セキュリティ-令和3年-a

スポンサーリンク
スポンサーリンク

令和3年 問56

インターネットにおいてドメイン名とIPアドレスの対応付けを行うサービスを提供しているサーバに保管されている管理情報を書き換えることによって、利用者を偽のサイトへ誘導する攻撃はどれか。

ア DDoS攻撃
イ DNSキャッシュポイズニング
ウ SQLインジェクション
エ フィッシング
 

解説(令和3年 問56)

ア DDoS攻撃は、インターネット上の多数の機器から特定のネットワーク、サーバに一斉にパケットを送り、過剰に負荷をかけて機能不全にする攻撃です。

イ DNSキャッシュポイズニングは、PCが参照するDNSサーバに偽のドメイン情報を注入して、利用者を偽装されたサーバに誘導する攻撃です。
(情報セキュリティ H29年秋午前 問22より)

ウ SQLインジェクションは、Webアプリケーションのデータ操作言語の呼出し方に不備がある場合に、攻撃者が悪意をもって構成した文字列を入力することによって、データベースのデータの不正な取得、改ざん及び削除をする攻撃です。
(基本情報 平成28年春午前 問37より)

エ フィッシングは、金融機関などからの電子メールを装い、偽サイトに誘導して暗証番号やクレジットカード番号などを不正に取得することです。
(ITパスポート 平成28年春 問63より)

よって、正解は  です。

令和3年 問58

サーバルームへの共連れによる不正入室を防ぐ物理的セキュリティ対策の例として、適切なものはどれか。

ア サークル型のセキュリティゲートを設置する。
イ サーバの入ったラックを施錠する。
ウ サーバルーム内にいる間は入室証を着用するルールとする。
エ サーバルームの入り口に入退室管理簿を置いて記録させる。
 

解説(令和3年 問58)

ア サークル型セキュリティゲートは、図のような設備です。

サークル型セキュリティゲート(テクノロジ系情報セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術)

イ “ラック”は、サーバルームの中にあります。共連れ防止にはなりません。

ウ ”入室証の着用”は、入室してからのルールなので、認証されない人の入室を防ぐことはできません。

エ ”入退室管理簿”は、入退室者管理簿だけでは、認証されない人の入室を防ぐ。

よって、正解は  です。

令和3年 問60

情報システムにおける二段階認証の例として、適切なものはどれか。

ア 画面に表示されたゆがんだ文字列の画像を読み取って入力した後、利用者IDとパスワードを入力することによって認証を行える。
イ サーバ室への入室時と退室時に生体認証を行い、認証によって入室した者だけが退室の認証を行える。
ウ 利用者IDとパスワードを入力して認証を行った後、秘密の質問への答えを入力することによってログインできる。
エ 利用者IDの入力画面へ利用者IDを入力するとパスワードの入力画面に切り替わり、パスワードを入力することによってログインできる。
 

解説(令和3年 問60)

ア ”ゆがんだ文字列の画像を読み取って入力”は、CAPTCHAという技術です。コンピュータと人を区別するだけです。

イ 不審者の退室を禁止する技術 (アンチパスバック )の説明です。

ウ ”利用者ID+パスワード”と”秘密の質問”の2段階です。

エ ”利用者ID+パスワード”だけなので、2段階ではありません。

よって、正解は  です。

令和3年 問61

クレジットカードの会員データを安全に取り扱うことを目的として策定された、クレジットカード情報の保護に関するセキュリティ基準はどれか。

ア NFC
イ PCI DSS
ウ PCI Express
エ RFID
 

解説(令和3年 問61)

ア NFC(Near Field Communication)は、10cm程度の近距離での通信を行うものであり、ICカードやICタグのデータの読み書きに利用されています。
(ITパスポート 平成30年秋 問66より)

イ PCI DSSは、クレジットカードなどのカード会員データのセキュリティ強化を目的として制定され、技術面及び運用面の要件を定めたものです。
(情報セキュリティマネジメント 令和元年秋午前 問27より)

ウ PCI Expressは、パソコンなどに拡張カード(ビデオカードなど)を装着し、CPUやメモリ(RAM)など他の装置と通信するための接続規格です。

エ RFID(Radio Frequency Identification)は、無線通信でデータを読み込んだり書き換えたりすることができるシステムです。

よって、正解は  です。

令和3年 問63

PCやスマートフォンのブラウザから無線LANのアクセスポイントを経由して、インターネット上のWebサーバにアクセスする。このときの通信の暗号化に利用するSSL/TLSとWPA2に関する記述のうち、適切なものはどれか。

ア SSL/TLSの利用の有無にかかわらず、WPA2を利用することによって、ブラウザとWebサーバ聞の通信を暗号化できる。
イ WPA2の利用の有無にかかわらず、SSL/TLSを利用することによって、ブラウザとWebサーパ聞の通信を暗号化できる。
ウ ブラウザとWebサーバ聞の通信を暗号化するためには、PCの場合はSSL/TLSを利用し、スマートフォンの場合はWPA2を利用する。
エ ブラウザとWebサーバ間の通信を暗号化するためには、PCの場合はWPA2を利用し、スマートフォンの場合はSSL/TLSを利用する。
 

解説(令和3年 問63)

SSL/TLSは、HTTPSで接続したWebサーバとブラウザ間の暗号化通信に利用されるプロトコルです。
(ITパスポート 平成30年秋 問71より)

WPA2は、無線LANにおいて、端末とアクセスポイント間で伝送されているデータの盗聴を防止するために利用される暗号化方式です。
(ITパスポート 平成27年春 問74より)

ア WPA2は、ブラウザとWebサーバ聞の通信を暗号化できません。

”WPA2を利用することによって、ブラウザとWebサーバ聞の通信を暗号化できる。”は、誤りです。

イ SSL/TLSは、ブラウザとWebサーパ聞の通信を暗号化できます。

ウ WPA2は、ブラウザとWebサーバ聞の通信を暗号化できません。

”スマートフォンの場合はWPA2を利用する。”は、誤りです。

エ WPA2は、ブラウザとWebサーバ聞の通信を暗号化できません。

”PCの場合はWPA2を利用し”は、誤りです。

よって、正解は  です。

令和3年 問65

シャドーITの例として、適切なものはどれか。

ア 会社のルールに従い、災害時に備えて情報システムの重要なデータを遠隔地にバックアップした。
イ 他の社員がパスワードを入力しているところをのぞき見て入手したパスワードを使って、情報システムにログインした。
ウ 他の社員にPCの画面をのぞかれないように、離席する際にスクリーンロックを行った。
エ データ量が多く電子メールで送れない業務で使うファイルを、会社が許可していないオンラインストレージサービスを利用して取引先に送付した。
 

解説(令和3年 問65)

シャドーITは、IT部門の許可を得ずに、従業員又は部門が業務に利用しているデバイスやクラウドサービスです。
(情報セキュリティ 平成29年秋午前 問16より)

ア “会社のルールに従い”とあるので、シャドーITではありません。

イ ”のぞき見て入手したパスワード”とあるので、ソーシャルエンジニアリングの例です。

ウ ”PCの画面をのぞかれないように”とあるので、ソーシャルエンジニアリング対策の例です。

エ ”会社が許可していないオンラインストレージサービスを利用して”とあるので、シャドーITの例です。

よって、正解は  です。

令和3年 問67

ISMSにおける情報セキュリティに関する次の記述中のa、bに入れる字句の適切な組合せはどれか。

情報セキュリティとは、情報の機密性、完全性及び( a )を維持することである。さらに、真正性、責任追跡性、否認防止、 ( b )などの特性を維持することを含める場合もある。

ア a:可用性  b:信頼性
イ a:可用性  b:保守性
ウ a:保全性  b:信頼性
エ a:保全性  b:保守性
 

解説(令和3年 問67)

可用性は、認可された利用者が、必要なときに情報にアクセスできることを確実にすることです。

信頼性は、不具合がないことです。

保守性、保全性は、情報セキュリティの要素の要素でありません。

よって、正解は  です。

コメント

タイトルとURLをコピーしました