H26 春 セキスぺ 午前Ⅱ

問3 EDoS(Economic Denial of Sustainability)攻撃

EDoS攻撃とは，ストレージ容量やトラフィック量に応じて課金される

クラウドの特性を悪用し，クラウド利用企業の経済的な損失を狙って

リソースを大量消費させる攻撃である．

問5 TPM(Trusted Platform Module)

TPMとは，耐タンパ性に優れたセキュリティチップであり，

通常マザーボードに直付けする形で PC に搭載されている．

TPM は，暗号化に用いる鍵ペアの生成・格納，暗号化・復号処理の

実行などの機能をもつ．

問7 ポリモーフィック型ウイルス

ポリモー フィック型ウイルスとは，感染するごとに異なる暗号鍵を

用いて自身を暗号化することによってコードを変化させ，

パターンマッチング方式のウイルス対策ソフトで検知されないようにする

タイプのウイルスである．

問8 ICMP Flood攻撃(Ping Flood 攻撃)

*ICMP Flood攻撃**とは，ターゲットとなるサーバに対し，

ICMP echo request(ping コマンド)を大量に送り続けることにより，

当該サーバが接続されている回線を過負荷状態にして

正常なアクセスを妨害する攻撃である．

問9 IP スプーフィング(IP 詐称)攻撃

IP スプーフィング(IP 詐称)攻撃とは，偽の発信元IPアドレスを

セットしたパケットを送ることで不正アクセスを試みる手口である．

過去には，インターネット側にいる攻撃者が，送信元IPアドレスに

プライベートアドレスをセットしたパケットを送り付けることによって，

ファイアウォールのアクセス制限をくぐり抜けて内部ネットワークへの

侵入に成功したケースなどがあった．

このような攻撃に対しては，外部ネットワークから内部ネットワークへの

パケットの送信元 IPアドレスが，自組織の内部アドレス(プライベートアドレス)

であった場合には破棄するのが有効である．

問10

cookieにSecure属性をセットすると，HTTPS(HTTP over SSL/TLS)で

通信している場合のみ当該cookieを送信する．

これにより，パケット盗聴によってcookieが盗まれるのを防ぐことが可能となる．

問12

TCPポートに対するポートスキャンでは，対象ポートにSYNパケットを送り，

その応答結果が"SYN/ACK"であればポートが開いていると判定し，

"RST/ACK"であればポートが閉じていると判定する．

UDPポートに対するポートスキャンでは，対象ポートにUDPパケットを送り，

その結果，何の応答もなければポートが開いていると判定し，

"port unreachable"が返ってきた場合はポートが閉じていると判定する．

問13

【選択肢】

ア：EAP(PPP Extensible Authentication Protocol)

PPP の認証機能を強化・ 拡張したユーザー認証プロトコルであり，

IEEE 802.1X 規格を実装した標準的な認証プロトコルである．

イ：RADIUS(Remote Authentication Dial-In User Service)

ネットワーク利用者の認証と利用記録を一元的に行うシステムである．

ウ：SSID(Service Set ID)

同じ無線 LAN アクセスポイントに接続する通信端末を

グループ化するために設定された論理的な名称である．

問14 CWE(Common Weakness Enumeration)

CWE(共通脆弱性タイプ一覧)とは，ソフトウェアの脆弱性の種類を識別するための共通基準である．

CWEでは，SQLインジェクション，クロスサイトスクリプティングなど，

脆弱性の種類(脆弱性タイ プ)の一覧を体系化して提供している．

問16

WAFのブラックリストには，Webアプリケーションに対する

攻撃の特徴を示す通信データのパターンを定義しておくことで，

攻撃を検出し，該当する通信を遮断するかまたは無害化する．

WAFのホワイトリストには，正常な通信データのパターンを定義しておくことで，

それに合致しない通信データを攻撃として検出する．

問19 SIP(Session Initiation Protocol)

SIPとは，VoIPにおいて，ユーザエージェント間のセッションの

確立，変更，切断を行うプロトコルである．

問20

インターネットVPNを実現するために用いられる技術としては，

IPsec(Internet Protocol Security)やSSL(Secure Socket Layer)が代表的だが，

ESP，AH などのプロ トコルを含むのは IPsec である．

AH(Authrntication Header) は，主に通信データの認証(メッセージ認証)のために使用される

プロトコルであり，通信データを暗号化する機能はない．

ESP(Encapsulating Security Payload)は，通信データの認証と暗号化の両方の機能を提供するプロトコルである．

問23 SOA(Service Oriented Architecture)

SOA(サービス指向アーキテクチャ)とは，業務の機能を

「サービス」という単位で実装し，それらを組み合わせることによって

システムを構築する考え方である．

「サービス」は，一つ又は複数のアプリケーションを

コンポーネント化したものであり，外部から呼び出すための

インターフェイスをもっている必要がある．

H26 秋 セキスぺ 午前Ⅱ

問1 OCSP(Online Certificate Status Protocol)

OCSPとは，ディジタル証明書の失効情報をリアルタイムで確認する仕組みである．

OCSPを実装したサーバをOCSPレスポンダ(OCSP サーバ)といい，

CA(Certification Authority：認証局)やVA(Validation Authority：証明書有効性検証局)が運営する．

クライアントはOCSPレスポンダに問い合わせることによって，

自力でCRL(Certificate Revocation List)を取得したり照合したりする

手間を省くことができる．

問2

「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」

の「序文 0.1 一般」では以下のように記載がある．

「クラウド利用者の視点から JIS Q 27002(実践のための規範)の

各管理策を再考し，クラウドコンピューティングを利用する

組織においてこの規格に基づいた情報セキュリティ対策が円滑に

行われることを目的として，このガイドラインを作成した」

問5 FIPS 140-2(Federal Information Processing Standardization 140-2)

FIPS 140-2(連邦情報処理規格 140-2)は，米国連邦政府の省庁等各機関が

利用する暗号モジュールに関するセキュリティ要件を規定した文書である．

問7 CVSS(Common Vulnerability Scoring System)

CVSS(共通脆弱性評価システム)は，IT 製品の脆弱性に対する

オープンで汎用的な評価手法であり，ベンダに依存しない共通の

評価方法を提供しており，用いる三つの基準は次のとおり．

・基本評価基準(Base Metrics)

脆弱性そのものの特性を評価する基準．

機密性，完全性，可用性に対する影響を評価し，

CVSS基本値(Base Score)を算出する．

・現状評価基準(Temporal Metrics)

脆弱性の現状の深刻度を評価する基準．

攻撃コードの出現有無や対策情報が利用可能であるかといった基準で評価し，

CVSS現状値(Temporal Score)を算出する．

・環境評価基準(Environmental Metrics)

製品利用者の利用環境も含め，最終的な脆弱性の深刻度を評価する基準．

攻撃による被害の大きさや対象製品の使用状況といった基準で評価し，

CVSS環境値(Environmental Score)を算出する．

問8

CRYPTREC(Cryptography Research and Evaluation Committees)とは，

電子政府推奨暗号の安全性を評価・監視し，

暗号技術の適切な実装法・運用法を調査・検討するプロジェクトであり，

「電子政府」における調達のための推奨すべき暗号のリスト

(電子政府推奨 暗号リスト)を公表している．

【選択肢】

イ：NISC(内閣官房情報セキュリティセンター)

情報セキュリティ政策にかかる基本戦略の立案，官民における統一的，横断的な

情報セキュリティ対策の推進にかかる企画などを行う．

ウ：JIPDEC(一般財団法人日本情報経済社会推進協会)

組織の情報セキュリティマネジメントシステムについて評価し

認証する制度を運用する．

エ：JCMVP(暗号モジュール試験及び認証制度)

認証機関から貸与された暗号モジュール試験報告書作成支援ツールを

用いて暗号モジュールの安全性についての評価試験を行う．

問10 SAML(Security Assertion Markup Language)

SAML とは，異なる Web サーバ間において，

ユーザ ID・パスワード・公開鍵等の認証情報やアク セス制御情報，

属性情報等を安全に交換するためのプロトコルである．

XML関連の標準化団体であるOASIS(Organization for the Advancement of

Structured Information Standards)によって策定された．

SAMLでは，認証や認可に関する情報等を格納するXMLベースの

証明書(Assertion)の仕様や，Assertion を交換するためのプロトコルを

標準化することでシングルサインオンのための基盤を提供している．

イ：SOAP(Simple Object Access Protocol)

XMLとHTTPなどをベースとしてお り，他のコンピュータ上にある

データやサービスを呼び出すためのプロトコルである．

ウ：XKMS(XML Key Management Specification)

XMLをベースとしてPKI(公 開鍵基盤)における鍵の登録，検証，失効などを

Webサービス上で行うプロトコルで ある．

エ：XML Signature(XML 署名)

XML文書にディジタル署名を行う技術仕様であ り，

Enveloped署名，Enveloping署名，Detached署名の三つがある。

問12 Smurf攻撃

Smurf 攻撃とは，最終的なターゲットホストの IP アドレスを

発信元アドレスとして偽装した ICMP 応答要求(ICMP echo request)を，

攻撃に加担させる(踏み台)ネットワーク セグメントの

ブロードキャストアドレスあてに送ることにより，

大量のICMP応答(ICMP echo reply)パケットを発生させ，

サービスを妨害する攻撃手法である．

問14 ディジタルフォレンジックス

ディジタルフォレンジックス(コンピュータフォレンジックス)とは，

データの改ざんや不正アクセスなどコンピュータに関する犯罪の

法的な証拠性を明らかにするために，原因究明に必要な機器や

データ，ログなどを保全したり，収集・ 分析したりすることである．

問15

DKIM は，送信側SMTPサーバがメールヘッダに付与したディジタル署名を

受信側SMTPサーバで検証することにより，発信元の正当性を確認する仕組みである．

そのため， あらかじめ送信側ドメインのDNSサーバに正当なメールサーバの

公開鍵を登録しておく必要がある．

問16

EAP(PPP Extensible Authentication Protocol)は，IEEE 802.1X 規格に基づき，

PPPの認証機能を強化・拡張したユーザ認証プロトコルである．

EAPは，次に示すように様々な認証方式に対応している．

・EAP-TLS

サーバとクライアント間で，ディジタル証明書による相互認証を行う方式．

認証成立後には，TLSのマスタシークレットをもとにクライアントごとに

異なる暗号鍵を生成・配布し， 定期的に変更するため，

無線 LAN のセキュリティを高めることができる．

・EAP-TTLS(EAP Tunneled TLS)

ディジタル証明書によるサーバ認証を行ってEAPトンネルを確立後，

そのトンネル内で様々な方式を用いてクライアントを認証する．

・EAP-PEAP(Protected EAP)

認証の仕組みは EAP-TTLSとほぼ同じだが，

クライアントの認証はEAP準拠の方式に限られる．

・EAP-MD5

MD5 によるチャレンジレスポンス方式によってパスワードを暗号化し，

クライアントの認証のみを行う．

問18 DNSSEC(DNS Security Extensions)

DNSSECは，DNS のセキュリティ拡張方式であり，

次のような機能によって応答レコードの正当性と完全性を検証する．

・名前解決要求に対して応答を返すDNSサーバが，

自身の秘密鍵を用いて応答レコードにディジタル署名を付加して送信する．

・応答を受け取った側は，応答を返したDNSサーバの公開鍵を用いて

ディジタル署名を検証する．

問19

ア：CHAP(Challenge Handshake Authentication Protocol)

PPP のリンク確立後， チャレンジレスポンス方式で認証するプロトコルである．

イ：PAP(Password Authentication Protocol)

CHAP とは異なり，ユーザ ID とパスワードをそのまま暗号化せずに送信して認証するプロトコルである．

問20

RFC 5322「Internet Message Format」の「2.1. General Description」中に

次の記述があるように，空行の前後でヘッダと本体を分ける．

The body is simply a sequence of characters that follows the header section and is separated

from the header section by an empty line (i.e., a line with nothing preceding the CRLF).

<訳>

本体はヘッダセクションに続く単純な文字の連続であり，空行(CRLF の前の何もない行)で

ヘッダセクションと分離される。

問22

ドライバは，上位モジュールの代わりに

テスト対象モジュールに引数を渡して呼び出す．

スタブは，下位モジュールの代わりとなって

テスト対象モジュールから呼び出される．

問23 DTCP-IP(Digital Transmission Content Protection over Internet Protocol)

DTCP-IPは，著作 権保護されたコンテンツを伝送するためのプロトコルである．

DLNA(Digital Living Network Alliance)とともに使用され，接続する機器間で相互認証し，

コンテンツ保護が行える場合に録画再生を可能にする．

問24

JIS Q 20000-1:2012「サービスマネジメントシステム要求事項」では，

「3 用語及び定 義」「3.10 インシデント」において，

「サービスに対する計画外の中断，サービスの品質の低下，

又は顧客へのサービスにまだ影響していない事象」と定義している．

参考

情報処理教科書 情報処理安全確保支援士 2023年版