問１　シングルサインオンの説明のうち、適切なものはどれか。

ア　クッキーを使ったシングルサインオンの場合、サーバごとの認証情報を含んだクッキーをクライアントで生成し、各サーバ上で保存、管理する。
イ 　クッキーを使ったシングルサインオンの場合、認証対象の各サーバを異なるインターネットドメインに配置する必要がある。
ウ　リバースプロキシを使ったシングルサインオンの場合、認証対象の各Webサーバを異なるインターネットドメインに配置する必要がある。
エ　リバースプロキシを使ったシングルサインオンの場合、利用者認証においてパスワードの代わりにディジタル証明書を用いることができる。

---

【解答】エ
よくでる問題
→クッキーを使ったシングルサインオンは、認証対象のサーバを同一のインターネットドメインに配置する必要がある

---

問２　作成者によってディジタル署名された電子文書に、タイムスタンプ機関がタイムスタンプを付与した。
この電子文書を公開する場合のタイムスタンプの効果のうち、適切なものはどれか。

ア　タイムスタンプを付与した時刻以降に、作成者が、電子文書の内容をほかの電子文書へコピーして流用することを防止する。
イ　タイムスタンプを付与した時刻以降に、第三者が、電子文書の内容をほかの電子文書へコピーして流用することを防止する。
ウ　電子文書が、タイムスタンプの時刻以前に存在したことを示し、作成者が、電子文書の作成を否認することを防止する。
エ　電子文書が、タイムスタンプの時刻以前に存在したことを示し、第三者が、電子文書を改ざんすることを防止する。

---

【解答】ウ

---

問３　FIPS 140-2を説明したものはどれか。

　ア　暗号モジュールのセキュリティ要求事項
　イ　情報セキュリティマネジメントシステムに関する認証基準
　ウ　ディジタル証明書や証明書失効リストの標準基準
　エ　無線LANセキュリティ技術

---

【解答】ア
・FIPS140-2---IT製品が準拠する必要のある暗号化および関連する安全上の要件を示した米国政府が定める基準。認可された強力な暗号化アルゴリズムや方法など、健全なセキュリティ慣行を確実に使用するためのもの。

---

問４　米国NISTが制定したAESにおける鍵長の条件はどれか。

　ア 　128ビット、192ビット、256ビットから選択する。
　イ 　256ビット未満で任意に指定する。
　ウ 　暗号化処理単位のブロック長より32ビット長くする。
　エ 　暗号化処理単位のブロック長より32ビット短くする

---

【解答】ア　

---

問５　JIS Q 27001：2006における情報システムのリスクとその評価に関する記述のうち、適切なものはどれか。

ア　脅威とは、脆(ぜい)弱性が顕在化する確率のことであり、情報システムに組み込まれた技術的管理策によって決まる。
イ　脆弱性とは、情報システムに対して悪い影響を与える要因のことであり、自然災害、システム障害、人為的過失及び不正行為に大別される。
ウ　リスクの特定では、脅威が情報資産の脆弱性に付け込み、情報資産に与える影響を特定する。
エ　リスク評価では、リスク回避とリスク低減の二つに評価を分類し、リスクの大きさを判断して決める。

---

【解答】ウ
・JIS Q 27001
リスク評価→リスク回避、リスク低減、リスク移転、リスク保有