セキュリティー令和2年-b

2022.12.01
スポンサーリンク

令和2年 問78

通信プロトコルとしてTCP/IPを用いるVPNには、インターネットを使用するインターネットVPNや通信事業者の独自ネットワークを使用するIP-VPNなどがある。インターネットVPNではできないが、IP-VPNではできることはどれか。

ア IP電話を用いた音声通話
イ 帯域幅などの通信品質の保証
ウ 盗聴、改ざんの防止
エ 動画の配信
 

正解の理由

VPN(Virtual Private Network)は、公衆ネットワークなどを利用して構築された、専用ネットワークのように使える仮想的なネットワークです。
(ITパスポート 平成29年秋 問85より)

認証と通信データの暗号化によって、セキュリティの高い通信を行います。
(ITパスポート 平成23年秋 問70より)

VPNの説明(テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術)

通信事業者の独自ネットワークを使用するIP-VPNは、通信事業者がデータをどの経路を通すか管理しています。

インターネットVPNでは、データをどの経路を通すか管理されておらず、帯域幅などの通信品質の保証はできません。

ネットワークにおける帯域幅とは、ある時間内にネットワーク接続を介して送信できるデータの最大容量のことです。

よって、正解は  です。

不正解の理由

 IP電話は、インターネットVPN、IP-VPNどちらでも可能です。

IP電話は、IP(Internet Protocol)ネットワークを通じて行う音声通話サービスです。

 盗聴、改ざんの防止は、インターネットVPN、IP-VPNどちらも可能です。

 動画の配信は、インターネットVPN、IP-VPNどちらも可能です。

  前の問題  問題一覧  次の問題 
問77 令和2年 問79

令和2年 問82

情報セキュリティの物理的対策として、取り扱う情報の重要性に応じて、オフィスなどの空間を物理的に区切り、オープンエリア、セキュリティエリア、受渡しエリアなどに分離することを何と呼ぶか。

ア サニタイジング
イ ソーシャルエンジニアリング
ウ ゾー二ング
エ ハッキング
 

正解の理由

 ゾ一二ングは、来訪者や一般従業員、機密にアクセスできる担当者など関係者を明確に区分し、それぞれ入室可能なエリアを設定することで、重要な情報に権限のないものがアクセスできないようにすることです。

問題に 「取り扱う情報の重要性に応じて、オフィスなどの空間を物理的に区切り」とあるので、ゾーニングが適切です。

よって、正解は  です。

不正解の理由

 サニタイジングは、Webサイトへの不正な入力を排除するため、Webサイトの入力フ ォームの入カデータから、 HTMLタグ、JavaScript、SQL文などを検出し、それらを他の文字列に置き換えることです。
(基本情報 平成28年春午前 問38より)

 ソーシャルエンジニアリングは、人間の心理的な隙などを突いて、コンピュータに侵入するための情報を盗み出すことです。

ソーシャルには「社会的な」という意味があります。

ソーシャルエンジニアリングの説明(テクノロジ系セキュリティ61.情報セキュリティ)

 ハッキングは、高度なコンピュータ技術を利用して、システムを解析したり、プログラムを修正したりする行為のことです。 しかし、一般的には、不正にコンピュータを利用する行為全般のことをハッキングと呼んでいます。

  前の問題  問題一覧  次の問題 
問81 令和2年 問83

令和2年 問84

ISMSの情報セキュリティリスク対応における、人的資源に関するセキュリティ管理策の記述として、適切でないものはどれか。

ア 雇用する候補者全員に対する経歴などの確認は、関連する法令、規制及び倫理に従って行う。
イ 情報セキュリティ違反を犯した従業員に対する正式な懲戒手続を定めて、周知する。
ウ 組織の確立された方針及び手順に従った情報セキュリティの適用を自社の全ての従業員に要求するが、業務を委託している他社には要求しないようにする。
エ 退職する従業員に対し、退職後も有効な情報セキュリティに関する責任事項及び義務を定めてその従業員に伝え、退職後もそれを守らせる。
 

正解の理由

ISMS(Information Security Management System)は、情報セキュリティマネジメントシステムのことです。 情報の機密性や完全性、可用性を維持し、情報漏えいなどのインシデント(事故)発生を低減させるためのしくみです。

人的資源は、企業の経営活動を支える「ヒト・モノ・カネ・情報」などの経営資源のなかで、「ヒト」の部分を指す言葉で、人に紐付いているスキル・能力によってもたらされる経済的価値を指します。

人的資源には従業員、管理職、経営者があります。

さらに広く考えると、業務を委託している他社の社員も人的資源と考えられます。

攻撃ターゲットのグループ会社、業務委託先、発注先、仕入れ先などを攻撃し、それを足がかりに攻撃ターゲット企業に侵入する方法(サプライチェーン攻撃)が増えています。

 「組織の確立された方針及び手順に従った情報セキュリティの適用を業務を委託している他社には要求しないようにする。」は、人的資源に関するセキュリティ管理策の記述として不適切です。

よって、正解は  です。

  前の問題  問題一覧  次の問題 
問83 令和2年 問85

令和2年 問85

ファイルサーバに保存されている文書ファイルの内容をPCで直接編集した後、上書き保存しようとしたら“権限がないので保存できません”というメッセージが表示された。この文書ファイルとそれが保存されているフォルダに設定されていた権限の組合せとして、適切なものはどれか。

ITパスポート 令和2年 問85 問題の 図
ア 
イ 
ウ 
エ 
 

正解の理由

問題に「ファイルサーバに保存されている文書ファイルの内容をPCで直接編集した」とあり、ファイルを読み取ることができているので、フォルダの読み取り権限とファイルの読み取り権限はあります。

問題に「上書き保存しようとしたら“権限がないので保存できません”というメッセージが表示された。」とあるので、書き込み権限がありません。

よって、フォルダの読み取り権限とファイルの読み取り権限があり、書き込み権限がないので、正解は  です。

  前の問題  問題一覧  次の問題 
問84 令和2年 問86

令和2年 問86

二要素認証の説明として、最も適切なものはどれか。

ア 所有物、記憶及び生体情報の3種類のうちの2種類を使用して認証する方式
イ 人間の生体器官や筆跡などを使った認証で、認証情報の2か所以上の特徴点を使用して認証する方式
ウ 文字、数字及び記号のうち2種類以上を組み合わせたパスワードを用いて利用者を認証する方式
エ 利用者を一度認証することで二つ以上のシステムやサービスなどを利用できるようにする方式
 

正解の理由

2要素認証は、ログイン時に2つの「要素」によって行う認証です。

要素は、大きく分けて以下の3つです。

多要素認証の説明(テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術)

「所有物」は所持情報、「記憶」は知識情報です。

ア 「所有物、記憶及び生体情報の3種類のうちの2種類を使用して認証する方式は、二要素認証の説明として適切です。

よって、正解は  です。

  前の問題  問題一覧  次の問題 
問85 令和2年 問87

令和2年 問87

ISMSにおける情報セキュリティに関する次の記述中のa、bに入れる字句の適切な組合せはどれか。

情報セキュリティとは、情報の機密性、( a ) 及び可用性を維持することである。さらに、 ( b )、責任追跡性、否認防止、信頼性などの特性を維持することを含める場合もある。

ア a:完全性  b:真正性
イ a:完全性  b:保守性
ウ a:保全性  b;真正性
エ a:保全性  b:保守性
 

正解の理由

完全性は、情報および処理方法の正確さおよび完全である状態を安全防護することです。

真正性は、本物であることを証明できることです。

保守性、保全性は、情報セキュリティの要素の要素でありません。

よって、問題の文章は、

情報セキュリティとは、情報の機密性、( a 完全性 ) 及び可用性を維持することである。さらに、 ( b 真正性 )、責任追跡性、否認防止、信頼性などの特性を維持することを含める場合もある。

よって、正解は  です。

  前の問題  問題一覧  次の問題 
問86 令和2年 問88

コメント

タイトルとURLをコピーしました