【丸暗記51問】情報処理安全確保支援士試験 午前Ⅱ－情報セキュリティ実装技術

【ア】PCにインストールされているソフトウェアを確認し，登録されているソフトウェアだけがインストールされている場合に通信を許可する。

【イ】PCのMACアドレスを確認し，事前に登録されているMACアドレスをもつ場合だけ通信を許可する。

【ウ】PCのOSのパッチ適用状況を確認し，最新のパッチが適用されている場合だけ通信を許可する。

【エ】PCのマルウェア対策ソフトの定義ファイルを確認し，最新になっている場合だけ通信を許可する。

【ア】Webアプリケーションの脆弱性を悪用する攻撃に含まれる可能性が高い文字列を定義し，攻撃であると判定した場合には，その通信を遮断する。

【イ】クラウド上で動作する複数の仮想マシン(ゲストOS)間で，お互いの操作ができるように制御する。

【ウ】プログラムの影響がシステム全体に及ばないように，プログラムが実行できる機能やアクセスできるリソースを制限して動作させる。

【エ】プログラムのソースコードでSQL文の雛(ひな)形の中に変数の場所を示す記号を置いた後，実際の値を割り当てる。

【ア】WebサイトでのSQL組立て時にエスケープ処理が施され，SQLインジェクション攻撃による個人情報などの非公開情報の漏えいやデータベースに蓄積された商品価格などの情報の改ざんを防止する。

【イ】Webサイトへのアクセスが人間によるものかどうかを確かめ，Webブラウザ以外の自動化されたWebクライアントによる大量のリクエストへの応答を避ける。

【ウ】Webサイトへのブルートフォース攻撃によるログイン試行を検出してアカウントロックし，Webサイトへの不正ログインを防止する。

【エ】WebブラウザとWebサイトとの間における中間者攻撃による通信データの漏えい及び改ざんを防止し，サーバ証明書によって偽りのWebサイトの見分けを容易にする。

【ア】IPsec

【イ】L2TP

【ウ】RADIUS

【エ】SSH

【ア】ISP管理外のネットワークに対するISP管理下のネットワークからのICMPパケットによるDDoS攻撃を遮断する。

【イ】ISP管理外のネットワークに向けてISP管理下のネットワークから送信されるスパムメールを制限する。

【ウ】ISP管理下のネットワークに対するISP管理外のネットワークからのICMPパケットによるDDoS攻撃を遮断する。

【エ】ISP管理下のネットワークに向けてISP管理外のネットワークから送信されるスパムメールを制限する。

【ア】OSのセキュリティパッチを適用することによって，Webサーバへの侵入を防止する。

【イ】Webアプリケーションがクライアントに入力データを表示する場合，データ内の特殊文字を無効にする処理を行う。

【ウ】WebサーバにSNMPエージェントを常駐稼動させることによって，攻撃を検知する。

【エ】許容範囲を超えた大きさのデータの書込みを禁止し，Webサーバへの侵入を防止する。

【ア】HSTSを利用するWebサイトにWebブラウザがHTTPでアクセスした場合，Webブラウザから当該サイトへのその後のアクセスを強制的にHTTP over TLS(HTTPS)にする。

【イ】HSTSを利用するWebサイトにWebブラウザがHTTPでアクセスした場合，Webページの文書やスクリプトについて，あるオリジンから読み込まれたリソースから他のオリジンのリソースにアクセスできないように制限する。

【ウ】HTTPSで通信が保護されている場合にだけ，cookieの属性によらず強制的にcookieを送信する。

【エ】信頼性が高いサーバ証明書を有するWebサイトとのHTTPS通信では，Webブラウザに鍵マークを表示する。

【ア】SMTPサーバへ電子メールを送信する前に，電子メールを受信し，その際にパスワード認証が行われたクライアントのIPアドレスは，一定時間だけ電子メールの送信が許可される。

【イ】クライアントがSMTPサーバにアクセスしたときに利用者認証を行い，許可された利用者だけから電子メールを受け付ける。

【ウ】サーバは認証局のデジタル証明書をもち，クライアントから送信された認証局の署名付きクライアント証明書の妥当性を確認する。

【エ】利用者が電子メールを受信する際の認証情報を秘匿できるように，パスワードからハッシュ値を計算して，その値で利用者認証を行う。

【ア】送信側メールサーバにおいてデジタル署名を電子メールのヘッダーに付加し，受信側メールサーバにおいてそのデジタル署名を公開鍵によって検証する仕組み

【イ】送信側メールサーバにおいて利用者が認証された場合，電子メールの送信が許可される仕組み

【ウ】電子メールのヘッダーや配送経路の情報から得られる送信元情報を用いて，電子メール送信元のIPアドレスを検証する仕組み

【エ】ネットワーク機器において，内部ネットワークから外部のメールサーバのTCPポート番号25への直接の通信を禁止する仕組み

【ア】DNSサーバへのDoS攻撃を防止できる。

【イ】IPsecによる暗号化通信が前提となっている。

【ウ】代表的なDNSサーバの実装であるBINDの代替として使用する。

【エ】デジタル署名によってDNS応答の正当性を確認できる。

【ア】DMZ

【イ】フォワードプロキシ

【ウ】プロキシARP

【エ】リバースプロキシ

【ア】RADIUSを必須の技術として，参加者の利用者認証を一元管理するために利用する。

【イ】SPFを必須の技術として，参加者間で電子メールを送受信するときに送信元の真正性を確認するために利用する。

【ウ】楕円曲線暗号を必須の技術として，参加者間のP2P(Peer to Peer)通信を暗号化するために利用する。

【エ】ハッシュ関数を必須の技術として，参加者がデータの改ざんを検出するために利用する。

【ア】Webブラウザとの間の通信を暗号化する。

【イ】発行済セッションIDをCookieに格納する。

【ウ】発行済セッションIDをHTTPレスポンスボディ中のリンク先のURIのクエリ文字列に設定する。

【エ】パスワードによる利用者認証を行う。

【ア】HTTP over TLS(HTTPS)によって接続しているとき，EV SSL証明書であることを利用者が容易に識別できるように，Webブラウザのアドレス表示部分を緑色に表示する。

【イ】Webサーバからコンテンツをダウンロードするとき，どの文字列が秘密情報かを判定できないように圧縮する。

【ウ】WebサーバとWebブラウザとの間のTLSのハンドシェイクにおいて，一度確立したセッションとは別の新たなセッションを確立するとき，既に確立したセッションを使って改めてハンドシェイクを行う。

【エ】Webサイトにアクセスすると，Webブラウザは，以降の指定された期間，当該サイトには全てHTTPSによって接続する。

【ア】Webサイトでの決済などの重要な操作の都度，利用者のパスワードを入力させる。

【イ】Webサイトへのログイン後，毎回異なる値をHTTPレスポンスに含め，Webブラウザからのリクエストごとに送付されるその値を，Webサーバ側で照合する。

【ウ】Webブラウザからのリクエスト中のRefererによって正しいリンク元からの遷移であることを確認する。

【エ】WebブラウザからのリクエストをWebサーバで受け付けた際に，リクエストに含まれる”<“や”>”などの特殊文字を，タグとして認識されない”&lt;”や”&gt;” などの文字列に置き換える。

【ア】管理下の動的IPアドレスから，管理外のグローバルIPアドレスへのPOP通信を拒否する。

【イ】管理下の動的IPアドレスから，管理外のグローバルIPアドレスへのSMTP通信を拒否する。

【ウ】メールサーバで，受信メールのあて先電子メールアドレスが管理外のドメインを指す場合，電子メールの受信を拒否する。

【エ】メールサーバで，スパムメール受信時に送信元の電子メールアドレスをブラックリストに登録しておき，スパムメール送信元からの電子メールの受信を拒否する。

【ア】DNSキャッシュサーバが得た応答中のリソースレコードが，権威DNSサーバで管理されているものであり，改ざんされていないことの検証

【イ】権威DNSサーバとDNSキャッシュサーバとの通信を暗号化することによる，ゾーン情報の漏えいの防止

【ウ】長音”ー”と漢数字”一”などの似た文字をドメイン名に用いて，正規サイトのように見せかける攻撃の防止

【エ】利用者のURLの入力誤りを悪用して，偽サイトに誘導する攻撃の検知

【ア】APOP

【イ】IMAPS

【ウ】POP3

【エ】SMTP Submission

【ア】cookieに，HttpOnly属性を設定する。

【イ】cookieに，Secure属性を設定する。

【ウ】HTTPレスポンスヘッダーに，Strict-Transport-Securityを設定する。

【エ】HTTPレスポンスヘッダーに，X-Frame-Optionsを設定する。

【ア】CHAP

【イ】PAP

【ウ】PPTP

【エ】RADIUS

【ア】EAPは，クライアントPCとアクセスポイントとの間で，あらかじめ登録した共通鍵による暗号化通信を実装するための規格である。

【イ】RADIUSは，クライアントPCとアクセスポイントとの間で公開鍵暗号方式による暗号化通信を実装するための規格である。

【ウ】SSIDは，クライアントPCで利用する秘密鍵であり，公開鍵暗号方式による暗号化通信を実装するための規格で規定されている。

【エ】WPA3-Enterpriseは，IEEE802.1Xの規格に沿った利用者認証及び動的に配布される暗号化鍵を用いた暗号化通信を実装するための方式である。

【ア】ISP管理下の動的IPアドレスから管理外ネットワークのメールサーバへのSMTP接続を禁止する。

【イ】電子メール送信元のメールサーバが送信元ドメインのDNSに登録されていることを確認してから，電子メールを受信する。

【ウ】メールクライアントからメールサーバへの電子メール送信時に，利用者IDとパスワードによる利用者認証を行う。

【エ】メールクライアントからメールサーバへの電子メール送信は，POP接続で利用者認証済みの場合にだけ許可する。

【ア】FTPなどの様々なアプリケーションに利用されて，アプリケーション層とトランスポート層(TCP)との間で暗号化する。

【イ】MIMEをベースとして，電子署名とメッセージの暗号化によって電子メールのセキュリティを強化する。

【ウ】PPPとL2Fが統合された仕様で，PPPをトンネリングする。

【エ】特定のアプリケーションの通信だけでなく，あらゆるIPパケットをIP層で暗号化する。

【ア】cookieに指定された有効期間を過ぎると，cookieが無効化される。

【イ】JavaScriptによるcookieの読出しが禁止される。

【ウ】URL内のスキームがhttpsのときだけ，Webブラウザからcookieが送出される。

【エ】WebブラウザがアクセスするURL内のパスとcookieによって指定されたパスのプレフィックスが一致するときだけ，WebブラウザからCookieが送出される。

【ア】Resent-Sender:，Resent-From:，Sender:，From: などのメールヘッダの送信者メールアドレスを基に送信メールアカウントを検証する。

【イ】SMTPが利用するポート番号25の通信を拒否する。

【ウ】SMTP通信中にやり取りされるMAIL FROMコマンドで与えられた送信ドメインと送信サーバのIPアドレスの適合性を検証する。

【エ】電子メールに付加されたデジタル署名を検証する。

【ア】IKEはIPsecの鍵交換のためのプロトコルであり，ポート番号80が使用される。

【イ】暗号化アルゴリズムとして，HMAC-SHA1が使用される。

【ウ】トンネルモードを使用すると，暗号化通信の区間において，エンドツーエンドの通信で用いる元のIPのヘッダを含めて暗号化できる。

【エ】ホストAとホストBとの間でIPsecによる通信を行う場合，認証や暗号化アルゴリズムを両者で決めるためにESPヘッダでなくAHヘッダを使用する。

【ア】WebサーバにSNMPエージェントを常駐稼働させ，Webサーバの負荷状態を監視する。

【イ】WebサーバのOSのセキュリティパッチについて，常に最新のものを適用する。

【ウ】Webサイトへのデータ入力について，許容範囲を超えた大きさのデータの書込みを禁止する。

【エ】Webサイトへの入力データを表示するときに，HTMLで特別な意味をもつ文字のエスケープ処理を行う。

【ア】WebサーバがHTTP over TLS(HTTPS)通信の応答でcookieにSecure属性を設定するときのWebサーバ及びWebブラウザの処理はどれか。

【イ】Webサーバでは，cookie発行時に”Secure=”に続いてホスト名を設定し，Webブラウザは，指定されたホスト名を参照し，指定されたホストにそのcookieを送信する。

【ウ】Webサーバでは，cookie発行時に”Secure”を設定し，Webブラウザは，それを参照し，HTTPS通信時だけそのcookieを送信する。

【エ】Webサーバでは，cookie発行時に”Secure”を設定し，Webブラウザは，それを参照し，Webブラウザの終了時にcookieの他の属性によらず，そのcookieを削除する。

【ア】DNSキャッシュサーバの設定によって再帰的な問合せの受付範囲が最大になるようにする。

【イ】DNSサーバから受け取るリソースレコードに対するデジタル署名を利用して，リソースレコードの送信者の正当性とデータの完全性を検証する。

【ウ】ISPなどのセカンダリDNSサーバを利用してDNSコンテンツサーバを二重化することで名前解決の可用性を高める。

【エ】共通鍵暗号技術とハッシュ関数を利用したセキュアな方法で，DNS更新要求が許可されているエンドポイントを特定し認証する。

【ア】IPsecのトランスポートモードでは，ゲートウェイ間の通信経路上だけでなく，送信ホストと受信ホストとの間の全経路上でメッセージが暗号化される。

【イ】LDAPクライアントがLDAPサーバに接続するとき，その通信内容は暗号化することができない。

【ウ】S/MIMEで暗号化した電子メールは，受信側のメールサーバ内に格納されている間は，メール管理者が平文として見ることができる。

【エ】SSLを使用すると，暗号化されたHTML文書はブラウザのキャッシュの有無が設定できず，ディスク内に必ず保存される。

【ア】自社ISPのネットワークの動的IPアドレスから他社ISPの管理するメールサーバへのSMTP通信を制限する。

【イ】自社ISPのメールサーバで受信した電子メールのうち，スパムメールのシグネチャに一致する電子メールを隔離する。

【ウ】他社ISPのネットワークの動的IPアドレスから自社ISPのメールサーバへのSMTP通信を制限する。

【エ】他社ISPのメール不正中継の脆弱性をもつメールサーバから自社ISPのメールサーバに送信された電子メールを隔離する。

【ア】IPパケットを暗号化する対象部分によって，トランスポートモード，トンネルモードの方式がある。

【イ】暗号化アルゴリズムや暗号化鍵のライフタイムが設定される管理テーブルで，期間を過ぎると新しいデータに更新される。

【ウ】暗号化アルゴリズムを決定し，暗号化鍵を動的に生成する鍵交換プロトコルで，暗号化通信を行う。

【エ】データの暗号化は行わず，SPI，シーケンス番号，認証データを用い，完全性の確保と認証を行う。

【ア】ダイジェスト認証では，利用者IDとパスワードを”:”で連結したものを，MD5を使ってエンコードしAuthorizationヘッダで指定する。

【イ】ダイジェスト認証では，利用者IDとパスワードを”:”で連結したものを，SHAを使ってエンコードしAuthorizationヘッダで指定する。

【ウ】ベーシック認証では，利用者IDとパスワードを”:”で連結したものを，BASE64でエンコードしAuthorizationヘッダで指定する。

【エ】ベーシック認証では，利用者IDとパスワードを”:”で連結したものを，エンコードせずにAuthorizationヘッダで指定する。

【ア】AHとESPの機能によって認証と暗号化を実現する。

【イ】暗号化アルゴリズムにAESを採用したCCMP(Counter-mode with CBC-MAC Protocol)を使用する。

【ウ】端末とアクセスポイントの間で通信を行う際に，SSL Handshake Protocolを使用して，お互いが正当な相手かどうかを認証する。

【エ】利用者が設定する秘密鍵と，製品で生成するIV(Initialization Vector)とを連結した数字を基に，データをフレームごとにRC4で暗号化する。

【ア】EAP-FAST

【イ】EAP-MD5

【ウ】EAP-TLS

【エ】EAP-TTLS

【ア】CHAPを用いたチャレンジレスポンスによる利用者認証

【イ】あらかじめ登録した共通鍵によるサーバ認証と，時刻同期のワンタイムパスワードによる利用者認証

【ウ】デジタル証明書による認証サーバとクライアントの相互認証

【エ】利用者IDとパスワードによる利用者認証

【ア】外部ネットワークからの再帰的な問合せに応答できるように，コンテンツサーバにキャッシュサーバを兼ねさせる。

【イ】再帰的な問合せに対しては，内部ネットワークからのものだけに応答するように設定する。

【ウ】再帰的な問合せを行う際の送信元のポート番号を固定する。

【エ】再帰的な問合せを行う際のトランザクションIDを固定する。

【ア】IPsec

【イ】MPLS

【ウ】PPP

【エ】SSL

【ア】SSL-VPN装置は，FQDN又はIPアドレスを含むデジタル証明書を組み込む必要がある。

【イ】SSL-VPN装置は，装置メーカーが用意した機器固有のデジタル証明書を組み込む必要がある。

【ウ】SSL-VPN装置は，装置メーカーから提供される認証局を利用する必要がある。

【エ】同一ドメイン内で複数拠点にSSL-VPN装置を設置する場合は，同一のデジタル証明書を利用する必要がある。

【ア】ISP管理外のネットワークからの通信のうち，スパムメールのシグネチャに該当するものを遮断する。

【イ】動的IPアドレスを割り当てたネットワークからISP管理外のネットワークへの直接の通信を遮断する。

【ウ】メール送信元のメールサーバについてDNSの逆引きができない場合，そのメールサーバからの通信を遮断する。

【エ】メール不正中継の脆弱性をもつメールサーバからの通信を遮断する。

【ア】Webサーバが，SSL通信の暗号化方式として，ハンドシェイク終了後に共通鍵暗号化方式でSSLセッションを開始した。

【イ】ブラウザがCRLの妥当性をVAに問い合わせる際に，OCSPやSCVPが用いられた。

【ウ】ブラウザがWebサーバのデジタル証明書の検証に成功した後に，WebサーバからSSLセッションを確立した。

【エ】ルートCAのデジタル証明書について，Webサーバのデジタル証明書のものがブラウザで保持しているどのものとも一致しなかった。

【ア】IEEE802.1ad(QinQ)

【イ】IPsec

【ウ】PPPoE

【エ】VXLAN

【ア】入力から，上位ディレクトリを指定する文字列(../)を取り除く。

【イ】入力中の文字がデータベースへの問合せや操作において特別な意味をもつ文字として解釈されないようにする。

【ウ】入力にHTMLタグが含まれていたら，解釈，実行できないほかの文字列に置き換える。

【エ】入力の全体の長さが制限を超えていたときは受け付けない。

【ア】PCにはIEEE 802.1Xのサプリカントを実装し，かつ，RADIUSクライアントの機能をもたせる。

【イ】アクセスポイントにはIEEE 802.1Xのオーセンティケータを実装し，かつ，RADIUSクライアントの機能をもたせる。

【ウ】アクセスポイントにはIEEE 802.1Xのサプリカントを実装し，かつ，RADIUSサーバの機能をもたせる。

【エ】サーバにはIEEE 802.1Xのオーセンティケータを実装し，かつ，RADIUSサーバの機能をもたせる。

【ア】SMTPサーバに電子メールを送信する前に，電子メールを受信し，その際にパスワード認証が行われたクライアントのIPアドレスに対して，一定時間だけ電子メールの送信を許可する。

【イ】クライアントがSMTPサーバにアクセスしたときに利用者認証を行い，許可された利用者だけから電子メールを受け付ける。

【ウ】サーバはCAの公開鍵証明書をもち，クライアントから送信されたCAの署名付きクライアント証明書の妥当性を確認する。

【エ】電子メールを受信する際の認証情報を秘匿できるように，パスワードからハッシュ値を計算して，その値で利用者認証を行う。

【ア】管理下のネットワーク内への不正侵入の試みを検知し，管理者に通知する。

【イ】サーバ上のファイルが改ざんされたかどうかを判定する。

【ウ】実際にネットワークを介してサイトを攻撃し，不正に侵入できるかどうかを検査する。

【エ】ネットワークからの攻撃が防御できないときの損害の大きさを判定する。

【ア】TLSで使用するWebサーバのデジタル証明書にはIPアドレスの組込みが必須なので，WebサーバのIPアドレスを変更する場合は，デジタル証明書を再度取得する必要がある。

【イ】TLSで使用する共通鍵の長さは，128ビット未満で任意に指定する。

【ウ】TLSで使用する個人認証用のデジタル証明書は，ICカードにも格納することができ，利用するPCを特定のPCに限定する必要はない。

【エ】TLSはWebサーバを経由した特定の利用者が通信するためのプロトコルであり，Webサーバへの事前の利用者登録が不可欠である。

【ア】WebサイトでのSQL組立て時にエスケープ処理が施され，SQLインジェクション攻撃による個人情報などの非公開情報の漏えいやデータベースに蓄積された商品価格などの情報の改ざんを防止する。

【イ】Webサイトへのアクセスが人間によるものかどうかを確かめ，Webブラウザ以外の自動化されたWebクライアントによる大量のリクエストへの応答を避ける。

【ウ】Webサイトへのブルートフォース攻撃によるログイン試行を検出してアカウントロックし，Webサイトへの不正ログインを防止する。

【エ】WebブラウザとWebサイトとの間における中間者攻撃による通信データの漏えい及び改ざんを防止し，サーバ証明書によって偽りのWebサイトの見分けを容易にする。

【ア】AEAD(Authenticated Encryption with Associated Data)とハッシュアルゴリズムの組みで構成されている。

【イ】TLS1.2で規定されている共通鍵暗号AES-CBCをサポート必須の暗号アルゴリズムとして継続利用できるようにしている。

【ウ】Wi-Fiアライアンスにおいて規格化されている。

【エ】サーバとクライアントのそれぞれがお互いに別の暗号アルゴリズムを選択できる。

【ア】IPsec

【イ】PPP

【ウ】SSH

【エ】TLS

【ア】DNSサーバにSPFレコードを登録する。

【イ】DNSの問合せを受け付けるポート番号を変更する。

【ウ】メールサーバにデジタル証明書を導入する。

【エ】メールサーバのTCPポート25番を利用不可にする。