平成16年度 セキュアド 問21−40 問題編




このページは

セキュアド

(情報セキュリティアドミニストレータ試験)

過去問のページです。

解答と解説も欲しい方は解答ページへ行ってください

問21 暗号化方式に関する記述のうち、適切なものはどれか。
AESは公開かぎ暗号方式、RSAは共通かぎ暗号方式の一種である。
共通かぎ暗号方式では、暗号化かぎと復号かぎが同一である。
公開かぎ暗号方式を通信内容の秘匿に使用する場合は、暗号化かぎを秘密にして、復号かぎを公開する。
ディジタル署名は、公開かぎ暗号方式を使用せず、共通かぎ暗号方式を使用する。
問22 公開かぎ暗号を利用した証明書の作成、管理、格納、配布、破棄に必要な方式、システム、プロトコル及びポリシの集合によって実現されるものはどれか。
IPsec
PKI
ゼロ知識証明
ハイブリッド暗号
問23 インターネット上で、安全なクレジット決済の取引処理を提供するために定められたプロトコルはどれか。
CII
RAS
SET
SSL
問24 JPCERT/CC(JPCERTコーディネーションセンター)では、インシデントを六つのタイプに分類している。

Scan:プローブ、スキャン、そのほかの不審なアクセス
Abuse:サーバプログラムの機能を悪用した不正中継
Forged:送信ヘッダを詐称した電子メールの配送
Intrusion:システムへの侵入
DoS:サービス運用妨害につながる攻撃
Other:その他

次の三つのインシデントとタイプの組合せのうち、適切なものはどれか。
インシデント1:ワームの攻撃が試みられた形跡があるが、侵入されていない。
インシデント2:ネットワークの輻湊による被害を受けた。
インシデント3:DoS用の踏み台プログラムがシステムに設置されていた。
画像(問24ans)を表示できません
問25 マクロウイルスの感染に関する記述のうち、適切なものはどれか。
感染したプログラムを実行すると、マクロウイルスが主記憶にロードされ、その間に実行したほかのプログラムのプログラムファイルに感染する。
感染したフロッピーディスクからシステムを起動すると、マクロウイルスが主記憶にロードされ、ほかのフロッピーディスクのブートセクタに感染する。
感染した文章ファイルを開くと、テンプレートやスプレッドシートにマクロウイルスが感染して、その後、別に開いたり新規作成したりした文章ファイルに感染する。
マクロがウイルスに感染しているかどうかは容易に判断できるので、文章ファイルを開く時点で感染を防止することができる。
問26 ネットワーク監視型侵入検知ツール(NIDS)の導入目的はどれか。
管理下のサイトへの不正侵入の試みを記録し、管理者に通知する。
攻撃が防御できないときの損害の大きさを判定する。
サイト上のファイルやシステム上の資源への不正アクセスであるかどうかを判定する。
時間をおいた攻撃の関連性とトラフィックを解析する。
問27 情報システムへの脅威とセキュリティ対策の組合せのうち、適切なものはどれか。
画像(問27ans)を表示できません
問28 ネットワークの非武装セグメント(DMZ)の構築や運用に関する記述のうち、適切なものはどれか。
DMZのサーバの運用監視を内部ネットワークから行うことは、セキュリティ上好ましくないので、操作員がサーバのコンソールから監視できるようにする。
データ保持用のサーバを、DMZのWebサーバから切り離して内部ネットワークに設置することによって、重要データがDMZに置かれることを避ける。
不正侵入をリアルタイムに検出するソフトウェアは、DMZではなく、重要なサーバが設置されている内部ネットワークで稼働させる。
メールサーバをDMZに設置することによって、電子メールの不正中継を阻止できる。
問29 SSLに関する記述のうち、適切なものはどれか。
SSLで使用する個人認証用のディジタル証明書は、ICカードやUSBデバイスに格納できるので、格納場所を特定のパソコンに限定する必要はない。
SSLは特定ユーザ間の通信のために開発されたプロトコルであり、事前の利用者登録が不可欠である。
ディジタル証明書にはIPアドレスが組み込まれているので、SSLを利用するWebサーバのIPアドレスを変更する場合は、ディジタル証明書を再度取得する必要がある。
日本国内では、SSLで使用する共通かぎの長さは、128ビット未満に制限されている。
問30 “情報セキュリティ監査制度:情報セキュリティ管理基準”において、情報セキュリティ基本方針の目的として記述されている内容はどれか。
情報セキュリティのための経営陣の指針及び支持を規定するため
人為的ミス、盗難、不正行為、又は設備誤用によるリスクを軽減するため
組織内の情報セキュリティを管理するため
組織の資産を適切に保護し、管理するため
問31 インテグリティを脅かす攻撃はどれか。
Webページの改ざん
システム停止をねらうDoS攻撃
システム内に保管されているデータの不正取得
通信内容の盗聴
問32 コンピュータ犯罪の手口に関する記述のうち、適切なものはどれか。
サラミ法とは、不正行為が表面化しない程度に、多数の資産から少しずつ詐取する方法である。
スキャベンジング(ごみ箱あさり)とは、回線の一部に秘密にアクセスして他人のパスワードやIDを盗み出してデータを盗用する方法である。
トロイの木馬とは、プログラム実行後のコンピュータ内部又はその周囲に残っている情報をひそかに探索して、必要情報を入手する方法である。
なりすましとは、ネットワークを介して送受信されている音声やデータを不正に傍受することである。
問33 リスクファイナンスを説明したものはどれか。
損失の発生率を低下させることによって保険料を節約し、損失防止を図る。
保険に加入するなど資金面での対策を講じ、リスク移転を図る。
リスクの原因を除去して保険を掛けずに済ませ、リスク回避を図る。
リスクを扱いやすい単位に分割するか集約することによって、保険料を節約し、リスクの分離又は結合を図る。
問34 JIS Q 9001(ISO9001:2000)を適用して、ソフトウェアの品質マネジメントシステムを構築する。その方針を示した次の文章中のa〜dに当てはまる組合せはどれか。

トップマネジメントは、[ a ]に基づいた製品の品質保証に加えて顧客の満足度の向上を目指し、[ b ]を組織全体のパフォーマンスと効率との継続的な改善の手引として[ c ] を確立・実行・維持し、プロセスの改善を推進する。また、[ c ]に基づいてコスト、納期、安全、環境などの経営要素の維持向上と併せて[ d ]を推進する。
画像(問34ans)を表示できません
問35 JIS X 5070(ISO 15408;情報技術セキュリティ評価基準)に関する記述のうち、適切なものはどれか。
開発と並行して評価はできず、評価対象となる製品の開発が完了してから、評価を開始する。
情報資産に損害を与える危険性として、機密性、完全性を損なうだけではなく、可用性を損なう脅威も対象としている。
評価対象となる製品は、要件定義、概要設計、詳細設計を行った後にプログラム開発を行う、ウォータフォール型開発方式に従わなければならない。
保証維持の基準は含まれないが、セキュリティ要求や環境の変化などに伴って行われる評価済み製品の再評価の手順を対象範囲としている。
問36 ISMSのPDCAサイクルモデルにおいて、DOフェーズで実施される事項はどれか。
重要な不都合部分の是正
セキュリティ教育
セキュリティポリシの策定
内部監査
問37 マトリックス組織の特徴を説明したものはどれか。
権限の委譲、分権による新しいセクショナリズムが発生し、部門利益の部分極大化を追及したり、長期的成果よりも短期的成果を優先したりする傾向がある。
全社の製品やサービスよりも自己の職務に関心をもつようになり、過度の権限の集中が起こり、意思決定が遅延する傾向がある。
組織上、業務上で同じような部門や職能が重複して設けられるという無駄が生じ、二重投資、三重投資が行われる傾向がある。
組織のメンバは、二つの異なる組織に属することになり、複数の報告関係が公式に存在するので、責任を負うべき管理者があいまいになる傾向がある。
問38 企業経営における、ステークホルダ重視の目的はどれか。
企業存続の危機につながりかねない、経営者や社員の不正行為を防ぐ。
競合他社に対する差別化の源泉となる経営資源を保有し、強化する。
経営者の権力行使をけん制し、適切な意思決定を行える仕組みを作る。
顧客、株主、地域、社員といった利害関係者の満足度を向上させ、企業の継続した発展を図る。
問39 システム分析時の業務プロセスモデルの適切な定義方法はどれか。
実在する組織や現実の業務にとらわれることなく、必要な業務プロセスを定義する。
実在する組織を前提として、その企業にとって必要な業務プロセスを定義する。
できるだけ具体的な組織名や使用するシステム名称を用いて業務プロセスを定義する。
ビジネスの職能的構造を重視して、必要な業務プロセスを定義する。
問40 EDIを説明したものはどれか。
OSI基本参照モデルに基づく電子メールサービスの国際規格であり、メッセージの作成・転送・処理に関する総合的なサービスである。これによって、異機種間の相互接続が可能となる。
通信回線を介して、商取引のためのデータをコンピュータ(端末を含む)間で交換することである。その際、当事者間で必要となる各種の取決めには、標準的な規約を用いる。
ネットワーク内で伝送されるデータを構築したり、データのフォーマットを変換したりするサービスなど、付加価値を加えた通信サービスである。
発注情報をデータエントリ端末から入力することによって、本部又は仕入先に送信し、発注を行うシステムである。これによって、発注業務の省力化、物流・在庫管理の効率化を図ることができる。