【丸暗記37問】情報処理安全確保支援士試験 午前Ⅱ－情報セキュリティ対策

【ア】画像や音楽などのデジタルコンテンツに著作権者などの情報を埋め込む。

【イ】コンピュータやネットワークのセキュリティ上の弱点を発見するテスト手法の一つであり，システムを実際に攻撃して侵入を試みる。

【ウ】巧みな話術や盗み聞き，盗み見などの手段によって，ネットワーク管理者や利用者などから，パスワードなどのセキュリティ上重要な情報を入手する。

【エ】犯罪に関する証拠となり得るデータを保全し，調査，分析，その後の訴訟などに備える。

【ア】WebクライアントとWebサーバとの間に配置され，リバースプロキシサーバとして動作する方式であり，Webクライアントからの通信を目的のWebサーバに中継する際に，受け付けたパケットに不正なデータがないかどうかを検査する。

【イ】アプリケーションプロトコルごとにプロキシソフトウェアを用意する方式であり，クライアントからの通信を目的のサーバに中継する際に，通信に不正なデータがないかどうかを検査する。

【ウ】特定のアプリケーションプロトコルだけを通過させるゲートウェイソフトウェアを利用する方式であり，クライアントからのコネクションの要求を受け付け，目的のサーバに改めてコネクションを要求することによって，アクセスを制御する。

【エ】パケットフィルタリングを拡張した方式であり，過去に通過したパケットから通信セッションを認識し，受け付けたパケットを通信セッションの状態に照らし合わせて通過させるか遮断するかを判断する。

【ア】PCとVDIサーバ間は，VDIの画面転送プロトコル及びファイル転送を利用する。

【イ】PCとVDIサーバ間は，VDIの画面転送プロトコルだけを利用する。

【ウ】VDIサーバが，プロキシサーバとしてHTTP通信を中継する。

【エ】VDIサーバが，プロキシサーバとしてVDIの画面転送プロトコルだけを中継する。

【ア】Enhanced Open

【イ】FIDO2

【ウ】WebAuthn

【エ】WPA3

【ア】調査対象のPCで動的に追加されたルーティングテーブル

【イ】調査対象のPCに増設されたHDDにある個人情報を格納したテキストファイル

【ウ】調査対象のPCのVPN接続情報を記録しているVPNサーバ内のログ

【エ】調査対象のPCのシステムログファイル

【ア】クラウドサービスプロバイダが，運用しているクラウドサービスに対して，CASBを利用してDDoS攻撃対策を行うことによって，クラウドサービスの可用性低下を緩和できる。

【イ】クラウドサービスプロバイダが，クラウドサービスを運用している施設に対して，CASBを利用して入退室管理を行うことによって，クラウドサービス運用環境への物理的な不正アクセスを防止できる。

【ウ】クラウドサービス利用組織の管理者が，従業員が利用しているクラウドサービスに対して，CASBを利用して脆弱性診断を行うことによって，脆弱性を特定できる。

【エ】クラウドサービス利用組織の管理者が，従業員が利用しているクラウドサービスに対して，CASBを利用して利用状況の可視化を行うことによって，許可を得ずにクラウドサービスを利用している者を特定できる。

【ア】データの複写を不可能にする(コピーできないようにする)技術のことをいう。

【イ】データを第三者に盗み見られても解読できないようにするため，決まった規則に従ってデータを変換することをいう。

【ウ】文書の正当性を保証するために付けられる暗号化された署名情報のことをいう。

【エ】メッセージを画像データや音声データなどに埋め込み，その存在を隠す技術のことをいう。

【ア】対象ポートにSYNパケットを送信し，対象ホストから”RST/ACK”パケットを受信するとき，対象ポートが開いていると判定する。

【イ】対象ポートにSYNパケットを送信し，対象ホストから”SYN/ACK”パケットを受信するとき，対象ポートが閉じていると判定する。

【ウ】対象ポートにUDPパケットを送信し，対象ホストからメッセージ”port unreachable”を受信するとき，対象ポートが閉じていると判定する。

【エ】対象ポートにUDPパケットを送信し，対象ホストからメッセージ”port unreachable”を受信するとき，対象ポートが開いていると判定する。

【ア】DNSキャッシュサーバとコンテンツサーバに分離し，インターネット側からDNSキャッシュサーバに問合せできないようにする。

【イ】問合せされたドメインに関する情報をWhoisデータベースで確認する。

【ウ】一つのDNSレコードに複数のサーバのIPアドレスを割り当て，サーバへのアクセスを振り分けて分散させるように設定する。

【エ】他のDNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性を，デジタル署名で確認するように設定する。

【ア】逆アセンブルは，バイナリコードの新種ウイルスの動作を解明するのに有効な手法である。

【イ】パターンマッチングでウイルスを検知する方式は，暗号化された文書中のマクロウイルスの動作を解明するのに有効な手法である。

【ウ】ファイルのハッシュ値を基にウイルスを検知する方式は，ウイルスのハッシュ値からウイルスの亜種かを特定するのに確実な手法である。

【エ】不正な動作からウイルスを検知する方式では，ウイルス名を特定するのに確実な手法である。

【ア】携帯端末からの送金取引の場合，金融機関から利用者の登録メールアドレスに送金用のワンタイムパスワードを送信する。

【イ】特定認証業務の認定を受けた認証局が署名したデジタル証明書をインターネットバンキングでの利用者認証に用いることによって，ログインパスワードが漏えいした際の不正ログインを防止する。

【ウ】利用者が送金取引時に，”送金操作を行うPCとは別のデバイスに振込先口座番号などの取引情報を入力して表示された値”をインターネットバンキングに送信する。

【エ】ログイン時に，送金操作を行うPCとは別のデバイスによって，一定時間だけ有効なログイン用のワンタイムパスワードを算出し，インターネットバンキングに送信する。

【ア】SOAレコードのシリアル番号を更新する。

【イ】外部のDNSサーバにリソースレコードがキャッシュされる時間を短く設定する。

【ウ】ゾーン転送を許可するDNSサーバを限定する。

【エ】ラウンドロビン設定を行う。

【ア】IPSが監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続され，通常時の通信から外れた通信を不正と判断して遮断する。

【イ】IPSが監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続され，定義した異常な通信と合致する通信を不正と判断して遮断する。

【ウ】IPSが監視対象の通信を通過させるように通信経路上に設置され，通常時の通信から外れた通信を不正と判断して遮断する。

【エ】IPSが監視対象の通信を通過させるように通信経路上に設置され，定義した異常な通信と合致する通信を不正と判断して遮断する。

【ア】NTPサーバの設定変更によって，NTPサーバの状態確認機能(monlist)を無効にする。

【イ】NTPサーバの設定変更によって，自ネットワーク外のNTPサーバへの時刻問合せができないようにする。

【ウ】ファイアウォールの設定変更によって，NTPサーバが存在する自ネットワークのブロードキャストアドレス宛てのパケットを拒否する。

【エ】ファイアウォールの設定変更によって，自ネットワーク外からの，NTP以外のUDPサービスへのアクセスを拒否する。

【ア】インターネットバンキングでの送金時に接続するWebサイトの正当性を確認できるよう，EV SSLサーバ証明書を採用する。

【イ】インターネットバンキングでの送金時に利用者が入力した情報と，金融機関が受信した情報とに差異がないことを検証できるよう，トランザクション署名を利用する。

【ウ】インターネットバンキングでのログイン認証において，一定時間ごとに自動的に新しいパスワードに変更されるワンタイムパスワードを導入する。

【エ】インターネットバンキング利用時の通信をSSLではなくTLSを利用して暗号化するようにWebサイトを設定する。

【ア】DNSサーバにおいて，侵入したマルウェアをリアルタイムに隔離する。

【イ】DNS問合せに使用するDNSヘッダ内のIDを固定せずにランダムに変更する。

【ウ】DNS問合せに使用する送信元ポート番号を53番に固定する。

【エ】外部からのDNS問合せに対しては，宛先ポート番号53のものだけに応答する。

【ア】ICカードとICカードリーダーとが非接触の状態で利用者を認証して，利用者の利便性を高めるようにする。

【イ】故障に備えてあらかじめ作成した予備のICカードを保管し，故障時に直ちに予備カードに交換して利用者がICカードを使い続けられるようにする。

【ウ】信号の読み出し用プローブの取付けを検出するとICチップ内の保存情報を消去する回路を設けて，ICチップ内の情報を容易に解析できないようにする。

【エ】退職者のICカードは業務システム側で利用を停止して，ほかの利用者が使用できないようにする。

【ア】外部に公開していないサービスへのアクセス

【イ】サーバで動作するソフトウェアのセキュリティの脆(ぜい)弱性を突く攻撃

【ウ】電子メールに添付されたファイルのマクロウイルスの侵入

【エ】電子メール爆弾などのDoS攻撃

【ア】外部から入るTCPコネクション確立要求パケットのうち，外部へのインターネットサービスの提供に必要なもの以外を破棄する。

【イ】外部から入るUDPパケットのうち，外部へのインターネットサービスの提供や利用したいインターネットサービスに必要なもの以外を破棄する。

【ウ】外部から入るパケットのあて先IPアドレスが，インターネットとの直接の通信をすべきでない自ネットワークのホストのものであれば，そのパケットを破棄する。

【エ】外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば，そのパケットを破棄する。

【ア】DHCP

【イ】Webシングルサインオン

【ウ】認証VLAN

【エ】パーソナルファイアウォール

【ア】IPアドレスの変換が行われることによって，内部のネットワーク構成を外部から隠蔽できる。

【イ】暗号化されたパケットのデータ部を復号して，許可された通信かどうかを判断できる。

【ウ】過去に通過したリクエストパケットに対応付けられる戻りのパケットを通過させることができる。

【エ】パケットのデータ部をチェックして，アプリケーション層での不正なアクセスを防止できる。

【ア】スイッチが，PCから送出されるICMPパケットを全て遮断するので，PC間のマルウェア感染のリスクを低減できる。

【イ】スイッチが，PCからのブロードキャストパケットの到達範囲を制限するので，アドレス情報の不要な流出のリスクを低減できる。

【ウ】スイッチが，PCのMACアドレスから接続可否を判別するので，PCの不正接続のリスクを低減できる。

【エ】スイッチが，物理ポートごとに，決まったIPアドレスをもつPCの接続だけを許可するので，PCの不正接続のリスクを低減できる。

【ア】クレジットカードのPIN(Personal Identification Number:暗証番号)を入力させ，検証することによって，なりすましによる不正使用を防止する。

【イ】クレジットカードのセキュリティコード(カードの裏面又は表面に記載された3桁又は4桁の番号)を入力させ，検証することによって，クレジットカードの不正使用を防止する。

【ウ】クレジットカードの有効期限を入力させ，検証することによって，期限切れクレジットカードの不正使用を防止する。

【エ】クレジットカード発行会社にあらかじめ登録したパスワードなど，本人しか分からない情報を入力させ，検証することによって，なりすましによるクレジットカードの不正使用を防止する。

【ア】TPM間の共通鍵の交換

【イ】鍵ペアの生成

【ウ】デジタル証明書の発行

【エ】ネットワーク経由の乱数送信

【ア】ウイルスに感染していないファイルを，ウイルスに感染していないと判断する。

【イ】ウイルスに感染していないファイルを，ウイルスに感染していると判断する。

【ウ】ウイルスに感染しているファイルを，ウイルスに感染していないと判断する。

【エ】ウイルスに感染しているファイルを，ウイルスに感染していると判断する。

【ア】利用者ごとに異なるSSIDを割り当てることによって，利用者PCへの不正アクセスを防止する。

【イ】利用者ごとに異なるサプリカントを割り当てることによって，利用者PCへの不正アクセスを防止する。

【ウ】利用者ごとに異なるプライベートIPアドレスを割り当てることによって，第三者によるアクセスポイントへのなりすましを防止する。

【エ】利用者ごとに異なる利用者IDを割り当て，パスワードを設定することによって，契約者以外の利用者によるアクセスを防止する。

【ア】信頼できるメール送信元を許可リストに登録しておき，許可リストにない送信元からの電子メールは迷惑メールと判定する。

【イ】電子メールが正規のメールサーバから送信されていることを検証し，迷惑メールであるかどうかを判定する。

【ウ】電子メールの第三者中継を許可しているメールサーバを登録したデータベースに掲載されている情報を基に，迷惑メールであるかどうかを判定する。

【エ】利用者が振り分けた迷惑メールから特徴を学習し，迷惑メールであるかどうかを統計的に解析して判定する。

【ア】ブラックリストは，脆弱性があるサイトのIPアドレスを登録したものであり，該当する通信を遮断する。

【イ】ブラックリストは，問題がある通信データパターンを定義したものであり，該当する通信を遮断するか又は無害化する。

【ウ】ホワイトリストは，暗号化された受信データをどのように復号するかを定義したものであり，復号鍵が登録されていないデータを遮断する。

【エ】ホワイトリストは，脆弱性がないサイトのFQDNを登録したものであり，登録がないサイトへの通信を遮断する。

【ア】演算アルゴリズムに処理を追加して，秘密情報の違いによって演算の処理時間に差異が出ないようにする。

【イ】故障を検出する機構を設けて，検出したら秘密情報を破壊する。

【ウ】コンデンサを挿入して，電力消費量が時間的に均一になるようにする。

【エ】保護層を備えて，内部のデータが不正に書き換えられないようにする。

【ア】ICMP

【イ】TCPのポート番号21

【ウ】TCPのポート番号110

【エ】UDPのポート番号123

【ア】アクセスポイントの識別子を知っている利用者だけに機器の接続を許可する。

【イ】同じアクセスポイントに無線で接続している機器同士の通信を禁止する。

【ウ】事前に登録されたMACアドレスをもつ機器だけに無線LANへの接続を許可する。

【エ】建物外への無線LAN電波の漏れを防ぐことによって第三者による盗聴を防止する。

【ア】HTMLの特殊文字”<“を検出したときに通信を遮断するようにWAFを設定した場合，”<“などの数式を含んだ正当なHTTPリクエストが送信されたとき，WAFが攻撃として検知し，遮断する。

【イ】HTTPリクエストのうち，RFCなどに仕様が明確に定義されておらず，Webアプリケーションソフトウェアの開発者が独自の仕様で追加したフィールドについてはWAFが検査しないという仕様を悪用して，攻撃の命令を埋め込んだHTTPリクエストが送信されたとき，WAFが遮断しない。

【ウ】HTTPリクエストのパラメータ中に許可しない文字列を検出したときに通信を遮断するようにWAFを設定した場合，許可しない文字列をパラメータ中に含んだ不正なHTTPリクエストが送信されたとき，WAFが攻撃として検知し，遮断する。

【エ】悪意のある通信を正常な通信と見せかけ，HTTPリクエストを分割して送信されたとき，WAFが遮断しない。

【ア】ディスプレイやケーブルなどから放射される電磁波を傍受し，表示内容などを盗み見る技術であり，電磁波を遮断することによって対抗する。

【イ】データ通信の途中でパケットを横取りし，内容を改ざんする技術であり，デジタル署名を利用した改ざん検知によって対抗する。

【ウ】マクロウイルスにおいて使われる技術であり，ウイルス対策ソフトを導入し，最新の定義ファイルを適用することによって対抗する。

【エ】無線LANの信号を傍受し，通信内容を解析する技術であり，通信パケットを暗号化することによって対抗する。

【ア】ゾーン転送のアクセス元を制御する。

【イ】第三者中継を禁止する。

【ウ】ディレクトリに存在するファイル名の表示を禁止する。

【エ】特定のディレクトリ以外でのCGIプログラムの実行を禁止する。

【ア】インターネットから内部ネットワークに向けた要求パケットによる不正侵入行為をIPSで破棄する。

【イ】インターネット上の危険なWebサイトの情報を保持するURLフィルターを用いて，危険なWebサイトとの接続を遮断する。

【ウ】スパムメール対策サーバでインターネットからのスパムメールを拒否する。

【エ】メールフィルターでインターネット上の他サイトへの不正な電子メールの発信を遮断する。

【ア】WebサイトにアクセスしたときのWebブラウザに鍵マークが表示されていれば当該サイトが安全であることを，利用者が確認できる。

【イ】Webサイトにアクセスする際のURLを短縮することによって，利用者のURLの誤入力を防ぐ。

【ウ】電子メールを受信するサーバでスパムメールと誤検知されないようにする。

【エ】不正なサーバ証明書の発行を防ぐ。

【ア】あらかじめ特徴的なコードをパターンとして登録したマルウェア定義ファイルを用いてマルウェア検査対象と比較し，同じパターンがあればマルウェアとして検出する。

【イ】マルウェアに感染していないことを保証する情報をあらかじめ検査対象に付加しておき，検査時に不整合があればマルウェアとして検出する。

【ウ】マルウェアの感染が疑わしい検査対象のハッシュ値と，安全な場所に保管されている原本のハッシュ値を比較し，マルウェアとして検出する。

【エ】マルウェアの感染や発病によって生じるデータ読込みの動作，書込み動作，通信などを監視して，マルウェアとして検出する。

【ア】あらかじめ設定した運用基準に従って，メールサーバを通過する送受信メールをフィルタリングすること

【イ】磁気ディスクなどの書換え可能な記憶媒体を単に初期化するだけではデータを復元される可能性があるので，覆い隠すように上書きすること

【ウ】不正アクセスなどコンピュータに関する犯罪の法的な証拠性を確保できるように，原因究明に必要な情報を保全，収集して分析すること

【エ】ホストに対する外部からの攻撃や不正なアクセスを防御すること