基本情報技術者試験:セキュリティ (間違えたところ)

2022/01/31に公開約10,500字

【H27秋問38】 公開鍵・秘密鍵

Xさんは,Yさんにインターネットを使って電子メールを送ろうとしている。電子メールの内容を秘密にする必要があるので,公開鍵暗号方式を用いて暗号化して送信したい。電子メールの内容を暗号化するのに使用する鍵はどれか。

ア. Xさんの公開鍵
イ. Xさんの秘密鍵
ウ. Yさんの公開鍵
エ. Yさんの秘密鍵

正解:ウ(メールを確認するのはYさん。Yさんの秘密鍵を使って復号するのでYさんの公開鍵を使って暗号化する。)

【H29春問40】 アルゴリズム

公開鍵暗号方式の暗号アルゴリズムはどれか。

ア. AES
イ. KCipher-2
ウ. RSA
エ. SHA-256

正解:ウ(公開鍵の暗号アルゴリズムがRSAで、メッセージダイジェストのアルゴリズムがSHA-256)

【H29春問45】 ポートスキャナ

Webサーバの検査におけるポートスキャナの利用目的はどれか。

ア. Webサーバで稼働しているサービスを列挙して,不要なサービスが稼働していないことを確認する。
イ. Webサーバの利用者IDの管理状況を運用者に確認して,情報セキュリティポリシからの逸脱がないことを調べる。
ウ. Webサーバへのアクセス履歴を解析して,不正利用を検出する。
エ. 正規の利用者IDでログインし,Webサーバのコンテンツを直接確認して,コンテンツの脆(ぜい)弱性を検出する。

正解:ア(稼働しているサービスを列挙できるのがポートスキャナ。通信ポートに信号を送ることで、サービスの稼働状態を外部から調査するツール。代表的なポートスキャナはNmap(Network Mapper))

【平成28年秋期 問40】

ICカードとPINを用いた利用者認証における適切な運用はどれか。

  • ICカードによって個々の利用者を識別できるので,管理負荷を軽減するために全利用者に共通のPINを設定する。
  • ICカード紛失時には,新たなICカードを発行し,PINを再設定した後で,紛失したICカードの失効処理を行う。
  • PINには,ICカードの表面に刻印してある数字情報を組み合わせたものを設定する。
  • PINは,ICカードには同封せず,別経路で利用者に知らせる。

正解:PINは,ICカードには同封せず,別経路で利用者に知らせる。

  • PINとは?:ATMでご利用の際に使用する4桁の数字のこと
  • ICカード紛失時には,新たなICカードを発行し,PINを再設定した後で,紛失したICカードの失効処理を行う。
    • 失効処理が先!

【平成29年春期 問39】

経済産業省とIPAが策定した"サイバーセキュリティ経営ガイドライン(Ver1.1)"が,自社のセキュリティ対策に加えて,実施状況を確認すべきとしている対策はどれか。

  • 自社のサプライチェーンのビジネスパートナが行うセキュリティ対策
    • サプライ(=供給)チェーンとは、調達〜販売〜消費など一連の流れのこと
    • 自社だけでなく、系列企業やサプライチェーンのビジネスパートナ等のセキュリティ対策も大事

【平成28年秋期 問43】

ウイルス検出におけるビヘイビア法に分類されるものはどれか。

  • 検査対象をメモリ上の仮想環境下で実行して,その挙動を監視する。
    • プログラムを実際に動かしてみて、ウィルスっぽい動きしないかみること
    • ビヘイビア 【behavior】 :行動、態度、振る舞い、挙動

【平成21年春期 問42】

Webビーコンに該当するものはどれか。

  • Webページなどに小さい画像を埋め込み,利用者のアクセス動向などの情報を収集する仕組み
    • ビーコン:何かを伝えるために信号を出している装置
    • アクセス解析のための情報収集(IPアドレスや表示日時等)

【平成22年秋期 問41】

手順に示す電子メールの送受信によって得られるセキュリティ上の効果はどれか。

〔手順〕

  1. 送信者は,電子メールの本文を共通鍵暗号方式で暗号化し(暗号文),その共通鍵を受信者の公開鍵を用いて公開鍵暗号方式で暗号化する(共通鍵の暗号化データ)。
  2. 送信者は,暗号文と共通鍵の暗号化データを電子メールで送信する。
  3. 受信者は,受信した電子メールから取り出した共通鍵の暗号化データを,自分の秘密鍵を用いて公開鍵暗号方式で復号し,得た共通鍵で暗号文を復号する。
  • 電子メールの本文の内容の漏えいの防止
    • ディジタル署名が付加されているわけではないので、改ざんの有無は検知できない(確かに)
    • 本文は暗号化されており、復号に用いる共通鍵も暗号化
    • もし通信途中で盗聴されても、共通鍵の暗号化データを復号できるのは暗号化した公開鍵に対応する秘密鍵をもつ受信者のみ
    • 第三者に本文の内容が漏れることはない

【平成27年秋期 問40】

ISMS適合性評価制度の説明はどれか。

  • JIS Q 27001に基づき,組織が構築した情報セキュリティマネジメントシステムの適合性を評価する。

【平成31年春期 問42】

不正が発生する際には"不正のトライアングル"の3要素全てが存在すると考えられている。"不正のトライアングル"の構成要素の説明として,適切なものはどれか。

  • "機会"とは,情報システムなどの技術や物理的な環境,組織のルールなど,内部者による不正行為の実行を可能又は容易にする環境の存在である。
    • 機会:「チェックする人がいない」「やってもバレない」環境
    • 動機プレッシャー:「過大なノルマ」「個人的な金銭問題」
    • 正当化:「自分のせいではない」良心の呵責を乗り越えてしまうこと
      • "過大なノルマが悪いんだ!”って正当化かと思ったけど「ノルマを達成するには不正しかない」という動機の方になるのか🤔

【平成26年春期 問42】

パスワードを用いて利用者を認証する方法のうち,適切なものはどれか。

  • パスワードをハッシュ値に変換して登録しておき,認証時に入力されたパスワードをハッシュ関数で変換して比較する。
    • パスワードに対応する利用者IDのハッシュ値じゃないよ!(凡ミス)

【平成23年特別 問43】

認証デバイスに関する記述のうち,適切なものはどれか。

  • 虹(こう)彩認証では,成人には虹彩の経年変化がないので,認証デバイスでのパターン更新がほとんど不要である。
    • 虹彩:眼球の黒目部分、瞳孔の外側にある円状の部分
    • 年を経ると変化する顔や声と異なり、生涯にわたって利用可

【平成18年春期 問67】

ファイアウォールのパケットフィルタリング機能を利用して実現できるものはどれか。

  • インターネットから受け取ったパケットのヘッダ部分及びデータ部分に,改ざんがあるかどうかをチェックし,改ざんがあった場合にはそのパケットを除去する。
  • 特定のTCPポート番号をもったパケットだけに,インターネットから内部ネットワークへの通過を許可する。

正解:特定のTCPポート番号をもったパケットだけに,インターネットから内部ネットワークへの通過を許可する。
* 前者について”データ部分”はチェックしない!

【平成29年秋期 問44】

クライアント上のアプリケーションがデータベース接続プログラム経由でサーバ上のデータベースのデータにアクセスする。アプリケーションとデータベースとの間で送受信されるコマンドや実行結果の漏えいを防止する対策はどれか。

  • サーバ側のデータベース接続プログラムにアクセスできるクライアントのIPアドレスを必要なものだけに制限する。
  • データベース接続プログラム間の通信を暗号化する。

正解:データベース接続プログラム間の通信を暗号化する。
* 漏えいを防止するには暗号化
* パスワード設定、ポート番号の変更をしても、認証済みの通信を見られたら意味がない!

【令和元年秋期 問35】

攻撃者が用意したサーバXのIPアドレスが,A社WebサーバのFQDNに対応するIPアドレスとして,B社DNSキャッシュサーバに記憶された。これによって,意図せずサーバXに誘導されてしまう利用者はどれか。ここで,A社,B社の各従業員は自社のDNSキャッシュサーバを利用して名前解決を行う。

  • A社WebサーバにアクセスしようとするA社従業員
  • A社WebサーバにアクセスしようとするB社従業員
  • B社WebサーバにアクセスしようとするA社従業員
  • B社WebサーバにアクセスしようとするB社従業員

正解:A社WebサーバにアクセスしようとするB社従業員

  • 自社のDNSサーバーを使うということは、B社DNSキャッシュサーバに記憶されたIPアドレスを使うのは誰?
    • B社従業員
  • 不正なサーバXのIDアドレスを仕込まれているのはどのサーバ?
    • A社Webサーバ

【平成30年春期 問40】

SPF(Sender Policy Framework)の仕組みはどれか。

  • 電子メールを受信するサーバが,電子メールに付与されているディジタル署名を使って,送信元ドメインの詐称がないことを確認する。
  • 電子メールを受信するサーバが,電子メールの送信元のドメイン情報と,電子メールを送信したサーバのIPアドレスから,ドメインの詐称がないことを確認する。
  • 電子メールを送信するサーバが,送信する電子メールの送信者の上司からの承認が得られるまで,一時的に電子メールの送信を保留する。
  • 電子メールを送信するサーバが,電子メールの宛先のドメインや送信者のメールアドレスを問わず,全ての電子メールをアーカイブする。

正解:イ 電子メールを受信するサーバが,電子メールの送信元のドメイン情報と,電子メールを送信したサーバのIPアドレスから,ドメインの詐称がないことを確認する。
* SMTP接続されたメールサーバのIPアドレスを元に、送信者のドメインが詐称されていないかを検査する仕組み
* SMTPサーバはTCP/25ポートを使用する

【平成30年秋期 問39】

JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)における真正性及び信頼性に対する定義a~dの組みのうち,適切なものはどれか。

〔定義〕
a. 意図する行動と結果とが一貫しているという特性
b. エンティティは,それが主張するとおりのものであるという特性
c. 認可されたエンティティが要求したときに,アクセス及び使用が可能であるという特性
d. 認可されていない個人,エンティティ又はプロセスに対して,情報を使用させず,また,開示しないという特性

正解:真正性はb、信頼性はa
* 信頼性・・・欠陥や不具合なく、期待した通りの確実処理
* 真正性・・・主張通りであること
* 可用性・・・使用が可能
* 機密性・・・見せない人には見せない

【令和元年秋期 問37】

WPA3はどれか。

  • 正解:無線LANのセキュリティ規格
    • WPA3(Wi-Fi Protected Access 3)
    • 途中で盗み見られてもわからないよう暗号化

HTTP通信の暗号化規格は何か?

  • TLS(Transport Layer Security)、またはHTTPS(Hypertext Transfer Protocol Secure)

TCP/IP通信の暗号化規格は何か?

  • IPsec(IP Security Architecture)アイピーセック

Webサーバで使用するディジタル証明書の規格は何か?

  • ITU-T X.509(エックス ポイント ゴーマルキュー)
    • PKI(公開鍵暗号基盤)で使用
    • 公開鍵証明書の標準フォーマットのこと

【令和元年秋期 問38】

メッセージにRSA方式のディジタル署名を付与して2者間で送受信する。そのときのディジタル署名の検証鍵と使用方法はどれか。

  1. 受信者の公開鍵であり,送信者がメッセージダイジェストからディジタル署名を作成する際に使用する。
  2. 受信者の秘密鍵であり,受信者がディジタル署名からメッセージダイジェストを算出する際に使用する。
  3. 送信者の公開鍵であり,受信者がディジタル署名からメッセージダイジェストを算出する際に使用する。
  4. 送信者の秘密鍵であり,送信者がメッセージダイジェストからディジタル署名を作成する際に使用する。

正解:3

  • 検証鍵:送信者の公開鍵
  • 使用方法:暗号化されたディジタル署名からメッセージダイジェストを複合するときに使う

【平成29年秋期 問36】

ボットネットにおいてC&Cサーバが果たす役割はどれか。

正解:遠隔操作が可能なマルウェアに,情報収集及び攻撃活動を指示する。

  • コマンド&コントロールサーバは悪いやつ。
  • 乗っ取ったサーバーのコントロール役👿👿👿

【平成24年春期 問44】

通信を要求したPCに対し,ARPの仕組みを利用して実現できる通信可否の判定方法のうち,最も適切なものはどれか。

  • 正解:PCのMACアドレスを確認し,事前に登録されているMACアドレスである場合だけ通信を許可する。
    • ARP(Address Resolution Protocol)は、IPアドレスから対応する機器のMACアドレスを取得するプロトコル
    • IPアドレスからMACアドレスを調べる仕組み
    • アドレス・レゾリューション・プロトコル
      • レゾリューションは解決という意味

【平成18年秋期 問66】

フィッシングの手口に該当するものはどれか。

  1. Webページに入力した内容をそのまま表示する部分がある場合,ページ内に悪意のスクリプトを埋め込み,ユーザとサーバに被害を与える。
  2. ウイルスに感染したコンピュータを,インターネットなどのネットワークを通じて外部から操る。
  3. コンピュータ利用者のIPアドレスやWebの閲覧履歴などの個人情報を,ひそかに収集して外部へ送信する。
  4. 電子メールを発信して受信者を誘導し,実在する会社などを装った偽のWebサイトにアクセスさせ,個人情報をだまし取る。

正解:4 有名企業を装ったメールを送信し個人情報を不正に搾取する行為。メール本文に本物そっくりの偽サイトを用意して個人情報を入力させる。

  1. クロスサイトスクリプティング
  2. ボット
  3. スパイウェア

【令和元年秋期 問43】

SIEM(Security Information and Event Management)の機能はどれか。

  1. 隔離された仮想環境でファイルを実行して,C&Cサーバへの通信などの振る舞いを監視する。
  2. 様々な機器から集められたログを総合的に分析し,管理者による分析と対応を支援する。
  3. ネットワーク上の様々な通信機器を集中的に制御し,ネットワーク構成やセキュリティ設定などを変更する。
  4. パケットのヘッダ情報の検査だけではなく,通信先のアプリケーショプログラムを識別して通信を制御する。

正解:2(ログ管理システム)

  • 多様なソフトウェアや機器が出力する大量のログデータを分析し、異常があった場合に管理者に通知したり対策を知らせたりする仕組み
  1. サンドボックス技術
  2. SDN(Software Defined Network)の機能
  3. IPS(侵入防止システム)やWAF(Web Application Firewall)の機能(シームには通信制御機能はない)

【平成17年秋期 問47】

  • トラフィックとは?

トラフィックとは一度に転送できる量のこと。
なので、トラフィック監視とは?ネットワーク上の流れるデータを監視すること。

  • システムオペレーターとは?

利用ユーザがITシステムを利用しやすいように運営管理・保守を行う仕事のこと。

【平成31年春期 問45】

ファジングで得られるセキュリティ上の効果はどれか。

  1. ソフトウェアの脆弱性を自動的に修正できる。
  2. ソフトウェアの脆弱性を検出できる。
  3. 複数のログデータを相関分析し,不正アクセスを検知できる。
  4. 利用者IDを統合的に管理し,統ーしたパスワードポリシを適用できる。

正解:2(ファズと呼ばれる問題が起こりそうなデータを大量に送り込みその応答や挙動を監視することで脆弱性を検出する手法)

【平成22年春期 問41】

パスワードに使用できる文字の種類の数をM,パスワードの文字数をnとするとき,設定できるパスワードの理論的な総数を求める数式はどれか。

正解:Mのn乗

  • 文字種の数:"0~9" の10種類

  • 文字数:4文字

  • "0000"~"9999"の10,000種類の組合せ

    • 10×10×10×10=10,000
  • 文字種の数:"0~9" の10種類

  • 文字数:6文字

  • パスワードの組合せ:1,000,000種類

    • 10×10×10×10×10×10=1,000,000

【平成23年秋期 問44】

電子メール送信時に送信者に対して宛先アドレスの確認を求めるのが有効であるセキュリティ対策はどれか。

  1. OP25Bによるスパム対策
  2. SPFによるスパム対策
  3. 電子メールの誤送信対策
  4. 電子メールの不正中継対策

正解:3

  • 不正中継対策やスパム対策は不特定多数のアドレスへ送信するので宛先確認する意味がない。(むしろ受信者がしたいくらいw)
  • OP25B(Outbound Port25 Blocking)って何?
    • インターネットサービスプロバイダー(回線事業者を通して接続事業をしている会社)を経由せずに、外部のメールサーバーとコネクションを確立しようとする(外向きの25番ポート)を遮断してスパムを防ぐ技術
    • 外向きの ポート25を ブロッキング
  • SPF(Sender Policy Framework)って何?
    • 送信元のDNSにメールサーバのIPアドレスを登録しておき、受信側が確認できることでSMTP接続してきたメールサーバを認証する技術

【令和元年秋期 問42】

1台のファイアウォールによって,外部セグメント,DMZ,内部セグメントの三つのセグメントに分割されたネットワークがあり,このネットワークにおいて,Webサーバと,重要なデータをもつデータベースサーバから成るシステムを使って,利用者向けのWebサービスをインターネットに公開する。インターネットからの不正アクセスから重要なデータを保護するためのサーバの設置方法のうち,最も適切なものはどれか。ここで,Webサーバでは,データベースサーバのフロントエンド処理を行い,ファイアウォールでは,外部セグメントとDMZとの間,及びDMZと内部セグメントとの間の通信は特定のプロトコルだけを許可し,外部セグメントと内部セグメントとの間の直接の通信は許可しないものとする。

  1. WebサーバとデータベースサーバをDMZに設置する。
  2. Webサーバとデータベースサーバを内部セグメントに設置する。
  3. WebサーバをDMZに,データベースサーバを内部セグメントに設置する。
  4. Webサーバを外部セグメントに,データベースサーバをDMZに設置する。

正解:3

  • DMZとは緩衝領域を目的とした社外向けサーバーのこと
    • デミリタライズド・ゾーン
  • ファイアウォールと協力してサーバー攻撃から守る仕組み
    • たとえ話で言うと、家の門扉から玄関までがDMZ
      • 外の世界から門扉の部分をファイアウォール1で守る
      • 門扉から玄関まではDMZ(自分の敷地内だけど外部の人が入りやすい場所。だから大事なものはおかない。不審者いれば警戒する)が役割を果たす
      • 玄関にファイアウォール2
      • 玄関の中に内部セグメント(大事なもの)を置く

【平成30年秋期 問43】

セキュアブートの説明はどれか。

  1. BIOSにパスワードを設定し,PC起動時にBIOSのパスワード入力を要求することによって,OSの不正な起動を防ぐ技術
  2. HDDにパスワードを設定し,PC起動時にHDDのパスワード入力を要求することによって,OSの不正な起動を防ぐ技術
  3. PCの起動時にOSやドライバのディジタル署名を検証し,許可されていないものを実行しないようにすることによって,OS起動前のマルウェアの実行を防ぐ技術
  4. マルウェア対策ソフトをスタートアッププログラムに登録し,OS起動時に自動的にマルウェアスキャンを行うことによって,マルウェアの被害を防ぐ技術

正解:3

  • PCの起動時に、マルウェアに悪さをさせない技術(OS起動よりも前)
  • BIOS(バイオス)はBasic input output System(マザーボードに電気が流れると叩き起こされて、ハードディスクやキーボードにお仕事の準備をさせる)

【平成25年秋期 問43】

コンピュータ犯罪の手口の一つであるサラミ法はどれか。

  1. 回線の一部に秘密にアクセスして他人のパスワードやIDを盗み出してデータを盗用する方法である。
  2. ネットワークを介して送受信されている音声やデータを不正に傍受する方法である。
  3. 不正行為が表面化しない程度に,多数の資産から少しずつ詐取する方法である。
  4. プログラム実行後のコンピュータ内部又はその周囲に残っている情報をひそかに探索して,必要情報を入手する方法である。

正解:3

  • サラミソーセージを丸ごと1本盗んだ場合にはすぐに発覚するが、たくさんあるサラミソーセージから少しずつスライスして合計1本分を盗んだ場合にはなかなか発覚しないことから名づけられた。

【平成30年秋期 問44】

公衆無線LANのアクセスポイントを設置するときのセキュリティ対策と効果の組みのうち,適切なものはどれか。

  1. MACアドレスフィルタリングを設定する(正規端末のMACアドレスに偽装した攻撃者の端末を遮断し、なりすましを防止するため)
  2. SSIDを暗号化する(SSIDを秘匿して、SSIDの盗聴を防止するため)
  3. 自社がレジストらに登録したドメインをアクセスポイントのSSIDに設定する(悪意のあるアクセスポイントの設置を防止するため)
  4. 同一のアクセスポイントに無線で接続している端末同士の通信をアクセスポイントで遮断する。(無断アクセスを防止するため)

正解:4

  1. MACフィルタリングは事前に通していいあるいは通してはダメなMACリストを登録しておきフィルタリングすること。MACアドレスを偽造されてしまうと接続拒否できない。(効果が間違えているのでNG)
  2. SSIDを秘匿にするのはSSIDステルス設定を行うこと。(暗号化というのが間違い。)

「俺は、ここにいるぞー!」な叫びに、自分の名前(SSID、ESSID)を含めないようにする設定

  1. アクセスポイントの名前は類推しやすいと意味がないため、公開されているドメインを使うのは不適切
  2. OK。プライバシーセパレートのこと。同一の無線LANに繋がれた機器について「アクセスポイントに接続するのはOKだけどそれを利用している他の端末にアクセスするのはNGね」セキュリティ保護してくれる機能

【平成24年春期 問43】

サーバ構成の二重化によって期待する効果はどれか。

  1. 可用性の向上
  2. 完全性の向上
  3. 機密性の向上
  4. 責任追跡性の向上

正解:1(可用性とはシステムが正常に動きユーザが必要なときにシステムを利用できること)完全性は改ざんされていないこと。

【平成18年秋期 問64】

  • SSL:主にアプリケーション層のプロトコルを暗号化するために使用するプロトコル
    • OSI参照モデルだと、トランスポート層とセッション層の間
    • TCP/IPモデルだとアプリケーション層とトランスポート層の間
    • 公開鍵暗号方式で共通鍵の受け渡しをして、あとは受け渡した共通鍵方式でやりとりすることで「盗み見られても暗号化されているので大丈夫」な仕組を実現
    • Secure Sockets Layer
    • 今はTLSという名称に
  • MIME(マイム):メールの仕様を拡張できる規格のこと。
    • このおかげで元々半角英数字しか使えなかったメールについて、漢字や画像、音声データを扱えるようになった!
    • multipurpose internet mail extensions
  • S/MIME(エスマイム):上記にセキュリティを加えたもの
    • 暗号化・電子署名を追加
    • Secure / MIME

Discussion

ログインするとコメントできます