合格率UP！情報処理安全確保支援士 午前Ⅱ 過去問 解説｜令和5年春期

【ア】CRYPTREC暗号リストにある運用監視暗号リストとは，運用監視システムにおける利用実績が十分であると判断され，電子政府において利用を推奨する暗号技術のリストである。

【イ】CRYPTREC暗号リストにある証明書失効リストとは，政府共用認証局が公開している，危殆化した暗号技術のリストである。

【ウ】CRYPTREC暗号リストにある推奨候補暗号リストとは，安全性及び実装性能が確認され，今後，電子政府推奨暗号リストに掲載される可能性がある暗号技術のリストである。

【エ】CRYPTREC暗号リストにある電子政府推奨暗号リストとは，互換性維持目的に限った継続利用を推奨する暗号技術のリストである。

さめじん

CRYPTREC暗号リストについて深堀りするよ！

CRYPTRECとは、CRYPTography Research and Evaluation Committeesの略称であり、暗号技術における安全性や実装性能を検討するプロジェクト名称のことだよ！

CRYPTREC暗号リストは、政府による上記プロジェクト活動によって暗号化技術を以下の3つに分類されます。

①電子政府推奨暗号リスト

安全性や実装性能が認められた暗号技術のリストのこと

代表例として「DSA：公開鍵暗号方式の署名技術」、「AES：共通鍵暗号方式の128bitブロック暗号化技術」、「SHA-256：ハッシュ関数」があるよー！

②推奨候補暗号リスト

この過去問の解答の通り「安全性及び実装性能が確認され，今後，電子政府推奨暗号リストに掲載される可能性がある暗号技術のリスト」のこと

代表例として「PSEC-KEM：公開鍵暗号方式の鍵共有技術」、「CLEFIA：共通鍵暗号方式の128bitブロック暗号化技術」、「SHA-512/256：ハッシュ関数」があるよー！

③運用監視暗号リスト

暗号化技術より、悪意を持った解読技術が上回り、解読リスクが高まっている暗号化技術をリストアップしたものです。

代表例として「SHA-1：ハッシュ関数」、「CBC-MAC：メッセージ認証コード符号精製技術」があります。

【ア】パスワードのハッシュ値から導出された平文パスワードを使ってログインする。

【イ】パスワードのハッシュ値だけでログインできる仕組みを悪用してログインする。

【ウ】パスワードを固定し，利用者IDの文字列のハッシュ化を繰り返しながら様々な利用者IDを試してログインする。

【エ】ハッシュ化されずに保存されている平文パスワードを使ってログインする。

【ア】IdP(Identity Provider)が利用者認証を行い，認証成功後に発行されるアサーションをSP(Service Provider)が検証し、問題がなければクライアントがSPにアクセスする。

【イ】Webサーバに導入されたエージェントが認証サーバと連携して利用者認証を行い，クライアントは認証成功後に利用者に発行されるcookieを使用してSPにアクセスする。

【ウ】認証サーバはKerberosプロトコルを使って利用者認証を行い，クライアントは認証成功後に発行されるチケットを使用してSPにアクセスする。

【エ】リバースプロキシで利用者認証が行われ，クライアントは認証成功後にリバースプロキシ経由でSPにアクセスする。

【ア】SHA-256の衝突発見困難性を示す，ハッシュ値が一致する二つの元のメッセージの発見に要する最大の計算量は，256の2乗である。

【イ】SHA-256の衝突発見困難性を示す，ハッシュ値の元のメッセージの発見に要する最大の計算量は，2の256乗である。

【ウ】衝突発見困難性とは，ハッシュ値が与えられたときに，元のメッセージの発見に要する計算量が大きいことによる，発見の困難性のことである。

【エ】衝突発見困難性とは，ハッシュ値が一致する二つの元のメッセージの発見に要する計算量が大きいことによる，発見の困難性のことである。

【ア】DNSキャッシュサーバと権威DNSサーバとの計2台の冗長構成とすることによって，過負荷によるサーバダウンのリスクを大幅に低減させる。

【イ】SPF(Sender Policy Framework)を用いてDNSリソースレコードを認証することによって，電子メールの送信元ドメインが詐称されていないかどうかを確認する。

【ウ】問合せ時の送信元ポート番号をランダム化することによって，DNSキャッシュサーバに偽の情報がキャッシュされる確率を大幅に低減させる。

【エ】プレースホルダを用いたエスケープ処理を行うことによって，不正なSQL構文によるDNSリソースレコードの書換えを防ぐ。

【ア】S/MIMEやTLSで利用するデジタル証明書の規格は，ITU-T X.400で標準化されている。

【イ】TLSにおいて，デジタル証明書は，通信データの暗号化のための鍵交換や通信相手の認証に利用されている。

【ウ】認証局が発行するデジタル証明書は，申請者の秘密鍵に対して認証局がデジタル署名したものである。

【エ】ルート認証局は，下位の認証局の公開鍵にルート認証局の公開鍵でデジタル署名したデジタル証明書を発行する。

【ア】暗号化と復号の処理において，出力は，入力されたブロックと鍵ストリームとの排他的論理和である。

【イ】暗号化の処理において，平文のデータ長がブロック長の倍数でないときにパディングが必要である。

【ウ】ビット誤りがある暗号文を復号すると，ビット誤りのあるブロック全体と次のブロックの対応するビットが平文ではビット誤りになる。

【エ】複数ブロックの暗号化の処理は並列に実行できないが，複数ブロックの復号の処理は並列に実行できる。

【ア】暗号化と復号の処理において，出力は，入力されたブロックと鍵ストリームとの排他的論理和である。

【イ】暗号化の処理において，平文のデータ長がブロック長の倍数でないときにパディングが必要である。

【ウ】ビット誤りがある暗号文を復号すると，ビット誤りのあるブロック全体と次のブロックの対応するビットが平文ではビット誤りになる。

【エ】複数ブロックの暗号化の処理は並列に実行できないが，複数ブロックの復号の処理は並列に実行できる。

【ア】観察，状況判断，意思決定，行動

【イ】識別，防御，検知，対応，復旧

【ウ】準備，検知と分析，封じ込め/根絶/復旧，事件後の対応

【エ】責任，戦略，パフォーマンス，適合，人間行動

【ア】HTMLの特殊文字”<“を検出したときに通信を遮断するようにWAFを設定した場合，”<“などの数式を含んだ正当なHTTPリクエストが送信されたとき，WAFが攻撃として検知し，遮断する。

【イ】HTTPリクエストのうち，RFCなどに仕様が明確に定義されておらず，Webアプリケーションソフトウェアの開発者が独自の仕様で追加したフィールドについてはWAFが検査しないという仕様を悪用して，攻撃の命令を埋め込んだHTTPリクエストが送信されたとき，WAFが遮断しない。

【ウ】HTTPリクエストのパラメータ中に許可しない文字列を検出したときに通信を遮断するようにWAFを設定した場合，許可しない文字列をパラメータ中に含んだ不正なHTTPリクエストが送信されたとき，WAFが攻撃として検知し，遮断する。

【エ】悪意のある通信を正常な通信と見せかけ，HTTPリクエストを分割して送信されたとき，WAFが遮断しない。

【ア】演算アルゴリズムに処理を追加して，秘密情報の違いによって演算の処理時間に差異が出ないようにする。

【イ】故障を検出する機構を設けて，検出したら秘密情報を破壊する。

【ウ】コンデンサを挿入して，電力消費量が時間的に均一になるようにする。

【エ】保護層を備えて，内部のデータが不正に書き換えられないようにする。

【ア】IPSが監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続され，通常時の通信から外れた通信を不正と判断して遮断する。

【イ】IPSが監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続され，定義した異常な通信と合致する通信を不正と判断して遮断する。

【ウ】IPSが監視対象の通信を通過させるように通信経路上に設置され，通常時の通信から外れた通信を不正と判断して遮断する。

【エ】IPSが監視対象の通信を通過させるように通信経路上に設置され，定義した異常な通信と合致する通信を不正と判断して遮断する。

【ア】調査対象のPCで動的に追加されたルーティングテーブル

【イ】調査対象のPCに増設されたHDDにある個人情報を格納したテキストファイル

【ウ】調査対象のPCのVPN接続情報を記録しているVPNサーバ内のログ

【エ】調査対象のPCのシステムログファイル

【ア】EAPは，クライアントPCとアクセスポイントとの間で，あらかじめ登録した共通鍵による暗号化通信を実装するための規格である。

【イ】RADIUSは，クライアントPCとアクセスポイントとの間で公開鍵暗号方式による暗号化通信を実装するための規格である。

【ウ】SSIDは，クライアントPCで利用する秘密鍵であり，公開鍵暗号方式による暗号化通信を実装するための規格で規定されている。

【エ】WPA3-Enterpriseは，IEEE802.1Xの規格に沿った利用者認証及び動的に配布される暗号化鍵を用いた暗号化通信を実装するための方式である。

【ア】送信側メールサーバにおいてデジタル署名を電子メールのヘッダーに付加し，受信側メールサーバにおいてそのデジタル署名を公開鍵によって検証する仕組み

【イ】送信側メールサーバにおいて利用者が認証された場合，電子メールの送信が許可される仕組み

【ウ】電子メールのヘッダーや配送経路の情報から得られる送信元情報を用いて，電子メール送信元のIPアドレスを検証する仕組み

【エ】ネットワーク機器において，内部ネットワークから外部のメールサーバのTCPポート番号25への直接の通信を禁止する仕組み

【ア】ISP管理外のネットワークに対するISP管理下のネットワークからのICMPパケットによるDDoS攻撃を遮断する。

【イ】ISP管理外のネットワークに向けてISP管理下のネットワークから送信されるスパムメールを制限する。

【ウ】ISP管理下のネットワークに対するISP管理外のネットワークからのICMPパケットによるDDoS攻撃を遮断する。

【エ】ISP管理下のネットワークに向けてISP管理外のネットワークから送信されるスパムメールを制限する。

【ア】10

【イ】625

【ウ】1,250

【エ】5,000

【ア】アクセスポート(Access Port)

【イ】代表ポート(Designated Port)

【ウ】トランクポート(Trunk Port)

【エ】ルートポート(Root Port)

【ア】192.168.10.255と255.255.255.255とは，ともにサブネット内のブロードキャストに使用される。

【イ】192.168.10.255はサブネットの外からのブロードキャストだけに使用され，サブネット内のブロードキャストには使用できない。

【ウ】255.255.255.255は互換性のために残されており，ブロードキャストには192.168.10.255を使用することが推奨されている。

【エ】255.255.255.255はサブネットの外へのブロードキャストだけに使用され，サブネット内のブロードキャストには使用できない。

【ア】SELECT権限，UPDATE権限，INSERT権限，DELETE権限などの全ての権限，及びそれらの付与権を付与する。

【イ】SELECT権限，UPDATE権限，INSERT権限，DELETE権限などの全ての権限を付与するが，それらの付与権は付与しない。

【ウ】SELECT権限，UPDATE権限，INSERT権限，DELETE権限は付与しないが，それらの付与権だけを付与する。

【エ】SELECT権限及びSELECT権限の付与権を付与するが，UPDATE権限，INSERT権限，DELETE権限，及びそれらの付与権は付与しない。

【ア】開発の最終段階に，IoT機器と通信対象となるサーバ及びネットワーク全体の動作が仕様書どおりであることをテストする。

【イ】回路図，ソースコードなどのシステムの内部構造を参照して，仕様確認のためのテストを行う。

【ウ】恒温恒湿器を用いて，要求仕様で定められた温湿度条件で動作するかどうか，耐久性はどうかをテストする。

【エ】ネットワーク，バス，デバッグインタフェースなどの脆弱性を利用して，IoT機器への攻撃と侵入を試みるテストを行う。

【ア】公開されているプロトコルに基づいて，他社が販売しているソフトウェアと同等の機能をもつソフトウェアを独自に開発して販売した。

【イ】使用，複製及び改変する権利を付与するというソースコード使用許諾契約を締結した上で，許諾対象のソフトウェアを改変して製品に組み込み、当該許諾契約の範囲内で製品を販売した。

【ウ】ソフトウェアハウスと使用許諾契約を締結し，契約上は複製権の許諾は受けていないが，使用許諾を受けたソフトウェアにはプロテクトが掛けられていたので，そのプロテクトを外し，バックアップのために複製した。

【エ】他人のソフトウェアを正当な手段で入手し，試験又は研究のために逆コンパイルを行った。

【ア】インシデントの発生後に暫定的にサービスを復旧させ，業務を継続できるようにする。

【イ】インシデントの発生後に未知の根本原因を特定し，恒久的な解決策を策定する。

【ウ】インシデントの発生に備えて，復旧のための設計をする。

【エ】インシデントの発生を記録し，関係する部署に状況を連絡する。

【ア】監査対象の不備を見逃して監査の結論を誤る監査リスクを完全に回避する監査計画を策定する。

【イ】情報システムリスクの大小にかかわらず、全ての監査対象に対して一律に監査資源を配分する。

【ウ】情報システムリスクは，情報システムに係るリスクと，情報の管理に係るリスクの二つに大別されることに留意する。

【エ】情報システムリスクは常に一定ではないことから，情報システムリスクの特性の変化及び変化がもたらす影響に留意する。