H28 SC 復習
H28 春 午前2
問4 SAML(Security Assertion Markup Language )
SAMLとは,異なるWebサーバ間において,ユーザ ID・パスワード・公開鍵等の
認証情報やアクセス制御情報,属性情報等を安全に交換するためのプロトコルである.
XML関連の標準化団体であるOASIS(Organization for the Advancement of
Structured Information Standards )によって策定された.
SAMLでは,認証や認可に関する情報等を格納するXMLベースの証明書
( Assertion )の仕様や,Assertionを交換するためのプロトコルを
標準化することで,シングルサインオンのための基盤を提供している.
【選択肢】
イ:SOAP(Simple Object Access Protocol )
XMLとHTTPなどをベースとしており,他のコンピュータ上にあるデータや
サービスを呼び出すためのプロトコルである.
ウ:XKMS(XML Key Management Specification )
XML をベースとしてPKIの鍵情報の取得や管理を行うための仕様である.
エ:XML Signature
問7
【選択肢】
イ:SYN Flood 攻撃の説明である。
ウ:UDP Flood 攻撃の説明である。
エ:メールボム( eーmail bomb )の説明である。
問9
【選択肢】
エ:メッセージ認証コード( MAC:Message Authentication Code)
通信データの改ざん有無を検知し,完全性を保証するために
通信データから生成する固定長のコード(ビット列)である.
MACには,ブロック暗号を用いた CMAC(Cipher based MAC),
ハッシュ関数を用いた HMAC などがある.
問10 JーCSIP(Initiative for Cyber Security Information sharing Partnership of Japan )
JーCSIPは,公的機関であるIPAを情報ハブ(集約点)の役割として,
参加組織間で情報共有を行い,高度なサイバー攻撃対策につなげていく取組みである.
問12
DNSキャッシュポイズニング攻撃を成功させるためには,
攻撃者は,ポート番号, DNS ヘッダ内のトランザクションIDを
本来の応答レコードと合致させる必要がある.
そのため,これらを固定せずにランダムな値に変更することは有効な対策となる.
ポート番号:名前解決要求の送信元ポート番号であり,応答時のあて先ポート番号となる.
DNSヘッダ内のトランザクションID:DNS の問合せを一意に識別するための ID
問15
イ:TCPのポート番号21
FTP(File Transfer Protocol )が使用するポートである.
ウ:TCPのポート番号110
POP3(Post Office Protocol v3 )が使用するポートである.
エ:UDPのポート番号123
NTP(Network Time Protocol )が使用するポートである.
問16 EAP(PPP Extensible Authentication Protocol )
EAPは,IEEE 802.1X 規格に基づき, PPPの認証機能を強化・拡張した
ユーザ認証プロトコルである.
EAPは,次に示すように様々な認証方式に対応している.
サーバとクライアント間で,サーバ証明書,クライアント証明書による
相互認証を行う方式.
認証成立後には,TLSのマスタシークレットをもとにクライアントごとに
異なる暗号鍵を生成・配布し,定期的に変更するため,
無線 LAN のセキュリティを高めることができる.
ディジタル証明書によるサーバ認証を行ってEAPトンネルを確立後,
そのトンネル内で様々な方式を用いてクライアントを認証する.
MD5によるチャレンジレスポンス方式によってパスワードを暗号化し,
クライアントの認証のみを行う.
・EAPーFAST(Flexible Authentication via Secure Tunneling)
Cisco Systems社による認証プロトコルであり,
EAPーTTLS とほぼ同様の方式でクライアントを認証するが,
FASTではディジタル証明書を用いず, DH(Diffie Hellman )鍵交換によって
TLSセッションを確立する方式も使用可能である.
問17
PGP(Pretty Good Privacy )は,1991年に米国のPhilip R. Zimmermann 氏によって開発された
電子メールの暗号化ツールである.
PGPでは基本的な暗号化アルゴリズムとして,RSAとIDEAが用いられており,
ユーザ(メールアドレス)ごとに公開鍵を用意する.
S/MIME(Secure Multipurpose Internet Mail Extensions )は,
米国RSA Security社によって開発された暗号化電子メール方式である.
S/MIMEは不特定多数のユーザ間で安全性,信頼性の高い通信を行うことを
想定しているため,利用にあたって各ユーザは公開鍵を生成し,
ディジタル証明書( S/MIME 証明書)を取得する必要がある.
SMTP over TLSは,メールクライアントとメールサーバ間のSMTP通信,
もしくはメールサーバ間のSMTP通信をTLSで暗号化する仕組みであり,
メールサーバごとに公開鍵を生成し,ディジタル証明書を取得する必要がある.
問18 SSID(Service Set ID )
`SSIDとは,最長32オクテットのネットワーク識別子であり,
無線LANアクセスポイントを識別するために用いられる.
ESSID(Extended Service Set ID )とも呼ばれる.
問19 DHCP(Dynamic Host Configuration Protocol )
DHCPは,ネットワークに接続されたコンピュータに対して,
IP アドレス,サブネットマスク, DNS サーバアドレス,
ゲートウェイアドレス等の必要な情報を動的に割り当てるプロトコルである.
DHCPクライアントとDHCPサーバ間でやり取りされるメッセージの
順序は次の通りである。
①DHCP DISCOVER
クライアントがDHCPサーバを見つけるために
DHCP DISCOVERメッセージをブロードキャストで送信する.
②DHCP OFFER
DHCP DISCOVERメッセージを受け取った DHCP サーバが,
割り当てる候補となるIPアドレス,サブネットマスク等の情報を
DHCP OFFERメッセージで通知する.
③DHCP REQUEST
クライアントが, DHCP OFFERメッセージで通知されたIPアドレスを
正式に取得することをDHCP REQUESTメッセージでDHCPサーバに要求する.
④DHCP ACK
クライアントから要求のあったIPアドレスが割り当て可能であった場合には,
DHCPサーバ は確認応答として,DHCP ACKメッセージで
問24
JIS Q 20000ー1:2012 の「 6.6.3 情報セキュリティの変更及びインシデント」において,
次のような要求事項が挙げられている.
6.6.3 情報セキュリティの変更及びインシデント
次を特定するために,変更要求を評価しなければならない.
a)新たな情報セキュリティリスク,又は変化した情報セキュリティリスク
b)既存の情報セキュリティ基本方針及び管理策への潜在的影響
問25
システム管理基準(平成 16 年 10 月 8 日策定)は,
組織体が経営戦略に沿って情報システム戦略を立案し,
その戦略に基づいた効果的な情報システム投資と,リスクを低減するための
コントロールを適切に整備・運用するための実践規範となるものである.
システム管理基準の前文に次の記述がある.
組織体が情報システムにまつわるリスクに対するコントロールを
適切に整備・運用する目的は,以下の通りである.
・情報システムが,組織体の経営方針及び戦略目標の実現に貢献するため
・情報システムが,組織体の目的を実現するように安全,有効かつ効率的に機能するため
・情報システムが,内部又は外部に報告する情報の信頼性を保つように機能するため
・情報システムが,関連法令,契約又は内部規程等に準拠するようにするため
H28 秋 午前2
問1
RADIUS(Remote Authentication Dial In User Service)やその後継となる
DIAMETERは,認証( Authentication ),認可(Authorization ),
課金 Accounting )を行うプロトコルである.
問2 NTPリフレクション攻撃
NTPリフレクション攻撃とは, NTPを使った増幅型のDDoS攻撃であり,
NTPサーバが過去にやり取りした600件のアドレスを回答する
「 monlist 」コマンド(状態確認機能)により,増幅率を数十倍から
数百倍にまで高めるという手口が使われている.
問3 POODLE(Padding Oracle On Downgraded Legacy Encryption )
POODLEは,パディング処理の不備を突いて暗号化通信を解読する攻撃である.
問4
XML署名(XML ディジタル署名)は,XML文書にディジタル署名を
行う技術であり,W3C(World Wide Web Consortium )と
IETF(Internet Engineering Task Force )によって共同開発された.
XML署名では,署名対象や署名アルゴリズム等をXMLで記述する.
また,署名の対象となるXML文書(オブジェクト)全体だけでなく,
オブジェクト中の指定した任意のエレメントに対して
デタッチ署名することができる.
問6 リスクベース認証
リスクベース認証とは,送信元IPアドレスなど利用者の環境を分析し,
普段とは異なるネットワークからのアクセスであった場合に,
追加で利用者に関する登録情報を入力させて認証を行うことである.
問9
【選択肢】
ア:expires
Cookieに指定された有効期限を過ぎると,Cookieが無効化される.
イ:HttpOnly
JavaScriptによるCookieの読出しを禁止する.
エ:path
WebブラウザがアクセスするURL内のパスとCookieによって指定されたパスの
プレフィックスが一致するとき,WebブラウザからCookieから送出される.
問14 EAP(PPP Extensible Authentication Protocol )
EAPは,IEEE 802.1X 規格に基づき, PPPの認証機能を強化・拡張した
ユーザ認証プロトコルである。
EAPーTLS は,サーバとクライアント(サプリカント)間で,
ディジタル証明書による相互認証を行う方式である.
EAPは,PPP の認証機能を強化・拡張したユーザ認証プロトコルであり,
無線LAN環境のセキュリティを強化する技術として普及しているほか,
有線LANにおいてもクライアントの正当性や安全性を
認証する技術として用いられている.
問18
イ:ゾーン転送とは,プライマリDNS サーバとセカンダリDNS サーバが
登録内容を同期させるため,定期的に行う通信である.
ウ:ドメ イン名に対応するIPアドレスを求めることを正引きという.
エ:CNAMEはホスト名の別名を指定する資源レコードであり,
ドメイン名を管理するDNSサーバを指定する資源レコードはNSである.
問20 TCP
ア:TCP は OSI 基本参照モデルのトランスポート層の機能である.
イ:ウィンドウ制御の単位はバイトである.
ウ:正しい記述である.
エ:TCP ヘッダにはデータの順序を示すシーケンス番号があり,
それによって正しい順序で受信データを処理できる.
問21
システム障害発生時にデータベースの整合性を保ち,かつ最新の
データベース状態に復旧するためには,ログファイルへの
コミットメント情報書込みが完了している必要がある.
この仕組みはWAL(Write Ahead Log:ログ先行書込 み)プロトコルと
呼ばれる手法によって実現されている.
WALプロトコルにより,コミット済みであるが,システム障害等何らかの
理由によりデータベースに書き込まれていない更新データを
ログファイルから回復することが可能となる.
問22
システム方式設計では,複数のシステム間における処理やデータの流れ,
連携方法などの仕様等を決定し,システム結合テストにおける
要求事項が定義される.
ソフトウェア方式設計では,システムで使用するソフトウェア間の
インタフェース,連携方法などの仕様等を決定し,
ソフトウェア結合テストにおける要求事項が定義される.
ソフトウェア詳細設計では,個々のソフトウェアの機能の詳細仕様を
決定し,ユニットテスト(単体テスト)における要求事項が定義される.
問23
最初にコアな部分を開発し,順次機能を追加していくのであれば,
段階的モデル (インクリメンタルモデル)が適している.
段階的モデルでは,最初にシステム全体の要件定義を行い,
要求された機能をいくつかに分割して段階的にリリースする.
要求が明確になっており,全機能を一斉に開発するのであれば,
ウ ォーターフォールモデルが適している.
要求に不明確な部分がある場合には,最初に要求が確定した部分だけを開発し,
その後に要求が確定した部分を逐次追加していく 進化的モデルが適している.
参考
情報処理教科書 情報処理安全確保支援士 2023年版
