資格試験/情報処理技術者試験/情報セキュリティスペシャリスト - ちゃぱてぃ商店IT部 @ ウィキ

ちゃぱてぃ商店IT部 @ ウィキ内検索 / 「資格試験/情報処理技術者試験/情報セキュリティスペシャリスト」で検索した結果

資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問
情報セキュリティスペシャリスト/過去問 2013年(H25)春 2012年(H24)秋情報セキュリティスペシャリストの感想　管理人は2013年秋の情報セキュリティスペシャリスト試験に合格しました。受験にあたっての勉強方法と感想を記したいと思います。管理人の受験歴かなり昔にソフトウェア開発技術者試験に合格（現在の応用情報技術者試験）都合により基本情報技術者試験は受験していません。その後ネットワークスペシャリスト試験を受験、午後１は余裕だが午後２に手も足も出ず不合格。何年か受験せずに2013年秋高度のネットワーク、データベース、エンベデッド、セキュリティの中で一番簡単との噂を聞いて受験しました。　セキュリティスペシャリストを受験するに当って、ネットワークの午後１を簡単に解ける程度に勉強をしていたのは、当試験にとても有利に働きました。セキュリティ...
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/メモ
情報セキュリティスペシャリストのための個人メモソルト(salt) 　パスワードのハッシュを保存する前に、パスワードに付加するランダムな値。　ソルトなしで作成したハッシュはレインボーテーブルを用意に作れるため、安全性が高いとは言えない。　例えばユーザが複数のアカウントでパスワードを共通の文字列「aaaa」とした時に、ソルトがなければハッシュは毎回同じ値となる。ソルトがあれば複数のアカウントそれぞれに別のハッシュが作成されるため、レインボーテーブルを用意するのは困難になる。総当りパスワード推測攻撃(Brute Force Password Guessing Attack)(guessing 解き当てる) 　セッション中のソルトが固定の値になっていたため、総当りパスワード推測攻撃が可能とIPAに出ていたのだけれど、総当り攻撃(Brute Force Attack)の名前が...
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後２/問２設問４－４
設問４　[メールの保管及び検索機能に関する具体的な検討]について、(1)～(4)に答えよ。 (4)　本文中の下線④について、どのような行為を抑止する効果が期待できるか。その行為を25字以内で述べよ。公式解答例：技術情報を含むメールを社外に送信する行為（20文字）解説本文抜粋Ｈ主任：分かりました。それから、④アーカイブサーバの導入によって、メール利用に関する抑止的な効果が期待できますね。　アーカイブサーバの導入、つまりメールの内容が常に証拠として残ってしまう、「悪いことはしない方がいいよ」と従業員に釘を刺す効果があります。メールの利用において抑止されるべきものといえば、「機密情報の流出」「業務外のメール利用」ですが、セキュリティスペシャリスト技術者試験において、後者の業務外の利用は問題文でそれとなく言及されない限りは無視でよいです。　回答内容は「...
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午前２/問８回答
問８　CSIRTの説明として、適切なものはどれか。ア　IPアドレス割り当て方針の決定、DNSルートサーバの運用監視、DNS管理に関する調整などを世界規模で行う組織である。イ　インターネットに関する技術文書を作成し、標準化のための検討を行う組織である。ウ　国レベルや企業・組織内に設置され、コンピュータセキュリティインシデントに関する報告を受け取り、調査し、対応活動を行う組織の総称である。エ　情報技術を利用し、信教や政治的な目標を達成するという目的をもった人や組織の総称である。回答　８正解　ウ解説 IT関連組織に関する問題です。ア　不正解 ICANN(The Internet Corporation for Assigned Names and Numbers アイキャン)の説明です。イ　不正解 ...
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後２/問１設問１－１
設問１　[リスクアセスメント]についいて、(1)に答えよ。 (1) 表３の【ａ】に入れる適切な字句を答えよ。【ａ】：機密性解説情報セキュリティの三本柱。機密性、可用性、完全性です。情報セキュリティスペシャリストを受けるなら覚えておけ！な用語です。機密性とは、必要な人だけがその情報にアクセスできるようにすることです。推測しやすいパスワードでは機密性が低く、推測しにくいパスワードで保護された情報は機密性が高いと言えます。可用性とは、必要な時に確実にアクセスできるようにすることです。複雑なパスワードで守られていても、システムが応答不能になってアクセスできなければ意味はありません。完全性とは、情報が破損しないことです。不完全な暗号/復号でオリジナルの情報が破壊されては意味がありません。設問に戻る
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午前２/問１１回答
問１１　CRYPTRECの活動内容はどれか。ア　客観的な評価によって安全性及び実装性に優れると判断された暗号技術のリストを決定する。イ　情報セキュリティ政策に係る基本戦略の立案、官民における統一的、横断的な情報セキュリティ対策の推進に係る企画などを行う。ウ　組織の情報セキュリティマネジメントシステムについいて評価し認証する制度を運用する。エ　認証機関から貸与された暗号モジュール試験報告書作成支援ツールを用いて暗号モジュールの安全性についての評価試験を行う。回答１１正解　ア解説日本国内のセキュリティ組織に関する問題です。ア　正解 CRYPTREC(CRYPTography Research and Evaluation Committees クリプトグラフィリサーチアンドエヴァリューションコミッティーズ)と...
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2012年秋午前２/問８回答
正解　ア　次の問題へ問８　FIPS140-2を説明したものはどれか。ア　暗号モジュールのセキュリティ要求事項イ　情報セキュリティマネジメント・システムに関する認証基準ウ　ディジタル証明書や証明書失効リストの標準仕様エ　無線LANセキュリティ技術回答　次の問題解説ア　正解　FIPS140-2(Federal Information Processing Standardization 140-2)の説明です。FIPSとは、アメリカ国立標準技術研究所(NIST)が発行している「連邦情報処理標準」の略で、それの140番が「暗号モジュールのためのセキュリティ要求」となっています。イ　不正解　ISMS認証基準(ISO/IEC 27001 2005)のタイトルです。ウ　不正解　X.509の説明です。X.5...
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午前２/問１０回答
問１０　基本評価基準、現状評価基準、環境評価基準の三つの基準でIT製品のセキュリティ脆弱性の深刻さを評価するものはどれか。ア　CVSS　　　イ　ISMS　　　ウ　PCI DSS　　　エ　PMS 回答１０正解　ア解説ア　正解共通脆弱性評価システム CVSS（Common Vulnerability Scoring System コモンバルネラビリティスコアリングシステム)は、情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指し、米国家インフラストラクチャ諮問委員会（NIAC National Infrastructure Advisory Council）のプロジェクトで 2004年10月に原案が作成されました。 CVSSでは、基本評価基準、現状評価基準、環境評価基準の三つの基準で脆弱性を評価します。参考 ...
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2012年秋午後１/問１設問１－１
設問１　本文中の【　ａ　】、【　ｂ　】に入れる適切な字句を解答群の中から選び、記号で答えよ。。ア　APT イ　ATM ウ　Same-Origin エ　XMLHttpRequest オ　アノニマスカ　プライバシ解答【　ａ　】エ　XMLHttpRequest 【　ｂ　】ウ　Same-Origin 解説　Ajaxを用いると、Webページ全体を再描画することなく、現在表示されているWebページの表示の一部だけを更新することができる。例えば、【XMLHttpRequest】を利用するHTMLファイル群をブラウザがダウンロードして実行すると、非同期的又は同期的にWebサーバにアクセスし、そのレスポンスデータを用いてWebページを更新することができる。　しかし、通常、ブラウザではセキュリティ確保のための【Same-Origin】ポリシが採用されているので...
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午前２/問１１
問１１　CRYPTRECの活動内容はどれか。ア　客観的な評価によって安全性及び実装性に優れると判断された暗号技術のリストを決定する。イ　情報セキュリティ政策に係る基本戦略の立案、官民における統一的、横断的な情報セキュリティ対策の推進に係る企画などを行う。ウ　組織の情報セキュリティマネジメントシステムについいて評価し認証する制度を運用する。エ　認証機関から貸与された暗号モジュール試験報告書作成支援ツールを用いて暗号モジュールの安全性についての評価試験を行う。回答１１
メニュー
メニュートップページ ├C言語 ├C++ ├Java/サンプル │├Swing │├帳票 │└Tomcat ├Python ├ruby ├Linux ├Play Framework ├Heroku ├dotCloud ├eclipse ├JavaScript ├環境構築 ├IT用語集 └情報処理技術者試験　└過去問　　├高度共通午前１　　│├2013(H25)秋　　│├2013(H25)春　　│└2012(H24)秋　　├情報セキュリティスペシャリスト　　│├メモ　　│├2013(H25)春　　│└2012(H24)秋　　├ネットワークスペシャリスト　　│└2012(H24)秋　　└データベーススペシャリスト
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2012年秋午前２/問４回答
正解　ア　次の問題へ問４　2011年に経済産業省が公表した”クラウドサービス利用のための情報セキュリティマネジメントガイドライン”を策定された目的について述べたものはどれか。ア　JIS Q 27002の管理策を拡張し、クラウドサービス利用者が情報セキュリティ対策を円滑に行えるようにする。イ　クラウドサービス提供事業者に対して情報セキュリティ監査を実施する方法を利用者に提示する。ウ　クラウドサービスの利用がもたらすセキュリティリスクをサービス提供事業者の視点で提示する。エ　セキュリティリスクの懸念の少ないクラウドサービス提供事業者を利用者が選択できるような格付け基準を提供する。回答　次の問題へ解説ア　正解　”クラウドサービス利用のための情報セキュリティマネジメントガイドライン”の序文 0.1 一般にて「クラウド利用...
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2012年秋午前２/問８
問８　FIPS140-2を説明したものはどれか。ア　暗号モジュールのセキュリティ要求事項イ　情報セキュリティマネジメント・システムに関する認証基準ウ　ディジタル証明書や証明書失効リストの標準仕様エ　無線LANセキュリティ技術回答　次の問題
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2012年秋午前２/問４
問４　2011年に経済産業省が公表した”クラウドサービス利用のための情報セキュリティマネジメントガイドライン”を策定された目的について述べたものはどれか。ア　JIS Q 27002の管理策を拡張し、クラウドサービス利用者が情報セキュリティ対策を円滑に行えるようにする。イ　クラウドサービス提供事業者に対して情報セキュリティ監査を実施する方法を利用者に提示する。ウ　クラウドサービスの利用がもたらすセキュリティリスクをサービス提供事業者の視点で提示する。エ　セキュリティリスクの懸念の少ないクラウドサービス提供事業者を利用者が選択できるような格付け基準を提供する。回答　次の問題へ
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午前２/問２回答
問２　DNSSEC(ENS Security Extensions)の機能はどれか。ア　DNSキャッシュサーバの設定によって再帰的な問い合わせの受付範囲が最大になるようにする。イ　DNSサーバから受け取るリソースコードに対するディジタル署名を利用して、リソースレコードの送信者の正当性とデータの完全性を検証する。ウ　ISPなどのセカンダリDNSサーバを利用して、DNSコンテンツサーバを二重化することで名前解決の可用性を高める。エ　共通鍵暗号化方式とハッシュ関数を利用したセキュアな方法で、DNS更新要求が許可されているエンドポイントを特定し認証する。回答　２正解　イ解説 DNSに関する問題です。参考 IPA 独立行政法人情報処理推進機構：情報セキュリティ技術動向調査（2008 年下期）ア　不正解 ...
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後２/問２設問１－１
設問１　本文中の【　ａ　】、表２中の【　ｂ　】に入れる適切な字句を、それぞれ英字５時以内で答えよ。【　ａ　】：NTP 【　ｂ　】：DKIM 解説セキュリティスペシャリストに関係する基本的な用語の問題です。本文抜粋　外部DNSサーバは、インターネット上の時刻サーバとの間で、【　ａ　】を用いて時刻同期を行っている。FW及び情報システムの各サーバは、外部DNSサーバとの間で、【　ａ　】を用いて時刻同期を行っている。時刻同期とくれば、NTP(Network Time Protocol)です。時刻とセキュリティに何の関係が？というと、ログに正確な時刻を記録することは、インシデント発生時の解析において必須事項であると言えます。表２　各サーバのメールに関する機能及び動作概要サーバ名機能動作概要外部メールサーバメール転送 SMPTを使用し、...
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後２/問２設問５－３
設問５　[電子提出機能に関する具体的な検討]について、(1)～(3)に答えよ。 (3)　本文中の下線⑥について、確認する手順を40字以内で具体的に述べよ。公式解答例：アーカイブタイムスタンプが有効期間内に偽造されない強度があること（39文字）解説本文抜粋　Ｈ主任とＪさんは、⑥情報セキュリティ技術の観点から、アーカイブタイムスタンプについての事項を確認する手順を図４の２．に追加した。　やや難解な日本語というか聞きなれない日本語になっています。「事項を確認する」というと、普通は「注意事項を確認」や「制限事項を確認」「以下の事項を確認」になると思うのですが。逆に考えて「アーカイブタイムスタンプについて情報セキュリティ技術の観点からナニカを確認する手順」そして、ナニカとは何か？という問題だと思うことにしました。つまりは「情報セキュリティの観点からアーカイブ...
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後１/問４
問４　情報漏えい対策に関する次の記述を読んで、設問１～４に答えよ。　Ｌ社は、従業員数200名のソフトウェアパッケージ開発会社である。Ｌ社では、自社で開発したソフトウェアパッケージを、顧客ごとの要件に合わせてカスタマイズする業務を行なっている。商談の早い段階から、開発部門、営業部門など各部門の関係するメンバ（以下、プロジェクトメンバという）でプロジェクトほ編成し、プロジェトマネージャの下で業務を行なっている。 [Ｌ社のシステムの構成] 　Ｌ社のシステムの構成を図１に示す。　社内LAN上のPCからのインターネットの利用は、DMZ上のプロキシサーバ経由でのWebへのアクセスと、DMZ上のメールサーバ経由での電子メール（以下、メールという）の送受信の二つだけが許可されている。社内業務の多くは、社内LAN上のファイルサーバでファイルを共有して行われている。 [機...
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後２/問２設問５－２
設問５　[電子提出機能に関する具体的な検討]について、(1)～(3)に答えよ。 (2)　図４中の下線⑤の手順を、60字以内で具体的に述べよ。公式解答例：作成したDVD-Rの情報を、Ｗ社のネットワークを用いて工場に転送し、工場で複製DVD-Rの作成及び保管を行う。（55文字）公式解答例：複製したDVD-Rを安全性が確保された手段で遠隔地の保管業者へ運送し、その保管業者で保管する。（47文字）解説セキュリティスペシャリストでは頻出の災害対策の問題です。本文抜粋図４　DVD-Rの保管方法案１．DVD-Rの読取確認　DVD-Rの読取確認を１年ごとに実施する。２．アーカイブタイムスタンプの付与、並びにDVD-Rの作成及び保管　アーカイブタイムスタンプの付与及びDVD-Rの作成の手順、並びに⑤災害対策としてのDVD-Rの作成及び保管の手順を作...
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2012年秋午前２/問１２回答
正解　エ　次の問題へ問１２　ディジタルフォレンジックスを説明したものはどれか。ア　画像や音楽などのディジタルコンテンツに著作権者などの情報を埋め込む。イ　コンピュータやネットワークのセキュリティ上の弱点を発見するテスト手法の一つであり、システムに実際に攻撃して侵入を試みる。ウ　ネットワークの管理者や利用者などから、巧みな話術や盗み聞き、盗み見などの手段にって、パスワード等のセキュリティ上重要な情報を入手する。エ　犯罪に対し証拠となり得るデータを保全し、その後の訴訟などに備える。回答　次の問題解説ア　不正解　デジタルウォーターマークの説明です。また、画像にメッセージを秘匿する技術全般は「ステガノグラフィ」、紙の透かしを「ウォーターマーク」と呼びます。これらの用語はしばしばシャッフルされて用いられます。イ　...
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後１/問１設問３－２
(2)　本文中の下線④について、攻撃者が突破を試みたＪ社のセキュリティ対策とは何か。30字以内で具体的に述べよ。公式解答例：RD-LANと他のネットワークを物理的に隔離（22文字）管理人回答：RD-LANを隔離し最小限のデータをUSBメモリで受渡しする（30文字）解説 ④Ｊ社のネットワーク構成上のセキュリティ対策を知り、それを突破できるようにML5を送り込んだまず、Ｊ社のネットワークでもっとも力を入れている部分が以下になります。機密保護の観点から、RD-LANは、他のネットワークと物理的に隔離されている。RD-LANと他のネットワーク間のデータの受け渡しは、Ｊ社の情報セキュリティポリシに従ってＪ社所有のUSBメモリを介して行われ、必要最小限にとどめられている。そして、ML5の解析結果から ML5に感染したPCにUSBメモリが接続されると、ML5が自身...
資格試験/情報処理技術者試験/高度共通午前１/過去問2013年春午前１/問２１回答
問２１　情報セキュリティに関する従業員の責任について、「情報セキュリティ管理基準」に基づいて監査を行った。指摘事項に該当するものはどれか。ア　雇用の終了をもって守秘責任が解消されることが、雇用契約に定められている。イ　定められた勤務時間以外においても守秘責任を負うことが、雇用契約にさだめられている。ウ　定められた守秘責任を果たさなかった場合、相応の措置がとられることが、雇用契約に定められている。エ　定められた内容の守秘義務契約書に署名することが、雇用契約に定められている。問２１回答正解　ア解説情報セキュリティ管理基準とは、経済産業省が発行する情報セキュリティ監査制度のガイドラインである。指摘事項とはつまり、ガイドラインに違反している状態を指摘されることである。ア　正解情報セキュリティ管理基準から引用「4.3...
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後１/問１
問１　マルウェア解析に関する次の記述を読んで、設問１～３に答えよ。　Ｊ社は、新薬の研究開発を行なっている従業員数100名の研究所であり、ある特殊な分野の研究開発で世界的に高い評価を受けている。Ｊ社のネットワークは、研究開発事業で利用するネットワーク（以下、RD-LANという）、外部との情報交換に利用するネットワーク（以下、OA-LANという）及びDMZの三つで構成されている。Ｊ社のネットワーク構成ほ図１に示す。（１）RD-LANはRDサーバと十数台のPCで構成されている。RDサーバには、Ｊ社において最も機密度が高い情報である新薬の研究報告書が、電子ファイルとして保管されている。機密保護の観点から、RD-LANは、他のネットワークと物理的に隔離されている。RD-LANと他のネットワーク間のデータの受け渡しは、Ｊ社の情報セキュリティポリシに従ってＪ社所有のUSBメモリを介して行...
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後１/問３
問３　リモートアクセス環境の情報セキュリティ対策に関する次の記述を読んで、設問１～４に答えよ。　Ｈ社は、従業員数600名の産業用機会製造・販売会社であり、本社と８か所の支店がある。Ｈ社では、全従業員に１台ずつデスクトップPCを貸与している。他拠点への出張が多い従業員と、外出が多い営業部員には、社外持ち出し用PCも貸与している。社外持ち出し用PCは、出張先で業務システムから業務データを取り出せるように、拠点の社内ＬＡＮに接続して業務システムを使うことが許可されている。　また、営業部員にはリモートアクセス環境が提供されている。Ｈ社には20の業務システムがあり、全てデータセンタ（以下、DCという）に設置されているが、現在リモートアクセス環境で利用できる業務システムは、営業支援システムだけである。　現在Ｈ社では、PC管理の効率化、及び従業員の利便性向上を目的としてデスクトップ仮想化に...
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2012年秋午後１/問１
問１　インターネットWebサイトの刷新に関する次の記述を読んで、設問１～４に答えよ。　Ａ社は、従業員数700名の外食サービス会社であり、地方都市で事業を展開している。Ａ社グループ傘下には、レストラン、ピザ店及びハンバーガー店がある。Ａ社では、これまで、様々な業務のシステム化を行ってきたが、今年末の宅配すし事業の立上げを契機に、販売促進システムの一部であるインターネットWebサイトにおけるサービス向上を検討することになった。 [Ａ社のインターネットWebサイトの概要] 　Ａ社のインターネットWebサイトには、一般公開用のもの(以下、一般サイトという。ドメインはa-sha-co.jp)と、事前に登録した会員向けのもの(以下、会員サイトという。ドメインはa-sha-kaiin.com)がある。　一般サイトでは、会社情報及び商品情報を提供しており、誰でも閲覧できる。一般サイトはコ...
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2012年秋午後１/問３
問３　標的型攻撃メールへの対応に関する次の記述を読んで、設問１～３に答えよ。　Ｚ社は、従業員数300名の家具卸売会社であり、メーカ10社から商品を仕入れ、小売店20社に販売している。Ｚ社のインターネット接続環境はインターネット上のWebサイトにアクセスしたり、電子メール(以下、メールという)を送受信したりしている。メールの送受信のために、インターネットドメイン名z-sha.co.jpを取得している。z-sha.co.jpのゾーン情報は、外部業者の保有するDNSサーバに登録し、管理を委託している。 PC 　PCからのインターネット利用は、ブラウザによるWebアクセスと、メールクライアントによるメール送受信に限定する。 AUT 　従業員のアカウント管理用ディレクトリを保有する。DNSサーバとして、社内で利用するイントラネットドメインのゾーン管理を行い、社内のPC...
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2012年秋午前２/問１２
問１２　ディジタルフォレンジックスを説明したものはどれか。ア　画像や音楽などのディジタルコンテンツに著作権者などの情報を埋め込む。イ　コンピュータやネットワークのセキュリティ上の弱点を発見するテスト手法の一つであり、システムに実際に攻撃して侵入を試みる。ウ　ネットワークの管理者や利用者などから、巧みな話術や盗み聞き、盗み見などの手段にって、パスワード等のセキュリティ上重要な情報を入手する。エ　犯罪に対し証拠となり得るデータを保全し、その後の訴訟などに備える。回答　次の問題
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後１/問３/設問１－１
設問１　図１中の下線①によって得られるセキュリティ上の効果を、40字以内で具体的に述べよ。公式解答例：社外持出し用PCの紛失や盗難による情報漏えいリスクを低減する効果（32文字）管理人解答：他拠点から出張する社員が持ち運ぶ端末の紛失及び盗難リスクを回避できる（35文字）部分点６割ぐらい貰えるかな？解説本文抜粋 (b) 社内で利用しているデスクトップPCは全て回収し、デスクトップPC型のシンクライアント端末（以下、DTという）を全従業員に貸与する。また、①本社及び支店に、共用端末として数台のDTを設置し、他拠点から出張中の従業員が利用できるようにするとともに、出張時のPC利用に関するルールを設ける。この試験では、PCの社外持出しと来たら「紛失・盗難・情報漏えい」です。管理人は「他拠点から出張する社員」をねじ込もうとして「情報漏えい」が抜けてしまいました。こ...
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後２/問１設問２－２
設問２　[セキュリティ仕様の決定]について、(1)～(4)に答えよ。 (2) 表５中の【　ｅ　】に入れる適切なリスクNo.を一つ答えよ。【　ｅ　】：2 解説本文抜粋機能仕様リスクNo. 1) Web画面入出力・Web画面からの入力については、全て値チェックを行う。・Web画面の出力時には、エスケープ処理を行う。（以下、省略）【ｅ】 Web画面入出力に導入した以下の対策に対応するリスクNoを表４から一つ答えよ、という問題です。 Web画面からの入力については、全て値チェックを行う。 Web画面の出力時には、エスケープ処理を行う。表４を見てみましょう。表４　顧客データに対するリスク分析の結果（抜粋）リスクNo. 脅威脆弱性被害発生確率 1) 深刻度 2) 対応要否 3) 1 インターネット経由のHSSへの不正アクセス【ｂ】...
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後２/問１設問２－４
設問２　[セキュリティ仕様の決定]について、(1)～(4)に答えよ。 (4) 表６中の【ｇ】に入れる適切な字句を40字以内で述べよ。公式解答例：セキュリティ修正プログラムが公表されたら速やかに適用する。（30文字）管理人解答：定期的にWebサーバ基板のセキュリティパッチを導入する。（28文字）解説本文抜粋表６　HSSの運用管理に関する要件（抜粋）適用対象要件リスクNo. 1) インターネットからのアクセスを受け付けるWebサーバ・【　ｇ　】 3 表４　顧客データに対するリスク分析の結果（抜粋）リスクNo. 脅威脆弱性被害発生確率 1) 深刻度 2) 対応要否 3) 3 インターネット経由のHSSへの不正アクセス Webサーバ基板のセキュリティホール情報漏えい中高要この問題は、インターネットからのアクセスを受け付けるW...
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午前２/問８
問８　CSIRTの説明として、適切なものはどれか。ア　IPアドレス割り当て方針の決定、DNSルートサーバの運用監視、DNS管理に関する調整などを世界規模で行う組織である。イ　インターネットに関する技術文書を作成し、標準化のための検討を行う組織である。ウ　国レベルや企業・組織内に設置され、コンピュータセキュリティインシデントに関する報告を受け取り、調査し、対応活動を行う組織の総称である。エ　情報技術を利用し、信教や政治的な目標を達成するという目的をもった人や組織の総称である。回答　８
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午前２/問９回答
問９　NISTの定義によるクライドコンピューティングのサービスモデルにおいて、パブリッククラウドサービスの利用企業のシステム管理者が、仮想サーバのゲストOSに係る設定作業及びセキュリティパッチ管理作業を実施可かどうかの組み合わせのうち、適切なものはどれか。 IaaS Paas SaaS ア実施可実施可実施不可イ実施可実施不可実施不可ウ実施不可実施可実施不可エ実施不可実施不可実施可回答　９正解　イ解説クラウドサービスに関する問題です。 IaaS(Infrastructure as a Service インフラストラクチャアズアサービス)とは仮想マシンやネットワークなどのインフラそのものを、インターネット経由のサービスとして提供するサービスです。さくらインターネットやAmazon EC2のVPS(Virtu...
資格試験/情報処理技術者試験/高度共通午前１/過去問2012年秋午前１/問６回答
正解　イ　次の問題へ問６　図の回線網における福島・東京間の回線の稼働率はおよそ幾らか。ここで、隣接するノード間の回線の稼働率は全て0.9とする。ア　0.81 イ　0.88 ウ　0.89 エ　0.98 回答次の問題解説稼働率の計算問題です。稼働率の計算は、情報処理技術者試験では頻出なので覚えておきましょう。 ■直列の稼働率　直列の稼働率は、稼働率同士の掛け算で求められます。図の大阪・名古屋・東京間の稼働率は稼働率が共に0.9なので、0.9*0.9=0.81になります。 ■並列の稼働率　並列の稼働率は、まず稼働率の反対である休止率を求めます。休止率を求めるには、稼働率の反対(１引く稼働率)同士の掛け算を行います。図の大阪東京間の稼働率が0.9、大阪・名古屋・東京間の稼働率は0.81なので、...
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後１/問４/設問３－２
(2) 2.の対策で想定しているセキュリティ上のリスクを、40字以内で述べよ。また、【　ｃ　】に入れる具体的な対策を、20字以内で述べよ。公式解答例：リスク：インターネットを利用して機密情報を社外持出しPCの外部に送信できる（35文字）対策：VPN装置経由だけを許可する（14文字）管理人解答：リスク：社外持出し用PCからインターネットを通じて機密情報が漏えいするリスク（34文字）対策：Ｌ社のプロキシサーバでフィルタリングする（20文字）解説リスクを読み取る問題です。 2.の対策抜粋 2. インターネットアクセスの情報漏えい対策　社内からのインターネットアクセスと比較して、社外での社外持出し用PCからのインターネットアクセスはセキュリティ上のリスクが大きいので、社内からのインターネットアクセスと同様の制限を課すために、...
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午前２/問２３回答
問２３　SOA(Service Oriented Architecture)でサービスを設計する際の注意点のうち、適切なものはどれか。ア　可用性を高めるために、ステートフルなインターフェイスとする。イ　業務からの独立性を確保するために、サービスの命名は役割を表すものとする。ウ　業務の変化に対応しやすくするために、サービス間の関係は疎結合にする。エ　セキュリティを高めるために、一度開発したサービスは再利用しない方がよい。回答２３正解　ウ解説ア　不正解ステートフルとは、前後の文脈を判断することを意味します。反対にステートレスは前後の文脈を判断しません。例ステートフルな買い物カゴ機能「お米10k追加」「キャベツ１玉追加」「卵１パック追加」「やっぱりお米なしで」と４つのイベントを受け取ると、最...
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後２/問１設問２－３
設問２　[セキュリティ仕様の決定]について、(1)～(4)に答えよ。 (3) 表６中の【ｆ】に入れる適切なリスクNo.を二つ答えよ。【ｆ】：2, 3（9,10も捨てがたいがHSSでの管理不要だから）解説本文抜粋適用対象要件リスクNo. 1) インターネットからのアクセスを受け付ける回線・ファイアウォールを設置し最小限のアクセスだけを許可する。・IPSを設置し、不正アクセスの検出と、自動遮断を行う。・Webアプリケーションファイアウォールを設置し、不正なHTTPアクセスを遮断する。【ｆ】インターネットからのアクセスを受け付ける回線に行う以下の対策は、どのリスクNoに対応する対策かを問われています。ファイアウォールを設置し最小限のアクセスだけを許可する。 IPSを設置し、不正アクセスの検出と、自動遮断を行う。 Webアプリケーションファイア...
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後２/問１設問１－２
設問１　[リスクアセスメント]についいて、(2)に答えよ。 (2) 表４の中の【ｂ】、【ｃ】に入れる適切な字句を解答群の中から選び、記号で答えよ。ア　管理端末の保守体制の不備イ　推測可能なパスワードウ　耐震性能の不足エ　データセンタの施錠管理不良オ　美容室の施錠管理不良カ　防火体制の不備【ｂ】：イ【ｃ】：オ解説表４　顧客データに対するリスク分析の結果（抜粋）リスクNo. 脅威脆弱性被害発生確率 1) 深刻度 2) 対応要否 3) 1 インターネット経由のHSSへの不正アクセス【　ｂ　】情報漏えい高高要 2 Webアプリケーションのセキュリティホール情報漏えい中高要 3 Webサーバ基板のセキュリティホール情報漏えい中高要 4 脆弱な認証とアクセス権管理の仕組み情報漏え...
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午前２/問９
問９　NISTの定義によるクライドコンピューティングのサービスモデルにおいて、パブリッククラウドサービスの利用企業のシステム管理者が、仮想サーバのゲストOSに係る設定作業及びセキュリティパッチ管理作業を実施可かどうかの組み合わせのうち、適切なものはどれか。 IaaS Paas SaaS ア実施可実施可実施不可イ実施可実施不可実施不可ウ実施不可実施可実施不可エ実施不可実施不可実施可回答　９
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2012年秋午前２/問３
問３　SEO(Search Engine Optimization)ポイズニングの説明はどれか。ア　Web検索サイトの順位付けアルゴリズムを悪用して、キーワードで検索した結果の上位に、悪意のあるサイトを意図的に表示させる。イ　ウイルス検索エンジンのセキュリティ上の脆弱性を悪用して、システム権限で不正な処理を実行させる。ウ　車などで移動しながら、無線LANのアクセスポイントを探しだして、ネットワークに不正侵入する。エ　ネットワークを流れるパケットから、不正侵入のパターンに合致するものを検出して、管理者への通知や、検出した内容の記録を行う。回答　次の問題
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後２/問１
問１　業務パッケージの開発に関する次の記述を読んで、設問１～４に答えよ。　Ｕ社は、従業員数100名のソフトウェア開発会社で、以前は受託開発を主に行っていたが、数年前から業務パッケージの開発も手がけるようになり、業績を伸ばしている。今回、新たに美容室向けの自社製品として、表１の機能を備えた美容室管理システム（以下、HSSという）を開発することが決まり、Ｍ専務が開発責任者になった。Ｍ専務は、美容室がHSSを運用することは難しいと考え、Ｕ社がHSSを運用し、インターネット経由で美容室へサービスを提供する、いわゆるSaaS型の商品とすることにした。また、美容室間の情報の独立性を高めるために、美容室ごとに仮想サーバを用意し、その上でHSSを運用することにした。表１　HSSの機能機能名称機能概要顧客管理美容室の顧客の氏名、住所、注文履歴などの管理予約管理来店予約の管理従業...
資格試験/情報処理技術者試験/高度共通午前１/過去問2013年秋午前１/問１４
問１４　ISMSにおいて定義することが求められている情報セキュリティ基本方針に関する記述のうち、適切なものはどれか。ア　重要な基本方針を定めた機密文書であり、社内の関係者以外の目に触れないようにする。イ　情報セキュリティの基本方針を述べたものであり、ビジネス環境や技術が変化しても変更してはならない。ウ　情報セキュリティのための経営陣の方向性及び支持を規定する。エ　特定のシステムについてリスク分析を行い、そのセキュリティ対策とシステム運用の詳細を記述する。回答　次の問題
資格試験/情報処理技術者試験/高度共通午前１/過去問2013年秋午前１/問１４回答
正解　ウ　次の問題へ問１４　ISMSにおいて定義することが求められている情報セキュリティ基本方針に関する記述のうち、適切なものはどれか。ア　重要な基本方針を定めた機密文書であり、社内の関係者以外の目に触れないようにする。イ　情報セキュリティの基本方針を述べたものであり、ビジネス環境や技術が変化しても変更してはならない。ウ　情報セキュリティのための経営陣の方向性及び支持を規定する。エ　特定のシステムについてリスク分析を行い、そのセキュリティ対策とシステム運用の詳細を記述する。回答　次の問題解説ア　不正解　情報セキュリティ基本方針は、以下のリンクのように広く公開することもできるので不正解です。情報セキュリティ基本方針 - Cisco Systems 　http //www.cisco.com/web/JP/ne...
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午前２/問１０
問１０　基本評価基準、現状評価基準、環境評価基準の三つの基準でIT製品のセキュリティ脆弱性の深刻さを評価するものはどれか。ア　CVSS　　　イ　ISMS　　　ウ　PCI DSS　　　エ　PMS 回答１０
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午前２/問２３
問２３　SOA(Service Oriented Architecture)でサービスを設計する際の注意点のうち、適切なものはどれか。ア　可用性を高めるために、ステートフルなインターフェイスとする。イ　業務からの独立性を確保するために、サービスの命名は役割を表すものとする。ウ　業務の変化に対応しやすくするために、サービス間の関係は疎結合にする。エ　セキュリティを高めるために、一度開発したサービスは再利用しない方がよい。回答２３
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2012年秋午前２/問１３
問１３　ゼロデイ攻撃の特徴はどれか。ア　セキュリティパッチが提供される前にパッチが対象とする脆弱性を攻撃する。イ　特定のサイトに対し、日時を決めて複数台のPCから同時に攻撃する。ウ　特定のターゲットに対し、フィッシングメールを送信して不正サイトへ誘導する。エ　不正中継が可能なメールサーバを見つけた後、それを踏み台にチェーンメールを大量に送信する。回答　次の問題
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2012年秋午前２/問３回答
正解ア　次の問題へ問３　SEO(Search Engine Optimization)ポイズニングの説明はどれか。ア　Web検索サイトの順位付けアルゴリズムを悪用して、キーワードで検索した結果の上位に、悪意のあるサイトを意図的に表示させる。イ　ウイルス検索エンジンのセキュリティ上の脆弱性を悪用して、システム権限で不正な処理を実行させる。ウ　車などで移動しながら、無線LANのアクセスポイントを探しだして、ネットワークに不正侵入する。エ　ネットワークを流れるパケットから、不正侵入のパターンに合致するものを検出して、管理者への通知や、検出した内容の記録を行う。回答　次の問題解説ア　正解　SEOポイズニングの説明です。イ　不正解　実際にあったウイルス対策ソフトの脆弱性の説明です。UPXという実行ファ...
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後１/問２/設問１－１
(1)　本文中の【　ａ　】～【　ｃ　】に入れる適切な字句を、【　ａ　】については英字5字以内、【　ｂ　】については6字以内、【　ｃ　】については英字8字以内で答えよ。この問題に必要な知識：セキュリティとネットワークの基礎知識ａ：UDP（3文字）ｂ：3way（4文字）　スリーウェイ（6文字）もきっと行けるｃ：DNSSEC（6文字）解説ネットワークとセキュリティの基礎知識の問題です。【　ａ　】 DNSの名前解決で利用するのは主にUDPです。さらに、比較対象としてTCPが出てきているので、TCPと比較されるとしたらUDPだよねと思い出せるボーナス問題です。【　ｂ　】 TCPは3wayハンドシェイクでコネクションを確立します。ネットワークの基礎知識です。【　ｃ　】 DNSのセキュリティ対策には、再帰的な問合せの制限...
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午前２/問６回答
問６　SMTP-AUTHにおける認証の動作を説明したものはどれか。ア　SMTPサーバに電子メールを送信する前に、電子メールを受信し、その際にパスワード認証が行われたクライアントのIPアドレスは、一定時間だけ電子メールの送信が許可される。イ　クライアントがSMTPサーバにアクセスしたときに利用者認証を行い、許可された利用者だけから電子メールを受け付ける。ウ　サーバは認証局のディジタル証明書をもち、クライアントから送信された認証局の署名付きクライアントの証明書の妥当性を確認する。エ　利用者が電子メールを受信する際の認証情報を秘匿できるように、パスワードからハッシュ値を計算して、その値で利用者認証を行う。回答　６正解　イ解説メールのセキュリティに関する問題です。ア　不正解 POP befor SMTPの説明で...
資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2012年秋午後１/問３設問３－１
設問３　[標的型攻撃への対策]について、(1)～(4)に答えよ。 (1) 本文中の下線①について、Ａ君の対応のうち、添付されていたメールを不用意に開いた点以外の不適切だった点を20字以内で述べよ。公式解答例：メール内の社外サイトのリンクをたどった(19文字) 解説本文抜粋　しばらくたったある日、今度はＹ社情報システム部からＡ君に対して、”あなたが差出人の不審なメールが届いた。そのメールを添付したので、確認して欲しい”という問合わせメールが届いた。添付されていたメールは、Ａ君が開いて確認すると、確かにＡ君が差出人になっていたが、心当たりのないものだった。そのメールには添付ファイルはなかったが、本文に社外サイトへのリンクが記入されていた。Ａ君がリンクをたどったところ、やはり心当たりのない社外サイトであった。Ａ君はこの事態をセキュリティデスクに通報した。　ま...
資格試験/情報処理技術者試験/データベーススペシャリスト/過去問
データベーススペシャリスト/過去問 2013年(H25)秋
@wiki全体から「資格試験/情報処理技術者試験/情報セキュリティスペシャリスト」で調べる

更新順にページ一覧表示 | 作成順にページ一覧表示 | ページ名順にページ一覧表示 | wiki内検索

[Amazon商品]

ASINが有効ではありません。

ちゃぱてぃ商店IT部 @ ウィキ

メニュー

ちゃぱてぃ商店IT部 @ ウィキ内検索 / 「資格試験/情報処理技術者試験/情報セキュリティスペシャリスト」で検索した結果