- トップページ
- 応用情報技術者
- 平成29年度春季問題
- 平成29年度春季解答・解説
平成29年度春季解答
問題36
インターネットへの接続において、ファイアウォールとNAPT機能を利用することによるセキュリティ上の効果はどれか。
| ア | DMZ上にある公開Webサーバの脆弱性を突く攻撃からWebサーバを防御できる。 |
| イ | インターネットから内部ネットワークへの侵入を検知し、通信経路の途中で遮断できる。 |
| ウ | インターネット上の特定のWebアプリケーションを利用するHTTP通信を検知し、遮断できる。 |
| エ | インターネットにアクセスする組織内の利用者PCについて、外部からの不正アクセスを困難にすることができる。 |
解答:エ
<解説>
NAPT(Network Address Port Translation)とは、インターネットと直接通信ができるグローバルIPアドレス・TCP/UDPポート番号と、組織内のみで利用できるプライベートアドレス・TCP/UDPポート番号の変換を行う技術。NAPTでは、IPアドレスの変換を行うNATに対して、トランスポート層のポート番号も変換するため、変換効率が高い。NATP、IPマスカレードとも呼ばれる。
| ア | × | NAPTを使ったネットワーク構成では、公開Webサーバを設置することができない。 WAF(Web Application FireWall)を導入する効果の説明である。 |
| イ | × | IPS(Intrusion Prevention System:侵入防止システム)を導入する効果の説明である。 |
| ウ | × | Webフィルタリングを導入する効果の説明である。 |
| エ | ○ | ファイアウォールでNAPT機能を利用すると、組織内のPCから外部にパケットを送っても、その送信元IPアドレスは必ずファイアウォールのものになり、組織内のPCにIPアドレスは秘匿される。したがって、外部からPCに直接パケットを送り付けることはできず、不正アクセスが難しくなる。 |
問題37
A社のWebサーバは、サーバ証明書を使ってTLS通信を行っている。PCがA社のWebサーバへのTLSを用いてアクセスにおいて、当該PCがサーバ証明書を入手した後に、認証局の公開鍵を利用して行う動作はどれか。
| ア | 暗号化通信に利用する共通鍵を生成し、認証局の公開鍵を使って暗号化する。 |
| イ | 暗号化通信に利用する共通鍵を、認証局の公開鍵を使って復号する。 |
| ウ | ディジタル証明書の正当性を認証局の公開鍵を使って検証する。 |
| エ | 利用者が入力して送付する秘匿データを認証局の公開鍵を使って暗号化する。 |
解答:ウ
<解説>
| ア | × | 共通鍵の元となるランダムデータを暗号化するのに用いるのは、証明書に含まれるサーバの公開鍵である。 |
| イ | × | 共通かぎの元となるランダムデータはPC側で作成する。 |
| ウ | ○ | 証明書が認証局の公開鍵で複合できることを確認し、正当性を検証する。 |
| エ | × | 秘匿データを共通鍵を使って暗号化する。 |
問題38
暗号方式に関する説明のうち、適切なものはどれか。
| ア | 共通鍵暗号方式で相手ごとに秘密の通信をする場合、通信相手が多くなるに従って、鍵管理の手間が増える。 |
| イ | 共通鍵暗号方式を用いて通信を暗号化するときには、送信者と受信者で異なる鍵を用いるが、通信相手にその鍵を知らせる必要はない。 |
| ウ | 公開鍵暗号方式で通信文を暗号化して内容を秘密にした通信をするときには、復号鍵を公開することによって、鍵管理の手間を減らす。 |
| エ | 公開鍵方式では、署名に用いる鍵を公開しておく必要がある。 |
解答:ア
<解説>
| ア | ○ | 共通鍵暗号方式は、暗号と複合に同一の鍵を使用する。この暗号方式は通信相手ごとに異なった鍵を用意するので、通信相手が多くなるに従い、鍵管理の手間が増える。 |
| イ | × | 共通鍵暗号方式は、送信者(暗号)と寿春者(複合)に同一の鍵を使用する。 |
| ウ | × | 公開鍵暗号方式で通信文を暗号化して内容を秘密にした通信をするときには、暗号鍵を公開し、複合鍵は秘密にする。 |
| エ | × | 署名に用いる鍵は複合機鍵であり、公開しない。 |
問題39
経済産業省とIPAが策定した“サイバーセキュリティ経営ガイドライン(Ver1.1)”の説明はどれか。
| ア | 企業がITを推進していく中で、サイバー攻撃から企業を守る観点で経営者が認識すべき3原則と、情報セキュリティ対策を実施する上での責任者となる担当幹部に、経営者が指示すべき事項をまとめたもの |
| イ | 経営者が、情報セキュリティについての方針を示し、マネジメントシステムの要求事項を満たすルールを定め、組織が保有する情報をCIAの観点から維持し、継続的に見直すためのプロセス及び管理策を体系的に規定したもの |
| ウ | 事業体のITに関する経営者の活動を大きくITガバナンス(統制)とITマネジメント(管理)に分割し、具体的な目標と工程として37のプロセスを定義したもの |
| エ | 世界規模で生じているサイバーセキュリティ上の脅威に関して、企業の経営者を支援する施策を総合的かつ効果的に推進するための国の責務を定めたもの |
解答:ア
<解説>
| ア | ○ | サイバーセキュリティ経営ガイドライン(Ver1.1)とは、サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」をまとめている。 |
| イ | × | 情報セキュリティポリ氏の説明である。 |
| ウ | × | COBITの説明である。 |
| エ | × | サイバーセキュリティ基本法の説明である。 |
問題40
水飲み場型攻撃(Watering Hole Attack)の手口はどれか。
| ア | アイコンを文書ファイルのものに偽装した上で、短いスクリプトを埋め込んだショートカットファイル(LNKファイル)を電子メールに添付して標的組織の従業員に送信する。 |
| イ | 事務連絡などのやり取りを行うことで、標的組織の従業員の気を緩めさせ、信用させた後、攻撃コードを含む実行ファイルを電子メールに添付して送信する。 |
| ウ | 標的組織の従業員が頻繁にアクセスするWebサイトに攻撃コードを埋め込み、標的組織の従業員がアクセスしたときだけ攻撃が行われるようにする。 |
| エ | ミニブログのメッセージにおいて、ドメイン名を短縮してリンク先のURLを分かりにくくすることによって、攻撃コードを埋め込んだWebサイトに標的組織の従業員を誘導する。 |
解答:ウ
<解説>
水飲み場型攻撃とは、攻撃対象のユーザーがよく利用するWebサイトを不正に改ざんすることで、ウイルスに感染させようとする攻撃である。
| ア | × | アイコン偽装型の手口である。 |
| イ | × | やり取り型の手口である。 |
| ウ | ○ | 水飲み場型攻撃(Watering Hole Attack)の手口である。 |
| エ | × | 短縮URL型の手口である。 |
お問い合わせ
