- トップページ
- 応用情報技術者
- 平成28年度春季問題
- 平成28年度春季解答・解説
平成28年度春季解答
問題36
企業のDMZ上で1台のDNSサーバを、インターネット公開用と、社内のPC、サーバからの名前解決の問合せに対応する社内用とで共用している。 このDNSサーバが、DNSキャッシュポイズニングの被害を受けた結果、引き起こされ得る現象はどれか。
| ア | DNSサーバのハードディスク上のファイルに定義されているDNSサーバ名が書き換わり、外部からのDNS参照者が、DNSサーバに接続できなくなる。 |
| イ | DNSサーバのメモリ上にワームが常駐し、DNS参照元に対して不正プログラムを送り込む。 |
| ウ | 社内の利用者が、インターネット上の特定のWebサーバを参照しようとすると、本来とは異なるWebサーバに誘導される。 |
| エ | 社内の利用者間の電子メールについて、宛先メールアドレスが書き換えられ、送受信ができなくなる。 |
解答:ウ
<解説>
DMZ(DeMilitarized Zone)とはインターネットに接続されたネットワークにおいて、ファイアウォールによって外部ネットワーク(インターネット)からも内部ネットワーク(組織内のネットワーク)からも隔離された区域のことである。
DNSキャッシュポイズニングとは、DNSサービスを提供しているサーバ(DNSサーバ)に偽の情報を覚えこませる攻撃手法である。
攻撃が成功すると、DNSサーバは覚えた偽の情報を提供してしまうことになる。このため、ユーザは正しいホスト名のWebサーバに接続しているつもりでも、提供された偽の情報により、攻撃者が罠をはったWebサーバに誘導されてしまうことになる。
| ア | × | DNSキャッシュポイズニングは、インターネット上のDNSサーバが標的になる |
| イ | × | ワームの常駐がDNSキャッシュのポイズニングで行われることはない。 |
| ウ | ○ | 正しい。社内PCのリクエストにDNSサーバが偽のIPアドレスを返すため、PCは異なるWebサーバは接続されます。 |
| エ | × | 正常な送受信は阻害されますが、メールの宛先アドレスが書き換えられることはない。 |
問題37
暗号方式のうち、共通鍵暗号方式はどれか。
| ア | AES |
| イ | ElGamal暗号 |
| ウ | RSA |
| エ | 楕円曲線暗号 |
解答:ア
<解説>
共通鍵暗号方式とは、暗号化する鍵と複合化する鍵が同じ方式である。第三者に鍵を知られてしまうと暗号文の複合ができてしまうので、鍵を秘密にしておく必要がある。
共通鍵暗号方式の代表例として、DES(Data Encryption Standard)やAES(Advanced Encryption Standard) 方式がある。
| ア | ○ | AESは、共通鍵暗号方式の一つ。2001年にNIST(米国商務省標準技術局)が規格化した。 |
| イ | × | ElGamal暗号は、公開鍵暗号方式の一つ。エジプト人数学者Taher Elgamal氏によって考案された。 |
| ウ | × | RSA(Rivest-Shamir-Adleman cryptosystem)は、公開鍵暗号方式の一つ。巨大な整数の素因数分解が困難であることを利用したアルゴリズムである。SSLで用いられている。 |
| エ | × | 楕円曲線暗号(Elliptic Curve Cryptography: ECC)は、公開鍵暗号方式の一つ。楕円曲線上の離散対数問題 の困難性を安全性の根拠とする暗号である。 |
問題38
重要情報の取扱いを委託する場合における、委託元の情報セキュリティ管理のうち、適切なものはどれか。
| ア | 委託先が再委託を行うかどうかは委託先の判断に委ね、事前報告も不要とする。 |
| イ | 委託先の情報セキュリティ対策が確認できない場合は、短期間の業務に限定して委託する。 |
| ウ | 委託先の情報セキュリティ対策が適切かどうかは、契約開始前ではなく契約終了時に評価する。 |
| エ | 情報の安全管理に必要な事項を事前に確認し、それらの事項を盛り込んだ上で委託先との契約書を取り交わす。 |
解答:エ
<解説>
| ア | × | 委託先が重要情報の再委託を行うと,再委託先のミスによって情報漏えいが発生する危険性がある。 再委託を行うときは再委託先の情報管理体制などを精査して,委託元が判断する必要がある。 |
| イ | × | 期間の長短に関わらず、リスクを分析し許容できるかどうか判断する必要がある。 情報セキュリティ対策が確認できない場合は、委託を開始するべきではない。 |
| ウ | × | 委託先の情報セキュリティ対策は,契約開始前に評価するべき事項である。 |
| エ | ○ | 委託元から委託先に重要情報の取扱い業務を委託するとき,委託先の情報管理体制が不適切な状態であれば,委託先から情報が漏えいする危険性がある。したがって委託元は業務を委託する前に,委託先の情報管理体制や情報セキュリティポリシなどを十分に精査し,重要情報を適切に管理できるか確認する必要がある。その上で,委託先との契約時に,委託先の責任で情報が漏えいした場合は委託先が損害を賠償するなどの条項を盛り込んだ契約書を取り交わして,情報漏えいなどの発生時に補償できるようにするのが適切である。 |
問題39
JIS Q 27000で定義された情報セキュリティの特性に関する記述のうち、否認防止の特性に該当するものはどれか。
| ア | ある利用者がシステムを利用したという事実を証明可能にする。 |
| イ | 意図する行動と結果が一貫性をもつ。 |
| ウ | 認可されたエンティティが要求したときにアクセスが可能である。 |
| エ | 認可された個人、エンティテイ又はプロセスに対してだけ、情報を使用させる又は開示する。 |
解答:ア
<解説>
JIS Q 27000 は,情報セキュリティマネジメントシステムの用語を定義する規格である。この規格では,情報セキュリティの特性や能力として,機密性,完全性などを定義している。
| ア | ○ | 否認防止の特性の説明である。否認防止の特性とは、主張された事象又は処置の発生,及びそれを引 き起こしたエンティティを証 明する。 |
| イ | × | 信頼性の説明である。信頼性とは、意図する行動と結果とが一貫している。 |
| ウ | × | 可用性の説明である。可用性とは、認可されたエンティティの要求により,アクセス及び使用が可能である。 |
| エ | × | 機密性の説明である。機密性とは、認可されていない対象に対して,情報を使用させず,開示しない。 |
問題40
WAFの説明として、適切なものはどれか。
| ア | DMZに設置されているWebサーバへ外部から実際に侵入を試みる。 |
| イ | WebサーバのCPU負荷を軽減するために、SSLによる暗号化と復号の処理をWebサーバではなく専用のハードウェア上で行う。 |
| ウ | システム管理者が質問に答える形式で、自組織の情報セキュリティ対策のレベルを診断する。 |
| エ | 特徴的なパターンが含まれるかなどWebアプリケーションへの通信内容を検査して、不正な操作を遮断する。 |
解答:エ
<解説>
WAF(Web Application Firewall)とは、Webアプリケーションへの外部からの攻撃・侵入を検知・防止するシステム。Webサーバとインターネットなどの外部ネットワークとの間に設置され、サーバへのアクセスを監視し、攻撃とみなされるアクセスパターンを検知するとブロックする仕組みである。
WAFを使用することで以下の効果を期待できる。
- 脆弱性を悪用した攻撃からウェブアプリケーションを防御する
- 脆弱性を悪用した攻撃を検出する
- 複数のウェブアプリケーションへの攻撃をまとめて防御する
| ア | × | ペネトレーションテストの説明である。 |
| イ | × | SSLアクセラレータの説明である。 |
| ウ | × | 情報セキュリティ対策ベンチマークの説明である。 |
| エ | ○ | WAFの説明である。 |
お問い合わせ
