- トップページ
- 情報セキュリティスペシャリスト
- 平成22年度秋季問題
- 平成22年度秋季解答・解説
平成22年度秋季解答
問題1
シングルサインオンの説明のうち、適切なものはどれか。
| ア | クッキーを使ったシングルサインオンの場合、サーバごとの認証情報を含んだクッキーをクライアントで生成し、各サーバ上で保存、管理する。 |
| イ | クッキーを使ったシングルサインオンの場合、認証対象の各サーバを異なるインターネットドメインに配置する必要がある。 |
| ウ | リバースプロキシを使ったシングルサインオンの場合、認証対象の各Webサーバを異なるインターネットドメインに配置する必要がある。 |
| エ | リバースプロキシを使ったシングルサインオンの場合、利用者認証においてパスワードの代わりにディジタル証明書を用いることができる。 |
解答:エ
<解説>
シングルサインオンとは、一度の認証処理によって複数のコンピュータ上のリソースが利用可能になる認証機能である。
シングルサインオンによってユーザは複数のIDやパスワードを覚えておく負担から解放される。
| ア | × | クッキーを使ったシングルサインオンの場合、サーバごとの認証情報を含んだクッキーをクライアントで生成し、各クライアント上で保存、管理する。 |
| イ | × | クッキーを使ったシングルサインオンの場合、認証対象の各サーバを同一のインターネットドメインに配置する必要がある。 |
| ウ | × | リバースプロキシを使ったシングルサインオンの場合、認証対象の各Webサーバをインターネットドメイン(インターネットドメインは異なっていても同一のドメインでも可)に配置する必要がある。 |
| エ | ○ | リバースプロキシを使ったシングルサインオンの場合、利用者認証においてパスワードの代わりにディジタル証明書を用いることができる。 |
問題2
作成者によってディジタル署名された電子文書に、タイムスタンプ機関がタイムスタンプを付与した。 この電子文書を公開する場合のタイムスタンプの効果のうち、適切なものはどれか。
| ア | タイムスタンプを付与した時刻以降に、作成者が、電子文書の内容をほかの電子文書へコピーして流用することを防止する。 |
| イ | タイムスタンプを付与した時刻以降に、第三者が、電子文書の内容をほかの電子文書へコピーして流用することを防止する。 |
| ウ | 電子文書が、タイムスタンプの時刻以前に存在したことを示し、作成者が、電子文書の作成を否認することを防止する。 |
| エ | 電子文書が、タイムスタンプの時刻以前に存在したことを示し、第三者が、電子文書を改ざんすることを防止する。 |
解答:ウ
<解説>
問題3
FIPS 140-2を説明したものはどれか。
| ア | 暗号モジュールのセキュリティ要求事項 |
| イ | 情報セキュリティマネジメントシステムに関する認証基準 |
| ウ | ディジタル証明書や証明書失効リストの標準基準 |
| エ | 無線LANセキュリティ技術 |
解答:ア
<解説>
FIPS 140-2 (Federal Information Processing Standardization 140-2) は、暗号モジュールのセキュリティ要件についての規格である。
したがって、アが正解である。
| ア | ○ | FIPS 140-2を説明したものである。 |
| イ | × | JIS Q 27001:2006(標題 情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―要求事項)を説明したものである。 |
| ウ | × | RFC 3280(表題 インターネットX.509公開鍵基盤証明書と証明書失効リスト(CRL)のプロファイル)を説明したものである。 |
| エ | × | FIPS 140-2は無線LANセキュリティ技術を説明したものではない。 |
問題4
米国NISTが制定したAESにおける鍵長の条件はどれか。
| ア | 128ビット、192ビット、256ビットから選択する。 |
| イ | 256ビット未満で任意に指定する。 |
| ウ | 暗号化処理単位のブロック長より32ビット長くする。 |
| エ | 暗号化処理単位のブロック長より32ビット短くする。 |
解答:ア
<解説>
AES(Advanced Encryption Standard)とは、米国商務省標準技術局(NIST)が政府標準暗号として2001年に承認した共通鍵暗号方式。
かつては標準暗号として、DESが利用されていたが、DESは現実的な時間内に解読可能であることが確認されており、コンピューターの性能向上に伴って、解読される危険性はますます高まっていった。 そこで、米国政府は1998年6月を期限にDESに代わる暗号方式を公募し、2001年に応募の中からRijndaelアルゴリズムがAESとして採用された。
Rijndaelではデータをブロックごとに分けて暗号化する。その際、ブロック長を128ビット、192ビット、256ビットから指定できる。さらに暗号化のときに使う鍵の長さも128ビット、192ビット、256ビットから指定できる。
したがって、アが正解である。
問題5
JIS Q 27001:2006における情報システムのリスクとその評価に関する記述のうち、適切なものはどれか。
| ア | 脅威とは、脆弱性が顕在化する確率のことであり、情報システムに組み込まれた技術的管理策によって決まる。 |
| イ | 脆弱性とは、情報システムに対して悪い影響を与える要因のことであり、自然災害、システム障害、人為的過失及び不正行為に大別される。 |
| ウ | リスクの特定では、脅威が情報資産の脆弱性に付け込み、情報資産に与える影響を特定する。 |
| エ | リスク評価では、リスク回避とリスク低減の二つに評価を分類し、リスクの大きさを判断して決める。 |
解答:ウ
<解説>
- 脅威
- システム又は組織に損害を与える可能性があるインシデントの潜在的な原因
- 脆弱性
- 一つ以上の脅威が付け込むことができる,資産又は資産グループがもつ弱点
- リスク
- ある脅威が資産又は資産グループの脆弱性に付け込み、そのことによって組織に損害を与える可能性。
| ア | × | リスクとは、脆弱性が顕在化する確率のことであり、情報システムに組み込まれた技術的管理策によって決まる。 |
| イ | × | 脅威とは、情報システムに対して悪い影響を与える要因のことであり、自然災害、システム障害、人為的過失及び不正行為に大別される。 |
| ウ | ○ | リスクの特定では、脅威が情報資産の脆弱性に付け込み、情報資産に与える影響を特定する。 |
| エ | × | リスク対策では、リスク回避とリスク低減の二つに評価を分類し、リスクの大きさを判断して決める。 |
お問い合わせ
