- トップページ
- 情報セキュリティスペシャリスト
- 平成23年度特別問題
- 平成23年度特別解答・解説
平成23年度特別解答
問題11
通信の暗号化に関する記述のうち、適切なものはどれか。
| ア | IPsecのトランスポートモードでは、ゲートウェイ間の通信経路上だけでなく、発信ホストと受信ホストの間の全経路上でメッセージが暗号化される。 |
| イ | LDAPクライアントがLDAPサーバに接続するとき、その通信内容は暗号化することができない。 |
| ウ | S/MIMEで暗号化した電子メールは、受信側のメールサーバ内に格納されている間は、メール管理者が平文として見ることができる。 |
| エ | SSLを使用すると、暗号化されたHTML文書はブラウザのキャッシュの有無が設定できず、ディスク内に必ず保存される。 |
解答:ア
<解説>
| ア | ○ | IPsec(Security Architecture for Internet Protocol)は、暗号技術を用いて、IPパケット単位でデータの改竄防止や秘匿機能を提供するプロトコルである。IPsecのトランスポートモードでは、ゲートウェイ間の通信経路上だけでなく、発信ホストと受信ホストの間の全経路上でメッセージが暗号化される。 |
| イ | × | LDAP(Lightweight Directory Access Protocol)とは、インターネットやイントラネットなどのTCP/IPネットワークで、ディレクトリデータベースにアクセスするためのプロトコルである。通信内容を暗号化することができる。 |
| ウ | × | S/MIME(Secure / Multipurpose Internet Mail Extensions)とは、電子メールのセキュリティを向上する暗号化方式のひとつで、電子メールが扱えるデータを拡張する仕様であるMIMEを用いた電子メールの暗号化方式のことである。S/MIMEで暗号化した電子メールは、暗号化されているのでメール管理者も見ることができない。 |
| エ | × | SSL(Secure Socket Layer)は、WebブラウザーとWebサーバー間で安全にデータをやり取りするためのプロトコルである。Webブラウザのキャッシュの有無の設定をすることができるので、必ずしもディスク内に保存されるわけではない。 |
問題12
自社の中継用メールサーバのログのうち、外部ネットワークからの第三者中継と判断できるものはどれか。 ここで、AAA.168.1.5とAAA.168.1.10は自社のグローバルIPアドレスとし、BBB.45.67.89とBBB.45.67.90は社外のグローバルIPアドレスとする。 a.b.cは自社のドメイン名とし、a.b.dとa.b.eは他社のドメイン名とする。 また、IPアドレスとドメイン名は詐称されていないものとする。
解答:ウ
<解説>
| ア | × | 自社から社外へのメールである。 |
| イ | × | 自社から自社へのメールである。 |
| ウ | ○ | 接続元IPアドレスが社外でありメール受信者のドメイン名が他社である。よって第三者中継と判断できる。 |
| エ | × | 社外から自社へのメールである。 |
問題13
経済産業省“ソフトウェア管理ガイドライン”に定められた、ソフトウェアを使用する法人、団体などが実施すべき基本的事項の記述のうち、適切なものはどれか。
| ア | ウイルスからソフトウェアを保護するため、関係法令や使用許諾契約などについて利用者の教育啓発を行う。 |
| イ | セキュリティ対策に責任を負うセキュリティ管理責任者を任命し、適切な管理体制を整備する。 |
| ウ | ソフトウェアの違法複製などの有無を確認するため、すべてのソフトウェアを対象として、その使用状況について監査を実施する。 |
| エ | ソフトウェアの脆弱性を突いた不正アクセスから保護するため、ソフトウェアの仕様手順や管理方法などを定めたソフトウェア管理規則を制定する。 |
解答:ウ
<解説>
ソフトウェア管理ガイドラインとは、ソフトウェアの違法コピーなどを防止するため、法人や団体などを対象として、ソフトウェアを使用するに当たって実行されるべき事項をとりまとめたもの。通産省(現経済産業省)が1995年に策定した。
したがって、ウが正解である。
問題14
共通フレーム2007に従いシステム開発の要件定義の段階で実施することとして、適切なものはどれか。
| ア | システムに必要なセキュリティ機能及びその機能が対策として達成すべき内容を決定する。 |
| イ | システムに必要なセキュリティ機能に関連するチェックリストを用いてソースコードをレビューする。 |
| ウ | 組織に必要なセキュリティ機能を含むシステム化計画を立案する。 |
| エ | 第三者によるシステムのセキュリティ監査を脆(ぜい)弱性評価ツールを用いて定期的に実施する。 |
解答:ア
<解説>
共通フレーム2007とは、情報システムの企画から開発、運用、保守、廃棄にいたるライフサイクルにおける全体の仕事のプロセスを明確にすることにより、関係者間で共通の言葉,共通のものさしが使えるように定義したものである。
関係者間で共通の言葉,共通のものさしを使うことで不公正な取引がなくなり、市場の透明性を高め、取引の更なる可視化を実現する。
[参考サイト]
| ア | ○ | 要件定義プロセスの目的は、新たに構築する(あるいは再構築する)業務,システムの仕様を明確化し、それをベースにIT化範囲とその機能を具体的に明示することである。また,関連する組織及びシステムに対する制約条件を明確にし定義された内容について取得者側の利害関係者間で合意することである。 |
| イ | × | ソフトウェアコード作成及びテストフェーズで実行するべきことである。 |
| ウ | × | システム化計画の立案フェーズで実行するべきことである。 |
| エ | × | 監査フェーズで実行するべきことである。 |
問題15
ICカードの耐タンパ性を高める対策はどれか。
| ア | ICカードとICカードリーダとが非接触の状態で利用者を認証して、利用者の利便性を高めるようにする。 |
| イ | 故障に備えてあらかじめ作成した予備のICカードを保管し、故障時に直ちに予備カードに交換して利用者がICカードを続けられるようにする。 |
| ウ | 信号の読み出し用プローブの取付けを検出するとICチップ内の保存情報を消去する回路を設けて、ICチップ内の情報を容易に解析できないようにする。 |
| エ | 退職者のICカードは業務システム側で利用を停止して、ほかの利用者が使用できないようにする。 |
解答:ウ
<解説>
耐タンパ性とは、物理的あるいは論理的に内部の情報を読み取られることに対する耐性のことである。
| ア | × | 非接触型ICカードの説明である。 |
| イ | × | 冗長化による信頼性を高める対策である。 |
| ウ | ○ | 耐タンパ性を高める対策である。 |
| エ | × | 運用面で安全性を高める対策である。 |
お問い合わせ
