資格部

資格・検定の試験情報、対策方法、問題解説などをご紹介

情報セキュリティマネジメント試験

SG 平成29年度春期 問13

NIDS(ネットワーク型IDS)を導入する目的はどれか。 管理下のネットワーク内への不正侵入の試みを検知し,管理者に通知する。 実際にネットワークを介してWebサイトを攻撃し,不正に侵入できるかどうかを検査する。 ネットワークからの攻撃が防御できないと…

SG 平成29年度秋期 問20

WAFの説明として,適切なものはどれか。 DMZに設置されているWebサーバへの侵入を外部から実際に試みる。 TLSによる暗号化と復号の処理をWebサーバではなく専用のハードウェアで行うことによって, WebサーバのCPU負荷を軽減するために導入する。 システム管…

SG 平成29年度秋期 問19

参加者が毎回変わる100名程度の公開セミナにおいて,参加者に対して無線LAN接続環境を提供する。参加者の端末以外からのアクセスポイントへの接続を防止するために効果があるセキュリティ対策はどれか。 アクセスポイントがもつDHCPサーバ機能において,参加…

SG 平成29年度秋期 問18

パスワードを用いて利用者を認証する方法のうち,適切なものはどれか。 パスワードに対応する利用者IDのハッシュ値を登録しておき,認証時に入力されたパスワードをハッシュ関数で変換して比較する。 パスワードに対応する利用者IDのハッシュ値を登録してお…

SG 平成28年度秋期 問15

SIEM(Security Information and Event Management)の機能として,最も適切なものはどれか。 機密情報を自動的に特定し,機密情報の送信や出力など,社外への持出しに関連する操作を検知しブロックする。 サーバやネットワーク機器などのログデータを一括管…

SG 平成29年度秋期 問13

情報システムにおいて,秘密情報を判別し,秘密情報の漏えいにつながる操作に対して警告を発令したり,その操作を自動的に無効化させたりするものはどれか。 DLP DMZ IDS IPS 解答・解説 (adsbygoogle = window.adsbygoogle || []).push({}); 解答 ア 解説 …

SG 平成30年度春期 問17

A社では,利用しているソフトウェア製品の脆弱性に対して,ベンダから提供された最新のセキュリティパッチを適用することを決定した。ソフトウェア製品がインストールされている組織内のPCやサーバについて,セキュリティパッチの適用漏れを防ぎたい。そのた…

SG 平成30年度春期 問16

ワームの検知方式の一つとして,検査対象のファイルからSHA-256を使ってハッシュ値を求め,既知のワーム検体ファイルのハッシュ値のデータベースと照合する方式がある。この方式によって,検知できるものはどれか。 ワーム検体と同一のワーム ワーム検体と特…

SG 平成30年度春期 問13

サーバへの侵入を防止するのに有効な対策はどれか。 サーバ上にあるファイルのフィンガプリントを保存する。 サーバ上の不要なサービスを停止する。 サーバのバックアップを定期的に取得する。 サーバを冗長化して耐故障性を高める。 解答・解説 (adsbygoogl…

SG 平成30年度春期 問9

ネットワーク障害の発生時に,その原因を調べるために,ミラーポート及びLANアナライザを用意して,LANアナライザを使用できるようにしておくときに,留意することはどれか。 LANアナライザがパケットを破棄してしまうので,測定中は測定対象外のコンピュー…

SG 平成30年度秋期 問30

WAF(Web Application Firewall)のブラックリスト又はホワイトリストの記述のうち,適切なものはどれか。 ブラックリストは,脆弱性があるサイトのIPアドレスを登録したものであり,該当するIPアドレスからの通信を遮断する。 ブラックリストは,問題のある…

SG 平成30年度秋期 問24

伝達したいメッセージを画像データなどのコンテンツに埋め込み,埋め込んだメッセージの存在を秘匿する技術はどれか。 CAPTCHA クリックジャッキング ステガノグラフィ ストレッチング 解答・解説 (adsbygoogle = window.adsbygoogle || []).push({}); 解答 …

SG 平成30年度秋期 問19

利用者PCがボットに感染しているかどうかをhostsファイルの改ざんの有無で確認するとき,hostsファイルが改ざんされていないと判断できる設定内容はどれか。ここで,hostsファイルの設定内容は1行だけであり,利用者及びシステム管理者は,これまでにhostsフ…

SG 平成30年度秋期 問18

インターネットと社内サーバの間にファイアウォールが設置されている環境で,時刻同期の通信プロトコルを用いて社内サーバの時刻をインターネット上の時刻サーバの正確な時刻に同期させる。このとき,ファイアウォールで許可すべき時刻サーバとの間の通信プ…

SG 平成30年度秋期 問5

SaaS(Software as a Service)を利用するときの企業のセキュリティ管理についての記述のうち,適切なものはどれか。 システム運用を行わずに済み,障害時の業務手順やバックアップについての検討が不要である。 システムのアクセス管理を行わずに済み,パス…

SG 平成31年度春期 問22

利用者PCの内蔵ストレージが暗号化されていないとき,攻撃者が利用者PCから内蔵ストレージを抜き取り,攻撃者が用意したPCに接続して内蔵ストレージ内の情報を盗む攻撃の対策に該当するものはどれか。 内蔵ストレージにインストールしたOSの利用者アカウント…

SG 平成31年度春期 問20

無線LANを利用できる者を限定したいとき,アクセスポイントへの第三者による無断接続の防止に最も効果があるものはどれか。 MACアドレスフィルタリングを設定する。 SSIDには英数字を含む8字以上の文字列を設定する。 セキュリティ方式にWEPを使用し,十分に…

SG 平成31年度春期 問15

IPSの説明はどれか。 Webサーバなどの負荷を軽減するために,暗号化や復号の処理を高速に行う専用ハードウェア サーバやネットワークへの侵入を防ぐために,不正な通信を検知して遮断する装置 システムの脆弱性を見つけるために,疑似的に攻撃を行い侵入を試…

SG 平成31年度春期 問12

ファイルの属性情報として,ファイルに対する読取り,書込み,実行の権限を独立に設定できるOSがある。この3種類の権限は,それぞれに1ビットを使って許可,不許可を設定する。この3ビットを8進数表現0~7の数字で設定するとき,次の試行結果から考えて,適…

SG 令和元年度秋期 問30

Webサーバの検査におけるポートスキャナの利用目的はどれか。 Webサーバで稼働しているサービスを列挙して,不要なサービスが稼働していないことを確認する。 Webサーバの利用者IDの管理状況を運用者に確認して,情報セキュリティポリシからの逸脱がないこと…

SG 令和元年度秋期 問26

手順に示す電子メールの送受信によって得られるセキュリテイ上の効果はどれか。 〔手順〕 (1)送信者は,電子メールの本文を共通鍵暗号方式で暗号化し(暗号文),その共通鍵を受信者の公開鍵を用いて公開鍵暗号方式で暗号化する(共通鍵の暗号化データ)。…

SG 令和元年度秋期 問14

WAFにおけるフォールスポジティブに該当するものはどれか。 HTMLの特殊文字"<"を検出したときに通信を遮断するようにWAFを設定した場合,"<"などの数式を含んだ正当なHTTPリクエストが送信されたとき,WAFが攻撃として検知し,遮断する。 HTTPリクエストのう…

SG 令和元年度秋期 問13

インターネットバンキングでのMITB攻撃による不正送金について,対策として用いられるトランザクション署名の説明はどれか。 携帯端末からの送金取引の場合,金融機関から携帯端末の登録メールアドレスに送金用のワンタイムパスワードを送信する。 特定認証…

SG 令和元年度秋期 問11

ステガノグラフィはどれか。 画像などのデータの中に,秘密にしたい情報を他者に気付かれることなく埋め込む。 検索エンジンの巡回ロボットにWebページの閲覧者とは異なる内容を応答し,該当Webページの検索順位が上位に来るようにする。 検査対象の製品に,…

SG 令和元年度秋期 問8

A社では現在,インターネット上のWebサイトを内部ネットワークのPC上のWebブラウザから参照している。新たなシステムを導入し,DMZ上に用意したVDI(Virtual Desktop Infrastructure)サーバにPCからログインし,インターネット上のWebサイトをVDIサーバ上の…

SG 平成28年度春期 問10

利用者アクセスログの取扱いのうち,IPA“組織における内部不正防止ガイドライン”にも記載されており,内部不正の早期発見及び事後対策の観点で適切なものはどれか。 コストにかかわらずログを永久保存する。 利用者にログの管理権限を付与する。 利用者にロ…

SG 平成28年度秋期 問11

システム管理者に対する施策のうち,IPA“組織における内部不正防止ガイドライン”に照らして,内部不正防止の観点から適切なものはどれか。 システム管理者間の会話・情報交換を制限する。 システム管理者の操作履歴を本人以外が閲覧することを制限する。 シ…

SG 平成28年度秋期 問7

組織の所属者全員に利用者IDが発行されるシステムがある。利用者IDの発行・削除は申請に基づき行われているが,申請漏れや申請内容のシステムへの反映漏れがある。資料A,Bの組合せのうち,資料Aと資料Bを突き合わせて確認することによって,退職者に発行さ…

SG 平成29年度春期 問14

内部不正による重要なデータの漏えいの可能性を早期に発見するために有効な対策はどれか。 アクセスログの定期的な確認と解析 ウイルス対策ソフトの導入 重要なデータのバックアップ ノートPCのHDD暗号化 解答・解説 (adsbygoogle = window.adsbygoogle || […

SG 平成30年度春期 問15

A社では,インターネットを介して提供される複数のクラウドサービスを,共用PCから利用している。共用PCの利用者IDは従業員の間で共用しているが,クラウドサービスの利用者IDは従業員ごとに異なるものを使用している。クラウドサービスのパスワードの管理方…