平成18年度試験　問題(午前問31～問40)

情報セキュリティスペシャリスト試験情報＞平成18年度試験メニュー＞問題と解説
　

情報セキュアド　平成18年度試験　問題(午前問31～問40)

　
問31　S/MIMEで実現できるものはどれか。
　

ア　SSLを利用して電子メールを暗号化する。

イ　共通鍵で電子メールの送信者を認証する。

ウ　受信側がS/MIMEに対応していなくても，暗証キーを入力して復号する。

エ　電子メールの改ざんを検出する。

　

問31の解答例と解説へ
　
問32　TLSについて説明したものはどれか。
　

ア　相手が秘密鍵をもっているかどうかを検証するために，乱数を送付し，署名してもらう認証

イ　トランスポート層において，アプリケーションとは独立に暗号化及びディジタル署名を施すことを可能にした規約

ウ　複数のLANやコンピュータシステムを，インターネットや共用回線を用いて仮想的に同一ネットワークとして安全に接続する技術

エ　ルータ間の通信の秘匿性，相手認証，パケットごとの改ざん防止を提供するためのプロトコル

　

 問32の解答例と解説へ
　
問33　通信の暗号化に関する記述のうち，適切なものはどれか。
　

ア　IPsecのトランスポートモードでは，ゲートウェイ間の通信経路上だけではなく，発信側システムと受信側システムとの間の全経路上でメッセージが暗号化される。

イ　LDAPクライアントがLDAPサーバに接続するとき，その通信内容は暗号化することができない。

ウ　S/MIMEで暗号化した電子メールは，受信側のメールサーバ内に格納されている間は，メール管理者が平文として見ることができる。

エ　SSLを使用して接続したとき，暗号化されたHTML文書はブラウザでキャッシュの有無が設定できずディスク内に必ず保存される。

　

問33の解答例と解説へ
　
問34　ISMSでは，情報セキュリティは三つの事項を維持するものとして特徴付けられている。それらのうちの二つは機密性と完全性である。残りの一つはどれか。
　
ア　安全性　　　　イ　可用性　　　　ウ　効率性　　　　エ　保守性
　

 問34の解答例と解説へ
　
問35　企業内情報ネットワークやサーバへの外部からのアクセスにおいて，通常の経路以外で，侵入者が不正な行為に利用するために設置するものはどれか。
　

ア　VoIPゲートウェイイ　ストリクトルーティング

ウ　バックドアエ　フォレンジクス

　

 問35の解答例と解説へ
　
問36　ISMSにおけるリスク分析の方法の一つであるベースラインアプローチはどれか。
　

ア　公表されている基準などに基づいて一定のセキュリティレベルを設定し，実施している管理策とのギャップ分析を行った上で，リスクを評価する。

イ　情報資産を洗い出し，それぞれの情報資産に対して資産価値，脅威，脆(ぜい)弱性及びセキュリティ要件を識別し，リスクを評価する。

ウ　複数のリスク分析方法の長所を生かして組み合わせ，作業効率や分析精度の向上を図る。

エ　リスク分析を行う組織や担当者の判断によって，リスクを評価する。

　

問36の解答例と解説へ
　
問37　TR X OO36-1:2001（ITセキュリティマネジメントのガイドライン－第1部：ITセキュリティの概念及びモデル）では，情報資産に対する脅威の例を表のように分類している。表のbに入るものはどれか。
　

脅威の分類脅威の例

a b 盗聴，情報の改ざん

c 誤り及び手落ち，物理的な事故

d 地震，落雷

　
ア　意図的　　　　イ　環境　　　　ウ　偶発的　　　　エ　人間
　

 問37の解答例と解説へ
　
問38　システム開発と取引のための共通フレーム（SLCP-JCF98）の目的はどれか。
　

ア　ISO/IECのSLCPの検討内容を基にして，対象範囲に企画プロセスとシステム監査プロセスを加え，ソフトウェア取引に関する提案責任と管理責任を明確にすること

イ　システム開発作業全般にわたって“共通の物差し”や“共通語”を使うことによって，作業範囲・作業内容を明確にし，購入者と供給者の取引を明確にすること

ウ　ソフトウェアを適切に購入・使用するためのガイドラインを示すことによって，ソフトウェアの違法複製行為や違法複製品の使用を防止し，ソフトウェアの適正な取引及び管理を促進すること

エ　特定の業種やシステム形態，開発方法論などに極力依存しないよう配慮し，社内の部門間での取引を除く受発注契約をスムーズに遂行すること

　

 問38の解答例と解説へ
　
問39　米国で運用されたTCSECや欧州政府調達用のITSECを統合して，標準化が進められたcc（Common Criteria）の内容はどれか。
　

ア　暗号アルゴリズムの標準

イ　情報技術に関するセキュリティの評価基準

ウ　情報セキュリティ管理の実施基準

エ　セキュリティ管理のプロトコルの標準

　

 問39の解答例と解説へ
　
問40　SAML（Security Assertion Markup Language）について説明したものはどれか。
　

ア　Webサービスに関する情報を広く公開し，それらが提供する機能などを検索可能にするための仕組みを定めたもの

イ　権限のない利用者による傍受，読取り，改ざんから電子メールを保護して送信するためのプロトコルを定めたもの

ウ　ディジタル署名に使われる鍵情報を効率よく管理するためのWebサービスプロトコルを定めたもの

エ　認証情報に加え，属性情報とアクセス制御情報を異なるドメインに伝達するためのWebサービスプロトコルを定めたもの

　

 問40の解答例と解説へ
　
メニューへ戻る
　

　
　

ア	SSLを利用して電子メールを暗号化する。
イ	共通鍵で電子メールの送信者を認証する。
ウ	受信側がS/MIMEに対応していなくても，暗証キーを入力して復号する。
エ	電子メールの改ざんを検出する。

ア	相手が秘密鍵をもっているかどうかを検証するために，乱数を送付し，署名してもらう認証
イ	トランスポート層において，アプリケーションとは独立に暗号化及びディジタル署名を施すことを可能にした規約
ウ	複数のLANやコンピュータシステムを，インターネットや共用回線を用いて仮想的に同一ネットワークとして安全に接続する技術
エ	ルータ間の通信の秘匿性，相手認証，パケットごとの改ざん防止を提供するためのプロトコル

ア	IPsecのトランスポートモードでは，ゲートウェイ間の通信経路上だけではなく，発信側システムと受信側システムとの間の全経路上でメッセージが暗号化される。
イ	LDAPクライアントがLDAPサーバに接続するとき，その通信内容は暗号化することができない。
ウ	S/MIMEで暗号化した電子メールは，受信側のメールサーバ内に格納されている間は，メール管理者が平文として見ることができる。
エ	SSLを使用して接続したとき，暗号化されたHTML文書はブラウザでキャッシュの有無が設定できずディスク内に必ず保存される。

ア　VoIPゲートウェイ	イ　ストリクトルーティング
ウ　バックドア	エ　フォレンジクス

ア	公表されている基準などに基づいて一定のセキュリティレベルを設定し，実施している管理策とのギャップ分析を行った上で，リスクを評価する。
イ	情報資産を洗い出し，それぞれの情報資産に対して資産価値，脅威，脆(ぜい)弱性及びセキュリティ要件を識別し，リスクを評価する。
ウ	複数のリスク分析方法の長所を生かして組み合わせ，作業効率や分析精度の向上を図る。
エ	リスク分析を行う組織や担当者の判断によって，リスクを評価する。

脅威の分類		脅威の例
a	b	盗聴，情報の改ざん
	c	誤り及び手落ち，物理的な事故
d		地震，落雷

ア	ISO/IECのSLCPの検討内容を基にして，対象範囲に企画プロセスとシステム監査プロセスを加え，ソフトウェア取引に関する提案責任と管理責任を明確にすること
イ	システム開発作業全般にわたって“共通の物差し”や“共通語”を使うことによって，作業範囲・作業内容を明確にし，購入者と供給者の取引を明確にすること
ウ	ソフトウェアを適切に購入・使用するためのガイドラインを示すことによって，ソフトウェアの違法複製行為や違法複製品の使用を防止し，ソフトウェアの適正な取引及び管理を促進すること
エ	特定の業種やシステム形態，開発方法論などに極力依存しないよう配慮し，社内の部門間での取引を除く受発注契約をスムーズに遂行すること

ア	暗号アルゴリズムの標準
イ	情報技術に関するセキュリティの評価基準
ウ	情報セキュリティ管理の実施基準
エ	セキュリティ管理のプロトコルの標準

ア	Webサービスに関する情報を広く公開し，それらが提供する機能などを検索可能にするための仕組みを定めたもの
イ	権限のない利用者による傍受，読取り，改ざんから電子メールを保護して送信するためのプロトコルを定めたもの
ウ	ディジタル署名に使われる鍵情報を効率よく管理するためのWebサービスプロトコルを定めたもの
エ	認証情報に加え，属性情報とアクセス制御情報を異なるドメインに伝達するためのWebサービスプロトコルを定めたもの

情報セキュアド 平成18年度試験 問題(午前問31～問40)

情報セキュアド　平成18年度試験　問題(午前問31～問40)