた攻撃の関連性とトラフィックを解析する。

	脅威	セキュリティ対策
ア	地震と火災	フォールトトレラント方式のコンピュータによるシステムの二重化
イ	データの物理的な盗難と破壊	ディスクアレイやファイアウォール
ウ	伝送中のデータヘの不正アクセス	HDLCプロトコルのCRC
エ	メッセージの改ざん	公開かぎ暗号方式を応用したディジタル署名

ア	DMZのサーバの運用監視を内部ネットワークから行うことは，セキュリティ上好ましくないので，操作員がサーバのコンソールから監視するようにする。
イ	データ保持用のサーバを，DMZのWebサーバから切り離して内部ネットワークに設置することによって，重要データがDMZに置かれることを避ける。
ウ	不正侵入をリアルタイムに検出するソフトウェアは，DMZではなく，重要なサーバが設置されている内部ネットワークで稼働させる。
エ	メールサーバをDMZに設置することによって，電子メールの不正中継を阻止できる。

ア	SSLで使用する個人認証用のディジタル証明書は，ICカードやUSBデバイスに格納できるので，格納場所を特定のパソコンに限定する必要はない。
イ	SSLは特定ユーザ間の通信のために開発されたプロトコルであり，事前の利用者登録が不可欠である。
ウ	ディジタル証明書にはIPアドレスが組み込まれているので，SSLを利用するWebサーバのIPアドレスを変更する場合は，ディジタル証明書を再度取得する必要がある。
エ	日本国内では，SSLで使用する共通かぎの長さは，128ビット未満に制限されている。

ア	情報セキュリティのための経営陣の指針及び支持を規定するため
イ	人為的ミス，盗難，不正行為，又は設備誤用によるリスクを軽減するため
ウ	組織内の情報セキュリティを管理するため
エ	組織の資産を適切に保護し，管理するため

情報セキュアド 平成16年度試験 問題(午前問21～問30)

情報セキュアド　平成16年度試験　問題(午前問21～問30)