「みちともデジタル」は、ITパスポート試験の合格を目指す方を応援する無料学習サイトです。

セキュリティ-令和5年-c

2023.04.22
スポンサーリンク

令和5年 問86

ハイブリッド暗号方式を用いてメッセージを送信したい。メッセージと復号用の鍵の暗号化手順を表した図において、メッセージの暗号化に使用する鍵を(1)とし、(1)の暗号化に使用する鍵を(2)としたとき、図のa、bに入れる字句の適切な組合せはどれか。

ITパスポート 令和5年 問86 問題の 図
ab
共通公開
共通秘密
公開共通
公開秘密
 

正解の理由

ハイブリッド暗号方式は、公開鍵暗号方式と共通鍵暗号方式を組み合わせることによって、鍵管理コストと処理性能の両立を図る暗号化方式です。
(情報セキュリティマネジメント 平成31年春午前 問28より)

メッセージの本文の暗号化に共通鍵暗号方式を用い、共通鍵の受渡しには公開鍵暗号方式を用います。

メッセージの本文の暗号化に共通鍵暗号方式を用いるので、 a は共通鍵です。

共通鍵の受渡しには公開鍵暗号方式を用いるので、 b は公開鍵です。

よって、正解は  です。

  前の問題  問題一覧  次の問題 
問85 令和5年 問87

令和5年 問89

企業の従業員になりすましてIDやパスワードを聞き出したり、くずかごから機密情報を入手したりするなど、技術的手法を用いない攻撃はどれか。

ア ゼ口デイ攻撃
イ ソーシャルエンジニアリング
ウ ソーシャルメディア
エ トロイの木馬
 

正解の理由

ソーシャルエンジニアリングは、人間の心理的な隙などを突いて、コンピュータに侵入するための情報を盗み出すことです。

ソーシャルには「社会的な」という意味があります。

ソーシャルエンジニアリングの説明(テクノロジ系セキュリティ61.情報セキュリティ)

問題に「企業の従業員になりすましてIDやパスワードを聞き出したり、くずかごから機密情報を入手したりするなど、技術的手法を用いない攻撃」とあるので、ソーシャルエンジニアリングの説明です。

よって、正解は  です。

不正解の理由

 ゼ口デイ攻撃は、 ソフトウェアに脆弱性が存在することが判明したとき、そのソフトウェアの修正プログラムがベンダから提供される前に、判明した脆弱性を利用して行われる攻撃です。
(ITパスポート 平成25年秋 問74より)

 ソーシャルメディアは、ブログ、ソーシャルネットワーキングサービス(SNS)、動画共有サイトなど、利用者が情報を発信し、形成していくメディアを指します。

 トロイの木馬は、有用なソフトウェアに見せかけて配布された後、バックドアを作ったりウイルスのダウンロードを行うタイプのマルウェアです。

  前の問題  問題一覧  次の問題 
問88 令和5年 問90

令和5年 問90

情報セキュリティにおける物理的及び環境的セキュリティ管理策であるクリアデスクを職場で実施する例として、適切なものはどれか。

ア 従業員に固定された机がなく、空いている机で業務を行う。
イ 情報を記録した書類などを机の上に放置したまま離席しない。
ウ 机の上のLANケーブルを撤去して、暗号化された無線LANを使用する。
エ 離席時は、 PCをパスワードロックする。
 

正解の理由

クリアデスクは、離席する際に、机の上に書類や記憶媒体などを放置しないことです。 書類や記憶媒体の盗難や紛失による情報漏えいを防ぐセキュリティ対策です。

 「情報を記録した書類などを机の上に放置したまま離席しない。」とあるので、クリアデスクの例です。

よって、正解は  です。

不正解の理由

 「従業員に固定された机がなく、空いている机で業務を行う。」は、フリーアドレスの記述です。

 机の上のLANケーブルを撤去して、暗号化された無線LANを使用する。」は、書類や記憶媒体の盗難や紛失による情報漏えいを防ぐことはできません。

 「離席時は、 PCをパスワードロックする。」は、クリアスクリーンの記述です。

クリアスクリーンは、離席する際に、パソコンの画面を第三者が見たり、操作できる状態で放置しないことです。

  前の問題  問題一覧  次の問題 
問89 令和5年 問91

令和5年 問94

ISMSにおける情報セキュリティ方針に関する記述として、適切なものはどれか。

ア 企業が導入するセキュリティ製品を対象として作成され、セキュリティの設定値を定めたもの
イ 個人情報を取り扱う部門を対象として、個人情報取扱い手順を規定したもの
ウ 自社と取引先金業との間で授受する情報資産の範囲と具体的な保護方法について、両社間で合意したもの
エ 情報セキュリティに対する組織の意図を示し、方向付けしたもの
 

正解の理由

情報セキュリティポリシ(情報セキュリティ方針)は、企業や組織において実施する情報セキュリティ対策の方針や行動指針のことです。

情報セキュリティポリシは、基本方針、対策基準及び実施手順の三つの文書で構成できます。

情報セキュリティポリシーの説明(テクノロジ系セキュリティ62.情報セキュリティ管理)

 「情報セキュリティに対する組織の意図を示し、方向付けしたもの」とあるので、情報セキュリティポリシの記述です。

よって、正解は  です。

  前の問題  問題一覧  次の問題 
問93 令和5年 問95

令和5年 問95

情報セキュリティにおける機密性、完全性及び可用性に関する記述のうち、完全性が確保されなかった例だけを全て挙げたものはどれか。

a オペレーターが誤ったデータを入力し、顧客名簿に矛盾が生じた。

b ショッピングサイトがシステム障害で一時的に利用できなかった。

c データベースで管理していた顧客の個人情報が漏えいした。

ア a
イ a、b
ウ b
エ c
 

正解の理由

機密性は、情報にアクセスすることが認可されたものだけがアクセスできることを確実にすることです。

機密性の説明(テクノロジ系セキュリティ62.情報セキュリティ管理)

完全性は、情報および処理方法の正確さおよび完全である状態を安全防護することです。

完全性の説明(テクノロジ系セキュリティ62.情報セキュリティ管理)

可用性は、認可された利用者が、必要なときに情報にアクセスできることを確実にすることです。

可用性の説明(テクノロジ系セキュリティ62.情報セキュリティ管理)

a  「オペレーターが誤ったデータを入力し、顧客名簿に矛盾が生じた。」は、完全性が確保されなかった例です。

b  「ショッピングサイトがシステム障害で一時的に利用できなかった。」は、可用性が確保されなかった例です。

c  「データベースで管理していた顧客の個人情報が漏えいした。」は、機密性が確保されなかった例です。

よって、完全性が確保されなかった例は だけで、正解は  です。

  前の問題  問題一覧  次の問題 
問94 令和5年 問96

令和5年 問99

バイオメトリクス認証の例として、適切なものはどれか。

ア 機械では判読が困難な文字列の画像をモニターに表示して人に判読させ、その文字列を入力させることによって認証する。
イ タッチパネルに表示されたソフトウェアキーボードから入力されたパスワード文字列によって認証する。
ウ タッチペンなどを用いて署名する際の筆跡や筆圧など、動作の特徴を読み取ることによって認証する。
エ 秘密の質問として、本人しか知り得ない質問に答えさせることによって認証する。
 

正解の理由

バイオメトリクス認証(生体認証)は、指紋や顔など身体の形状に基づく身体的特徴と、音声や署名など行動特性に基づく行動的特徴を用いて行う本人認証方式です。

バイオメトリクスの説明(テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術)

 「動作の特徴を読み取ることによって認証する。」とあるので、バイオメトリクス認証(生体認証)の例です。

よって、正解は  です。

不正解の理由

 「機械では判読が困難な文字列の画像をモニターに表示して人に判読させ、その文字列を入力させることによって認証する。」は、CAPTCHAの例です。

CAPTCHAは、人間には読み取ることが可能でも、プログラムでは読み取ることが難しいという差異を利用して、ゆがめたり一部を隠したりした画像から文字を判読して入力させることによって、プログラムによる自動入力を排除するための技術です。
(基本情報 平成28年秋午前 問36より)

CAPTCHAの例(テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術)

 「タッチパネルに表示されたソフトウェアキーボードから入力されたパスワード文字列によって認証する。」は、知識情報による認証です。

 「秘密の質問として、本人しか知り得ない質問に答えさせることによって認証する」は、知識情報による認証です。

  前の問題  問題一覧  次の問題 
問98 令和5年 問100

コメント

タイトルとURLをコピーしました