第10回 情報処理基礎論 a レポート課題 

氏名:佐久間三蔵
学籍番号: c1090756
語学クラス:英語4
コース(系):福祉

-----------------------------------------------------------------

平成21年度  春期  問54

問題

企業の情報セキュリティポリシーの策定及び運用に関する記述のうち，適切な
ものはどれか。

選択肢

ア　各セキュリティ対策ソフトウェアに設定すべき内容の定義を明確にしなければ
    ならない。

イ　経営トップは情報セキュリティポリシーに対する会社の考え方や取組み方について，
    社員への説明を率先して推進しなければならない。

ウ　情報セキュリティポリシーの策定においては最初に，遵守すべき行為及び判断の
    基準を策定しなければならない。

エ　目標とするセキュリティレベルを達成するために，導入する製品を決定しなければ
    ならない。

解答   イ

解説

<選択肢アについて>
情報セキュリティポリシーは、情報セキュリティに対する企業の考え方や取り組み方
といった基本方針を示したもので、各セキュリティ製品に設定すべき内容といった
具体的な項目は含まないことがある。例えば、基本方針には情報を目的以外に使用
しないことや外部からの侵入を防ぐことなどがある。また、このような具体的な項
目には、ウィルス感染によるデータやシステムの破壊やトラブルによる情報シス
テムの停止などがある。

<選択肢ウについて>
情報セキュリティポリシーの策定においては、最初に情報セキュリティ基本方針(会社
の考え方や取り組み方を規定した基本方針)を策定する。次に、情報セキュリティ
対策基準(より具体的な内容を規定した対策基準)を策定する。これには、守るべき
行為や判断の基準といったものを定めている。よって、ウは不正解。

<選択肢エについて>
目標とするセキュリティレベルは、情報セキュリティポリシーを策定することに
よって明らかになる。そのため、導入するセキュリティ製品やシステム構成につ
いては、情報セキュリティポリシーを策定した後で決めることになる。

◯セキュリティレベルとは、同じレベルの情報セキュリティ製品をそろえることで、
一定水準のセキュリティをシステムとして保つことができる。さらに、以下の
4つのレベルに分けることができる。

レベル1:個人用のパソコンに設定されている最低限のセキュリティのこと。

レベル2:何かしらの物理的シールドをそなえたセキュリティ製品のこと。

レベル3:パスワードや暗証番号などで製品内部のシステムに入ったときに、シス
テム自体が壊れるようになっている。

レベル4:ウィルスなどの不正アクセスを見つけ出し、管理者に知らせる。

◯セキュリティ製品には、ネットワークを介した攻撃や侵入を防ぐファイアウォールや
有害なサイトを閲覧できなくするWebコンテンツフィルタリングソフトなどがある。


<選択肢イについて>
情報セキュリティポリシーの策定作業では、代表取締役などの企業の経営トップが
社員に対する説明を進んで行わなければならない。なぜなら、策定された情報セ
キュリティを周りがしっかりと認識させる必要があるからである。また、情報セ
キュリティポリシーの取扱い時には、情報セキュリティの内容を全ての社員全員に
知らせることが必須といえる。

よって、選択肢イの説明から、正解はイとなる。


参考URL

全問解説ITパスポート試験 平成21年春期：selfup 問54  著者:小倉 美香
http://itpro.nikkeibp.co.jp/article/COLUMN/20090824/335904/?ST=slfcer 

「セキュリティ・レベル」とは：ITpro
http://itpro.nikkeibp.co.jp/word/page/10009817/

セキュリティソフトとは  IT用語辞典
http://e-words.jp/w/E382BBE382ADE383A5E383AAE38386E382A3E382BDE38395E38388.html


-----------------------------------------------------------------

平成21年度  春期  問63

問題

バイオメトリクス認証はどれか。 

選択肢

ア　個人の指紋や虹（こう）彩などの特徴に基づく認証

イ　個人の知識に基づく認証

ウ　個人のパターン認識能力に基づく認証

エ　個人の問題解決能力に基づく認証

解答  ア

解説

◯バイオメトリクス認証(生体認証)
指紋、虹彩、声紋、網膜といった固有の生体的特徴に基づいて本人認証をすること
をいう。具体的には、このような特徴をあらかじめ登録しておき本人からこれらの
特徴を照合することによって、認証する。他人には、本人の生体的特徴になり変
わることはできないので、安全性が高いといえる方法である。

他の方法として、イに記述してある認証(パスワードや暗証番号)、個人の所有物
に基づく認証(印鑑、IDカード)がある。

以上の説明により、正解はアとなる。

参考URL

全問解説ITパスポート試験 平成21年春期：selfup 問63  著者:小倉 美香
http://itpro.nikkeibp.co.jp/article/COLUMN/20090824/335930/?ST=slfcer

-----------------------------------------------------------------

平成21年度  春期  問77

問題

暗号化に関する記述のうち，適切なものはどれか。 

選択肢

ア　暗号文を平文に戻すことをリセットという。

イ　共通鍵暗号方式では，暗号文と共通鍵を同時に送信する。

ウ　公開鍵暗号方式では，暗号化のための鍵と平文に戻すための鍵が異なる。

エ　電子署名には，共通鍵暗号方式が使われる。

解答  ウ

解説

◯暗号化
情報を、第3者が知ることができない内容に変換すること。暗号化には、暗号化
に用いる鍵と復号に用いる鍵とが同じ共通鍵暗号方式とこの2つの鍵が異なる
公開鍵暗号方式の2つに大きく分けることができる。

<選択肢アについて>
平文とは暗号化されていないもとの情報のことをいう。暗号文を平文に戻すこと
を復号というので、アは不正解。

<選択肢イについて>
どちらも同時に送信した場合、暗号文と共通鍵が盗まれ、解読されてしまうリス
クが高い。そのため、共通鍵はお互いにしっかりと保管し、暗号文だけ送信する。
よって、イも不正解。

◯共通鍵暗号方式
暗号化と復号に同じ鍵を用いる。暗号文の送信者と受信者で同じ鍵を共有せねば
ならず、暗号文を送受信する前にあらかじめ安全な経路を決めてお互いに用いる
必要がある。

<選択肢エについて>
電子署名には、2個の異なる鍵を用いる公開鍵暗号方式が使われる。このうち、
一方を関係者に配布する公開鍵、もう片方を秘密に保持する秘密鍵にする。そし
て、署名作成時には送信者の秘密鍵を、署名検証時には送信者の公開鍵を利用す
る。よって、エも不正解。

以上の説明により、ウが正解。

参考URL

全問解説ITパスポート試験 平成21年春期：selfup 問77  著者:小倉 美香
http://itpro.nikkeibp.co.jp/article/COLUMN/20090903/336471/?ST=slfcer

共通鍵暗号方式とは  IT用語辞典
http://e-words.jp/w/E585B1E9809AE98DB5E69A97E58FB7.html

-----------------------------------------------------------------

平成21年度  秋期  問56

問題

情報セキュリティポリシに関する記述のうち、適切なものはどれか。


選択肢

ア　企業のセキュリティポリシは、会社法の規定に基づき、株主総会で承認を
    得なければならない。

イ　企業のセキュリティポリシは、導入するシステムごとに定義する必要がある。

ウ　セキュリティポリシ策定の要因となっている情報システムの脆(ぜい)弱性を
    対外的に公表しなければならない。

エ　目標とするセキュリティレベルを達成するために、遵守すべき行為及び判断
    についての考え方を明確にすることが必要である。

解答   エ

解説

<選択肢アについて>
企業のセキュリティポリシーに関する会社法の規定はない。そのため、企業のセ
キュリティポリシーを策定する際に株主総会の承認は必要ない。よって、アは
不正解。

<選択肢イについて>
企業ののセキュリティポリシーは、情報セキュリティに対する企業の考え方や
取り組み方を示したものであり、企業全体で1つのセキュリティポリシーを作る。
したがって、導入するシステムごとに作るものではないので、イは不正解。

<選択肢ウについて>
情報システムの脆弱性を外へ公表してしまうと、その弱点を攻撃される危険性
が高まる。ゆえに、ウも不正解。

<選択肢エについて>
以下の説明は、上記解説の選択肢イの説明のつけ足しである。セキュリティ
レベルを達成するには違反罰則や組織体制、目的などのような遵守すべき行為
と判断についての考え方を明らかにしなくてはならない。

以上の説明により、正解はエとなる。

参考URL

全問解説ITパスポート試験 平成21年秋期：selfup 問56  著者:小倉 美香
http://itpro.nikkeibp.co.jp/article/COLUMN/20100120/343487/?ST=slfcer

-----------------------------------------------------------------

平成21年度  秋期  問66

問題

セキュリティ事故の例のうち、原因が物理的脅威に分類されるものはどれか。 

選択肢

ア　大雨によってサーバ室に水が入り、機器が停止する。

イ　外部から公開サーバに大量のデータを送られて、公開サーバが停止する。

ウ　攻撃者がネットワークを介して社内のサーバに侵入し、ファイルを破壊する。

エ　社員がコンピュータを誤操作し、データが破壊される。

解答   ア

解説

◯情報セキュリティで保護すべき情報資産に対する脅威には、以下の3つがある。

人的脅威:紛失、破損、盗み見、なりすましなどがある。
技術的脅威:フィッシング詐欺、DoS攻撃などがある。
物理的脅威:災害、破壊などがある。

◯フィッシング詐欺
金融機関などからの正規メールやWebサイトを無差別に送って、暗証番号やクレ
ジット番号をだまし取ること。本物の個人情報入力用のウィンドウに似せて、使
用者からパスワードを盗むと、そのデータが犯人のところへ送信される。対応策
としては、送信者の欄を信用しないこと、メールに示された連絡方法が確認で
きている正規の電話番号やURLから判断して案内が本物か調べることなどがある。

<選択肢イについて>
この記述は、「外部から公開サーバに大量のデータを送り、ネットワークから除外
する」DoS攻撃が原因のセキュリティ事故であるので、技術的脅威に当たる。よっ
て、不正解。

<選択肢ウについて>
この記述は、「攻撃者がネットワークを介して企業内サーバに侵入する」という
不正アクセスによるセキュリティ事故で、技術的脅威に当てはまる。よって、不
正解。

<選択肢エについて>
この記述は、「社員がコンピュータを誤操作する」という人間の誤操作によって
発生したセキュリティ事故であるので、人的脅威に分けられる。したがって、
不正解。

<選択肢アについて>
この記述は、「大雨」という自然災害が原因で引き起こされたセキュリティ事故
で、技術的脅威に分類される。よって、正解。

ゆえに、正解はアとなる。


参考URL

全問解説ITパスポート試験 平成21年秋期：selfup 問66  著者:小倉 美香
http://itpro.nikkeibp.co.jp/article/COLUMN/20100120/343536/?ST=slfcer

セキュリティポリシーとは  IT用語辞典
http://e-words.jp/w/E382BBE382ADE383A5E383AAE38386E382A3E3839DE383AAE382B7E383BC.html

フィッシングとは  IT用語辞典
http://e-words.jp/w/E38395E382A3E38383E382B7E383B3E382B0.html

-----------------------------------------------------------------

平成21年度  秋期  問71

問題

スパムメールの説明として、適切なものはどれか。 

選択肢

ア　受信者の承諾なしに無差別に送付されるメールのこと

イ　特定の目的の下にあらかじめ登録した参加者全員に同じメールを配信すること

ウ　メールの受信者が複数の相手に同一内容のメールの送信や転送を行い、受信者
    が増加し続けるメールのこと

エ　メールやWebページを用いてメッセージを書き込み、不特定多数の相手と情報
    交換ができるコンピュータを用いたメッセージ交換システムのこと

解答  ア

解説

<選択肢イについて>
この記述は、メーリングリスト(mailing list)の説明なので、不正解。

◯メーリングリスト:
 電子メールを使って、特定の情報を特定のユーザと交換すること。複数の利用
 者をグループ化し登録すれば、同時配信することが可能となる。インターネッ
 ト上にあるこのようなグループサーバには、広く参加者を募る公開型と特定の
 集団しか含めない閉鎖型の2つに分けられる。 


<選択肢ウについて>
この説明は、チェーンメールの説明なので、不正解。

◯チェーンメール(chain mail):
 不特定多数のユーザの間を転送されることにより、行き来しながら増えていく
 電子メールのこと。電子メールは郵便よりも転送が簡単なため、数がふくれあ
 がって、ネットワークに負荷をかけたり、誤った情報が広まったりする。チェー
 ンメールを受け取った場合は、止めるか捨てることがマナーであり、内容に関
 らず転送してはならない。

<選択肢エについて>
この説明は、BBS（Bulletin Board System、電子掲示板）の説明なので不正解。

◯BBS（Bulletin Board System):
bulletin=掲示する、公示する

掲示板を作る人がタイトルやテーマなどを決め、参加者がその内容に沿った書き
込みをすることができる。投稿されたものは、日付ごとに分けられ参加者が一覧
することができるようになっている。掲示板を設置するには、利用者がサーバに
掲示板を作るプログラムを受けとって、取りこむ必要がある。もしくは、Webサ
イトを設ける人向けに掲示板をレンタルできるサービスを使って、設置すること
もできる。


<選択肢アについて>
この説明は、スパ厶メール（spam mail）の説明なので、正解。

◯スパ厶メール(spam mail):spam=メールによる大量広告、広告
広告や勧誘などを目的とした迷惑メールのことである。これをところかまわずに
メール利用者に送られることで、メール配信処理が遅くなることがある。更に、
インターネットではメール受信料は、受信者の負担となるのでスパ厶メールは
きわめて悪質な行為といえる。


以上の説明により、正解はア。

参考URL

全問解説ITパスポート試験 平成21年秋期：selfup 問71  著者:小倉 美香
http://202.214.174.88/article/COLUMN/20100120/343490/

メーリングリストとは  IT用語辞典
http://e-words.jp/w/E383A1E383BCE383AAE383B3E382B0E383AAE382B9E38388.html

チェーンメールとは  IT用語辞典
http://e-words.jp/w/E38381E382A7E383BCE383B3E383A1E383BCE383AB.html

BBSとは  IT用語辞典
http://e-words.jp/w/BBS.html

スパ厶メールとは  IT用語辞典
http://e-words.jp/w/E382B9E38391E383A0.html

bulletinの意味
地球人ネットワークを創るアルク：スペースアルク
http://eow.alc.co.jp/bulletin/UTF-8/?ref=sa

spamの意味
地球人ネットワークを創るアルク：スペースアルク  
http://eow.alc.co.jp/spam/UTF-8/

-----------------------------------------------------------------

平成21年度  秋期  問85

問題

公開鍵基盤（PKI）において認証局（CA）が果たす役割はどれか。

選択肢

ア　SSLを利用した暗号化通信で、利用する認証プログラムを提供する。

イ　Webサーバに不正な仕組みがないことを示す証明書を発行する。

ウ　公開鍵が被認証者のものであることを示す証明書を発行する。

エ　被認証者のディジタル署名を安全に送付する。

解答  ウ

解説

◯公開鍵基盤（PKI：Public Key Infrastructure）
infrastructure=インフラ、基礎構造

公開鍵暗号の技術を用いた安全なセキュリティのこと。ディジタル署名など現在
の情報セキュリティを支える主要な技術や仕組みには、公開鍵暗号の技術が用い
られている。また、信頼できる第三者機関の認証局が公開鍵の正当性を保証し、
その証明としてディジタル証明書を発行する。こうすることで、公開鍵の正当性
を保証する。

◯認証局（CA：Certificate Authority）
certificate=証明書、認証する authority=権力、局、引用

認証局には以下の2つがある。

ルート認証局(root CA):
他の認証局に対してデジタル証明書を発行し、認証局に対する信頼の拠り所とな
る。ルート証明書の信頼性は、厳しい監査を受けることや運用実績、知名度など
の方法によって決められる。

中間認証局(intermediate CA):
intermediate=仲介する、中間の
暗号通信などに用いられるデジタル証明書を電子取引事業者に発行するが、自分
で自らの正当性を証明できない。そのため、あらかじめ証明書が載っているルー
ト認証局から認証を受けることで、自らの正当性を明らかにしている。

◯SSL(Secure Socket Layer)
socket=受け口

インターネット上で情報を暗号化して送受信することをいう。現在インターネッ
トで広く使われているWWWのデータを暗号化し、クレジット番号や企業秘密など
を安全に送受信することが可能である。

◯公開鍵暗号方式
公開鍵の所有者が本人であること、つまり公開鍵の正当性が保証されていること
を前提としている。また、暗号化に使う鍵と復号に使う鍵が別々になっていて、
暗号化に使った鍵で復号ができない。鍵の持ち主は、復号に使う鍵(秘密鍵)を自
分で保管し暗号に使う鍵は公開する(公開鍵)。

以上の説明により、正解はウ。


参考URL

全問解説ITパスポート試験 平成21年秋期：selfup 問85  著者:小倉 美香
http://itpro.nikkeibp.co.jp/article/COLUMN/20100120/343549/?ST=slfcer

認証局とは  IT用語辞典
http://e-words.jp/w/E8AA8DE8A8BCE5B180.html

ルート認証局とは  IT用語辞典
http://e-words.jp/w/E383ABE383BCE38388E8AA8DE8A8BCE5B180.html

中間認証局とは  IT用語辞典
http://e-words.jp/w/E4B8ADE99693E8AA8DE8A8BCE5B180.html

SSLとは  IT用語辞典
http://e-words.jp/w/SSL.html

公開鍵暗号とは  IT用語辞典
http://e-words.jp/w/E585ACE9968BE98DB5E69A97E58FB7.html

infrastructureの意味
地球人ネットワークを創るアルク：スペースアルク  
http://eow.alc.co.jp/infrastructure/UTF-8/?ref=sa

certificateの意味
地球人ネットワークを創るアルク：スペースアルク  
http://eow.alc.co.jp/certificate/UTF-8/

authorityの意味
地球人ネットワークを創るアルク：スペースアルク  
http://eow.alc.co.jp/authority/UTF-8/

intermediateの意味
地球人ネットワークを創るアルク：スペースアルク  
http://eow.alc.co.jp/intermediate/UTF-8/

socketの意味
地球人ネットワークを創るアルク：スペースアルク  
http://eow.alc.co.jp/socket/UTF-8/

-----------------------------------------------------------------

平成22年度  春期  問65

問題

電子商取引におけるディジタル署名で実現できることはどれか。

選択肢

ア  意図しない第三者が機密ファイルにアクセスすることの防止
    
イ  ウィルス感染していないファイルであることの確認
    
ウ  盗聴による取引内容の漏えいの防止
    
エ  取引相手の証明と、取引内容が改ざんされていないことの確認

解答  エ

解説

<選択肢アについて>

第三者が機密ファイルに入り込むのを防止することは、ディジタル署名では実現
できない。たとえば、企業においてはセキュリティポリシーを作り守れば、その
組織内だけでファイルにアクセスすることができ、第三者がアクセスすることは
なくなる。

<選択肢イについて>

ウィルスに感染していないファイルであることの確認には、ワクチンというコン
ピュータウィルスの検出と駆除を行うソフトを使ったり、定義ファイルというコ
ンピュータウィルスを検知するデータベースを使う必要がある。なお、この定義
ファイルは最新のものを使わなくては、効果がないので、最新のものを入手しな
ければならない。したがって、イも不正解。

<選択肢ウについて>

平文は暗号化されていないので、取引内容漏えいの防止にはならない。防止する
には、平文を暗号化して送信することが必要となる。ゆえに、ディジタル署名で
はできないので、ウも不正解。

<選択肢エについて>

◯ディジタル署名
公開鍵暗号方式を使って通信内容が改ざんされていないことを保証する技術のこと。

〜手順1〜
送信者は署名を認証局サーバに登録した上で、署名を秘密鍵で暗号化してから
送信する。

〜手順2〜
受信者は、送信者の公開鍵で復号し、受け取った署名がサーバの本人の署名と合う
か確認する。

〜手順3〜
両方とも一致すれば、改ざんされていないことが分かる。


以上より、正解はエとなる。


参考URL

ITパスポート過去問解説(22年春期)｜ITパスポート試験.com 問65
http://www.itpassportsiken.com/kakomon/22_haru/q65.html

情報処理基礎論a  セキュリティ コンピュータウィルス対策 著者:西村 まどか
http://roy/~madoka/2010/ipa/10/10_07_theme_07_computer.html

情報処理基礎論a  セキュリティ ディジタル署名  著者:西村 まどか
http://roy/~madoka/2010/ipa/10/10_17_theme_17_digital.html

-----------------------------------------------------------------

平成22年度 春期  問84

問題

TCO(Total Cost of Ownership)の説明として、最も適切なものはどれか。

選択肢

ア  システム導入後に発生する運用・管理費の総額
    
イ  システム導入後に発生するソフトウェア及びハードウェアの障害に対応
    するために必要な費用の総額
    
ウ  システム導入時に発生する費用と、導入後に発生する運用費・管理費の総額
    
エ  システム導入時に発生する費用の総額


解答   ウ


解説

◯TCO(Total Cost of Ownership):ownership=所有
コンピュータシステムの導入、維持や管理にかかる費用総額のことである。従来
は、コンピュータシステムのコストは製品価格(導入費用)で評価されることが多
かったが、近年ではコンピュータの技術向上や製品価格の下落により、ユーザの
教育、コンピュータの動作停止状態による損失などの導入後のコストへの注目が
大きくなってきている。

<選択肢ア、イについて>
ア、イの記述は、どちらもランニングコストの一部の費用に含まれている。
したがって、ア、イはどちらも不正解。

◯ランニングコスト:
システムにかかる費用のうちの1つで、運用時の管理や修理などにかかる費用の
ことをいう。例えば、洗濯機を例にすると、洗濯をするのに必要な料金、洗剤な
どがこれにあたる。

<選択肢エについて>
エの記述は、イニシャルコストの説明をしている。よって、エも不正解。

◯イニシャルコスト:
システムにかかる費用のうちの1つで、システム導入時にかかる費用のことを指す。
つまり、販売価格や購入するのに必要な費用のことをいう。

<選択肢ウについて>
上記のTCOの説明にもある通り、TCOとはシステム導入時に発生する費用と、導入後
に発生する運用費・管理費の総額のことを指す。

以上の説明により、正解はウとなる。


参考URL

ITパスポート過去問解説(22年春期)｜ITパスポート試験.com  問84
http://www.itpassportsiken.com/kakomon/22_haru/q84.html

TCOとは  IT用語辞典
http://e-words.jp/w/TCO.html

ランニングコストとは  IT用語辞典
http://e-words.jp/w/E383A9E383B3E3838BE383B3E382B0E382B3E382B9E38388.html

システムダウンとは  IT用語辞典
http://e-words.jp/w/E382B7E382B9E38386E383A0E38380E382A6E383B3.html

ownershipの意味
地球人ネットワークを創るアルク：スペースアルク  
http://eow.alc.co.jp/ownership/UTF-8/?ref=sa