情報処理安全確保支援士に一発合格しました!勉強方法、おすすめテキスト・問題集 過去問対策のまとめ 情報セキュリティ
情報処理安全確保支援士に一発合格しました!
受験を目指される方のために、勉強方法、おすすめテキスト・問題集 過去問対策のまとめたいと思います。
※「情報処理安全確保支援士」(旧名:情報セキュリティスペシャリスト 別名:登録セキスペ)
【今回合格率】
18.5%(例年16~17%なので若干高め)
【合格率の推移】
開催年度 |
受験者数 | 合格者数 | 合格率 |
30年秋期 | 15,257人 | 2,818人 | 18.50% |
30年春期 | 15,379人 | 2,596人 | 16.90% |
29年秋期 | 16,218人 | 2,767人 | 17.10% |
29年春期 | 17,266人 | 2,822人 | 16.30% |
28年秋期 | 22,171人 | 3,004人 | 13.50% |
28年春期 | 18,143人 | 2,988人 | 16.50% |
27年秋期 | 18,930人 | 3,141人 | 16.60% |
27年春期 | 18,052人 | 2,623人 | 14.50% |
26年秋期 | 18,460人 | 2,528人 | 13.70% |
26年春期 | 17,644人 | 2,543人 | 14.40% |
25年秋期 | 17,892人 | 2,657人 | 14.90% |
25年春期 | 19,013人 | 2,490人 | 13.10% |
24年秋期 | 19,381人 | 2,700人 | 13.90% |
24年春期 | 19,711人 | 2,707人 | 13.70% |
23年秋期 | 17,753人 | 2,398人 | 13.50% |
23年特別 | 19,445人 | 2,712人 | 13.90% |
22年秋期 | 19,391人 | 2,759人 | 14.20% |
22年春期 | 19,951人 | 3,045人 | 15.30% |
21年秋期 | 17,980人 | 3,326人 | 18.50% |
21年春期 | 16,094人 | 2,580人 | 16.00% |
【概要】
【受験対象者像・役割と業務】(IPAホームページ抜粋)
サイバーセキュリティに関する専門的な知識・技能を活用して企業や組織における安全な情報システムの企画・設計・開発・運用を支援し,また,サイバーセキュリティ対策の調査・分析・評価を行い,その結果に基づき必要な指導・助言を行う者
(1) | 情報システムの脅威・脆弱性を分析、評価し、これらを適切に回避、防止するセキュリティ機能の企画・要件定義・開発を推進又は支援する。 |
(2) | 情報システム又はセキュリティ機能の開発プロジェクトにおいて、情報システムへの脅威を分析し、プロジェクト管理を適切に支援する。 |
(3) | セキュリティ侵犯への対処やセキュリティパッチの適用作業など情報システム運用プロセスにおけるセキュリティ管理作業を技術的な側面から支援する。 |
(4) | 情報セキュリティポリシの作成、利用者教育などに関して、情報セキュリティ管理部門を支援する。 |
【受験日】
2018/10/21(日)
【学習期間】
5ヵ月
※2018/5月~10月半ば
※約250時間(ベースの知識が乏しく、覚えることが非常に多く、過去の試験の中で一番勉強した感があります)
【受験前の保有資格】
プロジェクトマネージャ、システムアーキテクト、ソフトウェア開発技術者(現:応用情報技術者)
【受験動機と事前知識】
業務に特化したアプリケーション設計ばかりしていて、ミドルウェア、ネットワーク系の実務経験がかなり乏しいため、業務の幅を広げるためです。
また、4月に受験したデータベーススペシャリストが
午前2 92点 午後1 80点と 上位5%でしたが、午後2が51点(体力が持たず試験中気を失いそうになる)と悔しい思いをしました。
DBは年1回のため、試験感覚を落とさない為、スペシャリスト系で直近で受けられる「情報処理安全確保支援士」を選択しました。
【論文系とスペシャリスト系】
高度系試験は試験時間は 午前1:50分 午前2:40分 午後1:90分(2問) 午後2:120分(1問)と時間は共通ですが
論文系とスペシャリスト系で午後2が大きく違います。
・プロジェクトマネージャ試験、システムアーキテクト試験など(論文系)
→午後2が論文 約2500字~3000字を2時間なので 常に手を動かしてないと間に合わないレベル
初めの15分程度で骨子作成(書くことを決める)をしっかりすれば、あとはあまり考えずに手にお任せ状態
・その他スペシャリスト系(データベース、安全確保等)
10ページ以上の長文を読みながら問題を解き進めるので、常に集中力を保たないと前の文書の内容を忘れてしまう。
集中力(体力)が切れた時点でOUT
今回はDB試験の反省点をいかして、午後2に入る前にオロナミンC、水500ML、きのこの山大量摂取しました。
【解いた過去問】
午後1 平成17年~平成30年の春、秋試験 セキュアプログラミング以外 手に入る問題全て×2周
午後2 平成21年~平成30年の春、秋試験 全部×1周
午後1の選択問題でJAVAかC言語のプログラミング言語の問題(セキュアプログラミング)もありますが
専門性が高い(設計ばかりでプログラム経験はほとんどない)為、勉強対象から外しました。
10年前基本情報はJAVAで取りましたが、もう覚えてないです。
HTMLとJavascriptの基礎は身につけておいた方がいいです(避けては通れません)。
【動画講座】
【使ったテキスト】
☆セキュリティ技術の教科書 (専門分野シリーズ) ★超おすすめ
セキュリティ技術の教科書 (専門分野シリーズ)
4,536円
|
→値段は4536円と高いですが要点がまとまってて非常にわかりやすい
図を駆使していて流れがわかりやすい
昨年発売された本でまだマイナーですが、これのお陰で合格できたと思います。
500ページ 10 回以上は読みました。(読みすぎて最後は1時間で500ページの要点を確認できるレベル)
情報処理教科書 情報処理安全確保支援士
情報処理教科書 情報処理安全確保支援士 2019年版
3,110円
|
→定番書 700ページ 試験に出ない知識も多いイメージ 2回流し読み
ポケットスタディ 情報処理安全確保支援士
→持ち運びに便利だが読みずらい 結局半分読んだ程度で挫折
TCP/IP 最強の指南書(日経ネットワークのムック本)
→ネットワークスペシャリスト向けですが、要点の基礎だけをざっくり読み
IPAホームページのセキュリティ関連の記事やPDF
https://www.ipa.go.jp/security/index.html
→実はここからよく出題されます。ただ、膨大な資料があります。
最新のウィルス情報の詳しい攻撃手法はチェックしておく必要があります。(直近ではランサムウェアの具体的な対策方法などが取り上げられています)
【学習方法】
通勤電車(座れる区間)の40分で午後1問題を1問解くことをノルマとしてました。
→印刷した問題、Amazonキンドル(答えの解説)、スマホ(用語チェック) 両手にやってました
その他の区間は座れないので、午前2対策としてスマホアプリで応用情報と高度区分の午前の過去問の答えだけ暗記。
応用情報の午前問題からもかなりの割合で出題されているので、応用情報午前の復習は必須です。
午後2は1問解くのに1時間以上は集中しないといけないので、土曜日に1問ずつ家で解いた感じです。
あとは、休みの日に家でテキストベースにインプット
用語の暗記(理解)だけではなく、とにかく流れを理解するのが大変です
例えば「SPF」の仕組みと言われたら以下のような内容を即イメージできるレベルが必要です。
※よく「このメールはなりすましの可能性があります」って警告がでるのに使われる技術
例)メールのドメイン認証のSPFの仕組み
送信されたメールになりすましがないかを確認するため
メールのエンベロープ部に記載された送信元IPアドレスとドメインを確認
↓
当該ドメインのDNSサーバのゾーン情報を取得する
※DNSサーバのゾーン情報のTXT(SPF)レコードにドメインに紐づくIPアドレスを定義しておく
example.jp. IN TXT "v=spf1 +ip4:192.168.100.0/24 -all"
→192.168.100.0以外からexample.jpドメインのメールが送信されることはないという意味
↓
取得したTXT(SPF)レコードのIPアドレスとメールのエンベロープ部に記載されているIPアドレスが一致すればOK 不一致ならNGとする。
基本情報や応用情報ならSPF=送信元IPアドレスがDNSに定義されているものと一致するくらいの理解でいいのですが、
高度試験になるとこのレベルが求められます
この試験受けた後に今年の応用情報のセキュリティ分野を確認すると(問題が素直なので)スラスラ解けます
この区分の場合は、午後1対策をきちんと理解すれば、ある程度午前2が解けるようになります。
また、午後2も午後1の問題が複雑になって、文章量が2倍になった感じです。
【習得しなければならない知識】
以下のような内容が複雑に絡み合ったものが物語(セキュリティインシデント)形式で出題されます。
・暗号技術 共通鍵暗号方式 公開鍵暗号方式の詳細な仕組み
・ネットワーク全般の基礎(サーバ構成)
・ハッシュ関数
・ディジタル署名
・認証方式
・通信制御技術(ファイアーウォール、プロキシ、IDS,IPS、WAF・・・)
・WEB技術(HTTP、Cookieの仕組み)HTTPSの具体的な仕組み(ハイブリッド暗号方式)を具体的に理解しておく必要があります。
・システムセキュリティ
・セキュリティマネジメント(ISMS、インシデント対応など)→ISMSは覚えることが多いので超さらっと
・セキュアプロトコル(TLS、SSH、IPsec、IEEE802.1X、無線LAN、SAML VPN全般 など)
・TCP/IP
・電子メールセキュリティ(SPF、DKIM、攻撃手法など)
メールのオープンリレー時に付与されるメール送信のエンベロープの内容を確実に把握しておく必要があります。
・攻撃手法の詳細(仕組み)
セッションハイジャック、SQLインジェクション、XSS、CSRF、クリックジャッキング、〇〇インジェクション
・マルウェア(コンピュータウィルス全般)
覚えることがめちゃめちゃ多いですが、単語覚えただけでは午後試験は対応できず
いろんな技術要素を体系的に組み合わせて長文問題を読解する力が求められる感じです。
【受験しての感想】(平成30年秋)
午後1は技術的な要素が多くネットワーク分野の内容が多かったです。
午後2問1は技術的な要素が少なく、4割はクラウド移行に関する国語力の問題でした。
日本語が非常に難しく始め40分悩んだ挙句、問2に方向転換。しかし、30分あせって解いて頭に入ってこなくて、また、問1に戻るという状態でした。
残りの6割が割と素直な問題だったので、その部分を落とさずに回答できたので合格できた感じです。
直近で成果を感じたのは、現場のPM(高度区分ほぼ制覇)がサーバ証明書申請してた時のメールに
AES、SHA256、EV証明書、オレオレ証明書、CSRなどの言葉を使ってましたが全て理解できました。
時間があれば、サーバー構築して対応するミドルウェアでトレースするのが一番いいのですが、そこまで時間がとれず。
今のところは座学での基礎知識だけ身につけた感じなので、今後実務に活かせるように継続していきたいです。
【午前2対策】
午前2に関してはセキュリティ用語をできるだけ多く暗記する必要があるため過去問題から
以下のような、「単語帳」を作成しました。
説明文から用語を即答できるレベル。
問題文 | 解答 |
Webアプリケーションのフォームの入力フィールドに,悪意のあるJavaScriptコードを含んだデータを入力する攻撃。 |
クロスサイトスクリプティング |
インターネットなどのネットワークを通じてサーバに不正にアクセスしたり,データの改ざんや破壊を行ったりする攻撃。 |
クラッキング |
大量のデータをWebアプリケーションに送ることによって,用意されたバッファ領域をあふれさせる攻撃。 |
バッファオーバフロー |
パス名を推定することによって,本来は認証された後にしかアクセスが許可されていないページに直接ジャンプする攻撃。 |
ディレクトリトラバーサル |
CVSS v3の評価基準には,基本評価基準,現状評価基準,環境評価基準があるが以下はどれか。 機密性への影響,どこから攻撃が可能かといった攻撃元区分,攻撃する際に必要な特権レベルなど,脆弱性そのものの特性を評価する。 |
基本評価基準 |
CVSS v3の評価基準には,基本評価基準,現状評価基準,環境評価基準があるが以下はどれか。 攻撃される可能性,利用可能な対策のレベル,脆弱性情報の信頼性など,評価時点における脆弱性の特性を評価する。 |
現状評価基準 |
CVSS v3の評価基準には,基本評価基準,現状評価基準,環境評価基準があるが以下はどれか。 利用者のシステムやネットワークにおける情報セキュリティ対策など,攻撃の難易度や攻撃による影響度を再評価し,脆弱性の最終的な深刻度を評価する。 |
環境評価基準 |
Webサーバのログを分析したところ,Webサーバへの攻撃と思われるHTTPリクエストヘッダが記録されていた。次のHTTPリクエストヘッダから推測できる,攻撃者が悪用しようとしている脆弱性はどれか。ここで,HTTPリクエストヘッダはデコード済みである。 〔HTTPリクエストヘッダの部分〕 GET /cgi-bin/submit.cgi?user=;cat /etc/passwd HTTP/1.1 Accept: */* Accept-Language: ja UA-CPU: x86 Accept-Encoding: gzip,deflate User-Agent: (省略) Host: test.example.com Connection: Keep-Alive |
OSコマンドインジェクション |
XMLディジタル署名の種類で以下の種類は何か。 署名要素と署名対象要素が独立している場合の署名形式。 |
Detached Signature(デタッチ署名) |
XMLディジタル署名の種類で以下の種類は何か。 署名要素が署名対象要素の子要素である場合の署名形式。 |
Enveloped Signature(エンベロープ署名) |
XMLディジタル署名の種類で以下の種類は何か。 署名要素が署名対象要素の親要素である場合の署名形式。 |
Enveloping Signature(エンベローピング署名) |
攻撃コードとも呼ばれ,脆弱性を悪用するソフトウェアのコードのことであるが,使い方によっては脆弱性の検証に役立つこともある。 |
エクスプロイトコード |
マルウェアのプログラムを解析して得られる,マルウェアを特定するための特徴的なコードのことであり,マルウェア対策ソフトの定義ファイルとしてマルウェアの検知に用いられる。 |
シグネチャコード |
FWの以下の特徴を何というか。 過去に通過したリクエストパケットに対応付けられる戻りのパケットを通過させることができる。 |
ダイナミックパケットフィルタリング |
発信者がメッセージのハッシュ値からディジタル署名を生成するのに使う鍵はどれか。 |
発信者の秘密鍵 |
認証局は,有効期限内のディジタル証明書のシリアル番号をCRLに登録することがある。 |
CRLの特徴 |
成人の虹彩は,経年変化がなく,虹彩認証では,認証デバイスでのパターン更新がほとんど不要である。 |
虹彩 |
標的型サイバー攻撃などに関する情報を参加組織間で共有し,高度なサイバー攻撃対策につなげる取組み |
サイバー情報共有イニシアティブ(J-CSIP) |
URLのスキームがhttpsのページのときだけ,Webブラウザからcookieが送出される属性。 |
secure属性 |
cookieに指定された有効期間を過ぎると,cookieが無効化される。 | Expires属性 |
JavaScriptによるcookieの読出しが禁止される。 |
HttpOnly属性 |
WebブラウザがアクセスするURL内のパスとcookieによって指定されたパスのプレフィックスが一致するとき,Webブラウザからcookieが送出される。 |
Path属性 |
送信側メールサーバにおいてディジタル署名を電子メールのヘッダに付与し,受信側メールサーバにおいてそのディジタル署名を公開鍵によって検証する仕組み |
DKIM(DomainKeys Identified Mail) |
送信側メールサーバにおいて利用者が認証された場合,電子メールの送信が許可される仕組み |
SMTP-AUTH |
電子メールのヘッダや配送経路の情報から得られる送信元情報を用いて,メール送信元のIPアドレスを検証する仕組み |
SPF(Sender Policy Framework) |
ネットワーク機器において,内部ネットワークから外部のメールサーバのTCPポート番号25への直接の通信を禁止する仕組み |
OP25B |
処理中に機器から放射される電磁波を観測して解析する。 | テンペスト攻撃 |
処理時間の差異を計測して解析する。 |
タイミング攻撃(サイドチャネル攻撃の1つ) |
チップ内の信号線などに探針を直接当て,処理中のデータを観測して解析する。 |
プロ―ビング |
内部ネットワークのPCがダウンローダ型マルウェアに感染したとき,そのマルウェアがインターネット経由で他のマルウェアをダウンロードすることを防ぐ方策 |
インターネット上の危険なWebサイトの情報を保持するURLフィルタを用いて,危険なWebサイトとの接続を遮断する。 |
OSなどに不正に組み込んだツールを隠蔽する。 |
ルートキット |
DNSキャッシュサーバが得た応答中のリソースレコードが,権威DNSサーバで管理されているものであり,改ざんされていないことの検証 | DNSSEC ※DNSコンテンツサーバは、ドメインの応答に自身のディジタル署名を付加して問合せをしたDNSサーバに送信する |
Webアプリケーション中でシェルを起動しない |
OSコマンドインジェクション対策 |
セッションIDを乱数で生成する。 通信の暗号化。 |
セッションハイジャック対策 |
パス名やファイル名をパラメタとして受け取らないようにする。重要なファイルを公開領域に置かない。 |
ディレクトリトラバーサル対策 |
プレースホルダ(バインド)を利用。データベースアカウントを必要最小限にする。 プログラムのソースコードでSQL文の雛(ひな)形の中に変数の場所を示す記号を置いた後,実際の値を割り当てる。 SELECT * FROM USER WHERE uid = ? |
SQLインジェクション対策 |
IPv4において,IPパケットで送られているデータが,ICMPメッセージであることを識別できるヘッダ情報は。 |
IPヘッダのプロトコル番号 ICMPは1、TCPは6 |
IEEE802.1QのVLAN機能を有したスイッチにおいて,複数のVLANに所属しているポートを何と呼ぶか。 |
トランクポート |
HTTPを拡張したプロトコルを使って,サーバ上のファイルの参照,作成,削除及びバージョン管理が行える。 |
WebDAV(Web-based Distributed Authoring and Versioning) |
UML2.0において,オブジェクト間の相互作用を時間の経過に注目して記述するものは | シーケンス図 |
プログラムを書く前にテストケースを作成するのはエクストリームプログラミング(XP:eXtreme Programming)における何の説明化。 | テスト駆動開発 |
鍵長によって,段数が決まるのはどの鍵か。 | AES(Advanced Encryption Standard) ・・ブロック長は128ビット,使用する鍵の長さは128/192/256ビットから選択が可能 |
暗号化通信を確立するとき,弱い暗号スイートの使用を強制することによって,解読しやすい暗号化通信を行わせる攻撃。 |
SSL/TLSのダウングレード攻撃 |
暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量(処理時間や消費電流など)やエラーメッセージから,攻撃対象の機密情報を得る攻撃。 |
サイドチャネル攻撃 |
企業などの機密情報を詐取するソーシャルエンジニアリングの手法の一つであり,不用意に捨てられた機密情報の印刷物をオフィスの紙ごみの中から探し出す。 |
スキャベンジング |
通信を行う2者間に割り込んで,両者が交換する情報を自分のものとすり替えることによって,気付かれることなく盗聴する。 |
MITM攻撃(Man in the middle attack),中間者攻撃 |
データベースを利用するWebサイトに入力パラメタとしてSQL文の断片を与えることによって,データベースを改ざんする。 |
SQLインジェクション |
PCなどに内蔵されるセキュリティチップ(TPM:Trusted Platform Module)がもつ機能 | 鍵ペアの生成 |
悪意のある者が正規のWebサイトから取得したセッションIDを,利用者のWebブラウザに送り込み,利用者がそのセッションIDでログインして,セッションがログイン状態に変わった後,利用者になりすます。 |
セッションIDの固定化(Session Fixation)攻撃 |
オープンリゾルバとなっているDNSキャッシュサーバに対して,攻撃対象のドメインのサブドメイン名をランダムかつ大量に生成して問い合わせ,攻撃対象の権威DNSサーバを過負荷にさせる。 |
DNS水責め攻撃(ランダムサブドメイン攻撃) |
暗号モジュールのセキュリティ要求事項といえば。 |
FIPS 140(Federal Information Processing Standardization 140) |
情報セキュリティマネジメントシステムに関する認証基準 | ISMS |
ディジタル証明書や証明書失効リストの技術仕様 | ITU-T X.509 |
無線LANセキュリティ技術仕様 | IEEE802.11i |
「リスク回避」「リスク移転」「リスク低減」「リスク保有」の4種のうちどれか 情報の重要性と対策費用を勘案し,あえて対策をとらない |
リスク保有 |
「リスク回避」「リスク移転」「リスク低減」「リスク保有」の4種のうちどれか 個人情報の保管場所に外部の者が侵入できないように,入退室をより厳重に管理する。 |
リスク低減 |
「リスク回避」「リスク移転」「リスク低減」「リスク保有」の4種のうちどれか 個人情報を含む情報資産を外部のデータセンタに預託する。 |
リスク移転 |
「リスク回避」「リスク移転」「リスク低減」「リスク保有」の4種のうちどれか 収集済みの個人情報を消去し,新たな収集を禁止する。 |
リスク回避 |
製品に含まれる脆弱性を識別するための識別子 | CVE(Common Vulnerabilities and Exposures)識別子 |
インターネットバンキングの利用時に被害をもたらすMITB(Man-in-the-Browser)攻撃に有効な対策 | インターネットバンキングでの送金時にWebブラウザで利用者が入力した情報と,金融機関が受信した情報とに差異がないことを検証できるよう,トランザクション署名を利用する。 |
Webアプリケーションの脆弱性を悪用する攻撃手法のうち,Perlのsystem関数やPHPのexec関数など外部プログラムの呼出しを可能にするための関数を利用し,不正にシェルスクリプトを実行させるもの | OSコマンドインジェクション |
ウイルスに感染しているファイルを,ウイルスに感染していないと判断する。 | フォールスネガティブ |
ウイルスに感染していないファイルを,ウイルスに感染していると判断する。 | フォールスポジティブ |
異なるドメインやプラットフォーム間で、 サードパーティアプリケーションによるHTTPサービスへの限定的なアクセスを可能にするオープンな認可フレームワーク |
OAuth2.0 |
ISP管理外のネットワークに向けてISP管理下のネットワークから送信されるスパムメールを制限する。 |
OP25B |
プログラムの影響がシステム全体に及ばないように,プログラムが実行できる機能やアクセスできるリソースを制限して動作させる。 |
サンドボックス |
HTTP GETコマンドを繰り返し送ることによって,攻撃対象のサーバにコンテンツ送信の負荷を掛ける。 |
HTTP GET Flood攻撃 |
pingコマンドを用いて大量の要求パケットを発信することによって,攻撃対象のサーバに至るまでの回線を過負荷にしてアクセスを妨害する。 |
ICMP Flood |
コネクション開始要求に当たるSYNパケットを大量に送ることによって,攻撃対象のサーバに,接続要求ごとに応答を返すための過大な負荷を掛ける。 |
SYN Flood攻撃 |
大量のTCPコネクションを確立することによって,攻撃対象のサーバに接続を維持させ続けてリソースを枯渇させる。 |
Connection Flood攻撃 |
IEEE 802.11a/b/g/nで採用されているアクセス制御方式 |
CSMA/CA |
DLNAとともに用いられ,接続する機器間で相互認証し,コンテンツ保護が行えると認識して初めて録画再生を可能にする方式 | DTCP-IP(DTCP over IP) ※コンテンツの不正な複製を防止する方式の一つ |
CRL(Certificate Revocation List)に掲載されるもの | 公開鍵証明書のシリアル番号と、その証明書が失効した日時 |
リアルタイムでディジタル証明書の失効情報を検証し、有効性を確認するプロトコル |
OCSP(Online Certificate Status Protocol) |
標準化団体OASISが,Webサイト間で認証,属性及び認可の情報を安全に交換するために策定したフレームワーク |
SAML(Security Assertion Markup Language) |
ハッシュ値が一致する二つのメッセージの探索に要する計算量が大きいことによる,探索の困難性のこと |
衝突発見困難性 |
ハッシュ値が与えられたときに,元のメッセージの探索に要する計算量の大きいことによる,探索の困難性のことである。 |
原像計算困難性 |
ソフトウェアやハードウェアの脆弱性を利用するために作成されたプログラム |
エクスプロイトコード |
DNSキャッシュポイズニング攻撃の1つで、キャッシュに存在しないサブドメインへのDNSクエリ発行を利用して、攻撃を従来より効率良く成立させる手法 |
DNSに対するカミンスキー攻撃(Kaminsky's attack) |
DNSに対するカミンスキー攻撃(Kaminsky's attack)への対策 | 問合せ時の送信元ポート番号をランダム化することによって,DNSキャッシュサーバに偽の情報がキャッシュされる確率を大幅に低減させる。 |
DoS攻撃への対策 | DNSキャッシュサーバと権威DNSサーバとの計2台の冗長構成とすることによって,過負荷によるサーバダウンのリスクを大幅に低減させる |
スパムメールへの対策 | SPF(Sender Policy Framework)を用いてMXレコードを認証することによって,電子メールの送信元ドメインが詐称されていないかどうかを確認する。 |
ICMPの応答パケットを大量に送り付ける。 | Smurf攻撃 |
TCP接続要求であるSYNパケットを大量に送り付ける。 |
SYN Flood攻撃 |
サイズの大きいUDPパケットを大量に送り付ける。 |
UDP Flood攻撃 |
サイズの大きい電子メールや大量の電子メールを送り付ける。 |
メールボム攻撃 |
暗号化装置において暗号化処理時に消費電力を測定するなどして,当該装置内部の秘密情報を推定する攻撃 |
サイドチャネル攻撃 ※タイミング攻撃、電力解析攻撃、故障利用攻撃、キャッシュ利用攻撃など |
パケットフィルタリングを拡張した方式であり,過去に通過したパケットから通信セッションを認識し,受け付けたパケットを通信セッションの状態に照らし合わせて通過させるか遮断するかを判断する。 |
ステートフルインスペクション方式のファイアウォール |
ディジタル証明書は,TLSプロトコルにおいて通信データの暗号化のための鍵交換や通信相手の認証に利用されている。 |
― |
不適合への対応のうちJIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)の"是正処置"の定義 | 不適合の原因を除去し,再発を防止するための処置 |
JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語) リスクを発見,認識及び記述するプロセスのことであり,リスク源,事象,それらの原因及び起こり得る結果の特定が含まれる。 |
リスク特定 |
JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語) システム又は組織に損害を与える可能性がある,望ましくないインシデントの潜在的な原因 |
脅威 |
JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語) 一つ以上の脅威によって付け込まれる可能性のある,資産又は管理策の弱点 |
脆弱性 |
基本評価基準,現状評価基準,環境評価基準の三つの基準で情報システムのセキュリティ脆弱性の深刻度を評価するもの |
CVSS |
動的IPアドレスを割り当てたネットワークからISP管理外のネットワークへの直接の通信を遮断する。 |
宛先ポート番号25のメールに対してISPが実施するOP25B |
WPA2-Enterpriseでは,IEEE802.1Xの規格に沿った利用者認証及び動的に配布される暗号化鍵を用いた暗号化通信を実現できる。 |
― |
ネットワークに接続されているホストのIPアドレスが198.51.100.90で,サブネットマスクが255.255.255.224のとき,ホストアドレスは。 |
10進数 224 → 2進数 11100000 10進数 90 → 2進数 01011010 下位5ビット「11010」がホストアドレスになります。 2進数 11010 → 10進数 26 |
企業間で,商用目的で締結されたソフトウェアの開発請負契約書に著作権の帰属が記載されていない場合,著作権の帰属先 |
請負人に帰属する。 |
制御プログラムの障害時に,システムの暴走を避け,安全に停止できるようにする。 |
フェールセーフ |
ハードウェアの障害時に,パフォーマンスは低下するが,構成を縮小して運転を続けられるようにする。 |
フェールソフト |
利用者の誤操作や誤入力を未然に防ぐことによって,システムの誤動作を防止できるようにする |
フールプルーフ |
無線LAN環境 アクセスポイントに設定されているのと同じSSIDとパスワード(Pre-Shared Key)が設定されている端末だけを接続させる。 |
WPA2-PSK |
DNSキャッシュポイズニング攻撃に対して有効な対策 | DNS問合せに使用するDNSヘッダ内のIDを固定せずにランダムに変更する。 ポート番号をランダムにする(53に固定しない) |
画像や音楽などのディジタルコンテンツに著作権者などの情報を埋め込む。 |
ステガノグラフィ |
コンピュータやネットワークのセキュリティ上の弱点を発見するテスト手法の一つであり,システムを実際に攻撃して侵入を試みる。 |
ペネトレーションテスト |
ネットワーク管理者や利用者などから,巧みな話術や盗み聞き,盗み見などの手段によって,パスワードなどのセキュリティ上重要な情報を入手する。 |
ソーシャルエンジニアリング |
犯罪に対する証拠となり得るデータを保全し,その後の訴訟などに備える。 |
ディジタルフォレンジックス |
EAP-TLS、EAP-TTLS(EAP Tunneled TLS)の内認証にクライアント証明書を用いるプロトコルはどれか。 |
EAP-TLS |
最長32オクテットのネットワーク識別子であり,接続するアクセスポイントの選択に用いられる。 |
SSID |
IPv4ネットワークでIPアドレスを割り当てる際に,DHCPクライアントとDHCPサーバ間でやり取りされるメッセージの順序 | DHCPDISCOVER,DHCPOFFER,DHCPREQUEST,DHCPACK |
電子メールサービスで,迷惑メール対策としてSMTPのポート番号25の代わりに使用する。 |
サブミッションポート(ポート番号587) |
品質の向上や知識の共有を図るために,2人のプログラマがペアとなり,その場で相談したりレビューしたりしながら,一つのプログラムの開発を行う。 |
アジャイルソフトウェア開発などで導入されている"ペアプログラミング" |
変更要求が情報セキュリティ基本方針及び管理策に与える潜在的影響を評価しなければならない。は何の要求事項か | JIS Q 20000(ISO/IEC 20000)のJIS Q 20000-1 ※組織がサービスマネジメントシステムを計画、確立、導入、運用、監視、レビュー、維持するためのサービス提供者に対する要求事項を規定した規格 |
RADIUSやDIAMETERが提供するAAAフレームワークの構成要素は,認証(Authentication)及び認可(Authorization)の他にどれか。 |
Accounting |
送信元を偽って,NTPサーバにレスポンスデータが大きくなる要求を送信する。 |
NTPリフレクション攻撃 |
SSL 3.0を使用した通信において,ブロック暗号のCBCモード利用時の脆弱性を突く攻撃であり,パディングを悪用して暗号化通信の内容を解読できる。 |
POODLE(CVE-2014-3566)攻撃 |
インターネットバンキングでの連続する取引において,取引の都度,乱数表の指定したマス目にある英数字を入力させて認証する。 | マトリクスコード認証 |
利用者のIPアドレスなどの環境を分析し,いつもと異なるネットワークからのアクセスに対して追加の認証を行う。 |
リスクベース認証 |
利用者の記憶,持ち物,身体の特徴のうち,必ず二つ以上の方式を組み合わせて認証する。 |
二要素認証(多要素認証) |
情報セキュリティ政策に係る基本戦略の立案,官民における統一的,横断的な情報セキュリティ政策の推進に係る企画などを行う。 |
CRYPTRECの活動内容 |
サイドチャネル攻撃の手法であるタイミング攻撃の対策として演算アルゴリズムに対策を施して,機密情報の違いによって処理時間の差異が出ないようにする。 |
― |
組織に割り当てられているIPアドレスのうち,コンピュータで使用されているIPアドレス空間 |
ダークネット ※マルウェアの活動傾向などを把握するための観測用センサが配備される |
OSなどに不正に組み込んだツールを隠蔽する。 |
rootkit |
トンネルモードを使用すると,暗号化通信の区間において,エンドツーエンドの通信で用いる元のIPのヘッダを含めて暗号化できる。 |
Ipsec |
メールクライアントからメールサーバへの電子メール送信時に,ユーザアカウントとパスワードによる利用者認証を行う。 |
SMTP-AUTH |
DNSサーバに対して,IPアドレスに対応するドメイン名,又はドメイン名に対応するIPアドレスを問い合わせるクライアントソフトウェア | リゾルバ |
Webサイトが,EV SSL証明書を採用している場合,存在するサブジェクトフィールドのOrganization Nameに記載されているものはどれか。 |
Webサイトの運営団体の組織名 |
文字の表示順を変える制御文字を利用し,ファイル名の拡張子を偽装する。 |
RLO(Right-to-Left Override)を利用した手口 |
ディジタル証明書の失効状態についての問合せに応答する。 |
VA(Validation Authority,証明書有効性検証局) |
ディジタル証明書を作成するためにディジタル署名する | CA(Certificate Authority,認証局) |
認証局に代わって属性証明書を発行する。 |
AA(Attribute Authority,属性認証局) |
本人確認を行い,ディジタル証明書の発行を指示する。 |
RA(Registration Authority,登録局) |
電子政府推奨暗号リストとは,CRYPTRECによって安全性及び実装性能が確認された暗号技術のうち,市場における利用実績が十分であるか今後の普及が見込まれると判断され,当該技術の利用を推奨するもののリストである。 |
― |
利用者が振り分けた迷惑メールから特徴を学習し,迷惑メールであるかどうかを統計的に解析して判定する。 |
ベイジアンフィルタリング |
TCPヘッダに含まれる情報 |
宛先ポート番号 |
店舗案内のWebページ上に,他のサイトが提供する地図探索機能を利用して出力された情報を表示する技術。 |
マッシュアップ |
空調機からの冷気とIT機器からの熱排気を分離するために,ラックの前面(吸気面)同士を対向配置したときの,ラックの前面同士に挟まれた冷気の通る部分である。 |
データセンタにおけるコールドアイル |
インターネットを介して,攻撃者がPCを遠隔操作する。 |
ボット |
感染するごとにウイルスのコードを異なる鍵で暗号化し,同一のパターンで検知されないようにする。 |
ポリモーフィック型ウイルス |
ルートキットを利用してウイルスに感染していないように見せかけることによって,ウイルスを隠蔽する。 |
ステルス型ウイルス |
標的組織の従業員が頻繁にアクセスするWebサイトに攻撃コードを埋め込み,標的組織の従業員がアクセスしたときだけ攻撃が行われるようにする。 |
水飲み場型攻撃(Watering Hole Attack) |
VLAN機能をもった1台のレイヤ3スイッチに複数のPCを接続している。スイッチのポートをグループ化して複数のセグメントに分けると,セグメントを分けない場合に比べて,どのようなセキュリティ上の効果が得られるか。 |
スイッチが,PCからのブロードキャストパケットの到達範囲を制限するので,アドレス情報の不要な流出のリスクを低減できる。 |
DNSのMXレコードで指定するもの | 宛先ドメインへの電子メールを受け付けるメールサーバ |
複数のブリッジ間で情報を交換し合い,ループ発生の検出や障害発生時の迂回ルート決定を行う。 |
複数のブリッジ間で情報を交換し合い,ループ発生の検出や障害発生時の迂回ルート決定を行う。 |
TFTP(Trivial File Transfer Protocol)は、FTPを簡略化しUDPを用いてファイル転送を行うプロトコルです。 |
― |
データウェアハウスを構築するために,業務システムごとに異なっているデータ属性やコード体系を統一する処理はどれか。 |
データクレンジング |
リモートログインやリモートファイルコピーのセキュリティを強化したツール及びプロトコル |
SSH |
XML署名において署名対象であるオブジェクトの参照を指定する表記形式 |
URI 「Reference要素」には署名されるリソースをURIによって指定します。 |
クラウド利用企業の経済的な損失を目的に,リソースを大量消費させる攻撃 |
EDoS(Economic Denial of Service,Economic Denial of Sustainability)攻撃 |
VoIPにおいて,ユーザエージェント間のセッションの確立,変更,切断を行うプロトコル。 | SIP |
インターネットVPNを実現するために用いられる技術であり,ESP(Encapsulating Security Payload)やAH(Authentication Header)などのプロトコルを含むもの | Ipsec |
送信側メールサーバでディジタル署名を電子メールのヘッダに付与して,受信側メールサーバで検証する。 | DKIM |
リモートアクセス環境において,認証情報やアカウンティング情報をやり取りするプロトコルはどれか。 | RADIUS |
インターネット標準 RFC 5322(旧 RFC 822)に準拠した電子メールにおいて,ヘッダと本体を区別する方法 | 最初に現れる空行の前後でヘッダと本体を分ける。 |
撃者は特定の目的をもち,特定組織を標的に複数の手法を組み合わせて気付かれないよう執拗(よう)に攻撃を繰り返す。 | APT(Advanced Persistent Threats) |
ウイルスの感染や発病によって生じるデータ書込み動作の異常や通信量の異常増加などの変化を監視して,感染を検出する。 | ビヘイビア法 |
Webページのコンテンツ上に透明化した標的サイトのコンテンツを配置し,利用者が気づかないうちに標的サイト上で不正操作を実行させる。 | クリックジャッキング攻撃 |
作成者によってディジタル署名された電子文書に,タイムスタンプ機関がタイムスタンプを付与した。この電子文書を公開する場合のタイムスタンプの効果 | 電子文書が,タイムスタンプの時刻以前に存在したことを示すことによって,作成者が電子文書の作成を否認することを防止する。 タイムスタンプの時刻以降に改ざんされていないことの証明。 |
IPスプーフィング(spoofing)攻撃の対策 | 外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば,そのパケットを破棄する。 |
DMZ上のコンピュータがインターネットからのpingに応答しないようにファイアウォールのセキュリティルールを定めるとき,"通過禁止"に設定するものは | ICMP |
シリアル回線で使用するものと同じデータリンクのコネクション確立やデータ転送を,LAN上で実現するプロトコル | PPPoE |
ネットワーク管理プロトコルであるSNMPバージョン1のメッセージタイプのうち,事象の発生をエージェント自身が自発的にマネージャに知らせるために使用するものはどれか。 | trap ★参考 get-request マネージャからエージェントへの参照要求 get-response エージェントからマネージャへの参照応答 set-request マネージャからエージェントへの設定要求 trap エージェントからマネージャへのイベント通知 |
Web検索サイトの順位付けアルゴリズムを悪用して,キーワードで検索した結果の上位に,悪意のあるサイトを意図的に表示させる。 | SEO(Search Engine Optimization)ポイズニング |
セキュリティパッチが提供される前にパッチが対象とする脆弱性を攻撃する。 | ゼロデイ攻撃 |
問題がある通信データパターンを定義したものであり,該当する通信を遮断するか又は無害化する。 | ブラックリスト |
ベーシック認証では,利用者IDとパスワードを":"で連結したものを,BASE64でエンコードしAuthorizationヘッダで指定する | ― |
システム監査 コントロールが有効であると判断するために必要なサンプル件数を事前に決めることができる。 | 統計的サンプリング |
計算能力の向上などによって,鍵の推定が可能となり,暗号の安全性が低下すること | 暗号アルゴリズムの危殆(たい)化 |
信号の読み出し用プローブの取付けを検出するとICチップ内の保存情報を消去する回路を設けて,ICチップ内の情報を容易に解析できないようにする。 | ICカードの耐タンパ性を高める対策 |
通信プロトコルで使用するデータ形式を記述するための記法であって,SNMPのパケットの符号化に利用されているものはどれか。 | ASN.1 |
100人の送受信者が共通鍵暗号方式で,それぞれが相互に暗号化通信を行うときに必要な共通鍵の総数は幾つか。 | n(n-1)/2 9900/2=4950 4950個 |
IPアドレスに対するMACアドレスの不正な対応関係を作り出す攻撃 | ARPスプーフィング攻撃 |
データの暗号化は行わず,SPI,シーケンス番号,認証データを用い,完全性の確保と認証を行う。 Ipsecのプロトコル | AH |
サーバはクライアントから送られた使い捨てパスワードを演算し,サーバで記憶している前回の使い捨てパスワードと比較することによって,クライアントを認証する。 | S/KEYワンタイムパスワード |
メッセージを画像データや音声データなどに埋め込み,その存在を隠す技術のことをいう。 | ステガノグラフィ |
ディジタル証明書を使わずに,通信者同士が,通信によって交換する公開鍵を用いて行う暗号化通信において,通信内容を横取りする目的で当事者になりすますもの | Man-in-the-middle攻撃(中間者攻撃) |
インターネットで電子メールを送信するとき,メッセージの本文の暗号化に共通鍵暗号方式を用い,共通鍵の受渡しには公開鍵暗号方式を用いるのは | S/MIME |
業務機能を提供するサービスを組み合わせることによって,システムを構築する考え方である。 | SOA(Service Oriented Architecture) |
リバースプロキシを使ったシングルサインオンの場合,利用者認証においてパスワードの代わりにディジタル証明書を用いることができる。 | ― |
WPA2では,IEEE802.1Xの規格に沿って機器認証を行い,動的に更新される暗号化鍵を用いて暗号化通信を実現できる。 | ― |
DBMS(データベースマネジメントシステム)が持つ機能の一つでデータベースに加えた変更を他の別のネットワーク上にある複製データベースに自動的に反映させることで信頼性や耐障害性を高める仕組み | レプリケーション(Replication) |
PCが参照するDNSサーバに誤ったドメイン管理情報を注入して,偽装されたWebサーバにPCの利用者を誘導する。 | DNSキャッシュポイズニング |
受信側からの確認応答を待たずに,データを続けて送信できるかどうかの判断に使用される。 | TCPヘッダ中のウィンドウサイズ |
利用者が入力したパスワードと,サーバから送られてきたランダムなデータとをクライアント側で演算し,その結果を確認用データに用いる方式。 | チャレンジレスポンス方式 |
ブラウザがWebサーバとの間でSSLで通信する際,ディジタル証明書に関する警告メッセージが表示される原因となり得るもの | 例)ルートCAのディジタル証明書について,Webサーバのディジタル証明書のものがブラウザで保持しているどのものとも一致しなかった ・有効期限切れ ・FQDNとCNが不一致など |
可能性のある文字のあらゆる組合せのパスワードでログインを試みる。 | ブルートフォース攻撃 |
コンピュータへのキー入力をすべて記録して外部に送信する。 | キーロガー |
盗聴者が正当な利用者のログインシーケンスをそのまま記録してサーバに送信する。 | リプレイアタック |
認証が終了し,セッションを開始しているブラウザとWebサーバ間の通信で,クッキーなどのセッション情報を盗む。 | セッションハイジャック |
電源オフ時にIPアドレスを保持することができない装置が,電源オン時に自装置のMACアドレスから自装置に割り当てられているIPアドレスを知るために用いるデータリンク層のプロトコルで,ブロードキャストを利用するものはどれか。 | RARP |
Webサーバを使ったシステムにおいて,インターネットから受け取ったリクエストをWebサーバに中継する仕組みはどれか。 | リバースプロキシ |
雷サージによって通信回線に誘起された異常電圧から通信機器を保護するための装置はどれか。 | アレスタ |