平成17年度 セキュアド 問21−40 解答編





このページは

セキュアド

(情報セキュリティアドミニストレータ試験)

解答と解説のページです。

問題だけで勉強したい方は目次へ戻ってください


問21 SSLの機能を説明したものはどれか。
TCPとアプリケーションとの間において、クライアントとサーバ間の認証をHandshakeプロトコルで行う。
電子メールに対して、PKIを適用するためのデータフォーマットを提供する。
ネットワーク層のプロトコルであり、IPパケットの暗号化及び認証を行う。
ログインやファイル転送の暗号通信を行う目的で、チャレンジレスポンスの仕組みを用いてrコマンド群の認証を行う。
解答
解説 SSL(Secure Socket Layer)やTLS(Transport Layer Security)はインターネットで広く用いられている暗号化技術であり、TLSをSSLに含めて用いる場合もあるようです。個人情報やパスワードを入力する画面のURLでhttpsというのは、これらの技術を応用して安全に情報を転送できるプロトコルのことです。

問22 公開かぎ暗号方式を用い、送受信メッセージを暗号化して盗聴されないようにしたい。送信時にメッセージの暗号化に使用するかぎはどれか。
送信先の公開かぎ
送信先の秘密かぎ
送信元の公開かぎ
送信元の秘密かぎ
解答
解説 RSAに代表される公開かぎ暗号方式は、送信先(受信者)の公開かぎで暗号化し、送信先(受信者)の秘密かぎで復号します。なお、ディジタル署名はその逆で、送信元(送信者)の秘密かぎで暗号化し、受信元(送信者)の公開かぎで復号化します。

問23 電子メールに用いるディジタル署名に関する記述のうち、適切なものはどれか。
電子メールの内容の改ざんを防ぐことはできないが、改ざんが行われた場合には検知できる。
電子メールの内容の改ざんを防ぐことはできるが、機密性を保証することはできない。
電子メールの内容の機密性を保証することはできるが、改ざんを防ぐことはできない。
電子メールの内容の機密性を保証すると同時に、改ざんが行われた場合に修復できる。
解答
解説 ディジタル署名は公開かぎ暗号方式を逆に利用したもので、送信者の秘密かぎで暗号化し、送信者の公開かぎで復号します。ディジタル署名の目的は2つで、1つは公開かぎ暗号方式を利用した本人の確認で、2つ目はメッセージダイジェストを利用した改ざんの確認です。

画像(問23kai)を表示できません

問24 公開かぎ暗号方式によるディジタル署名のプロセスとハッシュ値の使用方法に関する記述のうち、適切なものはどれか。
受信者は、送信者の公開かぎで複合してハッシュ値を取り出し、元のメッセージをハッシュ変換して求めたハッシュ値と比較する。
送信者はハッシュ値を自分の公開かぎで暗号化して、元のメッセージと共に受信者に送る。
ディジタル署名の対象とする元のメッセージは、それを変換したハッシュ値から復元できる。
元のメッセージ全体に対して公開かぎで暗号化を行い、ハッシュ値を用いて復号する。
解答
解説 メッセージダイジェストのハッシュ値の例を以下に示します。

画像(問24kai)を表示できません

問25 パケットフィルタリング型ファイアウォールがルール一覧のアクションに基づいてパケットを制御する場合、パケットAに対する処理はどれか。ここで、ファイアウォールでの処理は番号の順に行い、一つのルールが適合した場合には残りのルールを無効とする。

画像(問25)を表示できません
番号1によって、通過が禁止される。
番号2によって、通過が許可される。
番号3によって、通過が許可される。
番号4によって、通過が禁止される。
解答
解説 上から順にみていくと、
1.10.1.2.3からの通信を禁止する
2.10.2.3.*へのTCPによる25番への通信のみ許可する
3.10.1.*へのTCPによる25番への通信のみ許可する
4.それ以外の通信はすべて禁止とする。

今回は10.1.2.3からの通信なので、1番に引っかかりそれ以外は無効となります。

問26 ベネトレーションテストで確認する対象はどれか。
使用している暗号方式の強度
対象プログラムの様々な入力に対する出力結果と仕様上の出力との一致
ファイアウォールが単位時間当たりに処理できるセション数
ファイアウォールや公開サーバに対するセキュリティホールや設定ミスの有無
解答
解説 ペネトレーションテストとは、セキュリティにおけるぜい弱性を実際に侵入などの攻撃をしてみるテストすることです。これにより、セキュリティ上の弱点などを発見することを目的とします

問27 セキュリティ対策の“予防”に該当するものはどれか。
アクセスログをチェックし、不正なアクセスがないかどうかを監視する。
コンティンジェンシープランを策定し、訓練を実施する。
重要ファイルのバックアップ処理を定期的に行う。
セキュリティに関する社内教育を実施し、個人の意識を高める。
解答
解説 セキュリティ対策の予防も一般的に使われている予防という単語とほとんど同義です。つまり、何か損害が発生する前にそれを抑える対処のことを指します。ログのチェックやバックアップは損害が発生した後に、その分析や回復をするもので、事前に損害を抑える能力はありません。また、コンティンジェンシープランとは緊急時対応計画のことです。

問28 ブラウザからWebサーバにアクセスするシステムのセキュリティに関する記述のうち、適切なものはどれか。
CGI又はサーブレットによって生成されたHTML文章は動的に変化するので、プロキシサーバでのキャッシュの内容が、本来の利用者以外に開示されることはない。
SSLを使用すれば、通信経路上にブロキシサーバが存在しても、各利用者とWebサーバとの間での参照情報が、本来の利用者以外に開示されることはない。
複数の利用者が同一のパソコンを利用する場合、最初にHTTP基本認証を利用したログイン操作を行うようにすれば、ブラウザを起動したまま利用者が交代しても、本来の利用者以外に情報が開示されることはない。
リバースプロキシは静的コンテンツのキャッシュができないので、それを使ってもクライアントへの応答時間が改善されることはない。
解答
解説 ブロキシサーバは代理サーバどもよばれ、主にDMZ等におかれて、Webページ等へのアクセスを高速にかつ代理的に行います。よって、その内容は利用者以外にも知られる可能性はあります。SSLは暗号化技術の一つで、プロキシサーバがあっても、その暗号は端末間で暗号・復号するので途中で利用者以外が内容を読み取ることはできません。ブラウザを起動したままということはログインしたままということなので、これも他人に内容を知られる可能性があります(なりすまし等にも悪用されかねません)。リバースプロキシはプロキシサーバの逆で、外部からのアクセスを内部に中継します。よって、キャッシュしたデータをりようするので、クライアントへの応答時間は短縮されます。

問29 ISMS適合性評価制度における情報セキュリティポリシに関する記述のうち、適切なものはどれか。
基本方針は、事業の特徴、組織、その所在地、資産及び技術を考慮して策定する。
重要な基本方針を定めた機密文章であり、社内の関係者以外の目に触れないようにする。
セキュリティの基本方針を述べたものであり、ビジネス環境や技術が変化しても変更してはならない。
特定のシステムについてリスク分析を行い、そのセキュリティ対策とシステム運用の詳細を記述したものである。
解答
解説 セキュリティポリシはその会社の特性を十分に考慮して基本計画を立てます。そして、社員全員に周知徹底する必要があります。また、セキュリティポリシは必要に応じて改正をする必要があり特定のシステムについてのみに限定をするものでもありません。

問30 情報漏えいに関するリスク対策のうち、リスク回避に該当するものはどれか。
外部の者が侵入できないように、入退室をより厳重に管理する。
情報資産を外部のデータセンタに預ける。
情報の重要性と対策費用を勘案し、あえて対策をとらない。
メーリングリストの安易な作成を禁止し、不要なものを廃止する。
解答
解説 まず、リスクマネジメントは基本的にはリスクコントロール(リスクが現実化しないようにしたり、損害を最小限にすること)とリスクファイナンス(資金対策)に分けられます。テストに出題されやすい代表的な4つを、以下にまとめます
リスク移転 = リスクが発生しても影響がでないようにする
リスク回避 = リスクが起きる脅威の排除すること
リスク軽減 = リスクが起きたときに、損害を減らすこと
リスク保有 = リスクが起きたときに、お金で何とかすること(災害準備金を積み立てておくなど)

今回はこの事前にリスクを排除することなので、メーリングリスト(ML)を厳重管理が相当します。

問31 リスク分析の作業A〜Eの適切な順序はどれか。

A:損出の発生頻度と強度の推定
B:損出の財務的影響度の評価
C:予想されるリスクの識別
D:リスク処理の優先順位の決定
E:リスク処理方法の費用対効果の分析
C→A→B→D→E
C→B→A→D→E
D→A→B→C→E
D→C→A→B→E
解答
解説 リスク分析は、主に以下のようなステップで行われます
@リスクの対象範囲の決定
Aリスクの洗い出し
B重要度別に分類
C分類したリスクの評価
D脅威の洗い出し
E脆弱性の洗い出し
F評価

つまり、どんなリスクがあるか→リスクの被害はどんなものか→どんな対策をするか→対策は適切かのような流れを覚えていれば大丈夫だと思います。

問32 セキュリティレビュー、リスク分析、セキュリティ対策の計画策定、セキュリティ対策の実施のプロセスにおいて、リスク分析で得られる効果はどれか。
ぜい弱性の発見
セキュリティコントロールの組み込み
セキュリティ仕様
損失の大きさと発生頻度
解答
解説 リスク分析は、主に以下のようなステップで行われます
@リスクの対象範囲の決定
Aリスクの洗い出し
B重要度別に分類
C分類したリスクの評価
D脅威の洗い出し
E脆弱性の洗い出し
F評価

つまり、どんなリスクがあるか→リスクの被害はどんなものか→どんな対策をするか→対策は適切かのような流れを覚えていれば大丈夫だと思います。

問33 営業債権管理業務に関する内部統制のうち、適切なものはどれか。
売掛金回収条件の設定は、営業部門ではなく、審査部門が行っている。
売掛金の消込み入力と承認処理は、迅速性を重視する必要から経理部門ではなく、営業部門が行っている。
顧客ごとの与信限界の決定は、審査部門ではなく、営業部門の責任者が行っている。
値引き・割戻し処理は、経理事務の担当者でなく、取引先の実態を熟知している請求業務の担当者が行っている。
解答
解説 内部統制とは、業務の有効的・効率的運用をするために、自ら策定するルールや規則などをいいます。

選択肢イは、経理部門が行います。
選択肢ウは、審査部門が行います。
選択肢エは、経理部門が行います。

なお、内部統制には、6つの基本要素と4つの目的があります。

6つの基本要素
・統制環境
・リスクの評価と対応
・統制活動
・情報の伝達
・モニタリング
・ITへの対応

4つの目的
・業務の有効性・効率性
・財務報告の信頼性
・法令遵守
・資産の保全

一方、外部統制は、第三者が企業の状況を調べることをいいます。

問34 データ入力の重複を発見し、修正するのに有効な内部統制手続はどれか。
ドキュメンテーションの完備
取引記録と入力データの照合
入力時のフィールド検査
バックアップリカバリ手順の確立
解答
解説 ドキュメンテーション(書類)がいくら完備されていても、人間はミスをしてしまうものです。しかし、操作が分からない時などには役に立つといえます。入力時のフィールド検査は、入力した型や適切な範囲内かはチェックできますが、重複を見つけられるとは言えません。最後に、バックアップ・リカバリは障害時の修復で、重複検出とは一切関係ありません。重複を見つけるには以前のデータと今入力したデータを比較する必要があります。

問35 リスク対策の一つであるリスクファイナンスに該当するものはどれか。
システムが被害を受けた場合を想定して保険をかけておく。
システム被害につながるリスクの発生を抑える対策に資金を投資する。
システムを復旧するのにかかる費用を金融機関から借り入れる。
リスクが顕在化した場合のシステム被害を小さくする対策に資金を投資する。
解答
解説 まず、リスクマネジメントは基本的にはリスクコントロール(リスクが現実化しないようにしたり、損害を最小限にすること)とリスクファイナンス(資金対策)に分けられます。テストに出題されやすい代表的な4つを、以下にまとめます
リスク移転 = リスクが発生しても影響がでないようにする
リスク回避 = リスクが起きる脅威の排除すること
リスク軽減 = リスクが起きたときに、損害を減らすこと
リスク保有 = リスクが起きたときに、お金で何とかすること(災害準備金を積み立てておくなど)

問36 ソフトウェアを中心としたシステム開発及び取引のための共通フレーム(SLCP−JCF98)の適用方法に関する記述のうち、適切なものはどれか。
共通フレームでのプロセスに対する改善要求や追加項目については、関係各社や部門ごとの事情を考慮せず統一すべきである。
共通フレームは2者間の取引の原則を定めており、すべての項目について遵守して、実行すべきである。
業務運用者、支援要員、契約担当役員などの関係者から情報を収集すると、統一がとれなくなるので、契約責任部門だけが関与すべきである。
プロジェクトの環境、特性、開発モデルや手法に合わせ、プロセスやアクティビティを選択し組み立てるべきである。
解答
解説 共通フレーム98はシステムのライフサイクルに関する取引で共通の枠組みを規定したものです。また、ソフトウェアを中心としたシステムの開発及び取引を可視化できる、契約者双方の共通の枠組みでもあります。

問37 CMMI(Capability Maturity Model Integration)の5段階評価基準のうち、レベル3に相当するものはどれか。
システム開発の経験が組織として共有され、標準プロセスが確立している。
システム開発の計画・コスト見積りの経験則ができている。
プロセスからの定量的なフィードバックによって、継続的に改善されている。
プロセスの測定基準が定められ、組織的に分析が進められている。
解答
解説 CMMIは能力成熟度モデル統合と略され、以下のような段階に分かれています。
LV1:初期段階:何もルールがない
LV2:管理段階:選択肢イの状態
LV3:定義段階:選択肢アの状態
LV4:管理段階:選択肢ウの状態
LV5:最適化段階:選択肢エの状態

問38 UCS−2(Unicode)を説明したものはどれか。
主にUNIXで使用するコード体系であり、英数字は1バイト、漢字は2バイトで表現する。
現在、多くのパソコンで使用するコード体系であり、英数字は1バイト、漢字は2バイトで表現する。
すべての文字を1バイトで表現するコード体系である。
すべての文字を2バイトで表現するコード体系であり、多くの国の文字体系に対応できる。
解答
解説 unicodeは各国の文字を一つの体系で表現する文字コードセットとして、パソコンでのデータ交換が円滑にできるように制定されたコード体系であり2バイトで実現されますが、もちろんすべての言語を網羅することはできないので、近い文字などをまとめたりなどしてかなり量が削減されています。選択肢アはEUCコード、選択肢イはWindowsなどで一般的に用いられているシフトJISコード、選択肢ウはASCIIコードです。

問39 JANコードの特徴はどれか。
13けたの標準バージョンと8けたの短縮バージョンがある。
JISに制定され日本だけで通用するコード体系である。
商品の価格を示す5けたのコードがある。
チェックディジットをもたないコード体系である。
解答
解説 JANコードは一般的なバーコードのことです。基本的な13けたのものと、駄菓子等の面積の小さいものにつける8けたの短縮タイプがあります。また、コードは上から、国コード、メーカーコード、商品コード、チェックディジットとなっています。商品コードは商品を識別するもので、価格を表すものではありません。

問40 インターネットやLAN上で動画や音声などを含むコンテンツを送受信するための、国際電気通信連合電気通信標準部会(ITU−T)が勧告している規格はどれか。
H.323
MIDI
MPEG
PCM
解答
解説 H.323はいわゆるテレビ電話やVoIPを利用したオンライン会議などに利用できる、音声や動画を送受信するプロトコルです。1996年に承認・勧告されました。MIDIは音声データの規格で、MPEGは動画の規格、PCMは音声のD/A変換の手法の一つです。