![技術語り-Tech Blog[JP]](https://blogger.googleusercontent.com/img/a/AVvXsEiYsL2e14T1O3H3pP9BUj4BxNQQDgWUK-pNhtt6X8syLNp1zvyRWOG_UEv_Gcanv4Nix1_-8MCZL02odSwi69Cbmp6WJeoNDX8f7GQSPH25NUW3dtNTkcGdKhA0sRemc7CD46aj4pMhd8WzzKViOuxBpGmZ5DaFru2sTTv9Jie9aXa98EppzJj1P3lUvyY=s175)
情報処理安全確保支援士-過去問-R1秋
■
令和1年秋の過去問トピック
情報処理安全確保支援士ドットコムより
マルチベクトル型DDoS攻撃
Webサイトに対して,SYN Flood攻撃とHTTP POST Flood攻撃を同時に行う。
令和1年秋の過去問トピック
情報処理安全確保支援士ドットコムより
マルチベクトル型DDoS攻撃
Webサイトに対して,SYN Flood攻撃とHTTP POST Flood攻撃を同時に行う。
XMLディジタル署名の特徴として,適切なものはどれか。
XML文書中の任意のエレメントに対してデタッチ署名(Detached Signature)を付けることができる。
Detached Signature(デタッチ署名)
署名要素と署名対象要素が独立している場合の署名形式。(署名対象別のファイルである場合や同じXML文書内でも要素の親子関係がないときなど)
マッシュアップを利用してWebコンテンツを表示する例として,最も適切なものはどれか。
店舗案内のWebページ上に,他のサイトが提供する地図探索機能を利用して出力された情報を表示する。
VA(Validation Authority)の役割はどれか。
ディジタル証明書の失効状態についての問合せに応答する。
JSON形式で表現される図1,図2のような商品データを複数のWebサービスから取得し,商品データベースとして蓄積する際のデータの格納方法に関する記述のうち,適切なものはどれか。ここで,商品データの取得元となるWebサービスは随時変更され,項目数や内容は予測できない。したがって,商品データベースの検索時に使用するキーにはあらかじめ制限を設けない。
ドキュメント型データベースを使用し,項目構成の違いを区別せず,商品データ単位にデータを格納する。
総務省及び経済産業省が策定した"電子政府における調達のために参照すべき暗号のリスト(CRYPTREC 暗号リスト)"を構成する暗号リストの説明のうち,適切なものはどれか。
電子政府推奨暗号リストとは,CRYPTRECによって安全性及び実装性能が確認された暗号技術のうち,市場における利用実績が十分であるか今後の普及が見込まれると判断され,当該技術の利用を推奨するもののリストである。
プレースホルダとは、ユーザ入力をもとに生成される部分に特殊文字("?"など)を使用したSQL文中のひな形を用意し、その変数部分には実行時に値を割り当てる仕組みです。後から割り当てる値は、SQL文の特殊文字がエスケープされた完全な数値または文字列として扱われるためセキュアに実行することができます。
また、データベースを扱うWebアプリケーションに必要以上の権限が与えられていると、不正なSQL文が実行されるリスクが増すので、最小権限をもつアカウントで処理させることも重要な対策となります。
電子政府推奨暗号リストとは,CRYPTRECによって安全性及び実装性能が確認された暗号技術のうち,市場における利用実績が十分であるか今後の普及が見込まれると判断され,当該技術の利用を推奨するもののリストである。
SQLインジェクション対策について,Webアプリケーションプログラムの実装における対策と,Webアプリケーションプログラムの実装以外の対策の組合せとして,ともに適切なものはどれか。
令和元年秋期 問17
7問目/選択範囲の問題数25問
7問目/選択範囲の問題数25問
プレースホルダとは、ユーザ入力をもとに生成される部分に特殊文字("?"など)を使用したSQL文中のひな形を用意し、その変数部分には実行時に値を割り当てる仕組みです。後から割り当てる値は、SQL文の特殊文字がエスケープされた完全な数値または文字列として扱われるためセキュアに実行することができます。
また、データベースを扱うWebアプリケーションに必要以上の権限が与えられていると、不正なSQL文が実行されるリスクが増すので、最小権限をもつアカウントで処理させることも重要な対策となります。
//PHPにおけるプレースホルダの一例
$uid = $_POST["userid"];
$sql = 'SELECT * FROM USER WHERE uid = ?' //?がプレースホルダ
$pdo = new PDO($dbh, $user, $password);
$stmt = $pdo->prepare($sql);
$stmt->execute([$uid]); //?に値を割り当てて実行
$uid = $_POST["userid"];
$sql = 'SELECT * FROM USER WHERE uid = ?' //?がプレースホルダ
$pdo = new PDO($dbh, $user, $password);
$stmt = $pdo->prepare($sql);
$stmt->execute([$uid]); //?に値を割り当てて実行
CookieにSecure属性を設定しなかったときと比較した,設定したときの動作として,適切なものはどれか。
URL内のスキームがhttpsのときだけ,WebブラウザからCookieが送出される。
TCPに関する記述のうち,適切なものはどれか。
確認応答がない場合は再送処理によってデータ回復を行う。
DKIM(DomainKeys Identified Mail)の説明はどれか。
送信側メールサーバにおいてディジタル署名を電子メールのヘッダに付与し,受信側メールサーバにおいてそのディジタル署名を公開鍵によって検証する仕組み
情報システムの設計のうち,フェールソフトの考え方を適用した例はどれか。
ハードウェアの障害時に,パフォーマンスは低下するが,構成を縮小して運転を続けられるようにする。
IPv4ネットワークにおいて,IPパケットの分割処理と,分割されたパケットを元に戻す再構築処理に関する記述のうち,適切なものはどれか。
再構築処理は宛先ホストで行います
BlueBorneの説明はどれか。
Bluetoothを悪用してデバイスを不正に操作したり,情報を窃取したりする,複数の脆弱性の呼称
暗号機能を実装したIoT機器において脅威となるサイドチャネル攻撃に該当するものはどれか。
機器が発する電磁波を測定することによって秘密情報の取得を試みる。
認証処理のうち,FIDO(Fast IDentity Online) UAF(Universal Authentication Framework)1.1に基づいたものはどれか。
SaaS接続時の認証において,スマートフォンで顔認証を行った後,スマートフォン内の秘密鍵でディジタル署名を生成して,そのディジタル署名を認証サーバに送信した。
Webサイトにおいて,全てのWebページをTLSで保護するよう設定する常時SSL/TLSのセキュリティ上の効果はどれか。
WebブラウザとWebサイトとの間における中間者攻撃による通信データの漏えい及び改ざんを防止し,サーバ証明書によって偽りのWebサイトの見分けを容易にする。
基本評価基準,現状評価基準,環境評価基準の三つの基準で情報システムの脆弱性の深刻度を評価するものはどれか。
CVSS
DNSSECに関する記述として,適切なものはどれか。
ディジタル署名によってDNS応答の正当性を確認できる。
IEEE802.1Xで使われるEAP-TLSが行う認証はどれか。
ディジタル証明書による認証サーバとクライアントの相互認証
JIS Q 27014:2015(情報セキュリティガバナンス)における,情報セキュリティを統治するために経営陣が実行するガバナンスプロセスのうちの"モニタ"はどれか。
戦略的目的の達成を評価することを可能にするガバナンスプロセス
ファイアウォールにおけるダイナミックパケットフィルタリングの特徴はどれか。
過去に通過したリクエストパケットに対応付けられる戻りのパケットを通過させることができる。
X.509におけるCRL(Certificate Revocation List)に関する記述のうち,適切なものはどれか。
認証局は,有効期限内のディジタル証明書のシリアル番号をCRLに登録することがある。
攻撃者に脆弱性に関する専門の知識がなくても,OSやアプリケーションソフトウェアの脆弱性を悪用した攻撃ができる複数のプログラムや管理機能を統合したものはどれか。
Exploit Kit
