Received: (qmail 96 invoked by uid 1010); 23 Jun 2012 09:28:30 -0000
Received: (qmail 88 invoked by uid 1010); 23 Jun 2012 09:28:30 -0000
Received: (qmail 78 invoked from network); 23 Jun 2012 09:28:30 -0000
Received: from roy.e.koeki-u.ac.jp (HELO localhost) (172.17.54.110)
  by pan.e.koeki-u.ac.jp with SMTP; 23 Jun 2012 09:28:30 -0000
Received: from roy.e.koeki-u.ac.jp (HELO localhost) (172.17.54.110)
  by pan.e.koeki-u.ac.jp (antibadmail 1.38) with SMTP; Jun 23 18:28:30 JST 2012
Date: Sat, 23 Jun 2012 18:28:30 +0900 (JST)
Message-Id: <20120623.182830.194644282.c111126@g.koeki-u.ac.jp>
To: it-ipa-0620-rpt@e.koeki-u.ac.jp
Subject: 第10回セキュリティ　レポート課題
From: FUJIKAWA Kosuke <c111126@g.koeki-u.ac.jp>
X-Mailer: Mew version 6.3 on Emacs 23.4 / Mule 6.0 (HANACHIRUSATO)
Mime-Version: 1.0
Content-Type: Text/Plain; charset=iso-2022-jp
Content-Transfer-Encoding: 7bit

第10回セキュリティ　レポート課題

氏名:藤川恒介
学籍番号:c111126
語学クラス:中国語1
コース:地域共創コース

1.22年秋  問53----------
情報セキュリティにおける"完全性"が損なわれる行為はどれか。

 ア Dos攻撃
 イ Webページの改ざん
 ウ サーバの各ポートへの順次アクセス
 エ ネットワークを流れるデータの盗聴

解答:イ

解説
情報セキュリティとは情報の機密性、完全性、可用性を維持すること。

機密性(confidentiality):
正当な権限をもった者だけが情報に触れることが出来る常態。
ex) ユーザIDやパスワードなどによる利用者の識別と認証と、権限に応じたアク
セス制限、利用履歴の記録や鑑査など

完全性(integrity)
データの処理、読み込み、書込み、保管、転送等に際して目的のデータが常に揃っ
ていて、内容に誤りや欠けている部分がないことを意味する。
装置の障害やソフトウェアのバグによって内容が失われたり、外部の攻撃者によっ
て改ざんされたりするのを防ぐ必要がある。

可用性(availability):
システムの壊れにくさのこと。障害の発生しにくさや、障害発生時の修復速度な
どによって計られる。アクセス出来る状態をを確保すること。
災害対策、停止への対応などがある。

ア,Dos攻撃:
相手のコンピュータやルータ等に不正なデータを送信して攻撃し、サービス提供
を阻害する。
...可用性の低下

ウ,ポートスキャン
インターネット上で公開されているサーバコンピュータは通常はポートと呼ばれ
る接続窓口を複数用意して、利用者からの接続をまっている。
ポートスキャンはこのポートに順番にアクセスして、サーバ内で動作しているア
プリケーションソフトやOSの種類を調べ、浸入口となりうる脆弱なポートがない
かどうか調べる行為。...不正アクセスの準備として行われる行為。

エ,盗聴はユーザ以外の人が不正な手段で情報を獲得する行為...機密性が失われ
る


参考文献
e-Words.integrity.
http://e-words.jp/w/E6A99FE5AF86E680A7.html,参照 2012/06/22

e-Words.confidentiality.
http://e-words.jp/w/E6A99FE5AF86E680A7.html,参照 2012/06/22

e-Wordse-Words.可用性.
http://e-words.jp/w/E58FAFE794A8E680A7.html,参照 2012/06/22

e-Words.ポートスキャン.
http://e-words.jp/w/E3839DE383BCE38388E382B9E382ADE383A3E383B3.html,参照 2012/06/22


 2.22年秋  問54----------
 Java言語に関する記述として、適切なものはどれか。

 ア Webページを記述するためのマークアップ言語である。
 イ 科学技術計算向けに開発された言語である。
 ウ コンピュータの種類やOSに依存しないソフトウェアが開発できる、オブジェクト指向型の言語である。
 エ 事務処理計算向けに開発された言語である。

解答:ウ

解説
JAVA:Sun Microsystems社が開発したプログラミング言語。Javaで開発されたソ
フトウェアは特定のOSやマイクロプロセッサに依存すること無く、基本的にはど
のようなプラットフォームでも動作する。

ア:HTMLの説明
イ:FORTRAN(フォートラン)の説明
エ:COBOL(コボル)の説明

HTML(HyperText Markup Lanfuage):
Webページを記述するためのマークアップ言語。

FORTRAN(FORmula TRANslater):
1956年にIBM社によって開発された、科学技術計算向けのプログラミング言語

COBOL(Common Business Oriented Language):
プログラミング言語の一つ。事務計算用言語。


参考文献
e-Words.Java.
http://e-words.jp/w/Java.html

e-Words.HTML.
http://e-words.jp/w/HTML.html

e-Words.Fortran.
http://e-words.jp/w/Fortran.html

e-Words.COBOL.
http://e-words.jp/w/COBOL.html


 3.22年秋  問58----------
 情報セキュリティマネジメントシステム(ISMS)のPDCA(計画・実行・点検・処置)において、処置フェーズで実施するものはどれか。

 ア ISMSの維持及び改善        イ ISMSの確立
 ウ ISMSの監視及びレビュー    エ ISMSの導入及び運用

解答:ア

解説
PDCAは、Plan(計画),Do(実行),Check(点検),Action(処置)

Plan  :ISMSの確立
Do    :ISMSの導入運用、社員教育の実施
Check :ISMSの監視:運用状況の点検、正常稼動率の維持、不正アクセスを監視
Action:ISMSの改善:適切性評価、見直し、セキュリティ監査の実施、対策の評価
見直し

参考文献
西村まどか.情報処理基礎論a 第10回「セキュリティマネジメント」.
http://roy/~madoka/2012/ipa/10/ipa_10_03_theme_03_management.html,参照 2012/06/23


 4.22年秋  問78----------
 情報の"機密性"や"完全性"を維持するために職場で実施される情報セキュリティの活動a~dのうち、適切なものだけをすべて挙げたものはどれか。

 a,PCは、始業開始から終業時までロックせずに常に操作可能な状態にしておく。
 b,重要な情報が含まれる資料やCD-Rなどの電子記録媒体は、利用時以外は施錠した棚に保管する。
 c,ファクシミリで送受信した資料は、トレイに放置せずにすぐに取り去る。
 d,ホワイトボードへの書き込みは、使用後直ちに消す。

 ア a,b     イ a,b,d     ウ b,d     エ b,c,d

解答:エ

解説
a:ロックをかけずに放置しておくと、席を離れたときに第三者にPC内の情報を見
られたり、中のファイルを不正に改ざんされる可能性がある。×

b:鍵をかけた棚に保管することは、重要な情報は機密性の維持に有用。○

c:トレイに置いたままだと誰かにみられる可能性があるのですぐに取り去ること
は必要。○

d:ホワイトボードの書込みをそのままにしておくと誰かに見られてしまう可能性
があるのですぐにけす必要がある。○


参考文献
H22秋問53を参照


 5.23年特別問68----------
生体認証の仕組みとして、静脈パターンを利用するものはどれか。

 ア 顔認証       イ 虹彩認証
 ウ 声紋認証     エ 掌認証

解答:エ

解説:
生体認証(バイオメトリクス認証)とは、人間の身体的な特徴や行動の特性など
個人固有の情報を用いて本人の認証を行う方式のこと。
身体的特徴を用いる方式では、指紋や顔・虹彩または声紋・DNAなど長期間にわ
たり変化しない部分の特徴が使用される。

ア 顔認: 入力された顔の画像から、目や鼻の位置や特徴をデータ化し、あらかじめ登録されているデータと照合することで認証を行う。

イ 虹(こう)彩認証: 個人固有である目の虹彩模様をディジタルデータ化し、あらかじめ登録されてあるデータと比較することで認証を行う。

ウ 声紋認: 人が発した音声をディジタルデータ化し、あらかじめ録音しておいた周波数と比較して認証を行う。

エ 掌(てのひら)認証: 静脈認証とも呼ばれ、掌や指先の静脈をパターン化し、本人確認を行う。

参考文献:
IT用語辞典.バイオメトリクス認証.
http://e-words.jp/w/E38390E382A4E382AAE383A1E38388E383AAE382AFE382B9E8AA8DE8A8BC.html


 6.23年特別問84----------
 情報セキュリティマネジメントシステム(ISMS)では、"PDCA"のアプローチを採用している。Dの段階で行うものはどれか。

 ア ISMSの運用に対する監査を定期的に行う。
 イ ISMSのの基本方針を定義する。
 ウ 従業者に対して、ISMS運用に関する教育と訓練を実施する。
 エ リスクを評価して、対策が必要なリスクとその管理策を決める。

解答:ウ

解説:
ISMS(Information Security Management System):情報セキュリティマネジメン
トシステム。PCDAサイクルを継続的に繰りかえすことで、情報セキュリティレベ
ルの向上を図る。
情報セキュリティを確保、維持するための、人的、物理的、技術的、組織的な対
策を含む、経営者を頂点とした組織的な取り組み。

PCDA:
Plan(計画)→Do(実行)→Check(評価)→Act(見直し・改善)の4つを繰りかえす事
で、業務を継続的に改善する手法。

Plan(計画)
  ISMSの確立
   1、計画立案
   2、基本方針の策定
   3、リスク分析、実施
   4、対策基準の策定
   5、情報セキュリティポリシ策定

Do(実行)
 ISMSの運用導入:社員教育の実施

Check(評価)
ISMSの監視:運用状況の点検、正常稼動の維持、不正アクセスを監視

Act(見直し・改善)
ISMSの改善:適正評価、見直し、セキュリティ監査の実施、対策の評価見直し

ア、Check
イ、Plan
ウ、Do (正解)
エ、Action


参考文献:
西村まどか.情報処理基礎論a 第10回(セキュリティ) 「セキュリティマネジメン
ト」.
http://roy/~madoka/2012/ipa/10/ipa_10_03_theme_03_management.html


 7.23年特別問88----------
 暗号化通信で使用される共通鍵暗号方式に関する記述のうち、適切なものはどれか。

 ア 暗号化に用いる鍵を第三者に公開しても、第三者は暗号文を復号できない。
 イ 公開鍵暗号方式よりも、暗号化処理と復号処理に掛かる計算は少ない。
 ウ 通信経路で改ざんされた暗号文を復号処理で訂正し、元のデータを復元する機能を持つ。
 エ 複数の相手ごとに通信内容を秘密にしたい場合でも、暗号化に用いる鍵は一つである。

解答:イ

解説:
共通鍵暗号方式:暗号化と同じ鍵を利用するが、鍵の共有の保全に問題がある。
公開鍵暗号方式:受信者が公開鍵と秘密鍵の2種類を用意し、送信者は受信者の公
開鍵で暗号化して情報を送り、受信者は秘密鍵で複合するが、送受信のレスポン
ス性能は劣る。
セッション鍵方式:互いに通信するとき、1通目に共通鍵を公開鍵暗号方式でやり
とりし、以降は共通鍵で通信を行う。

ア、公開された暗号鍵を使えは、第三者でも復号可能。
イ、正解。
ウ、改ざんされたデータの復元機能を持つ暗号方式はまだない。
エ、暗号化通信を行いたい空いての数だけ鍵の組み合わせを用意しないといけな
い。


参考文献:
西村まどか.情報処理基礎論a 第10回(セキュリティ) 「暗号化の基礎知識」.
http://roy/~madoka/2012/ipa/10/ipa_10_16_theme_16_code.html


 8.23年秋  問63----------
 複数の利用者が同一データベースに同時にアクセスする処理のうち、データの整合性を保つための対策が必要な処理はどれか。

 ア オークションの入札処理
 イ オンラインショッピングの申込み処理
 ウ 図書情報の検索処理
 エ 列車座席の予約処理

解答:ウ

解法:
データの整合性とは、データ同士に矛盾がなく正確で、データベースの関係構造が保たれている度合いのことである。
複数のユーザが同時に同じデータを更新する可性のあるシステムでは、排他制御によって更新消失やデータの不整合が発生しないように制御を行っている。

ア オークションの入札処理:
 複数の利用者が同時に同じ商品を入札した場合、金額にかかわらず先に行われた入札を後の入札で上書きしてしまう可能性がある。

イ オンラインショッピングの申込み処理:
 在庫が残り1つの商品に同時注文があった場合、両方を受注してしまう。

ウ 図書情報の検索処理: 正しい

エ 列車座席の予約処理:
 同じ座席に同時に予約処理を行った場合に、処理が競合する。


参考文献
IT用語辞典.オンラインショップ.
http://e-words.jp/w/E382AAE383B3E383A9E382A4E383B3E382B7E383A7E38383E38397.html


 9.23年秋  問80----------
 情報セキュリティにおける"可用性"の説明として、適切なものはどれか。

 ア システムの動作と出力結果が意図したものであること
 イ 情報が正確であり、改ざんされたり破壊されたりしていないこと
 ウ 認められた利用者が、必要なときに情報にアクセスできること
 エ 認められていないプロセスに対して、情報を非公開にすること

解答:ウ

解説:
可用性(availability):
システムの壊れにくさのこと。障害の発生しにくさや、障害発生時の修復速度な
どによって計られる。アクセス出来る状態をを確保すること。
災害対策、停止への対応などがある。

ア,ソフトウェアの品質特性における機能性の説明
イ,完全性の説明
エ,機密性の説明


参考文献
H22秋問53を参照


10.24年春  問62----------
 情報セキュリティマネジメントシステム(ISMS)のPDCA(計画・実行・点検・処置)において、点検フェーズで実施するものはどれか。

 ア ISMSの維持及び改善        イ ISMSの確立
 ウ ISMSの監視及びレビュー    エ ISMSの導入及び運用

解答:ウ

解説:
PDCAは、Plan(計画),Do(実行),Check(点検),Action(処置)

Plan  :ISMSの確立
Do    :ISMSの導入運用、社員教育の実施
Check :ISMSの監視:運用状況の点検、正常稼動率の維持、不正アクセスを監視
Action:ISMSの改善:適切性評価、見直し、セキュリティ監査の実施、対策の評価見直し


参考文献
H22秋問58を参照