資格部 📝

あらゆる資格の試験情報、対策方法、過去問題・模擬問題を解説

情報処理安全確保支援士試験 チートシート 令和4年度春期版

 情報処理安全確保支援士(登録セキスペ)試験を受験する方向けに、午前Ⅱ対策を中心としたチートシートを用意しました。
 こちらは、あくまで試験合格を目的とした内容になっていますので、きちんと学習したい方は、過去問題解説ページ等をご覧ください。

著者:わくわくスタディワールド 瀬戸美月/齋藤健一
出版社:インプレス (2021/10/7)

試験別

午前Ⅰ

 同時開催の応用情報技術者試験午前問題と同じ問題が出題されます。(80問中30問)
よって、対策は応用情報技術者のページを参考にしてください。
 なお、午前Ⅰは応用情報or高度区分の合格か、午前Ⅰの部分合格により、2年間の免除を受けられます。

 

午前Ⅱ

 重点分野、かつ出題可能性が低い問題(直近分・重複分)を除外した過去問題について、問題と答えのみを抜粋しました。

 例年通りであれば、問題の3割程度は、以下の約80問の中から出題されますので、直前の確認(詰め込み?)にご利用ください。

 

セキュリティ(問1〜17)

Q 攻撃者に脆弱性に関する専門の知識がなくても,OSやアプリケーションソフトウェアの脆弱性を悪用した攻撃ができる複数のプログラムや管理機能を統合したものはどれか。

A Exploit Kit

 

Q マルウェアMiraiの動作はどれか。

A ランダムなIPアドレスを生成してtelnetポートにログインを試行し,工場出荷時の弱いパスワードを使っているIoT機器などに感染を広げるとともに,C&Cサーバからの指令に従って標的に対してDDoS攻撃を行う。

 

Q ルートキットの特徴はどれか。

A OSなどに不正に組み込んだツールを隠蔽する。

 

Q 情報セキュリティにおけるエクスプロイトコードの説明はどれか。

A ソフトウェアやハードウェアの脆弱性を利用するために作成されたプログラム

 

Q BlueBorneの説明はどれか。

A Bluetoothを悪用してデバイスを不正に操作したり,情報を窃取したりする,複数の脆弱性の呼称

 

Q 無線LANの隠れ端末問題の説明として,適切なものはどれか。

A 端末がアクセスポイントとは通信できるが,他の端末のキャリアを検出できない状況にあり,送信フレームが衝突を起こしやすくなる問題

 

Q 暗号機能を実装したIoT機器において脅威となるサイドチャネル攻撃に該当するものはどれか。

A 機器が発する電磁波を測定することによって秘密情報の取得を試みる。

 

Q マルチベクトル型DDoS攻撃に該当するものはどれか。

A Webサイトに対して,SYN Flood攻撃とHTTP POST Flood攻撃を同時に行う。

 

Q 仮想通貨環境において,報酬を得るために行われるクリプトジャッキングはどれか。

A 他人のPC又はサーバに侵入して計算資源を不正に利用し,台帳への追記の計算を行う。

 

Q マルチベクトル型DDoS攻撃に該当するものはどれか。

A 攻撃対象のWebサーバ1台に対して,多数のPCから一斉にリクエストを送ってサーバのリソースを枯渇させる攻撃と,大量のDNS通信によってネットワークの帯域を消費させる攻撃を同時に行う。

 

Q UDPの性質を悪用したDDoS攻撃に該当するものはどれか。

A DNSリフレクタ攻撃

 

Q Webアプリケーションの脆弱性を悪用する攻撃手法のうち,Webページ上で入力した文字列がPerlのsystem関数やPHPのexec関数などに渡されることを利用し,不正にシェルスクリプトを実行させるものは,どれに分類されるか。

A OSコマンドインジェクション

 

Q テンペスト攻撃を説明したものはどれか。

A 処理中に機器から放射される電磁波を観測して解析する。

 

Q 暗号化装置において暗号化処理時に消費電力を測定するなどして,当該装置内部の秘密情報を推定する攻撃はどれか。

A サイドチャネル攻撃

 

Q SSL/TLSのダウングレード攻撃に該当するものはどれか。

A 暗号化通信を確立するとき,弱い暗号スイートの使用を強制することによって,解読しやすい暗号化通信を行わせる。

 

Q セッションIDの固定化(Session Fixation)攻撃の手口はどれか。

A 悪意のある者が正規のWebサイトから取得したセッションIDを,利用者のWebブラウザに送り込み,利用者がそのセッションIDでログインして,セッションがログイン状態に変わった後,利用者になりすます。

 

Q DNS水責め攻撃(ランダムサブドメイン攻撃)の手口と目的に関する記述のうち,適切なものはどれか。

A オープンリゾルバとなっているDNSキャッシュサーバに対して,攻撃対象のドメインのサブドメイン名をランダムかつ大量に生成して問い合わせ,攻撃対象の権威DNSサーバを過負荷にさせる。

 

Q ICMP Flood攻撃に該当するものはどれか。

A pingコマンドを用いて大量の要求パケットを発信することによって,攻撃対象のサーバに至るまでの回線を過負荷にしてアクセスを妨害する。

 

Q AESの特徴はどれか。

A 鍵長によって,段数が決まる。

 

Q 認証処理のうち,FIDO(Fast IDentity Online) UAF(Universal Authentication Framework)1.1に基づいたものはどれか。

A SaaS接続時の認証において,スマートフォンで顔認証を行った後,スマートフォン内の秘密鍵でディジタル署名を生成して,そのディジタル署名を認証サーバに送信した。

 

Q XMLディジタル署名の特徴として,適切なものはどれか。

A XML文書中の任意のエレメントに対してデタッチ署名(Detached Signature)を付けることができる。

 

Q 標準化団体OASISが,Webサイトなどを運営するオンラインビジネスパートナ間で認証,属性及び認可の情報を安全に交換するために策定したものはどれか。

A SAML

 

Q シングルサインオンの実装方式に関する記述のうち,適切なものはどれか。

A リバースプロキシを使ったシングルサインオンの場合,利用者認証においてパスワードの代わりにディジタル証明書を用いることができる。

 

Q 認証デバイスに関する記述のうち,適切なものはどれか。

A 成人の虹彩は,経年変化がなく,虹彩認証では,認証デバイスでのパターン更新がほとんど不要である。

 

Q 発信者がメッセージのハッシュ値からディジタル署名を生成するのに使う鍵はどれか。

A 発信者の秘密鍵

 

Q VA(Validation Authority)の役割はどれか。

A ディジタル証明書の失効状態についての問合せに応答する。

 

Q X.509におけるCRL(Certificate Revocation List)に関する記述のうち,適切なものはどれか。

A 認証局は,有効期限内のディジタル証明書のシリアル番号をCRLに登録することがある。

 

Q CRL(Certificate Revocation List)に掲載されるものはどれか。

A 有効期限内に失効したディジタル証明書のシリアル番号

 

Q ディジタル証明書に関する記述のうち,適切なものはどれか。

A ディジタル証明書は,TLSプロトコルにおいて通信データの暗号化のための鍵交換や通信相手の認証に利用されている。

 

Q 個人情報の漏えいに関するリスク対応のうち,リスク回避に該当するものはどれか。

A 収集済みの個人情報を消去し,新たな収集を禁止する。

 

Q JIS Q 27014:2015(情報セキュリティガバナンス)における,情報セキュリティを統治するために経営陣が実行するガバナンスプロセスのうちの“モニタ”はどれか。

A 戦略的目的の達成を評価することを可能にするガバナンスプロセス

 

Q 不適合への対応のうちJIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)の“是正処置”の定義はどれか。

A 不適合の原因を除去し,再発を防止するための処置

 

Q JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)における情報セキュリティリスクに関する定義のうち,適切なものはどれか。

A リスク特定とは,リスクを発見,認識及び記述するプロセスのことであり,リスク源,事象,それらの原因及び起こり得る結果の特定が含まれる。

 

Q 経済産業省とIPAが策定した“サイバーセキュリティ経営ガイドライン(Ver2.0)”の説明はどれか。

A 企業がIT活用を推進していく中で,サイバー攻撃から企業を守る観点で経営者が認識すべき3原則と,情報セキュリティ対策を実施する上での責任者となる担当幹部に,経営者が指示すべき事項をまとめたもの

 

Q 総務省及び経済産業省が策定した“電子政府における調達のために参照すべき暗号のリスト(CRYPTREC 暗号リスト)”を構成する暗号リストの説明のうち,適切なものはどれか。

A 電子政府推奨暗号リストとは,CRYPTRECによって安全性及び実装性能が確認された暗号技術のうち,市場における利用実績が十分であるか今後の普及が見込まれると判断され,当該技術の利用を推奨するもののリストである。

 

Q 総務省及び経済産業省が策定した“電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)”に関する記述のうち,適切なものはどれか。

A CRYPTREC暗号リストにある推奨候補暗号リストとは,安全性及び実装性能が確認され,今後,電子政府推奨暗号リストに掲載される可能性がある暗号技術のリストである。

 

Q JVNなどの脆弱性対策情報ポータルサイトで採用されているCVE(Common Vulnerabilities and Exposures)識別子の説明はどれか。

A 製品に含まれる脆弱性を識別するための識別子

 

Q 基本評価基準,現状評価基準,環境評価基準の三つの基準で情報システムの脆弱性の深刻度を評価するものはどれか。

A CVSS

 

Q 問題を引き起こす可能性があるデータを大量に入力し,そのときの応答や挙動を監視することによって,ソフトウェアの脆弱性を検出するテスト手法はどれか。

A ファジング

 

Q FIPS PUB 140-2の記述内容はどれか。

A 暗号モジュールのセキュリティ要求事項

 

Q EDSA認証における評価対象と評価項目について,適切な組みはどれか。

  評価対象 評価項目
ア 組込み機器である制御機器 組込み機器ロバストネス試験

 

Q CVSS v3の評価基準には,基本評価基準,現状評価基準,環境評価基準の三つがある。基本評価基準の説明はどれか。

A 機密性への影響,どこから攻撃が可能かといった攻撃元区分,攻撃する際に必要な特権レベルなど,脆弱性そのものの特性を評価する。

 

Q ファイアウォールにおけるダイナミックパケットフィルタリングの特徴はどれか。

A 過去に通過したリクエストパケットに対応付けられる戻りのパケットを通過させることができる。

 

Q インターネットバンキングサービスを提供するWebサイトを利用する際に,トランザクション署名の機能をもつハードウェアトークンを利用する。次の処理を行うとき,(4)によってできることはどれか。ここで,ハードウェアトークンは利用者ごとに異なり,本人だけが利用する。 〔処理〕 (1)ハードウェアトークンに振込先口座番号と振込金額を入力し,メッセージ認証符号(MAC)を生成する。 (2)Webサイトの振込処理画面に振込先口座番号,振込金額及び(1)で生成されたMACを入力し,Webサイトに送信する。 (3)Webサイトでは,本人に発行したハードウェアトークンと同じ処理手順によって振込先口座番号と振込金額からMACを生成する。 (4)Webサイトでは,(2)で入力されたMACと,(3)で生成したMACを比較する。

A 振込先口座番号と振込金額が改ざんされていないことを確認できる。

 

Q DNSキャッシュポイズニング攻撃に対して有効な対策はどれか。

A DNS問合せに使用するDNSヘッダ内のIDを固定せずにランダムに変更する。

 

Q VLAN機能をもった1台のレイヤ3スイッチに複数のPCを接続している。スイッチのポートをグループ化して複数のセグメントに分けると,スイッチのポートをセグメントを分けない場合に比べて,どのようなセキュリティ上の効果が得られるか。

A スイッチが,PCからのブロードキャストパケットの到達範囲を制限するので,アドレス情報の不要な流出のリスクを低減できる。

 

Q 内部ネットワーク上のPCからインターネット上のWebサイトを参照するときは,DMZ上のVDI(Virtual Desktop Infrastructure)サーバにログインし,VDIサーバ上のWebブラウザを必ず利用するシステムを導入する。インターネット上のWebサイトから内部ネットワーク上のPCへのマルウェアの侵入,及びインターネット上のWebサイトへのPC内のファイルの流出を防止する効果を得るために必要な条件はどれか。

A PCとVDIサーバ間は,VDIの画面転送プロトコルだけを利用する。

 

Q ステートフルパケットインスペクション方式のファイアウォールの特徴はどれか。

A パケットフィルタリングを拡張した方式であり,過去に通過したパケットから通信セッションを認識し,受け付けたパケットを通信セッションの状態に照らし合わせて通過させるか遮断するかを判断する。

 

Q 内部ネットワークのPCがダウンローダ型マルウェアに感染したとき,そのマルウェアがインターネット経由で他のマルウェアをダウンロードすることを防ぐ方策として,最も有効なものはどれか。

A インターネット上の危険なWebサイトの情報を保持するURLフィルタを用いて,危険なWebサイトとの接続を遮断する。

 

Q DNSに対するカミンスキー攻撃(Kaminsky's attack)への対策はどれか。

A 問合せ時の送信元ポート番号をランダム化することによって,DNSキャッシュサーバに偽の情報がキャッシュされる確率を大幅に低減させる。

 

Q 外部から侵入されたサーバ及びそのサーバに接続されていた記憶媒体を調査対象としてディジタルフォレンジックスを行うことになった。まず,稼働状態にある調査対象サーバや記憶媒体などから表に示すa~dのデータを証拠として保全する。保全の順序のうち,最も適切なものはどれか。

  証拠として保全するデータ
a 遠隔にあるログサーバに記録された調査対象サーバのアクセスログ
b 調査対象サーバにインストールされていた会計ソフトのインストール用CD
c 調査対象サーバのハードディスク上の表計算ファイル
d 調査対象サーバのルーティングテーブルの状態

A d → c → a → b

 

Q PCなどに内蔵されるセキュリティチップ(TPM : Trusted Platform Module)がもつ機能はどれか。

A 鍵ペアの生成

 

Q NISTの定義によるクラウドコンピューティングのサービスモデルにおいて,パブリッククラウドサービスの利用企業のシステム管理者が,仮想サーバのゲストOSに対するセキュリティパッチの管理と適用を実施可か実施不可かの組合せのうち,適切なものはどれか。

  IaaS PaaS SaaS
イ 実施可 実施不可 実施不可

 

Q ウイルス対策ソフトでの,フォールスネガティブに該当するものはどれか。

A ウイルスに感染しているファイルを,ウイルスに感染していないと判断する。

 

Q Webサイトにおいて,全てのWebページをTLSで保護するよう設定する常時SSL/TLSのセキュリティ上の効果はどれか。

A WebブラウザとWebサイトとの間における中間者攻撃による通信データの漏えい及び改ざんを防止し,サーバ証明書によって偽りのWebサイトの見分けを容易にする。

 

Q HTTP Strict Transport Security(HSTS)の動作はどれか。

A Webサイトにアクセスすると,Webブラウザは,以降の指定された期間,当該サイトには全てHTTPSによって接続する。

 

Q TLSに関する記述のうち,適切なものはどれか。

A TLSで使用する個人認証用のディジタル証明書は,ICカードにも格納することができ,利用するPCを特定のPCに限定する必要はない。

 

Q 電子メール又はその通信を暗号化する三つのプロトコルについて,公開鍵を用意する単位の組合せのうち,適切なものはどれか。

  PGP S/MIME SMTP over TLS
ア メールアドレスごと メールアドレスごと メールサーバごと

 

Q DKIM(DomainKeys Identified Mail)の説明はどれか。

A 送信側メールサーバにおいてディジタル署名を電子メールのヘッダに付与し,受信側メールサーバにおいてそのディジタル署名を公開鍵によって検証する仕組み

 

Q IEEE802.1Xで使われるEAP-TLSが行う認証はどれか。

A ディジタル証明書による認証サーバとクライアントの相互認証

 

Q DNSSECに関する記述として,適切なものはどれか。

A ディジタル署名によってDNS応答の正当性を確認できる。

 

Q SPF(Sender Policy Framework)によるドメイン認証を実施する場合,SPFの導入時に,電子メール送信元アドレスのドメイン所有者側で行う必要がある設定はどれか。

A DNSサーバにSPFレコードを登録する。

 

Q 特定の利用者が所有するリソースが,WebサービスA上にある。OAuth2.0において,その利用者の認可の下,WebサービスBからそのリソースへの限定されたアクセスを可能にするときのプロトコルの動作はどれか。

A WebサービスAが,アクセストークンを発行する。

 

Q 無線LANの情報セキュリティ対策に関する記述のうち,適切なものはどれか。

A WPA2-Enterpriseは,IEEE802.1Xの規格に沿った利用者認証及び動的に配布される暗号化鍵を用いた暗号化通信を実装するための方式である。

 

Q 利用者認証情報を管理するサーバ1台と複数のアクセスポイントで構成された無線LAN環境を実現したい。PCが無線LAN環境に接続するときの利用者認証とアクセス制御に,IEEE 802.1XとRADIUSを利用する場合の標準的な方法はどれか。

A アクセスポイントにはIEEE 802.1Xのオーセンティケータを実装し,かつ,RADIUSクライアントの機能をもたせる。

 

Q スパムメールの対策として,宛先ポート番号25のメールに対してISPが実施するOP25Bの例はどれか。

A 動的IPアドレスを割り当てたネットワークからISP管理外のネットワークへの直接の通信を遮断する。

 

Q サンドボックスの仕組みに関する記述のうち,適切なものはどれか。

A プログラムの影響がシステム全体に及ばないように,プログラムが実行できる機能やアクセスできるリソースを制限して動作させる。

 

Q CookieにSecure属性を設定しなかったときと比較した,設定したときの動作として,適切なものはどれか。

A URL内のスキームがhttpsのときだけ,WebブラウザからCookieが送出される。

 

Q SQLインジェクション対策について,Webアプリケーションプログラムの実装における対策と,Webアプリケーションプログラムの実装以外の対策の組合せとして,ともに適切なものはどれか。

  Webアプリケーションプログラムの
実装における対策
Webアプリケーションプログラムの
実装以外の対策
エ プレースホルダを利用する。 Webアプリケーションプログラムが利用する
データベースのアカウントがもつ
データーベースアクセス権限を必要最小限にする。

 

Q クロスサイトリクエストフォージェリ攻撃の対策として,効果がないものはどれか。

A WebブラウザからのリクエストをWebサーバで受け付けた際に,リクエストに含まれる“<”や“>”などの特殊文字を,タグとして認識されない“<”や“>”などの文字列に置き換える。

 

Q 攻撃者が,Webアプリケーションのセッションを乗っ取り,そのセッションを利用してアクセスした場合でも,個人情報の漏えいなどに被害が拡大しないようにするために,重要な情報の表示などをする画面の直前でWebアプリケーションが追加的に行う対策として,最も適切なものはどれか。

A パスワードによる利用者認証を行う。

 

 

午後Ⅰ

 3問中2問を選択します。最近の出題テーマは次のようになっています。

期 問 テーマ
令和2年度
秋期
問1 スマートフォンを用いた決済
問2 電子メールのセキュリティ対策
問3 Webシステムのセキュリティ診断
令和元年度
秋期
問1 電子メールのセキュリティ対策
問2 セキュリティインシデント対応におけるサイバーセキュリティ情報の活用
問3 標的型攻撃への対応
平成31年度
春期
問1 Webサイトのセキュリティ
問2 クラウドサービスのセキュリティ
問3 IoT機器の開発
平成30年度
秋期
問1 ソフトウェア開発
問2 セキュリティインシデント対応
問3 ソフトウェアの脆弱性対策
平成30年度
春期
問1 ソフトウェアの脆弱性
問2 情報セキュリティ対策の強化
問3 LAN分離
平成29年度
秋期
問1 ランサムウェアへの対策
問2 Webアプリケーション開発におけるセキュリティ対策
問3 SSL/TLSを用いたサーバ設定と運用
平成29年度
春期
問1 社内で発生したセキュリティインシデント
問2 Webサイトのセキュリティ対策
問3 クラウドサービスの認証連携

 

午後Ⅱ

 2問中1問を選択します。最近の出題テーマは次のようになっています。

期 問 テーマ
令和2年度
秋期
問1 百貨店におけるWebサイトの統合
問2 クラウドサービスを活用したテレワーク環境
令和元年度
秋期
問1 ソフトウェア開発におけるセキュリティ対策
問2 工場のセキュリティ
平成31年度
春期
問1 マルウェア感染と対策
問2 情報セキュリティ対策の強化
平成30年度
秋期
問1 クラウド環境におけるセキュリティ対策
問2 セキュリティインシデントへの対応
平成30年度
春期
問1 セキュリティ対策の評価
問2 Webサイトのセキュリティ
平成29年度
秋期
問1 IoTシステムのセキュリティ対策
問2 データ暗号化の設計
平成29年度
春期
問1 マルウェアの解析
問2 社内システムの情報セキュリティ対策強化

 

 

大手資格スクール解答速報

なし(応用情報技術者試験のみ)
午後試験:10/14(木)16:30 公開予定
f:id:trhnmr:20210925111716j:plain 午後試験:10月下旬 公開予定

 

情報処理技術者試験ページ

通年

f:id:trhnmr:20200328123020g:plain f:id:trhnmr:20200328123034g:plain f:id:trhnmr:20200328123045g:plain

春秋共通

f:id:trhnmr:20200328123054g:plain f:id:trhnmr:20200328123304g:plain

春期のみ

f:id:trhnmr:20200328123108g:plain f:id:trhnmr:20200328123123g:plain f:id:trhnmr:20200328123146g:plain f:id:trhnmr:20200328123239g:plain

秋期のみ

f:id:trhnmr:20200328123135g:plain f:id:trhnmr:20200328123158g:plain f:id:trhnmr:20200328123212g:plain f:id:trhnmr:20200328123251g:plain