第10回 情報処理基礎論 a レポート課題 氏名:工藤智也 学籍番号: c1080574 語学クラス:韓国語 コース(系):経営系 ----------------------------------------------------------------------- H21秋 問56 情報セキュリティポリシに関する記述のうち、適切なものはどれか。 ア.企業のセキュリティポリシは、会社法の規定に基づき、株主総会で承認を得  なければならない。 イ.企業のセキュリティポリシは、導入するシステムごとに定義する必要がある。 ウ.セキュリティポリシ策定の要因となっている情報システムの脆(ぜい)弱性を 対外的に公表しなければならない。 エ.目標とするセキュリティレベルを達成するために、遵守すべき行為及び判断 についての考え方を明確にすることが必要である。 解答…エ 解法 ・情報セキュリティポリシ 目標とするセキュリティレベルを達成するために、情報セキュリティに対する企 業の考え方や取組み方を明文化したもの。目標とするセキュリティレベルを達成 するためには、基本理念や目的、情報セキュリティポリシーの役割と位置付け、 適用範囲、組織体制、法令等の遵守、情報セキュリティポリシーに違反したとき の罰則などについて、遵守すべき行為と判断についての考え方を明確にする必要 がある。 策定する作業は,企業の経営トップ(代表取締役など)が中心となって行う。 情報セキュリティポリシの運用にあたっては,情報セキュリティの内容をすべて の社員に周知徹底することも重要。 情報セキュリティポリシの策定 ・ステップ1…情報セキュリティ委員会 ・ステップ2…基本方針の策定。目的、対象範囲などの基本的な考えについて明        らかにする。 ・ステップ3…リスク分析、リスクマネジメントを行う。 ・ステップ4…情報セキュリティ対策基準を策定する ・ステップ5…情報セキュリティポリシの基本方針と対策基準を組織として承認 する。 -参考文献- 報化交流会編 ITパスポート試験標準教本2010→2011 P298 日本経済新聞出版社 2010年6月11日 ----------------------------------------------------------------------- H21秋 問66 セキュリティ事故の例のうち、原因が物理的脅威に分類されるものはどれか。 ア.大雨によってサーバ室に水が入り、機器が停止する。 イ.外部から公開サーバに大量のデータを送られて、公開サーバが停止する。 ウ.攻撃者がネットワークを介して社内のサーバに侵入し、ファイルを破壊する。 エ.社員がコンピュータを誤操作し、データが破壊される。 解答…ア 解法 脅威の種類 ・人的脅威 紛失、漏洩、破損、誤動作、盗み見、なりすまし、改ざん、盗聴、クラッキング など ・技術的脅威 コンピュータウイルス、ファイル交換ソフトウェア、スパイウェア、BOT、DoS攻 撃など ・物理的脅威 地震、火災、津波などの自然災害。コンピュータや回線、データなどの破壊。 運用への妨害。 ア.自然災害が原因で引き起こされたセキュリティ事故(物理的脅威)であるため◯ イ.DoS(Denial of Service)攻撃が原因で引き起こされたセキュリティ事故(技 術的脅威)なので× ウ.不正アクセスが原因で引き起こされたセキュリティ事故(技術的脅威)なので× エ.人間の誤操作が原因で引き起こされたセキュリティ事故(人的脅威)なので× よって、答えは「ア」となる。 -参考文献- 情報化交流会編 ITパスポート試験標準教本2010→2011 P296 日本経済新聞出版社 2010年6月11日 ----------------------------------------------------------------------- H21秋 問71 スパムメールの説明として、適切なものはどれか。 ア.受信者の承諾なしに無差別に送付されるメールのこと イ.特定の目的の下にあらかじめ登録した参加者全員に同じメールを配信するこ と ウ.メールの受信者が複数の相手に同一内容のメールの送信や転送を行い、受信 者が増加し続けるメールのこと エ.メールやWebページを用いてメッセージを書き込み、不特定多数の相手と情報 交換ができるコンピュータを用いたメッセージ交換システムのこと 解答…ア 解法 ・スパム(SPAM)メール 公開されているWebサイトなどから手に入れたメールアドレスに向けて、営利目 的のメールを無差別に大量配信すること。インターネットを利用したダイレクト メール。 ア.◯ イ.メーリングリストの説明なので× ウ.チェーンメールの説明なので× エ.BBS(Bulletin Board System、電子掲示板)説明なので× よって、答えは「ア」となる。 -参考文献- ・IT用語辞典 e-Words 「SPAMとは」 http://e-words.jp/w/SPAM.html ----------------------------------------------------------------------- H21秋 問73 ボットの説明はどれか。 ア.Webサイトの閲覧や画像のクリックだけで料金を請求する詐欺のこと イ.攻撃者がPCへの侵入後に利用するために、ログの消去やバックドアなどの攻 撃ツールをパッケージ化して隠しておく仕組みのこと ウ.多数のPCに感染して、ネットワークを通じた指示に従ってPCを不正に操作す ることで一斉攻撃などの動作を行うプログラムのこと エ.利用者の意図に反してインストールされ、利用者の個人情報やアクセス履歴 などの情報を収集するプログラムのこと 解答…ウ 解法 ・ボット(BOT) ロボットのようにWebページを巡回し、感染先のコンピュータを操れるウィルス のこと。サーバ攻撃などに使われる。 ア.ワンクリック詐欺のことなので× イ.rootkit(ルートキット)のことなので× ウ.◯ エ.スパイウエアの説明なので× ※rootkit(ルートキット)…攻撃者がシステムに仕掛けた攻撃ツールの存在を、 システムの管理者や利用者から隠ぺいするために使 われる。 よって、答えは「ウ」となる。 -参考文献- 報化交流会編 ITパスポート試験標準教本2010→2011 P303 日本経済新聞出版社 2010年6月11日 ・IT用語辞典 e-Words 「rootkitとは」 http://e-words.jp/w/rootkit.html ----------------------------------------------------------------------- H21秋 問79 ファイアウォールを設置することで、インターネットからもイントラネットから もアクセス可能だが、イントラネットへのアクセスを禁止しているネットワーク 上の領域はどれか。 ア.DHCP イ.DMZ ウ.DNS エ.DoS 解答…イ 解法 ・ファイアウォール(firewall) 組織内のコンピュータネットワークへ外部から侵入されるのを防ぐシステム。ま た、そのようなシステムが組みこまれたコンピュータのこと。 ・DHCP(Dynamic Host Configuration Protocol) クライアントがネットワークに接続するとき、自動的にIPアドレスを決定する機 能をそなえたサーバ。DHCPサーバはローカルなネットワークに1台必要。 ・DMZ(DeMilitarized Zone) インターネットに接続されたネットワークにおいて、ファイアウォールによって 外部ネットワークからも内部ネットワークからも隔離された区域のこと。 外部に公開するサーバをここに置いておけば、ファイアウォールによって外部か らの不正なアクセスを排除でき、万が一、公開サーバが乗っ取られた場合でも、 内部ネットワークにまで被害が及ぶことはない。 ・DNS(Domain Name System) ドメイン名(ホスト名)をIPアドレスに変換するサーバ。 ・DoS(Denial of Services) ネットワークを通じた攻撃。相手のネットワークを麻痺させる攻撃。 上記の説明より、答えは「イ」となる。 -参考文献- 報化交流会編 ITパスポート試験標準教本2010→2011 P272,273 日本経済新聞出版社 2010年6月11日 ・IT用語辞典 e-Words 「ファイアウォールとは」 http://e-words.jp/w/E38395E382A1E382A4E382A2E382A6E382A9E383BCE383AB.html ・IT用語辞典 e-Words 「DMZとは」 http://e-words.jp/w/DMZ.html ・IT用語辞典 e-Words 「DoSとは」 http://e-words.jp/w/DoS.html ----------------------------------------------------------------------- H21秋 問85 公開鍵基盤(PKI)において認証局(CA)が果たす役割はどれか。 ア.SSLを利用した暗号化通信で、利用する認証プログラムを提供する。 イ.Webサーバに不正な仕組みがないことを示す証明書を発行する。 ウ.公開鍵が被認証者のものであることを示す証明書を発行する。 エ.被認証者のディジタル署名を安全に送付する。 解答…ウ 解法 暗号化とは、情報を一定のルールで組み替えて関係者以外にわからなくする こと。暗号方式には秘密鍵暗号方式と公開鍵暗号方式の2つがある。 ・公開鍵…暗号化専用の鍵 ・秘密鍵…特定の人しか知らない鍵。公開鍵で暗号化された文書を復号する。 ・公開鍵基盤(PKI:Public Key Infrastructure) 公開鍵暗号を用いた技術・製品全般を指す言葉のこと。 ・秘密鍵暗号方式 通信する当事者間で共通の秘密の鍵を持つ方式 ・公開鍵暗号方式 利用者が公開鍵と秘密鍵を持つ方式 ・認証局(CA:Certificate Authority) 不特定多数に配布される公開鍵が正しいものと証明するために認証局に届け証明 書をもらう。証明書には、認証局の秘密鍵で暗号化(ディジタル書名)した公開鍵 が入っている。 公開鍵暗号方式では、「公開鍵の所有者が真正な本人であること(公開鍵の正当 性)」が保証されていることを前提としている。公開鍵基盤では、信頼できる 第三者機関の認証局(CA:Certificate Authority)が公開鍵の正当性を保証し、 その証明としてディジタル証明書を発行するという仕組みによって、公開鍵の正 当性を保証している。 公開鍵基盤において、認証局の果たす役割は、公開鍵の正当性を保証するディジ タル証明書を発行すること。 よって、答えは「ウ」となる。 -参考文献- 報化交流会編 ITパスポート試験標準教本2010→2011 P304,305 日本経済新聞出版社 2010年6月11日 ・IT用語辞典 e-Words 「秘密鍵とは」 http://e-words.jp/w/E7A798E5AF86E98DB5.html ・IT用語辞典 e-Words 「PKIとは」 http://e-words.jp/w/PKI.html ----------------------------------------------------------------------- H21春 問54 企業の情報セキュリティポリシの策定及び運用に関する記述のうち、適切なもの はどれか。 ア.各セキュリティ対策ソフトウェアに設定すべき内容の定義を明確にしなけれ ばならない。 イ.経営トップは情報セキュリティポリシに対する会社の考え方や取組み方につ いて、社員への説明を率先して推進しなければならない。 ウ.情報セキュリティポリシの策定においては最初に、遵守すべき行為及び判断 の基準を策定しなければならない。 エ.目標とするセキュリティレベルを達成するために、導入する製品を決定しな ければならない。 解答…イ 解法 ・情報セキュリティポリシ 目標とするセキュリティレベルを達成するために、情報セキュリティに対する企 業の考え方や取組み方を明文化したもの。目標とするセキュリティレベルを達成 するためには、基本理念や目的、情報セキュリティポリシーの役割と位置付け、 適用範囲、組織体制、法令等の遵守、情報セキュリティポリシーに違反したとき の罰則などについて、遵守すべき行為と判断についての考え方を明確にする必要 がある。 策定する作業は,企業の経営トップ(代表取締役など)が中心となって行う。 情報セキュリティポリシの運用にあたっては,情報セキュリティの内容をすべて の社員に周知徹底することも重要。 情報セキュリティポリシの策定 ・ステップ1…情報セキュリティ委員会 ・ステップ2…基本方針の策定。目的、対象範囲などの基本的な考えについて明        らかにする。 ・ステップ3…リスク分析、リスクマネジメントを行う。 ・ステップ4…情報セキュリティ対策基準を策定する ・ステップ5…情報セキュリティポリシの基本方針と対策基準を組織として承認 する。 よって、答えは「イ」となる。 -参考文献- 報化交流会編 ITパスポート試験標準教本2010→2011 P298 日本経済新聞出版社 2010年6月11日 ----------------------------------------------------------------------- H21春 問81 マクロウイルスに関する記述として、適切なものはどれか。 ア.PCの画面上に広告を表示させる。 イ.ネットワークで接続されたコンピュータ間を、自己複製しながら移動する。 ウ.ネットワークを介して、他人のPCを自由に操ったり、パスワードなど重要な 情報を盗んだりする。 エ.ワープロソフトや表計算ソフトのデータファイルに感染する。 解答…エ 解法 ・マクロウイルス ワープロや表計算ソフトのマクロ言語で作成されたウィルス。実行時に感染。電 子メールの添付ファイルで感染するため被害が多い。 よって、答えは「エ」となる。 -参考文献- 報化交流会編 ITパスポート試験標準教本2010→2011 P308 日本経済新聞出版社 2010年6月11日 ----------------------------------------------------------------------- H21春 問84 業務中に受信した電子メールの添付文書をワープロソフトで開いたら、ワープロ ソフトが異常終了した。受け取った電子メールがウイルスを含んでいた可能性が 考えられる場合、適切な処置はどれか。 ア.PCをネットワークから切り離した後、OSの再インストールをする。 イ.PCをネットワークから切り離した後、速やかにシステム管理部門の担当者に 連絡する。 ウ.現象が再発するかどうか、必要ならワープロソフトを再インストールして現 象を確かめる。 エ.社員全員にウイルス発生の警告の電子メールを発信する。 解答…イ 解法 業務中に受信した電子メールがウイルスに感染している可能性がある場合、ほか のPCに感染の被害が拡大するのを防ぐため、そのPCをネットワークから切り離す。 その後で、速やかにシステム管理部門(サービスデスクなど)の担当者に連絡し、 どのように対処すべきかの指示を仰ぐ。 よって、答えは「イ」となる。 -参考文献- ・selfup「電子メールがウイルスを含んでいた場合,適切な処置はどれか 」 http://itpro.nikkeibp.co.jp/article/COLUMN/20090903/336498/?ST=slfcer 著・小倉美香 -----------------------------------------------------------------------