平成１７年度セキュアド問２１－４０問題編

このページは

セキュアド

（情報セキュリティアドミニストレータ試験）

の過去問のページです。

解答と解説も欲しい方は解答ページへ行ってください

問２１	ＳＳＬの機能を説明したものはどれか。

ア	ＴＣＰとアプリケーションとの間において、クライアントとサーバ間の認証をHandshakeプロトコルで行う。
イ	電子メールに対して、ＰＫＩを適用するためのデータフォーマットを提供する。
ウ	ネットワーク層のプロトコルであり、ＩＰパケットの暗号化及び認証を行う。
エ	ログインやファイル転送の暗号通信を行う目的で、チャレンジレスポンスの仕組みを用いてrコマンド群の認証を行う。

問２２	公開かぎ暗号方式を用い、送受信メッセージを暗号化して盗聴されないようにしたい。送信時にメッセージの暗号化に使用するかぎはどれか。

ア	送信先の公開かぎ
イ	送信先の秘密かぎ
ウ	送信元の公開かぎ
エ	送信元の秘密かぎ

問２３	電子メールに用いるディジタル署名に関する記述のうち、適切なものはどれか。

ア	電子メールの内容の改ざんを防ぐことはできないが、改ざんが行われた場合には検知できる。
イ	電子メールの内容の改ざんを防ぐことはできるが、機密性を保証することはできない。
ウ	電子メールの内容の機密性を保証することはできるが、改ざんを防ぐことはできない。
エ	電子メールの内容の機密性を保証すると同時に、改ざんが行われた場合に修復できる。

問２４	公開かぎ暗号方式によるディジタル署名のプロセスとハッシュ値の使用方法に関する記述のうち、適切なものはどれか。

ア	受信者は、送信者の公開かぎで複合してハッシュ値を取り出し、元のメッセージをハッシュ変換して求めたハッシュ値と比較する。
イ	送信者はハッシュ値を自分の公開かぎで暗号化して、元のメッセージと共に受信者に送る。
ウ	ディジタル署名の対象とする元のメッセージは、それを変換したハッシュ値から復元できる。
エ	元のメッセージ全体に対して公開かぎで暗号化を行い、ハッシュ値を用いて復号する。

問２５	パケットフィルタリング型ファイアウォールがルール一覧のアクションに基づいてパケットを制御する場合、パケットＡに対する処理はどれか。ここで、ファイアウォールでの処理は番号の順に行い、一つのルールが適合した場合には残りのルールを無効とする。

ア	番号１によって、通過が禁止される。
イ	番号２によって、通過が許可される。
ウ	番号３によって、通過が許可される。
エ	番号４によって、通過が禁止される。

問２６	ベネトレーションテストで確認する対象はどれか。

ア	使用している暗号方式の強度
イ	対象プログラムの様々な入力に対する出力結果と仕様上の出力との一致
ウ	ファイアウォールが単位時間当たりに処理できるセション数
エ	ファイアウォールや公開サーバに対するセキュリティホールや設定ミスの有無

問２７	セキュリティ対策の“予防”に該当するものはどれか。

ア	アクセスログをチェックし、不正なアクセスがないかどうかを監視する。
イ	コンティンジェンシープランを策定し、訓練を実施する。
ウ	重要ファイルのバックアップ処理を定期的に行う。
エ	セキュリティに関する社内教育を実施し、個人の意識を高める。

問２８	ブラウザからＷｅｂサーバにアクセスするシステムのセキュリティに関する記述のうち、適切なものはどれか。

ア	ＣＧＩ又はサーブレットによって生成されたＨＴＭＬ文章は動的に変化するので、プロキシサーバでのキャッシュの内容が、本来の利用者以外に開示されることはない。
イ	ＳＳＬを使用すれば、通信経路上にブロキシサーバが存在しても、各利用者とＷｅｂサーバとの間での参照情報が、本来の利用者以外に開示されることはない。
ウ	複数の利用者が同一のパソコンを利用する場合、最初にＨＴＴＰ基本認証を利用したログイン操作を行うようにすれば、ブラウザを起動したまま利用者が交代しても、本来の利用者以外に情報が開示されることはない。
エ	リバースプロキシは静的コンテンツのキャッシュができないので、それを使ってもクライアントへの応答時間が改善されることはない。

問２９	ＩＳＭＳ適合性評価制度における情報セキュリティポリシに関する記述のうち、適切なものはどれか。

ア	基本方針は、事業の特徴、組織、その所在地、資産及び技術を考慮して策定する。
イ	重要な基本方針を定めた機密文章であり、社内の関係者以外の目に触れないようにする。
ウ	セキュリティの基本方針を述べたものであり、ビジネス環境や技術が変化しても変更してはならない。
エ	特定のシステムについてリスク分析を行い、そのセキュリティ対策とシステム運用の詳細を記述したものである。

問３０	情報漏えいに関するリスク対策のうち、リスク回避に該当するものはどれか。

ア	外部の者が侵入できないように、入退室をより厳重に管理する。
イ	情報資産を外部のデータセンタに預ける。
ウ	情報の重要性と対策費用を勘案し、あえて対策をとらない。
エ	メーリングリストの安易な作成を禁止し、不要なものを廃止する。

問３１	リスク分析の作業Ａ～Ｅの適切な順序はどれか。Ａ：損出の発生頻度と強度の推定Ｂ：損出の財務的影響度の評価Ｃ：予想されるリスクの識別Ｄ：リスク処理の優先順位の決定Ｅ：リスク処理方法の費用対効果の分析

ア	Ｃ→Ａ→Ｂ→Ｄ→Ｅ
イ	Ｃ→Ｂ→Ａ→Ｄ→Ｅ
ウ	Ｄ→Ａ→Ｂ→Ｃ→Ｅ
エ	Ｄ→Ｃ→Ａ→Ｂ→Ｅ

問３２	セキュリティレビュー、リスク分析、セキュリティ対策の計画策定、セキュリティ対策の実施のプロセスにおいて、リスク分析で得られる効果はどれか。

ア	ぜい弱性の発見
イ	セキュリティコントロールの組み込み
ウ	セキュリティ仕様
エ	損失の大きさと発生頻度

問３３	営業債権管理業務に関する内部統制のうち、適切なものはどれか。

ア	売掛金回収条件の設定は、営業部門ではなく、審査部門が行っている。
イ	売掛金の消込み入力と承認処理は、迅速性を重視する必要から経理部門ではなく、営業部門が行っている。
ウ	顧客ごとの与信限界の決定は、審査部門ではなく、営業部門の責任者が行っている。
エ	値引き・割戻し処理は、経理事務の担当者でなく、取引先の実態を熟知している請求業務の担当者が行っている。

問３４	データ入力の重複を発見し、修正するのに有効な内部統制手続はどれか。

ア	ドキュメンテーションの完備
イ	取引記録と入力データの照合
ウ	入力時のフィールド検査
エ	バックアップリカバリ手順の確立

問３５	リスク対策の一つであるリスクファイナンスに該当するものはどれか。

ア	システムが被害を受けた場合を想定して保険をかけておく。
イ	システム被害につながるリスクの発生を抑える対策に資金を投資する。
ウ	システムを復旧するのにかかる費用を金融機関から借り入れる。
エ	リスクが顕在化した場合のシステム被害を小さくする対策に資金を投資する。

問３６	ソフトウェアを中心としたシステム開発及び取引のための共通フレーム（ＳＬＣＰ－ＪＣＦ９８）の適用方法に関する記述のうち、適切なものはどれか。

ア	共通フレームでのプロセスに対する改善要求や追加項目については、関係各社や部門ごとの事情を考慮せず統一すべきである。
イ	共通フレームは２者間の取引の原則を定めており、すべての項目について遵守して、実行すべきである。
ウ	業務運用者、支援要員、契約担当役員などの関係者から情報を収集すると、統一がとれなくなるので、契約責任部門だけが関与すべきである。
エ	プロジェクトの環境、特性、開発モデルや手法に合わせ、プロセスやアクティビティを選択し組み立てるべきである。

問３７	ＣＭＭＩ（Capability Maturity Model Integration）の５段階評価基準のうち、レベル３に相当するものはどれか。

ア	システム開発の経験が組織として共有され、標準プロセスが確立している。
イ	システム開発の計画・コスト見積りの経験則ができている。
ウ	プロセスからの定量的なフィードバックによって、継続的に改善されている。
エ	プロセスの測定基準が定められ、組織的に分析が進められている。

問３８	ＵＣＳ－２（Unicode）を説明したものはどれか。

ア	主にＵＮＩＸで使用するコード体系であり、英数字は１バイト、漢字は２バイトで表現する。
イ	現在、多くのパソコンで使用するコード体系であり、英数字は１バイト、漢字は２バイトで表現する。
ウ	すべての文字を１バイトで表現するコード体系である。
エ	すべての文字を２バイトで表現するコード体系であり、多くの国の文字体系に対応できる。

問３９	ＪＡＮコードの特徴はどれか。

ア	１３けたの標準バージョンと８けたの短縮バージョンがある。
イ	ＪＩＳに制定され日本だけで通用するコード体系である。
ウ	商品の価格を示す５けたのコードがある。
エ	チェックディジットをもたないコード体系である。

問４０	インターネットやＬＡＮ上で動画や音声などを含むコンテンツを送受信するための、国際電気通信連合電気通信標準部会（ＩＴＵ－Ｔ）が勧告している規格はどれか。

ア	Ｈ．３２３
イ	ＭＩＤＩ
ウ	ＭＰＥＧ
エ	ＰＣＭ