Comments
Description
Transcript
Ⅵ.セキュリティと標準化 1.セキュリティに関する問題
Ⅵ.セキュリティと標準化 1.セキュリティに関する問題 1.1 セキュリティに関すること 暗号化、認証、アクセス管理、セキュリティ管理、安全対策、コンピュータウイルス、 プライバシ保護など 1.2 リスクの管理に関すること リスクの分析・対策・種類、内部統制など 1.3 ガイドラインに関すること 情報システム安全対策基準、ソフトウェア管理ガイドライン、コンピュータウイルス対 策基準など 改訂履歴 H15.5.1 初版 問1 システムの信頼性、保全性、機密性に関する用語"RASIS"において、3 文字目のSは何を表すか。 RASIS Security Integrity [ ] Availability Reliability 問2 ア Safety ウ Sensitivity オ Simplicity イ Selectivity エ Serviceability 既知のコンピュータウイルスに対し、ウイルスの感染発見や駆除などに利用されるものはどれか。 ア 隠しファイル イ スクリーンセーバ ウ トロイの木馬 エ ミケランジェロ オ ワクチン 問3 転置式暗号の簡単な例“平文を 4 文字ずつのブロックに分け、それぞれのブロック内の文字の位置を、1 を 2 に、2 を 4 に、3 を 1 に、4 を 3 に転置する”を考える。平文“MICROPROGRAM”の暗号文として、正しいものは どれか。 ア CMRIORPOGARM イ CMRIROOPAGMR ウ GRAMMICROPRO エ RCIMORPOMARG オ RCIMRPOOARMG 問4 コンピュータシステムに対する利用者の使用資格正当性チェックや利用状況の把握などを行う目的で、利用 者に付与される情報を表す用語として、最も適切なものはどれか。 ア IP アドレス イ アクセス権 ウ クライアント エ パスワード オ ユーザ ID 問5 システムの不正使用を防止するため、いろいろな利用者確認方法が考えられている。 公衆回線網を用いた特定多数の利用者を対象とするシステムにおいて、一度接続を切った後、呼ばれた側が 呼び直すことによって確認をとる手段はどれか。 ア IDカード イ コールバック ウ ディジタル署名 エ 発信者番号通知 オ パスワード 問6 パスワードの使用や管理に関する記述のうち、適切でないものはどれか。 ア 一定の回数問違ったパスワードが入力されたら、ユーザ ID を無効にする。 イ パスワードは暗号化した上で、ファイルに記録する。 ウ パスワードは覚えやすく、他人に推定されにくいものを使用する。 エ パスワードは定期的にユーザに変更させる。 オ パスワードは入力時に確認のため、端末に表示する。 問7 平文を 4 文字ずつのブロックに分け、それぞれのブロック内の文字の位置を、1 番目を 3 番目に、2 番目を 1 番目に、3 番目を 4 番目に、4 番目を 2 番目に置き換える転置式暗号がある。このとき、平文 "DEERDIDDREAMDEEP" の暗号文として、正しいものはどれか。 ア DIDDDEEPDEERREAM イ EDREDDDIARMEEDPE ウ ERDEIDDDEMRAEPDE エ IDDDEPDEERDEEMRA オ REEDDDIDMAERPEED 問8 公衆回線を利用しているコンピュータシステムで,セキュリティの面から適切でない運用方法はどれか。 ア あらかじめ定めた期間内にパスワードを変更しないと,そのパスワードでは接続できなくする。 イ 接続要求があった場合,特定の電話番号にコールバックして接続する。 ウ パスワードはユーザが忘れないよう、ログイン時に端末に表示する。 エ パスワードをあらかじめ定めた回数間違えて入力した場合,回線を切断する。 問9 シーザ暗号はアルファベットを N 文字分ずらす暗号方式である。例えば,abcd を N=2 で暗号化すると cdef となる。シーザ暗号で暗号化された結果得られた文 gewl を復号したところ cash であることが分かった。N の値 で正しいものはどれか。 ア 2 イ 3 ウ 4 エ 5 問10 コンピュータウイルスに関する記述のうち,誤っているものはどれか。 ア ウイルスには,画面に勝手なメッセージを出力する,パソコンの処理速度を低下させる,システム内のフ ァイルを破壊するなど,色々なタイプが存在する。 ウィルスの侵入に備え,重要なファイルについては日頃からバックアップを頻繁に行うべきである。 ウィルスは感染,潜伏,発病の段階を経るが,ワクチンプログラムを有効に利用できるのは発病段階であ る。 エ ネットワークを介して入手した第三者のプログラムは,ワクチンプログラムでウィルスのないことを確認 してから動作させるべきである。 イ ウ 問11 ア イ ウ エ 問12 ア イ ウ エ ユーザ ID の管理について,最も適切なものはどれか。 同じプロジェクトに参加している利用者は,みな同じユーザ ID を用いる。 複数のユーザ ID をもつ利用者は,すべての ID に対して同じパスワードを設定する。 ユーザ ID に権限を設定する場合は,必要最小限なものにする。 ユーザ ID の抹消は,廃止の届出後,十分な期間をおいてから行う。 コンピュータウイルスの予防,発見,駆除などに関する対策として,最も効果が期待できないものはどれ か。 出所不明のソフトウェアは使用しない。 フロッピーディスクを再利用するときは,初期化を行ってから利用する。 フロッピーディスクを複数の人と共有しない。 プログラムの実行に先立って,メモリの内容をクリアする。 問13 パスワード及びパスワードファイルのシステム管理部門における取扱いとして, 不適切なものはどれか。 ア パスワードが容易に推測できるかどうかのチェックを定期的に行い,問題のあるパスワードの変更を促す。 イ パスワードの照会を減らすために,利用者がパスワードを手帳などに記録しておくことを奨励する。 ウ パスワードの有効期限を設定できる場合は,その機能を利用する。 エ パスワードを暗号化して記録しているパスワードファイルであっても,一般の利用者が参照できないよう にする。 問14 公開鍵(かぎ)暗号方式を用いて,図のように M さんから N さんに他人に秘密にしておきたい文章を送ると き,暗号化と復号に用いる鍵として,適切な組合せはどれか。 Mさん 来月転居する予定です 鍵Aによって暗号化 nd359fxj47ac・ ・・ ネットワーク Nさん ア イ ウ エ 来月転居する予定です 鍵A M さんの秘密鍵 N さんの公開鍵 共通の公開鍵 共通の秘密鍵 鍵Bによって複合 nd359fxj47ac・ ・・ 鍵B M さんの公開鍵 N さんの秘密鍵 N さんの秘密鍵 共通の公開鍵 問15 回線交換サービスを用いた特定多数の利用者を対象とするシステムにおいて,利用者の呼び出しに対し, サーバ受信者側でいったん接続を切った後,あらかじめ登録されている呼出番号で利用者を呼び直すことに よって,正当な利用者であるかどうかを確認する方法はどれか。 ア アクセスパス イ コールバック ウ 発信者番号通知 エ ループバック 問16 プログラムの一部をひそかに入れ替えて,本来の仕様どおりに機能させながら,データの不正コピー,悪 用,改ざんなどの不正を意図的に実行させる方法はどれか。 ア サラミ法 イ スーパザップ法 ウ タッピング エ トロイの木馬 問17 最近,増加しているマクロウイルスに関する記述として,正しいものはどれか。 ア 感染したアプリケーションを実行すると,マクロウイルスは主記憶にロードされ, その間に実行したほか のアプリケーションのプログラムファイルに感染する。 イ 感染したフロッピーディスクからシステムを起動するとマクロウイルスは主記憶に ロードされ,ほかのフ ウ エ 問18 ロッピーディスクのブートセクタに感染する。 感染した文書ファイルを開いた後に,別に開いたり新規作成した文書ファイルに感染する。 マクロがウイルスに感染しているかどうかが容易に判断できるので,文書ファイルを 開く時点で感染を防 止することができる。 図は,公開かぎ暗号方式による電子署名の構成を示している。a,b に該当する適切な組合せはどれか。 送り手 受け手 署名文作成 平文 ア イ ウ エ 署名文検査 署名文 署名文 a 生成鍵 平文 a 受け手の公開かぎ 送り手の公開かぎ 送り手の秘密かぎ 送り手の秘密かぎ b 受け手の秘密かぎ 送り手の秘密かぎ 受け手の公開かぎ 送り手の公開かぎ b 検査鍵 問19 マクロウイルスに関する記述のうち,適切なものはどれか。 ア OS の種類にかかわりなく感染する可能性をもつが,日本語環境で動作しているアプリケーションには感染 しない。 イ インターネット経由で感染するので,インターネットに接続していないパソコンが感染することはない。 ウ 電子メールに添付される文書ファイルが感染経路となることはない。 エ プログラムファイルではなくデータファイル経由で感染するので,感染の広がる速度が速い。 問20 問21 コンピュータシステムに対する利用者の利用資格の正当性チェックと利用状況の把握を行う目的で,利用 者に付与される情報を表す用語として,適切なものはどれか。 ア IP アドレス イ アクセス権 ウ パスワード エ ユーザ ID 図は公開かぎ暗号方式の概念図である。a,b に入れるべき正しい組合せはどれか。 送信側 平文 暗号化 受信側 暗号文 暗号文 a 問23 ア イ ウ エ 平文 b ア イ ウ エ 問22 復号 a 受信側の公開かぎ 受信側の秘密かぎ 送信側の公開かぎ 送信側の秘密かぎ b 受信側の秘密かぎ 受信側の公開かぎ 受信側の秘密かぎ 受信側の公開かぎ ユーティリティプログラムの不正な実行によるデータの改ざんや破壊を防止する上で,効果的な管理手段 として,最も適切なものはどれか。 ア システムログの採取 イ ソースプログラムと実行プログラムの比較 ウ データのバックアップ エ ファイルへのアクセス権限の設定 データの破壊やシステムの可用性が損なわれることで発生する損失に含まれる費用はどれか。 業務形態の変更によるシステム再開発費用とデータベースの移行費用 システム開発の実行可能性の検討にかかる費用 システムが復旧するまでの間,代替の手段にかかる費用 新システムへの移行費用 問24 コンピュータウイルス対策に関する記述のうち,適切なものはどれか。 ア ウイルスに感染したディスクは論理フォーマッティングを行い,感染ファイルごとにウイルスを消去すべ きである。 書換え可能媒体からソフトウェアをインストールするときには,書込み禁止処置をせずにインストールす べきである。 ウ ソフトウェアをインストールするときには,コンピュータ自体がウイルスに感染していないことを確認し てからインストールすべきである。 エ マルチユーザシステムでもウイルス対策は個人の問題なので,責任者を置かなくてもよい。 イ 問25 入力パスワードと登録パスワードを比較しユーザを認証する方法において,パスワードファイルへの不正 アクセスによる登録パスワードの盗用防止策はどれか。 ア パスワードに対応するユーザ ID のハッシュ値を登録しておき,認証時に入力されたユーザ ID をハッ シュ関数で変換し,登録パスワードと入力パスワードを比較する。 イ パスワードをそのまま登録しておき,認証時に入力されたパスワードと登録内容をともにハッシュ関 数で変換して比較する。 ウ パスワードをそのまま登録しておき,認証時に入力されたパスワードと比較する。 エ パスワードをハッシュ値に変換して登録しておき,認証時に入力されたパスワードをハッシュ関数で 変換して比較する。 問26 パスワードに使用する文字の種類を M,パスワードのけた数を n とするとき,設定できるパスワードの個数 P を求める数式はどれか。 ア. P = M 問27 ア イ ウ エ n イ. P = M! M! 1 }× ウ. P = { [ M − n]! [ M − n]! n! [ M + n − 1]! 1 }× [ M − 1]! n! エ. P = { 顧客コードにチェックディジット(検査数字)を付加する目的として,適切なものはどれか。 顧客コードの入力誤りを発見する。 顧客名簿を作るときに,獲得した順に顧客を配列する。 顧客を地区別などのグループに分類できるようにする。 特定の顧客を類推できるようにする。 問28 磁気テープに保存されたデータの廃棄に関して,適切なものはどれか。 ア 管理台帳上の保管期間が経過したデータがあったので,直ちに廃棄し,後で所定の手続をした。 イ 重要なデータの廃棄を外部業者に依頼したところ,以前に依頼したことのある業者だったので,廃棄方法 などの確認はしなかった。 ウ 障害が発生して使用不能となったデータも,面倒だったが所定の手続に従って廃棄した。 エ 廃棄後は管理台帳から抹消して,機密保持のために当該データに関する記録が残らないようにした。 問29 暗号化方式の名称に関する記述のうち,共通かぎ方式に分類されるものはどれか。 ア DES イ RSA ウ エルガマル暗号 エ だ円曲線暗号 問30 インターネット利用時のセキュリティ確保に関する記述のうち,適切なものはどれか。 ア インターネットを経由してデータベースサーバを利用する場合,データベースへの不正アクセスやデータ の改ざんを防止する対策も必要となる。 イ インターネットを利用して電子メールを送る場合,暗号化を行えば,電子メールの到達確認ができる。 ウ インターネットを利用するには,利用者認証システムに登録する必要がある。 エ 社内電子メールシステムをインターネットで社外と接続しても,ファイアウォールを導入すれば,社内か らの重要情報の流出は自動的に防止できる。 問31 ア イ ウ エ ユーザ ID に関する記述のうち,適切なものはどれか。 同じプロジェクトに参加している利用者は,みな同じユーザ ID を用いる。 複数のユーザ ID をもつ利用者は,すべての ID に対して同じパスワードを設定する。 ユーザ ID に権限を設定する場合は,必要最小限のものにする。 ユーザ ID の登録抹消は,廃止の届出後,十分な期間をおいてから行う。