情報処理安全確保支援士(登録セキスペ)試験を受験する方向けに、午前Ⅱ対策を中心としたチートシートを用意しました。
こちらは、あくまで試験合格を目的とした内容になっていますので、きちんと学習したい方は、過去問題解説ページ等をご覧ください。
当ページの内容は動画(YouTube)でも公開していますので是非ご利用ください。
試験別
午前Ⅰ
同時開催の応用情報技術者試験午前問題と同じ問題が出題されます。(80問中30問)
よって、対策は応用情報技術者のページを参考にしてください。
なお、午前Ⅰは応用情報or高度区分の合格か、午前Ⅰの部分合格により、2年間の免除を受けられます。
午前Ⅱ
重点分野、かつ出題可能性が低い問題(直近2期分)を除外した過去問題について、問題と答えのみを抜粋しました。
例年通りであれば、問題の3割程度は、以下の約80問の中から出題されますので、直前の確認(詰め込み?)にご利用ください。
セキュリティ(問1〜17)
Q エクスプロイトコードの説明はどれか。
A 攻撃コードとも呼ばれ,ソフトウェアの脆弱性を悪用するコードのことであり,使い方によっては脆弱性の検証に役立つこともある。
Q 攻撃者に脆弱性に関する専門の知識がなくても,OSやアプリケーションソフトウェアの脆弱性を悪用した攻撃ができる複数のプログラムや管理機能を統合したものはどれか。
A Exploit Kit
Q マルウェアMiraiの動作はどれか。
A ランダムなIPアドレスを生成してtelnetポートにログインを試行し,工場出荷時の弱いパスワードを使っているIoT機器などに感染を広げるとともに,C&Cサーバからの指令に従って標的に対してDDoS攻撃を行う。
Q ルートキットの特徴はどれか。
A OSなどに不正に組み込んだツールを隠蔽する。
Q 情報セキュリティにおけるエクスプロイトコードの説明はどれか。
A ソフトウェアやハードウェアの脆弱性を利用するために作成されたプログラム
Q BlueBorneの説明はどれか。
A Bluetoothを悪用してデバイスを不正に操作したり,情報を窃取したりする,複数の脆弱性の呼称
Q 無線LANの隠れ端末問題の説明として,適切なものはどれか。
A 端末がアクセスポイントとは通信できるが,他の端末のキャリアを検出できない状況にあり,送信フレームが衝突を起こしやすくなる問題
Q Webサーバのログを分析したところ,Webサーバへの攻撃と思われるHTTPリクエストヘッダが記録されていた。次のHTTPリクエストヘッダから推測できる,攻撃者が悪用しようとしていた脆弱性はどれか。ここで,HTTPリクエストヘッダ中の"%20"は空白を意味する。
〔HTTPリクエストヘッダの一部〕
GET /cgi-bin/submit.cgi?user=;cat%20/etc/passwd HTTP/1.1
Accept: */*
Accept-Language: ja
UA-CPU: x86
Accept-Encoding: gzip,deflate
User-Agent: (省略)
Host: test.example.com
Connection: Keep-Alive
A OSコマンドインジェクション
Q サイドチャネル攻撃の説明はどれか。
A 暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量(処理時間や消費電流など)やエラーメッセージから,攻撃対象の秘密情報を得る。
Q 暗号機能を実装したIoT機器において脅威となるサイドチャネル攻撃に該当するものはどれか。
A 機器が発する電磁波を測定することによって秘密情報の取得を試みる。
Q マルチベクトル型DDoS攻撃に該当するものはどれか。
A Webサイトに対して,SYN Flood攻撃とHTTP POST Flood攻撃を同時に行う。
Q 仮想通貨環境において,報酬を得るために行われるクリプトジャッキングはどれか。
A 他人のPC又はサーバに侵入して計算資源を不正に利用し,台帳への追記の計算を行う。
Q DoS攻撃の一つであるSmurf攻撃はどれか。
A ICMPの応答パケットを大量に発生させ,それが攻撃対象に送られるようにする。
Q サイドチャネル攻撃はどれか。
A 暗号化装置における暗号化処理時の消費電力などの測定や統計処理によって,当該装置内部の秘密情報を推定する攻撃
Q マルチベクトル型DDoS攻撃に該当するものはどれか。
A 攻撃対象のWebサーバ1台に対して,多数のPCから一斉にリクエストを送ってサーバのリソースを枯渇させる攻撃と,大量のDNS通信によってネットワークの帯域を消費させる攻撃を同時に行う。
Q UDPの性質を悪用したDDoS攻撃に該当するものはどれか。
A DNSリフレクタ攻撃
Q Webアプリケーションの脆弱性を悪用する攻撃手法のうち,Webページ上で入力した文字列がPerlのsystem関数やPHPのexec関数などに渡されることを利用し,不正にシェルスクリプトを実行させるものは,どれに分類されるか。
A OSコマンドインジェクション
Q テンペスト攻撃を説明したものはどれか。
A 処理中に機器から放射される電磁波を観測して解析する。
Q 暗号化装置において暗号化処理時に消費電力を測定するなどして,当該装置内部の秘密情報を推定する攻撃はどれか。
A サイドチャネル攻撃
Q SSL/TLSのダウングレード攻撃に該当するものはどれか。
A 暗号化通信を確立するとき,弱い暗号スイートの使用を強制することによって,解読しやすい暗号化通信を行わせる。
Q セッションIDの固定化(Session Fixation)攻撃の手口はどれか。
A 悪意のある者が正規のWebサイトから取得したセッションIDを,利用者のWebブラウザに送り込み,利用者がそのセッションIDでログインして,セッションがログイン状態に変わった後,利用者になりすます。
Q DNS水責め攻撃(ランダムサブドメイン攻撃)の手口と目的に関する記述のうち,適切なものはどれか。
A オープンリゾルバとなっているDNSキャッシュサーバに対して,攻撃対象のドメインのサブドメイン名をランダムかつ大量に生成して問い合わせ,攻撃対象の権威DNSサーバを過負荷にさせる。
Q ICMP Flood攻撃に該当するものはどれか。
A pingコマンドを用いて大量の要求パケットを発信することによって,攻撃対象のサーバに至るまでの回線を過負荷にしてアクセスを妨害する。
Q ハッシュ関数の性質の一つである衝突発見困難性に関する記述のうち,適切なものはどれか。
A 衝突発見困難性とは,ハッシュ値が一致する二つのメッセージの発見に要する計算量が大きいことによる,発見の困難性のことである。
Q AESの特徴はどれか。
A 鍵長によって,段数が決まる。
Q SAML(Security Assertion Markup Language)の説明として,最も適切なものはどれか。
A 認証情報に加え,属性情報とアクセス制御情報を異なるドメインに伝達するためのWebのサービス仕様
Q 認証処理のうち,FIDO(Fast IDentity Online) UAF(Universal Authentication Framework)1.1に基づいたものはどれか。
A SaaS接続時の認証において,スマートフォンで顔認証を行った後,スマートフォン内の秘密鍵でディジタル署名を生成して,そのディジタル署名を認証サーバに送信した。
Q XMLディジタル署名の特徴として,適切なものはどれか。
A XML文書中の任意のエレメントに対してデタッチ署名(Detached Signature)を付けることができる。
Q 標準化団体OASISが,Webサイトなどを運営するオンラインビジネスパートナ間で認証,属性及び認可の情報を安全に交換するために策定したものはどれか。
A SAML
Q シングルサインオンの実装方式に関する記述のうち,適切なものはどれか。
A リバースプロキシを使ったシングルサインオンの場合,利用者認証においてパスワードの代わりにディジタル証明書を用いることができる。
Q 認証デバイスに関する記述のうち,適切なものはどれか。
A 成人の虹彩は,経年変化がなく,虹彩認証では,認証デバイスでのパターン更新がほとんど不要である。
Q 発信者がメッセージのハッシュ値からディジタル署名を生成するのに使う鍵はどれか。
A 発信者の秘密鍵
Q VA(Validation Authority)の役割はどれか。
A ディジタル証明書の失効状態についての問合せに応答する。
Q X.509におけるCRL(Certificate Revocation List)に関する記述のうち,適切なものはどれか。
A 認証局は,有効期限内のディジタル証明書のシリアル番号をCRLに登録することがある。
Q CRL(Certificate Revocation List)に掲載されるものはどれか。
A 有効期限内に失効したディジタル証明書のシリアル番号
Q PKIを構成するOCSPを利用する目的はどれか。
A ディジタル証明書の失効情報を問い合わせる。
Q ディジタル証明書に関する記述のうち,適切なものはどれか。
A ディジタル証明書は,TLSプロトコルにおいて通信データの暗号化のための鍵交換や通信相手の認証に利用されている。
Q リフレクタ攻撃に悪用されることの多いサービスの例はどれか。
A DNS,Memcached,NTP
Q NISTが制定した,AESにおける鍵長の条件はどれか。
A 128ビット,192ビット,256ビットから選択する。
Q 個人情報の漏えいに関するリスク対応のうち,リスク回避に該当するものはどれか。
A 収集済みの個人情報を消去し,新たな収集を禁止する。
Q JIS Q 27014:2015(情報セキュリティガバナンス)における,情報セキュリティを統治するために経営陣が実行するガバナンスプロセスのうちの“モニタ”はどれか。
A 戦略的目的の達成を評価することを可能にするガバナンスプロセス
Q 不適合への対応のうちJIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)の“是正処置”の定義はどれか。
A 不適合の原因を除去し,再発を防止するための処置
Q JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)における情報セキュリティリスクに関する定義のうち,適切なものはどれか。
A リスク特定とは,リスクを発見,認識及び記述するプロセスのことであり,リスク源,事象,それらの原因及び起こり得る結果の特定が含まれる。
Q 経済産業省が“サイバー・フィジカル・セキュリティ対策フレームワーク(Version1.0)”を策定した主な目的の一つはどれか。
A 新たな産業社会において付加価値を創造する活動が直面するリスクを適切に捉えるためのモデルを構築し,求められるセキュリティ対策の全体像を整理すること
Q 経済産業省とIPAが策定した“サイバーセキュリティ経営ガイドライン(Ver2.0)”の説明はどれか。
A 企業がIT活用を推進していく中で,サイバー攻撃から企業を守る観点で経営者が認識すべき3原則と,情報セキュリティ対策を実施する上での責任者となる担当幹部に,経営者が指示すべき事項をまとめたもの
Q 総務省及び国立研究開発法人情報通信研究機構(NICT)が2019年2月から実施している取組“NOTICE”に関する記述のうち,適切なものはどれか。
A 国内のグローバルIPアドレスを有するIoT機器に,容易に推測されるパスワードを入力することなどによって,サイバー攻撃に悪用されるおそれのある機器を調査し,インターネットサービスプロバイダを通じて当該機器の利用者に注意喚起を行う。
Q CRYPTRECの活動内容はどれか。
A 暗号技術の技術的検討並びに国際競争力の向上及び運用面での安全性向上に関する検討を行う。
Q 総務省及び経済産業省が策定した“電子政府における調達のために参照すべき暗号のリスト(CRYPTREC 暗号リスト)”を構成する暗号リストの説明のうち,適切なものはどれか。
A 電子政府推奨暗号リストとは,CRYPTRECによって安全性及び実装性能が確認された暗号技術のうち,市場における利用実績が十分であるか今後の普及が見込まれると判断され,当該技術の利用を推奨するもののリストである。
Q 総務省及び経済産業省が策定した“電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)”に関する記述のうち,適切なものはどれか。
A CRYPTREC暗号リストにある推奨候補暗号リストとは,安全性及び実装性能が確認され,今後,電子政府推奨暗号リストに掲載される可能性がある暗号技術のリストである。
Q JVNなどの脆弱性対策情報ポータルサイトで採用されているCVE(Common Vulnerabilities and Exposures)識別子の説明はどれか。
A 製品に含まれる脆弱性を識別するための識別子
Q サイバー情報共有イニシアティブ(J-CSIP)の説明として,適切なものはどれか。
A 標的型サイバー攻撃などに関する情報を参加組織間で共有し,高度なサイバー攻撃対策につなげる取組
Q 基本評価基準,現状評価基準,環境評価基準の三つの基準で情報システムの脆弱性の深刻度を評価するものはどれか。
A CVSS
Q 問題を引き起こす可能性があるデータを大量に入力し,そのときの応答や挙動を監視することによって,ソフトウェアの脆弱性を検出するテスト手法はどれか。
A ファジング
Q FIPS PUB 140-2の記述内容はどれか。
A 暗号モジュールのセキュリティ要求事項
Q EDSA認証における評価対象と評価項目について,適切な組みはどれか。
| 評価対象 | 評価項目 | |
| ア | 組込み機器である制御機器 | 組込み機器ロバストネス試験 |
Q CVSS v3の評価基準には,基本評価基準,現状評価基準,環境評価基準の三つがある。基本評価基準の説明はどれか。
A 機密性への影響,どこから攻撃が可能かといった攻撃元区分,攻撃する際に必要な特権レベルなど,脆弱性そのものの特性を評価する。
Q 3Dセキュアは,ネットショッピングでのオンライン決済におけるクレジットカードの不正使用を防止する対策の一つである。3Dセキュアに関する記述のうち,適切なものはどれか。
A クレジットカード発行会社にあらかじめ登録したパスワードなど,本人しか分からない情報を入力させ,検証することによって,なりすましによるクレジットカードの不正使用を防止する。
Q インターネットバンキングの利用時に被害をもたらすMITB(Man in the Browser)攻撃に有効な対策はどれか。
A インターネットバンキングでの送金時に利用者が入力した情報と,金融機関が受信した情報とに差異がないことを検証できるよう,トランザクション署名を利用する。
Q JIS X 9401:2016(情報技術-クラウドコンピューティング-概要及び用語)の定義によるクラウドサービス区分の一つであり,クラウドサービスカスタマの責任者が表中の項番1と2の責務を負い,クラウドサービスプロバイダが項番3~5の責務を負うものはどれか。
| 項番 | 責務 |
| 1 | アプリケーションソフトウェアに対して,データ利用時のアクセス制御と暗号化の設定を行う。 |
| 2 | アプリケーションソフトウェアに対して,セキュアプログラミングとソースコードの脆弱性診断を行う。 |
| 3 | DBMSに対して,修正プログラム適用と権限設定を行う。 |
| 4 | OSに対して,修正プログラム適用と権限設定を行う。 |
| 5 | ハードウェアに対して,アクセス制御と物理セキュリティ確保を行う。 |
A PaaS
Q ディジタルフォレンジックスに該当するものはどれか。
A 犯罪に関する証拠となり得るデータを保全し,調査,分析,その後の訴訟などに備える。
Q セキュリティ対策として,次の条件の下でデータベース(DB)サーバをDMZから内部ネットワークに移動するようなネットワーク構成の変更を計画している。このとき,ステートフルパケットインスペクション型のファイアウォール(FW)において,必要となるフィルタリングルールの変更のうちの一つはどれか。
〔条件〕
(1)Webアプリケーション(WebAP)サーバを,インターネットに公開する。
(2)WebAPサーバ上のプログラムだけがDBサーバ上のDBに接続でき,ODBC(Open Database Connectivity)を使用して特定のポート間で通信する。
(3)SSHを使用して各サーバに接続できるのは,運用管理PCだけである。
(4)フィルタリングルールは,必要な通信だけを許可する設定にする。
〔ネットワーク構成〕
| ルールの 変更種別 |
ルール | ||||
| 送信元 | 宛先 | サービス | 制御 | ||
| イ | 削除 | 運用管理PC | 変更前のDBサーバ | SSH | 許可 |
Q ファイアウォールにおけるダイナミックパケットフィルタリングの特徴はどれか。
A 過去に通過したリクエストパケットに対応付けられる戻りのパケットを通過させることができる。
Q インターネットバンキングサービスを提供するWebサイトを利用する際に,トランザクション署名の機能をもつハードウェアトークンを利用する。次の処理を行うとき,(4)によってできることはどれか。ここで,ハードウェアトークンは利用者ごとに異なり,本人だけが利用する。
〔処理〕
(1)ハードウェアトークンに振込先口座番号と振込金額を入力し,メッセージ認証符号(MAC)を生成する。
(2)Webサイトの振込処理画面に振込先口座番号,振込金額及び(1)で生成されたMACを入力し,Webサイトに送信する。
(3)Webサイトでは,本人に発行したハードウェアトークンと同じ処理手順によって振込先口座番号と振込金額からMACを生成する。
(4)Webサイトでは,(2)で入力されたMACと,(3)で生成したMACを比較する。
A 振込先口座番号と振込金額が改ざんされていないことを確認できる。
Q DNSキャッシュポイズニング攻撃に対して有効な対策はどれか。
A DNS問合せに使用するDNSヘッダ内のIDを固定せずにランダムに変更する。
Q VLAN機能をもった1台のレイヤ3スイッチに複数のPCを接続している。スイッチのポートをグループ化して複数のセグメントに分けると,スイッチのポートをセグメントに分けない場合に比べて,どのようなセキュリティ上の効果が得られるか。
A スイッチが,PCからのブロードキャストパケットの到達範囲を制限するので,アドレス情報の不要な流出のリスクを低減できる。
Q 内部ネットワーク上のPCからインターネット上のWebサイトを参照するときは,DMZ上のVDI(Virtual Desktop Infrastructure)サーバにログインし,VDIサーバ上のWebブラウザを必ず利用するシステムを導入する。インターネット上のWebサイトから内部ネットワーク上のPCへのマルウェアの侵入,及びインターネット上のWebサイトへのPC内のファイルの流出を防止する効果を得るために必要な条件はどれか。
A PCとVDIサーバ間は,VDIの画面転送プロトコルだけを利用する。
Q ステートフルパケットインスペクション方式のファイアウォールの特徴はどれか。
A パケットフィルタリングを拡張した方式であり,過去に通過したパケットから通信セッションを認識し,受け付けたパケットを通信セッションの状態に照らし合わせて通過させるか遮断するかを判断する。
Q 内部ネットワークのPCがダウンローダ型マルウェアに感染したとき,そのマルウェアがインターネット経由で他のマルウェアをダウンロードすることを防ぐ方策として,最も有効なものはどれか。
A インターネット上の危険なWebサイトの情報を保持するURLフィルタを用いて,危険なWebサイトとの接続を遮断する。
Q DNSに対するカミンスキー攻撃(Kaminsky's attack)への対策はどれか。
A 問合せ時の送信元ポート番号をランダム化することによって,DNSキャッシュサーバに偽の情報がキャッシュされる確率を大幅に低減させる。
Q 外部から侵入されたサーバ及びそのサーバに接続されていた記憶媒体を調査対象としてディジタルフォレンジックスを行うことになった。まず,稼働状態にある調査対象サーバや記憶媒体などから表に示すa~dのデータを証拠として保全する。保全の順序のうち,最も適切なものはどれか。
| 証拠として保全するデータ | |
| a | 遠隔にあるログサーバに記録された調査対象サーバのアクセスログ |
| b | 調査対象サーバにインストールされていた会計ソフトのインストール用CD |
| c | 調査対象サーバのハードディスク上の表計算ファイル |
| d | 調査対象サーバのルーティングテーブルの状態 |
A d → c → a → b
Q PCなどに内蔵されるセキュリティチップ(TPM : Trusted Platform Module)がもつ機能はどれか。
A 鍵ペアの生成
Q NISTの定義によるクラウドコンピューティングのサービスモデルにおいて,パブリッククラウドサービスの利用企業のシステム管理者が,仮想サーバのゲストOSに対するセキュリティパッチの管理と適用を実施可か実施不可かの組合せのうち,適切なものはどれか。
| IaaS | PaaS | SaaS | |
| イ | 実施可 | 実施不可 | 実施不可 |
Q ウイルス対策ソフトでの,フォールスネガティブに該当するものはどれか。
A ウイルスに感染しているファイルを,ウイルスに感染していないと判断する。
Q DNSにおいてDNS CAA(Certification Authority Authorization)レコードを使うことによるセキュリティ上の効果はどれか。
A 不正なサーバ証明書の発行を防ぐ。
Q セキュリティ対策として,CASB(Cloud Access Security Broker)を利用した際の効果はどれか。
A クラウドサービス利用組織の管理者が,組織の利用者が利用している全てのクラウドサービスの利用状況の可視化を行うことによって,許可を得ずにクラウドサービスを利用している者を特定できる。
Q マルウェアの検出手法であるビヘイビア法を説明したものはどれか。
A マルウェアの感染や発病によって生じるデータの読込みの動作,書込みの動作,通信などを監視して,マルウェアを検出する。
Q 内部ネットワークにあるPCからインターネット上のWebサイトを参照するときは,DMZにあるVDI(Virtual Desktop Infrastructure)サーバ上の仮想マシンからログインし,仮想マシン上のWebブラウザを必ず利用するシステムを導入する。インターネット上のWebサイトから内部ネットワークにあるPCへのマルウェアの侵入,及びインターネット上のWebサイトへのPC内のファイルの流出を防止する効果を得るために必要な条件はどれか。
A PCとVDIサーバ間は,VDIの画面転送プロトコルだけを利用する。
Q RFC 8110 に基づいたものであり,公衆無線LANなどでパスフレーズなどでの認証なしに,端末とアクセスポイントとの間の無線通信を暗号化するものはどれか。
A Enhanced Open
Q WebサーバがHTTP over TLS(HTTPS)通信の応答でcookieにSecure属性を設定するときのWebサーバ及びWebブラウザの処理はどれか。
A Webサーバでは,cookie発行時に“Secure”を設定し,Webブラウザは,それを参照し,HTTPS通信時だけそのcookieを送信する。
Q Webサイトにおいて,全てのWebページをTLSで保護するよう設定する常時SSL/TLSのセキュリティ上の効果はどれか。
A WebブラウザとWebサイトとの間における中間者攻撃による通信データの漏えい及び改ざんを防止し,サーバ証明書によって偽りのWebサイトの見分けを容易にする。
Q HTTP Strict Transport Security(HSTS)の動作はどれか。
A Webサイトにアクセスすると,Webブラウザは,以降の指定された期間,当該サイトには全てHTTPSによって接続する。
Q TLSに関する記述のうち,適切なものはどれか。
A TLSで使用する個人認証用のディジタル証明書は,ICカードにも格納することができ,利用するPCを特定のPCに限定する必要はない。
Q 電子メール又はその通信を暗号化する三つのプロトコルについて,公開鍵を用意する単位の組合せのうち,適切なものはどれか。
| PGP | S/MIME | SMTP over TLS | |
| ア | メールアドレスごと | メールアドレスごと | メールサーバごと |
Q SMTP-AUTHの特徴はどれか。
A メールクライアントからメールサーバへの電子メール送信時に,利用者IDとパスワードによる利用者認証を行う。
Q DNSSECで実現できることはどれか。
A DNSキャッシュサーバが得た応答中のリソースレコードが,権威DNSサーバで管理されているものであり,改ざんされていないことの検証
Q DKIM(DomainKeys Identified Mail)の説明はどれか。
A 送信側メールサーバにおいてディジタル署名を電子メールのヘッダに付与し,受信側メールサーバにおいてそのディジタル署名を公開鍵によって検証する仕組み
Q IEEE802.1Xで使われるEAP-TLSが行う認証はどれか。
A ディジタル証明書による認証サーバとクライアントの相互認証
Q DNSSECに関する記述として,適切なものはどれか。
A ディジタル署名によってDNS応答の正当性を確認できる。
Q SPF(Sender Policy Framework)によるドメイン認証を実施する場合,SPFの導入時に,電子メール送信元アドレスのドメイン所有者側で行う必要がある設定はどれか。
A DNSサーバにSPFレコードを登録する。
Q 特定の利用者が所有するリソースが,WebサービスA上にある。OAuth2.0において,その利用者の認可の下,WebサービスBからそのリソースへの限定されたアクセスを可能にするときのプロトコルの動作はどれか。
A WebサービスAが,アクセストークンを発行する。
Q インターネットサービスプロバイダ(ISP)が,スパムメール対策として導入するIP25Bに該当するものはどれか。
A 他社ISPのネットワークの動的IPアドレスから自社ISPのメールサーバへのSMTP通信を制限する。
Q 無線LANの情報セキュリティ対策に関する記述のうち,適切なものはどれか。
A WPA2-Enterpriseは,IEEE802.1Xの規格に沿った利用者認証及び動的に配布される暗号化鍵を用いた暗号化通信を実装するための方式である。
Q インターネットサービスプロバイダ(ISP)が,OP25Bを導入する目的はどれか。
A ISP管理外のネットワークに向けてISP管理下のネットワークから送信されるスパムメールを制限する。
Q 利用者認証情報を管理するサーバ1台と複数のアクセスポイントで構成された無線LAN環境を実現したい。PCが無線LAN環境に接続するときの利用者認証とアクセス制御に,IEEE 802.1XとRADIUSを利用する場合の標準的な方法はどれか。
A アクセスポイントにはIEEE 802.1Xのオーセンティケータを実装し,かつ,RADIUSクライアントの機能をもたせる。
Q スパムメールの対策として,宛先ポート番号25のメールに対してISPが実施するOP25Bの例はどれか。
A 動的IPアドレスを割り当てたネットワークからISP管理外のネットワークへの直接の通信を遮断する。
Q サンドボックスの仕組みに関する記述のうち,適切なものはどれか。
A プログラムの影響がシステム全体に及ばないように,プログラムが実行できる機能やアクセスできるリソースを制限して動作させる。
Q ブロックチェーンに関する記述のうち,適切なものはどれか。
A ハッシュ関数を必須の技術として,参加者がデータの改ざんを検出するために利用する。
Q CookieにSecure属性を設定しなかったときと比較した,設定したときの動作として,適切なものはどれか。
A URL内のスキームがhttpsのときだけ,WebブラウザからCookieが送出される。
Q SQLインジェクション対策について,Webアプリケーションプログラムの実装における対策と,Webアプリケーションプログラムの実装以外の対策の組合せとして,ともに適切なものはどれか。
| Webアプリケーションプログラムの 実装における対策 |
Webアプリケーションプログラムの 実装以外の対策 |
|
| エ | プレースホルダを利用する。 | Webアプリケーションプログラムが利用する データベースのアカウントがもつ データーベースアクセス権限を必要最小限にする。 |
Q クロスサイトリクエストフォージェリ攻撃の対策として,効果がないものはどれか。
A WebブラウザからのリクエストをWebサーバで受け付けた際に,リクエストに含まれる“<”や“>”などの特殊文字を,タグとして認識されない“<”や“>”などの文字列に置き換える。
Q 攻撃者が,Webアプリケーションのセッションを乗っ取り,そのセッションを利用してアクセスした場合でも,個人情報の漏えいなどに被害が拡大しないようにするために,重要な情報の表示などをする画面の直前でWebアプリケーションが追加的に行う対策として,最も適切なものはどれか。
A パスワードによる利用者認証を行う。
Q 安全なWebアプリケーションの作り方について,攻撃と対策の適切な組合せはどれか。
| 攻撃 | 対策 | |
| ア | SQLインジェクション | SQL文の組立てに静的プレースホルダを使用する。 |
Q HSTS(HTTP Strict Transport Security)の説明はどれか。
A HSTSを利用するWebサイトにWebブラウザがHTTPでアクセスした場合,Webブラウザから当該サイトへのその後のアクセスを強制的にHTTP over TLS(HTTPS)にする。
午後Ⅰ
3問中2問を選択します。最近の出題テーマは次のようになっています。
| 期 | 問 | テーマ |
| 令和4年度 春期 |
問1 | Webアプリケーションプログラム開発のセキュリティ対策 |
| 問2 | セキュリティインシデント対応 | |
| 問3 | スマートフォン向けQRコード決済サービスの開発 | |
| 令和3年度 秋期 |
問1 | セキュリティインシデント |
| 問2 | システム開発での情報漏えい対策 | |
| 問3 | PCのマルウェア対策 | |
| 令和3年度 春期 |
問1 | 認証システムの開発 |
| 問2 | ネットワークのセキュリティ対策 | |
| 問3 | セキュリティ運用 | |
| 令和2年度 秋期 |
問1 | スマートフォンを用いた決済 |
| 問2 | 電子メールのセキュリティ対策 | |
| 問3 | Webシステムのセキュリティ診断 | |
| 令和元年度 秋期 |
問1 | 電子メールのセキュリティ対策 |
| 問2 | セキュリティインシデント対応におけるサイバーセキュリティ情報の活用 | |
| 問3 | 標的型攻撃への対応 | |
| 平成31年度 春期 |
問1 | Webサイトのセキュリティ |
| 問2 | クラウドサービスのセキュリティ | |
| 問3 | IoT機器の開発 | |
| 平成30年度 秋期 |
問1 | ソフトウェア開発 |
| 問2 | セキュリティインシデント対応 | |
| 問3 | ソフトウェアの脆弱性対策 | |
| 平成30年度 春期 |
問1 | ソフトウェアの脆弱性 |
| 問2 | 情報セキュリティ対策の強化 | |
| 問3 | LAN分離 | |
| 平成29年度 秋期 |
問1 | ランサムウェアへの対策 |
| 問2 | Webアプリケーション開発におけるセキュリティ対策 | |
| 問3 | SSL/TLSを用いたサーバ設定と運用 | |
| 平成29年度 春期 |
問1 | 社内で発生したセキュリティインシデント |
| 問2 | Webサイトのセキュリティ対策 | |
| 問3 | クラウドサービスの認証連携 |
午後Ⅱ
2問中1問を選択します。最近の出題テーマは次のようになっています。
| 期 | 問 | テーマ |
| 令和4年度 春期 |
問1 | Webサイトのセキュリティ |
| 問2 | クラウドサービスへの移行 | |
| 令和3年度 秋期 |
問1 | 協力会社とのファイルの受け渡し |
| 問2 | マルウェア感染への対処 | |
| 令和3年度 春期 |
問1 | インシデント対応体制の整備 |
| 問2 | クラウドセキュリティ | |
| 令和2年度 秋期 |
問1 | 百貨店におけるWebサイトの統合 |
| 問2 | クラウドサービスを活用したテレワーク環境 | |
| 令和元年度 秋期 |
問1 | ソフトウェア開発におけるセキュリティ対策 |
| 問2 | 工場のセキュリティ | |
| 平成31年度 春期 |
問1 | マルウェア感染と対策 |
| 問2 | 情報セキュリティ対策の強化 | |
| 平成30年度 秋期 |
問1 | クラウド環境におけるセキュリティ対策 |
| 問2 | セキュリティインシデントへの対応 | |
| 平成30年度 春期 |
問1 | セキュリティ対策の評価 |
| 問2 | Webサイトのセキュリティ | |
| 平成29年度 秋期 |
問1 | IoTシステムのセキュリティ対策 |
| 問2 | データ暗号化の設計 | |
| 平成29年度 春期 |
問1 | マルウェアの解析 |
| 問2 | 社内システムの情報セキュリティ対策強化 |
大手資格スクール解答速報
 |
なし(応用情報技術者試験のみ) | |
 |
午後試験:10/X 公開予定 | |
 |
午後試験:10/X 公開予定 | |
情報処理技術者試験ページ
通年
春秋共通
春期のみ
秋期のみ
