問11　通信の暗号化に関する記述のうち、適切なものはどれか。

• ア　IPsecのトランスポートモードでは、ゲートウェイ間の通信経路上だけでなく、発信ホストと受信ホストの間の全経路上でメッセージが暗号化される。
• イ　LDAPクライアントがLDAPサーバに接続するとき、その通信内容は暗号化することができない。
• ウ　S/MIMEで暗号化した電子メールは、受信側のメールサーバ内に格納されている間は、メール管理者が平文として見ることができる。
• エ　SSLを使用すると、暗号化されたHTML文書はブラウザのキャッシュの有無が設定できず、ディスク内に必ず保存される。

---

【解答】ア
→トランスポートモード--ホスト間で暗号化
　トンネルモード--ゲートウェイ間を暗号化
　S/MIME--受信トレイでも暗号化されたまま

---

問12　自社の中継用メールサーバのログのうち、外部ネットワークからの第三者中継と判断できるものはどれか。
ここで、AAA．168．1．5とAAA．168．1．10は自社のグローバルIPアドレスとし、BBB．45．67．89とBBB．45．67．90は社外のグローバルIPアドレスとする。
a．b．cは自社のドメイン名とし、a．b．dとa．b．eは他社のドメイン名とする。
また、IPアドレスとドメイン名は詐称されていないものとする。

---

【解答】ウ
→送信者、受信者ともに他社になっているから

---

問13　経済産業省“ソフトウェア管理ガイドライン”に定められた、ソフトウェアを使用する法人、団体などが実施すべき基本的事項の記述のうち、適切なものはどれか。

• ア　ウイルスからソフトウェアを保護するため、関係法令や使用許諾契約などについて利用者の教育啓発を行う。
• イ　セキュリティ対策に責任を負うセキュリティ管理責任者を任命し、適切な管理体制を整備する。
• ウ　ソフトウェアの違法複製などの有無を確認するため、すべてのソフトウェアを対象として、その使用状況について監査を実施する。
• エ　ソフトウェアの脆(ぜい)弱性を突いた不正アクセスから保護するため、ソフトウェアの仕様手順や管理方法などを定めたソフトウェア管理規則を制定する。

---

【解答】ウ

ソフトウェア管理ガイドラインでは、法人等が実施すべき基本的事項、ソフトウェア管理責任者が実施すべき事項、ソフトウェアユーザが実施すべき事項から成り、その構成及び内容は以下のようになっています。

(1) 　法人等が実施すべき基本的事項
法人等が、自己の組織内においてソフトウェアの違法複製等が行われることを防止するために行うべき最も基本的な事項についてまとめたもの。
(2) 　ソフトウェア管理責任者が実施すべき事項
法人等におけるソフトウェアの使用等について責任を負う者(以下「ソフトウェア管理責任者」という。)が行うべき事項についてまとめたもの。
(3) 　ソフトウェアユーザが実施すべき事項
法人等の事業所においてソフトウェアを使用する法人等の構成員(以下「ソフトウェアユーザ」という。)が行うべき事項についてまとめたもの。

---

問14　共通フレーム2007に従いシステム開発の要件定義の段階で実施することとして、適切なものはどれか。

• ア　システムに必要なセキュリティ機能及びその機能が対策として達成すべき内容を決定する。
• イ　システムに必要なセキュリティ機能に関連するチェックリストを用いてソースコードをレビューする。
• ウ　組織に必要なセキュリティ機能を含むシステム化計画を立案する。
• エ　第三者によるシステムのセキュリティ監査を脆(ぜい)弱性評価ツールを用いて定期的に実施する。

---

【解答】ア

→ア 要件定義プロセス イ 開発プロセス ウ 企画プロセス エ 保守プロセス

---

問15　ICカードの耐タンパ性を高める対策はどれか。

• ア　ICカードとICカードリーダとが非接触の状態で利用者を認証して、利用者の利便性を高めるようにする。
• イ　故障に備えてあらかじめ作成した予備のICカードを保管し、故障時に直ちに予備カードに交換して利用者がICカードを続けられるようにする。
• ウ　信号の読み出し用プローブの取付けを検出するとICチップ内の保存情報を消去する回路を設けて、ICチップ内の情報を容易に解析できないようにする。
• エ　退職者のICカードは業務システム側で利用を停止して、ほかの利用者が使用できないようにする。

---

【解答】ウ
→物理的なセキュリティ対策