情報処理安全確保支援士午前2令和01年秋

情報処理安全確保支援士午前2令和01年秋

令和元年度 秋期 情報処理安全確保支援士試験

午前II 問題

試験時間

|

10:50 ~ 11:30 (40 分)

注意事項

1. 試験開始及び終了は,監督員の時計が基準です。監督員の指示に従ってください。

試験時間中は,退室できません。 2. 試験開始の合図があるまで,問題冊子を開いて中を見てはいけません。

答案用紙への受験番号などの記入は,試験開始の合図があってから始めてください。 問題は,次の表に従って解答してください。

問題番号 問1~問25

3.1

選択方法

全問必須

5. 答案用紙の記入に当たっては,次の指示に従ってください。

(1) 答案用紙は光学式読取り装置で読み取った上で採点しますので,B 又は HB の

黒鉛筆で答案用紙のマークの記入方法のとおりマークしてください。マークの濃 度がうすいなど,マークの記入方法のとおり正しくマークされていない場 読み取れないことがあります。特にシャープペンシルを使用する際には,マーク の濃度に十分ご注意ください。訂正の場合は,あとが残らないように消しゴムで きれいに消し,消しくずを残さないでください。 (2) 受験番号欄に受験番号を,生年月日欄に受験票の生年月日を記入及びマークし

てください。答案用紙のマークの記入方法のとおり記入及びマークされていない 場合は,採点されないことがあります。生年月日欄については,受験票の生年月 日を訂正した場合でも,訂正前の生年月日を記入及びマークしてください。 (3) 解答は,次の例題にならって,解答欄に一つだけマークしてください。答案用

紙のマークの記入方法のとおりマークされていない場合は,採点されません。 [例題] 秋の情報処理安全確保支援士試験が実施される月はどれか。

ア8 19 5 10 | I 11

正しい答えは " ウ 10" ですから,次のようにマークしてください。

例題 DOOL

注意事項は問題冊子の裏表紙に続きます。 こちら側から裏返して,必ず読んでください。

1

2

問1 認証処理のうち,FIDO(Fast IDentity Online) UAF (Universal Authentication

Framework) 1.1 に基づいたものはどれか。

 ア SaaS 接続時の認証において,PIN コードとトークンが表示したワンタイムパス

ワードとを PC から認証サーバに送信した。  イ SaaS 接続時の認証において,スマートフォンで顔認証を行った後,スマートフ

ォン内の秘密鍵でディジタル署名を生成して,そのディジタル署名を認証サーバ

に送信した。

インターネットバンキング接続時の認証において,PC に接続されたカードリー

ダを使って,利用者のキャッシュカードからクライアント証明書を読み取って,

そのクライアント証明書を認証サーバに送信した。

 エ インターネットバンキング接続時の認証において,スマートフォンを使い指紋

情報を読み取って,その指紋情報を認証サーバに送信した。

問2 暗号機能を実装したIoT 機器において脅威となるサイドチャネル攻撃に該当する

ものはどれか。

暗号関数を線形近似する式を導き,その線形近似式から秘密情報の取得を試

みる。

ィゥェ

 イ 機器が発する電磁波を測定することによって秘密情報の取得を試みる。  ウ 二つの平文の差とそれぞれの暗号文の差の関係から,秘密情報の取得を試みる。 工 理論的にあり得る復号鍵の全てを機器に入力して秘密情報の取得を試みる。

3

問3 VA (Validation Authority) の役割はどれか。

属性証明書の発行を代行する。

イディジタル証明書にディジタル署名を付与する。

ウディジタル証明書の失効状態についての問合せに応答する。

工 本人確認を行い,ディジタル証明書の発行を指示する。

問4 XML ディジタル署名の特徴として,適切なものはどれか。

 ア XML 文書中の任意のエレメントに対してデタッチ署名 (Detached Signature) を

付けることができる。

 イ エンベローピング署名(Enveloping Signature)では一つの署名対象に必ず複数

の署名を付ける。  ウ 署名形式として,CMS(Cryptographic Message Syntax) を用いる。 I 署名対象と署名アルゴリズムを ASN.1 によって記述する。

問5 ファイアウォールにおけるダイナミックパケットフィルタリングの特徴はどれか。

 ア IP アドレスの変換が行われるので,内部のネットワーク構成を外部から隠蔽で

きる。  イ 暗号化されたパケットデータ部を復号して,許可された通信かどうかを判断

できる。  ウ 過去に通過したリクエストパケットに対応付けられる戻りのパケットを通過さ

せることができる。

 エ パケットデータ部をチェックして,アプリケーション層での不正なアクセス

を防止できる。

4

問6 X.509 における CRL (Certificate Revocation List)に関する記述のうち,適切なも

のはどれか。

ま行

 ア PKI利用者は,認証局の公開鍵が Web ブラウザに組み込まれていれば,CRL

を参照しなくてもよい。  イ 認証局は,発行した全てのディジタル証明書の有効期限を CRL に記載する。  ウ 認証局は,発行したディジタル証明書のうち失効したものについては,シリ ア 

ル番号を失効後1年間 CRL に記載するよう義務付けられている。

工認証局は,有効期限内のディジタル証明書のシリアル番号を CRL に記載するこ

とがある。

問7 JIS Q 27014:2015 (情報セキュリティガバナンス)における,情報セキュリティ

統治するために経営陣が実行するガバナンスプロセスのうちの "モニタ"はどれか。

情報セキュリティの目的及び戦略について,指示を与えるガバナンスプロセス

イ戦略的目的の達成を評価することを可能にするガバナンスプロセス

ウ独立した立場からの客観的な監査,レビュー又は認証を委託するガバナンス

ロセス

 エ 利害関係者との間で,特定のニーズに沿って情報セキュリティに関する情報

交換するガバナンスプロセス

5

問8 総務省及び経済産業省が策定した "電子政府における調達のために参照すべき暗

号のリスト (CRYPTREC 暗号リスト)"を構成する暗号リストの説明のうち,適切

なものはどれか。

 ア 推奨候補暗号リストとは,CRYPTREC によって安全性及び実装性能が確認され た暗号技術のうち,市場における利用実績が十分であるか今後の普及が見込まれ ると判断され,当該技術の利用を推奨するもののリストである。

 イ 推奨候補暗号リストとは,候補段階に格下げされ,互換性維持目的で利用する

暗号技術のリストである。

ウ電子政府推奨暗号リストとは,CRYPTREC によって安全性及び実装性能が確認

された暗号技術のうち,市場における利用実績が十分であるか今後の普及が見込 まれると判断され,当該技術の利用を推奨するもののリストである。

工 電子政府推奨暗号リストとは,推奨段階に格下げされ,互換性維持目的で利用

する暗号技術のリストである。

ぜい

問9 基本評価基準,現状評価基準,環境評価基準の三つの基準で情報システムの脆弱

性の深刻度を評価するものはどれか。

7

CVSS

1 ISMS

PCI DSS

I PMS

6

問10 BlueBorne の説明はどれか。

ぜい

 ア Bluetooth を悪用してデバイスを不正に操作したり,情報を窃取したりする,複

数の脆弱性の呼称  イ 感染した PC の画面の背景を青 1 色に表示させた上,金銭の支払を要求するラ

ンサムウェアの一種

ウ攻撃側(Red Team)と防御側(Blue Team)に分かれて疑似的にサイバー攻撃を

行う演習における,防御側の戦術の一種

 エ ブルーレイディスクを経由して感染を拡大した,日本の政府機関や重要インフ

ラ事業者を標的としたAPT 攻撃の呼称

問11 CookieSecure 属性設定しなかったときと比較した,設定したときの動作とし

て,適切なものはどれか。

 ア Cookie設定された有効期間を過ぎると,Cookieが無効化される。

 イ JavaScript による Cookie の読出しが禁止される。

 ウ URL 内のスキームが https のときだけ,Web ブラウザから Cookie が送出される。

I Web ブラウザアクセスする URL 内のパスCookie設定されたパスのプレ

フィックスが一致するときだけ,Web ブラウザから Cookie が送出される。

7

問12 DKIM(DomainKeys Identified Mail)の説明はどれか。

 ア 送信側メールサーバにおいてディジタル署名を電子メールのヘッダに付加し,

受信側メールサーバにおいてそのディジタル署名を公開鍵によって検証する仕組

 イ 送信側メールサーバにおいて利用者が認証された場合,電子メールの送信が許

可される仕組み

ウ電子メールのヘッダや配送経路の情報から得られる送信元情報を用いて,メー

ル送信元の IPアドレスを検証する仕組み

 エ ネットワーク機器において,内部ネットワークから外部のメールサーバの TCP

ポート番号 25 への直接の通信を禁止する仕組み

問13 マルチベクトル型 DDoS攻撃に該当するものはどれか。

 ア DNS リフレクタ攻撃によって DNS サービスを停止させ,複数の PC での名前解

決を妨害する。

 イ Web サイトに対して,SYN Flood 攻撃と HTTP POST Flood 攻撃を同時に行う。  ウ 管理者用 IDパスワードを初期設定のままで利用している複数の IoT 機器を感

染させ,それらの IoT 機器から,Web サイトUDP Flood 攻撃を行う。

 エ ファイアウォールでのパケットの送信順序を不正に操作するパケットを複数送

信することによって,ファイアウォールCPUメモリを枯渇させる。

問14 Web サイトにおいて,全ての Web ページTLS で保護するよう設定する常時

SSL/TLSセキュリティ上の効果はどれか。

 ア Web サイトでのSQL 組立て時にエスケープ処理が施され,SQL インジェクショ

ン攻撃による個人情報などの非公開情報の漏えいやデータベースに蓄積された商

品価格などの情報の改ざんを防止する。

 イ Web サイトへのアクセスが人間によるものかどうかを確かめ,Web ブラウザ

外の自動化された Web クライアントによる大量のリクエストへの応答を避ける。  ウ Web サイトへのブルートフォース攻撃によるログイン試行を検出してアカウン

ロックし,Web サイトへの不正ログインを防止する。

I Web ブラウザと Web サイトとの間における中間者攻撃による通信データの漏え

い及び改ざんを防止し,サーバ証明書によって偽りの Web サイトの見分けを容易

にする。

ぜい

問15 攻撃者に脆弱性に関する専門の知識がなくても,OS やアプリケーションソフト ウ 

ェアの脆弱性を悪用した攻撃ができる複数のプログラムや管理機能を統合したもの

はどれか。

7

Exploit Kit

1

iLogScanner

 ウ 

MyJVN

I

Remote Access Tool

9

問16 IEEE 802.1Xで使われるEAP-TLSが行う認証はどれか。

 ア CHAP を用いたチャレンジレスポンスによる利用者認証

 イ あらかじめ登録した共通鍵によるサーバ認証と,時刻同期のワンタイムパス

ードによる利用者認証  ウ ディジタル証明書による認証サーバとクライアントの相互認証  エ 利用者 IDパスワードによる利用者認証

問17 SQL インジェクション対策について,Web アプリケーションプログラムの実装に

おける対策と,Web アプリケーションプログラムの実装以外の対策として,ともに

適切なものはどれか。

Web アプリケーションプログラムの | Web アプリケーションプログラム

実装における対策

実装以外の対策

Web アプリケーションプログラム中「chroot 環境で Web サーバを稼働させ でシェルを起動しない。

る。

イ「セッション ID乱数で生成する。 「TLS によって通信内容を秘匿する。

パス名やファイル名をパラメタとして重要なファイルを公開領域に置かな 受け取らないようにする。

い。

プレースホルダを利用する。

Web アプリケーションプログラムが 利用するデータベースのアカウントが もつデータベースアクセス権限を必要 最小限にする。

10 -

問18 DNSSEC に関する記述として,適切なものはどれか。

 ア DNS サーバへの DoS 攻撃を防止できる。  イ IPsec による暗号化通信が前提となっている。  ウ 代表的な DNS サーバの実装である BIND の代替として使用する。

エディジタル署名によって DNS 応答の正当性を確認できる。

問19 IPv4 ネットワークにおいて,IP パケットの分割処理と,分割されたパケットを元

に戻す再構築処理に関する記述のうち,適切なものはどれか。

 ア IPパケットの再構築処理は宛先のホストで行われる。

 イ IP パケットの再構築処理は中継するルータで行われる。  ウ IPパケットの分割処理は送信元のホストだけで行われる。 I IP パケットの分割処理は中継するルータだけで行われる。

問20 TCPに関する記述のうち,適切なものはどれか。

 ア OSI基本参照モデルネットワーク層の機能である。 イウィンドウ制御の単位は,バイトではなくビットである。

 ウ 確認応答がない場合は再送処理によってデータ回復を行う。  エ データの順序番号をもたないので,データは受信した順番のままで処理する。

11

問21 JSON 形式で表現される図1,図2のような商品データを複数の Web サービスから

取得し,商品データベースとして蓄積する際のデータの格納方法に関する記述のう ち,適切なものはどれか。ここで,商品データの取得元となる Web サービスは随時 変更され,項目数や内容は予測できない。したがって,商品データベースの検索時

に使用するキーにはあらかじめ制限を設けない。

"_id":"AA09","品名":"47 型テレビ","価格":"オープンプライス","関連商品 id": [

"AA101","BC06"

"_id":"AA10","商品名":"りんご","生産地": "青森","価格":100,"画像 URL":"http://www.example.com/apple.jpg"

図2 B社 Web サービスの商品データ

図1 A社 Web サービス

の商品データ

 ア 階層型データベースを使用し,項目名を上位階層とし,値を下位階層とした 2

階層でデータを格納する。

グラフデータベースを使用し,商品データの項目名の集合から成るノードと 値の集合から成るノードを作り,二つのノードを関係づけたグラフとしてデータ

を格納する。  ウ ドキュメント型データベースを使用し,項目構成の違いを区別せず,商品デー

タ単位にデータを格納する。  エ リレーショナルデータベースを使用し,商品データの各項目名を個別の列名と

した表を定義してデータを格納する。

  • 12 -

問22 次の仕様で動作する装置がある。未完成の状態遷移図を完成させるために,追加

すべき遷移はどれか。

[仕様]

・レディで Start ボタンが押された場合,運転開始して低速運転に遷移する。 ・低速運転で Up ボタンが押された場合,加速して高速運転に遷移する。 ・低速運転で Down ボタンが押された場合,運転休止して一時停止に遷移する。

・高速運転で Down ボタンが押された場合,減速して低速運転に遷移する。 ・一時停止で Up ボタンが押された場合,運転再開して低速運転に遷移する。 ・レディ以外の状態で Stop ボタンが押された場合,運転停止してレディに遷移する。

【未完成の状態遷移図]

Start/運転開始

レディ

低速運転

Stop/運転停止

Stop/運転停止

Up/加速

Up/運転再開

Down/減速

Down/運転休止 |

一時停止

高速運転

遷移元の状態名

条件部/動作部

遷移先の状態名

 ア 「一時停止

高速運転

一時停止

| Start/運転再開 Start/運転再開 Stop/運転休止

低速運転

アーイーゥ|ェ

高速運転

一時停止

高速運転

Stop/運転停止

レディー

  • 13 -

問23 マッシュアップを利用して Webコンテンツを表示する例として,最も適切なもの

はどれか。

 ア Webブラウザにプラグインを組み込み,動画やアニメーションを表示する。

地図上のカーソル移動に伴い,Web ページを切り替えずにスクロール表示する。

鉄道経路の探索結果上に,各鉄道会社の Web ページへのリンクを表示する。

工 店舗案内の Web ページ上に,他のサイトが提供する地図検索機能を利用して出

カされた情報を表示する。

問24 情報システムの設計の例のうち,フェールソフトの考え方を適用した例はどれか。

 ア UPS を設置することによって,停電時に手順どおりにシステムを停止できるよ

うにする。  イ 制御プログラムの障害時に,システムの暴走を避け,安全に運転を停止できる

ようにする。  ウ ハードウェアの障害時にパフォーマンスは低下するが,構成を縮小して運転

を続けられるようにする。

 エ 利用者の誤操作や誤入力を未然に防ぐことによって,システムの誤動作を防止

できるようにする。

14

問25 システムの本番移行が失敗するリスクに対するコントロールを監査するときのチ

ェックポイントはどれか。

システム運用段階で新システムの稼働状況がレビューされ,その結果について

システム開発部門及び利用部門の責任者の承認が得られていること

システム開発段階で抽出された問題への対策が,次期システム改善計画に反映

されていること

システム企画段階で,システムの投資対効果が評価されていること

 エ 利用部門を含めた各部門の役割と責任を明確にした本番移行計画が作成されて

いること

15 -

6. 問題に関する質問にはお答えできません。文意どおり解釈してください。 7. 問題冊子の余白などは,適宜利用して構いません。ただし,問題冊子を切り離し

て利用することはできません。 8. 試験時間中,机上に置けるものは,次のものに限ります。

なお,会場での貸出しは行っていません。 受験票,黒鉛筆及びシャープペンシル(B 又は HB),鉛筆削り消しゴム,定規,時計(時計型ウェアラブル端末は除く。アラームなど時計以外の機能は使用不可),

ハンカチ,ポケットティッシュ,目薬

これら以外は机上に置けません。使用もできません。 9. 試験終了後,この問題冊子は持ち帰ることができます。 10. 答案用紙は,いかなる場合でも提出してください。回収時に提出しない場合は,

採点されません。 11. 試験時間中にトイレへ行きたくなったり,気分が悪くなったりした場合は,手を ・ 挙げて監督員に合図してください。 12. 午後 I の試験開始は 12:30 ですので,12:10 までに着席してください。

試験問題に記載されている会社名又は製品名は,それぞれ各社又は各組織の商標又は登録商標です。

なお,試験問題では,TM 及び ® を明記していません。

か行

©2019 独立行政法人情報処理推進機構

出張想

16