情報処理安全確保支援士試験（SC）過去問午前Ⅱ 令和2年度10月（解説なし）

説明:

情報処理推進機構（IPA）の実施する情報処理安全確保支援士試験（SC）2020年秋午前2の問題になります。

カテゴリー:IT・ICT

キーワード:情報処理技術者試験

設問数:25問

価格:0円

総利用数:7回

オプション

問題数を絞る~

制限時間（全体）分

制限時間（個別）秒

シャッフルする

選択肢を隠す

問題を読み上げる

解説を読み上げる

効果音をつける

情報処理安全確保支援士試験（SC）過去問午前Ⅱ 令和2年度10月（解説なし）

問題文正答率:20.00%

問1 Web サーバのログを分析したところ, Web サーバへの攻撃と思われる HTTP リクエストヘッダが記録されていた。次の HTTP リクエストヘッダから推測できる,攻撃者が悪用しようとしていた脆弱性はどれか。ここで, HTTP リクエストヘッダ中の“%20”は空白を意味する。

[HTTP リクエストヘッダの一部]: GET /cgi-bin/submit.cgi?user=;cat%20/etc/passwd HTTP/1.1; Accept: */*; Accept-Language: ja; UA-CPU: x86; Accept-Encoding: gzip,deflate; User-Agent: (省略); Host: test.example.com; Connection: Keep-Alive

選択肢

ア HTTP ヘッダインジェクション(HTTP Response Splitting)

イ OS コマンドインジェクション

ウ SQLインジェクション

エクロスサイトスクリプティング

解説・コメント

https://ja.mondder.com/sq?id=1181🔗

問題文正答率:40.00%

問2 SAML(Security Assertion Markup Language) の説明として,最も適切なものはどれか。

選択肢

ア Web サービスに関する情報を公開し, Web サービスが提供する機能などを検索可能にするための仕様

イ権限がない利用者による読取り,改ざんから電子メールを保護して送信するための仕様

ウディジタル署名に使われる鍵情報を効率よく管理するための Web サービスの仕様

エ認証情報に加え,属性情報とアクセス制御情報を異なるドメインに伝達するための Webサービスの仕様

解説・コメント

https://ja.mondder.com/sq?id=1182🔗

問題文正答率:40.00%

問3 エクスプロイトコードの説明はどれか。

選択肢

ア攻撃コードとも呼ばれ,ソフトウェアの脆弱性を悪用するコードのことであり,使い方によっては脆弱性の検証に役立つこともある。

イマルウェア定義ファイルとも呼ばれ,マルウェアを特定するための特徴的なコードのことであり,マルウェア対策ソフトによるマルウェアの検知に用いられる。

ウメッセージとシークレットデータから計算されるハッシュコードのことであり,メッセージの改ざん検知に用いられる。

エログインのたびに変化する認証コードのことであり,窃取されても再利用できないので不正アクセスを防ぐ。

解説・コメント

https://ja.mondder.com/sq?id=1183🔗

問題文正答率:20.00%

問4 サイドチャネル攻撃に該当するものはどれか。

選択肢

ア暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量(処理時間や消費電力など)やエラーメッセージから,攻撃対象の秘密情報を得る。

イ企業などの秘密情報を窃取するソーシャルエンジニアリングの手法の一つであり,不用意に捨てられた秘密情報の印刷物をオフィスの紙ごみの中から探し出す。

ウ通信を行う 2 者間に割り込んで,両者が交換する情報を自分のものとすり替えることによって,その後の通信を気付かれることなく盗聴する。

エデータベースを利用する Web サイトに入力パラメタとして SQL 文の断片を送信することによって、データベースを改ざんする。

解説・コメント

https://ja.mondder.com/sq?id=1184🔗

問題文正答率:20.00%

問5 ブロックチェーンに関する記述のうち,適切なものはどれか。

選択肢

ア RADIUS を必須の技術として,参加者の利用者認証を一元管理するために利用する。

イ SPF を必須の技術として,参加者間で電子メールを送受信するときに送信元の正当性を確認するために利用する。

ウ楕円曲線暗号を必須の技術として,参加者間の P2P (Peer to Peer) ネットワークを暗号化するために利用する。

エハッシュ関数を必須の技術として,参加者がデータの改ざんを検出するために利用する。

解説・コメント

https://ja.mondder.com/sq?id=1185🔗

問題文正答率:20.00%

問6 総務省及び国立研究開発法人情報通信研究機構(NICT)が 2019 年 2 月から実施している取組“NOTICE”に関する記述のうち,適切なものはどれか。

選択肢

ア NICT が運用するダークネット観測網において, Mirai などのマルウェアに感染した IoT 機器から到達するパケットを分析した結果を当該機器の製造者に提供し,国内での必要な対策を促す。

イ国内のグローバル IP アドレスを有する IoT 機器に,容易に推測されるパスワードを入力することなどによって,サイバー攻撃に悪用されるおそれのある機器を調査し,インターネットサービスプロバイダを通じて当該機器の利用者に注意喚起を行う。

ウ国内の利用者からの申告に基づき,利用者の所有する IoT 機器に対して無料でリモートから,侵入テストや OS の既知の脆弱性の有無の調査を実施し,結果を通知するとともに,利用者が自ら必要な対処ができるよう支援する。

エ製品のリリース前に,不要にもかかわらず開放されているポートの存在,パスワードの設定漏れなど約 200 項目の脆弱性の有無を調査できるテストベッドを国内の IoT 機器製造者向けに公開し,市場に流通する IoT 機器のセキュリティ向上を目指す。

解説・コメント

https://ja.mondder.com/sq?id=1186🔗

問題文正答率:20.00%

問7 経済産業省が“サイバー・フィジカル・セキュリティ対策フレームワーク(Version 1.0)" を策定した主な目的の一つはどれか。

選択肢

ア ICT を活用し,場所や時間を有効に活用できる柔軟な働き方(テレワーク)の形態を示し,テレワークの形態に応じた情報セキュリティ対策の考え方を示すこと

イ新たな産業社会において付加価値を創造する活動が直面するリスクを適切に捉えるためのモデルを構築し,求められるセキュリティ対策の全体像を整理すること

ウクラウドサービスの利用者と提供者が,セキュリティ管理策の実施について容易に連携できるように,実施の手引を利用者向けと提供者向けの対で記述すること

エデータセンタの利用者と事業者に対して“データセンタの適切なセキュリティ”とは何かを考え,共有すべき知見を提供すること

解説・コメント

https://ja.mondder.com/sq?id=1187🔗

問題文正答率:20.00%

問8 CRYPTREC の主な活動内容はどれか。

選択肢

ア暗号技術の技術的検討並びに国際競争力の向上及び運用面での安全性向上に関する検討を行う。

イ情報セキュリティ政策に係る基本戦略の立案,官民における統一的,横断的な情報セキュリティ対策の推進に係る企画などを行う。

ウ組織の情報セキュリティマネジメントシステムについて評価して認証する制度を運用する。

エ認証機関から貸与された暗号モジュール試験報告書作成支援ツールを用いて暗号モジュールの安全性についての評価試験を行う。

解説・コメント

https://ja.mondder.com/sq?id=1188🔗

問題文正答率:20.00%

問9 3D セキュアは,ネットショッピングでのオンライン決済におけるクレジットカードの不正使用を防止する対策の一つである。3D セキュアに関する記述のうち,適切なものはどれか。

選択肢

アクレジットカードの PIN (Personal Identification Number:暗証番号)を入力させ,検証することによって,なりすましによる不正使用を防止する。

イクレジットカードのセキュリティコード(カードの裏面又は表面に記載された 3 桁又は 4 桁の番号)を入力させ,検証することによって,クレジットカードの不正使用を防止する。

ウクレジットカードの有効期限を入力させ,検証することによって,期限切れクレジットカードの不正使用を防止する。

エクレジットカード発行会社にあらかじめ登録したパスワードなど,本人しか分からない情報を入力させ,検証することによって, なりすましによるクレジットカードの不正使用を防止する。

解説・コメント

https://ja.mondder.com/sq?id=1189🔗

問題文正答率:40.00%

問10 インターネットバンキングの利用時に被害をもたらす MITB (Man in the Browser) 攻撃に有効な対策はどれか。

選択肢

アインターネットバンキングでの送金時に接続する Web サイトの正当性を確認できるよう, EV SSL サーバ証明書を採用する。

イインターネットバンキングでの送金時に利用者が入力した情報と,金融機関が受信した情報とに差異がないことを検証できるよう, トランザクション署名を利用する。

ウインターネットバンキングでのログイン認証において,一定時間ごとに自動的に新しいパスワードに変更されるワンタイムパスワードを用意する。

エインターネットバンキング利用時の通信を SSL ではなく TLS を利用して暗号化する。

解説・コメント

https://ja.mondder.com/sq?id=1190🔗

問題文正答率:20.00%

問11 JIS X 9401:2016 (情報技術－クラウドコンピューティング－概要及び用語) の定義によるクラウドサービス区分の一つであり,クラウドサービスカスタマが表中の項番 1 と 2 の責務を負い,クラウドサービスプロバイダが項番 3～5 の責務を負うものはどれか。

項番	責務
1	アプリケーションソフトウェアに対して,データ利用時のアクセス制御と暗号化の設定を行う。
2	アプリケーションソフトウェアに対して,セキュアプログラミングとソースコードの脆弱性診断を行う。
3	DBMS に対して,修正プログラム適用と権限設定を行う。
4	OS に対して,修正プログラム適用と権限設定を行う。
5	ハードウェアに対して,アクセス制御と物理セキュリティ確保を行う。

選択肢

ア HaaS

イ IaaS

ウ PaaS

エ SaaS

解説・コメント

https://ja.mondder.com/sq?id=1191🔗

問題文正答率:20.00%

問12 Web サーバが HTTP over TLS (HTTPS) 通信の応答で cookie に Secure 属性を設定するときの Web サーバ及び Webブラウザの処理はどれか。

選択肢

ア Web サーバでは,cookie 発行時に“Secure=”に続いて時間を設定し, Web ブラウザでは,指定された時間を参照し,指定された時間を過ぎている場合にそのcookie を削除する。

イ Web サーバでは, cookie 発行時に “Secure=”に続いてホスト名を設定し, Web ブラウザでは,指定されたホスト名を参照し,指定されたホストにその cookie を送信する。

ウ Web サーバでは,cookie 発行時に “Secure" を設定し, Web ブラウザでは,それを参照し, HTTPS 通信時にだけその cookie を送信する。

エ Web サーバでは,cookie 発行時に“Secure" を設定し, Web ブラウザでは,それを参照し, Web ブラウザの終了時に cookie の他の属性によらず,その cookie を削除する。

解説・コメント

https://ja.mondder.com/sq?id=1192🔗

問題文正答率:20.00%

問13 ディジタルフォレンジックスに該当するものはどれか。

選択肢

ア画像や音楽などのディジタルコンテンツに著作権者などの情報を埋め込む。

イコンピュータやネットワークのセキュリティ上の弱点を発見するテスト手法の一つであり, システムを実際に攻撃して侵入を試みる。

ウ巧みな話術や盗み聞き,盗み見などの手段によって,ネットワークの管理者や利用者などから,パスワードなどのセキュリティ上重要な情報を入手する。

エ犯罪に関する証拠となり得るデータを保全し,調査,分析,その後の訴訟などに備える。

解説・コメント

https://ja.mondder.com/sq?id=1193🔗

問題文正答率:20.00%

問14 セキュリティ対策として,次の条件の下でデータベース (DB) サーバを DMZ から内部ネットワークに移動するようなネットワーク構成の変更を計画している。このとき,ステートフルパケットインスペクション型のファイアウォール (FW) において,必要となるフィルタリングルールの変更のうちの一つはどれか。

〔条件〕: (1) Web アプリケーション(WebAP) サーバを, インターネットに公開する。; (2) WebAP サーバ上のプログラムだけが DB サーバ上の DB に接続でき, ODBC (Open Database Connectivity) を使用して特定のポート間で通信する。; (3) SSH を使用して各サーバに接続できるのは,運用管理 PC だけである。; (4) フィルタリングルールは、必要な通信だけを許可する設定にする。

〔ネットワーク構成〕

選択肢

ア

イ

ウ

エ

解説・コメント

https://ja.mondder.com/sq?id=1194🔗

問題文正答率:20.00%

問15 DNSSEC で実現できることはどれか。

選択肢

ア DNS キャッシュサーバが得た応答中のリソースレコードが,権威 DNS サーバで管理されているものであり、改ざんされていないことの検証

イ権威 DNS サーバと DNS キャッシュサーバとの通信を暗号化することによる,ゾーン情報の漏えいの防止

ウ長音“ー”と漢数字“一”などの似た文字をドメイン名に用いて,正規サイトのように見せかける攻撃の防止

エ利用者の URL の入力誤りを悪用して,偽サイトに誘導する攻撃の検知

解説・コメント

https://ja.mondder.com/sq?id=1195🔗

問題文正答率:20.00%

問16 SMTP-AUTH の特徴はどれか。

選択肢

ア ISP 管理下の動的 IP アドレスから管理外ネットワークのメールサーバへの SMTP 接続を禁止する。

イ電子メール送信元のメールサーバが送信元ドメインの DNS に登録されていることを確認してから,電子メールを受信する。

ウメールクライアントからメールサーバへの電子メール送信時に,利用者 ID とパスワードによる利用者認証を行う。

エメールクライアントからメールサーバへの電子メール送信は, POP 接続で利用者認証済みの場合にだけ許可する。

解説・コメント

https://ja.mondder.com/sq?id=1196🔗

問題文正答率:20.00%

問17 インターネットサービスプロバイダ (ISP) が,スパムメール対策として導入する IP25B に該当するものはどれか。

選択肢

ア自社 ISP のネットワークの動的 IP アドレスから他社 ISP の管理するメールサーバへの SMTP 通信を制限する。

イ自社 ISP のメールサーバで受信した電子メールのうち, スパムメールのシグネチャに一致する電子メールを隔離する。

ウ他社 ISP のネットワークの動的 IP アドレスから自社 ISP のメールサーバへの SMTP 通信を制限する。

エ他社 ISP のメール不正中継の脆弱性をもつメールサーバから自社 ISP のメールサーバに送信された電子メールを隔離する。

解説・コメント

https://ja.mondder.com/sq?id=1197🔗

問題文正答率:20.00%

問18 図のように,サブネット 192.168.1.0/24 に PC を接続し, サブネット 192.168.2.0/24にある DHCP サーバによって PC の IP アドレスの設定を行いたい。このとき,PC から DHCP サーバに対する最初の問合せの宛先 IP アドレスとして,適切なものはどれか。ここで, PC から DHCP サーバに対する最初の問合せにはブロードキャスト通信が使われ,更に次の条件を満たす。

[条件]: (1) ルータでは DHCP リレーエージェントが動作している。; (2) PC は自分自身のサブネット情報を知らない。

選択肢

ア 192.168.1.0

イ 192.168.1.255

ウ 192.168.2.255

エ 255.255.255.255

解説・コメント

https://ja.mondder.com/sq?id=1198🔗

問題文正答率:20.00%

問19 リモートアクセス環境において,認証情報やアカウンティング情報をやり取りするプロトコルはどれか。

選択肢

ア CHAP

イ PAP

ウ PPTP

エ RADIUS

解説・コメント

https://ja.mondder.com/sq?id=1199🔗

問題文正答率:40.00%

問20 複数台のレイヤ 2 スイッチで構成されるネットワークが複数の経路をもつ場合に,イーサネットフレームのループの発生を防ぐための TCP/IP ネットワークインタフェース層のプロトコルはどれか。

選択肢

ア IGMP

イ RIP

ウ SIP

エスパニングツリープロトコル

解説・コメント

https://ja.mondder.com/sq?id=1200🔗

問題文正答率:20.00%

問21 DBMS がトランザクションのコミット処理を完了するタイミングはどれか。

選択肢

アアプリケーションプログラムの更新命令完了時点

イチェックポイント処理完了時点

ウログバッファへのコミット情報書込み完了時点

エログファイルへのコミット情報書込み完了時点

解説・コメント

https://ja.mondder.com/sq?id=1201🔗

問題文正答率:20.00%

問22 ソフトウェアの要件定義における利用者の分析で活用される,ソフトウェアの利用者を役割ごとに典型的な姿として描いた仮想の人物を何と呼ぶか。

選択肢

アエピック

イステークホルダ

ウプロダクトオーナ

エペルソナ

解説・コメント

https://ja.mondder.com/sq?id=1202🔗

問題文正答率:20.00%

問23 アジャイル開発のプラクティスの一つである“ふりかえり(レトロスペクティブ)”を行う適切なタイミングはどれか。

選択肢

ア“タスクボード”に貼ったタスクカードが移動されたとき

イ各“イテレーション”の最後

ウ毎日行う“朝会”

工毎日メンバの気持ちを見える化する“ニコニコカレンダー”に全チームメンバが記入し終えたとき

解説・コメント

https://ja.mondder.com/sq?id=1203🔗

問題文正答率:40.00%

問24 新システムの開発を計画している。提案された 4 案の中で, TCO (総所有費用)が最小のものはどれか。ここで,このシステムは開発後, 3 年間使用されるものとする。

選択肢

ア A案

イ B案

ウ C案

エ D案

解説・コメント

https://ja.mondder.com/sq?id=1204🔗

問題文正答率:20.00%

問25 プライバシーマークを取得している A 社は,個人情報管理台帳の取扱いについて内部監査を行った。判明した状況のうち,監査人が指摘事項として監査報告書に記載すべきものはどれか。

選択肢

ア個人情報管理台帳に,概数でしかつかめない個人情報の保有件数は概数だけで記載している。

イ個人情報管理台帳に,ほかの項目に加えて,個人情報の保管場所,保管方法,保管期限を記載している。

ウ個人情報管理台帳の機密性を守るための保護措置を講じている。

エ個人情報管理台帳の見直しは,新たな個人情報の取得があった場合にだけ行っている。

解説・コメント

https://ja.mondder.com/sq?id=1205🔗

もう一度解く

±^2√÷789×456+123-C0.=

Official

このアカウントで公開されている過去問に解説をつけたいという方がおられましたら問題差し上げますのでご連絡下さい。。

タイトル:

コメント:

埋め込みコード

Twitter LINE HatenaURL