Received: (qmail 29126 invoked by uid 1010); 22 Jun 2012 14:34:34 -0000
Received: (qmail 29116 invoked by uid 1010); 22 Jun 2012 14:34:33 -0000
Received: (qmail 29105 invoked from network); 22 Jun 2012 14:34:33 -0000
Received: from pan.e.koeki-u.ac.jp (HELO localhost) (172.21.90.10)
  by pan.e.koeki-u.ac.jp with SMTP; 22 Jun 2012 14:34:33 -0000
Received: from pan.e.koeki-u.ac.jp (HELO localhost) (172.21.90.10)
  by pan.e.koeki-u.ac.jp (antibadmail 1.38) with SMTP; Jun 22 23:34:33 JST 2012
Date: Fri, 22 Jun 2012 23:34:32 +0900 (JST)
Message-Id: <20120622.233432.342614112.c110038@f.koeki-u.ac.jp>
To: it-ipa-0620-rpt@e.koeki-u.ac.jp
Subject: 第 10
 回 セキュリティ レポート課題 
From: OTA Yukina <c110038@f.koeki-u.ac.jp>
X-Mailer: Mew version 6.3 on Emacs 23.3 / Mule 6.0 (HANACHIRUSATO)
Mime-Version: 1.0
Content-Type: Text/Plain; charset=iso-2022-jp
Content-Transfer-Encoding: 7bit

第 10 回 セキュリティ  レポート課題 

氏名:太田侑奈
  学籍番号:C1100383
語学クラス:英語3
    コース:環境サイエンスコース

---1. --- H22 秋 問53 ----------------------------------------

情報セキュリティにおける"完全性"が損なわれる行為はどれか。

ア　DoS攻撃
イ　Webページの改ざん
ウ　サーバの各ポートへの順次アクセス
エ　ネットワークを流れるデータの盗聴

解答　イ

解法
情報セキュリティマネジメントにおける管理すべき３要素
・可用性(availability)
システムが正常に稼働し続けること
ユーザが必要な時にシステムが利用可能である特性を示す
・完全性(インテグリティ：integrity)
情報が完全で、改ざん・破壊されていない特性を示す。
・機密性(confidentiality)
許可された正規のユーザだけが情報にアクセスできることを示す。

ア　DoS攻撃によりサーバが高負荷状態になり、正常なサービスが提供できなくなるので可用性が低下する。
ウ　ポートスキャンは、すべてのポートにパケットを送信しそれぞれの応答の有無を確認する行為。
エ　盗聴は、正規のユーザ以外が不正な手段で情報を取得する行為のため、機密性が損なわれる。

--- 参考文献 -------------------
可用性
http://e-words.jp/w/E58FAFE794A8E680A7.html

完全性
http://e-words.jp/w/E382A4E383B3E38386E382B0E383AAE38386E382A3.html

機密性
http://e-words.jp/w/E6A99FE5AF86E680A7.html


---2. --- H22 秋 問73 ----------------------------------------

電子商取引において、取引当事者から独立している第三者機関である認証局が
発行するものはどれか。

ア 取引当事者の公開鍵に対するディジタル証明書
イ 取引当事者のディジタル署名
ウ 取引当事者のパスワード
エ 取引当事者の秘密鍵に対するディジタル証明書

解答 ア

解法
そもそも電子商取引とは、インターネットなどのネットワークを利用して、
契約や決済などを行う取引形態のこと。
認証局とは電子商取引事業者などに、暗号通信などで必要となるディジタル証明書を発行
する機関の事を言う。
そしてディジタル証明書とは取引当事者とのデータ通信の時に使われる公開鍵が、
正当な送信者なものであることを証明するための物。

以上の事から解答はアであることがわかる。

--- 参考文献 -------------------
e-words「電子商取引とは」
http://e-words.jp/w/E99BBBE5AD90E59586E58F96E5BC95.html
e-words「認証局とは」
http://e-words.jp/w/E8AA8DE8A8BCE5B180.html


---3. --- H23 特別 問64 ----------------------------------------

情報セキュリティに関して発生したインシデントのうち、可用性が損なわれる
直接の原因となった物はどれか。

ア PCがウイルスに感染し、知らないうちにPC内の情報が流出した。
イ 空調の故障で温度が上がり、サーバが停止した。
ウ サーバに不正侵入されて個人情報が盗まれた。
エ ファイルの中の取引データの金額を誤って更新した。

解答 イ

解法
情報セキュリティでは機密性、完全性、可用性をバランス良く維持し改善することが
基本コンセプトとなっている。

機密性 : 認可されていない個人、団体など又はプロセスに対して、情報を使用不
         可又は非公開にする特性。
	 →許可された正規のユーザだけが情報にアクセスできる特性。

完全性 : 資産の正確さおよび完全さを保護する特性。
         →情報が完全で、改ざん・破壊されていない特性。

可用性 : 認可された団体等が要求した時に、アクセスおよび使用が可能である特性。
         →ユーザが必要な時に、必要な機能を利用可能である特性。

選択肢をそれぞれ基本コンセプトに当てはめて考えると、
ア 機密性を損なうインシデント
イ 可用性を損なうインシデント
ウ 機密性を損なうインシデント
エ 完全性を損なうインシデント

となるので、解答はイとなる。

--- 参考文献 -------------------
「情報セキュリティマネジメントシステムについて」
http://www.isms.jipdec.jp/isms/

	
---4. --- H23 特別 問84 ----------------------------------------

情報セキュリティマネジメントシステム(ISMS)では、"PDCA"のアプローチを採用している。Dの段階で行うものはどれか。

ア　ISMSの運用に対する監査を定期的に行う。
イ　ISMSの基本方針を定義する。
ウ　従業者に対して、ISMS運用に関する教育と訓練を実施する。
エ　リスクを評価して、対策が必要なリスクとその管理策を決める。

解答　ウ

解法
・ISMS
企業などの組織が情報を適切に管理し、機密を守るための包括的な枠組み。

ISMSにおいてPDCAサイクル
Plan→リスクアセスメント、情報セキュリティポリシーの策定
Do→計画段階で選択した対策の導入・運用
Check→ISMSの監視及び見直し
Action→ISMSの維持及び改善

ア　Checkで実施
イ　Planで実施
エ　Actionで実施

--- 参考文献 -------------------
ISMS
http://e-words.jp/w/ISMS.html

PDCAサイクル
http://e-words.jp/w/PDCAE382B5E382A4E382AFE383AB.html


---5. --- H23 秋 問75 ----------------------------------------

電子メールの安全性や信頼性に関する記述のうち、適切なものはどれか。

ア 暗号化しなくても、受信者以外の者が、通信途中で電子メールの本文や添付
   ファイルの内容を見ることはできない。

イ 受信した電子メールの差出人間の電子メールアドレスが知人のものであっても、
   本人からの電子メールであるとは限らない。

ウ 送信した電子メールは、必ず受信者に到達する。

エ 電子メールの本文や添付ファイルの内容を通信途中で改ざんすることはできない。

解答 イ

解法
電子メールは必ずしも安全という訳ではなく、どこかしらに送信者と受信者以外の第三者
が関与するかもしれない可能性を帯びている。
選択肢もそれぞれ、

ア パケットを盗聴することで、メールの内容を見ることが可能になってしまう。

イ メールソフトの設定によって差出人を偽ることが可能な為、アドレスが正しくとも
   本人かどうかは確認できない。もしくは知人のPCを第三者が使用している可
   能性もある。
ウ メールサーバの障害や遅延、アドレスの誤り、受信側のメールボックスの容量越え
   などにより、メールが届かない場合がある。

エ 暗号化を施していない場合、アと同様パケットを盗聴された後に改ざんされ
   る恐れがある。

よって解答はイとなる。

--- 参考文献 -------------------
ITpro「電子メールのセキュリティについて」 
http://itpro.nikkeibp.co.jp/article/COLUMN/20061016/250751/
http://itpro.nikkeibp.co.jp/article/COLUMN/20071112/286933/



---6. --- H23 秋 問83 ----------------------------------------

情報セキュリティ基本方針の説明として、適切なものはどれか。

ア　一度決められた情報セキュリティ基本方針は、ビジネス環境や技術が変化し
    ても変更すべきではない。

イ　情報セキュリティに関する組織の取組み姿勢を示したものであり、組織のトッ
    プによって承認され、公表される。

ウ　セキュリティビジネスを拡大するための重点的な取組みについて、株主や一
    般に広く公開されるものである。

エ　組織のセキュリティの考え方に基づいて、具体的なセキュリティ施策につい
    て述べたものである。

解答　イ

解法
ア　環境の変化に合わせて定期的な見直しが必要
ウ　情報セキュリティマネジメントを確立するために取り組む姿勢を、社内外に宣言するもの
エ　情報セキュリティ実施基準の説明


---7. --- H23 秋 問84 ----------------------------------------

暗号化又は複合で使用する鍵a~cのうち、第三者に漏れないように管理すべき
鍵だけを全て挙げたものはどれか。

a 共通鍵暗号方式の共通鍵
b 公開鍵暗号方式の公開鍵
c 公開鍵暗号方式の秘密鍵

ア a,b,c
イ a,c
ウ b,c
エ c

解答 イ

解法
暗号化とは、インターネットなどのネットワークを通じてデジタルデータを
やり取りする際に、通信途中での妨害を受けないよう決まった規則に従って
データを変換すること。
選択肢に出ている暗号化方式はそれぞれ、

共通鍵暗号方式 : 暗号文の送信者と受信者で同じ鍵を共有し、暗号文を送受信する前に
	       	 安全な経路を使い秘密の鍵を共有する必要がある。

公開鍵暗号方式 : 対になる2つの鍵を使ってデータの暗号・複合をおこなう方式。
	         この方法では複合に使う鍵を他人に知られないように管理す
	         る必要がある。

このことから、
a は両方の鍵を安全に管理する必要があるので正しい。
b の公開鍵は、不特定多数の送信者に公開されるので情報が漏れたとしても問題ない。
cは公開鍵暗号の秘密鍵が漏洩してしまうと、それを使って暗号化されたデータ
が複合されてしまうので安全に管理する必要がある。

よって解答がイである事が分かる。

--- 参考文献 -------------------
e-words「暗号化とは」 :
http://e-words.jp/w/E69A97E58FB7E58C96.html

e-words「共通鍵暗号とは」 :
http://e-words.jp/w/E585B1E9809AE98DB5E69A97E58FB7.html

e-words「公開鍵暗号とは」
http://e-words.jp/w/E585ACE9968BE98DB5E69A97E58FB7.html

--8. --- H24 春 問58 ----------------------------------------

次の " 商品 " 表から仕入れ先が " A社 "で価格が140円以上の商品、及び仕入
れ先が " B社 " で価格が170円以下の商品を抽出した。得られた商品名だけを挙
げたものはどれか。

略) " 商品 " 表


ア ケーキ、イチゴ、コーヒー
イ ケーキ、イチゴ、ジュース
ウ チョコレート、リンゴ、コーヒー
エ チョコレート、リンゴ、ジュース

解答 ウ

解法
" 商品 " 表から仕入れ先が " A社 "で価格が140円以上の商品、
なおかつ、仕入れ先が " B社 " で価格が170円以下の商品は、
ウ チョコレート、リンゴ、コーヒーだけである。
よって解答は「ウ」となる。


---9. --- H24 春 問62 ----------------------------------------

情報セキュリティマネジメントシステム(ISMS)のPDCA(計画・実行・点検・処置)
において、点検フェーズで実施するものはどれか。

ア ISMSの維持及び改善
イ ISMSの確立
ウ ISMSの監視及びレビュー
エ ISMSの導入及び運用

解答 ウ

解法
・ISMS(Information Security Management System)
企業などの組織が情報を適切に管理し、機密を守るための枠組みのこと。

・PDCA(Plan - Do - Check - Act - cycle)
業務プロセス管理手法の一つ。
Plan(計画) - Do(実行) - Check(評価・点検) - Act(改善・処置)を繰り返し行なう
(cycle)ことで、業務プロセスの改善を行なう手法である。

選択肢内で点検フェーズ (Check)にあたるものはウである。
ちなみに
ア、Act(改善)
イ、Plan(計画) 
エ、Do(実行)
だと考えられる。

--- 参考文献 -------------------
ISMS
http://e-words.jp/w/ISMS.html

PDCAサイクル
http://e-words.jp/w/PDCAE382B5E382A4E382AFE383AB.html


---10. ---H24 春 問76 ----------------------------------------

E-R図の説明と、その応用として、適切なものはどれか。

ア 作業順序や作業時間を表した図であり、例えば、システム開発の日程管理を
するのに用いられる。

イ 実体同士の関連を表した図であり、例えば、関係データベースの表同士関連
   を表すのに用いられる

ウ 順次、選択、繰返し耕造を組み合わせて表した図であり、例えば、プログラ
   ムの流れを記述するのに用いられる。

エ 状態の遷移や条件を記載した図であり、例えば、通信プロトコルの仕様を記
   述するのに用いられる。

解答 イ

解法
・E-R図(Entity Relationship Diagram)
データを実体(entity),関連(relationship),属性(attribute)という3つの構成要
素でモデル化する「ERモデル」を図で表したもの。
データベースを設計する際などに広く用いられる。

よって解答は「イ」となる。

--- 参考文献 -------------------
E-R図
http://e-words.jp/w/ERE59BB3.html