試験おつかれさまでした!
解答一覧
1:ウ、2:ア、3:ウ、4:エ、5:ア、6:イ、7:エ、8:ウ、9:ウ、10:エ、11:ウ、12:ウ、13:ウ、14:ア、15:ア、16:イ、17:イ、18:ア、19:エ、20:イ、21:ウ、22:エ、23:イ、24:ウ、25:エ
問1
DRDoS 攻撃に該当するものはどれか。
解答
ウ
多数の DNS サーバに対して送信元の IP アドレスを標的の IP アドレスに偽装したリクエストを送信し、それらのサーバの応答パケットによって、標的のサーバのリソースを枯渇させ、利用を妨害する。
DRDoS は (Distributed Reflection Denial of Service の略で) 分散反射型サービス拒否攻撃のことです。
問2
シングルサインオンの実装方式の一つである SAML 認証の特徴として、適切なものはどれか。
解答
ア
IdP (Identity Provider) が利用者認証を行い、認証成功後に発行されるアサーションを SP (Service Provider) が検証し、問題がなければクライアントは SP にアクセスできるようになる。
SAML (サムル / サムエル) は、異なるインターネットドメイン間でのユーザー認証や認可情報をやり取りし、SSO (シングルサインオン) を実現するための、XML (マークアップ言語) ベースの規格です。
IdP・・・認証サーバ (アイデンティティプロバイダー)
SP・・・コンテンツを提供するサーバ (サービスプロバイダ)
問3
SHA-512/256 の説明はどれか。
解答
ウ
入力データに SHA-512 に基づいたハッシュ関数を 1 回適用し、512 ビットの値を出力した後、256 ビットに切り詰めて出力する。
SHA-512/256 は、その名の通り「SHA-512」ハッシュアルゴリズムの堅牢な構造を活かしつつ、ハッシュ値長を256ビットに短縮したハッシュ関数です。
問4
DNS に対するカミンスキー攻撃への対策はどれか。
解答
エ
問合せ時の送信元ポート番号をランダム化することによって、DNS キャッシュサーバに偽の情報がキャッシュされる確率を大幅に低減させる。
カミンスキー攻撃は、セキュリティ研究者のダン・カミンスキー氏が発表した、「DNSキャッシュポイズニング攻撃」を高効率化させた手法のこと。
問5
クリプトジャッキングに該当するものはどれか。
解答
ア
PC に不正アクセスし、その PC のリソースを利用して、暗号資産のマイニングを行う攻撃
クリプト・・・暗号資産 (仮想通貨)
ジャッキング・・・乗っ取り盗む
問6
デジタル証明書に関する記述のうち、適切なものはどれか。
解答
イ
TLS において、デジタル証明書は、通信データの暗号化のための鍵交換や通信相手の認証に利用されている。
デジタル証明書にはサーバーの「公開鍵」や「認証局の署名」が含まれており、ユーザーは証明書が信頼できる認証局 (CA) によって発行されたものかどうかを検証します。
証明書に含まれる公開鍵を使って「共通鍵」をやり取りし、その「共通鍵」でデータを暗号化します。
問7
マルウェア Mirai の動作はどれか。
解答
エ
ランダムな宛先 IP アドレスを使用して IoT 機器などに感染を広げるとともに、C&C サーバからの指令に従って標的に対して DDoS 攻撃を行う。
Mirai (ミライ) という名は、「境界の彼方」というアニメのヒロイン「栗山 未来 (くりやま みらい) 」が由来とされています。
問8
サイバー攻撃における、コネクトバックの説明はどれか。
解答
ウ
侵害したシステムから攻撃者のサーバーに対して通信を開始する。
コネクトバックは、マルウェアなどに感染した内部ネットワークの端末などから攻撃者のサーバーに自発的に通信を開始 (コネクトバック) する手法です。
問9
公開鍵基盤における CPS (Certification Practice Statement) はどれか。
解答
ウ
認証局の認証業務の運用などに関する詳細を規定した文書
認証運用規定 (CPS) は、認証局 (CA) が証明書ポリシー (CP) で定められた運用方針に基づいて、実際にどのように運用するかを詳細に記述した文書です。
- CPS: Certification Practices Statement
- CP: Certificate Policy
問10
JIS Q 27000:2019 (情報セキュリティマネジメントシステム – 用語) の用語に関する記述のうち、適切なものはどれか。
解答
エ
リスク特定とは、リスクを発見、認識及び記述するプロセスのことであり、リスク源、事象、それらの原因及び起こり得る結果の特定が含まれる。
リスク特定とは解答の通り、「リスクを発見、認識および記述するプロセス」と定義されています。
問11
“政府情報システムのためのセキュリティ評価制度 (ISMAP) ” の説明はどれか。
解答
ウ
政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価、登録することによって、政府のクラウドサービス調達におけるセキュリティ水準の確保を図る制度
ISMAP (Information system Security Management and Assessment Program) は、日本政府によるセキュリティ評価制度です。
問12
NIST “サイバーセキュリティフレームワーク (CSF) 2.0” のコアには、機能が六つある。IDENTIFY, PROTECT, DETECT, RESPOND, RECOVER と、あと一つはどれか。
解答
ウ
GOVERN
問13
IoC (Indicator of Compromise) に該当するものはどれか。
解答
ウ
あるネットワーク機器のログに残された C&C サーバとの通信履歴
IoC は、「セキュリティ侵害の痕跡」を指す。
問14
サイドチャネル攻撃の手法であるタイミング攻撃の対策として、最も適切なものはどれか。
解答
ア
演算アルゴリズムに処理を追加して、秘密情報の違いによって演算の処理時間に差異が出ないようにする。
タイミング攻撃への対策として、すべての処理において一定時間をかけるようにする『処理時間の均一化』や、処理終了時間にあえてランダムな時間を追加する『ランダム遅延の追加』などがあります。
問15
マルウェア感染の調査対象の PC に対して、電源を切る前に全ての証拠保全を行いたい。ARP キャッシュを取得した後に保全すべき情報のうち、最も優先して保全すべきものはどれか。
解答
ア
調査対象の PC で動的に追加されたルーティングテーブル
揮発性の高いものから順に保全します。
問16
OAuth 2.0 に関する記述のうち、適切なものはどれか。
解答
イ
認可を行うためのプロトコルであり、認可サーバが、利用者 (リソースオーナー) の許可を得て、サービス (クライアント) に対し、適切な権限を付与するためのものである。
OAuth 2.0 は、「認証」プロトコルではなく「認可」プロトコルです。
問17
ISP が、OP25B を導入する目的の一つはどれか。
解答
イ
ISP 管理外のネットワークに向けて ISP 管理下のネットワークから送信されるスパムメールを制限する。
アウトバウンド向け・ポート25 (SMTP) を利用した大量のスパムメール送信をブロックします。
問18
イーサネットにおいて、ルータで接続された二つのセグメント間でのコリジョンの伝搬と、宛先 MAC アドレスの全てのビットが 1 であるブロードキャストフレームの中継について、適切な組み合わせはどれか。
解答
ア
コリジョンの伝搬・・・伝搬しない
ブロードキャストフレームの中継・・・中継しない
- ルータはネットワーク層 (レイヤー3) で動作し、コリジョンドメインを分離します。コリジョン (信号衝突) はハブやリピータで接続された範囲で発生します。
- ルータはブロードキャストドメインを分離します。異なるセグメントにブロードキャストフレームを転送しません。
問19
スパニングツリープロトコルの機能を説明したものはどれか。
解答
エ
複数のブリッジ間で情報を交換し合い、ループ発生や障害発生時の迂回ルート決定を行う。
スパニングツリーとは、ネットワークでデータがループする現象を防ぐための仕組みです。
たとえば「スイッチ1」「スイッチ2」「スイッチ3」があるとします。
「スイッチ1」に「スイッチ2」と「スイッチ3」が接続されている構成では問題ないですが、「スイッチ1」に「スイッチ2」が、「スイッチ2」に「スイッチ3」が、「スイッチ3」に「スイッチ1」がというような接続構成である場合、データがスイッチ1~3間をグルグル回るようになりループが発生します。
スパニングツリーが設定が有効であれば、「スイッチ1」に「スイッチ2」が、「スイッチ2」に「スイッチ3」が、「スイッチ3」に「スイッチ1」がというような接続構成でもループが発生しません。
スパニングツリーは、STP (Spanning Tree Protocol) と略されます。
ちなみに Spanning Tree を直訳すると、「全体を覆う木構造」などといった意味になります。
問20
Web ページ内の HTML フォームに入力されたデータが Web サーバに贈られる際には、HTTP プロトコルの GET メソッド又は POST メソッドを用いたリクエストメッセージが使用される。このとき、入力されたデータはリクエストメッセージのどの部分に含まれるか。ここで HTTP のバージョンは HTTP/1.1 とし、リクエストメッセージは、リクエスト行、ヘッダー、メッセージボディの順で構成されているものとする。
解答
イ
GET メソッド・・・リクエスト行
POST メソッド・・・メッセージボディ
問21
“従業員” 表に対して、SQL 文を実行して得られる結果はどれか。ここで、実線の下線は主キーを表し、表中の NULL は値が存在しないことを表す。
解答
ウ
S002
S004
S007
問22
アジャイル開発のプロジェクトで、ソースコードの品質を向上させるために、バグ、コードの重複、脆弱性につながるコードを自動で検出することができる OSS のツールを導入したい。導入する OSS として、最も適切なものはどれか。
解答
エ
SonarQube
問23
アジャイルの開発手法の一つであるスクラムを適用したソフトウェア開発プロジェクトにおいて、KPT 手法を用いてレトロスペクティブを行った。KPT にいける三つの視点の組はどれか。
解答
イ
Keep、Problem、Try
KPT (ケプト) と読みます。
- Keep・・・継続すべき良かった点
- Problem・・・改善すべき問題点
- Try・・・今後の改善に向けて試すこと
問24
サービス提供時間帯が毎日 6 時~ 20 時のシステムにおいて、ある月の停止時間、修復時間及びシステムメンテナンスの時間は次のとおりであった。この月のサービス可用性は何%か。ここで、1 か月の稼働日数は 30 日であって、サービス可用性 (%) は少数第 2 位を四捨五入するものとする。
[停止時間、修復時間及びシステムメンテナンス時間]
- システム障害によるサービス提供時間内の停止時間:7時間
- システム障害への対処に要したサービス提供時間外の修復時間:3時間
- サービス提供時間外のシステムメンテナンス時間:8時間
解答
ウ
98.3
14 時間 x 30 日 = 420 時間/月
(420-7) 時間 / 420 時間 = 0.98333…
問25
金融庁 “財務報告に係る内部統制の評価及び監査に関する実施基準 (令和 5 年)” によれば、”記録した取引に漏れ、重複がないこと” は、組織目標を達成するための IT の統制目標のうち、どれに含まれるか。
解答
エ
信頼性
