必ず受かる情報処理技術者試験

当サイトは、情報処理技術者試験に合格するためのWebサイトです。
ITパスポート試験,基本情報技術者,応用情報技術者,高度試験の過去問題と解答及び詳細な解説を掲載しています。
  1. トップページ
  2. 高度共通 午前1
  3. 平成26年度春季問題
  4. 平成26年度春季解答・解説

平成26年度春季解答

問題11

TCP/IPの環境で使用されるプロトコルのうち、構成機器や障害時の情報収集を行うために使用されるネットワーク管理プロトコルはどれか。

NNTP
NTP
SMTP
SNMP

解答:エ

<解説>

× NNTP(Network News Transfer Protocol)は、インターネット上のNetNews(あるテーマについて情報を交換する電子会議)でメッセージ転送に用いられるプロトコルである。
× NTP(Network Time Protocol)は、ネットワークに接続される機器において、機器が持つ時計を正しい時刻へ同期するための通信プロトコルである。
× SMTP(Simple Mail Transfer Protocol)は、インターネットで電子メールを転送するプロトコルである。
SNMP(Simple Network Management Protocol)は、ネットワーク機器を監視(モニタリング)・制御するための情報の通信方法を定めるプロトコルである。

問題へ

問題12

認証局が侵入され、攻撃者によって不正なWebサイト用のディジタル証明書が複数発行されたおそれがある。 どのディジタル証明書が不正に発行されたものか分からない場合、誤って不正に発行されたディジタル証明書を用いたWebサイトにアクセスしないために利用者側で実施すべき対策はどれか。

Webサイトのディジタル証明書の有効期限が過ぎている場合だけアクセスを中止する。
Webサイトへのアクセスログを確認し、ドメインがWhoisデータベースに登録されていない場合だけアクセスする。
当該認証局のCP(Certificate Policy)の内容を確認し、セキュリティを考慮している内容である場合だけアクセスする。
ブラウザで当該認証局を信頼していない状態に設定し、Webサイトのディジタル証明書に関するエラーが出た場合はアクセスを中止する。

解答:エ

<解説>

× 有効期限に関係なく、不正なディジタル証明書は避ける。
× Whoisで確認できるのはドメインの登録情報のみである。
× 当該認証局そのものが侵入されているので、CP(Certificate Policy)に書かれている内容も保証できない。
過去に当該認証局で発行された正しい証明書も無効となる。

問題へ

問題13

安全なWebアプリケーションの作り方について、攻撃と対策の適切な組合せはどれか。

解答:ア

<解説>

SQLインジェクション SQLインジェクション(英: SQL Injection)とは、アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のことである。
静的プレースホルダでは、SQL を準備する段階で SQL 文の構文が確定し、後から SQL 構文が変化することがないため、パラメータの値がリテラルの外にはみ出す現象が起きません。その結果として、SQL インジェクションの脆弱性が生じない。
× クロスサイトスクリプティング クロスサイトスクリプティングとは、動的にウェブページを生成するアプリケーションのセキュリティ上の不備を意図的に利用し、狭義にはサイト間を横断して悪意のあるスクリプトを混入させること。
クロスサイトスクリプティングの対策は、いくつかの例外を除き、出力値のエスケープを適切に施すことである。
× クロスサイトリクエストフォージェリ クロスサイトリクエストフォージェリとは、Webサイトにスクリプトや自動転送(HTTPリダイレクト)を仕込むことによって、閲覧者に意図せず別のWebサイト上で何らかの操作(掲示板への書き込みなど)を行わせる攻撃手法である。
サーバ側でクロスサイトリクエストフォージェリを防ぐには、サイト外からのリクエストの受信を拒否する必要がある。ヘッダに含まれる情報を元に参照元が正規のページかどうかをチェックしたり、フォームの一部にランダムな数値を隠しておいてアクセスの一貫性をチェックしたり、コンピュータが読み取れないよう画像として表示したチェックコードの入力をユーザに要求するなどの対策が有効である。
× セッションハイジャック セッションハイジャックとは、ネットワーク上で一対の機器間で交わされる一連の通信(セッション)を途中で乗っ取り、片方になりすましてもう一方から不正にデータを詐取したり操作を行なう攻撃である。
セションIDの値を推測困難なものにしたり暗号化してデータの送受信を行なうなどの対策が有効である。

問題へ

問題14

ディジタルフォレンジクスの説明として、適切なものはどれか。

あらかじめ設定した運用基準に従って、メールサーバを通過する送受信メールをフィルタリングすること
サーバに対する外部からの攻撃や不正なアクセスを防御すること
磁気ディスクなどの書換え可能な記憶媒体を単に初期化するだけではデータを復元される可能性があるので、任意のデータで上書きすること
不正アクセスなどコンピュータに関する犯罪の法的な証拠性を確保できるように、原因究明に必要な情報を保全、収集、分析すること

解答:エ

<解説>

ディジタルフォレンジクスとは、インシデントレスポンス(コンピュータやネットワーク等の資源及び環境の不正使用、サービス妨害行為、 データの破壊、意図しない情報の開示等、並びにそれらへ至るための行為等への対応等)や法的紛争・訴訟に際し、電磁的記録の証拠保全及び調査・分析を行うとともに、電磁的記録の改ざん・毀損等についての分析・情報収集等を行う一連の科学的調査手法・技術のことである。

デジタル証拠の確保が図られることによって、コンピュータセキュリティを積極的に維持することができます。

× メールのフィルタリングに関する説明である。
× パケットフィルタリングに関する説明である。
× クロスサイトリクエストフォージェリの説明である。
ディジタルフォレンジクスの説明である。

問題へ

問題15

SSHの説明はどれか。

MIMEを拡張した電子メールの暗号化とディジタル署名に関する標準
オンラインショッピングで安全にクレジット決済を行うための仕様
対称暗号技術と非対称暗号技術を併用して電子メールの暗号化、復号の機能をもつツール
リモートログインやリモートファイルコピーのセキュリティを強化したツール及びプロトコル

解答:エ

<解説>

× S/MIME(Secure / Multipurpose Internet Mail Extensions)の説明である。
S/MIMEとは、電子メールのセキュリティを向上する暗号化方式のひとつで、電子メールが扱えるデータを拡張する仕様であるMIMEを用いた電子メールの暗号化方式のことである
× 3Dセキュアの説明である。
3Dセキュアとは、インターネット上でクレジットカード決済をより安全に行うための本人認証サービスである。
× PGP 【 Pretty Good Privacy 】 の説明である。
PGP では対称暗号技術と非対称暗号技術を併用して電子メールの暗号化、復号の機能をもつ。
SSHの説明である。
SSH(Secure Shell)とは、暗号や認証の技術を利用して、ネットワークを介して別のコンピュータにログインしたり、遠隔地のマシンでコマンドを実行したり、他のマシンへファイルを移動したりするためプログラムである。

問題へ