情報系のべんきょう

情報系のノートを作ります.ビギナー向けでは無いです.

H27 SC 復習

SC

H27 春

問1 EV(Extended Validation)SSL 証明書

EV SSL 証明書とはCAとWebブラウザベンダで構成する業界団体である

「 CA/Browser フォーラム」が定めたWebサーバ用のディジタル証明書である.

従来のディジタル証明書よりも発行に当たっての審査基準を

厳しく設定しているためEV証明書を所有するサイトは通常の証明書を

所有するサイトよりも信頼性が高いといえる.

サブジェクトフィールドは認証の対象となる組織の情報が記載されるフィールド

であり,Organizational NameにはWebサイト運営団体の正確な名称が記載される.

問2 EAP-TLS

EAP-TLSは,サーバとクライアント間でディジタル証明書による

相互認証を行う方式である.

EAPはPPPの認証機能を強化・拡張したユーザ認証プロトコルであり

無線LAN環境のセキュリティを強化する技術として普及しているほか

有線LANにおいてもクライアントの正当性や安全性を認証する

技術として用いられている.

問4 VA(Validation Authority)

VA(証明書有効性検証局)とは,次のような役割を担っているシステムや機関である.

・ディジタル証明書の失効情報の集中管理

・CAの公開鍵で署名を検証

・ディジタル証明書内に記載された有効期限の確認

・CRLの確認

・ディジタル証明書の失効状態についての問合せへの応答

【選択肢】

イ:CA

ディジタル証明書を作成するためにディジタル署名をする.

ウ:AA(Attribute Authority :属性認証局

CAに代わって属性証明書を発行する.

エ:RA(Registration Authority :登録局)

本人確認を行い,ディジタル署名書の発行を指示する.

問8

CRYPTREC(Cryptography Research and Evaluation Committees )とは,

電子政府推奨暗号の安全性を評価・監視し 暗号技術の適切な実装法・運用法を

調査・検討するプロジェクトであり 「電子政府」における調達のための

推奨すべき暗号のリスト 電子政府推奨暗号リストを公表している.

電子政府推奨暗号リストとは,CRYPTREC によって安全性及び実装性能が確認された

暗号技術のうち市場における利用実績が十分であるか今後の普及が

見込まれると判断され当該技術の利用を推奨するもののリストである.

問9 IPSec

IPsecは,次のような特徴をもっている.

・IPパケットをインターネット層でカプセル化し暗号化する方式である.

・上位層のアプリケーションに依存せずに暗号化通信が可能であるため

ユーザは暗号化通信を行っていることを意識する必要がない.

IPv4IPv6 のどちらでも利用することができ,IPv6ではIPsecの実装が必須である.

・暗号化アルゴリズムを特定せずDES,3DESなど様々な暗号化アルゴリズム

利用できるようになっている.

IPsecでは,パケットを暗号化する対象部分によってトランスポートモードと

トンネルモードという二つの方式が提供されている.

・トランスポートモードはIPパケットのデータ部分のみを暗号化する方式である.

・トンネルモードはIPへッダとデータ部分をまとめてカプセル化して

暗号化する方式である.

IPsecにおける鍵交換プロトコルとしてはISAKMP/Oakley(ISAKMP:Internet

Security Association and Key Management Protocol )方式を使った

IKE(Internet Key Exchange )が標準となっておりポート番号500/UDPを使用する.

IPsecにおける代表的な通信プロトコルとして

AH(Authentication Header:認証ヘッダ)と

ESP(Encapsulating Security Payload :暗号化ペイロード)がある.

・AHは,主にメッセージ認証のために使用されるプロトコルであり

通信データを暗号化する機能はない.

・ESPは,メッセージ認証と暗号化の両方の機能を提供するプロトコルである.

問10 NTPリフレクター攻撃

NTP リフレクター攻撃とは,NTPを使った増幅型の DDoS 攻撃であり,

NTPサーバが過去にやりとりした600件のアドレスを回答する

「monlist」コマンド(状態確認機能)により増幅率を数十倍から数百倍にまで

高めるという手口が使われている.

そのため,その後リリースされたNTPのサーバプログラムでは

このコマンドを脆弱であるとして無効にしている.

問14 DNSSEC(DNS Security Extensions )

DNSSECは,DNSのセキュリティ拡張方式であり,次のような機能によって

権威DNS サーバ(コンテンツサーバ)の応答レコードの正当性と完全性を検証する.

・名前解決要求に対して応答を返す権威DNS サーバが,自身の秘密鍵を用いて

応答したリソースレコードにディジタル署名を付加して送信する.

・応答を受け取った側は,応答を返した権威 DNS サーバの公開鍵を用いて

リソースレコードが改ざんされていないことを検証する.

問16 SMTP AUTH

SMTP AUTHは,SMTPにユーザ認証機能を追加した方式であり,

クライアントがSMTPサーバにアクセスしたときにユーザアカウントと

パスワードによる利用者認証を行うことで,許可された利用者だけから

電子メールの送信を受け付ける.

【選択肢】

ア:OP25B(Outbound Port25 Blocking )

ウ:POP before SMTP

エ:SPF( Sender Policy Framework )

問18

TCPヘッダには,送信元ポート番号,宛先ポート番号,シーケンス番号,

確認応答番号,ウィンドウサイズなどの情報が含まれる.

問20

HTTPのヘッダ部にはリクエスト/レスポンスの内容に応じた情報が入る.

主なヘッダ情報として次のようなものがある.

・Authorization:認証方式や認証情報(リクエスト時)

Refererリンク元の URL 情報(リクエスト時)

・User Agent:ブラウザの名称やバージョン情報(リクエスト時)

Cookie:クライアントが Web サーバに提示するクッキー(リクエスト時)

・Content Type:送信するファイルや文字セットの種類(リクエスト/レスポンス時)

・Server:Web サーバのプログラム名やバージョン情報(レスポンス時)

・Set Cookie:Web サーバがクライアントにセットするクッキー(レスポンス時)

・Location :次に参照(リダイレクト)させる先の URI 情報( レスポンス時)

問21 2相コミット

2相コミットは,コミットを開始する一人の調停者と複数の参加者によって行われる.

まず,調停者が参加者全員に対してコミットの可否を問い合わせる.

その結果,すべての参加者が了承した場合はコミットが成立し,

調停者はコミットの決定を参加者に送る.

一方,一つでも拒否があればコミットは成立せず,

調停者はロールバックの決定を参加者に送る.

調停者が参加者からの了承,拒否を受信後,決定内容(コミット ロールバック)を

参加者に送る前に障害が発生すると,その回復処理が終わらない限り

参加者全員がコミットもロールバックも行えない事態が起こる可能性がある.

問22

共通フレームは,ソフトウェアの企画から設計・開発・運用・保守・廃棄までの

ライフサイクルプロセス全般に対して,共通の物差し(フレーム)を

規定することによってソフトウェアの取得者と供給者間の取引を

明確化することを目的としている.

共通フレームによればシステム要件の評価は次の基準を考慮して行うこととされている.

(a)取得ニーズへの追跡可能性

(b)取得ニーズとの一貫性

(c)テスト計画性

(d)システム方式設計の実現可能性

(e)運用及び保守の実現可能性

問23 マッシュアップ(Mashup )

マッシュアップとは,既存の複数のサービスやコンテンツ等を

組み合わせることで新たなサービスを創出することである.

例えば,APIが公開された既存の複数のWeb サービスを組み合わせることで

複合的な機能をもった新たなWebサービスを短期間で開発することなどが可能となる.

問24 コールドアイル(cold aisle )

データセンタにおけるコールドアイルとは,

空調機からの冷気が通る部分のことである.

通常データセンタでは,空調機からの冷気とIT機器からの熱排気を分離するため

ラックの前面(吸気面)同士を向き合わせて配置する.

このとき,ラックの前面同士に挟まれた冷気の通る部分がコールドアイルである.

これに対し,ラックのIT機器からの熱排気が通る部分を

ホットアイル( hot aisle )という.

問25

【選択肢】

ア:ランツーランコントロール(R2R )とは,主に製造の分野において

入力データと出力結果のずれ等を認識し,補正を行っていくことで

生産性や品質を高める手法である.

H27 秋

問1 AES(Advanced Encryption Standard )

AESは,DES(Data Encryption Standard )の後継として米国政府が採用した

ブロック暗号方式である.

AESのブロック長は128ビットで,使用する鍵の長さは128,192,256ビットの

中から選択することができる.

段数(ラウンド数)は鍵長により10段,12段,14 段となる.

問3 ステートフルインスペクション

ステートフルインスペクションは,パケットフィルタリングを

拡張した方式である.

stateful(ステートフル)とは,個々のセッションの状態を管理して

常にその情報に基づいてフィルタリングを行うという意味であり,

受け付けたパケットをセッションの状態に照らし合わせて

通過させるか遮断させるかを判断する.

問6

ISO/IEC 15408を評価基準とする「IT セキュリティ評価及び認証制度」は,

IT関連製品や情報処理システムのセキュリティ品質を評価する.

対象となるのはOSアプリケーションプログラムなどのソフトウェアをはじめ

通信機器OA機器情報家電など,セキュリティ機能を備えた

全てのIT関連製品やそれらを組み合わせた一連の情報システムである.

問10

【選択肢】

ア:HTTP GET Flood 攻撃( Connection Flood 攻撃の一種)

HTTP GETコマンドを繰り返し送ることによって,攻撃対象のサーバに

コンテンツ送信の負荷をかける.

ウ:SYN Flood 攻撃

SYNパケットを大量に送ることによって,攻撃対象のサーバに

接続要求ごとに応答を返すための過大な負荷をかける.

エ:Connection Flood 攻撃

大量のTCPコネクションを確立することによって,攻撃対象のサーバに

接続を維持させ続けてリソースを枯渇させる.

問17 OAuth2.0

OAuth2.0は,信頼関係にある複数のサービス間でセキュアに認可情報を

やり取りする仕組み( API )を提供する.

OAuth2.0のAPIを提供しているサービスを「 OAuth Server 」と呼び,

本問ではWebサービス B が該当する.

一方,OAuth Serverが提供するAPIを利用するサービスを「 OAuth Client 」と呼び,

本問ではWebサービスAが該当する.

また,認可情報を付与する利用者を「 Resource Owner 」と呼び,

本問では利用者Cが該当する。

「Resource Owner 」である利用者Cの承認の下 「 OAuth Client 」である

WebサービスAがリソースDへの限定的なアクセス権限を取得しようとする際には

「 OAuth Server 」であるWebサービスBが利用者Cを認証した上で

Web サービスAに対してアクセストークンを発行する.

問18 MX(Mail Exchange)レコード

DNSMXレコードには,当該DNSサーバが管理するドメイン(ゾーン)

への電子メールを受け付けるサーバの名前が登録されている.

問19 TFTP(Trivial File Transfer Protocol )

TFTPは,ユーザ認証機能のない簡易なFTPでありUDPを用いる.

問22 リポジトリ

ソフトウェア開発におけるリポジトリ (倉庫,貯蔵庫)とは,

仕様書やプログラムテスト結果など,ソフトウェア開発や保守に関する

各種の成果物を格納し,一元管理するデータベースのことをいう.

成果物を一元管理することによって 開発・保守の作業効率を高めることができる.

参考

情報処理教科書 情報処理安全確保支援士 2023年版