テクニカルエンジニア（情報セキュリティ）平成19年度試験問題（午前問41～問50）

情報セキュリティスペシャリスト試験情報＞テクニカルエンジニア（情報セキュリティ）平成19年度試験メニュー＞問題と解説
　

テクニカルエンジニア（情報セキュリティ）平成19年度試験問題（午前問41～問50）

　
問41　イ
SQLインジェクションは，データベースと連動したWebページで，データベースへの問い合わせや操作を行なうプログラムに，パラメタとしてSQL文の断片を送り込むことにより，データベースを誤動作させて不正に情報を入手する攻撃です。これを防ぐには，入力した文字列にSQL文の一部が含まれていたら，それを取り除いてそのSQL文が実行されないようにします。つまり，データベースへの問合せや操作において特別な意味をもつ文字を取り除くことを行います。
　

問42へ
　
問42　エ
Webビーコンは，Webページに埋め込まれた情報収集用の極めて小さい画像です。そのページへのアクセス状況などを収集するために用いられます。
　

問43へ
　
問43　ア
DHTML（Dynamic HTML）を使えば，VBScriptで作成したスクリプトを入れることができ，動きがあって対話性を持ったWebページを作成することができます。これを悪用すれば，VBScriptを使った，DHTMLのWebページで動作するコンピュータウイルスを作成することができます。HTMLメールではDHTMLを使うことができるため，電子メールの本文を表示させただけで動作するコンピュータウイルスも作成することができます。　

問44へ
　
問44　エ
ブルートフォース攻撃とは与えられた平文と暗号文の組に対して，鍵を総当たりで探索して解読を試みる手法です。
　

問45へ
　
問45　ア
Y（仕入先マスタテーブル）には，調達課のユーザAは仕入先データを照会する目的だけでアクセスします。したがって，AにはSELECT文が実行できる権限を与えます。GRANT INSERT ON Y TO Aは，YでINSERT文を実行できる権限をAに与えますから，照会だけでなく追加もできるので，完全性の観点からセキュリティを脅かします。
　

問46へ
　
問46　ア
パスワードの文字数nとすると，パスワードの候補は50ⁿ通りになり，パスワードに使用できる文字の種類の数をMとすると，パスワードの候補はMⁿ通りになります。
　

問47へ
　
問47　エ
ソーシャルエンジニアリング（social engineering）とは，電子的な方法を用いずに，担当者からパスワードや機密情報のありかを不正に聞き出して入手する手口です。
　

問48へ
　
問48　ア
ファイアウォールの設定は，DBサーバが受け付けるデータは，送信元がWebサーバのIPアドレスで，なおかつ受信専用ポートに送られてきたものだけを受け付けるようにします。
　

問49へ
　
問49　エ
HTTPS（Hypertext Transfer Protocol Security）は，Webサービス用のプロトコルであるHTTPに，SSLによる認証と暗号化の機能を付加したプロトコルです。認証機能では，Webサーバが電子証明書をクライアントに送り，クライアントはそれを調べてサーバを認証します。
　

問50へ
　
問50　ア
SSL（Secure Sockets Layer）は，認証機能と暗号化通信機能をもったプロトコルです。プロトコルの階層では，アプリケーション層とTCPとの間で動作します。Netscape Communications社がバージョン3.0まで開発し，その後はインターネット技術の標準化を進める機関であるIETFに移管して，TLSという名称に変わり開発が続けられています。
　

　
メニューへ戻る
　

Copyright (C) 2007 kimura-kouichi

　
　
　