第48回試験解説:情報システムセキュリティ

第48回個人情報保護士試験の解答と解説です。

問題102 正答:イ

ユーザの識別と認証管理に関する問題です。

  • 空欄aについて。ユーザIDとパスワードの組合せを一度入力すれば、アクセスを許可された複数の情報資源の利用が可能になる仕組みは「シングルサインオン」です。
  • 空欄bについて。シングルサインオンはアクセス制御を実現させるための仕組みとして注目されています。
  • 空欄cについて。シングルサインオンを導入すると、ユーザの識別・認証管理を一元化できます。

問題103 正答:ア

ユーザ認証の強化に関する問題です。

  • アについて。共有する管理者アカウントの作業内容を本人以外に秘匿すると、他の共有者が不正アクセス・不正作業に気づきにくくなりますので、ユーザ認証の強化につながりません。
  • イについて。設定回数以上の認証に失敗した場合にシステムへのログインを拒否すれば、不正ログインを試す機会に制限がかかることになりますからユーザ認証の強化になります。
  • ウについて。複数要素による認証は鍵を二重にかけるようなものですからユーザ認証の強化になります。
  • エについて。前回のログインに関する情報を通知する機能はユーザ自身が不正アクセスに気づくきっかけになりますのでユーザ認証の強化になります。

問題104 正答:ウ

パスワードクラックの手法に関する問題です。

すべてのパスワードの組合せを力づくで試行する手法は、ウのブルートフォースアタックです。

  • アのスマーフアタックは、送信元を偽装して攻撃相手のコンピュータに大量の情報を送り付ける攻撃です。
  • イのフォールトアタックは、暗号処理中に故意に故障を起こして正しい暗号文と誤った暗号文のペアを取得することによって機密情報を取得しようとすることをいいます。
  • エのリプレイアタックは、正規ユーザのログイン情報を傍受・盗用して不正アクセスをする手法です。

問題105 正答:イ

アクセスの制限・制御に関する問題です。

アクセス失敗状況は不正アクセスを試みた痕跡である可能性があります。したがって、これを記録に含めないとする問題文Bは不適切です。

セキュリティレベルを維持するために、同時利用者数の制限を設ける必要があるとする問題文A、及び、アクセス記録に個人情報データを含める場合、その取扱いに注意が必要だとする問題文Cは適切です。

問題106 正答:ウ

公開鍵暗号方式に関する問題です。

送信者は受信者の公開鍵でメール文書を暗号化します。

秘密鍵は本人しか知りませんから送信者がこれで暗号化することはできないのです。

したがって、空欄aには「受信者」(Y)、空欄bには「公開鍵」が入ります。これだけで正答はウとなります。

受信者は自身の秘密鍵で復号化します。したがって、空欄cには「秘密鍵」が、空欄dには「Y」(受信者)が入ります。

問題107 正答:ア

ユーザ認証の方式に関する問題です。

サーバがクライアントにチャレンジを送信し、クライアントがサーバと共有するルールに基づきハッシュ値(空欄b)を算出してレスポンスとしてサーバに送り返すユーザ認証方式を「ワンタイム・パスワード方式」といいます(空欄a)。

上記の「クライアントとサーバが共有するルール」が暗号鍵に相当します(空欄c)。

問題108 正答:イ

生体認証の方式に関する問題です。

選択肢ア~エの中で、生体認証に用いられるのはイの指紋とウの声紋です。

小型スキャナで読み取ること、湿気等に認証度が左右されるという記述から正答はイの指紋ということになります。

問題109 正答:ア

電子メールの脅威に関する問題です。

  • 問題文Aについて。受信者の許可なく勝手に送り付ける身元が詐称されたメールはバウンスメールではなく、スパムメールといいます。したがって問題文Aは不適切です。バウンスメールとは正常に送信できずに返されてしまったメールのことです。
  • 問題文Bについて。偽りのWebサイトへ誘導して個人情報を詐取する手口をフィッシング詐欺といいます。適切な記述です。
  • 問題文Cについて。自社の従業者等を装って不正プログラムが埋め込まれたファイルを電子メールに添付して送り付けることを標的型攻撃といいます。適切な記述です。

問題110 正答:ウ

ネットワークの構成例に関する問題です。

選択肢の中からネットワーク構成に関係のない用語を含むものを除外します。「ゲートキーパー」とは自殺防止の支援をする人のことです。「UPS」とは無停電電源装置(停電時に電気を供給し重要な精密機器の故障を防ぐ機器)のことです。したがって、これらを含むア、イ、エは不適切ですので正答はウとなります。

念のため、ウが正しいことを確認します。

  • インターネットとその他の何らかのネットワークの間に置かれる機器はファイアウォール(空欄a)です。
  • 侵入検知システムはIDS(空欄c)です。
  • WebサーバやFTPサーバが置かれるのは非武装地帯(空欄d)です。

問題111 正答:エ

不正プログラムとその対策に関する問題です。

身代金要求型ウイルスなどとも呼ばれるのは「ランサムウェア」(空欄a)です。

その対策として挙げられるのは、OSやソフトウェアに対する「更新プログラムの適用」(空欄b)です。

万が一感染してしまった場合に備え、重要なファイルは「こまめにバックアップ」(空欄c)しておくようにすべきです。

問題112 正答:ア

経産省「情報セキュリティ管理基準」のマルウェア対策に関する問題です。

問題文Aについて。認可されていないソフトウェアの使用を防止するための管理策としてホワイトリスト化は有効です。ホワイトリスト化された=認可したソフトウェアしか動かないようにするものだからです。したがって問題文Aは正しいです。

問題文Bについて。予防または定常作業としてコンピュータ及び媒体をスキャンすることはマルウェア対策として有効です。したがって問題文Bは正しいです。

問題113 正答:ウ

スパイウェアがインストールされた場合の現象に関する問題です。

スパイウェアは感染したパソコンやネットワーク内の情報を不正に流出させるプログラムです。これに感染すると、ポップアップ広告が頻繁に表示される(ア)、ダウンロードした覚えのないコンポーネントがブラウザに追加される(イ)、メールアドレスを知らせた覚えがないのにメールが送られてくる(エ)といった現象が生じえます。

印字の(ウ)はスパイウェアに感染しても生じません。

問題114 正答:ア

ネットワークを経由した攻撃に関する問題です。

  • 空欄aについて。窃取したユーザIDとパスワードの組合せを用いて不正ログインを試みる攻撃は「パスワードリスト攻撃」です。
  • 空欄bについて。特定のサーバやネットワークに大量の通信を送りつける攻撃は「DoS攻撃」です。
  • 空欄cについて。修正プログラム配付前にぜい弱性を利用して行われる攻撃は「ゼロデイ攻撃」です。

問題115 正答:イ

無線LANのセキュリティ対策に関する問題です。

  • 空欄aについて。無線LANアクセスポイントを指定する識別番号は「SSID」です。「ボリュームラベル」とはデータを保存する装置(ハードディスクドライブなど)につける名前のことです。
  • 空欄bについて。SSIDを見えなくするための機能は「ステルス機能」です。
  • 空欄cについて。ネットワーク機器がもっている識別番号は「MACアドレス」です。「I/Oポートアドレス」はパソコン周辺機器の通信窓口のことです。

問題116 正答:ウ

情報システム変更に伴うセキュリティ侵害に関する問題です。

  • 空欄aについて。メモリを上回るデータを入力してシステムをダウンさせる攻撃を「バッファーオーバーフロー」といいます。バージョンロールバックは古いバージョンの通信プロトコルを使用させることで、そのプロトコルにあったぜい弱性をついて行う攻撃のことです。
  • 空欄bについて。新規帳票の保存方法が不明確な場合に起こり得る問題は個人情報の紛失・漏えいです。
  • 空欄cについて。開発用ユーザIDが残っている場合、システムの不正利用が懸念されます。

問題117 正答:イ

ハードディスクの廃棄に関する問題です。

適切なのは、イの専用のデータ消去ツールを用いる、です。

  • アについて。ファイルを削除しゴミ箱を空にしても通常の方法で読み書きができなくなっただけなので、ファイルを復活させる方法は残っています。情報漏えいの危険性は残りますので不適切です。
  • ウについて。フォーマットには物理フォーマットと論理フォーマットの2種類があります。Windowsのフォーマット機能は論理フォーマットだけで、いわば「そこにデータがないことにする」だけなので復旧は可能です。したがって、情報漏えいの危険性も残ります。
  • エについて。工場出荷状態に戻してもフォーマットと同様でハードディスクには古いデータの痕跡が残っています。したがって情報漏えいの危険性も残ります。

問題118~120 正答:順にア、イ、ウ

暗号化技術に関する問題です。

  • アについて。Webブラウザに装備されているセキュアなデータ送受信を行うためのプロトコルは「SSL/TLS」です。
  • イについて。巨大な素数の掛け合せを利用した暗号化手法はRSAです。
  • ウ、エについて。無線LANの暗号化方式で、現状解読不能とされているのはWPA2です。同じく無線LANの暗号化方式で現在使用が推奨されていないのはWEPです。

コメントを残す

メールアドレスが公開されることはありません。