22年春期 午前Ⅱ④
問16 セキュリティプロトコルのSSL/TLSの機能はどれか。
ア FTPなどの様々なアプリケーションに利用されて、
アプリケーション層とトランスポート層(TCP)との間で暗号化する。
イ MIMEをベースとして、電子署名とメッセージの暗号に寄って電子メールの
セキュリティを強化する。
ウ PPPとL2Fが統合された仕様で、PPPをトンネリングする。
エ 特定のアプリケーションの通信だけでなく、あらゆるIPパケットをIP層で
暗号化する。
【解答】ア
イ.S/MIME ウ.L2TP エ.IPsec
問17 IPsecに関する記述のうち、適切なものはどれか。
ア IKEはIPsecの鍵交換のためのプロトコルであり、
ポート番号80が使用される。
イ 鍵交換プロトコルとして、HMAC-MD5が使用される。
ウ トンネルモードを使用すると元のヘッダまで含めて暗号化される。
エ ホストAとホストBとの間でIPsecによる通信を行う場合、
認証や暗号化アルゴリズムを両者で決めるためにESPヘッダでなく
AHヘッダを使用する。
【解答】ウ
ア.IKEで使用するのは500番 イ.IPsecのプロトコル→IKE、AHのプロトコルMD5
エ.ESP・AHは暗号化で使用
問18 図のような2台のレイヤ2スイッチ、1台のルータ、4台の端末からなるIP
ネットワークで、端末Aから端末Cに通信を行う際に、送付されるパケットの
あて先IPアドレスである端末CのIPアドレスと、端末CのMACアドレスとを対
応付けるものはどの機器か。
ここで、ルータZにおいてプロキシARPは設定されていないものとする。
ア 端末A イ ルータZ
ウ レイヤ2スイッチX エ レイヤ2スイッチY
【解答】イ
MACフレームはルータを超えて直接通信できない。転送先を決めるのはルータ。
よって、端末Aから端末CのIPアドレス・ルータのMACアドレスをセットし送信、
ルーターで宛先MACアドレスは端末C、送信元MACアドレスがルータに変わる。
宛先IPアドレス・送信元IPアドレスは変わらない。
問19 インターネットで電子メールを送信するとき、メッセージの本文の暗号化に
共通鍵暗号方式を用い、共通鍵の受渡しには公開鍵暗号方式を用いるのは
どれか。
【解答】エ
S/MIME---RSA公開鍵を使用しデータを暗号化。
受信側もS/MIMEに対応している必要がある。
ア.共通かぎ暗号方式
問20 192.168.1.0/24のネットワークアドレスを、16個のサブネットに分割
したときのサブネットマスクはどれか。
ア 255.255.255.192 イ 255.255.255.224
ウ 255.255.255.240 エ 255.255.255.248
【解答】
22年春期 午前Ⅱ③
問11 DMZ上のコンピュータがインターネットからのpingに応答しないようにファイアウォールのセキュリティルールを定めるとき、“通過禁止”に設定するものはどれか。
ア ICMP イ TCP及びUDPのポート番号53
ウ TCPのポート番号21 エ UDPのポート番号123
【解答】ア
21 FTP 110 POP3
22 SSH 123 NTP (Network Time Protocol)
23 Telnet 53 DNS
25 SMTP 43 WHOIS
問12 ダウンローダ型ウイルスがPCに侵入した場合に、インターネット経路で他のウイルスがダウンロードされることを防ぐ有効な対策はどれか。
ア URLフィルタを用いてインターネット上の不正Webサイトへの接続を遮断する。
イ インターネットから内部ネットワークに向けた要求パケットによる不正侵入行為を
IPSで破棄する。
ウ スパムメール対策サーバでインターネットからのスパムメールを拒否する。
エ メールフィルタで他サイトへの不正メール発信を遮断する。
【解答】ア
イ.不正侵入対策 ウ,エ.スパム対策
問13 ディジタル証明書を使わずに、通信者同士が、通信によって交換する公開鍵を用いて行う暗号化通信において、通信内容を横取りする目的で当事者になりすますものはどれか。
ア Man-in-the-middle攻撃 イ war driving
ウ トロイの木馬 エ ブルートフォース攻撃
【解答】ア
war driving ---企業内の無線LANのAPを求めてオフィス街などを車で移動し保護の甘いAPを探すクラッキングの手口
問14 スパムメールの対策であるDKIM(DomainKeys Identified Mail)の説明はどれか。
ア 送信側メールサーバでディジタル署名を電子メールのヘッダに付与して、
受信側メールサーバで検証する。
イ 送信側メールサーバで利用者が認証されたとき、電子メールの送信が許可される。
ウ 電子メールのヘッダや配送経路の情報から得られる送信元情報を用いて、
メール送信元のIPアドレスを検証する。
エ ネットワーク機器で、内部ネットワークから外部のメールサーバのTCPポート25番
への直接通信を禁止する。
【解答】ア
イ---SMTP-AUTH
エ---OP25B(Outbound port 25 blocking)
●DKIM---スパムメール、フィッシングメールなどの迷惑メールへの対抗策としてYahoo!,
Cisco 、Sendmail、PGPの4社により共同開発された。
送信側で電子署名し、受信側で署名を照合する。スパムやフィッシングメールは
受信者に届く前に破棄される。
問15 SMTP-AUTHを使ったメールセキュリティ対策はどれか。
ア ISP管理下の動的IPアドレスからの電子メール送信について、
管理外ネットワークのメールサーバへSMTP通信を禁止する。
イ PCからの電子メール送信について、POP接続で利用者認証済の場合にだけ許可する。
ウ 通常のSMTPとは独立したサブミッションポートを使用して、
メールサーバ接続時の認証を行う。
エ 電子メール送信元のサーバについてDNSの逆引きが成功した場合にだけ、
電子メール受信を許可する。
【解答】ウ
ア.OP25B イ.POP before SMTP エ.reject_unknown_client
22年春期 午前Ⅱ②
問6 DMZ上に公開しているWebサーバで入力データを受け付け、内部ネットワークのDBサーバにそのデータを蓄積するシステムがある。
インターネット上からDMZを経由してなされるDBサーバへの不正侵入対策の一つとして、DMZと内部ネットワークとの間にファイアウォールを設置するとき、最も有効な設定はどれか。
ア DBサーバの受信ポート番号を固定にし、WebサーバからDBサーバの受信ポート番号へ発信された通信だけをファイアウォールで通す。
イ DMZからDBサーバへの通信だけをファイアウォールで通す。
ウ Webサーバの発信ポート番号は任意のポート番号を使用し、ファイアウォールでは、いったん終了した通信と同じ発信ポート番号を使った通信を拒否する。
エ Webサーバの発信ポート番号を固定し、その発信ポート番号の通信だけをファイアウォールで通す。
【解答】ア
問7 ファイアウォールにおいて、自ネットワークのホストへの侵入を防止する対策のうち、IPスプーフィング(spoofing)攻撃に有効なものはどれか。
【解答】エ
→外部からはいってくるはずのないパケット--->なりすまし対策
問8 SQLインジェクション攻撃を防ぐ方法はどれか。
ア 入力から、上位ディレクトリを指定する文字列(../)を取り除く。
イ 入力中の文字がデータベースへの問合せや操作において特別な意味をもつ文字として解釈されないように保護する。
ウ 入力にHTMLタグが含まれていたら、解釈、実行できないほかの文字列に置き換える。
エ 入力の全体の長さが制限を越えていたときは受け付けない。
【解答】イ
→ア サニタイジング ウ クロスサイトスクリプティング エ バッファオーバーフロー
問9 通信を要求したPCに対し、ARPの仕組みを利用して実現できる通信の可否の判定方法のうち、最も適切なものはどれか。
ア PCにインストールされているソフトウェアを確認し、登録されているソフトウェアだけがインストールされている場合に通信を許可する。
イ PCのMACアドレスを確認し、事前に登録されているMACアドレスをもつ場合だけ通信を許可する。
ウ PCのOSのパッチ適用状況を確認し、最新のパッチが適用されている場合だけ通信を許可する。
エ PCのマルウェア対策ソフトの定義ファイルを確認し、最新になっている場合だけ通信を許可する。
【解答】イ
問10 暗号方式に関する記述のうち、適切なものはどれか。
ア AESは公開鍵暗号方式、RSAは共通鍵暗号方式の一種である。
イ 共通鍵暗号方式では、暗号化及び復号に使用する鍵が同一である。
ウ 公開鍵暗号方式を通信内容の秘匿に使用する場合は、暗号化鍵を秘密にして、復号鍵を公開する。
エ ディジタル署名に公開鍵暗号方式が使用されることはなく、共通鍵暗号方式が使用される。
【解答】イ
22年春期 午前Ⅱ①
問1 シングルサインオンの説明のうち、適切なものはどれか。
ア クッキーを使ったシングルサインオンの場合、サーバごとの認証情報を含んだクッキーをクライアントで生成し、各サーバ上で保存、管理する。
イ クッキーを使ったシングルサインオンの場合、認証対象の各サーバを異なるインターネットドメインに配置する必要がある。
ウ リバースプロキシを使ったシングルサインオンの場合、認証対象の各Webサーバを異なるインターネットドメインに配置する必要がある。
エ リバースプロキシを使ったシングルサインオンの場合、利用者認証においてパスワードの代わりにディジタル証明書を用いることができる。
【解答】エ
よくでる問題
→クッキーを使ったシングルサインオンは、認証対象のサーバを同一のインターネットドメインに配置する必要がある
問2 作成者によってディジタル署名された電子文書に、タイムスタンプ機関がタイムスタンプを付与した。
この電子文書を公開する場合のタイムスタンプの効果のうち、適切なものはどれか。
ア タイムスタンプを付与した時刻以降に、作成者が、電子文書の内容をほかの電子文書へコピーして流用することを防止する。
イ タイムスタンプを付与した時刻以降に、第三者が、電子文書の内容をほかの電子文書へコピーして流用することを防止する。
ウ 電子文書が、タイムスタンプの時刻以前に存在したことを示し、作成者が、電子文書の作成を否認することを防止する。
エ 電子文書が、タイムスタンプの時刻以前に存在したことを示し、第三者が、電子文書を改ざんすることを防止する。
【解答】ウ
問3 FIPS 140-2を説明したものはどれか。
ア 暗号モジュールのセキュリティ要求事項
イ 情報セキュリティマネジメントシステムに関する認証基準
ウ ディジタル証明書や証明書失効リストの標準基準
エ 無線LANセキュリティ技術
【解答】ア
・FIPS140-2---IT製品が準拠する必要のある暗号化および関連する安全上の要件を示した米国政府が定める基準。認可された強力な暗号化アルゴリズムや方法など、健全なセキュリティ慣行を確実に使用するためのもの。
問4 米国NISTが制定したAESにおける鍵長の条件はどれか。
ア 128ビット、192ビット、256ビットから選択する。
イ 256ビット未満で任意に指定する。
ウ 暗号化処理単位のブロック長より32ビット長くする。
エ 暗号化処理単位のブロック長より32ビット短くする
【解答】ア
問5 JIS Q 27001:2006における情報システムのリスクとその評価に関する記述のうち、適切なものはどれか。
ア 脅威とは、脆(ぜい)弱性が顕在化する確率のことであり、情報システムに組み込まれた技術的管理策によって決まる。
イ 脆弱性とは、情報システムに対して悪い影響を与える要因のことであり、自然災害、システム障害、人為的過失及び不正行為に大別される。
ウ リスクの特定では、脅威が情報資産の脆弱性に付け込み、情報資産に与える影響を特定する。
エ リスク評価では、リスク回避とリスク低減の二つに評価を分類し、リスクの大きさを判断して決める。
【解答】ウ
・JIS Q 27001
リスク評価→リスク回避、リスク低減、リスク移転、リスク保有
演算子 => と ->
■「=>」---配列に値を代入する演算子
1.$login_params = array("next_url" => "/home.pl", "email" => $email,
2."password" => $password);
この部分では、$login_paramsという配列の要素を定義しています。
1.$login_params = array();
2.$login_params["next_url"] = "/home.pl";
3.$login_params["email"] = $email;
4.$login_params["password"] = $password;
このように記述しても同じ結果となります。
■「->」---オブジェクト(クラス)のメソッドやフィールド変数を参照するため演算子
1.$client->post($login_url, $login_params);
このコードであれば、$clientがHTTP_Clientクラスのインスタンスであるので、
$client->post()はHTTP_Clientクラスのpostメソッドを呼び出しています。