セキュリティ-令和3年-b

スポンサーリンク
スポンサーリンク

令和3年 問68

全ての通信区間で盗聴されるおそれがある通信環境において、受信者以外に内容を知られたくないファイルを電子メールに添付して送る方法として、最も適切なものはどれか。

ア S/MIMEを利用して電子メールを暗号化する。
イ SSL/TLSを利用してプロバイダのメールサーバとの通信を暗号化する。
ウ WPA2を利用して通信を暗号化する。
エ パスワードで保護されたファイルを電子メールに添付して送信した後、別の電子メールでパスワードを相手に知らせる。
 

解説(令和3年 問68)

ア S/MIME(Secure / Multipurpose Internet Mail Extensions)は、電子証明書を使用して,メールソフト間で電子メールを安全に送受信するための規格です。盗聴できません。
(ITパスポート 平成30年春 問69より)

イ SSL/TLSは、HTTPSで接続したWebサーバとブラウザ間の暗号化通信に利用されるプロトコルです。
(ITパスポート H30年秋 問71より)

ウ WPA2は、無線LANにおいて、端末とアクセスポイント間で伝送されているデータの盗聴を防止するために利用される暗号化方式です。
(ITパスポート 平成27年春 問74より)

エ 電子メールを盗聴されるとパスワードわかって、ファイルを解読されてしまいます。

よって、正解は  です。

令和3年 問69

バイオメトリクス認証における認証精度に関する次の記述中のa、bに入れる字句の適切な組合せはどれか。

バイオメトリクス認証において、誤って本人を拒否する確率を本人拒否率といい、誤って他人を受け入れる確率を他人受入率という。また、認証の装置又はアルゴリズムが生体情報を認識できない割合を未対応率という。 認証精度の設定において、( a )が低くなるように設定すると利便性が高まり、( b )が低くなるように設定すると安全性が高まる。

ア a:他人受入率  b:本人拒否率
イ a:他人受入率  b:未対応率
ウ a:本人拒否率  b:他人受入率
エ a:未対応率   b:本人拒否率
 

解説(令和3年 問69)

本人拒否率(FRR:False Rejection Rate)は、認証しようとしている人が本人であるにもかかわらず、認証がエラー(Rejection=拒否)になる確率です。

他人受入率(FAR:False Acceptance Rate)は、認証しようとしている人が他人で認証(Acceptance=受け入れ)されてしまう確率です。

よって、 正解は  です。

令和3年 問73

IoTデバイスに関わるリスク対策のうち、IoTデバイスが盗まれた場合の耐タンパ性を高めることができるものはどれか。

ア IoTデバイスとIoTサーバ間の通信を暗号化する。
イ IoTデバイス内のデータを、暗号鍵を内蔵するセキュリティチップを使って暗号化する。
ウ IoTデバイスに最新のセキュリティパッチを速やかに適用する。
エ IoTデバイスへのログインパスワードを初期値から変更する。
 

解説(令和3年 問73)

耐タンパ性は、ハードウェアなどに対して外部から不正に行われる内部データの改ざんや解読、取出しなどがされにくくなっている性質です。
(ITパスポート 令和2年 問90より)

ア IoTデバイスが盗まれた場合、”IoTデバイスとIoTサーバ間の通信を暗号化”しても、ハードウェアに対する、内部データの改ざんや解読、取出しを防ぐことはできません。

イ セキュリティチップは、デバイス内部のデータの暗号化により、内部データの改ざんや解読、取出しの可能性を低くすることができます。

ウ セキュリティパッチは、ソフトウェアの脆弱性を修正するために適用します。IoTデバイスが盗まれた場合、ハードウェアに対する、内部データの改ざんや解読、取出しを防ぐことはできません。

エ IoTデバイスが盗まれた場合、”ログインパスワードを初期値から変更”しても、ハードウェアに対する、内部データの改ざんや解読、取出しを防ぐことはできません。

よって、正解は  です。

令和3年 問76

IoTデバイス群とそれを管理するIoTサーバで構成されるIoTシステムがある。全てのIoTデバイスは同一の鍵を用いて通信の暗号化を行い、IoTサーバではIoTデバイスがもつ鍵とは異なる鍵で通信の復号を行うとき、この暗号技術はどれか。

ア 共通鍵暗号方式
イ 公開鍵暗号方式
ウ ハッシュ関数
エ ブロックチェーン
 

解説(令和3年 問76)

問題文より、IoTデバイスは公開鍵を使って暗号化し、IoTサーバは秘密鍵で復号化しています。

これは、公開鍵暗号方式です。

公開鍵暗号方式の説明(テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術)

ア 共通鍵暗号方式では、暗号化及び復号に同一の鍵を使用します。
(応用情報 平成29年秋午前 問41より)

ウ ハッシュ関数は、ディジタル署名やブロックチェーンなどで利用されています。
(ITパスポート 令和元年秋 問93より)

エ ブロックチェーンは、複数の取引記録をまとめたデータを順次作成するときに、そのデータに直前のデータのハッシュ値を埋め込むことによって、データを相互に関連付け、取引記録を矛盾なく改ざんすることを困難にすることで、データの信頼性を高める技術です。
(ITパスポート 令和元年秋 問59より)

よって、正解は  です。

令和3年 問77

PDCAモデルに基づいてISMSを運用している組織の活動において、リスクマネジメントの活動状況の監視の結果などを受けて、是正や改善措置を決定している。この作業は、PDCAモデルのどのプロセスで実施されるか。

ア P
イ D
ウ C
エ A
 

解説(令和3年 問77)

PDCAの各プロセスの内容は、次の通りです。

Plan(計画)
自らの仮説に基づいて、目標・目的を設定し、論理的に計画を立案します。

Do(実行)
計画を実行します。

Check(評価)
実行した内容を。計画どおりに進んだのか、目標の数値は達成できたかを振り返り、評価します。

Action(改善)
Checkでの評価からの気づきや浮かび上がった課題を、今後どのような対策や改善を行っていくべきかを検討し仮説をたてます。

”リスクマネジメントの活動状況の監視の結果などを受けて,是正や改善措置を決定”は、Action(改善)の内容です。

よって、正解は  です。

令和3年 問79

中小企業の情報セキュリティ対策普及の加速化に向けて、IPAが創設した制度である“SECURITY ACTION”に関する記述のうち、適切なものはどれか。

ア ISMS認証取得に必要な費用の一部を国が補助する制度
イ 営利を目的としている組織だけを対象とした制度
ウ 情報セキュリティ対策に取り組むことを自己宣言する制度
エ 情報セキュリティ対策に取り組んでいることを第三者が認定する制度
 

解説(令和3年 問79)

「SECURITY ACTION」は中小企業自らが、情報セキュリティ対策に取組むことを自己宣言する制度です。

よって、正解は  です。

令和3年 問81

J-CRATに関する記述として,適切なものはどれか。

ア 企業などに対して,24時間体制でネットワークやデバイスを監視するサービスを提供する。
イ コンビュータセキュリティに関わるインシデントが発生した組織に赴いて,自らが主体となって対応の方針や手順の策定を行う。
ウ コンビュータセキュリティに関わるインシデントが発生した組織に赴いて,自らが主体となって対応の方針や手順の策定を行う。
エ 相談を受けた組織に対して,標的型サイバー攻撃の被害低減と攻撃の連鎖の遮断を支援する活動を行う。
 

解説(令和3年 問81)

J-CRAT(ジェイ・クラート:サイバーレスキュー隊)

サイバーレスキュー隊は、標的型サイバー攻撃の被害低減と攻撃連鎖の遮断を支援する活動を行います。
(IPA(情報処理推進機構)に設置)

ア ”ネットワークやデバイスを監視するサービスを提供する。”とあるので、SOC(Security Operation Center)の記述です。

イ ”自らが主体となって対応の方針や手順の策定を行う。”とあるので、CSIRTについての記述です。

ウ ”サイパー攻撃に関する情報共有と早期対応の場を提供する。”とあるので、J-CSIPについての記述です。

エ ”標的型サイバー攻撃の被害低減と攻撃の連鎖の遮断を支援する活動を行う。”とあるので、J-CRATについての記述です。

よって、正解は  です。

コメント

タイトルとURLをコピーしました