セキュリティ-令和2年-a

スポンサーリンク
スポンサーリンク

令和2年 問56

HTML形式の電子メールの特徴を悪用する攻撃はどれか。

ア DoS攻撃
イ SQLインジェクション
ウ 悪意のあるスクリプ卜の実行
エ 辞書攻撃
 

解説

ア DoS (Denial of Service)攻撃は、電子メールやWeb リクエストなどを大量に送りつけて、ネットワーク上のサーピスを提供不能にすることです。
(ITパスポート 平成25年春 問52より)

イ SQLインジェクションは、SQLインジェクションは、ウェブアプリケーションへ宛てた要求に、悪意を持って細工されたSQL文を埋め込まれて(Injection)、データベースを不正に操作されてしまう問題です。

ウ 悪意のあるスクリプ卜の実行は、アンケート、掲示板のように、ユーザからの入力内容をウェブページに表示するウェブアプリケーションで、悪意を持ったスクリプト(命令)を埋め込まれてしまい、偽ページの表示などが可能になってしまうことです。

スクリプトは、プログラムのことです。特に、JavaScriptは、Webブラウザで実行できます。

よって、正解は  です。

令和2年 問58

受信した電子メールに添付されていた文書ファイルを聞いたところ、PCの挙動がおかしくなった。疑われる攻撃として、適切なものはどれか。

ア SQLインジェクション
イ クロスサイトスクリプティング
ウ ショルダーハッキング
エ マクロウイルス
 

解説

ア SQLインジェクションは、Webアプリケーションのデータ操作言語の呼出し方に不備がある場合に、攻撃者が悪意をもって構成した文字列を入力することによって,データベースのデータの不正な取得、改ざん及び削除をする攻撃です。
(基本情報 平成28年春午前 問37より)

イ クロスサイトスクリプティングは、Webアプリケーションに用意された入力フィールドに,悪意のあるJavaScriptコードを含んだデータを入力する攻撃です。
(情報セキュリティマネジメント 平成28年秋午前 問22より)

ウ ショルダーハッキングは、のぞき見です。

エ マクロウイルスは、Office アプリケーションなどで動作する、マクロ機能を使って作成されたコンピュータウイルスです。

よって、正解は  です。

令和2年 問60

暗号資産(仮想通貨)を入手するためのマイニングと呼ばれる作業を、他人のコンピュータを使って気付かれないように行うことを何と呼ぶか。

ア クリプトジャッキング
イ ソーシャルエンジニアリング
ウ バッファオーバフロー
エ フィッシング
 

解説

ア ”マイニングと呼ばれる作業を、他人のコンピュータを使って気付かれないように行う”とあるので、クリプトジャッキングの説明です。

イ ソーシャルエンジニアリングは、人間の心理的な隙などを突いて、コンピュータに侵入するための情報を盗み出すことです。

ウ バッファオーバフローは、プログラムが用意している入力用のデータ領域を超えるサイズのデータを入力することで、想定外の動作をさせることです。
(ITパスポート 平成26年秋 問59より)

エ フィッシングは、金融機関などからの電子メールを装い、偽サイトに誘導して暗証番号やクレジットカード番号などを不正に取得することです。
(ITパスポート 平成28年春 問63より)

よって、正解は  です。

令和2年 問66

バイオメトリクス認証で利用する身体的特徴に関する次の記述中のa、bに入れる字句の適切な組合せはどれか。

バイオメトリクス認証における本人の身体的特徴としては、( a )が難しく、( b )が小さいものが優れている。

ア a:偽造  b:経年変化
イ a:偽造  b:個人差
ウ a:判別  b:経年変化
エ a:判別  b:個人差
 

解説

生体認証(バイオメトリクス)は、指紋や顔など身体の形状に基づく身体的特徴と、音声や署名など行動特性に基づく行動的特徴を用いて行う本人認証方式です。

経年変化は、時間がたって変わることです。

正解は、  です。

令和2年 問68

リスク対応を、移転、回避、低減及び保有に分類するとき、次の対応はどれに分類されるか。

〔対応〕
職場における机上の書類からの情報漏えい対策として、退社時のクリアデスクを導入した。

ア 移転
イ 回避
ウ 低減
エ 保有
 

解説

リスク対応の説明(テクノロジ系セキュリティ62.情報セキュリティ管理)

クリアデスクは、離席する際に、机の上に書類や記憶媒体などを放置しないことです。

退社時に机上に書類が無ければ、情報漏えいのリスクは減ります。

ただし、業務中のリスクは残ります。

よって、正解は  です。

令和2年 問69

ISMSの確立、実施、維持及び継続的改善における次の実施項目のうち、最初に行うものはどれか。

ア 情報セキュリティリスクアセスメント
イ 情報セキュリティリスク対応
ウ 内部監査
エ 利害関係者のニーズと期待の理解
 

解説

ISMSは、情報セキュリティマネジメントシステムのことです。

情報の機密性や完全性、可用性を維持し、情報漏えいなどのインシデント(事故)発生を低減させるためのしくみです。

一般に、高い評価(成果)を得るには、求められること(ニーズ、期待)を最初にしっかり把握することが大切です。

よって、正解は  です。

令和2年 問76

従業員に貸与するスマー卜フォンなどのモバイル端末を遠隔から統合的に菅理する仕組みであり、セキュリティの設定や、紛失時にロックしたり初期化したりする機能をもつものはどれか。

ア DMZ
イ MDM
ウ SDN
エ VPN
 

解説

ア DMZ (DeMilitarized Zone)は、企業内ネットワークからも、外部ネットワークからも論理的に隔離されたネットワーク領域であり、そこに設置されたサーバが外部から不正アクセスを受けたとしても、企業内ネットワークには被害が及ばないようにするためのものです。
(ITパスポート 平成25年秋 問79より)

イ ”モバイル端末を遠隔から統合的に菅理する仕組み”とあるので、MDM(Mobile Device Management)の説明です。

ウ SDN(Software Defined Networking)は、データ転送と経路制御の機能を論理的に分離し、データ転送に特化したネットワーク機器とソフトウェアによる経路制御の組合せで実現するネットワーク技術です。

エ VPN(Virtual Private Network)は、公衆ネットワークなどを利用して構築された、専用ネットワークのように使える仮想的なネットワークです。
(ITパスポート 平成29年秋 問85より)

よって、正解は  です。

コメント

タイトルとURLをコピーしました