2023-05-05から1日間の記事一覧
電子メールの送信時に,送信者を送信側のメールサーバで認証するためのものはどれか。 APOP POP3S S/MIME SMTP-AUTH 解答・解説 (adsbygoogle = window.adsbygoogle || []).push({}); 解答 エ 解説 APOP作成中 POP3S作成中 S/MIME作成中 SMTP-AUTH作成中 参…
図のように,クライアント上のアプリケーションがデータベース接続プログラム経由でサーバ上のデータベースのデータにアクセスする。アプリケーションとデータベースとの間で送受信されるコマンドや実行結果の漏えいを防止する対策はどれか。 サーバ側のデー…
セキュリティバイデザインの説明はどれか。 開発済みのシステムに対して,第三者の情報セキュリティ専門家が,脆弱性診断を行い,システムの品質及びセキュリティを高めることである。 開発済みのシステムに対して,リスクアセスメントを行い,リスクアセス…
SQLインジェクション攻撃を防ぐ方法はどれか。 入力中の文字が,データベースへの問合せや操作において,特別な意味をもつ文字として解釈されないようにする。 入力にHTMLタグが含まれていたら,HTMLタグとして解釈されない他の文字列に置き換える。 入力に…
SPF(Sender Policy Framework)の仕組みはどれか。 電子メールを受信するサーバが,電子メールに付与されているディジタル署名を使って,送信元ドメインの詐称がないことを確認する。 電子メールを受信するサーバが,電子メールの送信元のドメイン情報と,…
侵入者やマルウェアの挙動を調査するために,意図的に脆弱性をもたせたシステム又はネットワークはどれか。 DMZ SIEM ハニーポット ボットネット 解答・解説 (adsbygoogle = window.adsbygoogle || []).push({}); 解答 ウ 解説 DMZDMZは、外部ネットワークと…
OSI基本参照モデルのネットワーク層で動作し,“認証ヘッダ(AH)”と“暗号ペイロード(ESP)”の二つのプロトコルを含むものはどれか。 IPsec S/MIME SSH XML暗号 解答・解説 (adsbygoogle = window.adsbygoogle || []).push({}); 解答 ア 解説 IPsec正しいで…
Webサーバの検査におけるポートスキャナの利用目的はどれか。 Webサーバで稼働しているサービスを列挙して,不要なサービスが稼働していないことを確認する。 Webサーバの利用者IDの管理状況を運用者に確認して,情報セキュリティポリシからの逸脱がないこと…
社内ネットワークとインターネットの接続点にパケットフィルタリング型ファイアウォールを設置して,社内ネットワーク上のPCからインターネット上のWebサーバ(ポート番号80) にアクセスできるようにするとき,フィルタリングで許可するルールの適切な組合…
社内ネットワークとインターネットの接続点に,ステートフルインスペクション機能をもたない,静的なパケットフィルタリング型のファイアウォールを設置している。このネットワーク構成において,社内のPCからインターネット上のSMTPサーバに電子メールを送…
利用者情報を格納しているデータベースから利用者情報を検索して表示する機能だけをもつアプリケーションがある。このアプリケーションがデータベースにアクセスするときに用いるアカウントに与えるデータベースへのアクセス権限として,情報セキュリティ管…
自社の中継用メールサーバで,接続元IPアドレス,電子メールの送信者のメールアドレスのドメイン名,及び電子メールの受信者のメールアドレスのドメイン名から成るログを取得するとき,外部ネットワークからの第三者中継と判断できるログはどれか。ここで,A…
公衆無線LANのアクセスポイントを設置するときのセキュリティ対策と効果の組みのうち,適切なものはどれか。 セキュリティ対策 効果 ア MACアドレスフィルタリングを設定する。 正規の端末のMACアドレスに偽装した攻撃者の端末からの接続を遮断し,利用者の…
セキュアブートの説明はどれか。 BIOSにパスワードを設定し,PC起動時にBIOSのパスワード入力を要求することによって,OSの不正な起動を防ぐ技術 HDDにパスワードを設定し,PC起動時にHDDのパスワード入力を要求することによって,OSの不正な起動を防ぐ技術 …
IDSの機能はどれか。 PCにインストールされているソフトウェア製品が最新のバージョンであるかどうかを確認する。 検査対象の製品にテストデータを送り,製品の応答や挙動から脆弱性を検出する。 サーバやネットワークを監視し,侵入や侵害を検知した場合に…
コンピュータやネットワークのセキュリティ上の脆弱性を発見するために,システムを実際に攻撃して侵入を試みる手法はどれか。 ウォークスルー ソフトウェアインスペクション ペネトレーションテスト リグレッションテスト 解答・解説 (adsbygoogle = window…
ファジングで得られるセキュリティ上の効果はどれか。 ソフトウェアの脆弱性を自動的に修正できる。 ソフトウェアの脆弱性を検出できる。 複数のログデータを相関分析し,不正アクセスを検知できる。 利用者IDを統合的に管理し,統ーしたパスワードポリシを…
◀︎ 前へ|次へ ▶︎️ SaaS(Software as a Service)を利用するときの企業のセキュリティ管理についての記述のうち,適切なものはどれか。 システム運用を行わずに済み,障害時の業務手順やバックアップについての検討が不要である。 システムのアクセス管理を…
◀︎ 前へ|次へ ▶︎️ 情報の“完全性”を脅かす攻撃はどれか。 Webページの改ざん システム内に保管されているデータの不正コピー システムを過負荷状態にするDoS攻撃 通信内容の盗聴 解答・解説 (adsbygoogle = window.adsbygoogle || []).push({}); 解答 ア 解…
経済産業省とIPAが策定した“サイバーセキュリティ経営ガイドライン(Ver1.1)”が,自社のセキュリティ対策に加えて,実施状況を確認すべきとしている対策はどれか。 自社が提供する商品及びサービスの個人利用者が行うセキュリティ対策 自社に出資している株…
リスクアセスメントを構成するプロセスの組合せはどれか。 リスク特定,リスク評価,リスク受容 リスク特定,リスク分析,リスク評価 リスク分析,リスク対応,リスク受容 リスク分析,リスク評価,リスク対応 解答・解説 (adsbygoogle = window.adsbygoogle…
CSIRTの説明として,適切なものはどれか。 IPアドレスの割当て方針の決定,DNSルートサーバの運用監視,DNS管理に関する調整などを世界規模で行う組織である。 インターネットに関する技術文書を作成し,標準化のための検討を行う組織である。 企業内・組織…
JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)において,“エンティティは,それが主張するとおりのものであるという特性”と定義されているものはどれか。 真正性 信頼性 責任追跡性 否認防止 解答・解説 (adsbygoogle = window.adsbygoog…
組織的なインシデント対応体制の構築や運用を支援する目的でJPCERT/CCが作成したものはどれか。 CSIRTマテリアル ISMSユーザーズガイド 証拠保全ガイドライン 組織における内部不正防止ガイドライン 解答・解説 (adsbygoogle = window.adsbygoogle || []).pu…
JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)における真正性及び信頼性に対する定義a~dの組みのうち,適切なものはどれか。 〔定義〕 意図する行動と結果とが一貫しているという特性 エンティティは,それが主張するとおりのものである…
JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)における“リスクレベル”の定義はどれか。 脅威によって付け込まれる可能性のある,資産又は管理策の弱点 結果とその起こりやすさの組合せとして表現される,リスクの大きさ 対応すべきリスク…
リスク対応のうち,リスクファイナンシングに該当するものはどれか。 システムが被害を受けるリスクを想定して,保険を掛ける。 システムの被害につながるリスクの顕在化を抑える対策に資金を投入する。 リスクが大きいと評価されたシステムを廃止し,新たな…
◀︎ 前へ|次へ ▶︎️ Webシステムのパスワードを忘れたときの利用者認証において合い言葉を使用する場合,合い言葉が一致した後の処理のうち,セキュリティ上最も適切なものはどれか。 あらかじめ登録された利用者のメールアドレス宛てに,現パスワードを送信…
◀︎ 前へ|次へ ▶︎️ 公開鍵暗号方式を採用した電子商取引において,認証局(CA)の役割はどれか。 取引当事者間で共有する秘密鍵を管理する。 取引当事者の公開鍵に対するディジタル証明書を発行する。 取引当事者のディジタル署名を管理する。 取引当事者の…
◀︎ 前へ|次へ ▶︎️ スパイウェアに該当するものはどれか。 Webサイトへの不正な入力を排除するために,Webサイトの入力フォームの入力データから,HTMLタグ,JavaScript,SQL文などを検出し,それらを他の文字列に置き換えるプログラム サーバへの侵入口とな…
