calendar

S M T W T F S
1234567
891011121314
15161718192021
22232425262728
2930     
<< September 2019 >>

categories

archives

東京の天気

ただいまの訪問者数

ブログパーツUL5

スポンサーサイト

0

    一定期間更新がないため広告を表示しています

    • 2019.04.27 Saturday
    • -
    • -
    • -
    • -
    • -
    • by スポンサードリンク

    H20春AU午前 問20 セキュリティ

    0

      問20 JIS Q 27001:2006 における情報システムのリスクとその評価に関する記述のうち,適切なものはどれか。

      ア 脅威とは,脆弱性が顕在化する確率のことであり,情報システムに組み込まれた技術的管理策によって決まる。
      イ 脆弱性とは,情報システムに対して悪い影響を与える要因のことであり,自然災害,システム障害,人為的過失及び不正行為に大別される。
      ウ リスクとは,脅威が情報資産の脆弱性につけ込み,情報資産に損失又は損害を与える可能性のことである。
      エ リスク評価とは,リスクの大きさを判断して対策を決めることであり,リスク回避とリスク低減の二つに分類される。

      答え ウ


      H20春AU午前 問18 セキュリティ ★☆☆

      0

        問18 パケットフィルタリング方式の適用によって実現できるものはどれか。

        ア ftpサービスで転送できるファイルとできないファイルを識別し,制御できる。
        イ 通常モードで接続するftpサービスの使用だけを許可できる。
        ウ 特定のポートの通過を禁止して,ネットワークを介したtelnetによるロダインを禁止できる。
        エ 利用する権限をもっている対象者だけに,telnetサービスの使用を許可できる。

        答え ウ
        パケットフィルタリングは、ファイアウォールを通過するパケットの送信元や送信先、IPアドレス/ポート番号/通信の方向などの情報を基に、ネットワークを出入りするデータの流れを選択的に制御(通過または遮断を判断)することです。

        ア ファイルを識別できません。
        イ ftpサービスを識別できません。
        ウ 正しい記述です。
        エ 権限をもっている対象者を識別できません。

        過去の情報セキュリティ試験に何度か出題されています。簡単な問題ですので、間違えないようにしましょう。



        H20春AU午前 問17 セキュリティ

        0

          問17 コンピュータフオレンジクスの説明として,適切なものはどれか。

          ア あらかじめ設定した運用基準に従って,メールサーバを通過する送受信メールをフィルタリングすること
          イ 磁気ディスクなどの書換え可能な記憶媒体を単に初期化するだけでは復元される可能性があるので,覆い隠すようにデータを上書きすること
          ウ ネットワークやホストに対する外部からの攻撃や侵入を検出し,管理者に通報すること
          工 不正アクセスなどコンピュータに関する犯罪の法的な証拠性を明らかにするために,原因究明に必要な情報を収集して分析すること

          答え エ
          コンピュータフォレンジングとは、不正アクセスなどコンピュータに関する犯罪の法的な証拠性を明らかにするために、原因究明に必要な情報を収集して分析することです。最近では不正アクセスだけでなく、情報漏えいを起こした端末や社内で不正行為を行ったコンピュータを調べたりする社内の事後セキュリティ対策としても浸透してきています。

          ア メールサーバのフィルタリングに関する記述です。
          イ HDDを完全消去に関する記述です。全てゼロで埋めることをゼロフィルと呼びます。
          ウ 侵入検知システム(IDS)に関する記述です。
          エ コンピュータフォレンジングに関する記述です。


          H20春AU午前 問16 セキュリティ

          0

            問16 Webアプリケーションの脅威とそのセキュリティ対策の適切な組合せはどれか。

            ア OSコマンドインジェクションを防ぐために,Webアプリケーションが発行するセッションIDを推測困難なものにする。
            イ SQLインジェクションを防ぐために,Webアプリケーション内で問合せを作成する際にバインド機構を使用する。
            ウ クロスサイトスクリプティングを防ぐために,外部から渡す入力データにWebサーバ内のファイル名を直接指定しない。
            エ セッションハイジャックを防ぐために,Webアプリケーションがシェノを起動できないようにする。

            答え イ


            H20春AU午前 問15 セキュリティ

            0

               問15 作成者によってディジタル署名された電子文書に,タイムスタンプ機関がタイムスタンプを付与した。この電子文書を公開する場合のタイムスタンプの効果のうち,適切なものはどれか。

              ア タイムスタンプの時刻以前に存在したことを示し,作成者が,電子文書の作成を否認することを防止する。
              イ タイムスタンプの時刻以前に存在したことを示し,第三者が,電子文書を改ざんすることを防止する。
              ウ タイムスタンプを付与した時刻以降に,作成者が,ほかの電子文書へ流用することを防止する。
              工 タイムスタンプを付与した時刻以降に,第三者が,ほかの電子文書へ流用することを防止する。

              答え ア
              タイムスタンプは、電子データがある時刻に存在していたこと及びその時刻以降に当該電子データが改ざんされていないことを証明できる情報です。


              H20春AU午前 問14 セキュリティ ★☆☆

              0

                 問14 Xさんは,Yさんにインターネットを使って電子メールを送ろうとしている。電子メールの内容を秘密にする必要があるので,公関鍵暗号方式を使って暗号化して送信したい。電子メールの内容を暗号化するのに使用する鍵はどれか。

                  ア Xさんの公開鍵           イ Xさんの秘密鍵
                  ウ Yさんの公開鍵           エ Yさんの秘密鍵

                答え ウ
                公開鍵暗号化方式に関する問題です。最初、私はこの公開鍵の概念がなかなか理解できなかったのですが、シマンテックのHPに掲載してある解説見て一目で理解することができました。

                http://www.symantec.com/ja/jp/business/theme.jsp?themeid=pgp_solutions_encryption_public_key


                H20春AU午前 問12 セキュリティ ★★☆

                0

                  問12 暗号解読のための攻撃法のうち,ブルートフォース攻撃はどれか。

                  ア 与えられた1組の平文と暗号文の鍵候補を総当たりで解読を試みる。
                  イ 暗号化関数の統計的な偏りを線形関数によって近似して解読を試みる。
                  ウ 暗号化装置のソフトウェアやハードウェアの解析を行って解読を試みる。
                  エ 異なる二つの平文とそれぞれの暗号文の差分を観測して解読を試みる。

                  答え ア

                  ア ブルートフォース攻撃に関する記述です。
                  イ 線形解読法に関する記述です。
                  ウ サイドチャネル攻撃に関する記述です。
                  エ 差分解読法に関する記述です。

                  私も詳しくはありませんが、暗号解読法が、以下のページで紹介されていました。
                  http://dev.sbins.co.jp/cryptography/cryptography08.html


                  H20春AU午前 問11 セキュリティ ★★☆

                  0

                     問11 A社のWebサーバは,認証局で生成したWebサーバ用のディジタル証明書を使ってSL通信を行っている。A社のWebサーバにアクセスしたPCが,ディジタル証明書を入手した後に認証局の公開鍵を利用する処理はどれか。


                    ア 暗号化通信に利用する共通鍵を生成し,認証局の公開鍵で暗号化する。
                    イ 認証局の公開鍵を使って,暗号化通信に利用する共通鍵を復号する。
                    ウ 認証局の公関鍵を使って,ディジタル証明書の正当性を検証する。
                    エ 秘匿データを認証局の公開鍵で暗号化する。

                    答え ウ
                    電子メールや文書ファイルにデジタル証明書を付すことにより、次のことが確認できる。
                    ・その文書ファイルなどは本当にその人(発信者)が送ってきたのか
                    ・経路上で何者かによって改ざんされてないか

                    Webサーバでは文書ファイルに、ハッシュ化し自分の秘密鍵で暗号化したデジタル証明書を、文書ファイルに付して、PCに送信します。PCは、認証局の公開鍵を使用してデジタル証明書を解読し、元の文書ファイルの内容と同じことを確認します。
                    認証局で認証された公開鍵を利用することで、発信者から送信されたことが確認できます。また内容が同じことで、途中の改ざんがなかったことが確認できます。



                    H20春AU午前 問10 サービスマネジメント ★★☆

                    0

                      問10 ソフトウェアの保守管理において,保守作業の生産性に影響しないものはどれか。

                      ア 運用中に発生するソフトウェアの障害件数
                      イ ソフトウェアの検証を行うときの難易度
                      ウ ソフトウェアを変更するときの難易度
                      エ プログラムやドキュメントの理解しやすさの度合い

                      答え ア
                      ソフトウェアの保守の生産性は、ソフトウェアの検証、変更、理解しやすさによって影響されます。運用中に発生する障害件数には、影響しません。
                      少し問題を見て悩むかもしれません。実際の現場では、ソフトウェアの障害件数が増加すると、開発要員が障害対応に追われて、保守作業に影響することがあるかもしれません。


                      H20春AU午前 問9 サービスマネジメント ★★☆

                      0

                        問9 ITILのサービスデリバリにおけるサービスレベル管理の説明はどれか。

                        ア ITサービスを供給するために使用されるIT資産と資源を財務的に管理するプロセスである。
                        イ 顧客と提供者の合意事項が達成できるようにITサービスの品質を維持し,改善するプロセスである。
                        ウ サービスの品質を阻害する事象に対して,迅速に元のサービスレベルまで回復させるプロセスである。
                        工 必須となるITインフラとサービス設備が,合意した期限内に回復できるようにするプロセスである。

                        答え イ
                        ITIL(Infomation Technology Infrastruture Library)の「サービスデリバリ」に関する問題です。ITILの中核をなすのが、日々のITサービス運用管理手法について記述した「サービスサポート」と、中長期的なITサービスの管理手法について記述した「サービスデリバリ」に分かれています。
                        「サービスサポート」は、以下の5つのプロセスと1機能で構成されています。
                         ・インシデント管理
                         ・問題管理
                         ・構成管理
                         ・変更管理
                         ・リソース管理
                         ・サービスデスク
                        「サービスデリバリ」は、以下の5つのプロセスで構成されています。
                         ・サービスレベル管理
                         ・ITサービス財務管理
                         ・可用性管理
                         ・ITサービス継続性管理
                         ・キャパシティ管理

                        ア 「ITサービス財務管理」に関する記述です。
                        イ 「サービスレベル管理」に関する記述です。
                        ウ 「可用性管理」に関する記述です。
                        エ 「ITサービス継続性管理」に関する記述です。

                        サービスマネジメントの問題は、新方式以降1~2台程度出題されています。特に、ITILに関する問題は頻出ですので、項目程度はしっかり覚えておきましょう。
                        ~


                        | 1/1PAGES |