令和2年度 情報処理安全確保支援士試験 午前Ⅱ 回答予想

問1 Webサーバのログを分析したところ、Webサーバへの攻撃と思われるHTTPリクエストヘッダが記録されていた。次のHTTPリクエストヘッダから推測できる、攻撃者が悪用しようとしていた脆弱性はどれか。ここで、HTTPリクエストヘッダ中の”%20″は空白を意味する。
GET /cgi-bin/submit.cgi?user=;cat%20/etc/passwd HTTP/1.1
ア.HTTPヘッダインジェクション (HTTP Response Splittings)

問2 SAML (Security Assertion Markup Language)の説明として、最も適切なものはどれか。
エ.認証情報に加え、属性情報とアクセス制御情報を異なるドメインに伝達するためのWebサービスの仕様

問3 エクスプロイトコードの説明はどれか。
ア.攻撃コードとも呼ばれ、ソフトウェアの脆弱性を悪用するコードのことであり、使い方によっては脆弱性の検証に役立つこともある。

問4 サイドチャネル攻撃に該当するものはどれか。
ア.暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量(処理時間や消費電力など)やエラーメッセージから、攻撃対象の秘密情報を得る。

問5 ブロックチェーンに関する記述のうち、適切なものはどれか。
エ.ハッシュ関数を必須の技術として、参加者がデータの改竄を検出する為に利用する

問6 総務省及び国立研究開発法人情報通信研究機構(NICT)が2019年2月から実施ている取り組み”NOTICE”に関する記述のうち、適切なものはどれか。
イ.国内のグローバルIPアドレスを有するIoT機器に、容易に推測されるパスワードを入力する事などによって、サイバー攻撃に悪用される恐れのある機器を調査し、結果を通知するとともに、利用者が自ら必要な対処ができるように支援する。

問7 経済産業省が”サイバー・フィジカル・セキュリティ対策フレームワーク(Version 1.0)”を策定した主な目的の一つはどれか
イ.新たな産業社会において付加価値を想像する活動が直面するリスクを適切に捉えるためのモデルを構築し、求められるセキュリティ対策の全体像を整理すること

問8 CRYPTRECの主な活動内容はどれか
ア.暗号技術の技術的検討並びに国際競争力の向上及び運用面での安全性工場に関する検討を行う。

問9 3Dセキュアは、ネットショッピングでのオンライン決済におけるクレジットカードの不正使用を防止する対策の一つである。3Dセキュアに関する記述のうち、適切なものはどれか。
エ.クレジットカード発行会社にあらかじめ登録したパスワードなど、本人しか分からない情報を入力させ、検証することによって、なりすましによるクレジットカードの不正使用を防止する

問10 インターネットバンキングの利用時に被害をもたらすMITB(Man in the Browser)攻撃に有効な対策はどれか。
イ.インターネットバンキングでの送金時に利用者が入力した情報と、金融機関が受信した情報とに差異が無いことを検証できるよう、トランザクション署名を利用する。

問11 JIS X 9401:2016(情報技術ークラウドコンピューティングー概要及び用語)の定義によるクラウドサービス区分の一つであり、クラウドサービスカスタマが表中の項番1と2の責務を負い、クラウドサービスプロバイダが項番3〜5の責務を負うものはどれか。
ウ PaaS

問12 WebサーバがHTTP over TLS (HTTPS) 通信の応答でcookieにSecure属性を設定するときのWebサーバ及びWebブラウザの処理はどれか。
ウ.Webサーバでは、cookie発行時に”Secure”を設定し、Webブラウザでは、それを参照し、HTTPS通信時にだけそのCookieを送信する。

問13 ディジタルフォレンジックスに該当するものはどれか。
エ.犯罪に関する証拠となり得るデータを保全し、調査、分析、その後の訴訟などに備える。

問14 セキュリティ対策として、次の条件の下でデータベース(DB)サーバをDMZから内部ネットワークに移動するようなネットワーク構成の変更を計画している。このとき、ステートフルパケットインスペクション型のファイヤーウォール(FW)において、必要となるフィルタリングルールの変更のうちの一つはどれか。
イ.(削除:送信元【運用管理PC】宛先【変更前のDBサーバ】サービス【SSH】制御【許可】)

問15 DNSSECで実現できる事はどれか。
ア.DNSキャッシュサーバが得た応答中のリソースレコードが、権威サーバで管理されているものであり、改竄されていないことの検証

問16 SMTPーAUTHの特徴はどれか。
ウ.メールクライアントからメールサーバへの電子メール送信時に、利用者IDとパスワードによる利用者認証を行う。

問17 インターネットサービスプロバイダー(ISP)が、スパムメール対策として導入するIP25Bに該当するものはどれか。
ア.自社ISPのネットワークの動的IPアドレスから他社ISPの管理するメールサーバへのSMTP通信を制限する。

問18 図のように、サブネット192.168.1.0/24にPCを接続し、サブネット192.168.2.0/24にあるDHCPサーバによってPCのIPアドレスの設定を行いたい。この時、PCからDHCPサーバに対する最初の問い合わせの宛先IPアドレスとして、適切なのはどれか。ここで、PCからDHCPサーバに対する最初の問い合わせにはブロードキャスト通信が使われ、更に次の情報を満たす。
<条件>
(1)ルータではDHCPリレーエージェントが動作している。
(2)PCは自分自身のサブネット情報を知らない。

エ.255.255.255.255

問19 リモートアクセス環境において、認証情報やアカウンティング情報をやり取りするプロトコルはどれか。
エ.RADIUS

問20 複数台のレイヤ2スイッチで構成されるネットワークが複数の経路を持つ場合に、イーサネットフレームのループの発生を防ぐためのTCP/IPネットワークインターフェース層のプロトコルはどれか。
イ.RIP

問21 DBMSがトランザクションのコミット処理を完了するタイミングはどれか。
エ.ログファイルのへのコミット情報書き込み完了時点

問22 ソフトウェアの要件定義における利用者の分析で活用される、ソフトウェアの利用者を役割ごとに典型的な姿として描いた仮想の人物を何と呼ぶか。
イ.ステークホルダー

問23 アジャイル開発のプラクティスの一つである”ふりかえり(レトロスペクティブ)”を行う適切なタイミングはどれか。
ウ.朝会

問24 新システムの開発を計画している。提案された4案の中で、TCO(総所有費用)が最小のものはどれか。ここで、このシステムは開発後、3年間使用されるものとする。
ウ.C案

問25 プライバシーマークを取得しているA社は、個人情報管理台帳の取り扱いについて内部調査を行った。判明した状況のうち、監査人が指摘事項として監査報告書に記載すべきものはどれか。
エ.個人情報管理台帳の見直しは、新たな個人情報の取得があった場合にだけ行っている。

投稿者: 二本松 哲也

志を持った人たちと、夢に向かって共に働くことが私の誇りです。 セキュリティコンサルタント、キャリア(個人事業主 PG→SE→PL→PM→ 会社員 ITコンサル 兼 情シス)、資格(2級知的財産管理技能士、個人情報保護士)、IPCC 地球温暖化防止コミュニケーター