【勉強記録forH24秋SC】過去問_H18秋_午後
情報セキュリティスペシャリスト試験本番(2012/10/21)まで、あと27日です!
【出題趣旨】はIPA公開の出題趣旨の要約です。採点講評より、全体の正解率を【】内に記載しております。
今回のセキュリティスペシャリストは、問題選びに全神経を注ぐ作戦でいこうと思っています。
午後Ⅰも午後Ⅱも問題文は全部読んでから決める予定です。
□■ 午後Ⅰ ■□
《問1》認証機能
【出題趣旨】
・セキュアな認証を実現する為の技術的な知識、運用管理能力
【技術用語】
・パスワードを破る(クラッキング)攻撃手法
-ブルートフォース攻撃:総当たり攻撃
-辞書攻撃:事前登録したありがちな単語から試す
-レインボーテーブル:パスワード文字列と事前算出したハッシュ値との対応表。高速なクラッキング
【頻出解答パターン】
【問】パスワードリマインド機能に代わる仕組みは?
→新しいパスワードを生成し,会員登録時に設定された電子メールアドレスに送付する
【問】初期パスワードを書面で送付する場合、社員が長期間初回ログオンしないと、どのような問題が起こるか?
→書面を本人以外の者が見て初期パスワードが漏えいする
【問】照合用文字列に求められる要件は?
→ランダムで十分な長さがあること
【問】設定画面に設定結果を表示しないで利用者にメルマガ購読解除結果を通知する方法は?
→購読解除の設定結果を利用者に電子メールで送付する
《問2》PCの持出管理【高い】
【出題趣旨】
・PCの持ち出し管理に関する総合的な知識
・シンクライアントシステムに関する技術的な知識
【技術用語】
・ハードディスクに残るデータ
-Javaアプレット,Webサイトを閲覧したときに送られてくるクッキー
-Webブラウザのキャッシュ
-アクセスログの一部
→社外からのアクセスでは、シンクライアントシステム(ハードディスクを内蔵しないPCを活用したシステム)を用いるケースが増えている
【頻出解答パターン】
【問】持出申請書に追加しなければならない項目は?
→所属長の承認欄
【問】速やかに情報システム部に報告しなかった場合に想定されるリスクは?
→NPCを悪用してJシステムに不正侵入されるリスク
【問】どのような過程で感染する社内へのウイルス感染の可能性を減らすことができるか?
→ウイルス定義ファイルの更新が遅れたまま,社外でインターネット接続してNPCがウイルスに感染し,その状態でNPCを社内LANに接続した際,ウイルスがG社内に侵入する
《問3》ネットワークにおけるPC利用【基本的な設問以外の回答率が低い】
【出題趣旨】
・レイヤ3スイッチングハブの機能の理解
・PCを含めた現在のネットワークシステムにおけるセキュリティに関する分析能力
【技術用語】
・コリジョンドメイン
-Ethernet(イーサネット)などのネットワークで、同時送信によるデータの衝突(コリジョン)が起きる範囲
-スイッチングハブやルータなどでコリジョンドメインは適切に分割する必要がある
・レイヤ3スイッチ
-スイッチにルーティング機能を追加したもの
-登場の背景
*ルータに負荷がかかりすぎてボトルネックとなる
*ルータはソフトウェアでパケットを処理しているので処理が遅い
-効果
*ルーティング処理を分散する事によってネットワーク全体のスループットが向上
・HMAC
-ハッシュ関数を使って秘密鍵と組み合わせて計算するMAC(通信データの改ざん検知に用いるコード)
-MACアドレスとは無関係
・ASIC
-特定用途向け集積回路
・IX(インターネット・エクスチェンジ)
-複数のインターネットサービスプロバイダや学術ネットワークを相互に接続するインターネット上の相互接続ポイント
【頻出解答パターン】
【問】物理的なアクセス制限を行っても起こり得る盗聴リスクは?
→社内ネットワークに既に接続されている正規のPCやサーバに盗聴ツールが仕掛けられて盗聴されるリスク
《問4》テレワークのセキュリティ対策【高い】
【出題趣旨】
・テレワークという企業活動の中での情報セキュリティの知識、判断力
【頻出解答パターン】
【問】ファイル交換ソフトTが最近問題になっている背景の中、社内アクセスに個人PCを許可する場合の対策は?
→Tを利用しているPCの業務利用を禁止する
→業務に使うPCからのTの削除を義務化する
【問】ウイルス対策ソフトに関する適切な対応とは?
→ウイルス対策ソフト及びそのウイルス定義ファイルを定期的にアップデートすること
【問】委託先に許可社員と同じような運用を認める場合、追加すべき対策は?
→委託先との契約書に、セキュリティ要件の遵守を義務付ける事項を盛り込む
□■ 午後Ⅱ ■□
《問1》Webアプリケーションのセキュリティ対策
【出題趣旨】
・リスクに応じたセキュリティ対策の実践
・セキュリティ事故への対応能力
【技術用語】
・設問での最終セキュリティ強化要求仕様書
1.入力検証及び不正データ入力時の無効化
クロスサイトスクリプティング対策として次の強化を行う。
(1)Webページに出力するすべての要素に対してエスケープ処理を施す。
(2)<script>...</script>要素の内容を含むWebページを動的に生成しない。
2.パスワード及びセッション情報の不正利用の防止
セッション管理対策として,次の強化を行う。
(1)セッション管理情報には[擬似乱数]を使用し,クッキーに格納する場合は有効期限を設ける。
(2)HTTPS通信で利用するクッキーには,secure属性を加える。
3.セキュリティ強化要求仕様書(第2版)に含まれていない重要事項
3.1 ドメイン乗取りの防止
ドメイン名を管理する[DNS(ネーム)]サーバが,正しく登録されているか,定期的に調査する。
3.2ファイル不正アクセスの防止
(1)外部からのパラメタに,Webサーバ内のファイル名を直接指定させない。
(2)外部からの入力値でファイル名を指定する場合は[固定]ディレクトリを指定し,かつ,ファイル名にディレクトリ名が含まれないようにする
【頻出解答パターン】
【問】問題発生時に緊急対応チームが注意喚起メールの配信のほかに至急実施すべきことは?
→事故情報を公開するWebサイトの開設
→外部からの問合せ対応窓口設置
【問】エスケープ処理の対象は?
→利用者から入力される値が、SQL文にとって特別な意味をもつ記号文字
【問】今後の様々な攻撃に対し,必要性が生じたときに遅滞なく対処するためにに必要なプロセスは?
→セキュリティ事故情報を日々収集する
→自社システムに対する事故例の影響を速やかに評価する
【問】攻撃者に必要以上の情報を与えない為に実施すべき対策は?
→エラーメッセージの詳細を表示しない対策を実施する
《問2》旅行情報ネットワークシステムの情報セキュリティ自己点検【高い】
【出題趣旨】
・情報セキュリティ自己点検をきっかけにして、問題に気付き、情報セキュリティマネジメントシステムを再構築するまでの家庭の実務的な能力を評価する
【技術用語】
・JAVAアプレット
-ネットワークを通じてWebブラウザにダウンロードされ、ブラウザのウィンドウに埋め込まれて実行されるJavaプログラムのこと
【頻出解答パターン】
【問】[ ア ]に入れる認知についての質問文は?
→あなたは、セキュリティ区画の出入りに、写真付きのICカードが必要なことを知っていますか
→あなたは、セキュリティ区画への外来者に、訪問者用IDカードを携帯させ、付き添うことを知っていますか
【問】第三者に印刷物を収集/閲覧されてしまうようなミスを防ぐのに必要なプリンタの機能は?
→個人認証後に印刷する機能
□■ 参考文献 ■□
【出題趣旨】はIPA公開の出題趣旨の要約です。採点講評より、全体の正解率を【】内に記載しております。
今回のセキュリティスペシャリストは、問題選びに全神経を注ぐ作戦でいこうと思っています。
午後Ⅰも午後Ⅱも問題文は全部読んでから決める予定です。
□■ 午後Ⅰ ■□
《問1》認証機能
【出題趣旨】
・セキュアな認証を実現する為の技術的な知識、運用管理能力
【技術用語】
・パスワードを破る(クラッキング)攻撃手法
-ブルートフォース攻撃:総当たり攻撃
-辞書攻撃:事前登録したありがちな単語から試す
-レインボーテーブル:パスワード文字列と事前算出したハッシュ値との対応表。高速なクラッキング
【頻出解答パターン】
【問】パスワードリマインド機能に代わる仕組みは?
→新しいパスワードを生成し,会員登録時に設定された電子メールアドレスに送付する
【問】初期パスワードを書面で送付する場合、社員が長期間初回ログオンしないと、どのような問題が起こるか?
→書面を本人以外の者が見て初期パスワードが漏えいする
【問】照合用文字列に求められる要件は?
→ランダムで十分な長さがあること
【問】設定画面に設定結果を表示しないで利用者にメルマガ購読解除結果を通知する方法は?
→購読解除の設定結果を利用者に電子メールで送付する
《問2》PCの持出管理【高い】
【出題趣旨】
・PCの持ち出し管理に関する総合的な知識
・シンクライアントシステムに関する技術的な知識
【技術用語】
・ハードディスクに残るデータ
-Javaアプレット,Webサイトを閲覧したときに送られてくるクッキー
-Webブラウザのキャッシュ
-アクセスログの一部
→社外からのアクセスでは、シンクライアントシステム(ハードディスクを内蔵しないPCを活用したシステム)を用いるケースが増えている
【頻出解答パターン】
【問】持出申請書に追加しなければならない項目は?
→所属長の承認欄
【問】速やかに情報システム部に報告しなかった場合に想定されるリスクは?
→NPCを悪用してJシステムに不正侵入されるリスク
【問】どのような過程で感染する社内へのウイルス感染の可能性を減らすことができるか?
→ウイルス定義ファイルの更新が遅れたまま,社外でインターネット接続してNPCがウイルスに感染し,その状態でNPCを社内LANに接続した際,ウイルスがG社内に侵入する
《問3》ネットワークにおけるPC利用【基本的な設問以外の回答率が低い】
【出題趣旨】
・レイヤ3スイッチングハブの機能の理解
・PCを含めた現在のネットワークシステムにおけるセキュリティに関する分析能力
【技術用語】
・コリジョンドメイン
-Ethernet(イーサネット)などのネットワークで、同時送信によるデータの衝突(コリジョン)が起きる範囲
-スイッチングハブやルータなどでコリジョンドメインは適切に分割する必要がある
・レイヤ3スイッチ
-スイッチにルーティング機能を追加したもの
-登場の背景
*ルータに負荷がかかりすぎてボトルネックとなる
*ルータはソフトウェアでパケットを処理しているので処理が遅い
-効果
*ルーティング処理を分散する事によってネットワーク全体のスループットが向上
・HMAC
-ハッシュ関数を使って秘密鍵と組み合わせて計算するMAC(通信データの改ざん検知に用いるコード)
-MACアドレスとは無関係
・ASIC
-特定用途向け集積回路
・IX(インターネット・エクスチェンジ)
-複数のインターネットサービスプロバイダや学術ネットワークを相互に接続するインターネット上の相互接続ポイント
【頻出解答パターン】
【問】物理的なアクセス制限を行っても起こり得る盗聴リスクは?
→社内ネットワークに既に接続されている正規のPCやサーバに盗聴ツールが仕掛けられて盗聴されるリスク
《問4》テレワークのセキュリティ対策【高い】
【出題趣旨】
・テレワークという企業活動の中での情報セキュリティの知識、判断力
【頻出解答パターン】
【問】ファイル交換ソフトTが最近問題になっている背景の中、社内アクセスに個人PCを許可する場合の対策は?
→Tを利用しているPCの業務利用を禁止する
→業務に使うPCからのTの削除を義務化する
【問】ウイルス対策ソフトに関する適切な対応とは?
→ウイルス対策ソフト及びそのウイルス定義ファイルを定期的にアップデートすること
【問】委託先に許可社員と同じような運用を認める場合、追加すべき対策は?
→委託先との契約書に、セキュリティ要件の遵守を義務付ける事項を盛り込む
□■ 午後Ⅱ ■□
《問1》Webアプリケーションのセキュリティ対策
【出題趣旨】
・リスクに応じたセキュリティ対策の実践
・セキュリティ事故への対応能力
【技術用語】
・設問での最終セキュリティ強化要求仕様書
1.入力検証及び不正データ入力時の無効化
クロスサイトスクリプティング対策として次の強化を行う。
(1)Webページに出力するすべての要素に対してエスケープ処理を施す。
(2)<script>...</script>要素の内容を含むWebページを動的に生成しない。
2.パスワード及びセッション情報の不正利用の防止
セッション管理対策として,次の強化を行う。
(1)セッション管理情報には[擬似乱数]を使用し,クッキーに格納する場合は有効期限を設ける。
(2)HTTPS通信で利用するクッキーには,secure属性を加える。
3.セキュリティ強化要求仕様書(第2版)に含まれていない重要事項
3.1 ドメイン乗取りの防止
ドメイン名を管理する[DNS(ネーム)]サーバが,正しく登録されているか,定期的に調査する。
3.2ファイル不正アクセスの防止
(1)外部からのパラメタに,Webサーバ内のファイル名を直接指定させない。
(2)外部からの入力値でファイル名を指定する場合は[固定]ディレクトリを指定し,かつ,ファイル名にディレクトリ名が含まれないようにする
【頻出解答パターン】
【問】問題発生時に緊急対応チームが注意喚起メールの配信のほかに至急実施すべきことは?
→事故情報を公開するWebサイトの開設
→外部からの問合せ対応窓口設置
【問】エスケープ処理の対象は?
→利用者から入力される値が、SQL文にとって特別な意味をもつ記号文字
【問】今後の様々な攻撃に対し,必要性が生じたときに遅滞なく対処するためにに必要なプロセスは?
→セキュリティ事故情報を日々収集する
→自社システムに対する事故例の影響を速やかに評価する
【問】攻撃者に必要以上の情報を与えない為に実施すべき対策は?
→エラーメッセージの詳細を表示しない対策を実施する
《問2》旅行情報ネットワークシステムの情報セキュリティ自己点検【高い】
【出題趣旨】
・情報セキュリティ自己点検をきっかけにして、問題に気付き、情報セキュリティマネジメントシステムを再構築するまでの家庭の実務的な能力を評価する
【技術用語】
・JAVAアプレット
-ネットワークを通じてWebブラウザにダウンロードされ、ブラウザのウィンドウに埋め込まれて実行されるJavaプログラムのこと
【頻出解答パターン】
【問】[ ア ]に入れる認知についての質問文は?
→あなたは、セキュリティ区画の出入りに、写真付きのICカードが必要なことを知っていますか
→あなたは、セキュリティ区画への外来者に、訪問者用IDカードを携帯させ、付き添うことを知っていますか
【問】第三者に印刷物を収集/閲覧されてしまうようなミスを防ぐのに必要なプリンタの機能は?
→個人認証後に印刷する機能
□■ 参考文献 ■□
この記事へのコメント