平成22年度春季解答

問題6

情報漏えいに関するリスク対応のうち、リスク回避に該当するものはどれか。

ア	外部の者が侵入できないように、入退室をより厳重に管理する。
イ	情報資産を外部のデータセンタに預託する。
ウ	情報の重要性と対策費用を勘案し、あえて対策をとらない。
エ	データの安易な作成を禁止し、不要なデータを消去する。

解答：エ

＜解説＞

リスクマネジメントにおける四つのリスク対応は、下記のとおりである。

リスク移転

契約を通じてリスクを第三者に移転すること

リスク回避

リスクの原因を除去すること

リスウ低減

損失の発生率を低下させること

リスウ保有

リスクに対して企業が自己負担すること

ア	×	次のようにリスク低減とリスク回避の両面があるので適切ではない。 入退室の範囲を限定するという意味で「リスク低減」である。 厳重に管理して情報漏えいを防ぐという意味で「リスク回避」である。
イ	×	外部のデータセンタに預託するので、「リスク移転」である。
ウ	×	あえて対策をとらないので、「リスク保有」である。
エ	○	不要なデータを消去することで情報漏えいを回避できるので、「リスク回避」である。

問題へ

問題7

経済産業省告示の“ソフトウェア等脆弱性関連情報取扱基準”におけるWebアプリケーションに関する脆弱性関連情報の適切な取扱いはどれか。

ア	Webアプリケーションの脆弱性についての情報を受けた受付機関は、発見者の氏名・連絡先をWebサイト運営者に通知する。
イ	Webアプリケーションの脆弱性についての通知を受けたWebサイトの運営者は、当該脆弱性に起因する個人情報の漏えいなどが発生した場合、事実関係を公表しない。
ウ	受付機関は、Webサイト運営者からWebアプリケーションの脆弱性が修正されたという通知を受けたら、それを速やかに発見者に通知する。
エ	受付機関は、一般利用者に不安を与えないために、Webアプリケーションの脆弱性関連情報の届出状況は、受付機関の中で管理し、公表しない。

解答：ウ

＜解説＞

問題へ

問題8

DNSサーバに格納されるネットワーク情報のうち、第三者に公開する必要のない情報が攻撃に利用されることを防止するための、プライマリDNSサーバの設定はどれか。

ア	SOAレコードのシリアル番号を更新する。
イ	外部のDNSサーバにリソースレコードがキャッシュされる時間を短く設定する。
ウ	ゾーン転送を許可するDNSサーバを登録する。
エ	ラウンドロビン設定を行う。

解答：ウ

＜解説＞

ア	SOA(Start Of Authority)レコードのシリアル番号はレコードの内容が変更された時に自動で更新される。
イ	プライマリDNSサーバで設定できない。
ウ	ゾーン転送とはDNSサーバのゾーン情報を別のコンピュータに一括して転送することで、通常はセカンダリDNSサーバがプライマリDNSサーバのデータ複製を作るために利用される。ゾーン転送相手を定めることで、DNSサーバのデータが悪意のある者に更新されないようにしている。
エ	ラウンドロビン設定は負荷分散の目的で一つのホスト名に複数のサーバのIPアドレスを対応させるものである。

問題へ

問題9

ワームの侵入に関する記述のうち、適切なものはどれか。

ア	公開サーバへのワームの侵入は、IDSでは検知できない。
イ	未知のワームの侵入は、パターンマッチング方式で検知できる。
ウ	ワームは、アプリケーションソフトの脆弱性を突いて侵入できる。
エ	ワームは、仮想OS環境内のゲストOSに侵入できない。

解答：ウ

＜解説＞

問題へ

問題10

ステガノグラフィを説明したものはどれか。

ア	データの複写を不可能にする(コピーできないようにする)技術のことをいう。
イ	データを第三者に盗み見られても解読できないようにするため、決まった規則に従ってデータを変換することをいう。
ウ	文書の正当性を保証するために付けられる暗号化された署名情報のことをいう。
エ	メッセージを画像データや音声データなどに埋め込み、その存在を隠す技術のことをいう。

解答：エ

＜解説＞

ステガノグラフィとは、あるデータを他のデータの中に埋め込むことで、情報の存在そのものを秘匿する技術のことである。

ア	×	コピーガードの説明である。
イ	×	暗号化の説明である。
ウ	×	ディジタル署名の説明である。
エ	○	ステガノグラフィの説明である。

問題へ