平成16年度 セキュアド 問21−40 解答編




このページは

セキュアド

(情報セキュリティアドミニストレータ試験)

解答と解説のページです。

問題だけで勉強したい方は目次へ戻ってください

問21 暗号化方式に関する記述のうち、適切なものはどれか。
AESは公開かぎ暗号方式、RSAは共通かぎ暗号方式の一種である。
共通かぎ暗号方式では、暗号化かぎと復号かぎが同一である。
公開かぎ暗号方式を通信内容の秘匿に使用する場合は、暗号化かぎを秘密にして、復号かぎを公開する。
ディジタル署名は、公開かぎ暗号方式を使用せず、共通かぎ暗号方式を使用する。
解答
解説 2つの暗号方式を以下にまとめます。

共通かぎ暗号方式:暗号鍵と復号鍵が同じで、比較的高速に暗号化できます。また、対象数が多くなると鍵の数が膨大になるというデメリットがあります。
公開かぎ暗号方式:暗号鍵を公開し、復号鍵を受信者が秘密にします。共通かぎに比べて時間がかかりますが、対象者が増えても復号鍵は1個のままというメリットがあります。

AESはDESの後継にあたる代表的な共通かぎ暗号方式の規格で、RSAは巨大数の因数分解を利用したもので公開かぎ暗号方式の代表的な規格です。
問22 公開かぎ暗号を利用した証明書の作成、管理、格納、配布、破棄に必要な方式、システム、プロトコル及びポリシの集合によって実現されるものはどれか。
IPsec
PKI
ゼロ知識証明
ハイブリッド暗号
解答
解説 PKI(Public Key Infrastrucute)は公開鍵基盤または、公開鍵暗号基盤と訳されるもので、公開かぎ暗号に関するインフラを指す用語です。

IPsec(Security Architecture for Internet Protocol)は、IPパケットを暗号化するプロトコルです。。パケット単位で暗号化を行うもので、VPNなどに利用されます。
ゼロ知識証明(zero knowledge proof:ZKIP)は暗号理論の考え方で、自分がもっている秘密情報を直接を教えることなく最小限の情報で相手に伝える事です。
ハイブリット暗号は複数の暗号技術を組み合わせて行う暗号方式で、共通かぎと公開かぎを組み合わせたものを指すことが多いです。
問23 インターネット上で、安全なクレジット決済の取引処理を提供するために定められたプロトコルはどれか。
CII
RAS
SET
SSL
解答
解説 SET(Secure Eletronic Transaction)はインターネット上で安全な決算を行うためのセキュリティプロトコルです。SSLもセキュリティプロトコルですが、これは、HTTPやFTPなどに代表される通信を暗号化するプロトコルです。他の2つはセキュリティにはあまり関係ない用語で、選択肢アは産業情報推進センターのことで、RASはリモートアクセスの仕様のことです。
問24 JPCERT/CC(JPCERTコーディネーションセンター)では、インシデントを六つのタイプに分類している。

Scan:プローブ、スキャン、そのほかの不審なアクセス
Abuse:サーバプログラムの機能を悪用した不正中継
Forged:送信ヘッダを詐称した電子メールの配送
Intrusion:システムへの侵入
DoS:サービス運用妨害につながる攻撃
Other:その他

次の三つのインシデントとタイプの組合せのうち、適切なものはどれか。
インシデント1:ワームの攻撃が試みられた形跡があるが、侵入されていない。
インシデント2:ネットワークの輻湊による被害を受けた。
インシデント3:DoS用の踏み台プログラムがシステムに設置されていた。
画像(問24ans)を表示できません
解答
解説 まず、インシデントとは脅威のことで、障害や損害を引き起こすような攻撃のことを指します。また、輻輳とは。トラフィックが増大しサービスが提供しにくい状態などを指します。
インデント1はワームの攻撃失敗ということなので、下調べはしたが、実際の攻撃には失敗したということなのでIntrusionは未遂に終わり、Scanまでにとどまったということです。次に、輻輳攻撃は典型的なDosといえます。また複数からのDos攻撃をDDosといいます。Dos用の踏み台をしかけられたということは、システムに侵入されたということです。この場合踏み台のほかにもバックドアなどにも気を配る必要があります。
問25 マクロウイルスの感染に関する記述のうち、適切なものはどれか。
感染したプログラムを実行すると、マクロウイルスが主記憶にロードされ、その間に実行したほかのプログラムのプログラムファイルに感染する。
感染したフロッピーディスクからシステムを起動すると、マクロウイルスが主記憶にロードされ、ほかのフロッピーディスクのブートセクタに感染する。
感染した文章ファイルを開くと、テンプレートやスプレッドシートにマクロウイルスが感染して、その後、別に開いたり新規作成したりした文章ファイルに感染する。
マクロがウイルスに感染しているかどうかは容易に判断できるので、文章ファイルを開く時点で感染を防止することができる。
解答
解説 マクロウィルスとは、WordやExcelに代表されるプログラムで使用する小さなプログラム(マクロ)を利用したウィルスのことで、感染したファイルを開いた後に別のファイルを開いたり、作成・編集することで感染が拡大します。どんなウィルスでもそうですが、容易に感染を判断できるということはありません。
問26 ネットワーク監視型侵入検知ツール(NIDS)の導入目的はどれか。
管理下のサイトへの不正侵入の試みを記録し、管理者に通知する。
攻撃が防御できないときの損害の大きさを判定する。
サイト上のファイルやシステム上の資源への不正アクセスであるかどうかを判定する。
時間をおいた攻撃の関連性とトラフィックを解析する。
解答
解説 IDS(Intrusion Detection System:侵入検知システム)には2つのタイプがあり、特定のホスト上で監視をするホスト型とネットワーク上をすべてを監視するネットワーク型があります。この目的は不正侵入の検出です。

選択肢アがネットワークIDS。選択肢ウがホストIDSとなります。
問27 情報システムへの脅威とセキュリティ対策の組合せのうち、適切なものはどれか。
画像(問27ans)を表示できません
解答
解説 正解以外の脅威の対策についてまとめます。

地震と火災に対しては、遠隔地にバックアップを取っておくことが有効です。
物理的な盗難と破壊に対しては、部屋に入るための入出管理等が有効です。
伝送中のデータへの不正アクセスに対しては、暗号化が有効です。CRCとは、巡回冗長検査のことで誤り検出方法の1つです。
問28 ネットワークの非武装セグメント(DMZ)の構築や運用に関する記述のうち、適切なものはどれか。
DMZのサーバの運用監視を内部ネットワークから行うことは、セキュリティ上好ましくないので、操作員がサーバのコンソールから監視できるようにする。
データ保持用のサーバを、DMZのWebサーバから切り離して内部ネットワークに設置することによって、重要データがDMZに置かれることを避ける。
不正侵入をリアルタイムに検出するソフトウェアは、DMZではなく、重要なサーバが設置されている内部ネットワークで稼働させる。
メールサーバをDMZに設置することによって、電子メールの不正中継を阻止できる。
解答
解説 DMZとは、内部のLANと外部のインターネットを直接つなぐのは危険なため、その中間に配置され、基本的に外部からのアクセスは不可・内部からは許可されるネットワークゾーンのことです。また、重要なデータを内部ネットワークに配置することで、万が一DMZがクラッキングされたとしても重要なデータを守ることができます。
問29 SSLに関する記述のうち、適切なものはどれか。
SSLで使用する個人認証用のディジタル証明書は、ICカードやUSBデバイスに格納できるので、格納場所を特定のパソコンに限定する必要はない。
SSLは特定ユーザ間の通信のために開発されたプロトコルであり、事前の利用者登録が不可欠である。
ディジタル証明書にはIPアドレスが組み込まれているので、SSLを利用するWebサーバのIPアドレスを変更する場合は、ディジタル証明書を再度取得する必要がある。
日本国内では、SSLで使用する共通かぎの長さは、128ビット未満に制限されている。
解答
解説 SSL(Secure Socket Layer)はディジタル証明書はCA(認証局)により発行されたデータなので、持ち歩くことは可能です。SSLのようなプロトコルに登録制度はありません。また、ディジタル証明書には様々な情報を基に発行をするものですが、IPアドレスが組み込まれたいるということはありません。また、現在では128ビット以上でも取り扱えます。
問30 “情報セキュリティ監査制度:情報セキュリティ管理基準”において、情報セキュリティ基本方針の目的として記述されている内容はどれか。
情報セキュリティのための経営陣の指針及び支持を規定するため
人為的ミス、盗難、不正行為、又は設備誤用によるリスクを軽減するため
組織内の情報セキュリティを管理するため
組織の資産を適切に保護し、管理するため
解答
解説 いずれもセキュリティ監査にとっては重要なことですが、管理基準の基本方針とは、経営陣の指針や支持を規定することを目的としています。他の選択肢はその実現を行うためにとる対策といえます。
問31 インテグリティを脅かす攻撃はどれか。
Webページの改ざん
システム停止をねらうDoS攻撃
システム内に保管されているデータの不正取得
通信内容の盗聴
解答
解説 インテグリティ(integrity):保全性とはRASISの一つで一貫性を保つ性質のことです。つまり、データが改ざんされることは、これを保つことができないので、選択肢アが正解となります。システム停止は可用性を低下させる可能性があります。データの流出と盗聴は安全性を脅かす可能性があります。
問32 コンピュータ犯罪の手口に関する記述のうち、適切なものはどれか。
サラミ法とは、不正行為が表面化しない程度に、多数の資産から少しずつ詐取する方法である。
スキャベンジング(ごみ箱あさり)とは、回線の一部に秘密にアクセスして他人のパスワードやIDを盗み出してデータを盗用する方法である。
トロイの木馬とは、プログラム実行後のコンピュータ内部又はその周囲に残っている情報をひそかに探索して、必要情報を入手する方法である。
なりすましとは、ネットワークを介して送受信されている音声やデータを不正に傍受することである。
解答
解説 正解以外の手口の内容をまとめます。

スキャべジングはごみ箱や、机の上に無造作に置かれた書類を無断で持ち出したり、コピーをしたりする不正行為をいいます。
トロイの木馬とは、増殖能力こそないもののほぼウィルスに相当するプログラムで、ユーザの意図しない行動を引き起こします。
なりすましとは、他人のユーザIDやパスワードなどを使って、他のユーザになりすましてシステムやサービスを利用する行為を指します。
問33 リスクファイナンスを説明したものはどれか。
損失の発生率を低下させることによって保険料を節約し、損失防止を図る。
保険に加入するなど資金面での対策を講じ、リスク移転を図る。
リスクの原因を除去して保険を掛けずに済ませ、リスク回避を図る。
リスクを扱いやすい単位に分割するか集約することによって、保険料を節約し、リスクの分離又は結合を図る。
解答
解説 まず、リスク処理はリスクコントロール(リスクが現実化しないようにしたり、損害を最小限にすること)とリスクファイナンス(資金対策)に分けられます。リスクファイナンスの代表例は保険に入ることです。代表的な例を以下に示します。
リスク移転 = リスクが発生しても影響がでないようにする
リスク回避 = リスクが起きる脅威の排除すること
リスク軽減 = リスクが起きたときに、損害を減らすこと
リスク保有 = リスクが起きたときに、お金で何とかすること(災害準備金を積み立てておくなど)
問34 JIS Q 9001(ISO9001:2000)を適用して、ソフトウェアの品質マネジメントシステムを構築する。その方針を示した次の文章中のa〜dに当てはまる組合せはどれか。

トップマネジメントは、[ a ]に基づいた製品の品質保証に加えて顧客の満足度の向上を目指し、[ b ]を組織全体のパフォーマンスと効率との継続的な改善の手引として[ c ] を確立・実行・維持し、プロセスの改善を推進する。また、[ c ]に基づいてコスト、納期、安全、環境などの経営要素の維持向上と併せて[ d ]を推進する。
画像(問34ans)を表示できません
解答
解説 4つの用語についてまとめます。

JISQ9001:品質マネジメントの始めの部分に当たる部分で、『要求事項』に関することが記述されています。
JISQ9004:品質マネジメントの『品質マネジメントシステムに関するパフォーマンス改善指針』に関することが記述されています。
QMS:品質マネジメントシステムや品質管理監督システムと訳され、物品の製造やサービスの提供の品質を管理監督するシステムのことです。
TQM:総合的品質管理と訳され、組織全体として統一した品質管理目標への取り組みを経営戦略へ適用したもののこと。
問35 JIS X 5070(ISO 15408;情報技術セキュリティ評価基準)に関する記述のうち、適切なものはどれか。
開発と並行して評価はできず、評価対象となる製品の開発が完了してから、評価を開始する。
情報資産に損害を与える危険性として、機密性、完全性を損なうだけではなく、可用性を損なう脅威も対象としている。
評価対象となる製品は、要件定義、概要設計、詳細設計を行った後にプログラム開発を行う、ウォータフォール型開発方式に従わなければならない。
保証維持の基準は含まれないが、セキュリティ要求や環境の変化などに伴って行われる評価済み製品の再評価の手順を対象範囲としている。
解答
解説 評価は完了する前から並行して行う分には問題ありません。また、開発モデルもウォータフォール型のみならず、スパイラルモデルや、プロトタイプモデルでも構いません。さらに、保障維持は対象に含まれ、再評価は対象外となっています。
問36 ISMSのPDCAサイクルモデルにおいて、DOフェーズで実施される事項はどれか。
重要な不都合部分の是正
セキュリティ教育
セキュリティポリシの策定
内部監査
解答
解説 PDCAサイクルとはPlan(計画)⇒Do(実行)⇒Check(確認)⇒Act(改善)の4つのサイクルを指します。これに従い、4つを分類すると、セキュリティポリシの策定(P)⇒セキュリティ教育(D)⇒内部監査(C)⇒重要な不都合部分の是正(A)となります。
問37 マトリックス組織の特徴を説明したものはどれか。
権限の委譲、分権による新しいセクショナリズムが発生し、部門利益の部分極大化を追及したり、長期的成果よりも短期的成果を優先したりする傾向がある。
全社の製品やサービスよりも自己の職務に関心をもつようになり、過度の権限の集中が起こり、意思決定が遅延する傾向がある。
組織上、業務上で同じような部門や職能が重複して設けられるという無駄が生じ、二重投資、三重投資が行われる傾向がある。
組織のメンバは、二つの異なる組織に属することになり、複数の報告関係が公式に存在するので、責任を負うべき管理者があいまいになる傾向がある。
解答
解説 マトリックスは行列と訳されるように、縦と横のように複数の部門に同時に所属するというものです。複数の部門に参加できる反面命令一元化の法則がくずれるというデメリットがあります。
問38 企業経営における、ステークホルダ重視の目的はどれか。
企業存続の危機につながりかねない、経営者や社員の不正行為を防ぐ。
競合他社に対する差別化の源泉となる経営資源を保有し、強化する。
経営者の権力行使をけん制し、適切な意思決定を行える仕組みを作る。
顧客、株主、地域、社員といった利害関係者の満足度を向上させ、企業の継続した発展を図る。
解答
解説 ステークホルダとは利害関係者と訳されます。つまり、利害(主に利益)関係の強い関係者の満足度を上げることで、企業に利益をもたらしてもらうという考え方です。
問39 システム分析時の業務プロセスモデルの適切な定義方法はどれか。
実在する組織や現実の業務にとらわれることなく、必要な業務プロセスを定義する。
実在する組織を前提として、その企業にとって必要な業務プロセスを定義する。
できるだけ具体的な組織名や使用するシステム名称を用いて業務プロセスを定義する。
ビジネスの職能的構造を重視して、必要な業務プロセスを定義する。
解答
解説 業務プロセスモデルは、モデルなので、実際の業務にとらわれる必要はありません(かけ離れすぎるのも問題があります)。実際の具体的な名称よりも抽象化された概念をとして定義していきます。
問40 EDIを説明したものはどれか。
OSI基本参照モデルに基づく電子メールサービスの国際規格であり、メッセージの作成・転送・処理に関する総合的なサービスである。これによって、異機種間の相互接続が可能となる。
通信回線を介して、商取引のためのデータをコンピュータ(端末を含む)間で交換することである。その際、当事者間で必要となる各種の取決めには、標準的な規約を用いる。
ネットワーク内で伝送されるデータを構築したり、データのフォーマットを変換したりするサービスなど、付加価値を加えた通信サービスである。
発注情報をデータエントリ端末から入力することによって、本部又は仕入先に送信し、発注を行うシステムである。これによって、発注業務の省力化、物流・在庫管理の効率化を図ることができる。
解答
解説 EDI(Electronic Data Interchange)は企業間商取引のことで、ネットワーク上で取引をする際の取り決めをすることでうs。取決めには情報伝達規約、情報表現規約、情報運用規約、情報基本規約の4つの取決めがあります。

選択肢アはMHS(Message Handling System:メッセージ通信処理システム)の説明です。
選択肢ウはVAN(Value Added Network:付加価値通信網)の説明です。
選択肢エはEOS(Electoronic Ordering System:電子発注システム)の説明です。