第 10 回 セキュリティ レポート課題 氏名:菊地祐司 学籍番号:C110068A 語学クラス:英語5 コース(系):政策マネジメント H22春期 問64 ルータの機能の説明として、適切なものはどれか。 ア 写真や絵、文字原稿などを光学的に読み込み、ディジタルデータに変換する。 イ ディジタル信号とアナログ信号の相互変換を行う。 ウ データの通信経路を制御し、ネットワーク間を中継する。 エ ネットワークを利用してWebページのデータ蓄積や提供を行う。 解答: ウ 解説 ルータとは、ネットワーク上を流れるデータを他のネットワークに中継す る機器で、ネットワーク層のアドレスを見てどの経路を通して転送すべきかを判 断する経路選択機能を持つ。通常はOSI基本参照モデルでの第1層(物理層)から 第3層(ネットワーク層)までの接続を担い、自分の対応しているプロトコル以 外のデータはすべて破棄する。 ア スキャナの説明 イ A/D変換器の説明 エ インターネットアーカイブの説明 参考文献 "ITパスポート過去問題 平成22年春期 問64."ITパスポート試験ドットコム. http://www.itpassportsiken.com/kakomon/22_haru/q64.html(参照2011-12-3) --------------------------------------------------------------------------- H22年春期 問65 電子商取引におけるディジタル署名で実現できることはどれか。 ア 意図しない第三者が機密ファイルにアクセスすることの防止 イ ウィルス感染していないファイルであることの確認 ウ 盗聴による取引内容の漏えいの防止 エ 取引相手の証明と、取引内容が改ざんされていないことの確認 解答: エ 解説 デジタル文書の正当性を保証するために付けられる、暗号化された署名情 報。また、そのような署名を行うための技術および一連の手順。公開鍵暗号を応 用したもので、文書の送信者を証明し、かつその文書が改竄されていないことを 保証する。あくまでも文章内の証明、確認に使われるものなので、エ以外は該当 しない。 参考文献 株式会社インセプト"ディジタル署名とは."IT用語辞典e-word. http://e-words.jp/w/E38387E382B8E382BFE383ABE7BDB2E5908D.html(参照2011-12-3) ---------------------------------------------------------------------------- H22春期 問68 ネットワークにおいて、外部からの不正アクセスを防ぐために内 部ネットワーク外部ネットワークの間に置かれるものはどれか。 ア DNSサーバ イ サーチエンジン ウ スイッチングハブ エ ファイアウォール 解答: エ 解説 ファイアウォールは、パケットフィルタリング機能を持ち、外部から内部の ネットワークに通過しようとするパケットの送信元と送信先をチェックし通過を 許可するどうかを判断する。 ア IPアドレスとドメイン名を関連付けるサーバのこと イ キーワードを入力することでユーザが求めている情報をWeb上から検索し一覧 を表示してくれるサービス。例 Google ウ OSI(開放型システム間相互接続)(Open Systems Interconnection)基本参照モ デルのデータリンク層で動作する。機器のMACアドレスを認識しパケットの送信 先を決めて通信を行う。 参考文献 "ITパスポート過去問題 平成22年春期 問68."ITパスポート試験ドットコム. http://www.itpassportsiken.com/kakomon/22_haru/q68.html(参照2011-12-3) ---------------------------------------------------------------------------- H23年特別 問63 情報セキュリティの基本方針に関する記述のうち,適切なもの はどれか。 ア 機密情報の漏えいを防ぐために,経営上の機密事項とする。 イ 情報セキュリティに対する組織の取組みを示すもので,経営層が承認する。 ウ 情報セキュリティの対策基準に基づいて策定する。 エ パスワードの管理方法や文書の保存方法を具体的に規定する。 解答: イ 解説 情報セキュリティポリシは、基本方針(ポリシー),対策基準(スタンダード),実 施手順(プロシージャー)の3階層の文書構成をとるのが一般的である 基本方針 情報セキュリティに本格的に取り組む姿勢を示し、情報セキュリティの目標と、 その目標を達成するために企業がとるべき行動を社内外に宣言するもの。 対策基準 何を実施しなければならないかについて記述する。実際に守るべき規程を具体的 に記述し、適用範囲や対象者を明確にする。 ア 情報セキュリティマネジメントの国際規格であるISMSの管理策では、情報セ キュリティ基本方針は、全従業員及び外部関係者に公表し、通知することとして いる。 ウ 実施手順についての説明 エ 実施手順についての説明 参考文献 "ITパスポート過去問題 平成23年特別 問63."ITパスポート試験ドットコム. http://www.itpassportsiken.com/kakomon/23_toku/q63.html(参照2011-12-4) -------------------------------------------------------------------------- H23年特別 問64 情報セキュリティに関して発生したインシデントのうち,可用 性が損なわれる直接の原因となったものはどれか。 ア PCがウイルスに感染し,知らないうちにPC内の情報が流出した。 イ 空調の故障で温度が上がり,サーバが停止した。 ウ サーバに不正侵入されて個人情報が盗まれた。 エ ファイルの中の取引データの金額を誤って更新した。 解答: イ 解説 情報セキュリティマネジメントとは、「機密性」,「完全性」,「可用性」の3 要素を維持することが重要である。 機密性 許可された正規のユーザだけが情報にアクセスできる特性 完全性 情報が完全で、改ざん・破壊されていない特性 可用性 ユーザが必要な時に、必要な機能を利用可能である特性 ア 機密性を損なうインシデントといえる イ サーバが停止することで、システムの機能が利用できない状態になる。よっ て可用性の欠けた状況と言えるので正しい ウ 機密性を損なうインシデントといえる エ 完全性を損なうインシデントといえる 参考文献 "ITパスポート過去問題 平成23年特別 問64."ITパスポート試験ドットコム. http://www.itpassportsiken.com/kakomon/23_toku/q64.html(参照2011-12-4) --------------------------------------------------------------------------- H23年特別 問65 電子メールを介したウイルスの被害に遭わないために注意すべ きこととして,適切なものだけをすべて挙げたものはどれか。 a. 信用できる人からの電子メールであっても,添付ファイルのウイルスチェッ クを行う。 b. 添付ファイルの種類が音声や画像などの非実行ファイルであっても,ウイル スチェックを行う。 c. 不審な電子メールは,メールソフトのプレビュー機能で内容の安全性を確認 してから閲覧する。 ア a, b イ a, b, c ウ a,c エ b, c 解答: ア 解説 a. たとえ知り合いから送信された添付ファイル付きのメールでも、送信者の知 らない間にウイルスが送信されている可能性ある。よって送信者だけで信頼せず に、ウイルスチェックを行うべきである。よって適切である。 b. テキストファイルや画像ファイルなどの、ウイルスに感染することのないファ イルに見せかけた添付ファイルを送りつけるウイルスが存在しており、ウイルス チェックを行うべきである。よって適切である。 c. 知らない所から送信された添付ファイルは、安全を確認できない。また、メー ルを閲覧することによってウイルスに感染する可能性もあるため、不審なメール は開かずに削除するべきである。よって不適切である。 よって、aとbのアが答えとなる。 参考文献 "ITパスポート過去問題 平成23年特別 問65."ITパスポート試験ドットコム. http://www.itpassportsiken.com/kakomon/23_toku/q65.html(参照2011-12-4) --------------------------------------------------------------------------- H23年特別 問68 生体認証の仕組みとして,静脈パターンを利用するものはどれ か。 ア 顔認証 イ 虹(こう)彩認証 ウ 声紋認証 エ 掌(てのひら)認証 解答: エ 解説 生体認証は、人間の身体的な特徴、行動の特性などの個人に固有の情報を用いて 本人の認証を行う方式である。指紋や顔・虹彩または声紋・DNAなど長期間にわ たり変化しない部分の特徴が使用される。 ア 顔の画像から、目や鼻の位置などの特徴をデータ化し、データと照合するこ とで認証を行う方式のこと イ 目の虹彩模様をディジタルデータ化し、あらかじめ登録されたデータと比較 することで認証を行う方式のこと ウ 人が発する音声をディジタルデータ化し、あらかじめ録音していた周波数と 比較することで認証を行う方式のこと 参考文献 "ITパスポート過去問題 平成23年特別 問68."ITパスポート試験ドットコム. http://www.itpassportsiken.com/kakomon/23_toku/q68.html(参照2011-12-4) --------------------------------------------------------------------------- H23年特別 問75 情報セキュリティの脅威であるキーロガーの説明として,適切 なものはどれか。 ア PC利用者の背後からキーボード入力とディスプレイを見ることで情報を盗み 出す。 イ キーボード入力を記録する仕組みを利用者のPCで動作させ,この記録を入手 する。 ウ パスワードとして利用されそうな単語を網羅した辞書データを用いて,パス ワードを解析する。 エ 無線LANの電波を検知できるPCを持って街中を移動し,不正に利用が可能なア クセスポイントを見つけ出す。 解答: イ 解説 キーロガー キーボードからの入力を監視して記録するソフト。デバッグなどに 利用するツールだったが、近年ではこっそり仕掛けてパスワードを盗むなど悪用 される事例が増えている。 ア ソーシャルエンジニアリング行為である「盗み見」の説明 イ 利用者のPCにこっそり仕掛けて記録を盗む行為。上記通りなので正しい。 ウ 辞書攻撃の説明 エ 無線LANの"ただ乗り"行為の説明 参考文献 株式会社インセプト"キーロガーとは."IT用語辞典e-word. http://e-words.jp/w/E382ADE383BCE383ADE382ACE383BC.html(参照2011-12-4) "ITパスポート過去問題 平成23年特別 問75."ITパスポート試験ドットコム. http://www.itpassportsiken.com/kakomon/23_toku/q75.html(参照2011-12-4) --------------------------------------------------------------------------- H23年特別 問76 多数のコンピュータに感染し,遠隔操作で攻撃者から指令を受 けるとDDoS攻撃などを一斉に行う不正プログラムに付けられた呼び名はどれか。 ア ハニーポット イ ボット ウ マクロウイルス エ ワーム 解答: イ 解説 ボット 「ロボット」の略称で、もともと人間がコンピュータを操作して行って いたような処理を、人間に代わって自動的に実行するプログラムのこと。感染し たコンピュータを攻撃者が用意したネットワークに接続して攻撃者からの指令を 待ち、指令通りの処理を感染者のコンピュータ上で実行する。 ハニーポット クラッカーの侵入手法やコンピュータウイルスの振る舞いなどを 調査・研究するためにインターネット上に設置された、わざと侵入しやすいよう 設定されたサーバやネットワーク機器のこと マクロウイルス ワープロ・表計算・データベースソフトのように煩雑な入力が 必要なアプリケーションに用意されているマクロ機能を悪用し、自己増殖や破壊 行為を行うウイルスのこと ワーム ユーザに気づかれないようにコンピュータに侵入し、破壊活動や別のコ ンピュータへの侵入などを行う、悪意のあるプログラム(マルウェア)の一種 答えはイである。感染者のコンピュータが攻撃者の意のままに動かせれるので、 場合によってはデータを破戒されることより悪質である。 参考文献 株式会社インセプト"ボットとは."IT用語辞典e-word. http://e-words.jp/w/E3839CE38383E38388.html(参照2011-12-4) 株式会社インセプト"ハニーポットとは."IT用語辞典e-word. http://e-words.jp/w/E3838FE3838BE383BCE3839DE38383E38388.html(参照2011-12-4) アイティメディア株式会社"マクロウイルス."セキュリティ−用語辞典. http://www.atmarkit.co.jp/aig/02security/macrovirus.html(参照2011-12-4) 株式会社インセプト"ワームとは."IT用語辞典e-word. http://e-words.jp/w/E383AFE383BCE383A0.html(参照2011-12-4) ---------------------------------------------------------------------------- H23年特別 問84 情報セキュリティマネジメントシステム(ISMS)では,“PDCA"の アプローチを採用している。Dの段階で行うものはどれか。 ア ISMSの運用に対する監査を定期的に行う。 イ ISMSの基本方針を定義する。 ウ 従業者に対して, ISMS運用に関する教育と訓練を実施する。 エ リスクを評価して,対策が必要なリスクとその管理策を決める。 解答: ウ 解説 Plan リスクアセスメント,情報セキュリティポリシーの策定 Do 計画段階で選択した対策の導入・運用 Check ISMSの監視及び見直し Action ISMSの維持及び改善 ア Checkで実施されること イ Planで実施されること ウ Doで実施されること。よって正しい エ Actionで実施されること 参考文献 "ITパスポート過去問題 平成23年特別 問84."ITパスポート試験ドットコム. http://www.itpassportsiken.com/kakomon/23_toku/q84.html(参照2011-12-4)