平成18年度 セキュアド 問21−40 解答編




このページは

セキュアド

(情報セキュリティアドミニストレータ試験)

解答と解説のページです。

問題だけで勉強したい方は目次へ戻ってください

問21 米国NISTが採用したAES(Advanced Encryption Standard)における鍵長の条件はどれか。
128、192、256ビットから選択する。
256ビット未満で任意に指定する。
暗号化処理単位のブロック長より32ビット大きくする。
暗号化処理単位のブロック長より32ビット小さくする。
解答
解説 AESはDESにとり替わる次世代の共通鍵の暗号化技術です。ブロック長は128ビットで、鍵長は3つの中から選びます。
問22 100人の送受信者が共通鍵暗号方式で、それぞれ秘密に通信を行うときに必要な共通鍵の総数は幾つか。
200
4,950
9,900
10,000
解答
解説 鍵の数は人数×1人が持つかぎの数となります。人数は100人で、1人が持つかぎの数は、自分以外の人数全員となるので、100−1で99個となります。よって、100×99=9900となります。しかし、A→BとB→Aは同じかぎなので、その半分となり、9900/2で4950となります。
問23 公開鍵暗号方式の用法によって、送信者が間違いなく本人であることを受信者が確認できる鍵の組合せはどれか。
送信者は自分の公開鍵で暗号化し、受信者は自分の秘密鍵で復号する。
送信者は自分の秘密鍵で暗号化し、受信者は送信者の公開鍵で復号する。
送信者は受信者の公開鍵で暗号化し、受信者は自分の秘密鍵で復号する。
送信者は受信者の秘密鍵で暗号化し、受信者は自分の公開鍵で復号する。
解答
解説 いわゆるディジタル署名の利用についてです。ディジタル署名は公開かぎ暗号の通常の逆の使い方をします。つまり、送信者の秘密かぎで暗号化し、送信者の公開かぎで復号化します。
問24 社内のセキュリティポリシで、利用者の事故に備えて秘密鍵を復元できること、及びセキュリティ管理者の不正防止のための仕組みを確立することが決められている。電子メールで公開鍵暗号方式を使用し、鍵の生成はセキュリティ部門が一括して行っている場合、秘密鍵の適切な保管方法はどれか。
1人のセキュリティ管理者が、秘密鍵を暗号化して保管する。
暗号化された秘密鍵の一つ一つを分割し、複数のセキュリティ管理者が分担して保管する。
セキュリティ部門には、秘密鍵を一切残さず、利用者本人だけが保管する。
秘密鍵の一覧表を作成して、セキュリティ部門内に限り参照できるように保管する。
解答
解説 セキュリティはセキュリティの確保と利便性の適度な両立が求められます。選択肢アやエのような場合は、管理者・部門所属者の不正使用が簡単に出来てしまいます。選択肢ウのような場合は、一度なくしてしまうとアクセスできなくなる可能性があります。
問25 シングルサインオンの説明のうち、適切なものはどれか。
クッキーを使ったシングルサインオンでは、サーバごとの認証情報を含んだクッキーをクライアントで生成し、各サーバ上で保存・管理する。
クッキーを使ったシングルサインオンでは、認証対象の各サーバをそれぞれ異なるインターネットドメインにする必要がある。
リバースプロキシを使ったシングルサインオンでは、認証対象の各Webサーバをそれぞれ異なるインターネットドメインにする必要がある。
リバースプロキシを使ったシングルサインオンでは、ユーザ認証においてパスワードの代わりにディジタル証明書を用いることができる。
解答
解説 シングルサインオンとは、一度ログインをすると他のグループウェアなどのアプリケーションも利用できるようになるという仕組みです。その仕組みには2種類あり、1つは、エージェント型と呼ばれるものであり、Webサーバとの通信で実現します。もう一つはリバースプロキシ型と呼ばれるものであり、文字通りリバースプロキシを利用した認証方式です。どちらも、ドメインなどには依存しませんし、クッキーはクライアント側のデータを保存するものなので間違いです。
問26 コンピュータウイルスの検出、機能の解明、又は種類の特定をする手法について、適切な記述はどれか。
暗号化された文章中のマクロウイルスを検出するにはパターンマッチング方式が有効である。
逆アセンブルは、バイナリタイプの新種ウイルスの機能を解明するのに有効な手法である。
不正な動作を識別してウイルスを検知する方式は、ウイルス名を特定するのに最も有効である。
ワームは既存のファイルに感染するタイプのウイルスであり、その感染の有無の検出にはファイルの大きさの変化を調べるのが有効である。
解答
解説 パターンマッチングとは、ウィルスを定義したファイルと対象のファイルを比較することで、ウィルスを発見する方法です。しかし、既存のウィルスであればほとんど発見できますが、暗号化や亜種には弱いという欠点があります。逆アセンブルとは、リバースエンジニアリングの一種で、バイナリ(2進数)データをアセンブラ言語(ニーモニック)に変換する行為です。このようなおかしな動作を監視することをヒューリスティックスキャンと言いますが、ウィルス名は会社などによって、異なる場合が多いですので、誤りです。ワームはファイルに感染するのではなく、自己増殖をするのでこれも誤りです。
問27 メッセージの改ざんを検出するためのメッセージ認証符号MACについて説明したものはどれか。
送信者と受信者の共通鍵を元に、メッセージにハッシュ関数を適用して生成したもの
メッセージにハッシュ関数を適用して得たデータを送信者の秘密鍵で暗号化したもの
メッセージを一定のビット数のブロックに分割し、各ブロックのデータを数値として加算した総和の値から、一定の計算をして求めたもの
メッセージを構成する各バイトに含まれる“1”のビットの個数が奇数になるように、最下位ビットの値を調整したもの
解答
解説 MAC(Message Authenication Code)は改ざんを検出する技術の一つで、データをハッシュ関数を用いて変換したもので、同じデータからは同じハッシュ値になりますが、少しでもデータが変わると、大幅にハッシュ値が異なるという特性があり、ハッシュ値から元のデータを求めることが極めて困難であるという特性をもちます。なお、選択肢イはディジタル署名、選択肢ウはチェックサム、選択肢エは奇数パリティの説明です。
問28 クロスサイトスクリプティングによる攻撃へのセキュリティ対策はどれか。
OSのセキュリティパッチを適用することによって、Webサーバへの侵入を防止する。
Webアプリケーションで、クライアントに入力データを再表示する場合、情報内のスクリプトを無効にする処理を行う。
WebサーバにSNMPプログラムを常駐稼働させることによって、攻撃を検知する。
許容範囲を超えた大きさのデータの書込みを禁止し、Webサーバへの侵入を防止する。
解答
解説 クロスサイトスクリプティングとは、代表的なセキュリティホールの一種で、“危険な文字”を除去する処理をしない場合に行います。その仕組みを以下に説明します。

@クライアントに悪意のあるページを閲覧させる
Aそのページからユーザのブラウザを経由して攻撃するサイトへスクリプトを送信する
B攻撃されたサイトでは、そのスクリプトが有害化し、情報漏えいやファイルの破壊が起きる

これを防ぐには、サニタイジング(無害化)をする必要があり、たとえば、『<』を『&lt』のように実体参照をするようにするのが一般的です。
問29 テンペスト技術の説明とその対策として、適切なものはどれか。
ディスプレイなどの機器から放射される電磁波を傍受し、内容を観察する技術であり、電磁波遮断が施された部屋に機器を設置することによって対抗する。
データ通信の途中でパケットを横取りし、内容を改ざんする技術であり、ディジタル署名による改ざん検知の仕組みを実装することによって対抗する。
マクロウイルスに対して使われる技術であり、ウイルス対策ソフトを導入し、最新の定義ファイルを適用することによって対抗する。
無線LANの信号から通信内容を傍受し、解析する技術であり、通信パケットを暗号化することによって対抗する。
解答
解説 テンペスト(Tempest)とは、コンピュータから放出される電波を傍受し、解析することで画面を再構築したり、情報を読み取ったりする技術です。これを防ぐには、電波を遮断する物理的な仕組みが必要です。
問30 セキュリティ上、脆弱性のあるホストやシステムをあえて公開し、受けた攻撃の内容を観察するためのものはどれか。
IDS
インシデントレスポンス
スパイウェア
ハニーポット
解答
解説 ハニースポットとは、蜜の入った壺と訳されます。クラッカーを虫にみたてて、あえてそのサイトを攻撃・侵入させその手口を調べるものです。しかし、ハニースポットの運営には高度な技術や知識が必要となります。
問31 S/MIMEで実現できるものはどれか。
SSLを利用して電子メールを暗号化する。
共通鍵で電子メールの送信者を認証する。
受信側がS/MIMEに対応していなくても、暗証キーを入力して復号する。
電子メールの改ざんを検出する。
解答
解説 S/MIMEとはMIMEという電子メールで様々な情報を扱うものに、セキュリティ機能を追加したもので、暗号化やディジタル署名をすることができます。つまり、改ざんを検出することができます。
問32 TLSについて説明したものはどれか。
相手が秘密鍵をもっているかどうかを検出するために、乱数を送付し、署名してもらう認証
トランスポート層において、アプリケーションとは独立に暗号化及びディジタル署名を施すことを可能にした規約
複数のLANやコンピュータシステムを、インターネットや共通回線を用いて仮想的に同一ネットワークとして安全に接続する技術
ルータ間の通信の秘匿性、相手認証、パケットごとの改ざん防止を提供するためのプロトコル
解答
解説 TLSはSSLの発展仕様で、SSL/TLSとして一緒に扱う場合も多いほど類似したものです。乱数をかぎの生成時に使用しますが、秘密かぎをもっているかどうかの確認のためではないため間違いです。なお、選択肢ウはVPN、選択肢エはIPsecの説明です。
問33 通信の暗号化に関する記述のうち、適切なものはどれか。
IPsecのトランスポートモードでは、ゲートウェイ間の通信経路上だけではなく、発信側システムと受信側システムとの間の全経路上でメッセージが暗号化される。
LDAPクライアントがLDAPサーバに接続するとき、その通信内容は暗号化することができない。
S/MIMEで暗号化した電子メールは、受信側のメールサーバ内に格納されている間は、メール管理者が平文として見ることができる。
SSLを使用して接続したとき、暗号化されたHTML文章はブラウザでキャッシュの有無が設定できずディスク内に必ず保存される。
解答
解説 IPsecには全体をカプセル化するトンネルモード(VPNの実現などに利用)と、ペイロード(ヘッダを除いたデータ本体)のみを暗号化するトランスポートモードがあります。LDAP(Lightweight Directory Access Protocol)は暗号化をすることができます。また、格納されている暗号化データはまだ復号化されていないので、内容は暗号文のままです。最後に、キャッシュの有無はブラウザで設定可能です。
問34 ISMSでは、情報セキュリティは三つの事項を維持するものとして特徴付けられている。そのうちの二つは機密性と完全性である。残りの一つはどれか。
安全性
可用性
効率性
保守性
解答
解説 ISMSでは、機密性、完全性、可用性を維持項目としていますが、代表的なRASISを以下にまとめます。
R Reliability(信頼性):故障のしにくさ(MTBFに相当)
A Availability(可用性):使いたいときに使えるか(稼働率に相当)
S Serviceability(保守性):修理のしやすさ(MTTRに相当)
I Integrity(保全性):データの正しさ
S Security(機密性):データの防衛の高さ
問35 企業内情報ネットワークやサーバへの外部からのアクセスにおいて、通常の経路以外で、侵入者が不正な行為に利用するために設置するものはどれか。
VoIPゲートウェイ
ストリクトルーティング
バックドア
フォレンジクス
解答
解説 バッグドアとは、裏口のことで、不正侵入したクラッカーが再度侵入したり、特定の情報を流入・流出させるために仕掛ける出入り口を指します。バッグドアの放置は極めてセキュリティ上危険です。また、VoIPゲートウェイとはネットワーク機器の一種で、ストリクトルーティングは、経路制御に関するもので、フォレンジクスとは、脅威が実際に起こった時に、その証拠をそろえたり、分析することで、証拠を保存したり再発を防止する作業のことです。
問36 ISMSにおけるリスク分析の方法の一つであるベースラインアプローチはどれか。
公表されている基準などに基づいて一定のセキュリティレベルを設定し、実施している管理策とのギャップ分析を行った上で、リスクを評価する。
情報資産を洗い出し、それぞれの情報資産に対して資産価値、脅威、脆弱性及びセキュリティ要件を識別し、リスクを評価する。
複数のリスク分析方法の長所を生かして組み合わせ、作業効率や分析精度の向上を図る。
リスク分析を行う組織や担当者の判断によって、リスクを評価する。
解答
解説 ベースラインアプローチとは、まず確保すべきセキュリティレベルを設定し、既存のガイドラインなどを基にセキュリティレベルの到達度合を調査していくアプローチ法です。高い技術が要らず、短時間でリスクを網羅できますが、未知のリスクや業種特有のリスクに対応できないといった欠点もあります。
問37 TRX0036-1:2001(ITセキュリティマネジメントのガイドライン−第1部:ITセキュリティの概念及びモデル)では、情報資産に対する脅威の例を表のように分類している。表のbに入るものはどれか。

画像(問37)を表示できません
意図的
環境
偶発的
人間
解答
解説 aは人間が起こす脅威。bは意図的脅威。cは偶発的脅威。dは環境が起こす脅威です。この表はとても有名で重要なのでよく覚えておくとよいでしょう。
問38 システム開発と取引のための共通フレーム(SLCP−JCF98)の目的はどれか。
ISO/IECのSLCPの検討内容を基にして、対象範囲に企画プロセスとシステム監査プロセスを加え、ソフトウェア取引に関する提案責任と管理責任を明確にすること
システム開発作業全般にわたって“共通の物差し”や“共通語”を使うことによって、作業範囲・作業内容を明確にし、購入者と供給者の取引を明確にすること
ソフトウェアを適切に購入・使用するためのガイドラインを示すことによって、ソフトウェアの違法複製行為や違法複製品の使用を防止し、ソフトウェアの適正な取引及び管理を促進すること
特定の業種やシステム形態、開発方法論などに極力依存しないように配慮し、社内の部門間での取引を除く受発注契約をスムーズに遂行すること
解答
解説 共通フレーム98はシステムのライフサイクルに関する取引で共通の枠組みを規定したものです。また、ソフトウェアを中心としたシステムの開発及び取引を可視化できる、契約者双方の共通の枠組みでもあります。
問39 米国で運用されたTCSECや欧州政府調達用のITSECを統合して、標準化が進められたCC(Common Criteria)の内容はどれか。
暗号アルゴリズムの標準
情報技術に関するセキュリティの評価基準
情報セキュリティ管理の実施基準
セキュリティ管理のプロトコルの標準
解答
解説 CC(Common Criteria:コモンクライテリア)は、コンピュータセキュリティのための国際規格であり、ISO/IEC15408でもあります。情報技術セキュリティの評価基準、情報技術セキュリティ評価基準、ITセキュリティ評価基準などと呼ばれます。
問40 SAML(Security Assertion Markup Language)について説明したものはどれか。
Webサービスに関する情報を広く公開し、それらが提供する機能などを検索可能にするための仕組みを定めたもの
権限のない利用者による傍受、読取り、改ざんから電子メールを保護して送信するためのプロトコルを定めたもの
ディジタル署名に使われる鍵情報を効率よく管理するためのWebサービスプロトコルを定めたもの
認証情報に加え、属性情報とアクセス制限情報を異なるドメインに伝達するためのWebサービスプロトコルを定めたもの
解答
解説 OASISという標準化団体により策定された、XML仕様で、異なるサーバ間でも安全にIDやパスワードをやり取りできるようにしたもの。これによりシングルサインオンなどを実現できます。