Ⅰ.情報セキュリティ総論
- 問題1.
- 以下の文章を読み、( )に入る最も適切なものを、下の選択肢(ア~エ)から1つ選びなさい。
情報セキュリティの7要素の一つである「可用性」の具体例として、( )ことが挙げられる。
ア. 停電やシステム障害が発生しても、システムを継続して利用できるような仕組みにする イ. アクセスログを取得しておき、いつ・誰が・どの情報に・どのような操作を行ったかを追跡できるようにする ウ. アクセス可能な端末を限定し、その端末を施錠管理できる部屋に設置する エ. システムの機器の設定内容が、不正に書き換えられないようにする
解答:ア
イ. | 「責任追跡性」の具体例である。 |
ウ. | 「機密性」の具体例である。 |
エ. | 「完全性」の具体例である。 |
- 問題2.
- 以下の文章を読み、( )に入る最も適切なものを、下の選択肢(ア~エ)から1つ選びなさい。
「不正アクセス禁止法」における「不正アクセス行為を助長する行為」には、( )などの行為が該当する。
ア. セキュリティホールを悪用してネットワークに侵入する イ. 正規利用者のユーザID・パスワードを無断で利用し、アクセス制限がなされているコンピュータにアクセスする ウ. 相手が不正アクセスに使う目的があることを知りながら、他人にユーザID・パスワード等を提供する エ. スタンドアロンのコンピュータ内の情報を不正に入手する
解答:ウ
ア. | 不正アクセス行為に該当する。 |
イ. | 不正アクセス行為に該当する。 |
エ. | 「不正アクセス禁止法」における不正アクセス行為は、ネットワークを介して行われた行為を対象としている。そのため、スタンドアロンのコンピュータを不正に操作しても、不正アクセス行為や不正アクセス行為を助長する行為とはならない。 |
- 問題3.
- 次の問いに対応するものを、選択肢(ア~エ)から1つ選びなさい。
リスク対応を、リスクの低減・リスクの回避・リスクの移転・リスクの保有の4つに分類した場合、リスクの低減の具体例に該当しないものはどれか。
ア. 不正な目的で、他社の商品やサービスなどと同一・類似のドメイン名を使用する権利を取得・保有またはそのドメイン名を使用する行為 イ. ライバル関係にある他社の信用を低下させる目的で、客観的事実に反する事実を告知したり、偽りの情報をインターネット上などに流す行為 ウ. 不正な目的で、クレジットカードやキャッシュカード、プリペイドカードなどの偽造をする行為 エ. 不正な手段によって、他社の顧客名簿や新規事業計画、価格情報などの機密情報を盗み出し、それを第三者に開示する行為
解答:エ
「リスクの回避」の具体例である。
「雨の少ない地域に移転する」という対策によって、「水害」というリスクを回避したこととなる。
Ⅱ.脅威と情報セキュリティ対策①
- 問題4.
- 以下の文章を読み、( )内のそれぞれに入る最も適切な語句の組合せを、選択肢(ア~エ)から1つ選びなさい。
トラッシングへの対策として、( )することが挙げられる。
ア. メモ書きであっても、個人情報が記載されている紙は、シュレッダーで細断してから廃棄 イ. 出入口は常時施錠し、入退室のログは定期的に確認 ウ. サイバーレンジトレーニングやレッドチーム演習などを実施 エ. 本人確認ができない投稿などは、そのアカウントを安易にフォローしないように
解答:ア
トラッシングとは、ごみとして廃棄された書類やUSBメモリ、CD/DVDなどから、情報を盗み出す手口である。
- 問題5.
- 以下の文章を読み、( )に入る最も適切なものを、下の選択肢(ア~エ)から1つ選びなさい。
入退管理システムにおけるアンチパスバックとは、( )仕組みである。
ア. 特定のルートを通らないと入室できないようにする イ. 入室した際の認証記録がない入室者を退室させない ウ. 入室の際は2人を同時に照合しないと認証・解錠されず、退室の際は1人を残してもう一方の1人が退室しようとすると解錠されない エ. 入口側の扉と出口側の扉のいずれか一方が必ず閉扉している状態となる
解答:イ
ア. | 「ルートチェック」の説明である。 |
ウ. | 「ツーパーソン制御」の説明である。 |
エ. | 「インターロックゲート」の説明である。 |
- 問題6.
- 次の問いに対応するものを、選択肢(ア~エ)から1つ選びなさい。
UPSの説明に該当するものはどれか。
ア. 通信制御装置の一つであり、ネットワーク上でサーバの負荷を分散するものである。 イ. バッテリーを内蔵し、予期せぬ停電や電源異常などが発生した際に、コンピュータなどに一定時間電力を供給し続ける装置である。 ウ. 1台で総合的にセキュリティ機能を提供する製品である。 エ. パソコン、スマートフォン、タブレットなどの、複数のデバイスでデータを共有することができる装置である。
解答:イ
ア. | 「ロードバランサ」の説明である。 |
ウ. | 「UTMアプライアンス」の説明である。 |
エ. | 「NAS」の説明である。 |
Ⅲ.脅威と情報セキュリティ対策②
- 問題7.
- 以下の文章を読み、( )内のそれぞれに入る最も適切な語句の組合せを、選択肢(ア~エ)から1つ選びなさい。
パスワードクラックの代表的な手法として、( a )攻撃や( b )攻撃などがある。(a)攻撃とは、パスワードを固定して、ユーザIDを次々に変えてログインを試す攻撃である。一方、(b)攻撃とは、パスワードの文字列として考えられるすべての組合せを順に試していき、パスワードを破ろうとする攻撃である。
また、Webサイトから流出したユーザIDとパスワードのリストを用いて、他のWebサイトにログインを試みるパスワードリスト攻撃がある。この攻撃への効果的な対策の一つとして、( c )ことが挙げられる。
ア. (a)リバースブルートフォース (b)ブルートフォース (c)パスワードには「#」や「%」などの記号を含める イ. (a)リバースブルートフォース (b)ブルートフォース (c)同一パスワードの複数のサイトでの使回しを禁止する ウ. (a)ブルートフォース (b)リバースブルートフォース (c)パスワードには「#」や「%」などの記号を含める エ. (a)ブルートフォース (b)リバースブルートフォース (c)同一パスワードの複数のサイトでの使回しを禁止する
解答:イ
ブルートフォース攻撃は「総当たり攻撃」とも呼ばれ、リバースブルートフォース攻撃は「逆総当たり攻撃」とも呼ばれる。
- 問題8.
- 以下の文章を読み、( )に入る最も適切なものを、下の選択肢(ア~エ)から1つ選びなさい。
シングルサインオンを導入した場合、( )ことが挙げられる。
ア. 利用者側のメリットとして、パスワード入力時にガイダンスが表示されるため、パスワードの誤入力を防げる イ. 利用者側のメリットとして、複数のユーザIDに対して、共通したパスワードを設定することができるため、多数のパスワードを覚える必要がなくなる ウ. 管理者側のメリットとして、認証情報の管理を一元化することによって、パスワード管理の負担が軽減される エ. 管理者側のメリットとして、個々のユーザに応じたパスワードが自動生成されるため、パスワード発行の手続きが省略できる
解答:ウ
シングルサインオンとは、1回のユーザ認証によって、関連する他のサーバや業務用アプリケーション、クラウドサービスなどの複数のシステムの利用が可能になる仕組みである。
- 問題9.
- 次の問いに対応するものを、選択肢(ア~エ)から1つ選びなさい。
水飲み場型攻撃の説明に該当するものはどれか。
ア. インターネットバンキングサイト上でユーザが振込操作を行うとき、マルウェアが操作内容を改ざんすることで、振込金額を詐取しようとする攻撃である。 イ. ターゲットとなるユーザが普段アクセスするWebサイトを改ざんし、そのサイトを閲覧しただけで不正プログラムに感染するように仕掛ける攻撃である。 ウ. 本来のドメイン名登録者のユーザID・パスワードを盗み出し、登録者以外の第三者による、ドメイン名の乗っ取りを行う攻撃である。 エ. セキュリティ上のぜい弱性が発見された時に、開発者側からパッチなどのぜい弱性への対策が提供されるより前に、そのぜい弱性をつく攻撃である。
解答:イ
ア. | MITB攻撃の説明である。 |
ウ. | ドメインハイジャックの説明である。 |
エ. | ゼロディ攻撃の説明である。 |
- 問題10.
- 次の問いに対応するものを、選択肢(ア~エ)から1つ選びなさい。
暗号方式の種類に関する記述のうち、最も適切ではないものはどれか。
ア. 共通鍵暗号方式の一つであるAESは、強度が低くなったDESの代わりに制定された米国政府標準のブロック暗号の規格であり、無線LANの暗号化規格WPA2で使用されている。 イ. 共通鍵暗号方式の一つであるRCは、DESよりも高速な処理が可能な暗号化の規格の総称であり、ブロック単位で暗号化・復号を行うRC2やRC5、ビット単位で暗号化・復号を行うRC4などがある。 ウ. 公開鍵暗号方式の一つであるECC(楕円曲線暗号)は、暗号を解読するのに非常に大きな素因数分解を行う必要があり、鍵に使用できるビット長には、512ビット、1,024ビット、2,048ビットなどがある。 エ. 公開鍵暗号方式の一つであるDSAは、エルガマル署名を改良して作られた暗号方式であり、鍵長が1,024ビット以下で、署名鍵の生成などを特定の方法で運用するデジタル署名に利用されている。
解答:ウ
暗号を解読するのに非常に大きな素因数分解を行う必要があり、鍵に使用できるビット長には、512ビット、1,024ビット、2,048ビットなどがあるのは、公開鍵暗号方式のRSAである。
なお、楕円曲線暗号は、楕円曲線という特殊な計算を使って暗号化する方式であり、RSAよりも短い長さで鍵の暗号化を行うことができるため、ICカードなどのハードウェアで使用されることがある。
Ⅳ.コンピュータの一般知識
- 問題11.
- 次の問いに対応するものを、選択肢(ア~エ)から1つ選びなさい。
ファイル形式などに関する次の記述のうち、最も適切ではないものはどれか。
ア. MP3は、MPEG1の音声部分の圧縮アルゴリズムのうち、レイヤ3と呼ばれるアルゴリズムによって圧縮化される音声ファイルの形式である。 イ. TXTは、文字コードのみで構成されたファイル形式であり、ほとんどのOSやアプリケーションソフトが読込みや書出しに対応している。 ウ. PDFは、文字情報だけではなく、フォントや文字のサイズ、文字飾り、埋め込まれた画像などの情報が保存できるファイル形式であり、コンピュータの機種や環境、OSなどに依存せずに、オリジナルとほぼ同じ状態で文章や画像などの閲覧が可能である。 エ. RTFは、Windowsなどの環境で実行できるプログラムが収められた形式のファイルであり、一般的に、ダブルクリックすることによりそのプログラムが起動できるようになっている。
解答:エ
Windowsなどの環境で実行できるプログラムが収められた形式のファイルであり、一般的に、ダブルクリックすることによりそのプログラムが起動できるようになっているのは、EXEである。
- 問題12.
- 次の問いに対応するものを、選択肢(ア~エ)から1つ選びなさい。
「NFC」の説明に該当する記述はどれか。
ア. バス形式でコンピュータとマウスやキーボード、プリンタなどを接続するためのインタフェース規格であり、給電にも使用されている。 イ. コンピュータなどの主基板(マザーボード)などに格納されたファームウェアの一種であり、起動時のOSの読み込みや、接続された装置・機器に対する基本的な入出力制御などを行うものである。 ウ. スーパーやコンビニなどの小売店で、商品の販売と同時に商品名・数量・金額などをレジに設置しているバーコードリーダなどで読み取り、情報を多角的に分析して経営活動に役立てる仕組みである。 エ. 近接させたデジタル機器やICカードなどの間で、双方向にデータ通信が行える無線通信技術の総称などを指すものであり、交通機関のICカード乗車券やカード型電子マネーなどの商業利用に加え、社員証などにも採用さている。
解答:エ
ア. | USBの説明である。 |
イ. | BIOS説明である。 |
ウ. | POSの説明である。 |