Webアプリケーションプログラムに関する次の記述を読んで，設問に答えよ。 A社は，加工食品の製造・販売を行う従業員500名の会社である。問屋や直販店からの注文の受付に，商品の注文と在庫を管理するシステム（以下，業務システムという）を利用している。…

Webセキュリティに関する次の記述を読んで，設問に答えよ。 D社は，従業員1,000名の小売業である。自社のホームページやECサイトなどのWebサイトについては，Webアプリケーションプログラム（以下，Webアプリという）に対する診断（以下，Webアプリ診断とい…

サイバー攻撃への対策に関する次の記述を読んで，設問に答えよ。 H社は，従業員3,000名の製造業であり，H社製品の部品を製造する約500社と取引を行っている。取引先は，H社に設置された取引先向けWebサーバにHTTPSでアクセスし，利用者IDとパスワードでログ…

APIセキュリティに関する次の記述を読んで，設問に答えよ。 G社は，ヘルスケアサービス新興企業である。利用者が食事，体重などを入力してそのデータを管理したり，健康リスクの判定や食事メニューのアドバイスを受けたりできるサービス（以下，サービスYと…

Webサーバから送信されるHTTPヘッダーのうち，Webサーバからの応答の内容を，Webブラウザやプロキシサーバなどのキャッシュに保持させないようにするものはどれか。 Cache-Control: no-cache Cache-Control: no-store Cache-Control: private Cache-Control:…

TCPのサブミッションポート（ポート番号587）の説明として，適切なものはどれか。 FTPサービスで，制御用コネクションのポート番号21とは別にデータ転送用に使用する。 Webサービスで，ポート番号80のHTTP要求とは別に，サブミットボタンをクリックした際の…

TCPヘッダーに含まれる情報はどれか。 宛先ポート番号 送信元IPアドレス パケット生存時間（TTL） プロトコル番号 解答・解説 (adsbygoogle = window.adsbygoogle || []).push({}); 解答 ア 解説 ー 宛先ポート番号ー 送信元IPアドレスー パケット生存時間（…

ソフトウェアの脆弱性管理のためのツールとしても利用されるSBOM（Software Bill of Materials）はどれか。 ソフトウェアの脆弱性に対する，ベンダーに依存しないオープンで汎用的な深刻度の評価方法 ソフトウェアのセキュリティアップデートを行うときに推…

電子メール又はその通信を暗号化する三つのプロトコルについて，公開鍵を用意する単位の組合せのうち，適切なものはどれか。 PGP S/MIME SMTP over TLS ア メールアドレスごと メールアドレスごと メールサーバごと イ メールアドレスごと メールサーバごと …

DNSにおいてDNS CAA（Certification Authority Authorization）レコードを設定することによるセキュリティ上の効果はどれか。 WebサイトにアクセスしたときのWebブラウザに鍵マークが表示されていれば当該サイトが安全であることを，利用者が確認できる。 We…

IEEE 802.1Xにおけるサプリカントはどれか。 一度の認証で複数のサーバやアプリケーションを利用できる認証システム クライアント側から送信された認証情報を受け取り，認証を行うシステム クライアント側と認証サーバの仲介役となり，クライアント側から送…

HTTP Strict Transport Security（HSTS）の動作はどれか。 HTTP over TLS（HTTPS）によって接続しているとき，接続先のサーバ証明書がEVSSL証明書である場合とない場合で，Webブラウザのアドレス表示部分の表示を変える。 Webサーバからコンテンツをダウンロ…

不特定多数の利用者に無料で開放されている公衆無線LANサービスのアクセスポイントと端末で利用される仕様として，Wi-Fi AllianceのEnhanced Openによって新規に規定されたものはどれか。 端末でのパスワードの入力で，端末からアクセスポイントへの接続が可…

セキュリティ対策として，CASBを利用した際の効果はどれか。 クラウドサービスカスタマの管理者が，従業員が利用しているクラウドサービスに対して，CASBを利用して脆弱性診断を行うことによって，脆弱性を特定できる。 クラウドサービスカスタマの管理者が…

FIPS PUB 140-3はどれか。 暗号モジュールのセキュリティ要求事項 情報セキュリティマネジメントシステムの要求事項 デジタル証明書や証明書失効リストの技術仕様 無線LANセキュリティの技術仕様 解答・解説 (adsbygoogle = window.adsbygoogle || []).push(…

JVNなどの脆弱性対策ポータルサイトで採用されているCWEはどれか。 IT製品の脆弱性を評価する手法 製品を識別するためのプラットフォーム名の一覧 セキュリティに関連する設定項目を識別するための識別子 ソフトウェア及びハードウェアの脆弱性の種類の一覧 …

組織のセキュリティインシデント管理の成熟度を評価するためにOpen CSIRT Foundationが開発したモデルはどれか。 CMMC CMMI SAMM SIM3 解答・解説 (adsbygoogle = window.adsbygoogle || []).push({}); 解答 エ 解説 ー CMMCー CMMIー SAMMー SIM3ー 参考書…

ISMAP-LIUクラウドサービス登録規則（令和6年3月1日最終改定）でのISMAP-LIUに関する記述として，適切なものはどれか。 JIS Q 27001に加え，JIS Q 27017に規定されたクラウドサービス固有の管理策が適切に導入，実施されていることも認証する。 アウトソーシ…

X.509におけるCRLに関する記述のうち，適切なものはどれか。 RFC5280では，認証局は，発行したデジタル証明書のうち失効したものについては，シリアル番号を失効後1年間CRLに記載するよう義務付けている。 Webサイトの利用者のWebブラウザは，そのWebサイト…

送信元IPアドレスがA，送信元ポート番号が80/tcp，宛先IPアドレスがホストに割り振られていない未使用のIPアドレスであるSYN/ACKパケットを大量に観測した場合，推定できる攻撃はどれか。 IPアドレスAを攻撃先とするサービス妨害攻撃 IPアドレスAを攻撃先と…

標準化団体OASISが，Webサイトなどを運営するオンラインビジネスパートナー間で認証，属性及び認可の情報を安全に交換するために策定したものはどれか。 SAML SOAP XKMS XML Signature 解答・解説 (adsbygoogle = window.adsbygoogle || []).push({}); 解答 …

PKI（公開鍵基盤）を構成するRA（Registration Authority）の役割はどれか。 デジタル証明書にデジタル署名を付与する。 デジタル証明書に紐づけられた属性証明書を発行する。 デジタル証明書の失効リストを管理し，デジタル証明書の有効性を確認する。 本人…

送信者から受信者にメッセージ認証符号（MAC：Message Authentication Code）を付与したメッセージを送り，次に受信者が第三者に転送した。そのときのMACに関する記述のうち，適切なものはどれか。ここで，共通鍵は送信者と受信者だけが知っており，送信者と…

クロスサイトリクエストフォージェリ攻撃の対策として，効果がないものはどれか。 Webサイトでの決済などの重要な操作の都度，利用者のパスワードを入力させる。 Webサイトへのログイン後，毎回異なる値をHTTPレスポンスボディに含め，Webブラウザからのリク…

DHCPのクライアントが，サーバから配布されたIPv4アドレスを，クライアント自身のホストアドレスとして設定する際に，そのアドレスが他のホストに使用されていないことを，クライアント自身でも確認することが推奨されている。この確認に使用するプロトコル…

複数ノードから成るグループにマルチキャストでデータを送るときに，宛先として使用できるIPアドレスはどれか。 10.0.1.1 127.0.1.1 192.168.1.1 239.0.1.1 解答・解説 (adsbygoogle = window.adsbygoogle || []).push({}); 解答 エ 解説 マルチキャストは、…

クラスCのネットワークを，50ノードずつ収納できる四つのサブネットに分割した場合のサブネットマスクはどれか。 255.255.255.0 255.255.255.64 255.255.255.128 255.255.255.192 解答・解説 (adsbygoogle = window.adsbygoogle || []).push({}); 解答 エ 解…

セキュリティ対策として，次の条件の下でデータベース（DB）サーバをDMZから内部ネットワークに移動するような次のネットワーク構成の変更を計画している。このとき，ステートフルパケットフィルタリング型のファイアウォール（FW）において，必要となるフィ…

電子メールをスマートフォンのメールアプリケーションプログラムで受信する際のメールサーバとスマートフォンとの間の通信を，メール本文を含めて暗号化するプロトコルはどれか。 APOP IMAPS POP3 SMTP Submission 解答・解説 (adsbygoogle = window.adsbygo…

通信の暗号化や利用者の認証の機能をもち，遠隔にあるコンピュータに安全にログインするためのプロトコルはどれか。 L2TP LDAP RADIUS SSH 解答・解説 (adsbygoogle = window.adsbygoogle || []).push({}); 解答 エ 解説 SSH（Secure Shell）は、遠隔にある…