テクニカルエンジニア（情報セキュリティ）平成19年度試験問題（午前問41～問50）

情報セキュリティスペシャリスト試験情報＞テクニカルエンジニア（情報セキュリティ）平成19年度試験メニュー＞問題と解説
　

テクニカルエンジニア（情報セキュリティ）平成19年度試験問題（午前問41～問50）

　
問41　SQLインジェクション攻撃を防ぐ方法はどれか。
　

ア　入力値から，上位ディレクトリを指定する文字（../）を取り除く。

イ　入力値から，データベースへの問合せや操作において特別な意味をもつ文字を取り除く。

ウ　入力値にHTMLタグが含まれていたら，解釈，実行できないほかの文字列に置き換える。

エ　入力値の全体の長さが制限を超えていないかどうかチェックする。

　

問41の解答例と解説へ
　
問42　Webビーコンを説明したものはどれか。
　

ア　WebサイトからダウンロードされPC上で画像ファイルを消去するウイルス

イ　Webサイトで用いるアプリケーションプログラムに潜在する誤り

ウ　悪意のあるスクリプトによってPCとWebサーバ自体の両方に被害を及ぼす不正な手口

エ　利用者のアクセス動向などの情報を収集するためにWebページなどに埋め込まれた画像

　

 問42の解答例と解説へ
　
問43　VBScript（Visual Basic Script）で作られたコンピュータウイルスの特徴はどれか。
　

ア　HTML形式の電子メール本文などに埋め込まれたスクリプトによって動作する。

イ　感染対象が実行形式ファイルであるか文書ファイルであるかにかかわらず，すべてのOSで動作する。

ウ　実行形式ファイルではなくワープロの文書ファイルなどに感染し，関連するアプリケーションソフトを利用して動作する。

エ　ブートセクタに感染して，通常のプロセス起動前にウイルスが呼び出されて動作する。

　

問43の解答例と解説へ
　
問44　ブルートフォース攻撃に該当するものはどれか。
　

ア　コンピュータへのキー入力をすべて記録して外部に送信する。

イ　盗聴者が正当な利用者のログインシーケンスをそのまま記録してサーバに送信する。

ウ　認証が終了し，セッションを開始しているユーザとホストの間の通信で，クッキーなどのセッション情報を取る。

エ　文字を組み合わせてあらゆるパスワードでログインを何度も試みる。

　

問44の解答例と解説へ
　
問45　表に示すテーブルX，Yへのアクセス要件に関して，JIS Q27001:2006（ISO/IEC 27001:2005）が示す“完全性”の観点からセキュリティを脅かすおそれのあるテーブルへのアクセス権付与はどれか。
　

テーブルアクセス要件

X（注文テーブル）

(1) 　調達課のユーザAが注文データを入力したり内容を確認したりするためにアクセスする。

(2) 　管理課のユーザBはアクセスしない。

Y（仕入先マスタテーブル）

(1) 　調達課のユーザAが仕入先データを照会する目的だけでアクセスする。

(2) 　管理課のユーザBが仕入先データのマスタメンテナンス作業を行うためにアクセスする。

　

ア　GRANT INSERT ON Y TO A イ　GRANT INSERT ON Y TO B

ウ　GRANT SELECT ON X TO A エ　GRANT SELECT ON X TO B

　

問45の解答例と解説へ
　
問46　パスワードに使用できる文字の種類の数をM，パスワードの文字数をnとするとき，設定できるパスワードの総数を求める数式はどれか。
　

　

問46の解答例と解説へ
　
問47　ソーシャルエンジニアリングに該当する行為はどれか。
　

ア　OSのセキュリティホールを突いた攻撃を行う。

イ　コンピュータウイルスを作る。

ウ　パスワードを辞書攻撃で破ってコンピュータに侵入する。

エ　本人を装って電話をかけ，パスワードを聞き出す。

　

問47の解答例と解説へ
　
問48　DMZ上の公開Webサーバで入力データを受け付け，内部ネットワークのDBサーバにそのデータを蓄積するシステムがある。DBサーバへの不正侵入を防ぐファイアウォールの有効な設定はどれか。
　

ア　DBサーバの受信ポートを固定にし，WebサーバからDBサーバの受信ポートへ発信された通信だけをファイアウォールで通す。

イ　Webサーバの発信ポートは任意のポート番号を使用し，ファイアウォールでは，いったん終了した通信と同じ発信ポートを使った通信を拒否する。

ウ　Webサーバの発信ポートを固定し，その発信ポートの通信だけをファイアウォールで通す。

エ　ファイアウォールで，DBサーバあての受信パケットだけ通す。

　

問48の解答例と解説へ
　
問49　HTTPSを用いて実現できるものはどれか。
　

ア　Webサーバ上のファイルの改ざん検知

イ　クライアント上のウイルス検査

ウ　クライアントに対する侵入検知

エ　電子証明書によるサーバ認証

　

 問49の解答例と解説へ
　
問50　セキュリティプロトコルSSL/TLSの機能はどれか。
　

ア　FTPなどの様々なアプリケーションに利用されて，アプリケーション層とTCPとの間で暗号化する。

イ　MIMEをベースとして，電子署名とメッセージの暗号化によって電子メールのセキュリティを強化する。

ウ　PPTPとL2Fが統合された仕様で，PPPをトンネリングする。

エ　特定のアプリケーションの通信だけではなく，あらゆるIPパケットをIP層で暗号化する。

　

問50の解答例と解説へ
　
メニューへ戻る
　

　
　

ア	入力値から，上位ディレクトリを指定する文字（../）を取り除く。
イ	入力値から，データベースへの問合せや操作において特別な意味をもつ文字を取り除く。
ウ	入力値にHTMLタグが含まれていたら，解釈，実行できないほかの文字列に置き換える。
エ	入力値の全体の長さが制限を超えていないかどうかチェックする。

ア	WebサイトからダウンロードされPC上で画像ファイルを消去するウイルス
イ	Webサイトで用いるアプリケーションプログラムに潜在する誤り
ウ	悪意のあるスクリプトによってPCとWebサーバ自体の両方に被害を及ぼす不正な手口
エ	利用者のアクセス動向などの情報を収集するためにWebページなどに埋め込まれた画像

ア	HTML形式の電子メール本文などに埋め込まれたスクリプトによって動作する。
イ	感染対象が実行形式ファイルであるか文書ファイルであるかにかかわらず，すべてのOSで動作する。
ウ	実行形式ファイルではなくワープロの文書ファイルなどに感染し，関連するアプリケーションソフトを利用して動作する。
エ	ブートセクタに感染して，通常のプロセス起動前にウイルスが呼び出されて動作する。

ア	コンピュータへのキー入力をすべて記録して外部に送信する。
イ	盗聴者が正当な利用者のログインシーケンスをそのまま記録してサーバに送信する。
ウ	認証が終了し，セッションを開始しているユーザとホストの間の通信で，クッキーなどのセッション情報を取る。
エ	文字を組み合わせてあらゆるパスワードでログインを何度も試みる。

ア　GRANT INSERT ON Y TO A	イ　GRANT INSERT ON Y TO B
ウ　GRANT SELECT ON X TO A	エ　GRANT SELECT ON X TO B

ア	OSのセキュリティホールを突いた攻撃を行う。
イ	コンピュータウイルスを作る。
ウ	パスワードを辞書攻撃で破ってコンピュータに侵入する。
エ	本人を装って電話をかけ，パスワードを聞き出す。

ア	DBサーバの受信ポートを固定にし，WebサーバからDBサーバの受信ポートへ発信された通信だけをファイアウォールで通す。
イ	Webサーバの発信ポートは任意のポート番号を使用し，ファイアウォールでは，いったん終了した通信と同じ発信ポートを使った通信を拒否する。
ウ	Webサーバの発信ポートを固定し，その発信ポートの通信だけをファイアウォールで通す。
エ	ファイアウォールで，DBサーバあての受信パケットだけ通す。

ア	Webサーバ上のファイルの改ざん検知
イ	クライアント上のウイルス検査
ウ	クライアントに対する侵入検知
エ	電子証明書によるサーバ認証

ア	FTPなどの様々なアプリケーションに利用されて，アプリケーション層とTCPとの間で暗号化する。
イ	MIMEをベースとして，電子署名とメッセージの暗号化によって電子メールのセキュリティを強化する。
ウ	PPTPとL2Fが統合された仕様で，PPPをトンネリングする。
エ	特定のアプリケーションの通信だけではなく，あらゆるIPパケットをIP層で暗号化する。