人生楽しく(知識と知恵と副業)

いろいろ書いてみます。某企業のシステム部のアラフィフのおじさんです。

応用情報技術者試験 問題㉗

Q:CAPTCHAとは
A:人間には読み取ることが可能でも,プログラムでは読み取ることが難しいという差異を利用して,ゆがめたり一部を隠したりした画像から文字を判読させ入力させることで,人間以外による自動入力を排除する技術。
[参 平成26年度 春期 応用情報技術者試験 午前 問36]

 

Q:バイオメトリクス認証
A:生体認証のことで、身体的特徴や行動的特徴による認証技術。

 

Q:静脈パターン認証
A:手のひらの静脈パターンによる認証技術。


Q:虹彩認証
A:成人には虹(こう)彩の経年変化がなく,虹彩認証では,認証デバイスでのパターン更新がほとんど不要である。
[参 平成28年度 秋期 応用情報技術者試験 午前 問41]

 

Q:本人拒否率
A:ソフトウェアが誤って本人を否定する確率のこと。

 

Q:他人受入率
A:ソフトウェアが誤って他人(本人以外)を受け入れる確率のこと。
 ウイルス対策ソフトが、マルウェアに感染しているのに、「感染なし」とすることをフォールスネガティブという。

 

Q:PKI
A:所有者と公開鍵の対応付けをするのに必要なポリシや技術の集合によって実現される基盤。
[参 平成24年度 春期 応用情報技術者試験 午前 問36]


Q:ディジタル証明書
A:公開鍵が正当なものであることの証明として、第三者機関による秘密鍵ディジタル署名されている証明書のこと。


Q:公開鍵暗号方式を採用した電子商取引において,認証局(CA)の役割は。
A:取引当事者の公開鍵に対するディジタル証明書を発行する。
[参 平成21年度 秋期 応用情報技術者試験 午前 問39]

 

Q:ルート証明書
A:認証局の正当性を証明するために発行されるディジタル証明書のこと。


Q:サーバ証明書
A:Webサーバの正当性を保証する証明書のこと。
サーバ証明書には、公開鍵が含まれており、その公開鍵の信頼性を担保するために認証局(CA)のディジタル署名が付与されている。
サーバ証明書を受け取った利用者は、「認証局の公開鍵」を使用して、サーバ証明書に付与されている「認証局ディジタル署名」を検証する。そして、認証が完了したら、添付されている公開鍵が正当で、かつ、改ざんされていないと判断できる。
SSL/TLSでは、上記の公開鍵の検証後に、その公開鍵を使って通信相手との共通鍵を準備し、その後は、共通鍵で暗号化通信を行う。

 

Q:クライアント証明書
A:Webサーバにアクセスするクライアントの正当性を証明するもの。


Q:セキュリティ対策で利用するCRLに記載されるデータは。
A:ディジタル証明書の有効期間内に認証局の廃止などによって失効した自己署名証明書及び相互認証証明書
[参 平成22年度 秋期 応用情報技術者試験 午前 問38]


Q:入口対策
A:外部からのクラッカーの侵入やマルウェアなどの不正プログラムの侵入を防ぐ対策方法のこと。踏み台を作らないようにする対策が重要となる。

 

Q:出口対策
A:入口対策が突破された場合に備えたもので、外部への通信や自社設備を踏み台にさせないような対策のこと。

 

Q:多層防護
A:入口対策と出口対策を組み合わせて、複数のセキュリティ対策を講じること。

 

Q:検閲ネットワーク
A:社内ネットワークに接続する端末にセキュリティ上の問題がないかを検査・修正するための仕組みのこと。

 

Q:クリアデスク
A:離席時に机の上に書類等を放置しないことで、情報の紛失・漏洩を防ぐこと。

 

Q:クリアスクリーン
A:ログアウトなどでスクリーンを非表示にして、情報の紛失・漏洩を防ぐこと。

 

Q:USBキー
A:パソコンの不正利用を防ぐ目的で、指定のUSBにより利用者認証を行う方法のこと。

 

Q:SSL
A:ディジタル署名共通鍵暗号方式、公開鍵暗号方式などを組み合わせて、情報をやり取りするプロトコルSSLには脆弱性が見つかり、現在の主流はTLS


Q:HTTPS
A:HTTPに SSL の機能を付加したプロトコルのことで、クライアントとサーバの間の通信を暗号化する。通信を受信したWebサーバは、暗号化データを平文(HTTPリクエスト)に復号した後に、リクエストに応じた処理を行う。マルウェアによる、内部からのHTTPS通信は、暗号化されているため解読できず、情報漏洩につながる。


Q:TLS
A:IETF が定めたトランスポート層プロトコル
SSL脆弱性が見つかった後に、TLSが主流となった。

 

Q:SSH
A:暗号化や認証機能をもち,遠隔にあるコンピュータに安全にログインするためのプロトコルはどれか。
[参 平成29年度 秋期 応用情報技術者試験 午前 問43]

 

Q:WPA2
A:無線 LAN に採用されている IEEE 802.1x の規格の暗号化方式で、 AES を採用している。AESの鍵長は、128ビット、192ビット、256ビット。NO 重要度キーワード 説明

 


Q:パケットフィルタリング
A:プロキシサーバやルータに備わるファイアウォール機能で、下記の2種類が主なもの。
 静的フィルタリング : 手動で登録された情報に基づくフィルタリング。
 動的フィルタリング : メールやWeb閲覧など、内部からの要請で、外部に通信し、その返答の通信だけを通過させる設定のこと。
・パケットに含まれるIPアドレスやポート番号などの情報をもとに、通過の可否を設定する。
・パケットのペイロード(データ部分)に関しては、チェックすることができない。

 

Q:MACアドレスフィルタリング
A:無線LANにおいて,事前にアクセスポイントに登録した端末以外の接続を制限するためのもの。
[参 平成21年度 秋期 応用情報技術者試験 午前 問42]


Q:標的型攻撃
A:特定のターゲットに対して、攻撃者の目的のために行うサイバー攻撃の総称。

 

Q:バッファオーバーフロー攻撃
A:攻撃対象のコンピュータに許容量以上のデータを送りつけて、誤作動やシステムダウンを起こさせる攻撃。この攻撃は、攻撃対象者以外のコンピュータを誤作動させて乗っ取り、踏み台にして別のコンピュータを攻撃する。
DoS攻撃」は過剰な負荷を与える攻撃手法で、「バッファオーバーフロー」はコンピュータの内部への攻撃手法という違いがある。


Q:JIS Q 27000で定義された情報セキュリティの特性に関する記述のうち,否認防止の特性に該当するもの。
A:ある利用者がシステムを利用したという事実を証明可能にする。
[参 平成28年度 春期 応用情報技術者試験 午前 問39]


Q:Man-in-the-Browser攻撃(MITB)
A:PCに侵入したマルウェアが,利用者のインターネットバンキングへのログインを検知して,Webブラウザから送信される振込先
などのデータを改ざんする。
[参 平成28年度 春期 応用情報技術者試験 午前 問45]


Q:サンドボックス機構とは。
A:不正な動作の可能性があるプログラムを特別な領域で動作させることによって,他の領域に悪影響が及ぶのを防ぐ。
[参 平成28年度 秋期 応用情報技術者試験 午前 問44]

 

Q:リスクベース認証とは
A:普段と異なる環境からのアクセスと判断した場合,追加の本人認証をすることによって,不正アクセスに対抗し安全性を高める。
[参 平成31年度 春期 応用情報技術者試験 午前 問37]


Q:情報セキュリティにおいてバックドアとは。
A:アクセスする際にパスワード認証などの正規の手続が必要なWebサイトに,当該手続を経ないでアクセス可能なURL
[参 令和元年度 秋期 基本情報技術者試験 午前 問39]

 

Q:コンティンジェンシープラン緊急時対応計画
A:脅威となるリスクが発生した場合に備えて、実施される対策のこと。
対策の立案時には、リスクの発生頻度と発生時の損失額を想定して、費用対効果を考慮した計画が求められる。


Q:災害を想定した事業継続計画(BCP)を策定する場合に行うビジネスインパクト分析での実施事項は
A:許容される最大停止時間を決定する。
[参 平成22年度 秋期 基本情報技術者試験 午前 問42]


Q:情報セキュリティポリシ
A:組織における情報セキュリティに対する考えや姿勢を明文化した基準のこと。
情報セキュリティ基本方針、情報セキュリティ対策基準、情報セキュリティ実施手順の3つの構成となっている。


Q:ISMS適合性能評価制度における情報セキュリティ基本方針に関するものは。
A:情報セキュリティのための経営陣の方向性及び支持を規定する。
[参 平成22年度 秋期 応用情報技術者試験 午前 問42]

 

Q:ISMS情報セキュリティマネジメントシステム
A:情報資産を脅威から守り、情報の機密性、完全性、可用性を継続させるシステムを確立すること。


Q:ISMS適合性評価制度
A:JIS Q 27001に基づき,組織が構築した情報セキュリティマネジメントシステムの適合性を評価する。
[参 平成27年度 秋期 基本情報技術者試験 午前 問40]


Q:コモンクライテリア
A:情報システムのセキュリティレベルを評価するための国際基準のこと。ISO/IEC 15408。

 

Q:耐タンパ性
A:物理的、論理的に情報を読まれることを防ぐ機能で、ICチップなどの不正解読や偽造に有効な対策