平成27年春の情報セキュリティスペシャリスト試験(SC)午前Ⅱ―過去問と解説
トップ
各試験用の問題と解説
情報処理安全確保支援士
平成27年春の情報セキュリティスペシャリスト試験(SC)午前Ⅱ
平成27年春の情報セキュリティスペシャリスト試験(SC)午前Ⅱの過去問と解説を掲載しています。
ご利用について
このページを表示した場合、答えと解説が、表示される設定になっています。 ページ全体の答えと解説の表示、非表示は以下で、個別は各問題のところのリンクで切り替えてください。
目次
このページの目次です。
- 問1 EV SSL証明書
- 問2 IEEE 802.1X
- 問3 RLO
- 問4 VA(Validation Authority)
- 問5 サイドチャネル攻撃
- 問6 CRL
- 問7 CVE
- 問8 CRYPTREC
- 問9 IPsec
- 問10 NTP増幅型のDDoS攻撃
- 問11 ダークネット
- 問12 rootkit
- 問13 ベイジアンフィルタリング
- 問14 DNSSEC
- 問15 DNS amp
- 問16 SMTP-AUTH
- 問17 SQLインジェクション対策
- 問18 TCPヘッダ
- 問19 サブネットマスク
- 問20 HTTPプロトコル
- 問21 2相コミット
- 問22 システム要件の評価
- 問23 マッシュアップの例
- 問24 コールドアイル
- 問25 内部統制
平成27年春 問1 EV SSL証明書―情報セキュリティスペシャリスト試験(SC)午前Ⅱ
Webのショッピングサイトを安全に利用するため、WebサイトのSSL証明書を表示して内容を確認する。 Webサイトが、EV SSL証明書を採用している場合、存在するサブジェクトフィールドのOrganization Nameに記載されているものはどれか。
【ア】Webサイトの運営団体の組織名
【イ】証明書の登録業務を行う機関(RA)の組織名
【ウ】証明書の発行業務を行う機関(CA)の組織名
【エ】ドメイン名の登録申請を受け付ける機関(レジストラ)の組織名
出典:平成27年度 春期 情報セキュリティスペシャリスト試験 午前Ⅱ 問題 問1
答えと解説
答え 【ア】
EV SSLとは
EV SSLとは、Extended Validation SSLを省略した呼び方で、拡張検証を行ったSSLという意味になります。
SSL証明書の手続きには、発行時にメールやファイルアップロードにより該当サイトなどの所有者を認証します。 この認証プロセスをより厳格な審査にして発行されるSSLサーバ証明書がEV SSL証明書になります。
EV SSL証明書を採用している場合、存在するサブジェクトフィールドのOrganization NameにWebサイトの運営団体の組織名が記載されます。
もっと知識を広げるための参考
平成27年春 問2 IEEE 802.1X―情報セキュリティスペシャリスト試験(SC)午前Ⅱ
IEEE 802.1Xで使われるEAP-TLSによって実現される認証はどれか。
【ア】CHAPを用いたチャレンジレスポンスによる利用者認証
【イ】あらかじめ登録した共通鍵によるサーバ認証と、時刻同期のワンタイムパスワードによる利用者認証
【ウ】ディジタル証明書による認証サーバとクライアントの相互認証
【エ】利用者IDとパスワードによる利用者認証
出典:平成27年度 春期 情報セキュリティスペシャリスト試験 午前Ⅱ 問題 問2
答えと解説
答え 【ウ】
IEEE 802.1Xで使われるEAP-TLSとは
IEEE 802.1Xで使われるEAP-TLSとは、Extensible Authentication Protocol-Transport Layer Securityを省略した呼び方で、認証プロトコルの一つです。
IEEE 802.1Xで使われるEAP-TLSは、認証のための通信を暗号化するためにTLSを利用して、ディジタル証明書による認証サーバとクライアントの相互認証を行います。
IEEE 802.1Xとは
IEEE 802.1Xとは、IEEEによって策定されたネットワーク環境でユーザ認証を行うt目の規格です。
もともとは有線LAN向けの仕様として策定が進められましたが、その後EAPとして実装され、 現在では無線LAN(IEEE 802.11X)環境での認証システムの標準仕様として広く利用されています。
ちなみに、IEEEは「あいとりぷるいー」といいまして、Institute of Electrical and Electronics Enginieersを省略したものです。 つまり、アメリカ合衆国の電気電子技術者協会のことを表します。
EAPとは
EAPとは、PPP Extensible Authentication Protocol(PPP拡張認証プロトコル)のことで、PPPの認証機能を強化・拡張したユーザ認証プロトコルです。
EAPは、IEEE802.1X規格を実装した標準的な認証プロトコルとなっていて、無線LAN環境のセキュリティを強化する技術として服うしています。
その他に有線LANでもクライアントの正当性や安全性を認証する技術として普及しています。
PPPとは
PPPとは、Pointo to Point Protocolを省略したいい方で、二つのノード間で通信するための物理層/データリンク層のプロトコルです。
ダイアルアップ接続やシリアル回線接続など、特定の二つのノードが1対1で直接接続されている通信回線で、 ユーザ認証や使用するプロトコル、アドレス、圧縮やエラー訂正方法などをネゴシエートし、さまざまなプロトコルを使ったデータ転送を可能にします。
もっと知識を深めるための参考
-
無線LAN
無線LANとはどのようなものか、無線LANの認定規格の1つのWI-FI(無線LANのアダプタのブランド名)中心に11ad、11axなどのIEEEの規格、セキュリティについてまとめています。
-
認証プロトコル
dnssecとは?SMTP-AUTH認証とは?など、なりすましによる不正接続、サービスの不正利用を防ぐ認証プロトコルについてまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
ネットワーク
通信プロトコル、osi基本参照モデル7階層の覚え方などネットワーク関連の知識をまとめています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成27年春 問3 RLO―情報セキュリティスペシャリスト試験(SC)午前Ⅱ
RLO(Right-to-Left Override)を利用した手口の説明はどれか。
【ア】“コンピュータウイルスに感染している”といった偽の警告を出して利用者を脅し、ウイルス対策ソフトの購入などを迫る。
【イ】脆弱性があるホストやシステムをあえて公開し、攻撃の内容を観察する。
【ウ】ネットワーク機器のMIB情報のうち監視項目の値の変化を感知し、セキュリティに関するイベントをSNMPマネージャに通知するように動作させる。
【エ】文字の表示順序を変える制御文字を利用し、ファイル名の拡張子を偽装する。
出典:平成27年度 春期 情報セキュリティスペシャリスト試験 午前Ⅱ 問題 問3
答えと解説
答え 【エ】
RLOを利用した手口とは
RLOを利用した手口は、文字の表示順序を変える制御文字を利用し、ファイル名の拡張子を偽装します。
RLOとは
RLOとは、Right-to-Left Overrideを省略した呼び方で、Unicodeの制御文字のことをいいます。
RLO制御文字がある場合、文字列は右から左へ表示されます。RLO制御文字がない場合、文字列は左から右へ表示されます。
Unicodeは世界の言語を一つの文字コードであらわせるようにしたものです。そのため、アラビア語などのように右から左へ表示する言語にも対応できるようにRLOという制御文字が用意されています。
これにより、安全そうに見えるファイル名に偽装したファイルを添付したウイルスメールを送りつけ、開封させることができてしまいます。
もっと知識を深めるための参考
-
標的型攻撃
標的型攻撃とは、特定の組織や団体などをターゲットとして、その取引先や関係者、公的機関などをだましてマルウェアや不正なリンクが埋め込まれたメールを送信することで相手をだまし、情報を盗もうとする攻撃です。
-
攻撃手法
情報システムへの外部からの不正な行為や手法など、サイバー攻撃の種類と対策知識をまとめています。 またサイバー攻撃の被害額、被害件数、被害事例をまとめた公共機関の資料のリンクもまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成27年春 問4 VA(Validation Authority)―情報セキュリティスペシャリスト試験(SC)午前Ⅱ
VA(Validation Authority)の役割はどれか。
【ア】ディジタル証明書の失効状態についての問合せに応答する。
【イ】ディジタル証明書を作成するためにディジタル署名する。
【ウ】認証局に代わって属性証明書を発行する。
【エ】本人確認を行い、ディジタル証明書の発行を指示する。
出典:平成27年度 春期 情報セキュリティスペシャリスト試験 午前Ⅱ 問題 問4
答えと解説
答え 【ア】
VAとは
VAとは、Validation Authorityを省略した呼び方で、証明書有効性検証局のことをいいます。
VAは、証明書の廃棄申請を受け付けて、有効期限内に失効した証明書の失効リスト(CRL)を発行します。
VAの役割とは
VAは、次のような役割を担っているシステムや期間となります。
- ディジタル証明書の失効情報の集中管理
- CAの公開鍵で署名を検証
- ディジタル証明書内に記載された有効期限の確認
- CRLの確認
もっと知識を広げるための参考
平成27年春 問5 サイドチャネル攻撃―情報セキュリティスペシャリスト試験(SC)午前Ⅱ
サイドチャネル攻撃の説明はどれか。
【ア】暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量(処理時間や消費電流など)やエラーメッセージから、攻撃対象の機密情報を得る。
【イ】企業などの機密情報を詐取するソーシャルエンジニアリングの手法の一つであり、不用意に捨てられた機密情報の印刷物をオフィスの紙ゴミから探し出す。
【ウ】通信を行う2者間に割り込んで、両者が交換する情報を自分のものとすり替えることによって、気付かれることなく盗聴する。
【エ】データベースを利用するWebサイトに入力パラメタとしてSQL文の断片を与えることによって、データベースを改ざんする。
出典:平成27年度 春期 情報セキュリティスペシャリスト試験 午前Ⅱ 問題 問5
答えと解説
答え 【ア】
サイドチャネル攻撃とは
サイドチャネル攻撃とは、正規でない入出力経路から、内部動作に応じて変化する電流や電圧、電磁波、処理時間など、観測できるあらゆる情報を使って、 暗号LSIの内部のデータを読み取ろうとする攻撃のことをいいます。
暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量(処理時間や消費電流など)やエラーメッセージから、攻撃対象の機密情報を得えます。
非破壊攻撃とも呼ばれる
サイドチャネル攻撃は、非破壊攻撃ともよばれ、ICチップを破壊することなく、外部から観測可能な情報や、外部から操作可能な手段を利用して情報を奪取します。
攻撃を実施する際のコストは低く済みますが、破壊攻撃と比べて情報奪取までに時間がかかります。
代表的なサイバーチャネル攻撃には、DPA、SPA、グリッチ、光照射、タイミング攻撃があります。
DPA
DPAは、Differential Power Analysisを省略した呼び方で、多数の消費電流波形を統計処理して暗号鍵を推定する手法です。
SPA
SPAは、Simple Power Analysisを省略した呼び方で、ICチップへの消費電流波形を比較・解析して暗号鍵を推定する手法です。
グリッチ
グリッチは、glitchと記述し、一時的にクロック周波数を変化させるなどしてフリップフロップの入力をサンプリングしたり、 フリップフロップの誤動作を引き起こしたり、正常動作時の出力との違いから暗号鍵を推定したりする手法です。
光照射
光照射は、レーザ光やカメラのフラッシュ光をICチップに照射してICチップの機能を阻害する手法です。
タイミング攻撃
タイミング攻撃は、暗号化や復号に要する時間の差異を精密に測定することにより、用いられている鍵を推測する方法です。
もっと知識を深めるための参考
-
サイドチャネル攻撃
サイドチャネル攻撃とは、主にICチップなどに対して行う攻撃で、正規でない入出力経路から、内部動作に応じて変化する電流や電圧、電磁波、処理時間など、観測できるあらゆる情報を使って、 暗号LSIの内部のデータを読み取ろうとする攻撃のことをいいます。
-
攻撃手法
情報システムへの外部からの不正な行為や手法など、サイバー攻撃の種類と対策方法についてまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成27年春 問6 CRL―情報セキュリティスペシャリスト試験(SC)午前Ⅱ
X.509におけるCRL(Certificate Revocation List)についての説明のうち、適切なものはどれか。
【ア】PKIの利用者は、認証局の公開鍵がブラウザに組み込まれていれば、CRLを参照しなくてもよい。
【イ】認証局は、発行した全てのディジタル証明書の有効期限をCRLに登録する。
【ウ】認証局は、発行したディジタル証明書のうち、失効したものは、失効後1年間CRLに登録するよう義務付けられている。
【エ】認証局は、有効期限内のディジタル証明書をCRLに登録することがある。
出典:平成27年度 春期 情報セキュリティスペシャリスト試験 午前Ⅱ 問題 問6
答えと解説
答え 【エ】
X.509とは
X.509は、ITU-Tが1988年に勧告したディジタル証明書およびCRLの標準仕様でISO/IEC9594-8として国際規格化されています。
CRLとは
CRLとは、Certificate Revocation Listを省略した呼び方で証明書失効リストのことをいいます。
CRLは、ディジタル証明書の悪用やご発行などの不測事態が発生したことによって有効期限内に失効させる必要が生じたディジタル証明書が登録されたリストです。
CRLは、申請者からの証明書廃棄申請を受けて検証期間もしくは認証局が発行し、公開します。
もっと知識を広げるための参考
平成27年春 問7 CVE―情報セキュリティスペシャリスト試験(SC)午前Ⅱ
JVN(Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCVE(Common Vulnerabilities and Exposures)識別子の説明はどれか。
【ア】コンピュータで必要なセキュリティ設定項目を識別するための識別子である。
【イ】脆弱性を利用して改ざんされたWebサイトのスクリーンショットを識別するための識別子である。
【ウ】製品に含まれる脆弱性を識別するための識別子である。
【エ】セキュリティ製品を識別するための識別子である。
出典:平成27年度 春期 情報セキュリティスペシャリスト試験 午前Ⅱ 問題 問7
答えと解説
答え 【ウ】
CVEとは
CVEとは、Common Vulnerabilities and Exposuresを省略したもので、製品に含まれる脆弱性を識別するための識別子です。
もっと知識を深めるための参考
平成27年春 問8 CRYPTREC―情報セキュリティスペシャリスト試験(SC)午前Ⅱ
総務省及び経済産業省が策定した“電子政府における調達のために参照すべき暗号のリスト(CRYPTREC 暗号リスト)”を構成する暗号リストの説明のうち、適切なものはどれか。
【ア】推奨候補暗号リストとは、CRYPTRECによって安全性及び実装性能が確認された暗号技術のうち、市場における利用実績が十分であるか今後の普及が見込まれると判断され、当該技術の利用を推奨するもののリストである。
【イ】推奨候補暗号リストとは、候補段階に格下げされ、互換性維持目的で利用する暗号技術のリストである。
【ウ】電子政府推奨暗号リストとは、CRYPTRECによって安全性及び実装性能が確認された暗号技術のうち、市場における利用実績が十分であるか今後の普及が見込まれると判断され、当該技術の利用を推奨するもののリストである。
【エ】電子政府推奨暗号リストとは、推奨段階に格下げされ、互換性維持目的で利用する暗号技術のリストである。
出典:平成27年度 春期 情報セキュリティスペシャリスト試験 午前Ⅱ 問題 問8
答えと解説
答え 【ウ】
CRYPTRECとは
CRYPTRECとは、Cryptography Research and Evaluation Committeesを省略したもので、 電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討するプロジェクトのことをいいます。
電子政府における調達のために参照すべき暗号のリスト(CRYPTREC)
総務省及び経済産業省は、CRYPTRECの活動を通して電子政府で利用される暗号技術の評価を行っており、2013年3月に 「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」 を策定いたしました。
そのドキュメントの冒頭には以下のように記述されています。
「暗号技術検討会及び関連委員会(以下、「CRYPTREC」という。)により安全性及び実装性能が確認された暗号技術について、 市場における利用実績が十分であるか今後の普及が見込まれると判断され、当該技術の利用を推奨するもののリスト。」
出所)http://www.cryptrec.go.jp/images/cryptrec_ciphers_list_2016.pdf
【ウ】記述そのものです。
もっと知識を深めるための参考
-
CRYPTREC
CRYPTRECは、読み方は「くりぷとれっく」、日本の暗号技術評価プロジェクトです。CRYPTRECについてまとめています。
-
情報セキュリティ組織・機関
不正アクセスによる被害受付の対応、再発防止のための提言、セキュリティに関する啓発活動などを行うセキュリティ機関があります。 jvn、cryptrec暗号リスト、サイバー情報共有イニシアティブなど情報セキュリティ組織・機関についてまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成27年春 問9 IPsec―情報セキュリティスペシャリスト試験(SC)午前Ⅱ
IPsecに関する記述のうち、適切なものはどれか。
【ア】IKEはIPsecの鍵交換のためのプロトコルであり、ポート番号80が使用される。
【イ】暗号化アルゴリズムとして、HMAC-SHA1が使用される。
【ウ】トンネルモードを使用すると、エンドツーエンドの通信で用いるIPのヘッダまで含めて暗号化される。
【エ】ホストAとホストBとの間でIPsecによる通信を行う場合、認証や暗号化アルゴリズムを両者で決めるためにESPヘッダでなくAHヘッダを使用する。
出典:平成27年度 春期 情報セキュリティスペシャリスト試験 午前Ⅱ 問題 問9
答えと解説
答え 【ウ】
IPsecとは
IPsecとは、IP Security Protocolの略で、パケットをIP層(OSI参照モデルではネットワーク層)で暗号化するプロトコルです。
トンネルモードを使用すると、エンドツーエンドの通信で用いるIPのヘッダまで含めて暗号化されます。
もっと知識を広げるための参考
平成27年春 問10 NTP増幅型のDDoS攻撃―情報セキュリティスペシャリスト試験(SC)午前Ⅱ
NTPを使った増幅型のDDoS攻撃に対して、NTPサーバが踏み台にされることを防止する対策として、適切なものはどれか。
【ア】NTPサーバの設定変更によって、NTPサーバの状態確認機能(monlist)を無効にする。
【イ】NTPサーバの設定変更によって、自ネットワーク外のNTPサーバへの時刻問合せができないようにする。
【ウ】ファイアウォールの設定変更によって、NTPサーバが存在する自ネットワークのブロードキャストアドレス宛てのパケットを拒否する。
【エ】ファイアウォールの設定変更によって、自ネットワーク外からの、NTP以外のUDPサービスへのアクセスを拒否する。
出典:平成27年度 春期 情報セキュリティスペシャリスト試験 午前Ⅱ 問題 問10
答えと解説
答え 【ア】
NTP増幅型のDDoS攻撃
NTP増幅型のDDoS攻撃は、攻撃者が踏み台となるNTPサーバに対して、 発信元を偽装して問合せを行い、偽装された問合せ元に結果が送られる仕組みを利用したDDoS攻撃です。
問合せに対し、結果のサイズが大きいほど、増幅率が大きくなり威力のある攻撃になり、悪用されるコマンドを無効にするなどの対策が有効です。
特にNTPサーバが過去にやり取りした600件のアドレスを回答する「monlist」コマンドは、増幅率が数十倍から数百倍にまで高まります。
本攻撃が行われるようになってからリリースされたNTPサーバのプログラムでは、「monlist」コマンドを脆弱であるとして無効になっています。
平成27年春 問11 ダークネット―情報セキュリティスペシャリスト試験(SC)午前Ⅱ
マルウェアの活動傾向などを把握するための観測用センサが配備されるダークネットはどれか。
【ア】インターネット上で到達可能、かつ、未使用のIPアドレス空間
【イ】組織に割り当てられているIPアドレスのうち、コンピュータで使用されているIPアドレス空間
【ウ】通信事業者が他の通信事業者などに貸し出す光ファイバ設備
【エ】マルウェアに狙われた制御システムのネットワーク
出典:平成27年度 春期 情報セキュリティスペシャリスト試験 午前Ⅱ 問題 問11
答えと解説
答え 【ア】
ダークネットとは
ダークネットとは、インターネットで到達可能なIPアドレスで、使われていないIPアドレスのことをいいます。
もっと知識を広げるための参考
平成27年春 問12 rootkit―情報セキュリティスペシャリスト試験(SC)午前Ⅱ
rootkitに含まれる機能はどれか。
【ア】OSの中核であるカーネル部分の脆弱性を分析する。
【イ】コンピュータがウイルスやワームに感染していないことをチェックする。
【ウ】コンピュータやルータのアクセス可能な通信ポートを外部から調査する。
【エ】不正侵入してOSなどに組み込んだものを隠蔽する。
出典:平成27年度 春期 情報セキュリティスペシャリスト試験 午前Ⅱ 問題 問12
答えと解説
答え 【エ】
rootkitとは
rootkitとは、侵入に成功した攻撃者が、その後の不正な活動を行いやすくするために、 自信の存在を隠蔽することを目的として使用するソフトウェアなどをまとめたパッケージをいいます。
もっと知識を深めるための参考
-
マルウェア・不正プログラム
マルウェア・不正プログラムとはどのようなものかをテーマに、マルウェアの挙動やランサムウェア、ボット、mirai、pentyaなどの種類についてまとめています。
-
脅威
情報セキュリティを考えるうえで、まずは、どのような脅威があるか理解しておく必要があります。 脅威の種類、マルウェアとコンピュータウイルスの種類を見ていきます。またPCやスマホの感染時の駆除方法も補足していきます。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成27年春 問13 ベイジアンフィルタリング―情報セキュリティスペシャリスト試験(SC)午前Ⅱ
迷惑メールの検知手法であるベイジアンフィルタリングの説明はどれか。
【ア】信頼できるメール送信元を許可リストに登録しておき、許可リストにないメール送信元からの電子メールは迷惑メールと判定する。
【イ】電子メールが正規のメールサーバから送信されていることを検証し、迷惑メールであるかどうかを判定する。
【ウ】電子メールの第三者中継を許可しているメールサーバを登録したデータベースに掲載されている情報を基に、迷惑メールであるかどうかを判定する。
【エ】利用者が振り分けた迷惑メールから特徴を学習し、迷惑メールであるかどうかを統計的に解析する。
出典:平成27年度 春期 情報セキュリティスペシャリスト試験 午前Ⅱ 問題 問13
答えと解説
答え 【エ】
ベイジアンフィルタリングとは
ベイジアンフィルタリングとは、利用者が振り分けた迷惑メールから特徴を学習し、迷惑メールであるかどうかを統計的に解析して判定する、迷惑メール検知手法のことをいいます。
もっと知識を広げるための参考
平成27年春 問14 DNSSEC―情報セキュリティスペシャリスト試験(SC)午前Ⅱ
DNSSECで実現できることはどれか。
【ア】DNSキャッシュサーバからの応答中のリソースレコードが、権威DNSサーバで管理されているものであり、改ざんされていないことの検証
【イ】権威DNSサーバとDNSキャッシュサーバとの通信を暗号化することによる、ゾーン情報の漏えいの防止
【ウ】長音“ー”と漢数字“一”などの似た文字をドメイン名に用いて、正規サイトのように見せかける攻撃の防止
【エ】利用者のURLの打ち間違いを悪用して、偽サイトに誘導する攻撃の検知
出典:平成27年度 春期 情報セキュリティスペシャリスト試験 午前Ⅱ 問題 問14
答えと解説
答え 【ア】
DNSSEC
DNSSECとは、DNS Security Extentionsの略で、DNSのセキュリティ拡張方式です。 DNSキャッシュポイズニング攻撃への対策となります。
DNSのセキュリティ拡張機能
DNSSECは、DNSサーバーから送られてくるIPアドレスとホスト名の対応情報の信頼性を証明するセキュリティ拡張機能です。
DNSSECは、名前解決要求に対して応答を返すDNSサーバが、自信の秘密鍵を用いて応答レコードにディジタル署名を付加して送信します。 応答を受け取った側は、応答を返したDNSサーバの公開鍵を用いてディジタル署名を検証することで、応答レコードの正当性、完全性を確認します。
DNSキャッシュポイズニング攻撃への対策
DNSSECには、DNSキャッシュポイズニングなどのDNS応答のなりすまし攻撃を防ぐ、DNSキャッシュサーバからの応答中のリソースレコードが、権威DNSサーバで管理されているものであり、改ざんされていないことの検証する機能があります。
もっと知識を広げるための参考
平成27年春 問15 DNS amp―情報セキュリティスペシャリスト試験(SC)午前Ⅱ
DNSの再帰的な問合せを使ったサービス不能攻撃(DNS amp)の踏み台にされることを防止する対策はどれか。
【ア】キャッシュサーバとコンテンツサーバに分離し、インターネット側からキャッシュサーバに問合せできないようにする。
【イ】問合せされたドメインに関する情報をWhoisデータベースで確認する。
【ウ】一つのDNSレコードに複数のサーバのIPアドレスを割り当て、サーバへのアクセスを振り分けて分散させるように設定する。
【エ】他のDNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性をディジタル署名で確認するように設定する。
出典:平成27年度 春期 情報セキュリティスペシャリスト試験 午前Ⅱ 問題 問15
答えと解説
答え 【ア】
DNS ampとは
DNS ampとは、DNSサーバのキャッシュ機能を悪用するDDoS攻撃の1つです。
DNS ampを行うには、DNSサーバのキャッシュ機能をインターネットから利用できることが条件となりますので、 対策としては、キャッシュサーバとコンテンツサーバに分離し、インターネット側からキャッシュサーバに問合せできないようにします。
平成27年春 問16 AMTP-AUTH―情報セキュリティスペシャリスト試験(SC)午前Ⅱ
SMTP-AUTHの特徴はどれか。
【ア】ISP管理下の動的IPアドレスからの電子メール送信について、管理外ネットワークのメールサーバへSMTP接続を禁止する。
【イ】PCからメールサーバへの電子メール送信時に、ユーザアカウントとパスワードによる利用者認証を行う。
【ウ】PCからメールサーバへの電子メール送信は、POP接続で利用者認証済の場合にだけ許可する。
【エ】電子メール送信元のサーバが、送信元ドメインのDNSに登録されていることを確認して、電子メールを受信する。
出典:平成27年度 春期 情報セキュリティスペシャリスト試験 午前Ⅱ 問題 問16
答えと解説
答え 【イ】
SMTP-AUTH
SMTP-AUTHとは、PCからメールサーバへの電子メール送信時に、ユーザアカウントとパスワードによる利用者認証を行う認証方法のことをいいます。
もっと知識を広げるための参考
平成27年春 問17 SQLインジェクション対策―情報セキュリティスペシャリスト試験(SC)午前Ⅱ
SQLインジェクション対策について、Webアプリケーションの実装における対策とWebアプリケーションの実装以外の対策として、ともに適切なものはどれか。
| Webアプリケーションの実装における対策 | Webアプリケーションの実装以外の対策 | |
|---|---|---|
| 【ア】 | Webアプリケーション中でシェルを起動しない。 | chroot環境でWebサーバを実行する。 |
| 【イ】 | セッションIDを乱数で生成する。 | TLSによって通信内容を秘匿する。 |
| 【ウ】 | パス名やファイル名をパラメタとして受け取らないようにする。 | 重要なファイルを公開領域に置かない。 |
| 【エ】 | プレースホルダを利用する。 | データベースのアカウントがもつデータベースアクセス権限を必要最小限にする。 |
出典:平成27年度 春期 情報セキュリティスペシャリスト試験 午前Ⅱ 問題 問17
答えと解説
答え 【イ】
SQLインジェクションとは
SQLインジェクションとは、Webページ上の入力フォームなどパラメータとして送信される文字列から生成されたSQL文を不正なものにするようにパラメータを変更して、 Webアプリケーションを誤動作させたり、データベースの内容を不正に閲覧したりする攻撃のことをいいます。
SQLインジェクション攻撃の被害を防ぐ、最小限にする対策としては、プレースホルダを利用する、データベースのアカウントがもつデータベースアクセス権限を必要最小限にする、などの方法があります。
もっと知識を深めるための参考
-
SQLインジェクション
SQLインジェクションは、アプリケーションのSQL文生成処理の不備を突いたサイバー攻撃です。 SQLインジェクションのメカニズム、攻撃例、対策、IPA情報処理試験の問題など、SQLインジェクションについての情報をまとめています。
-
攻撃手法
情報システムへの外部からの不正な行為や手法など、サイバー攻撃の種類と対策方法についてまとめています。
-
セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成27年春 問18 TCPヘッダ―情報セキュリティスペシャリスト試験(SC)午前Ⅱ
TCPヘッダに含まれる情報はどれか。
【ア】宛先ポート番号
【イ】発信元IPアドレス
【ウ】パケット生存時間(TTL)
【エ】プロトコル番号
出典:平成27年度 春期 情報セキュリティスペシャリスト試験 午前Ⅱ 問題 問18
答えと解説
答え 【ア】
TCPヘッダに含まれる情報
TCPヘッダには、ホスト内の通信相手を特定するための送信元ポート番号や宛先ポート番号などの情報が含まれます。
もっと知識を深めるための参考
-
トランスポート層のプロトコル
TCPとUDPの役割、機能、使い分けなどトランスポート層のプロトコルについてまとめています。
-
ネットワーク
通信プロトコル、osi基本参照モデル7階層の覚え方などネットワーク関連の知識をまとめています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成27年春 問19 サブネットマスク―情報セキュリティスペシャリスト試験(SC)午前Ⅱ
192.168.1.0/24のネットワークアドレスを、16個のサブネットに分割したときのサブネットマスクはどれか。
【ア】255.255.255.192
【イ】255.255.255.224
【ウ】255.255.255.240
【エ】255.255.255.248
出典:平成27年度 春期 情報セキュリティスペシャリスト試験 午前Ⅱ 問題 問19
答えと解説
答え 【ウ】
サブネットマスクとは
サブネットマスクとは、IPv4のIPアドレスからサブネットとホストのアドレス情報の区切りなどを識別するための値です。
サブネットマスクの3つの意味
サブネットマスクの意味をまとめると以下になります。
- 先頭1部分でサブネットの個数を表す
- 後半0部分で1つのサブネットのホストの最大個数を表す
- IPv4のIPアドレスのビット列とのAND演算でネットワークアドレスが算出できる
サブネットマスクの例
例えば、1つのサブネットに254個のホストをグルーピングするサブネットマスクの値は、 255.255.255.0(11111111 11111111 11111111 00000000)となります。
サブネットマスクは、32ビットの内、サブネット部分のビットを1、残りを0にして表します。
サブネットを更に分割する計算
問題のように192.168.1.0/24(192.168.1.0~192.168.1.255)のサブネットをさらにいくつかのサブネットに分割してみようとする際を前提に計算例を見ていきます。
192.168.1.0~192.168.1.255のサブネットを2分割する
192.168.1.0~192.168.1.255のサブネットを2分割する場合は、255.255.255.128(11111111 11111111 11111111 10000000)がサブネットマスクになります。
192.168.1.0~192.168.1.255のサブネットを4分割する
192.168.1.0~192.168.1.255のサブネットを4分割する場合は、255.255.255.192(11111111 11111111 11111111 11000000)がサブネットマスクになります。
192.168.1.0~192.168.1.255のサブネットを8分割する
192.168.1.0~192.168.1.255のサブネットを8分割する場合は、255.255.255.224(11111111 11111111 11111111 11100000)がサブネットマスクになります。
192.168.1.0~192.168.1.255のサブネットを16分割する
192.168.1.0~192.168.1.255のサブネットを16分割する場合は、255.255.255.240(11111111 11111111 11111111 11110000)がサブネットマスクになります。
192.168.1.0~192.168.1.255のサブネットを32分割する
192.168.1.0~192.168.1.255のサブネットを32分割する場合は、255.255.255.248(11111111 11111111 11111111 11111000)がサブネットマスクになります。
192.168.1.0~192.168.1.255のサブネットを64分割する
192.168.1.0~192.168.1.255のサブネットを64分割する場合は、255.255.255.252(11111111 11111111 11111111 11111100)がサブネットマスクになります。
192.168.1.0~192.168.1.255のサブネットを128分割する
ホスト数が2になってしまい、ネットワークアドレス(0)とブロードキャストアドレス(1)など、ネットワークが作れないので192.168.1.0~192.168.1.255のサブネットを128分割することはできません。
もっと知識を深めるための参考
-
サブネットマスク
サブネットマスク(subnet mask)は、32ビットのIPアドレスの内、どこまでがサブネットワークのアドレスかを示す値です。サブネットマスクとは何かとサブネットマスクの計算方法についてまとめています。
-
ネットワーク層のプロトコル
サブネットマスクとは何かや計算方法、ブロードキャストアドレスへICMP(Pingコマンド)を実行するとどうなる?などの話題も含めて、ネットワーク層のプロトコルについてまとめています。
-
ネットワーク
通信プロトコル、osi基本参照モデル7階層の覚え方などネットワーク関連の知識をまとめています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成27年春 問20 HTTPプロトコル―情報セキュリティスペシャリスト試験(SC)午前Ⅱ
HTTPのヘッダ部で指定するものはどれか。
【ア】HTMLバージョン情報(DOCTYPE宣言)
【イ】POSTリクエストのエンティティボディ(POSTデータ)
【ウ】WebサーバとWebブラウザ間の状態を管理するクッキー(Cookie)
【エ】Webページのタイトル(<TITLE>タグ)
出典:平成27年度 春期 情報セキュリティスペシャリスト試験 午前Ⅱ 問題 問20
答えと解説
答え 【ウ】
HTTPプロトコルの構成
HTTPプロトコルは、ヘッダ部とボディ部で構成されます。
ヘッダ部には、WebサーバとWebブラウザ間の状態を管理するクッキー(Cookie)などの情報、ボディ部にはPOSTリクエストのエンティティボディ(POSTデータ)やHTMLなどデータの内容が設定されます。
もっと知識を広げるための参考
-
アプリケーション層のプロトコル
HTTP、SMTP、POP、FTP、DNS などの役割、機能、IMAPとPOPの違いなどアプリケーション層のプロトコルについてまとめています。
-
ネットワーク
通信プロトコル、osi基本参照モデル7階層の覚え方などネットワーク関連の知識をまとめています。
-
テクノロジ系
テクノロジ系の分野のサイトオリジナル教科書です。テクノロジ系の各分野の解説と情報処理の過去問をマッピングしています。
平成27年春 問21 2相コミット―情報セキュリティスペシャリスト試験(SC)午前Ⅱ
分散トランザクション処理で利用される2相コミットプロトコルでは、コミット処理を開始する調停者(coordinator)と、調停者からの指示を受信してから必要なアクションを開始する参加者(participant)がいる。 この2相コミットプロトコルに関する記述のうち、適切なものはどれか。
【ア】参加者は、フェーズ1で調停者にコミット了承の応答を返してしまえば、フェーズ2のコミット要求を受信しなくても、ローカルにコミット処理が進められる。
【イ】調停者に障害が発生するタイミングによっては、その回復処理が終わらない限り、参加者全員がコミットもロールバックも行えない事態が起こる。
【ウ】一つの分散トランザクションに複数の調停者及び参加者が存在し得る。例えば、5個のシステム(プログラム)が関与している場合、調停者数が2、参加者の数が3となり得る。
【エ】フェーズ1で返答のない参加者が存在しても、調停者は強制的にそのトランザクションをコミットすることができる。
出典:平成27年度 春期 情報セキュリティスペシャリスト試験 午前Ⅱ 問題 問21
答えと解説
答え 【イ】
2相コミットとは
2相コミットとは、分散データベースシステムの整合性を保つための方式です。
1つのトランザクションが複数の更新を行う場合は、全てのコミット応答を確認しなければ、全体にコミット指示を出さない仕組みになっています。
調停者に障害が発生するタイミングによっては、その回復処理が終わらない限り、参加者全員がコミットもロールバックも行えない事態が起こります。
もっと知識を深めるための参考
平成27年春 問22 システム要件の評価―情報セキュリティスペシャリスト試験(SC)午前Ⅱ
共通フレームによれば、システム要件の評価タスクにおいて見極めることはどれか。
【ア】システム要件とシステム方式との間に一貫性があるかどうか。
【イ】システム要件とシステム方式との関連が追跡できるかどうか。
【ウ】システム要件を満たすシステム方式設計が実現可能かどうか。
【エ】ソフトウェア品目が割り当てられたシステム要件を満たすかどうか。
出典:平成27年度 春期 情報セキュリティスペシャリスト試験 午前Ⅱ 問題 問22
答えと解説
答え 【ウ】
共通フレーム2013によるシステム要件の評価タスクにおいて見極めること
共通フレーム2013によるシステム要件の評価タスクにおいて見極めることは以下になります。
- a)取得ニーズの追跡可能性
- b)取得ニーズとの一貫性
- c)テスト可能性
- d)システム方式設計の実現可能性
- e)運用及び保守の実現可能性
もっと知識を深めるための参考
平成27年春 問23 マッシュアップの例―情報セキュリティスペシャリスト試験(SC)午前Ⅱ
マッシュアップを利用してWebコンテンツを表示している例として、最も適切なものはどれか。
【ア】Webブラウザにプラグインを組み込み、動画やアニメーションを表示する。
【イ】地図上のカーソル移動に伴い、Webページを切り替えずにスクロール表示する。
【ウ】鉄道経路の探索結果上に、各鉄道会社のWebページへのリンクを表示する。
【エ】店舗案内のWebページ上に、他のサイトが提供する地図探索機能を利用して出力された情報を表示する。
出典:平成27年度 春期 情報セキュリティスペシャリスト試験 午前Ⅱ 問題 問23
答えと解説
答え 【エ】
マッシュアップ
マッシュアップとは、複数の提供元によるAPIを組み合わせることで、新しいサービスを構築する手法です。
マッシュアップの意味
マッシュアップとは、英語でMashupと記述します。 もともとは音楽で使われる用語で二つの楽曲の要素を取り出して組み合わせ一つの新しい楽曲を作り上げるリミックス手法のことをいいます。 これが転じてITの分野では複数のWebサービスのAPIを組み合わせて、一つのWebサービスのように機能させることをマッシュアップと呼ぶようになりました。
マッシュアップの例
マッシュアップの例としては以下のようなものがあげられます。
- 複数のニュースサイトの情報を当該サイトで取り扱うデータでフィルタリングして提供する。
- 店舗案内のWebページ上に、他のサイトが提供する地図探索機能を利用して出力された情報を表示する。
もっと知識を深めるための参考
平成27年春 問24 コールドアイル―情報セキュリティスペシャリスト試験(SC)午前Ⅱ
データセンタにおけるコールドアイルの説明として、適切なものはどれか。
【ア】IT機器の冷却を妨げる熱気をラックの前面(吸気面)に回り込ませないための板であり、IT機器がマウントされていないラックの空き部分に取り付ける。
【イ】寒冷な外気をデータセンタ内に直接導入してIT機器を冷却するときの、データセンタへの外気の吸い込み口である。
【ウ】空調機からの冷気とIT機器からの熱排気を分離するために、ラックの前面(吸気面)同士を対向配置したときの、ラックの前面同士に挟まれた冷気の通る部分である。
【エ】発熱量が多い特定の領域に対して、全体空調とは別に個別空調装置を設置するときの、個別空調用の冷媒を通すパイプである。
出典:平成27年度 春期 情報セキュリティスペシャリスト試験 午前Ⅱ 問題 問24
答えと解説
答え 【ウ】
コールドアイルとは
コールドアイルとは、空調機からの冷気とIT機器からの熱排気を分離するために、ラックの前面(吸気面)同士を対向配置したときの、ラックの前面同士に挟まれた冷気の通る部分のことをいいます。
もっと知識を深めるための参考
-
サービスマネジメント
サービスマネジメントをテーマに、入門知識をまとめています。 サービスマネジメントの目的と考え方、サービスマネジメントシステムの確立及び改善、ITIL、代表的なSLA項目やサービスカタログなどITサービスマネジメントについてまとめています。 サービスマネジメント関連の参考書積、情報処理試験の過去問もまとめています。
-
マネジメント系
マネジメント系の分野のサイトオリジナル教科書です。マネジメント系の各分野の解説と情報処理の過去問をマッピングしています。
平成27年春 問25 内部統制―情報セキュリティスペシャリスト試験(SC)午前Ⅱ
入出金管理システムから出力された入金データファイルを、売掛金管理システムが読み込んでマスタファイルを更新する。 入出金管理システムから売掛金管理システムへのデータ受渡しの正確性及び網羅性を確保するコントロールはどれか。
【ア】売掛金管理システムにおける入力データと出力結果とのランツーランコントロール
【イ】売掛金管理システムのマスタファイル更新におけるタイムスタンプ機能
【ウ】入金額及び入金データ件数のコントロールトータルのチェック
【エ】入出金管理システムへの入力のエディットバリデーションチェック
出典:平成27年度 春期 情報セキュリティスペシャリスト試験 午前Ⅱ 問題 問25
答えと解説
答え 【ウ】
コントロールトータルチェックとは
コントロールトータルチェックとは、入力されたデータの合計が出力データと合致しているか確認する機能のことをいいます。
販売システムに入力されたデータの出力を会計システムの入力に利用する場合などに適用します。
更新履歴
- 2018年06月11日 答えと解説の表示操作を変更したしました。