「みちともデジタル」は、ITパスポート試験の合格を目指す方を応援する無料学習サイトです。

セキュリティ-予想問題-d

スポンサーリンク

セキュ 予想25

情報セキュリティにおける脅威であるバッファオーバフローの説明として、適切なものはどれか。

ア 特定のサーバに大量の接続要求を送り続けて、サーバが他の接続要求を受け付けることを妨害する。
イ 特定のメールアドレスに大量の電子メールを送り、利用者のメールボックスを満杯にすることで新たな電子メールを受信できなくする。
ウ ネットワークを流れるパスワードを盗聴し、それを利用して不正にアクセスする。
エ プログラムが用意している入力用のデータ領域を超えるサイズのデータを入力することで、想定外の動作をさせる。
 

出典:ITパスポート 平成26年秋 問59

正解の理由

あらゆるプログラムは、指示された処理を行うためにメモリ上に自身が使用する領域を確保します。

バッファオーバーフロー攻撃は、入力用のデータ領域を超えるサイズのデータを入力することで、確保してあった領域外のメモリを上書し、プログラムに意図しないコードを実行させる攻撃です。プログラムの異常終了、サービス停止、ウイルスへの感染などの脅威があります。

 「プログラムが用意している入力用のデータ領域を超えるサイズのデータを入力する」とあるので、バッファオーバフローの説明です。

よって、正解は  です。

セキュ 予想26

攻撃者が行うフットプリンティングに該当するものはどれか。

ア Webサイトのページを改ざんすることによって、そのWebサイトから社会的・政治的な主張を発信する。
イ 攻撃前に、攻撃対象となるPC、サーバ及びネットワークについての情報を得る。
ウ 攻撃前に、攻撃に使用するPCのメモリを増設することによって、効率的に攻撃できるようにする。
エ システムログに偽の痕跡を加えることによって、攻撃後に追跡を逃れる。
 

出典:応用情報 令和3年春午前 問38

正解の理由

フットプリンティングとは、攻撃者が攻撃を行う前に攻撃対象となるPC、サーバ及びネットワークについての弱点や攻撃の足掛かりとなる情報を収集することです。

 「攻撃前に、攻撃対象となるPC、サーバ及びネットワークについての情報を得る。」は、フットプリンティングに該当します。

よって、正解は  です。

セキュ 予想27

“政府情報システムのためのセキュリティ評価制度( ISMAP)”の説明はどれか。

ア 個人情報の取扱いについて政府が求める保護措置を講じる体制を整備している事業者などを評価して、適合を示すマークを付与し、個人情報を取り扱う政府情報システムの運用について、当該マークを付与された者への委託を認める制度
イ 個人データを海外に移転する際に、移転先の国の政府が定めた情報システムのセキュリティ基準を評価して、日本が求めるセキュリティ水準が確保されている場合には、本人の同意なく移転できるとする制度
ウ 政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価、登録することによって、政府のクラウドサービス調達におけるセキュリティ水準の確保を図る制度
エ プライベートクラウドの情報セキュリティ全般に関するマネジメントシステムの規格にパブリッククラウドサービスに特化した管理策を追加した国際規格を基準にして、政府情報システムにおける情報セキュリティ管理体制を評価する制度
 

出典:応用情報 令和5年春午前 問39

正解の理由

ISMAPとは、Information system Security Management and Assessment Program(政府情報システムのためのセキュリティ評価制度)の略です。

ISMAPとは、定められた評価プロセスに基づいて、要求する基準に基づいたセキュリティ対策を実施していることが確認されたクラウドサービスを、公表するクラウドサービスリストに登録する制度です。

各政府機関がクラウドサービスを調達する際は、原則、ISMAPにおいて登録されたサービスから調達します。

 「政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価、登録することによって、政府のクラウドサービス調達におけるセキュリティ水準の確保を図る制度」は、 ISMAPの説明として適切です。

よって、正解は  です。

セキュ 予想28

PC のストレージ上の重要なデータを保護する方法のうち、ランサムウェア感染による被害の低減に効果があるものはどれか。

ア WORM (Write Once Read Many)機能を有するストレージを導入して、そこに重要なデータをパックアップする。
イ ストレージを RAID5 構成にして、 1台のディスク故障時にも重要なデータを利用可能にする。
ウ 内蔵ストレージを増設して、重要なデータを常時レプリケーションする。
エ ネットワーク上のストレージの共有フォルダをネットワークドライブに割り当てて、そこに重要なデータをパックアップする。
 

出典:応用情報 令和5年秋午前 問43

正解の理由

ランサムウェアは、PC内のファイルを暗号化して使用不能にし、復号するためのキーと引換えに金品を要求するソフトウェアです。
(ITパスポート 平成31年春 問94より)

ランサムウェアの説明(テクノロジ系セキュリティ61.情報セキュリティ)

WORMは、一度書き込んだデータを消去・変更できないので、ランサムウェア対策として有効です。

よって、正解は  です。

セキュ 予想29

入室時と退室時にIDカードを用いて認証を行い、入退室を管理する。このとき、入室時の認証に用いられなかったID力一ドでの退室を許可しない、又は退室時の認証に用いられなかったIDカードでの再入室を許可しないコントロールを行う仕組みはどれか。

ア TPMOR (Two Person Minimum Occupancy Rule)
イ アンチパスバック
ウ インターロックゲート
エ パニックオープン
 

出典:基本情報 修了試験 令和4年7月 問41

正解の理由

アンチパスバックは、サーバ室など、セキュリティで保護された区画への入退室管理において、一人の認証で他者も一緒に入室する共連れの防止対策です。
(ITパスポート 令和4年 問74より)

入室時と退室時にIDカードを用いて認証を行い、入退室を管理するしくみです。

アンチパスバックの説明(テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術)

問題に「入室時の認証に用いられなかったID力一ドでの退室を許可しない、又は退室時の認証に用いられなかったIDカードでの再入室を許可しないコントロールを行う仕組み」とあるので、アンチパスバックが適切です。

よって、正解は  です。

セキュ 予想30

リスクベース認証の特徴はどれか。

ア いかなる利用条件でのアクセスの要求においても、ハードウェアトークンと パスワ ードを併用するなど、常に二つの認証方式を併用することによ って、 不正アクセスに対する安全性を高める。
イ いかなる利用条件でのアクセスの要求においても認証方法を変更せずに、同一の手順によ って普段 どおりに システムにアクセスできるよ うにし、 可用性を高め る。
ウ 普段と異なる利用条件でのアクセスと判断した場合には、追加の本人認証をすることによって、不正アクセスに対する安全性を高める。
エ 利用者が認証情報を忘れ、かつ、Webブラウザに保存しているパスワード情報を使用できないリスクを想定して 、緊急と判断した場合には、認証情報を入力せずに、利用者は普段どおりにシステムを利用できるようにし、可用性を高める。
 

出典:応用情報 令和3年春午前 問39

正解の理由

リスクベース認証とは、普段と異なる 利用条件でのアクセスと判断した場合には、追加の本人認証をすることによって、不正アクセスに対する安全性を高める認証技術です。

リスクベース認証の説明(テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術)

 「普段と異なる利用条件でのアクセスと判断した場合には、追加の本人認証をする」は、リスクベース認証の特徴です。

よって、正解は  です。

セキュ 予想31

リスクベース認証に該当するものはどれか。

ア インターネットバンキングでの取引において、取引の都度、乱数表の指定したマス目にある英数字を入力させて認証する。
イ 全てのアクセスに対し、トークンで生成されたワンタイムパスワードで認証する。
ウ 利用者のIPアドレスなどの環境を分析し、いつもと異なるネットワークからのアクセスに対して追加の認証を行う。
エ 利用者の記憶、持ち物、身体の特徴のうち、必ず二つ以上の方式を組み合わせて認証する。
 

出典:情報セキュリティマネジメント 令和元年秋午前 問24

正解の理由

リスクベース認証とは、普段と異なる 利用条件でのアクセスと判断した場合には、追加の本人認証をすることによって、不正アクセスに対する安全性を高める認証技術です。

リスクベース認証の説明(テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術)

 「いつもと異なるネットワークからのアクセスに対して追加の認証を行う。」とあるので、リスクベース認証に該当します。

よって、正解は  です。

コメント

タイトルとURLをコピーしました