情報処理安全支援確保士 過去問
令和2年秋期午前Ⅱ
問1
Webサーバのログを分析したところ,Webサーバへの攻撃と思われるHTTPリクエストヘッダが記録されていた。次のHTTPリクエストヘッダから推測できる,攻撃者が悪用しようとしていた可能性が高い脆弱性はどれか。ここで,HTTPリクエストヘッダ中の"%20"は空白を意味する。
GET /cgi-bin/submit.cgi?user=;cat%20/etc/passwd HTTP/1.1
Accept: */*
Accept-Language: ja
UA-CPU: x86
Accept-Encoding: gzip,deflate
User-Agent: (省略)
Host: test.example.com
Connection: Keep-Alive
-
ア.HTTPヘッダインジェクション(HTTP Response Splitting)
-
イ.OSコマンドインジェクション
-
ウ.SQLインジェクション
-
エ.クロスサイトスクリプティング
問2
SAML(Security Assertion Markup Language)の説明として,最も適切なものはどれか。
-
ア.Webサービスに関する情報を公開し,Webサービスが提供する機能などを検索可能にするための仕様
-
イ.権限がない利用者による読取り,改ざんから電子メールを保護して送信するための仕様
-
ウ.デジタル署名に使われる鍵情報を効率よく管理するためのWebサービスの仕様
-
エ.認証情報に加え,属性情報と認可情報を異なるドメインに伝達するためのWebサービスの仕様
問3
エクスプロイトコードの説明はどれか。
-
ア.攻撃コードとも呼ばれ,ソフトウェアの脆弱性を悪用するコードのことであり,使い方によっては脆弱性の検証に役立つこともある。
-
イ.マルウェア定義ファイルとも呼ばれ,マルウェアを特定するための特徴的なコードのことであり,マルウェア対策ソフトによるマルウェアの検知に用いられる。
-
ウ.メッセージとシークレットデータから計算されるハッシュコードのことであり,メッセージの改ざん検知に用いられる。
-
エ.ログインのたびに変化する認証コードのことであり,窃取されても再利用できないので不正アクセスを防ぐ。
問4
サイドチャネル攻撃の説明はどれか。
-
ア.暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量(処理時間や消費電流など)やエラーメッセージから,攻撃対象の秘密情報を得る。
-
イ.企業などの秘密情報を窃取するソーシャルエンジニアリングの手法の一つであり,不用意に捨てられた秘密情報の印刷物をオフィスの紙ごみの中から探し出す。
-
ウ.通信を行う2者間に割り込んで,両者が交換する情報を自分のものとすり替えることによって,その後の通信を気付かれることなく盗聴する。
-
エ.データベースを利用するWebサイトに入力パラメタとしてSQL文の断片を送信することによって,データベースを改ざんする。
問5
ブロックチェーンに関する記述のうち,適切なものはどれか。
-
ア.RADIUSを必須の技術として,参加者の利用者認証を一元管理するために利用する。
-
イ.SPFを必須の技術として,参加者間で電子メールを送受信するときに送信元の真正性を確認するために利用する。
-
ウ.楕円曲線暗号を必須の技術として,参加者間のP2P(Peer to Peer)通信を暗号化するために利用する。
-
エ.ハッシュ関数を必須の技術として,参加者がデータの改ざんを検出するために利用する。
問8
総務省及び国立研究開発法人情報通信研究機構(NICT)が2019年2月から実施している取組"NOTICE"に関する記述のうち,適切なものはどれか。
-
ア.NICTが運用するダークネット観測網において,Miraiなどのマルウェアに感染したIoT機器から到達するパケットを分析した結果を当該機器の製造者に提供し,国内での必要な対策を促す。
-
イ.国内のグローバルIPアドレスを有するIoT機器に,容易に推測されるパスワードを入力することなどによって,サイバー攻撃に悪用されるおそれのある機器を調査し,インターネットサービスプロバイダを通じて当該機器の利用者に注意喚起を行う。
-
ウ.国内の利用者からの申告に基づき,利用者の所有するIoT機器に対して無料でリモートから,侵入テストやOSの既知の脆弱性の有無の調査を実施し,結果を通知するとともに,利用者が自ら必要な対処ができるよう支援する。
-
エ.製品のリリース前に,不要にもかかわらず開放されているポートの存在,パスワードの設定漏れなど約200項目の脆弱性の有無を調査できるテストベッドを国内のIoT機器製造者向けに公開し,市場に流通するIoT機器のセキュリティ向上を目指す。
問7
経済産業省が"サイバー・フィジカル・セキュリティ対策フレームワーク(Version1.0)"を策定した主な目的の一つはどれか。
-
ア.ICTを活用し,場所や時間を有効に活用できる柔軟な働き方(テレワーク)の形態を示し,テレワークの形態に応じた情報セキュリティ対策の考え方を示すこと
-
イ.新たな産業社会において付加価値を創造する活動が直面するリスクを適切に捉えるためのモデルを構築し,求められるセキュリティ対策の全体像を整理すること
-
ウ.クラウドサービスの利用者と提供者が,セキュリティ管理策の実施について容易に連携できるように,実施の手引を利用者向けと提供者向けの対で記述すること
-
エ.データセンタの利用者と事業者に対して"データセンタの適切なセキュリティ"とは何かを考え,共有すべき知見を提供すること
問8
CRYPTRECの主な活動内容はどれか。
-
ア.暗号技術の技術的検討並びに国際競争力の向上及び運用面での安全性向上に関する検討を行う。
-
イ.情報セキュリティ政策に係る基本戦略の立案,官民における統一的,横断的な情報セキュリティ政策の推進に係る企画などを行う。
-
ウ.組織の情報セキュリティマネジメントシステムについて評価し認証する制度を運用する。
-
エ.認証機関から貸与された暗号モジュール試験報告書作成支援ツールを用いて暗号モジュールの安全性についての評価試験を行う。
問9
3Dセキュアは,ネットショッピングでのオンライン決済におけるクレジットカードの不正使用を防止する対策の一つである。3Dセキュアに関する記述のうち,適切なものはどれか。
-
ア.クレジットカードのPIN(Personal Identification Number:暗証番号)を入力させ,検証することによって,なりすましによる不正使用を防止する。
-
イ.クレジットカードのセキュリティコード(カードの裏面又は表面に記載された3桁又は4桁の番号)を入力させ,検証することによって,クレジットカードの不正使用を防止する。
-
ウ.クレジットカードの有効期限を入力させ,検証することによって,期限切れクレジットカードの不正使用を防止する。
-
エ.クレジットカード発行会社にあらかじめ登録したパスワードなど,本人しか分からない情報を入力させ,検証することによって,なりすましによるクレジットカードの不正使用を防止する。
問11
インターネットバンキングの利用時に被害をもたらすMITB(Man-in-the-Browser)攻撃に有効なインターネットバンクでの対策はどれか。
-
ア.インターネットバンキングでの送金時に接続するWebサイトの正当性を確認できるよう,EV SSLサーバ証明書を採用する。
-
イ.インターネットバンキングでの送金時に利用者が入力した情報と,金融機関が受信した情報とに差異がないことを検証できるよう,トランザクション署名を利用する。
-
ウ.インターネットバンキングでのログイン認証において,一定時間ごとに自動的に新しいパスワードに変更されるワンタイムパスワードを導入する。
-
エ.インターネットバンキング利用時の通信をSSLではなくTLSを利用して暗号化するようにWebサイトを設定する。
問11
JIS X 9401:2016(情報技術-クラウドコンピューティング-概要及び用語)の定義によるクラウドサービス区分の一つであり,クラウドサービスカスタマが表中の項番1と2の責務を負い,クラウドサービスプロバイダが項番3~5の責務を負うものはどれか。
| 項番 | 責務 |
|---|---|
| 1 | アプリケーションソフトウェアに対して,データ利用時のアクセス制御と暗号化の設定を行う。 |
| 2 | アプリケーションソフトウェアに対して,セキュアプログラミングとソースコードの脆弱性診断を行う。 |
| 3 | DBMSに対して,修正プログラム適用と権限設定を行う。 |
| 4 | OSに対して,修正プログラム適用と権限設定を行う。 |
| 5 | ハードウェアに対して,アクセス制御と物理セキュリティ確保を行う。 |
-
ア.HaaS
-
イ.IaaS
-
ウ.PaaS
-
エ.SaaS
問12
WebサーバがHTTP over TLS(HTTPS)通信の応答でcookieにSecure属性を設定するときのWebサーバ及びWebブラウザの処理はどれか。
-
ア.Webサーバでは,cookie発行時に"Secure="に続いて時間を設定し,Webブラウザは,指定された時間を参照し,指定された時間を過ぎている場合にそのcookieを削除する。
-
イ.Webサーバでは,cookie発行時に"Secure="に続いてホスト名を設定し,Webブラウザは,指定されたホスト名を参照し,指定されたホストにそのcookieを送信する。
-
ウ.Webサーバでは,cookie発行時に"Secure"を設定し,Webブラウザは,それを参照し,HTTPS通信時だけそのcookieを送信する。
-
エ.Webサーバでは,cookie発行時に"Secure"を設定し,Webブラウザは,それを参照し,Webブラウザの終了時にcookieの他の属性によらず,そのcookieを削除する。
問13
ディジタルフォレンジックスに該当するものはどれか。
-
ア.画像や音楽などのディジタルコンテンツに著作権者などの情報を埋め込む。
-
イ.コンピュータやネットワークのセキュリティ上の弱点を発見するテスト手法の一つであり,システムを実際に攻撃して侵入を試みる。
-
ウ.巧みな話術や盗み聞き,盗み見などの手段によって,ネットワーク管理者や利用者などから,パスワードなどのセキュリティ上重要な情報を入手する。
-
エ.犯罪に関する証拠となり得るデータを保全し,調査,分析,その後の訴訟などに備える。
問14
セキュリティ対策として,次の条件の下でデータベース(DB)サーバをDMZから内部ネットワークに移動するようなネットワーク構成の変更を計画している。このとき,ステートフルパケットインスペクション型のファイアウォール(FW)において,必要となるフィルタリングルールの変更のうちの一つはどれか。
〔条件〕
- (1):Webアプリケーション(WebAP)サーバを,インターネットに公開する。
- (2):WebAPサーバ上のプログラムだけがDBサーバ上のDBに接続でき,ODBC(Open Database Connectivity)を使用して特定のポート間で通信する。
- (3):SSHを使用して各サーバに接続できるのは,運用管理PCだけである。
- (4):フィルタリングルールは,必要な通信だけを許可する設定にする。
| # | ルールの変更種別 | ルール | |||
|---|---|---|---|---|---|
| 送信元 | 宛先 | サービス | 制御 | ||
| ア | 削除 | インターネット | WebAPサーバ | HTTP | 許可 |
イ |
削除 | 運用管理PC | 変更前のDBサーバ | SSH | 許可 |
| ウ | 追加 | WebAPサーバ | 変更後のDBサーバ | SSH | 許可 |
| エ | 追加 | インターネット | WebAPサーバ | ODBC | 許可 |
問15
DNSSECで実現できることはどれか。
-
ア.DNSキャッシュサーバが得た応答中のリソースレコードが,権威DNSサーバで管理されているものであり,改ざんされていないことの検証
-
イ.権威DNSサーバとDNSキャッシュサーバとの通信を暗号化することによる,ゾーン情報の漏えいの防止
-
ウ.長音"ー"と漢数字"一"などの似た文字をドメイン名に用いて,正規サイトのように見せかける攻撃の防止
-
エ.利用者のURLの入力誤りを悪用して,偽サイトに誘導する攻撃の検知
問16
SMTP-AUTHの特徴はどれか。
-
ア.ISP管理下の動的IPアドレスから管理外ネットワークのメールサーバへのSMTP接続を禁止する。
-
イ.電子メール送信元のメールサーバが送信元ドメインのDNSに登録されていることを確認してから,電子メールを受信する。
-
ウ.メールクライアントからメールサーバへの電子メール送信時に,利用者IDとパスワードによる利用者認証を行う。
-
エ.メールクライアントからメールサーバへの電子メール送信は,POP接続で利用者認証済みの場合にだけ許可する。
問17
インターネットサービスプロバイダ(ISP)が,スパムメール対策として導入するIP25Bに該当するものはどれか。
-
ア.自社ISPのネットワークの動的IPアドレスから他社ISPの管理するメールサーバへのSMTP通信を制限する。
-
イ.自社ISPのメールサーバで受信した電子メールのうち,スパムメールのシグネチャに一致する電子メールを隔離する。
-
ウ.他社ISPのネットワークの動的IPアドレスから自社ISPのメールサーバへのSMTP通信を制限する。
-
エ.他社ISPのメール不正中継の脆弱性をもつメールサーバから自社ISPのメールサーバに送信された電子メールを隔離する。
問18
図のように,サブネット192.168.1.0/24にPCを接続し,サブネット192.168.2.0/24にあるDHCPサーバによってPCのIPアドレスの設定を行いたい。このとき,PCからDHCPサーバに対する最初の問合せの宛先IPアドレスとして,適切なものはどれか。ここで,PCからDHCPサーバに対する最初の問合せにはブロードキャスト通信が使われ,更に次の条件を満たす。
〔条件〕
- (1):ルータではDHCPリレーエージェントが動作している。
- (2):PCは自分自身のサブネット情報を知らない。
-
ア.192.168.1.0
-
イ.192.168.1.255
-
ウ.192.168.2.255
-
エ.255.255.255.255
問19
リモートアクセス環境において,認証情報やアカウンティング情報をやり取りするプロトコルはどれか。
-
ア.CHAP
-
イ.PAP
-
ウ.PPTP
-
エ.RADIUS
問20
複数台のレイヤ2スイッチで構成されるネットワークが複数の経路をもつ場合に,イーサネットフレームのループの発生を防ぐためのTCP/IPネットワークインタフェース層のプロトコルはどれか。
-
ア.IGMP
-
イ.RIP
-
ウ.SIP
-
エ.スパニングツリープロトコル
問21
DBMSがトランザクションのコミット処理を完了するタイミングはどれか。
-
ア.アプリケーションの更新命令完了時点
-
イ.チェックポイント処理完了時点
-
ウ.ログバッファへのコミット情報書込み完了時点
-
エ.ログファイルへのコミット情報書込み完了時点
問22
ソフトウェアの要件定義における利用者の分析で活用される,ソフトウェアの利用者を役割ごとに典型的な姿として描いた仮想の人物を何と呼ぶか。
-
ア.エピック
-
イ.ステークホルダ
-
ウ.プロダクトオーナ
-
エ.ペルソナ
問23
アジャイル開発のプラクティスの一つである"ふりかえり(レトロスペクティブ)"を行う適切なタイミングはどれか。
-
ア."タスクボード"に貼ったタスクカードが移動されたとき
-
イ.各"イテレーション"の最後
-
ウ.毎日行う"朝会"
-
エ.毎日メンバの気持ちを見える化する"ニコニコカレンダー"に全チームメンバが記入し終えたとき
問24
新システムの開発を計画している。提案された4案の中で,TCO(総所有費用)が最小のものはどれか。ここで,このシステムは開発後,3年間使用されるものとする。
| # | A案 | B案 | C案 | D案 |
|---|---|---|---|---|
| ハードウェア導入費用 | 30 | 30 | 40 | 40 |
| システム開発費用 | 30 | 50 | 30 | 40 |
| 導入教育費用 | 5 | 5 | 5 | 5 |
| ネットワーク通信費用/年 | 20 | 20 | 15 | 15 |
| 保守費用/年 | 6 | 5 | 5 | 5 |
| システム運用費用/年 | 6 | 4 | 6 | 4 |
-
ア.A案
-
イ.B案
-
ウ.C案
-
エ.D案
問25
プライバシーマークを取得しているA社は,個人情報管理台帳の取扱いについて内部監査を行った。判明した状況のうち,監査人が指摘事項として監査報告書に記載すべきものはどれか。
-
ア.個人情報管理台帳に,概数でしかつかめない個人情報の保有件数は概数だけで記載している。
-
イ.個人情報管理台帳に,ほかの項目に加えて,個人情報の保管場所,保管方法,保管期限を記載している。
-
ウ.個人情報管理台帳の機密性を守るための保護措置を講じている。
-
エ.個人情報管理台帳の見直しは,新たな個人情報の取得があった場合にだけ行っている。