テクニカルエンジニア(情報セキュリティ)平成20年度試験問題(午前問41〜問50)
問41 作成者によってディジタル署名された電子文書に,タイムスタンプ機関がタイムスタンプを付与した。この電子文書を公開する場合のタイムスタンプの効果のうち,適切なものはどれか。
| ア | タイムスタンプの時刻以前に存在したことを示し,作成者が,電子文書の作成を否認することを防止する。 |
| イ | タイムスタンプの時刻以前に存在したことを示し,第三者が,電子文書を改ざんすることを防止する。 |
| ウ | タイムスタンプを付与した時刻以降に,作成者が,ほかの電子文書へ流用することを防止する。 |
| エ | タイムスタンプを付与した時刻以降に,第三者が,ほかの電子文書へ流用することを防止する。 |
問41の正解と解説へ
問42 チャレンジ・レスポンス方式として,適切なものはどれか。
| ア | 暗号化プロトコル(SSL)によって,クライアント側で固定パスワードを暗号化して送信する。 |
| イ | 固定パスワードと,サーバから送られたランダムなデータとをクライアント側で演算し,その結果を認証用データに用いる。 |
| ウ | トークンというデバイスで毎回異なって表示されるデータをパスワードとして送信する。 |
| エ | ゆがんだ文字などの画像データをサーバから送り,利用者にそれを読み取らせて入力させることによって認証する。 |
問42の正解と解説へ
問43 コンピュータフォレンジクスの説明として,適切なものはどれか。
| ア | あらかじめ設定した運用基準に従って,メールサーバを通過する送受信メールをフィルタリングすること |
| イ | 磁気ディスクなどの書換え可能な記憶媒体を単に初期化するだけでは復元される可能性があるので,覆い隠すようにデータを上書きすること |
| ウ | ネットワークやホストに対する外部からの攻撃や侵入を検出し,管理者に通報すること |
| エ | 不正アクセスなどコンピュータに関する犯罪の法的な証拠性を明らかにするために,原因究明に必要な情報を収集して分析すること |
問43の正解と解説へ
問44 Webアプリケーションの脅威とそのセキュリティ対策の適切な組合せはどれか。
| ア | OSコマンドインジェクションを防ぐために,Webアプリケーションが発行するセッションIDを推測困難なものにする。 |
| イ | SQLインジェクションを防ぐために,Webアプリケーション内で問合せを作成する際にバインド機構を使用する。 |
| ウ | クロスサイトスクリプティングを防ぐために,外部から渡す入力データにWebサーバ内のファイル名を直接指定しない。 |
| エ | セッションハイジャックを防ぐために,Webアプリケーションからシェルを起動できないようにする。 |
問44の正解と解説へ
問45 パケットフィルタリング型ファイアウォールがルール一覧に示したアクションに基づいてパケットを制御する場合,パケットAに対する処理はどれか。ここで,ファイアウォールでの処理は,ルール一覧に示す番号の1から順に行い,一つのルールが適用された場合には残りのルールは適用されない。
| ア | 番号1によって,通過が禁止される。 |
| イ | 番号2によって,通過が許可される。 |
| ウ | 番号3によって,通過が許可される。 |
| エ | 番号4によって,通過が禁止される。 |
問45の正解と解説へ
問46 サーバへのログイン時に用いるパスワードを不正に取得しようとする攻撃とその対策の組合せのうち,適切なものはどれか。
問46の正解と解説へ
問47 IPsecのAHに関する説明のうち,適切なものはどれか。
| ア | IPパケットを暗号化する対象部分によって,トランスポートモード,トンネルモードの方式がある. |
| イ | 暗号化アルゴリズムや暗号化鍵のライフタイムが設定される管理テーブルで,期間を過ぎると新しいものに更新される. |
| ウ | 暗号化アルゴリズムを決定し,暗号化鍵を動的に生成する鍵交換プロトコルで,暗号化通信を行う。 |
| エ | データの暗号化は行わず,SPI,シーケンス番号,認証データを用い,完全性の確保と認証を行う。 |
問47の正解と解説へ
問48 無線LANにおける通信の暗号化の仕組みに関する説明のうち,適切なものはどれか。
| ア | EAPは,クライアントPCとアクセスポイントとの間であらかじめ登録した共通鍵による暗号化通信を実現する。 |
| イ | ESS-IDは,クライアントPCごとの秘密鍵を定めたものであり,公開鍵暗号方式の暗号化通信を実現する。 |
| ウ | IEEE802.1Xの規格を利用して機器認証を行い,動的に異なる暗号化鍵を用いた暗号化通信を実現できる。 |
| エ | WEPでは,クライアントPCとアクセスポイントとの間で公開鍵暗号方式による暗号化通信を実現できる。 |
問48の正解と解説へ
問49 JIS Q 27001:2006における情報システムのリスクとその評価に関する記述のうち,適切なものはどれか。
| ア | 脅威とは,脆(ぜい)弱性が顕在化する確率のことであり,情報システムに組み込まれた技術的管理策によって決まる. |
| イ | 脆弱性とは,情報システムに対して悪い影響を与える要因のことであり,自然災害,システム障害,人為的過失及び不正行為に大別される。 |
| ウ | リスクとは,脅威が情報資産の脆弱性につけ込み,情報資産に損失又は損害を与える可能性のことである。 |
| エ | リスク評価とは,リスクの大きさを判断して対策を決めることであり,リスク回避とリスク低減の二つに分類される。 |
問49の正解と解説へ
問50 事業者が,一般に公開されている個人情報を使用して継続的にダイレクトメールを送付する場合,JIS Q 15001:2006への適合性から見て適切な措置はどれか。
| ア | JIS Q 15001:2006に規定された通知事項を本人に通知し,同意を得れば送付できる。 |
| イ | JIS Q 15001:2006に規定された通知事項を本人に通知すれば送付できる。 |
| ウ | 一般に公開されている個人情報なので何もせずに送付できる。 |
| エ | 公開情報を使ってダイレクトメールを送付することを,ホームページに公表すれば送付できる。 |
問50の正解と解説へ
メニューへ戻る