基本情報技術者試験の 平成31年 春に出題されるであろう予想問題です。
IT技術者として押さえておくべき知識と試験の傾向を考慮して、問題をピックアップしました。
今回はセキュリティ関連の問題をご用意しました。
暗号方式 問1.暗号アルゴリズム 公開鍵暗号方式の暗号アルゴリズムはどれか。
ア:AES
イ:KCipher-2
ウ:RSA
エ:SHA-256
答え:ウ RSA 出題履歴:応用情報技術者 平成27年秋期 午前問40基本情報技術者 平成29年春期 午前問40
AES KCipher-2 RSA 正しい 。RSA (Rivest Shamir Adleman)は、桁数が大きい合成数の素因数分解が困難であることを安全性の根拠とした公開鍵暗号の一つです。数字の桁数がそのまま安全強度につながるため、実際のRSAでは合成数の元となる2つの素数に150~300もの桁数の数を使用します。SHA-256
問2.暗号方式 AさんがBさんの公開鍵で暗号化した電子メールを,BさんとCさんに送信した結果のうち,適切なものはどれか。ここで,Aさん,Bさん,Cさんのそれぞれの公開鍵は3人全員がもち,それぞれの秘密鍵は本人だけがもっているものとする。
ア:暗号化された電子メールを,Bさんだけが,Aさんの公開鍵で復号できる。
イ:暗号化された電子メールを,Bさんだけが,自身の秘密鍵で復号できる。
ウ:暗号化された電子メールを,Bさんも,Cさんも,Bさんの公開鍵で復号できる。
エ:暗号化された電子メールを,Bさんも,Cさんも,自身の秘密鍵で復号できる。
答え:イ 基本情報技術者 平成30年春期 午前問38
問3.暗号方式 非常に大きな数の素因数分解が困難なことを利用した公開鍵暗号方式はどれか。
ア:AES
イ:DH
ウ:DSA
エ:RSA
答え:エ 出題歴:
応用情報技術者 H25秋期 問38 基本情報技術者 H23特別 問42RSA暗号 (Rivest Shamir Adleman)は、桁数が大きい合成数の素因数分解が困難であることを安全性の根拠とした公開鍵暗号の一つです。数字の桁数がそのまま安全強度につながるため、実際のRSAでは合成数の元となる2つの数に300~1,000桁の非常に大きな素数が使用されます。
RSAという名称は、開発者であるRivest,Shamir,Adlemanの頭文字をとって名付けられました。
AES DH DSA RSA 正しい 。
問4.暗号化方式 データベースで管理されるデータの暗号化に用いることができ,かつ,暗号化と復号とで同じ鍵を使用する暗号化方式はどれか。
ア:AES
イ:PKI
ウ:RSA
エ:SHA-256
答え:ア AES 正しい 。AES (Advanced Encryption Standard)は、アメリカ合衆国の次世代暗号方式として規格化された共通鍵暗号方式です。PKI RSA SHA-256
問5.公開鍵暗号方式 公開鍵暗号方式を用いて,図のようにAさんからBさんへ,他人に秘密にしておきたい文章を送るとき,暗号化に用いる鍵Kとして,適切なものはどれか。
ア:Aさんの公開鍵
イ:Aさんの秘密鍵
ウ:Bさんの公開鍵
エ:共通の秘密鍵
答え:ウ 出題歴:
基本情報技術者 H24秋期 問38 基本情報技術者 H27春期 問40公開鍵暗号方式 は、暗号化して送信することは誰でもできるが、暗号化された内容を復号できるのは正規の受信者だけという特徴をもつ暗号方式です。
受信者はBさんなので、AさんはBさんの公開鍵で文章の内容を暗号化し、Bさんは自分の秘密鍵で復号を行う流れ。
問6.PKI PKIにおける認証局が,信頼できる第三者機関として果たす役割はどれか。
ア:利用者からの要求に対して正確な時刻を返答し,時刻合わせを可能にする。
イ:利用者から要求された電子メールの本文に対して,ディジタル署名を付与する。
ウ:利用者やサーバの公開鍵を証明するディジタル証明書を発行する。
エ:利用者やサーバの秘密鍵を証明するディジタル証明書を発行する。
答え:ウ 出題歴:
基本情報技術者 平成28年秋期 問39 認証局 (Certificaion Authority,CA)は、公開鍵暗号方式を用いたデータ通信において、利用者の
公開鍵 の正当性を保証するためのディジタル証明書を発行する機関です。
したがって「ウ」が正解です。
認証局はディジタル証明書を発行する以外にも、PKI(公開鍵基盤)における次の役割を担っています。
申請者の公開鍵にディジタル署名を付したディジタル証明書を発行する CRL(証明書失効リスト)を発行する CPS(認証局運用規定)を公開する ディジタル証明書を検証するための認証局の公開鍵を公開する 認証局の秘密鍵を厳重に管理する ア:NTP(Network Time Protocol)サーバの役割です。
イ:S/MIMEやOpenPGPの役割です。
エ:認証局が正当性を証明するのは利用者の公開鍵です。
問7.認証局(CA)の役割 公開鍵暗号方式を採用した電子商取引において,認証局(CA)の役割はどれか。
ア:取引当事者間で共有する秘密鍵を管理する。
イ:取引当事者の公開鍵に対するディジタル証明書を発行する。
ウ:取引当事者のディジタル署名を管理する。
エ:取引当事者のパスワードを管理する。
答え:イ 出題歴:
応用情報技術者 H21秋期 問39 基本情報技術者 平成28年春期 問39認証局 (Certificaion Authority:CA)は、公開鍵暗号方式を用いたデータ通信において、利用者(主にサーバ)の公開鍵の正当性を保証するためのディジタル証明書を発行する第三者機関です。したがって「イ」が正解です。
また認証局はディジタル証明書を発行する以外にも、PKI(公開鍵基盤)における次の役割を担っています。
CRL(証明書失効リスト)を発行する CPS(認証局運用規定)を公開する ディジタル証明書を検証するための認証局の公開鍵を公開する 認証局の秘密鍵を厳重に管理する
インターネット・セキュリティ
問7.TCPポート PCへの侵入に成功したマルウェアがインターネット上の指令サーバと通信を行う場合に,宛先ポートとしてTCPポート番号80が多く使用される理由はどれか。
ア:DNSのゾーン転送に使用されるので,通信がファイアウォールで許可されている可能性が高い。
イ:WebサイトのHTTPS通信での閲覧に使用されることから,侵入検知システムで検知される可能性が低い。
ウ:Webサイトの閲覧に使用されることから,通信がファイアウォールで許可されている可能性が高い。
エ:ドメイン名の名前解決に使用されるので,侵入検知システムで検知される可能性が低い。
答え:ウ 出題歴:基本情報技術者 H26春期 問44ア:DNSのゾーン転送で使われるポートは"53/TCP"です。
イ:HTTPS通信で使われるポートは"443/TCP"です。
エ:DNSの名前解決で使われるポートは"53/UDP"です。
問8.アクセス経路 企業ネットワークやサーバにおいて,侵入者が通常のアクセス経路以外で侵入するために組み込むものはどれか。
ア:シンクライアントエージェント
イ:ストリクトルーティング
ウ:バックドア
エ:フォレンジック
答え:ウ 出題歴:
基本情報技術者 H26春期 問43 バックドア とは、直訳すれば「裏口」若しくは「勝手口」を指し、防犯・犯罪学上等では「正規の手続きを踏まずに内部に入る事が可能な侵入口」の事です
シンクライアントエージェント ストリクトルーティング バックドア 正しい 。フォレンジック
問9.セキュリティプロトコルSSLの特徴はどれか。 ア:SSLはWebサーバだけで利用されるセキュリティ対策用のプロトコルで,ネットワーク層に位置するものである。
イ:SSLを利用するWebサーバでは,そのFQDNをディジタル証明書に組み込む。
ウ:個人認証用のディジタル証明書は,PCごとに固有のものを作成する必要がある。
エ:日本国内では,政府機関に限り128ビットの共通鍵長のディジタル証明書を取得申請できる。
答え:イ ア:SSLはトランスポート層に位置します。
イ:通信相手の真正性を確認するためにディジタル証明書にはFQDNまたはIPアドレスを含める必要があります。
ウ:PCごとに固有のものを作成する必要はありません。
エ:政府機関でなくとも128ビット長のディジタル証明書の取得申請ができます。またSSLで使用可能な鍵長は40bit~256bitとなっています。
問10.VPN インターネットVPNのセキュリティに関する記述のうち,適切なものはどれか。
ア:IPアドレスを悪用した不正アクセスや侵入の危険性はないので,IPアドレスも含めたパケット全体の暗号化は必要ない。
イ:インターネットVPNの仮想的なトンネルは特定LAN間の専用通路であるから,通過するデータに対する盗聴防止の機能はない。
ウ:仮想的なネットワークを形成するものであり,ネットワークに参加する資格のない第三者による盗聴や改ざんを防御できない。
エ:ネットワークに参加する資格のある個々人を識別する能力はない。
答え:エ 出題歴:
基本情報技術者 平成30年春期 午前問38インターネットVPN は、IPsec、TLS、PPTPなどのプロトコルを用いてインターネット上に仮想の専用通信路を構築する技術です。
ア:インターネット上に構築されるネットワークのため、不正アクセスや侵入の危険性があります。
イ:インターネットVPNで使用されるプロトコルには暗号化機能があります。パケットを暗号することで通信路上での盗聴を防止することができます。
ウ:暗号化やメッセージ認証コード(MAC:Message Authentication Code)によって盗聴や改ざんを防ぐことが可能になっています。
問11.公衆無線LANのアクセスポイント 公衆無線LANのアクセスポイントを設置するときのセキュリティ対策と効果の組みのうち,適切なものはどれか。
答え:エ 出題歴:
基本情報技術者 平成30年秋期 問44ア:MACアドレスフィルタリングは、無線LANのアクセスポイントに正当な機器のMACアドレスを登録しておくことで、正当な機器以外からのアクセスを拒否する機能です。しかし、MACアドレスが偽装された場合には接続を拒否できません。
イ:SSIDを秘匿にするためにはアクセスポイントにSSIDステルスの設定を行います。これにより、アクセスポイントから発せられるビーコンにSSIDの情報が含まれなくなるため、第三者にアクセスポイントのSSIDを知られてしまう危険性を小さくできます。
ウ:不正アクセスポイントの設置は、SSIDや暗号化キーを類推できないものにすることがある程度の対策になります。本肢では、公開情報であるドメイン名をSSIDとして設定するとしているため不適切です。
エ:正しい。本肢は無線LANのプライバシセパレータ機能とその効果についての組みです。
問12.HTTPS HTTPS(HTTP over SSL/TLS)の機能を用いて実現できるものはどれか。
ア:SQLインジェクションによるWebサーバへの攻撃を防ぐ。
イ:TCPポート80番と443番以外の通信を遮断する。
ウ:Webサーバとブラウザの間の通信を暗号化する。
エ:Webサーバへの不正なアクセスをネットワーク層でのパケットフィルタリングによって制限する。
答え:ウ 出題歴:
基本情報 平成26年秋期 午前問43HTTPS は、WebサーバとWebブラウザがデータを安全に送受信するために、SSL/TLSプロトコルによって生成されるセキュアな接続上でデータのやり取り(HTTP通信)を行う方式です
ア:SQLインジェクションによるWebサーバへの攻撃を防ぐ。⇒WAF(Web Application Firewall)の機能です。
イ:TCPポート80番と443番以外の通信を遮断する。⇒ファイアウォールの機能です。
ウ:Webサーバとブラウザの間の通信を暗号化する。⇒正しい 。HTTPSの機能です。
エ:Webサーバへの不正なアクセスをネットワーク層でのパケットフィルタリングによって制限する。⇒ファイアウォールの機能です。
問13.ファイアウォールとTCPパケット 社内ネットワークとインターネットの接続点に,ステートフルインスペクション機能をもたない,静的なパケットフィルタリング型のファイアウォールを設置している。このネットワーク構成において,社内のPCからインターネット上のSMTPサーバに電子メールを送信できるようにするとき,ファイアウォールで通過を許可するTCPパケットのポート番号の組合せはどれか。ここで,SMTP通信には,デフォルトのポート番号を使うものとする。
答え:ウ 出題歴:
基本情報技術者 H21秋期 問44 基本情報技術者 H25秋期 問45 基本情報技術者 H29春期 問42 ソフトウェア開発技術者 H19秋期 問73SMTP (Simple Mail Transfer Protocol)は、電子メールを転送するプロトコルで通信にTCP/25 ポートを使用します。
電子メールを送信するのに必要となる通信は、
PCからSMTPサーバへの発信パケット SMTPサーバからPCへの応答パケット の2つです。PC(クライアント)は"well-knownポート"ではない1024番以降のポートを通信に使用するので、
PC(1024以上)→SMTPサーバ(25) SMTPサーバ(25)→PC(1024以上) という2種類のパケットだけを通過許可すればSMTP通信を行うことができます。したがって「ウ」の設定が適切となります。
問14.WAF WAFの説明はどれか。
ア:Webサイトに対するアクセス内容を監視し,攻撃とみなされるパターンを検知したときに当該アクセスを遮断する。
イ:Wi-Fiアライアンスが認定した無線LANの暗号化方式の規格であり,AES暗号に対応している。
ウ:様々なシステムの動作ログを一元的に蓄積,管理し,セキュリティ上の脅威となる事象をいち早く検知,分析する。
エ:ファイアウォール機能を有し,ウイルス対策,侵入検知などを連携させ,複数のセキュリティ機能を統合的に管理する。
答え:ア 出題歴:
基本情報 平成28年秋期 問42 WAF (Web Application Firewall)は、通過するパケットのIPアドレスやポート番号だけでなくペイロード部(データ部分)をチェックすることで、Webアプリケーションに対する攻撃を検知し、遮断することが可能なファイアウォールです。
ア:正しい 。WAFの説明です。
イ:WPA2(Wi-Fi Protected Access 2)の説明です。
ウ:SIEM(Security Information and Event Management)の説明です。
エ:UTM(Unified Threat Management)の説明です。
問15.HTTPS HTTPSを用いて実現できるものはどれか。
ア:Webサーバ上のファイルの改ざん検知
イ:クライアント上のウイルス検査
ウ:クライアントに対する侵入検知
エ:電子証明書によるサーバ認証
答え:エ 出題歴:
ソフトウェア開発技術者 H19春期 問76 基本情報 平成25年春期 問44HTTPS (HTTP over TLS)は、WebサーバとWebブラウザがデータを安全に送受信するために、TLSプロトコルによって生成されるセキュアな通信経路上でデータのやり取り(HTTP通信)を行う方式です。HTTPプロトコルは、平文のままで情報をやり取りするため、個人情報の送信や電子決済などセキュリティが重要となる通信に使うことには危険が伴います。TLSから提供される通信の暗号化、ディジタル証明書を用いたノードの認証、改ざん検出などの機能を使用することで、HTTPS通信を「なりすまし」や「盗聴」による攻撃から通信を保護できるようになっています。
その他 問16.IDS IDSの機能はどれか。
ア:PCにインストールされているソフトウェア製品が最新のバージョンであるかどうかを確認する。
イ:検査対象の製品にテストデータを送り,製品の応答や挙動から脆(ぜい)弱性を検出する。
ウ:サーバやネットワークを監視し,侵入や侵害を検知した場合に管理者へ通知する。
エ:情報システムの運用管理状況などの情報セキュリティ対策状況と企業情報を入力し,組織の情報セキュリティへの取組み状況を自己診断する。
答え:ウ 出題歴:
情報セキュマネ H28春期 問12 基本情報 平成30年秋期 問42IDS (Intrusion Detection System,侵入検知システム)は、ネットワークやホストをリアルタイムで監視し、異常を検知した場合に管理者に通知するなどの処置を行うシステムです。異常を通知することを目的としたシステムのため通信の遮断などの防御機能を持たないことがほとんどです。
ア:バージョンチェックツールの説明です。PCにインストールされている12のベンダ製品についてバージョンチェックを行うことのできる「MyJVN バージョンチェッカ」がIPAで配布されています。
イ:ファジングの説明です。ファジングとは、検査対象のソフトウェア製品に「ファズ(英名:fuzz)」と呼ばれる問題を引き起こしそうなデータを大量に送り込み、その応答や挙動を監視することで脆弱性を検出する検査手法です。
エ:情報セキュリティ対策ベンチマークの説明です。
問17.SPF SPF(Sender Policy Framework)の仕組みはどれか。
ア:電子メールを受信するサーバが,電子メールに付与されているディジタル署名を使って,送信元ドメインの詐称がないことを確認する。
イ:電子メールを受信するサーバが,電子メールの送信元のドメイン情報と,電子メールを送信したサーバのIPアドレスから,ドメインの詐称がないことを確認する。
ウ:電子メールを送信するサーバが,送信する電子メールの送信者の上司からの承認が得られるまで,一時的に電子メールの送信を保留する。
エ:電子メールを送信するサーバが,電子メールの宛先のドメインや送信者のメールアドレスを問わず,全ての電子メールをアーカイブする。
答え:イ 出題歴:
基本情報技術者 H30秋期 問40 情報セキュマネ H29春期 問3SPF (Sender Policy Framework)は、SMTP接続してきたメールサーバのIPアドレスをもとに、正規のサーバから送られた電子メールかどうかを検証する技術です。受信メールサーバ側にて電子メールの送信元ドメインが詐称されていないかを検査できます。
SPFでは以下の手順で送信元IPアドレスの検証を行います。
送信側は、送信側ドメインのDNSサーバのSPFレコード(又はTXTレコード)に正当なメールサーバのIPアドレスやホスト名を登録し、公開しておく。 送信側から受信側へ、SMTPメールが送信される。 受信側メールサーバは、受信側ドメインのDNSサーバを通じて、MAIL FROMコマンドに記載された送信者メールアドレスのドメインを管理するDNSサーバに問い合わせ、SPF情報を取得する。 SPF情報との照合でSMTP接続してきたメールサーバのIPアドレスの確認に成功すれば、正当なドメインから送信されたと判断する。 ア:電子メールを受信するサーバが,電子メールに付与されているディジタル署名を使って,送信元ドメインの詐称がないことを確認する。
⇒SPFではディジタル署名を使用しません。記述はDKIM(DomainKeys Identified Mail)の仕組みです。
イ:電子メールを受信するサーバが,電子メールの送信元のドメイン情報と,電子メールを送信したサーバのIPアドレスから,ドメインの詐称がないことを確認する。
⇒SPFの仕組みです。
ウ:電子メールを送信するサーバが,送信する電子メールの送信者の上司からの承認が得られるまで,一時的に電子メールの送信を保留する。
⇒メールの誤送信を防止するのための仕組みです。
エ:電子メールを送信するサーバが,電子メールの宛先のドメインや送信者のメールアドレスを問わず,全ての電子メールをアーカイブする。
⇒メールアーカイブシステムの仕組みです。
問18.SaaS SaaS(Software as a Service)を利用するときの企業のセキュリティ管理についての記述のうち,適切なものはどれか。
ア:システム運用を行わずに済み,障害時の業務手順やバックアップについての検討が不要である。
イ:システムのアクセス管理を行わずに済み,パスワードの初期化の手続や複雑性の要件を満たすパスワードポリシの検討が不要である。
ウ:システムの構築を行わずに済み,アプリケーションソフトウェア開発に必要なセキュリティ要件の定義やシステムログの保存容量の設計が不要である。
エ:システムのセキュリティ管理を行わずに済み,情報セキュリティ管理規定の策定や管理担当者の設置が不要である。
答え:ウ 出題歴:
基本情報 平成28年春期 問41SaaS (Software as a Service)は、クラウドサービスの一形態で、利用者が必要とするITの機能をインターネットを経由したサービスという形で提供する仕組みです。企業や個人が個別にコンピュータやアプリケーションを所有して利用するのに比べて、ITに関する開発や調達や運用・保守の負担が軽減され、コスト削減にもなる技術、サービスとして注目されています。
ア:システム運用を行わずに済み,障害時の業務手順やバックアップについての検討が不要である。
⇒サービス障害時に備えて利用者側で重要データのバックアップをとっておく必要があります。
イ:システムのアクセス管理を行わずに済み,パスワードの初期化の手続や複雑性の要件を満たすパスワードポリシの検討が不要である。
⇒利用するサービスと利用者ごとに適切なアクセス権限の付与を行い、パスワード設定のルールなども整備する必要があります。またパスワードを忘れるとサービスの利用ができなくなってしまうため、パスワード初期化方法を用意する措置も必要になってきます。
ウ:システムの構築を行わずに済み,アプリケーションソフトウェア開発に必要なセキュリティ要件の定義やシステムログの保存容量の設計が不要である。
⇒正しい。
エ:システムのセキュリティ管理を行わずに済み,情報セキュリティ管理規定の策定や管理担当者の設置が不要である。
⇒クラウドサービスの特性を理解した利用管理担当者を最低1人は確保する必要があります。
問19.脆弱性関連 コンピュータやネットワークのセキュリティ上の脆弱性を発見するために,システムを実際に攻撃して侵入を試みる手法はどれか。
ア:ウォークスルー
イ:ソフトウェアインスペクション
ウ:ペネトレーションテスト
エ:リグレッションテスト
答え:ウ 出題歴:
基本情報技術者 H24秋期 問44 基本情報技術者 H27春期 問46ペネトレーションテスト (侵入テスト)は、ネットワークに接続されている情報システムに対して、様々な方法を用いて実際に侵入を試みることで脆弱性の有無を検査するテストです。
ア:ウォークスルー
⇒ウォークスルーは、開発者が主体となりエラーの早期発見を目的としてプログラムのステップごとにシミュレーションを行いながら確認をしていくレビュー手法です。
イ:ソフトウェアインスペクション
⇒ソフトウェアインスペクションは、ソフトウェアを実際に動かすことなく、仕様書やプログラムを人間の目で見て検証するレビュー手法です。
ウ:ペネトレーションテスト
⇒正解
エ:リグレッションテスト
⇒リグレッションテストは、退行テスト/回帰テストとも呼ばれ、システムに変更作業を実施した場合に、それによって以前まで正常に機能していた部分に不具合や影響が出ていないかを検証するテストです。
問20.生体認証システム 生体認証システムを導入するときに考慮すべき点として,最も適切なものはどれか。
ア:本人のディジタル証明書を,信頼できる第三者機関に発行してもらう。
イ:本人を誤って拒否する確率と他人を誤って許可する確率の双方を勘案して装置を調整する。
ウ:マルウェア定義ファイルの更新が頻繁な製品を利用することによって,本人を誤って拒否する確率の低下を防ぐ。
エ:容易に推測できないような知識量と本人が覚えられる知識量とのバランスが,認証に必要な知識量の設定として重要となる。
答え:イ 出題歴:
基本情報技術者 H21春期 問43 基本情報技術者 H26春期 問45 基本情報技術者 H30年春期 問45生体認証システム は、指紋・声紋・虹彩など身体の中で各人に固有な部位や、筆跡などの行動パターンをあらかじめシステムに登録しておき、認証時に照合することで本人を認証するシステムです。
