ITパスポート/スキマ時間にちょっと確認1~セキュリティ

ITパスポートすきま問題1テクノロジ系セキュリティ分野別問題集
スポンサーリンク

今回は、問題・選択肢を読み取る力を付けられる問題です。

問題・選択肢の内容を読み取って、自信を持って選択肢を選ぶ練習をしましょう。

なお、解説に正解の理由を詳しく掲載しました。

スポンサーリンク

(1) 令和元年秋 問63

チェーンメールの特徴として、適切なものだけを全て挙げたものはどれか。

a グループ内の連絡や情報共有目的で利用される。

b ネットワークやサーバに、無駄な負荷をかける。

c 返信に対する返信を、お互いに何度も繰り返す。

d 本文中に、多数への転送を煽(あお)る文言が記されている。

ア a、c
イ a、d
ウ b、c
エ b、d
 

解説

チェーンメールには、次の特徴があります。

①ネットワークやサーバに、無駄な負荷をかける。

②本文中に、多数への転送を煽る文言が記されている。

a グループ内には、メールの一斉送信で対応します。

b チェーンメールの特徴です。

c 2者間だけのメール送信なので、チェーンメールでありません。

d チェーンメールの特徴です。

よって、正解は エ です。

(2) 令和元年秋 問67

重要な情報を保管している部屋がある。この部屋への不正な入室及び室内での重要な情報への不正アクセスに関する対策として、最も適切なものはどれか。

ア 警備員や監視カメラによって、入退室確認と室内での作業監視を行う。
イ 室内では、入室の許可証をほかの人から見えない場所に着用させる。
ウ 入退室管理は有人受付とはせず、カード認証などの電子的方法だけにする。
エ 部屋の存在とそこで保管している情報を、全社員に周知する。
 

解説

ア ”入退室確認と室内での作業監視”によって、不正な入室及び室内での重要な情報への不正アクセスの抑止が期待できます。

イ ”入室の許可証をほかの人から見えない場所に着用”では、不正な入室を発見しにくくなります。

ウ ”電子的方法だけ”では、他人のカードでの不正入室を防げません。

エ ”保管している情報を、全社員に周知する”では、重要な情報を部屋に保管する意味がなくなります。

よって、正解は ア です。

(3) 令和元年秋 問68

1年前に作成した情報セキュリティポリシについて、適切に運用されていることを確認するための監査を行った。この活動はPDCAサイクルのどれに該当するか。

ア P
イ D
ウ C
エ A
 

解説

PDCAサイクルは、Plan(計画)→ Do(実行)→ Check(評価)→ Act(改善)の順に進めます。

”確認するための監査”とあるので該当するのは、”Check(評価)”です。

よって、正解は ウ です。

(4) 令和2年 問56

HTML形式の電子メールの特徴を悪用する攻撃はどれか。

ア DoS攻撃
イ SOLインジェクション
ウ 悪意のあるスクリプ卜の実行
エ 辞書攻撃
 

解説

ア DoS (Denial of Service)攻撃は、電子メールやWeb リクヱストなどを大量に送りつけて,ネットワーク上のサーピスを提供不能にすることです。
(ITパスポート 平成25年春 問52より)

イ SOLインジェクションは、SQLインジェクションは、ウェブアプリケーションへ宛てた要求に、悪意を持って細工されたSQL文を埋め込まれて(Injection)、データベースを不正に操作されてしまう問題です。

ウ 悪意のあるスクリプ卜の実行は、アンケート、掲示板のように、ユーザからの入力内容をウェブページに表示するウェブアプリケーションで、悪意を持ったスクリプト(命令)を埋め込まれてしまい、偽ページの表示などが可能になってしまうことです。

スクリプトは、プログラムのことです。特に、JavaScriptは、Webブラウザで実行できます。

よって、正解は ウ です。

(5) 令和2年 問58

受信した電子メールに添付されていた文書ファイルを聞いたところ、PCの挙動がおかしくなった。疑われる攻撃として、適切なものはどれか。

ア SOLインジェクション
イ クロスサイトスクリプティング
ウ ショルダーハッキング
エ マクロウイルス
 

解説

ア SOLインジェクションは、Webアプリケーションのデータ操作言語の呼出し方に不備がある場合に、攻撃者が悪意をもって構成した文字列を入力することによって,データベースのデータの不正な取得、改ざん及び削除をする攻撃です。
(基本情報 平成28年春午前 問37より)

イ クロスサイトスクリプティングは、Webアプリケーションに用意された入力フィールドに,悪意のあるJavaScriptコードを含んだデータを入力する攻撃です。
(情報セキュリティマネジメント 平成28年秋午前 問22より)

ウ ショルダーハッキングは、のぞき見です。

エ マクロウイルスは、Office アプリケーションなどで動作する、マクロ機能を使って作成されたコンピュータウイルスです。

よって、正解は エ です。

(6) 令和4年 問55

 情報セキュリティにおけるPCIDSSの説明として、適切なものはどれか。

ア クレジットカード情報を取り扱う事業者に求められるセキュリティ基準
イ コンピュータなどに内蔵されるセキュリティ関連の処理を行う半導体チップ
ウ コンピュータやネットワークのセキュリティ事故に対応する組織
エ サーバやネットワークの通信を監視し、不正なアクセスを検知して攻撃を防ぐシステム
 

解説

ア PCIDSSの説明です。

イ ”セキュリティ関連の処理を行う半導体チップ”とあるので、TPMの説明です。

ウ ”コンピュータやネットワークのセキュリティ事故に対応する組織”とあるので、CSIRTの説明です。

エ ”不正なアクセスを検知して攻撃を防ぐシステム”とあうので、SIEMの説明です。

よって、正解は ア です。

(7) 令和4年 問69

 サイバーキルチェーンの説明として、適切なものはどれか。

ア 情報システムへの攻撃段階を、偵察、攻撃、目的の実行などの複数のフェーズに分けてモデル化したもの
イ ハブやスイッチなどの複数のネットワーク機器を数珠つなぎに接続していく接続方式
ウ ブロックと呼ばれる幾つかの取引記録をまとめた単位を、一つ前のブロックの内容を示すハッシュ値を設定して、鎖のようにつなぐ分散管理台帳技術
エ 本文中に他者への転送を促す文言が記述された迷惑な電子メールが、不特定多数を対象に、ネットワーク上で次々と転送されること
 

解説

サイバーキルチェーンは、サイバー攻撃の段階を説明した代表的なモデルの一つです。

サイバー攻撃を7段階に区分して、攻撃者の考え方や行動を理解することを目的としています。

サイバーキルチェーンのいずれかの段階でチェーンを断ち切ることができれば、被害の発生を防ぐことができます。
(情報セキュリティマネジメント 平成31年春午後 問1より)

ア ”情報システムへの攻撃段階を””モデル化したもの”とあるので、サイバーキルチェーンの説明です。

イ ”複数のネットワーク機器を数珠つなぎに接続していく接続方式”は、デイジーチェーン接続です。

ウ ”分散管理台帳技術”とあるので、ブロックチェーンです。

エ ”電子メールが、不特定多数を対象に、ネットワーク上で次々と転送されること”は、チェーンメールです。

よって、正解は ア です。

今回は、問題・選択肢を読み取る力を付けられる問題を確認しました。

次回は、攻撃の名称と方法を覚えられる問題を確認しましょう。

次は、こちら

スキマ時間問題
第2回へ

コメント

タイトルとURLをコピーしました