平成30年春の情報セキュリティマネジメント試験―公開問題と解説
トップ
各試験用の問題と解説
情報セキュリティマネジメント
平成30年春の情報セキュリティマネジメント試験
平成30年春の情報セキュリティマネジメント試験 午前の過去問と解説を掲載しています。
ご利用について
このページを表示した場合、答えと解説が、表示される設定になっています。 ページ全体の答えと解説の表示、非表示は以下で、個別は各問題のところのリンクで切り替えてください。
目次
このページの目次です。
- 問01 サイバーレスキュー隊(J-CRAT)
- 問02 リスクの回避
- 問03 リスク評価
- 問04 組織における内部不正防止ガイドライン(第4版)
- 問05 情報セキュリティ事象と情報セキュリティインシデントの関係
- 問07 情報システムの管理特権を利用した行為
- 問08 情報セキュリティマネジメントシステム―用語
- 問10 SPF(Sender Policy Framework)の仕組み
- 問11 UPSの導入によって期待できる情報セキュリティ対策としての効果
- 問12 WAFの説明
- 問14 セキュリティバイデザインの説明
- 問15 クラウドサービスのパスワードの管理方法
- 問16 ワームの検知方式
- 問17 セキュリティパッチの適用漏れ
- 問20 ドメイン名ハイジャックを可能にする手口
- 問21 ドライブバイダウンロード攻撃
- 問22 バイメトリクス認証
- 問23 マルウェアの動的解析
- 問24 メッセージから、ブロック暗号を用いて生成することができるもの
- 問25 リスクベース認証
- 問26 暗号アルゴリズムの危殆化
- 問27 ブルートフォース攻撃
- 問28 電子メールの本文を暗号化するために使用される方式
- 問30 認証局が果たす役割
- 問31 サイバーセキュリティ基本法の説明
- 問32 記憶内容を消去した者を処罰の対象とする法律
- 問33 個人情報の保護に関する法律
- 問45 PaaS型サービスモデルの特徴
- 問46 論理的な矛盾を生じさせないために用いる技法
- 問47 SMTPでメッセージが転送される過程で削除されるもの
- 問49 CSR調達
平成30年春 問01 サイバーレスキュー隊(J-CRAT)―情報セキュリティマネジメント試験 午前
サイバーレスキュー隊(J-CRAT)に関する記述として、適切なものはどれか。
【ア】サイバーセキュリティ基本法に基づき内閣官房に設置されている。
【イ】自社や顧客に関係した情報セキュリティインシデントに対応する企業内活動を担う。
【ウ】情報セキュリティマネジメントシステム適合性評価制度を運営する。
【エ】標的型サイバー攻撃の被害低減と攻撃連鎖の遮断を支援する活動を担う。
出典:平成30年度 春期 情報セキュリティマネジメント試験 午前 問題 問1
答えと解説
答え 【エ】
サイバーレスキュー隊(J-CRAT)
サイバーレスキュー隊(J-CRAT)は、標的型サーバー攻撃による被害の低減と拡大防止を目的としている活動です。 標的型サイバー攻撃の被害低減と攻撃連鎖の遮断を支援する活動を担います。
出典:サイバーレスキュー隊J-CRAT(ジェイ・クラート)https://www.ipa.go.jp/security/J-CRAT/
もっと知識を深めるための参考
-
情報セキュリティ組織・機関
不正アクセスによる被害受付の対応、再発防止のための提言、セキュリティに関する啓発活動などを行うセキュリティ機関があります。 jvn、cryptrec暗号リスト、サイバー情報共有イニシアティブなど情報セキュリティ組織・機関についてまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成30年春 問02 リスクの回避―情報セキュリティマネジメント試験 午前
リスク対応のうち、リスクの回避に該当するものはどれか。
【ア】リスクが顕在化する可能性を低減するために、情報システムのハードウェア構成を冗長化する。
【イ】リスクの顕在化に伴う被害からの復旧に掛かる費用を算定し、保険を掛ける。
【ウ】リスクレベルが大きいと評価した情報システムを用いるサービスの提供をやめる。
【エ】リスクレベルが小さいので特別な対応をとらないという意思決定をする。
出典:平成30年度 春期 情報セキュリティマネジメント試験 午前 問題 問2
答えと解説
答え 【ウ】
リスク回避の例
たとえば、「リスクレベルが大きいと評価した情報システムを用いるサービスの提供をやめる。」といった内容がリスク回避の例になります。
もっと知識を深めるための参考
平成30年春 問03 リスク評価―情報セキュリティマネジメント試験 午前
JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)におけるリスク評価についての説明として、適切なものはどれか。
【ア】対策を講じることによって、リスクを修正するプロセス
【イ】リスクとその大きさが需要可能か否かを決定するために、リスク分析の結果をリスク基準と比較するプロセス
【ウ】リスクの特質を理解し、リスクレベルを決定するプロセス
【エ】リスクの発見、認識及び記述を行うプロセス
出典:平成30年度 春期 情報セキュリティマネジメント試験 午前 問題 問3
答えと解説
答え 【イ】
リスク評価
リスク評価は、「リスクとその大きさが需要可能か否かを決定するために、リスク分析の結果をリスク基準と比較するプロセス」 とJIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)におけるリスク評価についての説明されています。
もっと知識を深めるための参考
平成30年春 問04 組織における内部不正防止ガイドライン(第4版)―情報セキュリティマネジメント試験 午前
退職する従業員による不正を防ぐための対策のうち、IPA“組織における内部不正防止ガイドライン(第4版)”に照らして、適切なものはどれか。
【ア】在職中に知り得た重要情報を退職後に公開しないように、退職予定者に提出させる秘密保持契約書には、 秘密保持の対象を明示せず、重要情報を客観的に特定できないようにしておく。
【イ】退職後、同業他社に転職して重要情報を漏らすということがないように、職業選択の自由を行使しないことを明記したうえで、 具体的な範囲を設定しない包括的な協業避止義務契約を入社時に締結する。
【ウ】退職者による重要情報の持出しなどの不正行為を調査できるように、従業員に付与した利用者IDや権限は退職後も有効にしておく。
【エ】退職間際に重要情報の不正な持出しが行われやすいので、退職予定者に対する重要情報へのアクセスや媒体の持出しの監視を強化する。
出典:平成30年度 春期 情報セキュリティマネジメント試験 午前 問題 問4
答えと解説
答え 【エ】
組織における内部不正防止ガイドライン
IPA“組織における内部不正防止ガイドライン(第4版)”に照らして、退職する従業員による不正を防ぐための対策としては 「退職間際に重要情報の不正な持出しが行われやすいので、退職予定者に対する重要情報へのアクセスや媒体の持出しの監視を強化する。」などがあります。
もっと知識を広げるための参考
平成30年春 問05 情報セキュリティ事象と情報セキュリティインシデントの関係―情報セキュリティマネジメント試験 午前
JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)及びJIS Q 27001:2014(情報セキュリティマネジメントシステム―要求事項)における 情報セキュリティ事象と情報セキュリティインシデントの関係のうち、適切なものはどれか。
【ア】情報セキュリティ事象と情報セキュリティインシデントは同じものである。
【イ】情報セキュリティ事象は情報セキュリティインシデントと無関係である。
【ウ】単独又は一連の情報セキュリティ事象は、情報セキュリティインシデントに分類される。
【エ】単独又は一連の情報セキュリティ事象は、全て情報セキュリティインシデントである。
出典:平成30年度 春期 情報セキュリティマネジメント試験 午前 問題 問5
答えと解説
答え 【ウ】
情報セキュリティ事象と情報セキュリティインシデントの関係
情報セキュリティ事象と情報セキュリティインシデントの関係は、単独又は一連の情報セキュリティ事象は、情報セキュリティインシデントに分類されます。
参考:JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)及びJIS Q 27001:2014(情報セキュリティマネジメントシステム―要求事項)
もっと知識を広げるための参考
-
情報セキュリティ管理とは
組織の情報セキュリティ対策を包括的かつ継続的に実施するために、情報セキュリティ管理の考え方、保護対象である情報資産を理解する必要があります。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成30年春 問07 情報システムの管理特権を利用した行為―情報セキュリティマネジメント試験 午前
JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)でいう特権的アクセス権の管理について、情報システムの管理特権を利用した行為はどれか。
【ア】許可を受けた営業担当者が、社外から社内の営業システムにアクセスし、業務を行う。
【イ】経営者が、機密性の高い経営情報にアクセスし、経営の意思決定に生かす。
【ウ】システム管理者が、業務システムのプログラムにアクセスし、バージョンアップを行う。
【エ】来訪者が、デモンストレーション用のシステムにアクセスし、システム機能の確認を行う。
出典:平成30年度 春期 情報セキュリティマネジメント試験 午前 問題 問7
答えと解説
答え 【ウ】
情報システムの管理特権を利用した行為の例
情報システムの管理特権を利用した行為の例として、「システム管理者が、業務システムのプログラムにアクセスし、バージョンアップを行う」があります。
参考:JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)
もっと知識を広げるための参考
平成30年春 問08 情報セキュリティマネジメントシステム―用語―情報セキュリティマネジメント試験 午前
JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)において、“エンティティは、それが主張するとおりのものであるという特性”と定義されているものはどれか。
【ア】真正性
【イ】信頼性
【ウ】責任追跡性
【エ】否認防止
出典:平成30年度 春期 情報セキュリティマネジメント試験 午前 問題 問8
答えと解説
答え 【ア】
真正性(Authenticity)
「エンティティは、それが主張するとおりのものであるという特性」と定義されます。
JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)
もっと知識を深めるための参考
-
情報セキュリティの目的と考え方
情報セキュリティの目的は、情報の機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)を確保、 維持することによりさまざまな脅威から情報システム及び情報を保護し、情報システムの信頼性を高めることです。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。 またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成30年春 問10 SPF(Sender Policy Framework)の仕組み―情報セキュリティマネジメント試験 午前
SPF(Sender Policy Framework)の仕組みはどれか。
【ア】電子メールを受信するサーバが、電子メールに付与されているディジタル署名を使って、送信元ドメインの詐称がないことを確認する。
【イ】電子メールを受信するサーバが、電子メールの送信元のドメイン情報と、電子メールを送信したサーバのIPアドレスから、ドメインの詐称がないことを確認する。
【ウ】電子メールを送信するサーバが、送信する電子メールの送信者の上司からの承認が得られるまで、一時的に電子メールの送信を保留する。
【エ】電子メールを送信するサーバが、電子メールの宛先のドメインや送信者のメールアドレスを問わず、全ての電子メールをアーカイブする。
出典:平成30年度 春期 情報セキュリティマネジメント試験 午前 問題 問10
答えと解説
答え 【イ】
SPF
SPFは、電子メールにおける送信ドメイン認証のひとつです。Sender Policy Frameworkの略です。
SPFの仕組み
SPFは、電子メールを受信するサーバが、電子メールの送信元のドメイン情報と、電子メールを送信したサーバのIPアドレスから、ドメインの詐称がないことを確認する仕組みになっています。
もっと知識を広げるための参考
平成30年春 問11 UPSの導入によって期待できる情報セキュリティ対策としての効果―情報セキュリティマネジメント試験 午前
UPSの導入によって期待できる情報セキュリティ対策としての効果はどれか。
【ア】PCが電力線通信(PLC)からマルウェアに感染することを防ぐ。
【イ】サーバと端末間の通信における情報漏えいを防ぐ。
【ウ】電源の瞬断に起因するデータの破損を防ぐ。
【エ】電子メールの内容が改ざんされることを防ぐ。
出典:平成30年度 春期 情報セキュリティマネジメント試験 午前 問題 問11
答えと解説
答え 【ウ】
UPS
UPSは、Uninterruptible Power Supplyの略で無停電装置のことをいいます。 情報セキュリティの物理的及び環境的セキュリティ管理策において、サーバへの電源供給が停止するリスクを低減するために使用される装置です。
UPSの導入によって期待できる情報セキュリティ対策としての効果
UPSの導入によって、電源の瞬断に起因するデータの破損を防ぐことが期待できます。
もっと知識を深めるための参考
-
無停電電源装置(UPS)
無停電電源装置(UPS)は、情報セキュリティの物理的及び環境的セキュリティ管理策において、 サーバへの電源供給が停止するリスクを低減するために使用される装置です。 メーカーはオムロン、APCなどが有名です。無停電電源装置(UPS)とはどのようなものかをテーマに、CVCFや耐用年数、メーカーなどの情報をまとめています。
-
情報セキュリティ対策
情報セキュリティ対策(英語でInformation security measures)は、人的、技術的、物理的セキュリティの側面から対策が必要です。 ビヘイビア検出ソフトも含め、各種セキュリティ対策の概要を把握する一覧としてまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。 またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成30年春 問12 WAFの説明―情報セキュリティマネジメント試験 午前
WAFの説明はどれか。
【ア】Webサイトに対するアクセス内容を監視し、攻撃とみなされるパターンを検知したときに該当アクセスを遮断する。
【イ】Wi-Fiアライアンスが認定した無線LANの暗号化方式の規格であり、AES暗号に対応している。
【ウ】様々なシステムの動作ログを一元的に蓄積、管理し、セキュリティ上の脅威となる事象をいち早く検知、分析する。
【エ】ファイアウォール機能を有し、マルウェア対策機能、侵入検知機能などの複数のセキュリティ機能を連携させ、統合的に管理する。
出典:平成30年度 春期 情報セキュリティマネジメント試験 午前 問題 問12
答えと解説
答え 【ア】
WAF
Webサイトに対するアクセス内容を監視し、攻撃とみなされるパターンを検知したときに該当アクセスを遮断します。
もっと知識を深めるための参考
-
WAF
WAFとは、読み方は「ワフ」、Web Application Firewallの略で、 Webサイトに対するアクセス内容を監視し、攻撃とみなされるパターンを検知したときに該当アクセスを遮断する製品です。 FWとの違い、防げない攻撃などまとめています。
-
情報セキュリティ対策
情報セキュリティ対策(英語でInformation security measures)は、人的、技術的、物理的セキュリティの側面から対策が必要です。 ビヘイビア検出ソフトも含め、各種セキュリティ対策の概要を把握する一覧としてまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成30年春 問14 セキュリティバイデザインの説明―情報セキュリティマネジメント試験 午前
セキュリティバイデザインの説明はどれか。
【ア】開発済みのシステムに対して、第三者の情報セキュリティ専門家が、脆弱性診断を行い、システムの品質及びセキュリティを高めることである。
【イ】開発済みのシステムに対して、リスクアセスメントを行い、リスクアセスメント結果に基づいてシステムを改修することである。
【ウ】システムの運用において、第三者による監査結果を基にシステムを改修することである。
【エ】システムの企画・設計段階からセキュリティを確保する方策のことである。
出典:平成30年度 春期 情報セキュリティマネジメント試験 午前 問題 問14
答えと解説
答え 【エ】
セキュリティバイデザイン
セキュリティバイデザインとは、システムの企画・設計段階からセキュリティを確保する方策のことをいいます。
もっと知識を広げるための参考
平成30年春 問15 クラウドサービスのパスワードの管理方法―情報セキュリティマネジメント試験 午前
A社では、インターネットを介して提供される複数のクラウドサービスを、共用PCから利用している。 共用PCの利用者IDは従業員の間で共用しているが、クラウドサービスの利用者IDは従業員ごとに異なるものを使用している。 クラウドサービスのパスワード管理方法のうち、本人以外の者による不正なログインの防止の観点から、適切なものはどれか。
【ア】各従業員が指紋認証で保護されたスマートフォンをもち、スマートフォン上の信頼できるパスワード管理アプリケーションに各自のパスワードを記録する。
【イ】各従業員が複雑で推測が難しいパスワードを一つ定め、どのクラウドサービスでも、そのパスワードを設定する。
【ウ】パスワードを共用PCのWebブラウザに記憶させ、次回以降に自動入力されるように設定する。
【エ】パスワードを平文のテキストファイル形式で記録し、共用PCのOSのデスクトップに保存する。
出典:平成30年度 春期 情報セキュリティマネジメント試験 午前 問題 問15
答えと解説
答え 【ア】
クラウドサービスのセキュリティ
クラウドサービスのパスワード管理方法の例です。
- A社では、インターネットを介して提供される複数のクラウドサービスを、共用PCから利用しており、共用PCの利用者IDは従業員の間で共用しているが、クラウドサービスの利用者IDは従業員ごとに異なるものを使用しています。 「各従業員が指紋認証で保護されたスマートフォンをもち、スマートフォン上の信頼できるパスワード管理アプリケーションに各自のパスワードを記録する。」のは本人以外の者による不正なログインの防止の観点適切といえます。
もっと知識を広げるための参考
平成30年春 問16 ワームの検知方式―情報セキュリティマネジメント試験 午前
ワームの検知方式の一つとして、検査対象のファイルからSGA-256を使ってハッシュ値を求め、既知のワーム検体ファイルのハッシュ値のデータベースと照合する方式がある。 この方式によって、検知できるものはどれか。
【ア】ワーム検体と同一のワーム
【イ】ワーム検体と特徴あるコード例が同じワーム
【ウ】ワーム検体とファイルサイズが同じワーム
【エ】ワーム検体の亜種に該当するワーム
出典:平成30年度 春期 情報セキュリティマネジメント試験 午前 問題 問16
答えと解説
答え 【ア】
ワームの検知方式
検査対象のファイルからSGA-256を使ってハッシュ値を求め、既知のワーム検体ファイルのハッシュ値のデータベースと照合する方式では、ワーム検体と同一のワームが検知できます。 ワーム検体と特徴あるコード例が同じワーム、ワーム検体とファイルサイズが同じワーム、ワーム検体の亜種に該当するワームなどは検知できません。
もっと知識を広げるための参考
平成30年春 問17 セキュリティパッチの適用漏れ―情報セキュリティマネジメント試験 午前
A社では、利用しているソフトウェア製品の脆弱性に対して、ベンダから提供された最新のセキュリティパッチを適用することを決定した。 ソフトウェア製品がインストールされている組織内のPCやサーバについて、セキュリティパッチの適用漏れを防ぎたい。 そのために有効なものはどれか。
【ア】ソフトウェア製品の脆弱性の概要や対策の情報が蓄積された脆弱性対策情報データベース(JVN iPedia)
【イ】ソフトウェア製品の脆弱性の特性や深刻度を評価するための基準を提供する共通脆弱性評価システム(CVSS)
【ウ】ソフトウェア製品のソースコードを保存し、ソースコードへのアクセス権と変更履歴を管理するソースコード管理システム
【エ】ソフトウェア製品の名称やバージョン、それらが導入されている機器の所在、IPアドレスを管理するIT資産管理システム
出典:平成30年度 春期 情報セキュリティマネジメント試験 午前 問題 問17
答えと解説
答え 【エ】
脆弱性管理
ソフトウェア製品がインストールされている組織内のPCやサーバについて、セキュリティパッチの適用漏れを防ぎたい。 そのために有効なものはソフトウェア製品の名称やバージョン、それらが導入されている機器の所在、IPアドレスを管理するIT資産管理システムです。
もっと知識を広げるための参考
平成30年春 問20 ドメイン名ハイジャックを可能にする手口―情報セキュリティマネジメント試験 午前
ドメイン名ハイジャックを可能にする手口はどれか。
【ア】PCとWebサーバとの通信を途中で乗っ取り、不正にデータを取得する。
【イ】Webサーバに、送信元を偽造したリクエストを大量に送信して、Webサービスを停止させる。
【ウ】Webページにアクセスする際のURLに余分なドットやスラッシュなどを含め、アクセスが禁止されているディレクトリにアクセスする。
【エ】権威DNSサーバに登録された情報を不正に書き換える。
出典:平成30年度 春期 情報セキュリティマネジメント試験 午前 問題 問20
答えと解説
答え 【エ】
ドメイン名ハイジャック
ドメイン名ハイジャックは、、インターネット上のドメイン名を正規の所有者以外の者が不正な手段で乗っ取り、本来とは異なる設定情報を配信させる不正な行為のことをいいます。 ドメインジャック、DNSハイジャックなどとも呼ばれます。
所有者に成りすまして、レジストリに登録したり、DNSサーバの脆弱性をついて登録情報を書き換えるなどによりドメイン名ハイジャックが行われます。
もっと知識を深めるための参考
-
ドメイン名ハイジャック
ドメイン名ハイジャックは、、インターネット上のドメイン名を正規の所有者以外の者が不正な手段で乗っ取り、本来とは異なる設定情報を配信させる不正な行為のことをいいます。 ドメインジャック、DNSハイジャックなどとも呼ばれます。
-
攻撃手法
情報システムへの外部からの不正な行為や手法など、サイバー攻撃の種類と対策知識をまとめています。 またサイバー攻撃の被害額、被害件数、被害事例をまとめた公共機関の資料のリンクもまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成30年春 問21 ドライブバイダウンロード攻撃―情報セキュリティマネジメント試験 午前
ドライブバイダウンロード攻撃に該当するものはどれか。
【ア】PC内のマルウェアを遠隔操作して、PCのハードディスクドライブを丸ごと暗号化する。
【イ】外部ネットワークからファイアウォールの設定の誤りを突いて侵入し、 内部ネットワークにあるサーバのシステムドライブにルートキットを仕掛ける。
【ウ】公開Webサイトにおいて、スクリプトをWebページ中の入力フィールドに入力し、 Webサーバがアクセスするデータベース内のデータをにゅせいにダウンロードする。
【エ】利用者が公開Webサイトを閲覧したときに、 その利用者の意図にかかわらず、PCにマルウェアをダウンロードさせて感染させる。
出典:平成30年度 春期 情報セキュリティマネジメント試験 午前 問題 問21
答えと解説
答え 【エ】
ドライブバイダウンロード攻撃
ドライブバイダウンロード攻撃は、利用者が公開Webサイトを閲覧したときに、 その利用者の意図にかかわらず、PCにマルウェアをダウンロードさせて感染させる攻撃です。
もっと知識を広げるための参考
-
ドライブバイダウンロード攻撃
ドライブバイダウンロード攻撃は、ランサムウェアの感染経路の1つとしても知られます。ドライブバイダウンロード攻撃の仕組み、ランサムウェアとの関連など、ドライブバイダウンロード攻撃とはどのような攻撃かまとめました。
-
攻撃手法
情報システムへの外部からの不正な行為や手法など、サイバー攻撃の種類と対策方法についてまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成30年春 問22 バイメトリクス認証―情報セキュリティマネジメント試験 午前
バイオメトリクス認証システムの判定しきい値を変化させるとき、 FRR(本人拒否率)とFAR(他人受入率)との関係はどれか。
【ア】FRRとFARは独立している。
【イ】FRRを減少させると、FARは減少する。
【ウ】FRRを減少させると、FARは増加する。
【エ】FRRを増大させると、FARは増大する。
出典:平成30年度 春期 情報セキュリティマネジメント試験 午前 問題 問22
答えと解説
答え 【ウ】
生体認証とは
生体認証とは、バイオメトリクス認証ともいい、虹彩、指紋、静脈、網膜などが用いられる認証です。 利用者確認に利用される技術の一つです。
生体認証(バイオメトリクス認証)のディメリット、導入時の注意点
生体認証システムを導入するときに考慮すべき点は、 本人を誤って拒否する確率と他人を誤って許可する確率の双方を勘案して装置を調整する点です。
またバイオメトリクス認証システムの判定しきい値を変化させるとき、 FRR(本人拒否率)とFAR(他人受入率)との関係は「FRRを減少させると、FARは増加する」という点も認識しておきたいです。
もっと知識を広げるための参考
平成30年春 問23 マルウェアの動的解析―情報セキュリティマネジメント試験 午前
マルウェアの動的解析に該当するものはどれか。
【ア】解析対象となる検体のハッシュ値を計算し、オンラインデータベースに登録された 既知のマルウェアのハッシュ値のリストと照合してマルウェアを判定する。
【イ】サンドボックス上で検体を実行し、その動作や外部との通信を観測する。
【ウ】ネットワーク上の通信データから検体を抽出し、さらに、 逆コンパイルして取得したコードから検体の機能を調べる。
【エ】ハードディスク内のファイルの拡張子とファイルヘッダの内容を基に、 拡張子が偽装された不正なプログラムファイルを検出する。
出典:平成30年度 春期 情報セキュリティマネジメント試験 午前 問題 問23
答えと解説
答え 【イ】
マルウェアの動的解析
マルウェアの動的解析は、サンドボックス上で検体を実行し、その動作や外部との通信を観測します。
もっと知識を広げるための参考
-
マルウェア・不正プログラム
マルウェア・不正プログラムとはどのようなものかをテーマに、マルウェアの挙動やランサムウェア、ボット、mirai、pentyaなどの種類についてまとめています。
-
脅威
情報セキュリティを考えるうえで、まずは、どのような脅威があるか理解しておく必要があります。 脅威の種類、マルウェアとコンピュータウイルスの種類を見ていきます。またPCやスマホの感染時の駆除方法も補足していきます。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成30年春 問24 メッセージから、ブロック暗号を用いて生成することができるもの―情報セキュリティマネジメント試験 午前
メッセージが改ざんされていないかどうかを確認するために、 そのメッセージから、ブロック暗号を用いて生成することができるものはどれか。
【ア】PKI
【イ】パリティビット
【ウ】メッセージ認証符号
【エ】ルート証明書
出典:平成30年度 春期 情報セキュリティマネジメント試験 午前 問題 問24
答えと解説
答え 【ウ】
MAC(Message Authentication Code:メッセージ認証符号)
MAC(Message Authentication Code:メッセージ認証符号)は、 メッセージが改ざんされていないかどうかを確認するために、 そのメッセージから、ブロック暗号を用いて生成することができる符号です。
もっと知識を広げるための参考
平成30年春 問25 リスクベース認証―情報セキュリティマネジメント試験 午前
リスクベース認証に該当するものはどれか。
【ア】インターネットからの全てのアクセスに対し、 トークンで生成されたワンタイムパスワードを入力させて認証する。
【イ】インターネットバンキングでの連続する取引において、 取引の都度、乱数表の指定したマス目にある英数字を入力させて認証する。
【ウ】利用者のIPアドレスなどの環境を分析し、 いつもと異なるネットワークからのアクセスに対して追加の認証を行う。
【エ】利用者の記憶、持ち物、身体の特徴のうち、必ず二つ以上の方式を組み合わせて認証する。
出典:平成30年度 春期 情報セキュリティマネジメント試験 午前 問題 問25
答えと解説
答え 【ウ】
リスクベース認証
リスクベース認証は、利用者のIPアドレスなどの環境を分析し、 いつもと異なるネットワークからのアクセスに対して追加の認証を行う認証です。
もっと知識を深めるための参考
平成30年春 問26 暗号アルゴリズムの危殆化―情報セキュリティマネジメント試験 午前
暗号アルゴリズムの危殆化を説明したものはどれか。
【ア】外国の輸入規制によって、十分な強度をもつ暗号アルゴリズムを実装した製品が利用できなくなること
【イ】鍵の不適切な管理によって、鍵が漏洩する危険性が増すこと
【ウ】計算能力の向上などによって、鍵の推定が可能になり、暗号の安全性が低下すること
【エ】最高性能のコンピュータを用い、膨大な時間とコストを掛けて暗号強度より確実なものにすること
出典:平成30年度 春期 情報セキュリティマネジメント試験 午前 問題 問26
答えと解説
答え 【ウ】
暗号アルゴリズムの危殆化
計算能力の向上などによって、鍵の推定が可能になり、暗号の安全性が低下することを暗号アルゴリズムの危殆化といいます。
もっと知識を広げるための参考
平成30年春 問27 ブルートフォース攻撃―情報セキュリティマネジメント試験 午前
暗号解読の手法のうち、ブルートフォース攻撃はどれか。
【ア】与えられた1組の平文と暗号文に対し、総当たりで鍵を割り出す。
【イ】暗号化関数の統計的な偏りを線形関数によって近似して解読する。
【ウ】暗号化装置の動作を電磁波から解析することによって解読する。
【エ】異なる二つの平文とそれぞれの暗号文の差分を観測して鍵を割り出す。
出典:平成30年度 春期 情報セキュリティマネジメント試験 午前 問題 問27
答えと解説
答え 【ア】
ブルートフォース攻撃
ブルートフォース攻撃は、与えられた1組の平文と暗号文に対し、総当たりで鍵を割り出す攻撃です。
もっと知識を広げるための参考
-
ブルートフォースアタック
ブルートフォースアタック(Brute-force attack)は、与えられた1組の平文と暗号文に対し、総当たりで鍵を割り出す、 あるいは使用可能な文字のあらゆる組合せをそれぞれパスワードとして、繰り返しログインを試みる攻撃です。 対策方法などブルートフォースアタックについてまとめています。
-
攻撃手法
情報システムへの外部からの不正な行為や手法など、サイバー攻撃の種類と対策知識をまとめています。 またサイバー攻撃の被害額、被害件数、被害事例をまとめた公共機関の資料のリンクもまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。 またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成30年春 問28 電子メールの本文を暗号化するために使用される方式―情報セキュリティマネジメント試験 午前
電子メールの本文を暗号化するために使用される方式はどれか。
【ア】BASE64
【イ】GZIP
【ウ】PNG
【エ】S/MIME
出典:平成30年度 春期 情報セキュリティマネジメント試験 午前 問題 問28
答えと解説
答え 【エ】
S/MIME
S/MIMEは、電子証明書を使用して、メールソフト間で電子メールを安全に送受信するための規格です。 電子メールの本文を暗号化するために使用される方式です。 Secure MIMEの略で、読み方は「エスマイム」です。
もっと知識を深めるための参考
-
S/MIME
S/MIMEとは電子証明書を使用して、メールソフト間で電子メールを安全に送受信するための規格です。読み方や意味、暗号方式などS/MIMEについて説明しています。
-
セキュアプロトコル
IPSec、SSL/TLS、SSHなど通信データの盗聴、不正接続を防ぐセキュアプロトコルについてまとめています。 IPSecのトンネルモードやTLSハンドシェイクなどの情報も補足しています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成30年春 問30 認証局が果たす役割―情報セキュリティマネジメント試験 午前
PKI(公開鍵基盤)において、認証局が果たす役割の一つはどれか。
【ア】共通鍵を生成する。
【イ】公開鍵を利用してデータを暗号化する。
【ウ】失効したディジタル証明書の一覧を発行する。
【エ】データの改ざんされていないことを検証する。
出典:平成30年度 春期 情報セキュリティマネジメント試験 午前 問題 問30
答えと解説
答え 【エ】
公開鍵基盤
公開鍵基盤とは、PKI(Publuic Key Infrastructure)ともいい、公開鍵暗号技術に基づき、 ディジタル証明書やCAによって実現される相互認証の基盤です。
公開鍵基盤は公開鍵認証基盤とも呼びますが、簡単に言えば、公開鍵を「とても信頼できる第三者」にお願いして、 公開鍵そのものに「とても信頼できる第三者」による署名をしてもらうという方法です。
公開鍵暗号技術はアルゴリズムが公開されているため、だれでも公開鍵と秘密鍵を生成することができます。 ですので、公開鍵暗号技術による認証や署名では、公開鍵や秘密鍵の正当性が保証されていることが重要です。 そのため、信頼できる第三者(認証局)が署名し、発行するディジタル証明書(公開鍵証明書)が用いられています。
認証局が果たす役割
PKI(公開鍵基盤)において、認証局が果たす役割の一つは、失効したディジタル証明書の一覧を発行することです。
もっと知識を広げるための参考
平成30年春 問31 サイバーセキュリティ基本法の説明―情報セキュリティマネジメント試験 午前
サイバーセキュリティ基本法の説明はどれか。
【ア】国民は、サイバーセキュリティの重要性に関する関心と理解を深め、 その確保に必要な注意を払うよう努めるものとすると規定している。
【イ】サイバーセキュリティに関する国及び情報通信事業者の責務を定めたものであり、 地方公共団体や教育研究機関についての言及はない。
【ウ】サイバーセキュリティに関する国及び地本公共団体の責務を定めたものであり、 民間事業者が努力すべき事項についての規定はない。
【エ】地方公共団体を“重要社会基盤事業者”と位置づけ、 サイバーセキュリティ関連施設の立案・実施に責任を負う者であると規定している。
出典:平成30年度 春期 情報セキュリティマネジメント試験 午前 問題 問31
答えと解説
答え 【ア】
サイバーセキュリティ基本法
サイバーセキュリティ基本法は、「国民は、サイバーセキュリティの重要性に関する関心と理解を深め、 その確保に必要な注意を払うよう努めるものとする」と規定している法律です。
もっと知識を深めるための参考
-
サイバーセキュリティ基本法
サイバーセキュリティ基本法とは、 我が国における、社会インフラとなっている情報システムや情報通信ネットワークへの脅威に対する防御施策を、 効果的に推進するための政府組織の設置などを定めた法律です。基本理念などわかりやすく解説していきます。
-
法務
ITの法務をテーマにサイバーセキュリティ基本法などITの法律、ガイドライン、標準化一覧情報をまとめています。
-
ストラテジ系
ストラテジ系の分野のサイトオリジナル教科書です。ストラテジ系の各分野の解説と情報処理の過去問をマッピングしています。
平成30年春 問32 記憶内容を消去した者を処罰の対象とする法律―情報セキュリティマネジメント試験 午前
記憶媒体を介して、企業で使用されているコンピュータにマルウェアを侵入させ、 そのコンピュータの記憶内容を消去した者を処罰の対象とする法律はどれか。
【ア】刑法
【イ】製造物責任法
【ウ】不正アクセス禁止法
【エ】プロバイダ責任法
出典:平成30年度 春期 情報セキュリティマネジメント試験 午前 問題 問32
答えと解説
答え 【ア】
刑法
コンピュータの利用に関して刑事罰に該当する不法行為は刑法で処罰されます。
企業のWebサイトに接続してWebページを改ざんし、 システムの使用目的に反する動作をさせて業務を妨害する行為は刑法で処罰されます。
記憶媒体を介して、企業で使用されているコンピュータにマルウェアを侵入させ、 そのコンピュータの記憶内容を消去した者は刑法で処罰されます。
もっと知識を深めるための参考
平成30年春 問33 個人情報の保護に関する法律―情報セキュリティマネジメント試験 午前
個人情報保護委員会“個人情報の保護に関する法律についてのガイドライン(通則編)平成29年3月一部改正”に、要配慮個人情報として例示されているものはどれか。
【ア】医療従事者が診療の過程で知り得た診療記録などの情報
【イ】国籍や外国人であるという法的地位の情報
【ウ】宗教に関する書籍の購買や貸出しに係る情報
【エ】他社を被疑者とする犯罪捜査のために取調べを受けた事実
出典:平成30年度 春期 情報セキュリティマネジメント試験 午前 問題 問33
答えと解説
答え 【ア】
個人情報保護委員会“個人情報の保護に関する法律についてのガイドライン(通則編)平成29年3月一部改正”
個人情報保護委員会“個人情報の保護に関する法律についてのガイドライン(通則編)平成29年3月一部改正”には、 要配慮個人情報として「医療従事者が診療の過程で知り得た診療記録などの情報」が例示されています。
もっと知識を深めるための参考
-
個人情報保護法、マイナンバー法
個人情報保護法とは、正式名は「個人情報の保護に関する法律」で個人情報の取り扱いに関する法律です。個人情報保護委員会“個人情報の保護に関する法律についてのガイドライン(通則編)や個人情報保護法、マイナンバー法との違い、などを解説していきます。
-
法務
ITの法務をテーマにサイバーセキュリティ基本法などITの法律、ガイドライン、標準化一覧情報をまとめています。
-
ストラテジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにストラテジ系の知識をまとめています。
平成30年春 問45 PaaS型サービスモデルの特徴―情報セキュリティマネジメント試験 午前
PaaS型サービスモデルの特徴はどれか。
【ア】利用者は、サービスとして提供されるOSやストレージに対する設定や変更を利用することができるが、クラウドサービス基盤を変更したり拡張したりすることはできない。
【イ】利用者は、サービスとして提供されるOSやデータベースシステム、プログラム言語処理系などを組み合わせて利用することができる。
【ウ】利用者は、サービスとして提供されるアプリケーションを利用することができるが、自らアプリケーションを開発することはできない。
【エ】利用者は、ネットワークを介してサービスとして提供される端末のデスクトップ環境を利用することができる。
出典:平成30年度 春期 情報セキュリティマネジメント試験 午前 問題 問45
答えと解説
答え 【イ】
PaaS(Platform as a Service)
PaaSは、Platform as a Serviceの略です。 NISTの定義によるクラウドサービスモデルでは、PaaSの利用者はOSの実装は行わず、アプリケーション開発を行います。
PaaS提供側は、サーバやネットワークなどのインフラ設備に加え、OSやミドルウェアを提供します。 利用者は、サービスとして提供されるOSやデータベースシステム、プログラム言語処理系などを組み合わせて利用することができます。
もっと知識を深めるための参考
-
クラウドサービス
クラウドサービスとは何かをテーマに、クラウドサービスの種類、NISTの定義、クラウドサービスの特徴、考え方、留意事項についてまとめています。
-
ソリューションビジネス
ソリューションビジネスとは何か、it用語のソリューションの意味、ソリューションビジネスの種類、情報処理試験対策の問題など関連知識をまとめています。
-
ストラテジ系
ストラテジ系の分野のサイトオリジナル教科書です。ストラテジ系の各分野の解説と情報処理の過去問をマッピングしています。
平成30年春 問46 論理的な矛盾を生じさせないために用いる技法―情報セキュリティマネジメント試験 午前
DBMSにおいて、複数のトランザクション処理プログラムが同一データベースを同時に更新する場合、 論理的な矛盾を生じさせないために用いる技法はどれか。
【ア】再編成
【イ】正規化
【ウ】整合性制約
【エ】排他制御
出典:平成30年度 春期 情報セキュリティマネジメント試験 午前 問題 問46
答えと解説
答え 【エ】
排他制御
排他制御とは、複数のプロセスからの同時アクセスにより競合が発生する場合に、 あるプロセスに資源を独占的に利用させている間は、他のプロセスが利用できないようにする事で整合性を保つ処理のことをいいます。
DBMSにおいて、複数のトランザクション処理プログラムが同一データベースを同時に更新する場合、 論理的な矛盾を生じさせないために用いる技法です。
もっと知識を広げるための参考
-
排他制御
排他制御とは、英語でexclusive controlといいます。デットロックなど、具体例を用いてデータベースの排他制御について解説しています。
-
トランザクション処理
トランザクションとは、利用者から見たデータベースに対する処理の単位です。 利用者からみた場合は1つのデータベース更新処理ですが、データベースから見れば複数の利用者からの処理依頼があり、 データベースの更新を矛盾なく行う必要があります。 データベースにおけるトランザクションの意味、ACID特性などの解説をまとめています。
-
データベース
データベースの方式、設計、データ操作、トランザクション処理、応用など。データベース関連のオリジナルテキストと情報処理試験の過去問もまとめています。
-
テクノロジ系
テクノロジ系の分野のサイトオリジナル教科書です。テクノロジ系の各分野の解説と情報処理の過去問をマッピングしています。
平成30年春 問47 SMTPでメッセージが転送される過程で削除されるもの―情報セキュリティマネジメント試験 午前
電子メールのヘッダフィールドのうち、SMTPでメッセージが転送される過程で削除されるものはどれか。
【ア】Bcc
【イ】Date
【ウ】Recived
【エ】X-Mailer
出典:平成30年度 春期 情報セキュリティマネジメント試験 午前 問題 問47
答えと解説
答え 【ア】
Bcc
Bccは、SMTPでメッセージが転送される過程で電子メールのヘッダーフィールドから削除されます。
もっと知識を広げるための参考
-
電子メールのヘッダーの情報
この記事では、ccとbccの違いなど、電子メールのヘッダの見方を解説しています。 受信した電子メールのファイルをテキストエディタで開くとわかりますが、電子メールのデータは、空の行が開けられてメールヘッダーとメール本文に分けれれます。この電子メールのヘッダーの情報に含まれる主な内容についてまとめています。
-
電子メール
電子メールシステムはメールサーバとメールクライアントで構成されており、送信したメールはメールサーバからメールサーバへリレー方式で配送される仕組みです。電子メールの全般的知識、メールサーバの仕組み、MTAなどについてまとめています。
-
ネットワーク
通信プロトコル、osi基本参照モデル7階層の覚え方などネットワーク関連の知識をまとめています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成30年春 問49 CSR調達―情報セキュリティマネジメント試験 午前
CSR調達に該当するものはどれか。
【ア】コストを最小化するために、最も安価な製品を選ぶ。
【イ】災害時に調達が不可能となる事態を避けるために、複数の調達先を確保する。
【ウ】自然環境、人権などへの配慮を調達基準として示し、調達先に遵守を求める。
【エ】物品の購買に当たってEDIを利用し、迅速かつ正確な調達を行う。
出典:平成30年度 春期 情報セキュリティマネジメント試験 午前 問題 問49
答えと解説
答え 【ウ】
CSR調達
自然環境、人権などへの配慮を調達基準として示し、調達先に遵守を求めることをCSR調達といいます。
もっと知識を深めるための参考
更新履歴
- 2018/9/23 ページを作成しました。