平成19年度試験　問題(午前問31～問40)

情報セキュリティスペシャリスト試験情報＞平成19年度試験メニュー＞問題と解説
　

情報セキュアド　平成19年度試験　問題(午前問31～問40)

　
問31　ESPプロトコル（IPsec）のトンネルモードのパケットで暗号化される範囲を示したものはどれか。
　

〔1〕トンネル用
ヘッダ〔2〕ESP
ヘッダ〔3〕元のIP
ヘッダ〔4〕TCP
ヘッダ〔5〕データ〔6〕ESP
トレーラ〔7〕ESP
認証データ

　

ア　〔2〕ESPヘッダ，〔3〕元のIPヘッダ，〔4〕TCPヘッダ，〔5〕データ

イ　〔3〕元のIPヘッダ，〔4〕TCPヘッダ，〔5〕データ，〔6〕ESPトレーラ

ウ　〔3〕元のIPヘッダ，〔4〕TCPヘッダ，〔5〕データ

エ　〔4〕TCPヘッダ，〔5〕データ，〔6〕ESPトレーラ

　

 問31の正解と解説へ
　
問32　SSLの利用に関する記述のうち，適切なものはどれか。
　

ア　SSLで使用する個人認証用のディジタル証明書は，ICカードなどに格納できるので，格納場所を特定のPCに限定する必要はない。

イ　SSLは特定利用者間の通信のために開発されたプロトコルであり，Webサーバ提供者への事前の利用者登録が不可欠である。

ウ　ディジタル証明書にはIPアドレスが組み込まれているので，SSLを利用するWebサーバのIPアドレスを変更する場合は，ディジタル証明書を再度取得する必要がある。

エ　日本国内では，SSLで使用する共通鍵の長さは，128ビット未満に制限されている。

　

問32の正解と解説へ
　
問33　コンピュータフォレンジクス（Computer Forensics）を説明したものはどれか。
　

ア　画像や音楽などのディジタルコンテンツに著作権者などの情報を埋め込む。

イ　コンピュータやネットワークのセキュリティ上の弱点を発見するテスト手法の一つであり，システムを実際に攻撃して侵入を試みる。

ウ　証拠となりうるデータを保全し，その後の訴訟などに備える。

エ　ネットワークの管理者や利用者などから，巧みな話術や盗み聞き，盗み見などの手段によって，パスワードなどのセキュリティ上重要な情報を入手する。

　

問33の正解と解説へ
　
問34　情報システムのリスク分析に関する記述のうち，適切なものはどれか。
　

ア　リスクには，投機的リスクと純粋リスクとがある。情報セキュリティのためのリスク分析で対象とするのは，投機的リスクである。

イ　リスクの予想損失額は，損害予防のために投入されるコスト，復旧に要するコスト，及びほかの手段で業務を継続するための代替コストの合計で表される。

ウ　リスク分析では，現実に発生すれば損失をもたらすリスクが，情報システムのどこに，どのように潜在しているかを識別し，その影響の大きさを測定する。

エ　リスクを金額で測定するリスク評価額は，損害が現実のものになった場合の1回当たりの平均予想損失額で表される。

　

問34の正解と解説へ
　
問35　リスク対策の一つであるリスクファイナンスに該当するものはどれか。
　

ア　システムが被害を受けた場合を想定して保険をかけておく。

イ　システム被害につながるリスクの発生を抑える対策に資金を投入する。

ウ　システムを復旧するのに掛かった費用を金融機関から借り入れる。

エ　リスクが顕在化した場合のシステム被害を小さくする対策に資金を投入する。

　

問35の正解と解説へ
　
問36　機密データの漏えいを検知することを目的とした対策はどれか。
　

ア　機密データにアクセスできる利用者を限定し，パスワード管理を徹底させる。

イ　機密データに対する利用者のアクセスログを取り，定期的にチェックする。

ウ　機密データの取扱マニュアルを作成し，利用者に対して教育を行う。

エ　機密データのバックアップを取得し，その媒体を安全性の高い場所に保管する。

　

問36の正解と解説へ
　
問37　JIS Q9001（ISO 9001）で内部監査について規定していることはどれか。
　

ア　内部監査では，品質マネジメントシステムが定められたとおり正しく機能しているかどうかを，予告することなく不定期に確認する。

イ　内部監査では，品質マネジメントシステムの効果的な実施と維持，個別製品の実現計画や規格要求事項への適合を確認する。

ウ　内部監査は，社内のシステム監査部門又はシステム監査技術者が行う。

エ　内部監査を実施する前提条件として，ISO 9001に基づく品質マネジメントシステムの審査登録が必要である。

　

問37の正解と解説へ
　
問38　ISMSプロセスのPDCAモデルにおいて，PLANで実施するものはどれか。
　

ア　運用状況の管理

イ　改善策の実施

ウ　実施状況に対するレビュー

エ　情報資産のリスクアセスメント

　

 問38の正解と解説へ
　
問39　コンピュータで使われている文字コードの説明のうち，適切なものはどれか。
　

ア　ASCIIコードはアルファベット，数字，特殊文字及び制御文字からなり，漢字に関する規定はない。

イ　EUCは文字コードの世界標準を作成しようとして考案された16ビット以上のコード体系であり，漢字に関する規定はない。

ウ　Unicodeは文字の1バイト目で漢字かどうかが分かるようにする目的で制定され，漢字とASCIIコードを混在可能にしたコード体系である。

エ　シフトJISコードはUNIXにおける多言語対応の一環として制定されISOとして標準化されている。

　

問39の正解と解説へ
　
問40　“連続する同一の文字コード（1バイトコードとする）の長さから1を減じたものを1バイトのバイナリで表し，その後に当該文字コードを配置する”というデータ圧縮方式がある。例えば，圧縮前に16進表示で，
　414141414142434343434343
であった12バイトの文字コードの列は，圧縮後に，
　044100420543
という6バイトで表され，この場合の圧縮率は50％（6バイト÷12バイト×100）となるものとする。このとき，当該方式に関する記述のうち，適切なものはどれか。
　

ア　10個の文字からなる文字列を圧縮したとき，最良の場合の圧縮率は最悪の場合の圧縮率の5分の1である。

イ　圧縮後の長さが圧縮前の長さを上回ることはない。

ウ　一度に256バイト（256の同じ文字）を2バイトに圧縮できるときが最大の圧縮率なので，圧縮率が0.7％以下の値になることはない。

エ　文字列に2回圧縮を行うと1回圧縮を行う場合の2分の1の圧縮率となる。

　

問40の正解と解説へ
　
メニューへ戻る
　

　
　

ア	〔2〕ESPヘッダ，〔3〕元のIPヘッダ，〔4〕TCPヘッダ，〔5〕データ
イ	〔3〕元のIPヘッダ，〔4〕TCPヘッダ，〔5〕データ，〔6〕ESPトレーラ
ウ	〔3〕元のIPヘッダ，〔4〕TCPヘッダ，〔5〕データ
エ	〔4〕TCPヘッダ，〔5〕データ，〔6〕ESPトレーラ

ア	SSLで使用する個人認証用のディジタル証明書は，ICカードなどに格納できるので，格納場所を特定のPCに限定する必要はない。
イ	SSLは特定利用者間の通信のために開発されたプロトコルであり，Webサーバ提供者への事前の利用者登録が不可欠である。
ウ	ディジタル証明書にはIPアドレスが組み込まれているので，SSLを利用するWebサーバのIPアドレスを変更する場合は，ディジタル証明書を再度取得する必要がある。
エ	日本国内では，SSLで使用する共通鍵の長さは，128ビット未満に制限されている。

ア	画像や音楽などのディジタルコンテンツに著作権者などの情報を埋め込む。
イ	コンピュータやネットワークのセキュリティ上の弱点を発見するテスト手法の一つであり，システムを実際に攻撃して侵入を試みる。
ウ	証拠となりうるデータを保全し，その後の訴訟などに備える。
エ	ネットワークの管理者や利用者などから，巧みな話術や盗み聞き，盗み見などの手段によって，パスワードなどのセキュリティ上重要な情報を入手する。

ア	リスクには，投機的リスクと純粋リスクとがある。情報セキュリティのためのリスク分析で対象とするのは，投機的リスクである。
イ	リスクの予想損失額は，損害予防のために投入されるコスト，復旧に要するコスト，及びほかの手段で業務を継続するための代替コストの合計で表される。
ウ	リスク分析では，現実に発生すれば損失をもたらすリスクが，情報システムのどこに，どのように潜在しているかを識別し，その影響の大きさを測定する。
エ	リスクを金額で測定するリスク評価額は，損害が現実のものになった場合の1回当たりの平均予想損失額で表される。

ア	システムが被害を受けた場合を想定して保険をかけておく。
イ	システム被害につながるリスクの発生を抑える対策に資金を投入する。
ウ	システムを復旧するのに掛かった費用を金融機関から借り入れる。
エ	リスクが顕在化した場合のシステム被害を小さくする対策に資金を投入する。

ア	機密データにアクセスできる利用者を限定し，パスワード管理を徹底させる。
イ	機密データに対する利用者のアクセスログを取り，定期的にチェックする。
ウ	機密データの取扱マニュアルを作成し，利用者に対して教育を行う。
エ	機密データのバックアップを取得し，その媒体を安全性の高い場所に保管する。

ア	内部監査では，品質マネジメントシステムが定められたとおり正しく機能しているかどうかを，予告することなく不定期に確認する。
イ	内部監査では，品質マネジメントシステムの効果的な実施と維持，個別製品の実現計画や規格要求事項への適合を確認する。
ウ	内部監査は，社内のシステム監査部門又はシステム監査技術者が行う。
エ	内部監査を実施する前提条件として，ISO 9001に基づく品質マネジメントシステムの審査登録が必要である。

ア	運用状況の管理
イ	改善策の実施
ウ	実施状況に対するレビュー
エ	情報資産のリスクアセスメント

ア	ASCIIコードはアルファベット，数字，特殊文字及び制御文字からなり，漢字に関する規定はない。
イ	EUCは文字コードの世界標準を作成しようとして考案された16ビット以上のコード体系であり，漢字に関する規定はない。
ウ	Unicodeは文字の1バイト目で漢字かどうかが分かるようにする目的で制定され，漢字とASCIIコードを混在可能にしたコード体系である。
エ	シフトJISコードはUNIXにおける多言語対応の一環として制定されISOとして標準化されている。

ア	10個の文字からなる文字列を圧縮したとき，最良の場合の圧縮率は最悪の場合の圧縮率の5分の1である。
イ	圧縮後の長さが圧縮前の長さを上回ることはない。
ウ	一度に256バイト（256の同じ文字）を2バイトに圧縮できるときが最大の圧縮率なので，圧縮率が0.7％以下の値になることはない。
エ	文字列に2回圧縮を行うと1回圧縮を行う場合の2分の1の圧縮率となる。

情報セキュアド 平成19年度試験 問題(午前問31～問40)

情報セキュアド　平成19年度試験　問題(午前問31～問40)