合格率UP！情報処理安全確保支援士 午前Ⅱ 過去問 解説｜令和4年春期

【ア】HTTPヘッダインジェクション(HTTP Response Splitting)

【イ】OSコマンドインジェクション

【ウ】SQLインジェクション

【エ】クロスサイトスクリプティング

【ア】Webサービスに関する情報を公開し，Webサービスが提供する機能などを検索可能にするための仕様

【イ】権限がない利用者による読取り，改ざんから電子メールを保護して送信するための仕様

【ウ】デジタル署名に使われる鍵情報を効率よく管理するためのWebサービスの仕様

【エ】認証情報に加え，属性情報と認可情報を異なるドメインに伝達するためのWebサービスの仕様

【ア】キーロガー

【イ】サイドチャネル攻撃

【ウ】スミッシング

【エ】中間者攻撃

【ア】Mⁿ

【イ】M！ ÷ (M－n)！

【ウ】M！ ÷ n！ (M－n)！

【エ】(M + N – 1)！÷ n！(M – n)！

【ア】攻撃者が，インターネットに公開されていない社内ポータルサイトから，会社の組織図，従業員情報，メールアドレスなどを入手する。

【イ】攻撃者が，会社の役員が登録しているSNSサイトから，攻撃対象の人間関係，趣味などを推定する。

【ウ】攻撃者が，取引先になりすまして，標的とした会社にマルウェアを添付した攻撃メールを送付する。

【エ】攻撃者が，ボットに感染したPCを違隔操作して社内ネットワーク上のPCを次々にマルウェア感染させて，利用者IDとパスワードを入手する。

【ア】暗号化と復号の処理を，量子コンピュータを用いて瞬時に行うことができるので，従来のコンピュータでの処理に比べて大量のデータの秘匿を短時間で実現できる。

【イ】共通鍵暗号方式であり，従来の情報の取扱量の最小単位であるビットの代わりに量子ビットを用いることによって，瞬時のデータ送受信が実現できる。

【ウ】量子雑音を用いて疑似乱数を発生させて共通鍵を生成し，公開鍵暗号方式で共有することによって，解読が困難な秘匿通信が実現できる。

【エ】量子通信路を用いて安全に共有した乱数列を使い捨ての暗号鍵として用いることによって，原理的に第三者に解読されない秘匿通信が実現できる。

【ア】ISMS適合性評価制度

【イ】ITセキュリティ評価及び認証制度

【ウ】MyJVN

【エ】SECURITY ACTION

【ア】NICTが運用するダークネット観測網において，Miraiなどのマルウェアに感染したIoT機器から到達するパケットを分析した結果を当該機器の製造者に提供し，国内での必要な対策を促す。

【イ】国内のグローバルIPアドレスを有するIoT機器に，容易に推測されるパスワードを入力することなどによって，サイバー攻撃に悪用されるおそれのある機器を調査し，インターネットサービスプロバイダを通じて当該機器の利用者に注意喚起を行う。

【ウ】国内の利用者からの申告に基づき，利用者の所有するIoT機器に対して無料でリモートから，侵入テストやOSの既知の脆弱性の有無の調査を実施し，結果を通知するとともに，利用者が自ら必要な対処ができるよう支援する。

【エ】製品のリリース前に，不要にもかかわらず開放されているポートの存在，パスワードの設定漏れなど約200項目の脆弱性の有無を調査できるテストベッドを国内のIoT機器製造者向けに公開し，市場に流通するIoT機器のセキュリティ向上を目指す。

【ア】経営者が，実施するサイバーセキュリティ対策を投資ではなくコストとして捉えることを重視し，コストパフォーマンスの良いサイバーセキュリティ対策をまとめたものである。

【イ】経営者が認識すべきサイバーセキュリティに関する原則と，経営者がリーダシップを発揮して取り組むべき項目を取りまとめたものである。

【ウ】事業の規模やビジネスモデルによらず，全ての経営者が自社に適用すべきサイバーセキュリティ対策を定めたものである。

【エ】製造業のサプライチェーンを構成する小規模事業者の経営者が，サイバー攻撃を受けた際に行う事後対応をまとめたものである。

【ア】暗号技術の技術的検討並びに国際競争力の向上及び運用面での安全性向上に関する検討を行う。

【イ】情報セキュリティ政策に係る基本戦略の立案，官民における統一的，横断的な情報セキュリティ政策の推進に係る企画などを行う。

【ウ】組織の情報セキュリティマネジメントシステムについて評価し認証する制度を運用する。

【エ】認証機関から貸与された暗号モジュール試験報告書作成支援ツールを用いて暗号モジュールの安全性についての評価試験を行う。

【ア】インターネットバンキングでの送金時に接続するWebサイトの正当性を確認できるよう，EV SSLサーバ証明書を採用する。

【イ】インターネットバンキングでの送金時に利用者が入力した情報と，金融機関が受信した情報とに差異がないことを検証できるよう，トランザクション署名を利用する。

【ウ】インターネットバンキングでのログイン認証において，一定時間ごとに自動的に新しいパスワードに変更されるワンタイムパスワードを導入する。

【エ】インターネットバンキング利用時の通信をSSLではなくTLSを利用して暗号化するようにWebサイトを設定する。

【ア】HaaS

【イ】IaaS

【ウ】PaaS

【エ】SaaS

【ア】DNSキャッシュサーバが得た応答中のリソースレコードが，権威DNSサーバで管理されているものであり，改ざんされていないことの検証

【イ】権威DNSサーバとDNSキャッシュサーバとの通信を暗号化することによる，ゾーン情報の漏えいの防止

【ウ】長音”ー”と漢数字”一”などの似た文字をドメイン名に用いて，正規サイトのように見せかける攻撃の防止

【エ】利用者のURLの入力誤りを悪用して，偽サイトに誘導する攻撃の検知

【ア】HTTP over TLS(HTTPS)によって接続しているとき，EV SSL証明書であることを利用者が容易に識別できるように，Webブラウザのアドレス表示部分を緑色に表示する。

【イ】Webサーバからコンテンツをダウンロードするとき，どの文字列が秘密情報かを判定できないように圧縮する。

【ウ】WebサーバとWebブラウザとの間のTLSのハンドシェイクにおいて，一度確立したセッションとは別の新たなセッションを確立するとき，既に確立したセッションを使って改めてハンドシェイクを行う。

【エ】Webサイトにアクセスすると，Webブラウザは，以降の指定された期間，当該サイトには全てHTTPSによって接続する。

【ア】TLSで使用するWebサーバのデジタル証明書にはIPアドレスの組込みが必須なので，WebサーバのIPアドレスを変更する場合は，デジタル証明書を再度取得する必要がある。

【イ】TLSで使用する共通鍵の長さは，128ビット未満で任意に指定する。

【ウ】TLSで使用する個人認証用のデジタル証明書は，ICカードにも格納することができ，利用するPCを特定のPCに限定する必要はない。

【エ】TLSはWebサーバを経由した特定の利用者が通信するためのプロトコルであり，Webサーバへの事前の利用者登録が不可欠である。

【ア】APOP

【イ】IMAPS

【ウ】POP3

【エ】SMTP Submission

【ア】PCにはIEEE 802.1Xのサプリカントを実装し，かつ，RADIUSクライアントの機能をもたせる。

【イ】アクセスポイントにはIEEE 802.1Xのオーセンティケータを実装し，かつ，RADIUSクライアントの機能をもたせる。

【ウ】アクセスポイントにはIEEE 802.1Xのサプリカントを実装し，かつ，RADIUSサーバの機能をもたせる。

【エ】サーバにはIEEE 802.1Xのオーセンティケータを実装し，かつ，RADIUSサーバの機能をもたせる。

【ア】CSMA/CA

【イ】CSMA/CD

【ウ】LAPB

【エ】トークンパッシング方式

✖ 不正解

【ア】NNTP

【イ】RTCP

【ウ】SNTP

【エ】TFTP

【ア】IGMP

【イ】RIP

【ウ】SIP

【エ】スパニングツリープロトコル

【ア】誰がどのデータを見てよいかを示す情報であり，適切なアクセス制御を目的として設定される。

【イ】データが誰によって作られ管理されているかを示す情報であり，データ構造やデータ辞書を見ても意味が分からないときの問合せ先を表す。

【ウ】データがどこから発生し，どのような変換及び加工を経て，現在の形になったかを示す情報であり，データの生成源の特定又は障害時の影響調査に利用できる。

【エ】データ構造がどのように定義されているかを示す情報であり，Webサイトなどに公開して検索できるようにする。

【ア】フールプルーフ

【イ】フェールセーフ

【ウ】フェールソフト

【エ】フォールトトレランス

【ア】シミュレーション

【イ】修整(Tailoring)

【ウ】統治(Governance)

【エ】ベンチマーキング

【ア】95.52

【イ】95.70

【ウ】99.52

【エ】99.63

【ア】組織としてアクセス管理規程を定め，統一的なアクセス管理を行う 。

【イ】組織としてアクセス権限の設定方針を定め，周知徹底を図る。

【ウ】組織内のアプリケーションシステムに，業務内容に応じた権限を付与した利用者IDとパスワードによって認証する機能を設ける。

【エ】組織内の全ての利用者に対して，アクセス管理の重要性についての教育を行う 。