資格部

資格・検定の試験情報、対策方法、問題解説などをご紹介

2022-09-28から1日間の記事一覧

FE 科目B試験 サンプル問題解説

基本情報技術者試験および情報セキュリティマネジメント試験について、2022年4月25日に大幅な試験制度の変更が発表されました。 www.jitec.ipa.go.jp 特に基本情報技術者試験の午後試験が科目B試験となり、範囲が「アルゴリズム」「セキュリティ」の2つに限…

SC セキュリティ実装技術㉘

電子メールをスマートフォンで受信する際のメールサーバとスマートフォンとの間の通信を,メール本文を含めて暗号化するプロトコルはどれか。 APOP IMAPS POP3 SMTP Submission 解答・解説 (adsbygoogle = window.adsbygoogle || []).push({}); 解答 イ 解説…

SC セキュリティ実装技術㉗

レイヤ3ネットワーク内に論理的なレイヤ2ネットワークをカプセル化によって構築するプロトコルはどれか。 IEEE 802.1ad(QinQ) IPsec PPPoE VXLAN 解答・解説 (adsbygoogle = window.adsbygoogle || []).push({}); 解答 エ 解説 IEEE 802.1ad(QinQ)VLANを…

SC セキュリティ実装技術㉖

TLS 1.3の暗号スイートに関する説明のうち,適切なものはどれか。 TLS1.2で規定されている共通鍵暗号AES-CBCを必須の暗号アルゴリズムとして継続利用できるようにしている。 Wi-Fiアライアンスにおいて規格化されている。 サーバとクライアントのそれぞれが…

SC セキュリティ実装技術㉕

HSTS(HTTP Strict Transport Security)の説明はどれか。 HSTSを利用するWebサイトにWebブラウザがHTTPでアクセスした場合,Webブラウザから当該サイトへのその後のアクセスを強制的にHTTP over TLS(HTTPS)にする。 HSTSを利用するWebサイトにWebブラウザ…

SC セキュリティ実装技術㉔

安全なWebアプリケーションの作り方について,攻撃と対策の適切な組合せはどれか。 攻撃 対策 ア SQLインジェクション SQL文の組立てに静的プレースホルダを使用する。 イ クロスサイトスクリプティング 任意の外部サイトのスタイルシートを取り込めるように…

SC 情報セキュリティ対策㉒

RFC 8110 に基づいたものであり,公衆無線LANなどでパスフレーズなどでの認証なしに,端末とアクセスポイントとの間の無線通信を暗号化するものはどれか。 Enhanced Open FIDO2 WebAuthn WPA3 解答・解説 (adsbygoogle = window.adsbygoogle || []).push({})…

SC 情報セキュリティ対策㉑

内部ネットワークにあるPCからインターネット上のWebサイトを参照するときは,DMZにあるVDI(Virtual Desktop Infrastructure)サーバ上の仮想マシンからログインし,仮想マシン上のWebブラウザを必ず利用するシステムを導入する。インターネット上のWebサイ…

SC 情報セキュリティ対策⑳

マルウェアの検出手法であるビヘイビア法を説明したものはどれか。 あらかじめ特徴的なコードをパターンとして登録したマルウェア定義ファイルてマルウェア検査対象と比較し,同じパターンがあればマルウェアとして検出する。 マルウェアに感染していないこ…

SC 情報セキュリティ対策⑲

セキュリティ対策として,CASB(Cloud Access Security Broker)を利用した際の効果はどれか。 クラウドサービスプロバイダが,運用しているクラウドサービスに対してDDoS攻撃対策を行うことによって,クラウドサービスの可用性低下を緩和できる。 クラウド…

SC 情報セキュリティ対策⑱

DNSにおいてDNS CAA(Certification Authority Authorization)レコードを使うことによるセキュリティ上の効果はどれか。 WebサイトにアクセスしたときのWebブラウザに鍵マークが表示されていれば当該サイトが安全であることを,利用者が確認できる。 Webサ…

SC 情報セキュリティ管理⑮

経済産業省とIPAが策定した“サイバーセキュリティ経営ガイドライン(Ver2.0)”に関する記述のうち,適切なものはどれか。 経営者が,実施するサイバーセキュリティ対策を投資ではなくコストとして捉えることを重視し,コストパフォーマンスの良いサイバーセ…

SC 情報セキュリティ管理⑭

安全・安心なIT社会を実現するために創設された制度であり,IPA“中小企業の情報セキュリティ対策ガイドライン”に沿った情報セキュリティ対策に取り組むことを中小企業などが自己宣言するものはどれか。 ISMS適合性評価制度 ITセキュリティ評価及び認証制度 M…

SC 情報セキュリティ管理⑬

JIS Q 27002:2014には記載されていないが,JIS Q 27017:2016には記載されている管理策はどれか。 クラウドサービス固有の情報セキュリティ管理策 事業継続マネジメントシステムにおける管理策 情報セキュリティガバナンスにおける管理策 制御システム固有の…

SC 情報セキュリティ㊽

量子暗号の特徴として,適切なものはどれか。 暗号化と復号の処理を,量子コンピュータを用いて瞬時に行うことができるので,従来のコンピュータでの処理に比べて大量のデータの秘匿を短時間で実現できる。 共通鍵暗号方式であり,従来の情報の取扱量の最小…

SC 情報セキュリティ㊼

標的型攻撃における攻撃者の行動をモデル化したものの一つにサイバーキルチェーンがあり,攻撃者の行動を7段階に分類している。標的とした会社に対する攻撃者の行動のうち,偵察の段階に分類されるものはどれか。 攻撃者が,インターネットに公開されていな…

SC 情報セキュリティ㊻

パスワードに使用できる文字の種類の数をM,パスワードの文字数をnとするとき,設定できるパスワードの理論的な総数を求める数式はどれか。 解答・解説 (adsbygoogle = window.adsbygoogle || []).push({}); 解答 ア 解説 各文字がM種類であり、それがn文字…

SC 情報セキュリティ㊺

ネットワークカメラなどのIoT機器ではTCP23番ポートへの攻撃が多い理由はどれか。 TCP23番ポートはIoT機器の操作用プロトコルで使用されており,そのプロトコルを用いると,初期パスワードを使った不正ログインが成功し,不正にIoT機器を操作できることが多…

SC 情報セキュリティ㊹

サイバーキルチェーンに関する説明として,適切なものはどれか。 委託先の情報セキュリティリスクが委託元にも影響するという考え方を基にしたリスク分析のこと 攻撃者がクライアントとサーバとの間の通信を中継し,あたかもクライアントとサーバが直接通信…

SC 情報セキュリティ㊸

シングルサインオンの実装方式の一つであるSAML認証の特徴はどれか。 IdP(Identity Provider)がSP(Service Provider)の認証要求によって利用者認証を行い,認証成功後に発行されるアサーションをSPが検証し,問題がなければクライアントがSPにアクセスす…

SC 情報セキュリティ㊷

PQC(Post-Quantum Cryptography)はどれか。 量子アニーリングマシンを用いて,回路サイズ,消費電力,処理速度を飛躍的に向上させた実装性能をもつ暗号方式 量子コンピュータを用いた攻撃に対しても,安全性を保つことができる暗号方式 量子コンピュータを…

SC 情報セキュリティ㊶

Pass the Hash攻撃はどれか。 パスワードのハッシュ値から導出された平文パスワードを使ってログインする。 パスワードのハッシュ値だけでログインできる仕組みを悪用してログインする。 パスワードを固定し,利用者IDの文字列のハッシュ化を繰り返しながら…

SC 情報セキュリティ㊵

AIによる画像認識において,認識させる画像の中に人間には知覚できないノイズや微小な変化を含めることによってAIアルゴリズムの特性を悪用し,判定結果を誤らせる攻撃はどれか。 Adaptively Chosen Message 攻撃 Adversarial Examples 攻撃 Distributed Ref…

SC 情報セキュリティ㊴

NISTが制定した,AESにおける鍵長の条件はどれか。 128ビット,192ビット,256ビットから選択する。 256ビット未満で任意に指定する。 暗号化処理単位のブロック長よりも32ビット長くする。 暗号化処理単位のブロック長よりも32ビット短くする。 解答・解説 …

SC 情報セキュリティ㊳

リフレクタ攻撃に悪用されることの多いサービスの例はどれか。 DKIM,DNSSEC,SPF DNS,Memcached,NTP FTP,L2TP,Telnet IPsec,SSL,TLS 解答・解説 (adsbygoogle = window.adsbygoogle || []).push({}); 解答 イ 解説 リフレクタ攻撃は、送信元IPアドレ…

SC セキュリティ実装技術㉓

攻撃者が,Webアプリケーションのセッションを乗っ取り,そのセッションを利用してアクセスした場合でも,個人情報の漏えいなどに被害が拡大しないようにするために,重要な情報の表示などをする画面の直前でWebアプリケーションが追加的に行う対策として,…

SC セキュリティ実装技術㉒

クロスサイトリクエストフォージェリ攻撃の対策として,効果がないものはどれか。 Webサイトでの決済などの重要な操作の都度,利用者のパスワードを入力させる。 Webサイトへのログイン後,毎回異なる値をHTTPレスポンスに含め,Webブラウザからのリクエスト…

SC セキュリティ実装技術㉑

SQLインジェクション対策について,Webアプリケーションプログラムの実装における対策と,Webアプリケーションプログラムの実装以外の対策として,ともに適切なものはどれか。 Webアプリケーションプログラムの実装における対策 Webアプリケーションプログラ…

SC セキュリティ実装技術⑳

CookieにSecure属性を設定しなかったときと比較した,設定したときの動作として,適切なものはどれか。 Cookieに指定された有効期間を過ぎると,Cookieが無効化される。 JavaScriptによるCookieの読出しが禁止される。 URL内のスキームがhttpsのときだけ,We…

SC セキュリティ実装技術⑲

ブロックチェーンに関する記述のうち,適切なものはどれか。 RADIUSを必須の技術として,参加者の利用者認証を一元管理するために利用する。 SPFを必須の技術として,参加者間で電子メールを送受信するときに送信元の正当性を確認するために利用する。 楕円…