情報処理安全支援確保士 過去問

問2

PKIを構成するOCSPを利用する目的はどれか。

• ア．

  誤って破棄してしまった秘密鍵の再発行処理の進捗状況を問い合わせる。
• イ．

  ディジタル証明書から生成した鍵情報の交換がOCSPクライアントとOCSPレスポンダの間で失敗した際，認証状態を確認する。
• ウ．

  ディジタル証明書の失効情報を問い合わせる。
• エ．

  有効期限が切れたディジタル証明書の更新処理の進捗状況を確認する。

問3

ハッシュ関数の性質の一つである衝突発見困難性に関する記述のうち，適切なものはどれか。

• ア．

  SHA-256の衝突発見困難性を示す，ハッシュ値が一致する二つのメッセージの発見に要する最大の計算量は，256の2乗である。
• イ．

  SHA-256の衝突発見困難性を示す，ハッシュ値の元のメッセージの発見に要する最大の計算量は，2の256乗である。
• ウ．

  衝突発見困難性とは，ハッシュ値が与えられたときに，元のメッセージの発見に要する計算量が大きいことによる，発見の困難性のことである。
• エ．

  衝突発見困難性とは，ハッシュ値が一致する二つのメッセージの発見に要する計算量が大きいことによる，発見の困難性のことである。

問4

DoS攻撃の一つであるSmurf攻撃はどれか。

• ア．

  ICMPの応答パケットを大量に発生させ，それが攻撃対象に送られるようにする。
• イ．

  TCP接続要求であるSYNパケットを攻撃対象に大量に送り付ける。
• ウ．

  サイズの大きいUDPパケットを攻撃対象に大量に送り付ける。
• エ．

  サイズの大きい電子メールや大量の電子メールを攻撃対象に送り付ける。

問5

サイドチャネル攻撃はどれか。

• ア．

  暗号化装置における暗号化処理時の消費電力などの測定や統計処理によって，当該装置内部の秘密情報を推定する攻撃
• イ．

  攻撃者が任意に選択した平文とその平文に対応した暗号文から数学的手法を用いて暗号鍵を推測し，同じ暗号鍵を用いて作成された暗号文を解読する攻撃
• ウ．

  操作中の人の横から，入力操作の内容を観察することによって，利用者IDとパスワードを盗み取る攻撃
• エ．

  無線LANのアクセスポイントを不正に設置し，チャネル間の干渉を発生させることによって，通信を妨害する攻撃

問6

ステートフルパケットインスペクション方式のファイアウォールの特徴はどれか。

• ア．

  WebクライアントとWebサーバとの間に配置され，リバースプロキシサーバとして動作する方式であり，Webクライアントからの通信を目的のWebサーバに中継する際に，受け付けたパケットに不正なデータがないかどうかを検査する。
• イ．

  アプリケーションプロトコルごとにプロキシソフトウェアを用意する方式であり，クライアントからの通信を目的のサーバに中継する際に，通信に不正なデータがないかどうかを検査する。
• ウ．

  特定のアプリケーションプロトコルだけを通過させるゲートウェイソフトウェアを利用する方式であり，クライアントからのコネクションの要求を受け付け，目的のサーバに改めてコネクションを要求することによって，アクセスを制御する。
• エ．

  パケットフィルタリングを拡張した方式であり，過去に通過したパケットから通信セッションを認識し，受け付けたパケットを通信セッションの状態に照らし合わせて通過させるか遮断するかを判断する。

問7

NISTが制定した，AESにおける鍵長の条件はどれか。

• ア．

  128ビット，192ビット，256ビットから選択する。
• イ．

  256ビット未満で任意に指定する。
• ウ．

  暗号化処理単位のブロック長よりも32ビット長くする。
• エ．

  暗号化処理単位のブロック長よりも32ビット短くする。

問8

JVN(Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCVE(Common Vulnerabilities and Exposures)識別子の説明はどれか。

• ア．

  コンピュータで必要なセキュリティ設定項目を識別するための識別子
• イ．

  脆弱性を利用して改ざんされたWebサイトのスクリーンショットを識別するための識別子
• ウ．

  製品に含まれる脆弱性を識別するための識別子
• エ．

  セキュリティ製品を識別するための識別子

問9

サイバー情報共有イニシアティブ(J-CSIP)の説明として，適切なものはどれか。

• ア．

  サイバー攻撃対策に関する情報セキュリティ監査を参加組織間で相互に実施して，監査結果を共有する取組み
• イ．

  参加組織がもつデータを相互にバックアップして，サイバー攻撃から保護する取組み
• ウ．

  セキュリティ製品のサイバー攻撃に対する有効性に関する情報を参加組織が取りまとめ，その情報を活用できるように公開する取組み
• エ．

  標的型サイバー攻撃などに関する情報を参加組織間で共有し，高度なサイバー攻撃対策につなげる取組み

問10

DNSにおいてDNS CAA(Certification Authority Authorization)レコードを使うことによるセキュリティ上の効果はどれか。

• ア．

  WebサイトにアクセスしたときのWebブラウザに鍵マークが表示されていれば当該サイトが安全であることを，利用者が確認できる。
• イ．

  Webサイトにアクセスする際のURLを短縮することによって，利用者のURLの誤入力を防ぐ。
• ウ．

  電子メールを受信するサーバでスパムメールと誤検知されないようにする。
• エ．

  不正なサーバ証明書の発行を防ぐ。

問11

セキュリティ対策として，CASB(Cloud Access Security Broker)を利用した際の効果はどれか。

• ア．

  クラウドサービスプロバイダが，運用しているクラウドサービスに対してDDoS攻撃対策を行うことによって，クラウドサービスの可用性低下を緩和できる。
• イ．

  クラウドサービスプロバイダが，クラウドサービスを運用している施設に対して入退室管理を行うことによって，クラウドサービス運用環境への物理的な不正アクセスを防止できる。
• ウ．

  クラウドサービス利用組織の管理者が，組織で利用しているクラウドサービスに対して脆弱性診断を行うことによって，脆弱性を特定できる。
• エ．

  クラウドサービス利用組織の管理者が，組織の利用者が利用している全てのクラウドサービスの利用状況の可視化を行うことによって，許可を得ずにクラウドサービスを利用している者を特定できる。

問12

安全なWebアプリケーションの作り方について，攻撃と対策の適切な組合せはどれか。

問13

マルウェアの検出手法であるビヘイビア法を説明したものはどれか。

• ア．

  あらかじめ特徴的なコードをパターンとして登録したマルウェア定義ファイルを用いてマルウェア検査対象と比較し，同じパターンがあればマルウェアとして検出する。
• イ．

  マルウェアに感染していないことを保証する情報をあらかじめ検査対象に付加しておき，検査時に不整合があればマルウェアとして検出する。
• ウ．

  マルウェアの感染が疑わしい検査対象のハッシュ値と，安全な場所に保管されている原本のハッシュ値を比較し，マルウェアとして検出する。
• エ．

  マルウェアの感染や発病によって生じるデータ読込みの動作，書込み動作，通信などを監視して，マルウェアとして検出する。

問14

インターネットサービスプロバイダ(ISP)が，OP25Bを導入する目的の一つはどれか。

• ア．

  ISP管理外のネットワークに対するISP管理下のネットワークからのICMPパケットによるDDoS攻撃を遮断する。
• イ．

  ISP管理外のネットワークに向けてISP管理下のネットワークから送信されるスパムメールを制限する。
• ウ．

  ISP管理下のネットワークに対するISP管理外のネットワークからのICMPパケットによるDDoS攻撃を遮断する。
• エ．

  ISP管理下のネットワークに向けてISP管理外のネットワークから送信されるスパムメールを制限する。

問15

HSTS(HTTP Strict Transport Security)の説明はどれか。

• ア．

  HSTSを利用するWebサイトにWebブラウザがHTTPでアクセスした場合，Webブラウザから当該サイトへのその後のアクセスを強制的にHTTP over TLS(HTTPS)にする。
• イ．

  HSTSを利用するWebサイトにWebブラウザがHTTPでアクセスした場合，Webページの文書やスクリプトについて，あるオリジンから読み込まれたリソースから他のオリジンのリソースにアクセスできないように制限する。
• ウ．

  HTTPSで通信が保護されている場合にだけ，cookieの属性によらず強制的にcookieを送信する。
• エ．

  信頼性が高いサーバ証明書を有するWebサイトとのHTTPS通信では，Webブラウザに鍵マークを表示する。

問16

内部ネットワーク上のPCからインターネット上のWebサイトを参照するときは，DMZ上のVDI(Virtual Desktop Infrastructure)サーバ上の仮想マシンにPCからログインし，仮想マシン上のWebブラウザを必ず利用するシステムを導入する。インターネット上のWebサイトから内部ネットワークにあるPCへのマルウェアの侵入，及びPCからインターネット上のWebサイトへのPC内のファイルの流出を防止するのに効果がある条件はどれか。

• ア．

  PCとVDIサーバ間は，VDIの画面転送プロトコル及びファイル転送を利用する。
• イ．

  PCとVDIサーバ間は，VDIの画面転送プロトコルだけを利用する。
• ウ．

  VDIサーバが，プロキシサーバとしてHTTP通信を中継する。
• エ．

  VDIサーバが，プロキシサーバとしてVDIの画面転送プロトコルだけを中継する。

問17

RFC 8110に基づいたものであり，公衆無線LANなどでパスフレーズなどでの認証なしに，端末とアクセスポイントとの間の無線通信を暗号化するものはどれか。

• ア．

  Enhanced Open
• イ．

  FIDO2
• ウ．

  WebAuthn
• エ．

  WPA3

問18

ETSI(欧州電気通信標準化機構)が提唱するNFV(Network Functions Virtualisation)に関する記述のうち，適切なものはどれか。

• ア．

  ONF(Open Networking Foundation)が提唱するSDN(Software-Defined Networking)を用いて，仮想化を実現する。
• イ．

  OpenFlowコントローラやOpenFlowスイッチなどのOpenFlowプロトコルの専用機器だけを使ってネットワークを構築する。
• ウ．

  ルータ，ファイアウォールなどのネットワーク機能を，汎用サーバを使った仮想マシン上のソフトウェアで実現する。
• エ．

  ロードバランサ，スイッチ，ルータなどの専用機器を使って，VLAN，VPNなどの仮想ネットワークを実現する。

問19

スイッチングハブ同士を接続する際に，複数のポートを束ねて一つの論理ポートとして扱う技術はどれか。

• ア．

  MIME
• イ．

  MIMO
• ウ．

  マルチパート
• エ．

  リンクアグリゲーション

問20

IPv4ネットワークにおけるIPアドレス 127.0.0.1 に関する記述として，適切なものはどれか。

• ア．

  DHCPが使用できないときに自動生成されるIPアドレスとして使用される。
• イ．

  全ホストに対するブロードキャストアドレスとして使用される。
• ウ．

  単一のコンピュータ上で動作するプログラム同士が通信する際に使用される。
• エ．

  デフォルトゲートウェイのアドレスとして使用される。

問21

複数のバッチ処理を並行して動かすとき，デッドロックの発生をできるだけ回避したい。バッチ処理の設計ガイドラインのうち，適切なものはどれか。

• ア．

  参照するレコードにも，専有ロックを掛けるように設計する。
• イ．

  大量データに同じ処理を行うバッチ処理は，まとめて一つのトランザクションとして処理するように設計する。
• ウ．

  トランザクション開始直後に，必要なレコード全てに専有ロックを掛ける。ロックに失敗したレコードには，しばらく待って再度ロックを掛けるように設計する。
• エ．

  複数レコードを更新するときの順番を決めておき，全てのバッチ処理がこれに従って処理するように設計する。

問22

JIS X 25010:2013(システム及びソフトウェア製品の品質要求及び評価(SQuaRE)－システム及びソフトウェア品質モデル)で定義されたシステム及び／又はソフトウェア製品の品質特性に関する説明のうち，適切なものはどれか。

• ア．

  機能適合性とは，明示された状況下で使用するとき，明示的ニーズ及び暗黙のニーズを満足させる機能を，製品又はシステムが提供する度合いのことである。
• イ．

  信頼性とは，明記された状態(条件)で使用する資源の量に関係する性能の度合いのことである。
• ウ．

  性能効率性とは，明示された利用状況において，有効性，効率性及び満足性をもって明示された目標を達成するために，明示された利用者が製品又はシステムを利用することができる度合いのことである。
• エ．

  保守性とは，明示された時間帯で，明示された条件下に，システム，製品又は構成要素が明示された機能を実行する度合いのことである。

問23

エクストリームプログラミング(XP:eXtreme Programming)における"テスト駆動開発"の特徴はどれか。

• ア．

  最初のテストで，なるべく多くのバグを摘出する。
• イ．

  テストケースの改善を繰り返す。
• ウ．

  テストでのカバレージを高めることを目的とする。
• エ．

  プログラムを書く前にテストコードを記述する。

問24

ディスク障害時に，フルバックアップを取得してあるテープからディスクにデータを復元した後，フルバックアップ取得時以降の更新後コピーをログから反映させてデータベースを回復する方法はどれか。

• ア．

  チェックポイントリスタート
• イ．

  リブート
• ウ．

  ロールバック
• エ．

  ロールフォワード

問25

ソフトウェア開発プロセスにおけるセキュリティを確保するための取組について，JIS Q 27001:2014(情報セキュリティマネジメントシステム－要求事項)の附属書Aの管理策に照らして監査を行った。判明した状況のうち，監査人が監査報告書に指摘事項として記載すべきものはどれか。

• ア．

  ソフトウェア開発におけるセキュリティ機能の試験は，開発期間が終了した後に実施している。
• イ．

  ソフトウェア開発は，セキュリティ確保に配慮した開発環境において行っている。
• ウ．

  ソフトウェア開発を外部委託している場合，外部委託先による開発活動の監督・監視において，セキュリティ確保の観点を考慮している。
• エ．

  パッケージソフトウェアを活用した開発において，セキュリティ確保の観点から，パッケージソフトウェアの変更は必要な変更に限定している。