読者です 読者をやめる 読者になる 読者になる

情報処理技術者試験ナビ

当サイトは準備中です。

続・新資格「情報処理安全確保支援士」とは?

新たな士業資格「情報処理安全確保支援士」について、経済産業省から制度開始のリリースが、情報処理推進機構(IPA)からは試験要綱の公表がありました。 早速、新たに明らかになった内容や、試験内容について紹介したいと思います。 制度について 経済産業…

SC 27春 午前Ⅱ 問25

問題 入出金管理システムから出力された入金データファイルを,売掛金管理システムが読み込んでマスタファイルを更新する。入出金管理システムから売掛金管理システムへのデータ受渡しの正確性及び網羅性を確保するコントロールはどれか。 売掛金管理システ…

SC 27春 午前Ⅱ 問24

問題 データセンタにおけるコールドアイルの説明として,適切なものはどれか。 IT機器の冷却を妨げる熱気をラックの前面(吸気面)に回り込ませないための板であり,IT機器がマウントされていないラックの空き部分に取り付ける。 寒冷な外気をデータセンタ内…

SC 27春 午前Ⅱ 問23

問題 マッシュアップを利用してWebコンテンツを表示している例として,最も適切なものはどれか。 Webブラウザにプラグインを組み込み,動画やアニメーションを表示する。 地図上のカーソル移動に伴い,Webページを切り替えずにスクロール表示する。 鉄道経路…

SC 27春 午前Ⅱ 問22

問題 共通フレームによれば,システム要件の評価タスクにおいて見極めることはどれか。 システム要件とシステム方式との間に一貫性があるかどうか。 システム要件とシステム方式との関連が追跡できるかどうか。 システム要件を満たすシステム方式設計が実現…

SC 27春 午前Ⅱ 問21

問題 分散トランザクション処理で利用される2相コミットプロトコルでは,コミット処理を開始する調停者(coordinator)と,調停者からの指示を受信してから必要なアクションを開始する参加者(participant)がいる。この2相コミットプロトコルに関する記述の…

SC 27春 午前Ⅱ 問20

問題 HTTPのヘッダ部で指定するものはどれか。 HTMLバージョン情報(DOCTYPE宣言) POSTリクエストのエンティティボディ(POSTデータ) WebサーバとWebブラウザ間の状態を管理するクッキー(Cookie) Webページのタイトル(タグ) // 答え ウ 解説 // 関連情…

SC 27春 午前Ⅱ 問19

問題 192.168.1.0/24のネットワークアドレスを,16個のサブネットに分割したときのサブネットマスクはどれか。 255.255.255.192 255.255.255.224 255.255.255.240 255.255.255.248 // 答え ウ 解説 // 関連情報 オンラインテキスト キーワード 過去の出題

SC 27春 午前Ⅱ 問18

問題 TCPヘッダに含まれる情報はどれか。 宛先ポート番号 送信元IPアドレス パケット生存時間(TTL) プロトコル番号 // 答え ア 解説 // 関連情報 オンラインテキスト キーワード 過去の出題

SC 27春 午前Ⅱ 問17

問題 SQLインジェクション対策について,Webアプリケーションの実装における対策とWebアプリケーションの実装以外の対策として,ともに適切なものはどれか。 Webアプリケーションの実装における対策 Webアプリケーションの実装以外の対策 Webアプリケーショ…

SC 27春 午前Ⅱ 問16

問題 SMTP-AUTHの特徴はどれか。 ISP管理下の動的IPアドレスからの電子メール送信について,管理外ネットワークのメールサーバへSMTP接続を禁止する。 PCからメールサーバへの電子メール送信時に,ユーザアカウントとパスワードによる利用者認証を行う。 PC…

SC 27春 午前Ⅱ 問15

問題 DNSの再帰的な問合せを使ったサービス不能攻撃(DNS amp)の踏み台にされることを防止する対策はどれか。 DNSキャッシュサーバとコンテンツサーバに分離し,インターネット側からDNSキャッシュサーバに問合せできないようにする。 問合せされたドメインに…

SC 27春 午前Ⅱ 問14

問題 DNSSECで実現できることはどれか。 DNSキャッシュサーバからの応答中のリソースレコードが,権威DNSサーバで管理されているものであり,改ざんされていないことの検証 権威DNSサーバとDNSキャッシュサーバとの通信を暗号化することによる,ゾーン情報の…

SC 27春 午前Ⅱ 問13

問題 迷惑メールの検知手法であるベイジアンフィルタリングの説明はどれか。 信頼できるメール送信元を許可リストに登録しておき,許可リストにない送信元からの電子メールは迷惑メールと判定する。 電子メールが正規のメールサーバから送信されていることを…

SC 27春 午前Ⅱ 問12

問題 rootkitに含まれる機能はどれか。 OSの中核であるカーネル部分の脆弱性を分析する。 コンピュータがウイルスやワームに感染していないことをチェックする。 コンピュータやルータのアクセス可能な通信ポートを外部から調査する。 不正侵入してOSなどに…

SC 27春 午前Ⅱ 問11

問題 マルウェアの活動傾向などを把握するための観測用センサが配備されるダークネットはどれか。 インターネット上で到達可能,かつ,未使用のIPアドレス空間 組織に割り当てられているIPアドレスのうち,コンピュータで使用されているIPアドレス空間 通信…

SC 27春 午前Ⅱ 問10

問題 NTPを使った増幅型のDDoS攻撃に対して,NTPサーバが踏み台にされることを防止する対策として,適切なものはどれか。 NTPサーバの設定変更によって,NTPサーバの状態確認機能(monlist)を無効にする。 NTPサーバの設定変更によって,自ネットワーク外のNT…

SC 27春 午前Ⅱ 問9

問題 IPsecに関する記述のうち,適切なものはどれか。 IKEはIPsecの鍵交換のためのプロトコルであり,ポート番号80が使用される。 暗号化アルゴリズムとして,HMAC-SHA1が使用される。 トンネルモードを使用すると,エンドツーエンドの通信で用いるIPのヘッ…

SC 27春 午前Ⅱ 問8

問題 総務省及び経済産業省が策定した“電子政府における調達のために参照すべき暗号のリスト(CRYPTREC 暗号リスト)”を構成する暗号リストの説明のうち,適切なものはどれか。 推奨候補暗号リストとは,CRYPTRECによって安全性及び実装性能が確認された暗号…

SC 27春 午前Ⅱ 問7

問題 JVC(Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCVE(Common Vulnerabilities and Exposures)識別子の説明はどれか。 コンピュータで必要なセキュリティ設定項目を識別するための識別子である。 脆弱性を利用して改…

SC 27春 午前Ⅱ 問6

問題 X.509におけるCRL(Certificate Revocation List)についての説明のうち,適切なものはどれか。 PKIの利用者は,認証局の公開鍵がブラウザに組み込まれていれば,CRLを参照しなくてもよい。 認証局は,発行したすべてのディジタル証明書の有効期限をCRL…

SC 27春 午前Ⅱ 問5

問題 サイドチャネル攻撃の説明はどれか。 暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量(処理時間や消費電流など)やエラーメッセージから,攻撃対象の機密情報を得る。 企業などの機密情報を詐取するソーシャルエンジニアリングの…

SC 27春 午前Ⅱ 問4

問題 VA(Validation Authority)の役割はどれか。 ディジタル証明書の失効状態についての問合せに応答する。 ディジタル証明書を作成するためにディジタル署名する。 認証局に代わって属性証明書を発行する。 本人確認を行い,ディジタル証明書の発行を指示…

SC 27春 午前Ⅱ 問3

問題 RLO(Right-to-Left Override)を利用した手口の説明はどれか。 “コンピュータウイルスに感染している”といった偽の警告を出して利用者を脅し,ウイルス対策ソフトの購入などを迫る。 脆弱性があるホストやシステムをあえて公開し,攻撃の内容を観察す…

SC 27春 午前Ⅱ 問2

問題 IEEE802.1Xで使われるEAP-TLSによって実現される認証はどれか。 CHAPを用いたチャレンジレスポンスによる利用者認証 あらかじめ登録した共通鍵によるサーバ認証と,時刻同期のワンタイムパスワードによる利用者認証 ディジタル証明書による認証サーバと…

SC 27春 午前Ⅱ 問1

問題 Webのショッピングサイトを安全に利用するため,WebサイトのSSL証明書を表示して内容を確認する。Webサイトが,EV SSL証明書を採用している場合,存在するサブジェクトフィールドのOrganization Nameに記載されているものはどれか。 Webサイトの運営団…

SC 27秋 午前Ⅱ 問25

問題 システム監査における監査証拠の説明のうち,適切なものはどれか。 監査人が収集又は作成する資料であり,監査報告書に記載する監査意見や指摘事項は,その資料によって裏付けられていなければならない。 監査人が当初設定した監査手続を記載した資料で…

SC 27秋 午前Ⅱ 問24

問題 入出力データの管理方針のうち,適切なものはどれか。 出力帳票の受渡しは授受管理表などを用いて確実に行い,情報の重要度によっては業務部門の管理者に手渡しする。 出力帳票の利用状況を定期的に点検し,利用されていないと判断したものは,情報シス…

SC 27秋 午前Ⅱ 問23

問題 特許権に関する記述のうち,適切なものはどれか。 A社が特許を出願するより前にB社が独自に開発して日本国内で発売した製品は,A社の特許権の侵害にならない。 組込み機器におけるハードウェアは特許権で保護されるが,ソフトウェアは保護されない。 審…

SC 27秋 午前Ⅱ 問22

問題 ソフトウェア開発・保守工程において,リポジトリを構築する理由として,最も適切なものはどれか。 各工程で検出した不良を管理することが可能になり,ソフトウェアの品質分析が容易になる。 各工程での作業手順を定義することが容易になり,開発・保守…

SC 27秋 午前Ⅱ 問21

問題 データウェアハウスを構築するために,業務システムごとに異なっているデータ属性やコード体系を統一する処理はどれか。 ダイス データクレンジング ドリルダウン ロールアップ // 答え イ 解説 // 関連情報 オンラインテキスト キーワード 過去の出題

SC 27秋 午前Ⅱ 問20

問題 ファイル転送プロトコルTFTPをFTPと比較したときの記述として,適切なものはどれか。 暗号化を用いてセキュリティ機能を強化したファイル転送プロトコル インターネットからのファイルのダウンロード用に特化したファイル転送プロトコル テキストデータ…

SC 27秋 午前Ⅱ 問19

問題 スパニングツリープロトコルの機能を説明したものはどれか。 MACアドレスを見て,フレームを廃棄するか中継するかを決める。 一定時間通信が行われていないMACアドレスを,MACアドレステーブルから消去する。 経路が複数存在する場合,アプリケーション…

SC 27秋 午前Ⅱ 問18

問題 DNSのMXレコードで指定するものはどれか。 宛先ドメインへの電子メールを受け付けるメールサーバ エラーが発生したときの通知先のメールアドレス 複数のDNSサーバが動作しているときのマスタDNSサーバ メーリングリストを管理しているサーバ // 答え ア…

SC 27秋 午前Ⅱ 問17

問題 OAuth2.0において,WebサービスAの利用者Cが,WebサービスBにリソースDを所有している。利用者Cの承認の下,WebサービスAが,リソースDへの限定的なアクセス権限を取得するときのプロトコルOAuth2.0の動作はどれか。 WebサービスAが,アクセストークン…

SC 27秋 午前Ⅱ 問16

問題 ダウンローダ型マルウェアが内部ネットワークのPCに感染したとき,そのマルウェアによってインターネット経由で他のマルウェアがダウンロードされることを防ぐ対策として,最も有効なものはどれか。 URLフィルタを用いてインターネット上の危険なWebサ…

SC 27秋 午前Ⅱ 問15

問題 脆弱性検査で,対象ホストに対してポートスキャンを行った。対象ポートの状態を判定する方法のうち,適切なものはどれか。 対象ポートにSYNパケットを送信し,対象ホストから“RST/ACK”パケットを受信するとき,対象ポートが開いていると判定する。 対象…

SC 27秋 午前Ⅱ 問14

問題 テンペスト(TEMPEST)攻撃を説明したものはどれか。 故意に暗号化演算を誤動作させて正しい処理結果との差異を解析する。 処理時間の差異を計測し解析する。 処理中に機器から放射される電磁波を観測し解析する。 チップ内の信号線などに探針を直接当て…

SC 27秋 午前Ⅱ 問13

問題 WebサーバがHTTPS通信の応答でcookieにSecure属性を設定したときのブラウザの処理はどれか。 ブラウザは,cookieの“Secure=”に続いて指定された時間を参照し,指定された時間を過ぎている場合にそのcookieを削除する。 ブラウザは,cookieの“Secure=”に…

SC 27秋 午前Ⅱ 問12

問題 クロスサイトスクリプティングによる攻撃を防止する対策はどれか。 WebサーバにSNMPエージェントを常駐稼働させ,Webサーバの負荷状態を監視する。 WebサーバのOSのセキュリティパッチについて,常に最新のものを適用する。 Webサイトへのデータ入力に…

SC 27秋 午前Ⅱ 問11

問題 VLAN機能をもった1台のレイヤ3スイッチに複数のPCを接続している。スイッチのポートをグループ化して複数のセグメントに分けると,セグメントを分けない場合に比べて,どのようなセキュリティ上の効果が得られるか。 スイッチが,PCから送出されるICMP…

SC 27秋 午前Ⅱ 問10

問題 ICMP Flood攻撃に該当するものはどれか。 HTTP GETコマンド繰り返しを送ることによって,攻撃対象のサーバにコンテンツ送信の負荷を掛ける。 pingコマンドを用いて大量の要求パケットを発信することによって,攻撃対象のサーバに至るまでの回線を過負荷…

SC 27秋 午前Ⅱ 問9

問題 不正が発生する際には“不正のトライアングル”の3要素全てが存在すると考えられている。“不正のトライアングル”の構成要素の説明のうち,適切なものはどれか。 “機会”とは,情報システムなどの技術や物理的な環境及び組織のルールなど,内部者による不正…

SC 27秋 午前Ⅱ 問8

問題 水飲み場型攻撃(Watering Hole Attack)の手口はどれか。 アイコンを文書ファイルのものに偽装した上で,短いスクリプトを埋め込んだショートカットファイル(LNKファイル)を電子メールに添付して標的組織の従業員に送信する。 事務連絡などのやり取りを…

SC 27秋 午前Ⅱ 問7

問題 特定の情報資産の漏えいに関するリスク対応のうち,リスク回避に該当するものはどれか。 外部の者が侵入できないように,入退室をより厳重に管理する。 情報資産を外部のデータセンタに預託する。 情報の新たな収集を禁止し,収集済みの情報を消去する…

SC 27秋 午前Ⅱ 問6

問題 ISO/IEC 15408を評価基準とする"ITセキュリティ評価及び認証制度"の説明として,適切なものはどれか 暗号モジュールに暗号アルゴリズムが適切に実装され,暗号鍵などが確実に保護されているかどうかを評価及び認証する制度 主に無線LANにおいて,RADIUS…

SC 27秋 午前Ⅱ 問5

問題 ポリモーフィック型ウイルスの説明として,適切なものはどれか。 インターネットを介して,攻撃者がPCを遠隔操作する。 感染するごとにウイルスのコードを異なる鍵で暗号化し,同一のパターンで検知されないようにする。 複数のOSで利用できるプログラ…

SC 27秋 午前Ⅱ 問4

問題 PCなどに内蔵されるセキュリティチップ(TPM:Trusted Platform Module)がもつ機能はどれか。 TPM間の共通鍵の交換 鍵ペアの生成 ディジタル証明書の発行 ネットワーク経由の乱数発信 // 答え イ 解説 // 関連情報 オンラインテキスト キーワード 過去の…

SC 27秋 午前Ⅱ 問3

問題 ステートフルインスペクション方式のファイアウォールの特徴はどれか。 WebブラウザとWebサーバとの間に配置され,リバースプロキシサーバとして動作する方式であり,WebブラウザからWebサーバへの通信に不正なデータがないかどうかを検査する。 アプリ…

SC 27秋 午前Ⅱ 問2

問題 特定の認証局が発行したCRLに関する記述のうち,適切なものはどれか。 CRLには,失効したディジタル証明書に対応する秘密鍵が登録される。 CRLには,有効期限内のディジタル証明書のうち失効したディジタル証明書と破棄された日時の対応が提示される。 …