- トップページ
- プロジェクトマネージャ 午前2
- 令和4年度秋季問題
- 令和4年度秋季解答・解説
令和4年度秋季解答
問題21
基準値を超える鉛,水銀などの有害物質を電気・電子機器に使用することを制限するために,欧州連合が制定し,施行しているものはどれか。
| ア | ISO 14001 |
| イ | RoHS指令 |
| ウ | WEEE指令 |
| エ | グリーン購入法 |
解答:イ
<解説>
| ア | × | ISO 14001とは、組織が環境マネジメントシステムを確立し、文書化し、実施し、かつ、維持すること。 また、その環境マネジメントシステムの有効性を継続的に改善するために要求される規格である。 |
| イ | ○ | RoHS指令とは、電子・電気機器における特定有害物質の使用制限についての欧州連合(EU)による指令である。 |
| ウ | × | WEEE指令 とは、廃電気・電子製品(WEEE)に関する欧州連合(EU)の指令である。 |
| エ | × | グリーン購入法とは、国等の公的機関が率先して環境物品等(環境負荷低減に資する製品・サービス)の調達を推進するとともに、環境物品等に関する適切な情報提供を促進することにより、需要の転換を図り, 持続的発展が可能な社会の構築を推進するための法律である。 |
問題22
SDGsの説明として,適切なものはどれか。
| ア | 温室効果ガスの人為的な排出量と呼吸源による除去量とを世界規模で均衡させようという取組 |
| イ | 企業が社会的責任を果たすべきであるとする考え方で,環境,人権などの活動に取り組むことを推進する考え方 |
| ウ | 国連環境計画が提唱する,プラスチックごみによる海洋汚染,環境問題などを解決しようとする取組 |
| エ | 地球環境などの課題において2030年を年限とする持続可能でより良い世界を目指す国際目標 |
解答:エ
<解説>
SDGs(Sustainable Development Goals:持続可能な開発目標)とは,2001年に策定されたミレニアム開発目標の後継として,2015年9月の国連サミットで加盟国の全会一致で採択された「持続可能な開発のための2030アジェンダ」に記載された,2030年までに持続可能でよりよい世界を目指す国際目標です。17のゴール・169のターゲットから構成され,地球上の「誰一人取り残さない(leave no one behind)」ことを誓っています。SDGsは発展途上国のみならず,先進国自身が取り組むユニバーサル(普遍的)なものであり,日本としても積極的に取り組んでいます。
| ア | × | カーボンニュートラルの説明である。 |
| イ | × | CSR(Corporate Social Responsibility:企業の社会的責任)の説明である。 |
| ウ | × | 海洋プラスチックごみ対策の説明である。 |
| エ | 〇 | SDGs(Sustainable Development Goals:持続可能な開発目標)の説明である。 |
問題23
認証局が発行するCRLに関する記述のうち,適切なものはどれか。
| ア | CRLには,失効したデジタル証明書に対応する秘密鍵が登録される。 |
| イ | CRLには,有効期限内のデジタル証明書のうち失効したデジタル証明書のシリアル番号と失効した日時の対応が提示される。 |
| ウ | CRLは,鍵の漏えい,失効申請の状況をリアルタイムに反映するプロトコルである。 |
| エ | 有効期限切れで失効したデジタル証明書は,所有者が新たなデジタル証明書を取得するまでの間,CRLに登録される |
解答:イ
<解説>
CRL (Certificate Revocation List: 証明書失効リスト) は、証明書の失効情報(シリアル番号と失効日)が記載されている認証局 (CA) 毎に作成・更新されるリストです。同認証局 (CA) から発行された有効期間が満了していないすべての証明書の失効情報が記載されています。
| ア | × | CRLには,失効したデジタル証明書に対応する秘密鍵は登録されない。 |
| イ | 〇 | CRLには,証明書の失効情報(シリアル番号と失効日)が記載されている。 |
| ウ | × | CRLは,失効したデジタル証明書のリストであり、プロトコルではない。 |
| エ | × | 同認証局 (CA) から発行された有効期間が満了していないすべての証明書の失効情報が記載されています。 すなわち、有効期限切れで失効したデジタル証明書は,CRLに登録されない。 またCRLに登録されていたデジタル証明書は有効期限が過ぎるとCRLから削除される。 |
問題24
Webサーバでのシングルサインオンの実装方式に関する記述のうち,適切なものはどれか。
| ア | cookieを使ったシングルサインオンの場合,Webサーバごとの認証情報を含んだcookieをクライアントで生成し,各Webサーバ上で保存,管理する。 |
| イ | cookieを使ったシングルサインオンの場合,認証対象のWebサーバを,異なるインターネットドメインに配置する必要がある。 |
| ウ | リバースプロキシを使ったシングルサインオンの場合、認証対象のWebサーバを,異なるインターネットドメインに配置する必要がある。 |
| エ | リバースプロキシを使ったシングルサインオンの場合、利用者認証においてパスワードの代わりにデジタル証明書を用いることができる。 |
解答:エ
<解説>
シングルサインオン(SSO)とは、1回の本人認証で、複数の異なるアプリケーションやシステムを利用できる認証の仕組みのことである。
システム毎のログインの手間やパスワード忘れに伴う負荷を最小限に減らせるので、利便性を求めるエンドユーザーからの実装要望が多いだけでなく、管理者にとっても、複数パスワードを覚えきれないユーザーへの対応負荷や、パスワードのメモ書きによる流出といったリスクを低減する効果が期待できる。
| ア | × | cookieを生成するのは認証サーバであり、クライアントではない。 |
| イ | × | cookieは同じドメインでないとクライアントから送信されないの認証対象のサーバを異なるインターネットドメインに配置するとSSOを実現できなくなる。 |
| ウ | × | リバースプロシキの場合、認証対象のWebサーバはどこに配置してもかまわない。 |
| エ | 〇 | リバースプロキシを使ったシングルサインオンでは,認証情報を一元的に管理する認証サーバが各サーバに対するリクエストをチェックし,認証済みのリクエストだけをサーバに送信する。そのため,cookieを使ったシングルサインオンとは異なり,利用者認証においてパスワードの代わりにデジタル証明書を用いることができる。 |
問題25
サイバーセキュリティ演習での参加チームの役割のうち,レッドチームの役割として,最も適切なものはどれか。
| ア | あらかじめ設定された攻撃範囲を超えた行動を演習参加チームがしていないことを監視する。 |
| イ | 演習時に行うサイバー攻撃に対して,防御,検知,対応を行う。 |
| ウ | 脅威シナリオに基づいて対象組織に攻撃を仕掛ける。 |
| エ | 人的リソース,データ,ナレッジを共有し,演習の効果の最大化を図る。 |
解答:ウ
<解説>
レッドチーム/ブルーチーム演習は、その道の専門家から学ぶことで、サイバーセキュリティチームの準備体制を整えるのに役立ちます。レッドチーム(攻撃側)は攻撃者を模倣した演習でシステムを攻撃し、ブルーチーム(防御側)はチームが環境内でのこの標的型攻撃から防御するのを助けます。
イがブルーチームの役割であり、ウがレッドチームの役割となる。
したがって、ウが正解である。
お問い合わせ
