必ず受かる情報処理技術者試験-平成24年度春季-応用情報技術者-解答41～45

平成24年度春季解答

サイト運営者に不特定の利用者が電子メールで機密データを送信するに当たって、機密性を確保できる仕組みのうち、適切なものはどれか。

ア	サイト運営者はサイト内のSSLで保護されたWebページに共通鍵を公開し、利用者は電子メールで送信するデータをその共通鍵で暗号化する。
イ	サイト運営者はサイト内のSSLで保護されたWebページにサイト運営者の公開鍵を公開し、利用者は電子メールで送信するデータをその公開鍵で暗号化する。
ウ	サイト運営者はサイト内のSSLで保護されたWebページに利用者の公開鍵を公開し、利用者は電子メールで送信するデータをその公開鍵に対応する秘密鍵で暗号化する。
エ	サイト運営者はサイト内の認証局で利用者の公開鍵を公開し、利用者は電子メールで送信するデータをその公開鍵に対応する秘密鍵で暗号化する。

＜解説＞

SSL（Secure Socket Layer）は、WebブラウザーとWebサーバー間で安全にデータをやり取りするためのプロトコルである。通信の暗号化と認証を実現する。

ア	×	共通鍵方式では、共通鍵を使って誰でも複合することができる。鍵をWebページに公開すると機密性を確保することはできない。
イ	○	サイト運営者はサイト内のSSLで保護されたWebページにサイト運営者の公開鍵を公開し、利用者は電子メールで送信するデータをその公開鍵で暗号化する。
ウ	×	サイト運営者が利用者の公開鍵を公開している。したがって、その公開鍵に対応する秘密鍵で暗号化した情報は誰でも複合できる。
エ	×	認証局で利用者の公開会を公開している。したがって、その公開鍵に対応する秘密鍵で暗号化した情報は誰でも複合できる。

JIS Q 27001では、情報セキュリティは三つの特性を維持するものとして特徴付けられている。それらのうちの二つは機密性と完全性である。残りの一つはどれか。

＜解説＞

情報セキュリティは、JIS Q 27001によって、情報の機密性、完全性、可用性を維持することと定義されている[1]。それら三つの性質の意味は次のとおりである。

したがって、イが正解である。

Webアプリケーションにおける脅威とそのセキュリティ対策の適切な組合せはどれか。

ア	OSコマンドインジェクションを防ぐために、Webアプリケーションが発行するセッションIDを推測困難なものにする。
イ	SQLインジェクションを防ぐために、Webアプリケーション内でデータベースへの問合せを作成する際にバインド機構を利用する。
ウ	クロスサイトスクリプティングを防ぐために、外部から渡す入力データをWebサーバ内のファイル名として直接指定しない。
エ	セッションハイジャックを防ぐために、Webアプリケーションからシェルを起動できないようにする。

＜解説＞

ア	×	セッションハイジャックを防ぐための対策である。
イ	○	バインド機構とは、あらかじめSQL文のひな型を用意し、後から変動個所（プレースホルダ）に実際の値（バインド値）を割り当ててSQL文を生成するデータベースの機能である。SQLインジェクションを防ぐために用いる。
ウ	×	ディレクトリトラバーサル攻撃を防ぐための対策である。
エ	×	OSコマンドインジェクションを防ぐための対策である。

ステガノグラフィを説明したものはどれか。

ア	データをコピーできないようにする技術のことをいう。
イ	データを第三者に盗み見られても解読できないようにするために、決まった規則に従ってデータを変換することをいう。
ウ	文書の正当性を保証するために付けられる符号化された署名情報のことをいう。
エ	メッセージを画像データや音声データなどに埋め込み、メッセージの存在を隠す技術のことをいう。

＜解説＞

ステガノグラフィとは、あるデータを他のデータの中に埋め込むことで、情報の存在そのものを秘匿する技術のことである。

オブジェクト指向における抽象クラスで、できないことはどれか。

＜解説＞

ア	○	抽象クラスとは、インスタンスを生成出来ないクラスのことで、継承して使うことを前提としたクラスのことです。
イ	×	抽象クラスを継承してサブクラスをもつことは可能である。
ウ	×	抽象クラスがスーパクラスをもつことは可能である。
エ	×	抽象クラスが属性や操作をもつことは可能である。

お問い合わせ

スマートフォン用サイト

QR コードをスキャンするか、携帯電話から次のページにアクセスするとご利用いただけます。

携帯用サイト

QR コードをスキャンするか、携帯電話から次のページにアクセスするとご利用いただけます。