情報系のべんきょう

情報系のノートを作ります.ビギナー向けでは無いです.

R02 ~ R04 SC 復習

R02 秋 午前2

問2

ア:Webサービスに関する情報を公開し,

Webサービスが提供する機能などを検索可能にするための仕様

WSDL(Web Services Description Language)の説明です。

イ:権限がない利用者による読取り,改ざんから電子メールを

保護して送信するための仕様

S/MIME(Secure MIME)やPGP(Pretty Good Privacy)の説明です。

ウ:ディジタル署名に使われる鍵情報を効率よく

管理するためのWebサービスの仕様

TLS(Transport Layer Security)の説明です。

エ:認証情報に加え,属性情報とアクセス制御情報を

異なるドメインに伝達するためのWebサービスの仕様

SAMLの説明です。

問5 ブロックチェーン

ハッシュ関数を必須の技術として,参加者がデータの改ざんを検出するために利用する。

問6 NOTICE(National Operation Towards IoT Clean Environment)

国内のグローバルIPアドレスを有するIoT機器に,容易に推測される

パスワードを入力することなどによって,サイバー攻撃に悪用される

おそれのある機器を調査し,インターネットサービスプロバイダを通じて

当該機器の利用者に注意喚起を行う。

問7 サイバー・フィジカル・セキュリティ対策フレームワーク(Version1.0)

新たな産業社会において付加価値を創造する活動が直面する

リスクを適切に捉えるためのモデルを構築し,求められる

セキュリティ対策の全体像を整理すること

問8 CRYPTREC

暗号技術の技術的検討並びに国際競争力の向上及び運用面での安全性向上に関する検討を行う。

問9 3Dセキュア

クレジットカード発行会社にあらかじめ登録したパスワードなど,

本人しか分からない情報を入力させ,検証することによって,

なりすましによるクレジットカードの不正使用を防止する。

R03 春 午前2

問10 CAAレコード

不正なサーバ証明書の発行を防ぐ。

問11 CASB(Cloud Access Security Broker)

クラウドサービス利用組織の管理者が,組織の利用者が利用している

全てのクラウドサービスの利用状況の可視化を行うことによって,

許可を得ずにクラウドサービスを利用している者を特定できる。

問17 Enhanced Open

RFC 8110に基づいたものであり,公衆無線LANなどで

パスフレーズなどでの認証なしに,端末とアクセスポイントとの

間の無線通信を暗号化する

問18 NFV(Network Functions Virtualisation)

ルータ,ファイアウォールなどのネットワーク機能を,

汎用サーバを使った仮想マシン上のソフトウェアで実現する。

問23 テスト駆動開発

プログラムを書く前にテストコードを記述する。

R03 秋 午前2

問1 Adversarial Examples攻撃

AIによる画像認識において,認識させる画像の中に人間には

知覚できないノイズや微小な変化を含めることによって

AIアルゴリズムの特性を悪用し,判定結果を誤らせる攻撃

問2 Pass the Hash攻撃

パスワードのハッシュ値だけでログインできる仕組みを

悪用してログインする。

問5 サイバーキルチェーン

攻撃者の視点から,攻撃の手口を偵察から目的の実行までの

段階に分けたもの

問17 TLS1.3の暗号スイート

認証暗号アルゴリズムとハッシュアルゴリズムの組みで構成されている

問18 VXLAN

レイヤ3ネットワーク内に論理的なレイヤ2ネットワークを

カプセル化によって構築するプロトコル

問23 AACS

ブルーレイディスクで使われているコンテンツ保護技術

R04 春 午前2

問7 SECURITY ACTION

安全・安心なIT社会を実現するために創設された制度であり,

IPA"中小企業の情報セキュリティ対策ガイドライン"に沿った

情報セキュリティ対策に取り組むことを中小企業が自己宣言する

問17 RADIUS

アクセスポイントにはIEEE 802.1Xのオーセンティケータを実装し,かつ,RADIUSクライアントの機能をもたせる。

問18 CSMA/CA

IEEE 802.11a/b/g/nで採用されているアクセス制御方式

問19 SNTP

インターネットに接続されたPCの時刻合わせに使用されるプロトコル

問21 データリネージ

データがどこから発生し,どのような変換及び加工を経て,

現在の形になったかを示す情報であり,データの生成源の特定又は

障害時の影響調査に利用できる。

R04 春 午前2

問2 RA(Registration Authority)

本人確認を行い,デジタル証明書の発行申請の承認又は却下を行う。

問7 シングルサインオン(SSO)

リバースプロキシ方式では,SSOを利用する全ての

トラフィックがリバースプロキシサーバに集中し,

リバースプロキシサーバが単一障害点になり得る。

問8 前方秘匿性(Forward Secrecy)

鍵交換に使った秘密鍵が漏えいしたとしても,

それより前の暗号文は解読されない

問9 ISO/IEC 15408

IT製品及びシステムが,必要なセキュリティレベルを満たしているか

どうかについて,調達者が判断する際に役立つ評価結果を提供し,

独立したセキュリティ評価結果間の比較を可能にするための規格

問11 クリックジャッキング攻撃の対策

HTTPレスポンスヘッダーに,X-Frame-Optionsを設定する

問17 プライバシーセパレータ機能(アクセスポイントアイソレーション)

同じアクセスポイントに無線で接続している機器同士の通信を禁止する。

問18 IPv6

ヘッダーは固定長であり,拡張ヘッダー長は8オクテットの整数倍である。

問20 VRRP

IPネットワークにおいて,クライアントの設定を変えることなく

デフォルトゲートウェイの障害を回避するために用いられるプロトコル

問23 SDメモリカードに使用される著作権保護技術

CPRM(Content Protection for Recordable Media)

参考

情報処理安全確保支援士ドットコム

H29 SC 復習

H29 春 午前2

問5 セッションIDの固定化攻撃(Session Fixation)

セッションIDの固定化攻撃とは,ターゲットユーザに対して攻撃者が

生成したセッションIDを含む不正なURLを送りつけることで意図的に

セッションを確立させ,そのセッションをハイジャックするというものである.

セッションIDの固定化攻撃は次のように実行される.

①攻撃者がターゲットとなるWebサイトのログイン画面などにアクセスし,

実際に発行されたセッションID(例:98765)を入手する

②入手したセッションIDを含むURL(例:;sessionid=98765)をリンク先として

セットしたフィッシングメールをターゲットユーザに送付する.

(もしくは他の手段でそのURLをクリックさせる)

③ターゲットユーザがそのリンクをクリックし(そのセッションIDを使って),

ターゲットサイトにログインする

④攻撃者も同じセッションIDを使ってターゲットサイトへのアクセスに成功し,

正規のユーザになりすまして不正な操作などを行う

問6 DNS水責め攻撃

DNS水責め攻撃とは,問合せ元のアドレスや問合せ対象ドメインの

制限なく名前解決要求に応じ状態(オープンリゾルバ)となっている

DNSキャッシュサーバに対し,攻撃対象のドメインのランダムなサブドメイン名を

大量に発生させ,不正な名前解決要求を行う手法である.

これにより,攻撃対象ドメインの権威DNSサーバ(コンテンツサーバ)を過負荷にさせる.

問7 FIPS140-2(Federal Information Processing Standardization 140-2)

FIPS140-2(連邦情報処理規格140-2)は,米国連邦政府の省庁等各機関が

利用する暗号モジュールに関するセキュリティ要件を規定した文書である.

問8

NIST(National Institute of Standards and Technology:米国国立標準技術研究所)では,

クラウドコンピューティングのサービスモデルについて概ね次のように定義している.

SaaS(Software as a Service)

利用者に提供される機能はクラウドのインフラ上で稼動しているアプリケーションであり,

利用者がOSなどのインフラを管理したりコントロールしたり,

アプリケーションの設定をしたりすることはできない.

PaaS(Platform as a Service)

利用者に提供される機能はクラウドのインフラ上に利用者が開発

もしくは購入したアプリケーションを実装することである.

利用者はOSなどのインフラを管理したり,ミドルウェアの設定等を行ったり

することはないが,自分が実装したアプリケーションに対する

各種設定,セキュリティ対策等を行う.

IaaS(Infrastructure as a Service),HaaS(Hardware as a Service)

利用者に提供される機能はCPU,ストレージ等のインフラである.

利用者はOSやミドルウェア,ストレージ容量等を選択してサーバ環境を構築し,

OSやミドルウェアに対する各種設定等を行う.

問11 MITB(Man In The Browser)攻撃

MITB攻撃は,ブラウザの動作に介入し,インターネットバンキングの送金内容を

勝手に書き換えて不正な送金を行う手法である.

MITBへの有効な対策として,トランザクション署名がある.

トランザクション署名とは,送金時にトークン(携帯認証装置)を用いて署名情報を生成し,

口座番号,金額とともに送信することで,取引の内容が通信の途中で

改ざんされていないことを検証する技術である.

問17

IEEE802.1Xとは,ネットワーク環境においてユーザ認証を行うための規格である.

IEEE802.1Xに準拠した認証システムは,クライアントであるサプリカント

アクセスポイントやLANスイッチなど,認証の窓口となる機器である

オーセンティケータ,認証サーバ(RADIUSサーバなど)から構成される.

認証サーバにRADIUSを用いる場合には,

オーセンティケータがRADIUSクライアントとなる.

問19 MDI(Multiple Document Interface)

イーサネットインタフェースには,送信端子,受信端子の割り当ての違いにより,

MDIとMDI-Xの2種類があり,MDIとMDI-Xを接続する場合にはストレートケーブル,

MDI同士,あるいはMDI-X同士を接続する場合にはクロスケーブルを使用する場合がある.

AutomaticMDI/MDI-Xは,ストレートケーブル,クロスケーブルのどちらを使用しても,

コネクタの送信端子と受信端子が正しい組合せになるように自動的に切り替える機能である.

問20 CSMA/CA(CarrierSenseMultipleAccess/CollisionAvoidance)

IEEE802.11aIEEE802.11bはいずれも無線LANの規格である.

有線LANとは異なり,無線LAN環境では通信の衝突を検出できないため,

各ホストは自分が通信する際に,まず他のホストが通信していないことを

確認(Carrier Sense)した後,ランダムな長さの待ち時間をとってから

送信を開始することで,通信の衝突を回避(Collision Avoidance)する仕組みとなっている.

問21

SQLのGRANT文は,ユーザに対し,テーブル,ビューなどのオブジェクトに

関する特定の権限を付与する.

既に何らかの権限を有していた場合には,それに追加される.

GRANT文の基本的な構文は次の通り.

GRANT 権限名 ON オブジェクト名 TO ユーザ名;

・権限名に"ALL"もしくは"ALLPRIVILEGES"と記述すると,

SELECT権限,UPDATE権限,INSERT権限,DELETE権限などの

すべての権限をユーザに付与することになる.

・ユーザ名に"PUBLIC"を指定すると,すべてのユーザに権限を付与することになる.

・"WITH GRANT OPTION"を指定すると,権限を他のユーザに

付与する権限をユーザに対して与えることができる.

問22

JIS X 25010:2013(システム及びソフトウェア品質モデル)では,

製品品質を8つの特性(機能適合性,信頼性,性能効率性,使用性,

セキュリティ,互換性,保守性及び移植性)に分類しており,

各特性は,関係する副特性の集合から構成される.

【選択肢】

ア:適切な記述である.

イ:性能効率性に関する記述である.

ウ:使用性に関する記述である.

エ:信頼性に関する記述である.

問23 DTCP-IP(Digital Transmission Content Protection over Internet Protocol)

DTCP-IPは,著作権保護されたコンテンツを伝送するためのプロトコルである.

DLNA(Digital Living Network Alliance)とともに使用され,接続する機器間で相互認証し,

コンテンツ保護が行える場合に録画再生を可能にする.

問25

自社が提供するWebサービスの信頼性に責任を負うのは,当該企業の経営者である.

保証業務の実施者は外部監査人であり,

その報告書の想定利用者はWebサービス利用者である.

表のA〜Dのうち,この組合せとなっているのはCである

H29 秋 午前2

問6 Kaminsky's Attack(カミンスキー攻撃)

Kaminsky's Attackとは,セキュリティ研究者のDan Kaminsky氏によって考案・公表された

DNSキャッシュポイズニング攻撃の一種である.

攻撃者は,汚染情報を登録したいドメイン名と同じドメインかつ存在しないFQDN

名前解決要求を行うことで,従来よりも効率良く攻撃を成立させる手法である.

攻撃を成功させるためには,攻撃者は,送信ポート番号(名前解決要求の

送信元ポート番号であり,応答時のあて先ポート番号となる),

トランザクションIDを本来の応答レコードと合致させる必要がある.

しかし,送信ポート番号,あて先ポート番号ともに53番に固定する設定となっている

DNSサーバは数多く存在し,攻撃を容易にさせている.

また,トランザクションIDが16ビット(最大65,536通り)であることも攻撃を容易にさせている.

そのため,DNSの送信元ポート番号をランダム化(ソースポートランダマイゼーション)する

ことで,カミンスキー攻撃をはじめとしたDNSキャッシュポイズニング攻撃が

成功する確率を大きく低減することができる.

問11

JISQ27000:2014「情報セキュリティマネジメントシステム-用語」では,

是正処置(corrective action)を

「不適合の原因を除去し,再発を防止するための処置」

と定義している.

問14 CSRFCross-Site Request Forgeries

問題文の攻撃手法は,Webアプリケーションのユーザ認証やセッション管理の不備を突いて,

サイトの利用者にWebアプリケーションに対する不正な処理要求を行わせる手法であり,

CSRF(クロスサイトリクエストフォージェリ)と呼ばれる.

CSRFによる被害を防ぐためには,Webアプリケーションのユーザ認証機能や

セッション管理機能を強化し,不正なリクエストを受け付けないようにする必要がある.

具体的には,次のようなものがある.

・POSTメソッドを使用し,hiddenフィールドに秘密情報をセットする

・確定処理の直前で再度パスワードを入力させる

・Referrerを用いてリンク元の正当性を確認する

・重要な操作を行った後で,その内容を登録アドレスにメール送信する

問16 ディジタルフォレンジックス

ディジタルフォレンジックスで証拠を収集する際には,

揮発性の高いものから順に進める必要がある.

RFC3227「証拠収集とアーカイビングのためのガイドライン」によれば,

揮発性の順序について,次のように例示されている.(上のものほど揮発性が高い)

1レジスタ,キャッシュ

2ルーティングテーブル,arpキャッシュ,プロセステーブル,カーネル統計,メモリ

3テンポラリファイルシステム

4ディスク

5当該システムと関連する遠隔ロギングと監視データ

6物理的設定,ネットワークトポロジ

7アーカイブ用メディア

問21

【選択肢】

ア:誤差逆伝播の調整作業は出力層から入力層に向かって行われる.

イ:サポートベクタマシン機械学習におけるパターン認識手法の

一つであり,大量計算には向かない.

エ:過学習とは,機械学習等において,過度の学習を行った場合,

未知のデータに対して正しく答えを出力できなくなる現象である.

問22

JISX25010:2013では,システム利用時の品質特性について,

有効性,効率性,満足性,リスク回避性,利用状況網羅性の5つに分類しており,

各特性は,関係する副特性の集合から構成される.

満足性とは,「製品又はシステムが明示された利用状況において使用されるとき,

利用者ニーズが満足される度合い」であり,その副特性を次のように定義している.

●実用性

利用の結果及び利用の影響を含め,利用者が把握した目標の達成状況によって

得られる利用者の満足の度合い.

●信用性

利用者又は他の利害関係者がもつ,製品又はシステムが意図したとおりに

動作するという確信の度合い.

●快感性

個人的なニーズを満たすことから利用者が感じる喜びの度合い.

●快適性

利用者が(システム又はソフトウェアを利用する時の)快適さに満足する度合い

問23

著作権の帰属に関する特段の取決めがない場合,

開発したソフトウェアの著作権は原則として請負人に帰属する.

問25

システム監査基準において,

「システム監査人は,システム監査を客観的に実施するために,

監査対象から独立していなければならない.

監査の目的によっては,被監査主体と身分上,

密接な利害関係を有することがあってはならない.」

とされている.

内部監査において,過去に在籍していた部門に対する監査にメンバを従事させる場合,

一定の期間を置くのは適切な措置である.

参考

情報処理教科書 情報処理安全確保支援士 2023年版

H28 SC 復習

H28 春 午前2

問4 SAML(Security Assertion Markup Language )

SAMLとは,異なるWebサーバ間において,ユーザ ID・パスワード・公開鍵等の

認証情報やアクセス制御情報,属性情報等を安全に交換するためのプロトコルである.

XML関連の標準化団体であるOASIS(Organization for the Advancement of

Structured Information Standards )によって策定された.

SAMLでは,認証や認可に関する情報等を格納するXMLベースの証明書

( Assertion )の仕様や,Assertionを交換するためのプロトコル

標準化することで,シングルサインオンのための基盤を提供している.

【選択肢】

イ:SOAP(Simple Object Access Protocol )

XMLとHTTPなどをベースとしており,他のコンピュータ上にあるデータや

サービスを呼び出すためのプロトコルである.

ウ:XKMS(XML Key Management Specification )

XML をベースとしてPKIの鍵情報の取得や管理を行うための仕様である.

エ:XML Signature

XML文書にディジタル署名を行う技術である.

問7

【選択肢】

イ:SYN Flood 攻撃の説明である。

ウ:UDP Flood 攻撃の説明である。

エ:メールボム( eーmail bomb )の説明である。

問9

【選択肢】

エ:メッセージ認証コード( MAC:Message Authentication Code)

通信データの改ざん有無を検知し,完全性を保証するために

通信データから生成する固定長のコード(ビット列)である.

MACには,ブロック暗号を用いた CMAC(Cipher based MAC),

ハッシュ関数を用いた HMAC などがある.

問10 JーCSIP(Initiative for Cyber Security Information sharing Partnership of Japan )

JーCSIPは,公的機関であるIPAを情報ハブ(集約点)の役割として,

参加組織間で情報共有を行い,高度なサイバー攻撃対策につなげていく取組みである.

問12

DNSキャッシュポイズニング攻撃を成功させるためには,

攻撃者は,ポート番号, DNS ヘッダ内のトランザクションIDを

本来の応答レコードと合致させる必要がある.

そのため,これらを固定せずにランダムな値に変更することは有効な対策となる.

ポート番号:名前解決要求の送信元ポート番号であり,応答時のあて先ポート番号となる.

DNSヘッダ内のトランザクションID:DNS の問合せを一意に識別するための ID

問15

イ:TCPのポート番号21

FTP(File Transfer Protocol )が使用するポートである.

ウ:TCPのポート番号110

POP3(Post Office Protocol v3 )が使用するポートである.

エ:UDPのポート番号123

NTP(Network Time Protocol )が使用するポートである.

問16 EAP(PPP Extensible Authentication Protocol )

EAPは,IEEE 802.1X 規格に基づき, PPPの認証機能を強化・拡張した

ユーザ認証プロトコルである.

EAPは,次に示すように様々な認証方式に対応している.

EAPTLS

サーバとクライアント間で,サーバ証明書,クライアント証明書による

相互認証を行う方式.

認証成立後には,TLSのマスタシークレットをもとにクライアントごとに

異なる暗号鍵を生成・配布し,定期的に変更するため,

無線 LAN のセキュリティを高めることができる.

EAPーTTLS(EAP Tunneled TLS

ディジタル証明書によるサーバ認証を行ってEAPトンネルを確立後,

そのトンネル内で様々な方式を用いてクライアントを認証する.

EAPMD5

MD5によるチャレンジレスポンス方式によってパスワードを暗号化し,

クライアントの認証のみを行う.

EAPーFAST(Flexible Authentication via Secure Tunneling)

Cisco Systems社による認証プロトコルであり,

EAPーTTLS とほぼ同様の方式でクライアントを認証するが,

FASTではディジタル証明書を用いず, DH(Diffie Hellman )鍵交換によって

TLSセッションを確立する方式も使用可能である.

問17

PGP(Pretty Good Privacy )は,1991年に米国のPhilip R. Zimmermann 氏によって開発された

電子メールの暗号化ツールである.

PGPでは基本的な暗号化アルゴリズムとして,RSAとIDEAが用いられており,

ユーザ(メールアドレス)ごとに公開鍵を用意する.

S/MIME(Secure Multipurpose Internet Mail Extensions )は,

米国RSA Security社によって開発された暗号化電子メール方式である.

S/MIMEは不特定多数のユーザ間で安全性,信頼性の高い通信を行うことを

想定しているため,利用にあたって各ユーザは公開鍵を生成し,

ディジタル証明書( S/MIME 証明書)を取得する必要がある.

SMTP over TLSは,メールクライアントとメールサーバ間のSMTP通信,

もしくはメールサーバ間のSMTP通信をTLSで暗号化する仕組みであり,

メールサーバごとに公開鍵を生成し,ディジタル証明書を取得する必要がある.

問18 SSID(Service Set ID )

`SSIDとは,最長32オクテットのネットワーク識別子であり,

無線LANアクセスポイントを識別するために用いられる.

ESSID(Extended Service Set ID )とも呼ばれる.

問19 DHCP(Dynamic Host Configuration Protocol )

DHCPは,ネットワークに接続されたコンピュータに対して,

IP アドレス,サブネットマスクDNS サーバアドレス,

ゲートウェイアドレス等の必要な情報を動的に割り当てるプロトコルである.

DHCPクライアントとDHCPサーバ間でやり取りされるメッセージの

順序は次の通りである。

DHCP DISCOVER

クライアントがDHCPサーバを見つけるために

DHCP DISCOVERメッセージをブロードキャストで送信する.

DHCP OFFER

DHCP DISCOVERメッセージを受け取った DHCP サーバが,

割り当てる候補となるIPアドレスサブネットマスク等の情報を

DHCP OFFERメッセージで通知する.

DHCP REQUEST

クライアントが, DHCP OFFERメッセージで通知されたIPアドレス

正式に取得することをDHCP REQUESTメッセージでDHCPサーバに要求する.

DHCP ACK

クライアントから要求のあったIPアドレスが割り当て可能であった場合には,

DHCPサーバ は確認応答として,DHCP ACKメッセージで

IPアドレスサブネットマスク等の情報を通知する.

問24

JIS Q 20000ー1:2012 の「 6.6.3 情報セキュリティの変更及びインシデント」において,

次のような要求事項が挙げられている.

6.6.3 情報セキュリティの変更及びインシデント

次を特定するために,変更要求を評価しなければならない.

a)新たな情報セキュリティリスク,又は変化した情報セキュリティリスク

b)既存の情報セキュリティ基本方針及び管理策への潜在的影響

問25

システム管理基準(平成 16 年 10 月 8 日策定)は,

組織体が経営戦略に沿って情報システム戦略を立案し,

その戦略に基づいた効果的な情報システム投資と,リスクを低減するための

コントロールを適切に整備・運用するための実践規範となるものである.

システム管理基準の前文に次の記述がある.

組織体が情報システムにまつわるリスクに対するコントロール

適切に整備・運用する目的は,以下の通りである.

・情報システムが,組織体の経営方針及び戦略目標の実現に貢献するため

・情報システムが,組織体の目的を実現するように安全,有効かつ効率的に機能するため

・情報システムが,内部又は外部に報告する情報の信頼性を保つように機能するため

・情報システムが,関連法令,契約又は内部規程等に準拠するようにするため

H28 秋 午前2

問1

RADIUS(Remote Authentication Dial In User Service)やその後継となる

DIAMETERは,認証( Authentication ),認可(Authorization ),

課金 Accounting )を行うプロトコルである.

問2 NTPリフレクション攻撃

NTPリフレクション攻撃とは, NTPを使った増幅型のDDoS攻撃であり,

NTPサーバが過去にやり取りした600件のアドレスを回答する

「 monlist 」コマンド(状態確認機能)により,増幅率を数十倍から

数百倍にまで高めるという手口が使われている.

問3 POODLE(Padding Oracle On Downgraded Legacy Encryption )

POODLEは,パディング処理の不備を突いて暗号化通信を解読する攻撃である.

問4

XML署名(XML ディジタル署名)は,XML文書にディジタル署名

行う技術であり,W3CWorld Wide Web Consortium )と

IETF(Internet Engineering Task Force )によって共同開発された.

XML署名では,署名対象や署名アルゴリズム等をXMLで記述する.

また,署名の対象となるXML文書(オブジェクト)全体だけでなく,

オブジェクト中の指定した任意のエレメントに対して

デタッチ署名することができる.

問6 リスクベース認証

リスクベース認証とは,送信元IPアドレスなど利用者の環境を分析し,

普段とは異なるネットワークからのアクセスであった場合に,

追加で利用者に関する登録情報を入力させて認証を行うことである.

問9

【選択肢】

ア:expires

Cookieに指定された有効期限を過ぎると,Cookieが無効化される.

イ:HttpOnly

JavaScriptによるCookieの読出しを禁止する.

エ:path

WebブラウザがアクセスするURL内のパスとCookieによって指定されたパスの

プレフィックスが一致するとき,WebブラウザからCookieから送出される.

問14 EAP(PPP Extensible Authentication Protocol )

EAPは,IEEE 802.1X 規格に基づき, PPPの認証機能を強化・拡張した

ユーザ認証プロトコルである。

EAPTLS は,サーバとクライアント(サプリカント)間で,

ディジタル証明書による相互認証を行う方式である.

EAPは,PPP の認証機能を強化・拡張したユーザ認証プロトコルであり,

無線LAN環境のセキュリティを強化する技術として普及しているほか,

有線LANにおいてもクライアントの正当性や安全性を

認証する技術として用いられている.

問18

イ:ゾーン転送とは,プライマリDNS サーバとセカンダリDNS サーバが

登録内容を同期させるため,定期的に行う通信である.

ウ:ドメ イン名に対応するIPアドレスを求めることを正引きという.

エ:CNAMEはホスト名の別名を指定する資源レコードであり,

ドメイン名を管理するDNSサーバを指定する資源レコードはNSである.

問20 TCP

ア:TCPOSI 基本参照モデルのトランスポート層の機能である.

イ:ウィンドウ制御の単位はバイトである.

ウ:正しい記述である.

エ:TCP ヘッダにはデータの順序を示すシーケンス番号があり,

それによって正しい順序で受信データを処理できる.

問21

システム障害発生時にデータベースの整合性を保ち,かつ最新の

データベース状態に復旧するためには,ログファイルへの

コミットメント情報書込みが完了している必要がある.

この仕組みはWAL(Write Ahead Log:ログ先行書込 み)プロトコル

呼ばれる手法によって実現されている.

WALプロトコルにより,コミット済みであるが,システム障害等何らかの

理由によりデータベースに書き込まれていない更新データを

ログファイルから回復することが可能となる.

問22

システム方式設計では,複数のシステム間における処理やデータの流れ,

連携方法などの仕様等を決定し,システム結合テストにおける

要求事項が定義される.

ソフトウェア方式設計では,システムで使用するソフトウェア間の

インタフェース,連携方法などの仕様等を決定し,

ソフトウェア結合テストにおける要求事項が定義される.

ソフトウェア詳細設計では,個々のソフトウェアの機能の詳細仕様を

決定し,ユニットテスト単体テスト)における要求事項が定義される.

問23

最初にコアな部分を開発し,順次機能を追加していくのであれば,

段階的モデル (インクリメンタルモデル)が適している.

段階的モデルでは,最初にシステム全体の要件定義を行い,

要求された機能をいくつかに分割して段階的にリリースする.

要求が明確になっており,全機能を一斉に開発するのであれば,

ウ ォーターフォールモデルが適している.

要求に不明確な部分がある場合には,最初に要求が確定した部分だけを開発し,

その後に要求が確定した部分を逐次追加していく 進化的モデルが適している.

参考

情報処理教科書 情報処理安全確保支援士 2023年版

H27 SC 復習

H27 春

問1 EV(Extended Validation)SSL 証明書

EV SSL 証明書とはCAとWebブラウザベンダで構成する業界団体である

「 CA/Browser フォーラム」が定めたWebサーバ用のディジタル証明書である.

従来のディジタル証明書よりも発行に当たっての審査基準を

厳しく設定しているためEV証明書を所有するサイトは通常の証明書を

所有するサイトよりも信頼性が高いといえる.

サブジェクトフィールドは認証の対象となる組織の情報が記載されるフィールド

であり,Organizational NameにはWebサイト運営団体の正確な名称が記載される.

問2 EAP-TLS

EAP-TLSは,サーバとクライアント間でディジタル証明書による

相互認証を行う方式である.

EAPはPPPの認証機能を強化・拡張したユーザ認証プロトコルであり

無線LAN環境のセキュリティを強化する技術として普及しているほか

有線LANにおいてもクライアントの正当性や安全性を認証する

技術として用いられている.

問4 VA(Validation Authority)

VA(証明書有効性検証局)とは,次のような役割を担っているシステムや機関である.

・ディジタル証明書の失効情報の集中管理

・CAの公開鍵で署名を検証

・ディジタル証明書内に記載された有効期限の確認

・CRLの確認

・ディジタル証明書の失効状態についての問合せへの応答

【選択肢】

イ:CA

ディジタル証明書を作成するためにディジタル署名をする.

ウ:AA(Attribute Authority :属性認証局

CAに代わって属性証明書を発行する.

エ:RA(Registration Authority :登録局)

本人確認を行い,ディジタル署名書の発行を指示する.

問8

CRYPTREC(Cryptography Research and Evaluation Committees )とは,

電子政府推奨暗号の安全性を評価・監視し 暗号技術の適切な実装法・運用法を

調査・検討するプロジェクトであり 「電子政府」における調達のための

推奨すべき暗号のリスト 電子政府推奨暗号リストを公表している.

電子政府推奨暗号リストとは,CRYPTREC によって安全性及び実装性能が確認された

暗号技術のうち市場における利用実績が十分であるか今後の普及が

見込まれると判断され当該技術の利用を推奨するもののリストである.

問9 IPSec

IPsecは,次のような特徴をもっている.

・IPパケットをインターネット層でカプセル化し暗号化する方式である.

・上位層のアプリケーションに依存せずに暗号化通信が可能であるため

ユーザは暗号化通信を行っていることを意識する必要がない.

IPv4IPv6 のどちらでも利用することができ,IPv6ではIPsecの実装が必須である.

・暗号化アルゴリズムを特定せずDES,3DESなど様々な暗号化アルゴリズム

利用できるようになっている.

IPsecでは,パケットを暗号化する対象部分によってトランスポートモードと

トンネルモードという二つの方式が提供されている.

・トランスポートモードはIPパケットのデータ部分のみを暗号化する方式である.

・トンネルモードはIPへッダとデータ部分をまとめてカプセル化して

暗号化する方式である.

IPsecにおける鍵交換プロトコルとしてはISAKMP/Oakley(ISAKMP:Internet

Security Association and Key Management Protocol )方式を使った

IKE(Internet Key Exchange )が標準となっておりポート番号500/UDPを使用する.

IPsecにおける代表的な通信プロトコルとして

AH(Authentication Header:認証ヘッダ)と

ESP(Encapsulating Security Payload :暗号化ペイロード)がある.

・AHは,主にメッセージ認証のために使用されるプロトコルであり

通信データを暗号化する機能はない.

・ESPは,メッセージ認証と暗号化の両方の機能を提供するプロトコルである.

問10 NTPリフレクター攻撃

NTP リフレクター攻撃とは,NTPを使った増幅型の DDoS 攻撃であり,

NTPサーバが過去にやりとりした600件のアドレスを回答する

「monlist」コマンド(状態確認機能)により増幅率を数十倍から数百倍にまで

高めるという手口が使われている.

そのため,その後リリースされたNTPのサーバプログラムでは

このコマンドを脆弱であるとして無効にしている.

問14 DNSSEC(DNS Security Extensions )

DNSSECは,DNSのセキュリティ拡張方式であり,次のような機能によって

権威DNS サーバ(コンテンツサーバ)の応答レコードの正当性と完全性を検証する.

・名前解決要求に対して応答を返す権威DNS サーバが,自身の秘密鍵を用いて

応答したリソースレコードにディジタル署名を付加して送信する.

・応答を受け取った側は,応答を返した権威 DNS サーバの公開鍵を用いて

リソースレコードが改ざんされていないことを検証する.

問16 SMTP AUTH

SMTP AUTHは,SMTPにユーザ認証機能を追加した方式であり,

クライアントがSMTPサーバにアクセスしたときにユーザアカウントと

パスワードによる利用者認証を行うことで,許可された利用者だけから

電子メールの送信を受け付ける.

【選択肢】

ア:OP25B(Outbound Port25 Blocking )

ウ:POP before SMTP

エ:SPF( Sender Policy Framework )

問18

TCPヘッダには,送信元ポート番号,宛先ポート番号,シーケンス番号,

確認応答番号,ウィンドウサイズなどの情報が含まれる.

問20

HTTPのヘッダ部にはリクエスト/レスポンスの内容に応じた情報が入る.

主なヘッダ情報として次のようなものがある.

・Authorization:認証方式や認証情報(リクエスト時)

Refererリンク元の URL 情報(リクエスト時)

・User Agent:ブラウザの名称やバージョン情報(リクエスト時)

Cookie:クライアントが Web サーバに提示するクッキー(リクエスト時)

・Content Type:送信するファイルや文字セットの種類(リクエスト/レスポンス時)

・Server:Web サーバのプログラム名やバージョン情報(レスポンス時)

・Set Cookie:Web サーバがクライアントにセットするクッキー(レスポンス時)

・Location :次に参照(リダイレクト)させる先の URI 情報( レスポンス時)

問21 2相コミット

2相コミットは,コミットを開始する一人の調停者と複数の参加者によって行われる.

まず,調停者が参加者全員に対してコミットの可否を問い合わせる.

その結果,すべての参加者が了承した場合はコミットが成立し,

調停者はコミットの決定を参加者に送る.

一方,一つでも拒否があればコミットは成立せず,

調停者はロールバックの決定を参加者に送る.

調停者が参加者からの了承,拒否を受信後,決定内容(コミット ロールバック)を

参加者に送る前に障害が発生すると,その回復処理が終わらない限り

参加者全員がコミットもロールバックも行えない事態が起こる可能性がある.

問22

共通フレームは,ソフトウェアの企画から設計・開発・運用・保守・廃棄までの

ライフサイクルプロセス全般に対して,共通の物差し(フレーム)を

規定することによってソフトウェアの取得者と供給者間の取引を

明確化することを目的としている.

共通フレームによればシステム要件の評価は次の基準を考慮して行うこととされている.

(a)取得ニーズへの追跡可能性

(b)取得ニーズとの一貫性

(c)テスト計画性

(d)システム方式設計の実現可能性

(e)運用及び保守の実現可能性

問23 マッシュアップ(Mashup )

マッシュアップとは,既存の複数のサービスやコンテンツ等を

組み合わせることで新たなサービスを創出することである.

例えば,APIが公開された既存の複数のWeb サービスを組み合わせることで

複合的な機能をもった新たなWebサービスを短期間で開発することなどが可能となる.

問24 コールドアイル(cold aisle )

データセンタにおけるコールドアイルとは,

空調機からの冷気が通る部分のことである.

通常データセンタでは,空調機からの冷気とIT機器からの熱排気を分離するため

ラックの前面(吸気面)同士を向き合わせて配置する.

このとき,ラックの前面同士に挟まれた冷気の通る部分がコールドアイルである.

これに対し,ラックのIT機器からの熱排気が通る部分を

ホットアイル( hot aisle )という.

問25

【選択肢】

ア:ランツーランコントロール(R2R )とは,主に製造の分野において

入力データと出力結果のずれ等を認識し,補正を行っていくことで

生産性や品質を高める手法である.

H27 秋

問1 AES(Advanced Encryption Standard )

AESは,DES(Data Encryption Standard )の後継として米国政府が採用した

ブロック暗号方式である.

AESのブロック長は128ビットで,使用する鍵の長さは128,192,256ビットの

中から選択することができる.

段数(ラウンド数)は鍵長により10段,12段,14 段となる.

問3 ステートフルインスペクション

ステートフルインスペクションは,パケットフィルタリングを

拡張した方式である.

stateful(ステートフル)とは,個々のセッションの状態を管理して

常にその情報に基づいてフィルタリングを行うという意味であり,

受け付けたパケットをセッションの状態に照らし合わせて

通過させるか遮断させるかを判断する.

問6

ISO/IEC 15408を評価基準とする「IT セキュリティ評価及び認証制度」は,

IT関連製品や情報処理システムのセキュリティ品質を評価する.

対象となるのはOSアプリケーションプログラムなどのソフトウェアをはじめ

通信機器OA機器情報家電など,セキュリティ機能を備えた

全てのIT関連製品やそれらを組み合わせた一連の情報システムである.

問10

【選択肢】

ア:HTTP GET Flood 攻撃( Connection Flood 攻撃の一種)

HTTP GETコマンドを繰り返し送ることによって,攻撃対象のサーバに

コンテンツ送信の負荷をかける.

ウ:SYN Flood 攻撃

SYNパケットを大量に送ることによって,攻撃対象のサーバに

接続要求ごとに応答を返すための過大な負荷をかける.

エ:Connection Flood 攻撃

大量のTCPコネクションを確立することによって,攻撃対象のサーバに

接続を維持させ続けてリソースを枯渇させる.

問17 OAuth2.0

OAuth2.0は,信頼関係にある複数のサービス間でセキュアに認可情報を

やり取りする仕組み( API )を提供する.

OAuth2.0のAPIを提供しているサービスを「 OAuth Server 」と呼び,

本問ではWebサービス B が該当する.

一方,OAuth Serverが提供するAPIを利用するサービスを「 OAuth Client 」と呼び,

本問ではWebサービスAが該当する.

また,認可情報を付与する利用者を「 Resource Owner 」と呼び,

本問では利用者Cが該当する。

「Resource Owner 」である利用者Cの承認の下 「 OAuth Client 」である

WebサービスAがリソースDへの限定的なアクセス権限を取得しようとする際には

「 OAuth Server 」であるWebサービスBが利用者Cを認証した上で

Web サービスAに対してアクセストークンを発行する.

問18 MX(Mail Exchange)レコード

DNSMXレコードには,当該DNSサーバが管理するドメイン(ゾーン)

への電子メールを受け付けるサーバの名前が登録されている.

問19 TFTP(Trivial File Transfer Protocol )

TFTPは,ユーザ認証機能のない簡易なFTPでありUDPを用いる.

問22 リポジトリ

ソフトウェア開発におけるリポジトリ (倉庫,貯蔵庫)とは,

仕様書やプログラムテスト結果など,ソフトウェア開発や保守に関する

各種の成果物を格納し,一元管理するデータベースのことをいう.

成果物を一元管理することによって 開発・保守の作業効率を高めることができる.

参考

情報処理教科書 情報処理安全確保支援士 2023年版

H26 SC 復習

H26 春 セキスぺ 午前Ⅱ

問3 EDoS(Economic Denial of Sustainability)攻撃

EDoS攻撃とは,ストレージ容量やトラフィック量に応じて課金される

クラウドの特性を悪用し,クラウド利用企業の経済的な損失を狙って

リソースを大量消費させる攻撃である.

問5 TPM(Trusted Platform Module)

TPMとは,耐タンパ性に優れたセキュリティチップであり,

通常マザーボードに直付けする形で PC に搭載されている.

TPM は,暗号化に用いる鍵ペアの生成・格納,暗号化・復号処理の

実行などの機能をもつ.

問7 ポリモーフィック型ウイルス

ポリモー フィック型ウイルスとは,感染するごとに異なる暗号鍵を

用いて自身を暗号化することによってコードを変化させ,

パターンマッチング方式のウイルス対策ソフトで検知されないようにする

タイプのウイルスである.

問8 ICMP Flood攻撃(Ping Flood 攻撃)

*ICMP Flood攻撃**とは,ターゲットとなるサーバに対し,

ICMP echo request(ping コマンド)を大量に送り続けることにより,

当該サーバが接続されている回線を過負荷状態にして

正常なアクセスを妨害する攻撃である.

問9 IP スプーフィング(IP 詐称)攻撃

IP スプーフィング(IP 詐称)攻撃とは,偽の発信元IPアドレス

セットしたパケットを送ることで不正アクセスを試みる手口である.

過去には,インターネット側にいる攻撃者が,送信元IPアドレス

プライベートアドレスをセットしたパケットを送り付けることによって,

ファイアウォールのアクセス制限をくぐり抜けて内部ネットワークへの

侵入に成功したケースなどがあった.

このような攻撃に対しては,外部ネットワークから内部ネットワークへの

パケットの送信元 IPアドレスが,自組織の内部アドレス(プライベートアドレス)

であった場合には破棄するのが有効である.

問10

cookieにSecure属性をセットすると,HTTPS(HTTP over SSL/TLS)で

通信している場合のみ当該cookieを送信する.

これにより,パケット盗聴によってcookieが盗まれるのを防ぐことが可能となる.

問12

TCPポートに対するポートスキャンでは,対象ポートにSYNパケットを送り,

その応答結果が"SYN/ACK"であればポートが開いていると判定し,

"RST/ACK"であればポートが閉じていると判定する.

UDPポートに対するポートスキャンでは,対象ポートにUDPパケットを送り,

その結果,何の応答もなければポートが開いていると判定し,

"port unreachable"が返ってきた場合はポートが閉じていると判定する.

問13

【選択肢】

ア:EAP(PPP Extensible Authentication Protocol)

PPP の認証機能を強化・ 拡張したユーザー認証プロトコルであり,

IEEE 802.1X 規格を実装した標準的な認証プロトコルである.

イ:RADIUS(Remote Authentication Dial-In User Service)

ネットワーク利用者の認証と利用記録を一元的に行うシステムである.

ウ:SSID(Service Set ID)

同じ無線 LAN アクセスポイントに接続する通信端末を

グループ化するために設定された論理的な名称である.

問14 CWE(Common Weakness Enumeration)

CWE(共通脆弱性タイプ一覧)とは,ソフトウェアの脆弱性の種類を識別するための共通基準である.

CWEでは,SQLインジェクションクロスサイトスクリプティングなど,

脆弱性の種類(脆弱性タイ プ)の一覧を体系化して提供している.

問16

WAFのブラックリストには,Webアプリケーションに対する

攻撃の特徴を示す通信データのパターンを定義しておくことで,

攻撃を検出し,該当する通信を遮断するかまたは無害化する.

WAFのホワイトリストには,正常な通信データのパターンを定義しておくことで,

それに合致しない通信データを攻撃として検出する.

問19 SIP(Session Initiation Protocol)

SIPとは,VoIPにおいて,ユーザエージェント間のセッションの

確立,変更,切断を行うプロトコルである.

問20

インターネットVPNを実現するために用いられる技術としては,

IPsec(Internet Protocol Security)やSSL(Secure Socket Layer)が代表的だが,

ESP,AH などのプロ トコルを含むのは IPsec である.

AH(Authrntication Header) は,主に通信データの認証(メッセージ認証)のために使用される

プロトコルであり,通信データを暗号化する機能はない.

ESP(Encapsulating Security Payload)は,通信データの認証と暗号化の両方の機能を提供するプロトコルである.

問23 SOA(Service Oriented Architecture)

SOA(サービス指向アーキテクチャ)とは,業務の機能を

「サービス」という単位で実装し,それらを組み合わせることによって

システムを構築する考え方である.

「サービス」は,一つ又は複数のアプリケーションを

コンポーネント化したものであり,外部から呼び出すための

インターフェイスをもっている必要がある.


H26 秋 セキスぺ 午前Ⅱ

問1 OCSP(Online Certificate Status Protocol)

OCSPとは,ディジタル証明書の失効情報をリアルタイムで確認する仕組みである.

OCSPを実装したサーバをOCSPレスポンダ(OCSP サーバ)といい,

CA(Certification Authority:認証局)やVA(Validation Authority:証明書有効性検証局)が運営する.

クライアントはOCSPレスポンダに問い合わせることによって,

自力でCRL(Certificate Revocation List)を取得したり照合したりする

手間を省くことができる.

問2

クラウドサービス利用のための情報セキュリティマネジメントガイドライン

の「序文 0.1 一般」では以下のように記載がある.

クラウド利用者の視点から JIS Q 27002(実践のための規範)の

各管理策を再考し,クラウドコンピューティングを利用する

組織においてこの規格に基づいた情報セキュリティ対策が円滑に

行われることを目的として,このガイドラインを作成した」

問5 FIPS 140-2(Federal Information Processing Standardization 140-2)

FIPS 140-2(連邦情報処理規格 140-2)は,米国連邦政府の省庁等各機関が

利用する暗号モジュールに関するセキュリティ要件を規定した文書である.

問7 CVSS(Common Vulnerability Scoring System)

CVSS(共通脆弱性評価システム)は,IT 製品の脆弱性に対する

オープンで汎用的な評価手法であり,ベンダに依存しない共通の

評価方法を提供しており,用いる三つの基準は次のとおり.

・基本評価基準(Base Metrics)

脆弱性そのものの特性を評価する基準.

機密性,完全性,可用性に対する影響を評価し,

CVSS基本値(Base Score)を算出する.

・現状評価基準(Temporal Metrics)

脆弱性の現状の深刻度を評価する基準.

攻撃コードの出現有無や対策情報が利用可能であるかといった基準で評価し,

CVSS現状値(Temporal Score)を算出する.

・環境評価基準(Environmental Metrics)

製品利用者の利用環境も含め,最終的な脆弱性の深刻度を評価する基準.

攻撃による被害の大きさや対象製品の使用状況といった基準で評価し,

CVSS環境値(Environmental Score)を算出する.

問8

CRYPTREC(Cryptography Research and Evaluation Committees)とは,

電子政府推奨暗号の安全性を評価・監視し,

暗号技術の適切な実装法・運用法を調査・検討するプロジェクトであり,

電子政府」における調達のための推奨すべき暗号のリスト

(電子政府推奨 暗号リスト)を公表している.

【選択肢】

イ:NISC(内閣官房情報セキュリティセンター)

情報セキュリティ政策にかかる基本戦略の立案,官民における統一的,横断的な

情報セキュリティ対策の推進にかかる企画などを行う.

ウ:JIPDEC(一般財団法人日本情報経済社会推進協会)

組織の情報セキュリティマネジメントシステムについて評価し

認証する制度を運用する.

エ:JCMVP(暗号モジュール試験及び認証制度)

認証機関から貸与された暗号モジュール試験報告書作成支援ツールを

用いて暗号モジュールの安全性についての評価試験を行う.

問10 SAML(Security Assertion Markup Language)

SAML とは,異なる Web サーバ間において,

ユーザ ID・パスワード・公開鍵等の認証情報やアク セス制御情報,

属性情報等を安全に交換するためのプロトコルである.

XML関連の標準化団体であるOASIS(Organization for the Advancement of

Structured Information Standards)によって策定された.

SAMLでは,認証や認可に関する情報等を格納するXMLベースの

証明書(Assertion)の仕様や,Assertion を交換するためのプロトコル

標準化することでシングルサインオンのための基盤を提供している.

イ:SOAP(Simple Object Access Protocol)

XMLとHTTPなどをベースとしてお り,他のコンピュータ上にある

データやサービスを呼び出すためのプロトコルである.

ウ:XKMS(XML Key Management Specification)

XMLをベースとしてPKI(公 開鍵基盤)における鍵の登録,検証,失効などを

Webサービス上で行うプロトコルで ある.

エ:XML Signature(XML 署名)

XML文書にディジタル署名を行う技術仕様であ り,

Enveloped署名,Enveloping署名,Detached署名の三つがある。

問12 Smurf攻撃

Smurf 攻撃とは,最終的なターゲットホストの IP アドレスを

発信元アドレスとして偽装した ICMP 応答要求(ICMP echo request)を,

攻撃に加担させる(踏み台)ネットワーク セグメントの

ブロードキャストアドレスあてに送ることにより,

大量のICMP応答(ICMP echo reply)パケットを発生させ,

サービスを妨害する攻撃手法である.

問14 ディジタルフォレンジック

ディジタルフォレンジックス(コンピュータフォレンジックス)とは,

データの改ざんや不正アクセスなどコンピュータに関する犯罪の

法的な証拠性を明らかにするために,原因究明に必要な機器や

データ,ログなどを保全したり,収集・ 分析したりすることである.

問15

DKIM は,送信側SMTPサーバがメールヘッダに付与したディジタル署名

受信側SMTPサーバで検証することにより,発信元の正当性を確認する仕組みである.

そのため, あらかじめ送信側ドメインDNSサーバに正当なメールサーバの

公開鍵を登録しておく必要がある.

問16

EAP(PPP Extensible Authentication Protocol)は,IEEE 802.1X 規格に基づき,

PPPの認証機能を強化・拡張したユーザ認証プロトコルである.

EAPは,次に示すように様々な認証方式に対応している.

EAP-TLS

サーバとクライアント間で,ディジタル証明書による相互認証を行う方式.

認証成立後には,TLSのマスタシークレットをもとにクライアントごとに

異なる暗号鍵を生成・配布し, 定期的に変更するため,

無線 LAN のセキュリティを高めることができる.

EAP-TTLS(EAP Tunneled TLS)

ディジタル証明書によるサーバ認証を行ってEAPトンネルを確立後,

そのトンネル内で様々な方式を用いてクライアントを認証する.

EAP-PEAP(Protected EAP)

認証の仕組みは EAP-TTLSとほぼ同じだが,

クライアントの認証はEAP準拠の方式に限られる.

EAP-MD5

MD5 によるチャレンジレスポンス方式によってパスワードを暗号化し,

クライアントの認証のみを行う.

問18 DNSSEC(DNS Security Extensions)

DNSSECは,DNS のセキュリティ拡張方式であり,

次のような機能によって応答レコードの正当性と完全性を検証する.

・名前解決要求に対して応答を返すDNSサーバが,

自身の秘密鍵を用いて応答レコードにディジタル署名を付加して送信する.

・応答を受け取った側は,応答を返したDNSサーバの公開鍵を用いて

ディジタル署名を検証する.

問19

ア:CHAP(Challenge Handshake Authentication Protocol)

PPP のリンク確立後, チャレンジレスポンス方式で認証するプロトコルである.

イ:PAP(Password Authentication Protocol)

CHAP とは異なり,ユーザ ID とパスワードをそのまま暗号化せずに送信して認証するプロトコルである.

問20

RFC 5322「Internet Message Format」の「2.1. General Description」中に

次の記述があるように,空行の前後でヘッダと本体を分ける.

The body is simply a sequence of characters that follows the header section and is separated

from the header section by an empty line (i.e., a line with nothing preceding the CRLF).

<訳>

本体はヘッダセクションに続く単純な文字の連続であり,空行(CRLF の前の何もない行)で

ヘッダセクションと分離される。

問22

ドライバは,上位モジュールの代わりに

テスト対象モジュールに引数を渡して呼び出す.

スタブは,下位モジュールの代わりとなって

テスト対象モジュールから呼び出される.

問23 DTCP-IP(Digital Transmission Content Protection over Internet Protocol)

DTCP-IPは,著作 権保護されたコンテンツを伝送するためのプロトコルである.

DLNA(Digital Living Network Alliance)とともに使用され,接続する機器間で相互認証し,

コンテンツ保護が行える場合に録画再生を可能にする.

問24

JIS Q 20000-1:2012「サービスマネジメントシステム要求事項」では,

「3 用語及び定 義」「3.10 インシデント」において,

「サービスに対する計画外の中断,サービスの品質の低下,

又は顧客へのサービスにまだ影響していない事象」と定義している.


参考

情報処理教科書 情報処理安全確保支援士 2023年版

H25 SC 復習

H25 秋 セキスぺ 午前Ⅱ

問1 RLO(Right-to-Left Override)

RLOとは,ファイル名の文字の並びを右から左に向かって読むように

変更する制御文字のことである.

RLOを利用してファイル名の拡張子を偽装することで,

危険なファイルを安全な別な種類のファイルに見せかけて開かせる攻撃手口がある.

問2 XMLディジタル署名

XMLディジタル署名とは,XML文書にディジタル署名を行う技術である.

署名の対象となるXML文書全体だけでなく,

文書中の指定したエレメントに対しても署名することができる.


XML署名には以下3種類がある.

1.Enveloped署名

署名対象オブジェクト内部に署名が置かれる.

2.Enveloping署名

署名内部に署名対象オブジェクトが置かれる.

3.Detached署名

署名対象オブジェクトと署名は独立し,オブジェクトはURIで参照できる.


【選択肢】

イ:エンベローピング署名

上述.

ウ:CMS

CMS(Cryptographic Message Syntax)は,署名形式の1つ.

エ:ASN.1

ASN.1( Abstract Syntax Notation One )は,データ構造や通信プロトコル等を

記述する記法であり,CMSS/MIME SSL等で用いられている.

問4 WPA2(Wi Fi Protected Access Two)

WPA2では,暗号化アルゴリズムにAES(Advanced Encryption Standard )を

採用し,暗号方式はCCMPを使用する.

問5 CVE(Common Vulnerabilities and Exposures)

CVE(共通脆弱性識別子)は,製品の脆弱性を識別するための識別子である.

問6 サイドチャネル攻撃

サイドチャネル攻撃とは,耐タンパ性を備えたICカードTPMなどに対し物理的に

破壊することなく外部から観察可能な情報や外部から操作可能な手段を利用して

暗号鍵や復号鍵などの機密情報を奪取する手法である.

タイミング攻撃は,サイドチャネル攻撃の一種であり,

暗号化や復号に要する時間の差異を精密に測定することにより

用いられている鍵を推測する手法である.

問7 TEMPEST(Transient ElectroMagnetic Pulse Surveillance Technology)

TEMPESTとは,パソコンのディスプレイ装置や接続ケーブルなどから

放射される微弱な電磁波を傍受しそれを解析することによって

入力された文字や画面に表示された情報を盗む攻撃手法である.

問12 SPF(Sender Policy Framework)

SPFとは,電子メールの送信元ドメインDNS サーバに

あらかじめ正当な SMTP サーバのIP アドレス( SPF レコード)を

登録しておくことにより送信元を詐称した電子メールを拒否する仕組みである.

問14 DNS amp(DNSリフレクション)

DNS ampとは,DNS サーバ(キャッシュサーバ)に対して発信元アドレスを

攻撃のターゲットとなるホストのアドレスに詐称しかつ応答メッセージのサイズが

大きくなる(増幅される)クエリを送ることによりその応答メッセージによって

ターゲットホストをサービス不能状態に陥らせる攻撃である.

DNS ampの対策としては,DNS サーバをキャッシュサーバと

コンテンツサーバに分離し,キャッシュサーバはインターネット側からの

リクエストには応じないようにするのが有効である。

問18 リンクアグリゲーション

リンクアグリゲーションとは,コンピュータとスイッチングハブ

(レイヤ2スイッチ)の間,もしくは2台のスイッチングハブの間を

接続する複数の物理回線を論理的に1本の回線にまとめる技術である.

【選択肢】

ア:スパニングツリー

ループ状態になったネットワークにおいて,平常時は通信経路の一部を

あえて使用不可状態にすることでパケットが無限に循環するのを防止する技術である.

平常時の経路に障害が発生した場合には,

使用不可状態を自動的に解除して通信を再開する。

イ:ブリッジ

データリンク層(第2層)でパケットの中継を行う装置である。

ウ:マルチホーミング

負荷分散や耐障害性の向上を目的として 複数の経路( ISP )を

使ってインターネットなどの外部ネットワークに接続することである。

問19 IMAP4 (Internet Message Access Protocol)

IMAP4は,利用者端末がサーバから電子メールを受信する際に

用いられるプロトコルである.

選択したメールだけを利用者端末へ転送する機能,

サーバ上の電子メールを検索する機能,

電子メールのヘッダのみを取り出す機能などがある.

【選択肢】

イ:MIME Multipurpose Internet Mail Extension )

電子メールで画像,音声,動画などのバイナリデータを扱うための拡張規格である.

ウ:POP3 Post Office Protocol )

利用者端末がサーバから電子メールを受信するために使用する

プロトコルであるが,選択したメールだけを利用者端末へ転送する機能や

サーバ上のメールを検索する機能などはない.

エ:SMTP Simple Mail Transfer Protocol )

電子メールを送信するために使用するプロトコルである.

問20 サブミッションポート

サブミッションポートは,迷惑メール対策としてSMTP ポートの代わりに

投稿専用のポートとして使用する.

ボットなどが迷惑メールを送信する際にISP(Internet Services Provider )の

メールサーバを経由せず直接送信先のメールサーバの25番ポートに接続して

SMTPコネクションを確立する手口が用いられたため,

これをOP25B(Outbound Port25 Blocking )により

遮断する対策が行われるようになった.

OP25BとはISPが動的IPアドレスを割り当てたネットワークから

当該ISPのメールサーバを経由せずにISP管理外のネットワーク(外向き)に

直接出ていく25番ポート宛のパケット(SMTP )を遮断する方式である.

OP25Bが設定されている環境で正当な利用者が自社のメールサーバなどと

直接SMTPコネクションを確立してメールを送信する必要がある場合には

25番ポートではなくサブミッションポートを使用する必要がある.

サブミッションポートへアクセスしてきたユーザをSMTP AUTHによって

認証することでボットなどからの投稿を受け付けないようにするほか

TLSによって通信を秘匿化することも可能である( Submission over TLS ).

問21 分散データベースシステム

分散データベースシステムにおいては,データベースが分散さ れていることを

ユーザが意識することなく利用できる環境を提供する必要がある.

これを分散データベースシステムの透過性という.

分割に対する透過性とは, 一つの表が複数のサイトに分割して格納されていても

ユーザがそれを意識することなく利用できることである.

【選択肢】

ア:移動に対する透過性

データの格納サイトが変更されても,

利用者のアプリケーションや操作方法に影響がないこと.

イ:重複に対する透過性

同一のデータが複数のサイトに格納されていても,

利用者はそれを意識せずに利用できること.

エ:位置に対する透過性 の説明である。

利用者がデータベースの位置を意識せずに利用できること.

問22 フールプルーフ

フールプルーフとは,不特定多数のユーザが操作しても誤動作などが

起こりにくいように設計することである.

【選択肢】

イ:フェールセーフ

システムに障害が発生した場合に安全な方向に向かうように制御することである.

ウ:フェールソフト

システムに障害が発生した場合に 機能を縮退させて運用を継続することである.

エ:フォールトトレラント

機器を多重化することにより 高信頼性,高可用性を確保することである.

問23

要求が明確になっており全機能を一斉に開発するのであれば

ウォーターフォールモデルが適している.

簡易なシステムを実装して動作を評価しながら要求を明確にしその後全機能を

一斉に開発するのは プロトタイピングモデルである.

最初に要求が確定した部分だけを開発し,その後に要求が確定した部分を

逐次追加していくのは 進化的モデルである.

問24

ITサービスマネジメントの問題管理プロセスは,インシデントをはじめ

IT サービスにおける問題の根本原因を追究して解決するとともに

再発防止策を策定することを目的としている.

インシデントにつながる可能性のある事象や予兆について管理し,

問題の発生を未然に防ぐことも重要な役割である.

プロアクティブな活動とは,問題の発生に備え事前に行う活動のことである.

問25

SaaS(Software as a Service )は,クラウドコンピューティングの提供形態の

一つであり,クラウドサービス事業者がアプリケーションを提供し

ユーザ企業は必要なアプリケーションを選択して利用する.

SaaSの利用者環境からシステム監査人が評価できるのは

アプリケーションの利用者 ID である.

参考

情報処理教科書 情報処理安全確保支援士 2023年版

IoTシステム技術検定(中級)を受けました

IoTシステム技術検定(中級)

MCPCの公式サイトによると,IoTシステム技術検定とは以下のように説明されています.

IoTシステム技術検定は、IoTが産業と社会に新たなイノベーションをもたらすことが期待されるなか、IoTビジネスに関わる方々を対象に設けられた制度です。IoTシステムの企画、構築、活用、運用改善をより効果的、効率的に行い更に高付加価値化の創造を生み出すために必要となる基本知識を習得していただくこと、更にこの分野における優れた技術者として活躍していただくことを狙いとしています。検定は基礎、中級、上級の3段階レベルで認定します。

引用元:MCPC「MCPCの検定 検定試験の概要

URL:https://www.mcpc-jp.org/iotkentei/gaiyou.html

中でも,中級の位置づけは以下です.

IoTシステム全体を俯瞰することができ顧客の要求または提案の要点を的確に把握でき、システム構成の概要が描けます。

なぜ受けたか?

友達が受けていたので.以上...

まぁ仕事上,知っておいて損はしないのでノリと自己研鑽で受けました.

結構勉強になったことも多かったのでためになったと思います.

手応え

結構あります.

先人たちの,こんなかんじの問題出たよーって記事のおかげで,かなり楽に勉強できました.一番下に参考で載せておきます.公式の教科書は無駄に詳しい割には試験内容はそこまで深掘りされないのでとても助かりました.

どんな問題が出たか?

これは公開していいのかはわかりませんが,記憶の限りで問題の雰囲気を書いていきます.(ダメそうなら消す.)

アジャイル開発


・フィールド領域とインフラストラクチャ領域の連携方法

・IoTゲートウェイの機能

・IoTデバイスとIoTゲートウェイの接続形態

OSGi

・PaaS,BaaS

・IoTサービスプラットフォーム

垂直統合型の性質

・共通機能はなにか

・逐次収集と区間集約収集

アルゴリズム的な話は好きなのでしっかり覚えてました.

・遠隔制御


・RSBとNoSQL(整合性の観点)

・ストリーミング処理

2択に絞ってからが全くわからず.

・CEP

・統計解析の予測と分類

機械学習強化学習,深層学習

機械学習周りはしっかり詰めた方がいいです.

・データ前処理

機械学習の説明可能性


・電波特性

・免許不要の無線局

よくわからない.

・ネットワークトポロジ

・IoTエリアネットワークの無線種別

・隠れ端末問題

RFID

・LPWAのセルラー

・5G

・ローカル5G

・CoAP,MQTT,Websocket


・IoTデバイスは組み込み型/独立型がある

・センサ(各センサのざっくりした説明)

・光センサ

・超音波センサ

電波特性を覚えてたので楽でした.

・バイオセンサ

知るか

・センサの構成

・画像センサ

・MEMS


・プロトタイピング開発の目的

CSVXMLJSONのメリット/デメリット

・GPIO,シリアルポート(UART,I2C,SPI)

知るか.なんやそれ


・セーフティ設計

・機密性,完全性,可用性

フールプルーフフォールトトレラント

これはほぼ100%出題されると思った方がいいです.

・パスワードクラック

マルウェア対策

選択肢全部正しかった.(多分それが正解)

・ICチップ認証/生体認証

・デジタル署名

・個人情報保護

・サイバーセキュリティ基本法

選択肢全部正しかった.(多分それが正解)


・IoTの契約形態

サブスク,レベニューシェアフリーミアムが出た気がします.

・匿名加工情報

参考

MCPCの検定 検定試験の概要

https://www.mcpc-jp.org/iotkentei/gaiyou.html

IoTシステム技術検定中級 テキスト第2版抜粋 音声読み上げ用

https://qiita.com/sxnxhxrxkx/items/bda596a4a6abc2504385

【MCPC】第6回IoTシステム技術検定のうろ覚え過去問

https://www.gg-sikau.com/?p=325