- トップページ
- 高度共通 午前1
- 平成28年度春季問題
- 平成28年度春季解答・解説
平成28年度春季解答
問題11
CSMA/CD方式のLANで使用されるスイッチングハブ(レイヤ2スイッチ)は、フレームの蓄積機能、速度変換機能や交換機能を持っている。 このようなスイッチングハブと同等の機能を持ち、同じプロトコル階層で動作する装置はどれか。
| ア | ゲートウェイ |
| イ | ブリッジ |
| ウ | リピータ |
| エ | ルータ |
解答:イ
<解説>
| ア | × | ゲートウェイとは、ネットワーク上で、媒体やプロトコルが異なるデータを相互に変換して通信を可能にする機器である。 |
| イ | ○ | レイヤ2スイッチの「レイヤ2」とはOSI基本参照モデルの第2層であるデータリンク層を示す。ブリッジは、データリンク層(第2層)の情報を基にフレームの送信ポートを決定し転送するコンピュータネットワーク機器である。 |
| ウ | × | リピータとは、ネットワークにおいて、ケーブル上を流れる信号の再生および中継を行う機器である。 |
| エ | × | ルータとは、ネットワーク上を流れるデータを他のネットワークに中継する機器である。 |
問題12
暗号方式のうち、共通鍵暗号方式はどれか。
| ア | AES |
| イ | ElGamal暗号 |
| ウ | RSA |
| エ | 楕円曲線暗号 |
解答:ア
<解説>
共通鍵暗号方式とは、暗号化する鍵と複合化する鍵が同じ方式である。第三者に鍵を知られてしまうと暗号文の複合ができてしまうので、鍵を秘密にしておく必要がある。
共通鍵暗号方式の代表例として、DES(Data Encryption Standard)やAES(Advanced Encryption Standard) 方式がある。
| ア | ○ | AESは、共通鍵暗号方式の一つ。2001年にNIST(米国商務省標準技術局)が規格化した。 |
| イ | × | ElGamal暗号は、公開鍵暗号方式の一つ。エジプト人数学者Taher Elgamal氏によって考案された。 |
| ウ | × | RSA(Rivest-Shamir-Adleman cryptosystem)は、公開鍵暗号方式の一つ。巨大な整数の素因数分解が困難であることを利用したアルゴリズムである。SSLで用いられている。 |
| エ | × | 楕円曲線暗号(Elliptic Curve Cryptography: ECC)は、公開鍵暗号方式の一つ。楕円曲線上の離散対数問題 の困難性を安全性の根拠とする暗号である。 |
問題13
WAFの説明として、適切なものはどれか。
| ア | DMZに設置されているWebサーバへ外部から実際に侵入を試みる。 |
| イ | WebサーバのCPU負荷を軽減するために、SSLによる暗号化と復号の処理をWebサーバではなく専用のハードウェア上で行う。 |
| ウ | システム管理者が質問に答える形式で、自組織の情報セキュリティ対策のレベルを診断する。 |
| エ | 特徴的なパターンが含まれるかなどWebアプリケーションへの通信内容を検査して、不正な操作を遮断する。 |
解答:エ
<解説>
WAF(Web Application Firewall)とは、Webアプリケーションへの外部からの攻撃・侵入を検知・防止するシステム。Webサーバとインターネットなどの外部ネットワークとの間に設置され、サーバへのアクセスを監視し、攻撃とみなされるアクセスパターンを検知するとブロックする仕組みである。
WAFを使用することで以下の効果を期待できる。
- 脆弱性を悪用した攻撃からウェブアプリケーションを防御する
- 脆弱性を悪用した攻撃を検出する
- 複数のウェブアプリケーションへの攻撃をまとめて防御する
| ア | × | ペネトレーションテストの説明である。 |
| イ | × | SSLアクセラレータの説明である。 |
| ウ | × | 情報セキュリティ対策ベンチマークの説明である。 |
| エ | ○ | WAFの説明である。 |
問題14
Webアプリケーションのセッションが攻撃者に乗っ取られ、攻撃者が乗っ取ったセッションを利用してアクセスした場合でも、個人情報の漏えいなどの被害が拡大しないようにするために、Webアプリケーションが重要な情報をWebブラウザに送信する直前に行う対策として、最も適切なものはどれか。
| ア | Webブラウザとの間の通信を暗号化する。 |
| イ | 発行済セッションIDをCookieに格納する。 |
| ウ | 発行済セッションIDをURLに設定する。 |
| エ | パスワードによる利用者認証を行う。 |
解答:エ
<解説>
セッションを維持するためのセッションID を推測し,正当なブラウザになりすましてWeb サーバに推測したセッションID を送り込み,ブラウザとWeb サーバ間のセッションを乗っ取ってしまう攻撃方法をセッションハイジャックと呼ぶ。
| ア | × | Webブラウザとの間の通信を暗号化するのは、Webブラウザに送信する直前ではなくセッション取得時から行う。 |
| イ | × | 発行済セッションIDをCookieに格納することは、盗聴などによりセッションID を知られる危険がある。 |
| ウ | × | 発行済セッションIDをURLに設定することは、盗聴などによりセッションID を知られる危険がある。 |
| エ | ○ | セッションハイジャックが発生した場合に個人情報の漏えいなどの被害を拡大させないためには,Web アプリケーションが重要な情報をWeb ブラウザに送る前に,パスワードなど利用者しか知らない情報を用いて認証を行うことが有効である。 |
問題15
クラウドのサービスモデルをNISTの定義に従ってIaaS、PaaS、SaaSに分類したとき、パブリッククラウドサービスの利用企業が行うシステム管理作業において、PaaSとSaaSでは実施できないが、IaaSでは実施できるものはどれか。
| ア | アプリケーションの利用者ID管理 |
| イ | アプリケーションログの取得と分析 |
| ウ | 仮想サーバのゲストOSに係るセキュリティの設定 |
| エ | ハイパバイザに係るセキュリティの設定 |
解答:ウ
<解説>
NIST が公表しているクラウドコンピューティングの定義では,IaaS,PaaS,SaaS の各サービスモデルを次のように定義している。
- IaaS(Infrastructure as a Service)
- サービス事業者は,ハードウェアやネットワーク機器といったサービスのインフラだけを提供する。利用者は,OS 及びアプリケーションソフトウェアを導入してシステムを運用する。利用者には,インフラの管理や制御を行う権限や責任はないが,OS に関する設定を行ったり,セキュリティパッチを適用したりする権限や責任がある。
- PaaS(Platform as a Service)
- サービス事業者は,インフラに加えてサーバ上で稼働するOS も提供する。利用者は,アプリケーションソフトウェアを導入してシステムを運用する。利用者には,アプリケーションソフトウェアの管理や制御を行う権限と責任をもち,インフラの管理や制御を行う権限や責任はなく,OS に関する設定やセキュリティパッチ適用を行う権限や責任もない(OSはサービス事業者が所有しているため)。
- SaaS(Software as a Service)
- サービス事業者は,インフラとOS に加えてアプリケーションソフトウェアも利用者に提供する。利用者には,アプリケーションソフトウェアの管理や制御を行う権限や責任はなく,またインフラの管理や制御,及びOS に関する設定やセキュリティパッチの適用に関する権限や責任もない。
| ア | × | 全てのモデルで実現可能である。 |
| イ | × | 全てのモデルで実現可能である。 |
| ウ | ○ | PaaS やSaaS にはその権限と責任がないため実施できないが、IaaSでは実施できる。 |
| エ | × | ハイパバイザは各OS の稼働状況を管理するソフトウェアであるため,利用者は実施できない。 |
お問い合わせ
