情報処理安全確保支援士試験（SC）午前Ⅱ過去問令和4年度春期試験（解説なし）

説明:

情報処理推進機構（IPA）の実施する情報処理安全確保支援士試験（SC）2022年春午前2の問題になります。

カテゴリー:IT・ICT

キーワード:情報処理技術者試験

設問数:25問

価格:0円

総利用数:1回

オプション

問題数を絞る~

制限時間（全体）分

制限時間（個別）秒

シャッフルする

選択肢を隠す

問題を読み上げる

解説を読み上げる

効果音をつける

情報処理安全確保支援士試験（SC）午前Ⅱ過去問令和4年度春期試験（解説なし）

問題文正答率:50.00%

問1 Web サーバのログを分析したところ, Web サーバへの攻撃と思われる HTTP リクエストヘッダが記録されていた。次の HTTP リクエストヘッダから推測できる,攻撃者が悪用しようとしていた可能性が高い脆弱性はどれか。ここで, HTTP リクエストヘッダ中の“%20”は空白を意味する。

[HTTP リクエストヘッダの一部]: GET /cgi-bin/submit.cgi?user=;cat%20/etc/passwd HTTP/1.1; Accept: */*; Accept-Language: ja; UA-CPU: x86; Accept-Encoding: gzip, deflate; User-Agent: (省略); Host: test, example.com; Connection: Keep-Alive

選択肢

ア HTTP ヘッダインジェクション (HTTP Response Splitting)

イ OS コマンドインジェクション

ウ SQL インジェクション

エクロスサイトスクリプティング

解説・コメント

https://ja.mondder.com/sq?id=1316🔗

問題文正答率:50.00%

問2 SAML (Security Assertion Markup Language) の説明として,最も適切なものはどれか。

選択肢

ア Web サービスに関する情報を公開し, Web サービスが提供する機能などを検索可能にするための仕様

イ権限がない利用者による読取り,改ざんから電子メールを保護して送信するための仕様

ウデジタル署名に使われる鍵情報を効率よく管理するための Web サービスの仕様

エ認証情報に加え,属性情報と認可情報を異なるドメインに伝達するための Web サービスの仕様

解説・コメント

https://ja.mondder.com/sq?id=1317🔗

問題文正答率:50.00%

問3 暗号化装置における暗号化処理時の消費電力を測定するなどして,当該装置内部の秘密情報を推定する攻撃はどれか。

選択肢

アキーロガー

イサイドチャネル攻撃

ウスミッシング

エ中間者攻撃

解説・コメント

https://ja.mondder.com/sq?id=1318🔗

問題文正答率:50.00%

問4 パスワードに使用できる文字の種類の数を M, パスワードの文字数を n とするとき,設定できるパスワードの理論的な総数を求める数式はどれか。

選択肢

ア Mⁿ

イ

ウ

エ r04h_sc_am2_qs_4_e

解説・コメント

https://ja.mondder.com/sq?id=1319🔗

問題文正答率:50.00%

問5 標的型攻撃における攻撃者の行動をモデル化したものの一つにサイバーキルチェーンがあり,攻撃者の行動を 7 段階に分類している。標的とした会社に対する攻撃者の行動のうち,偵察の段階に分類されるものはどれか。

選択肢

ア攻撃者が,インターネットに公開されていない社内ポータルサイトから,会社の組織図,従業員情報,メールアドレスなどを入手する。

イ攻撃者が,会社の役員が登録している SNS サイトから,攻撃対象の人間関係,趣味などを推定する。

ウ攻撃者が,取引先になりすまして,標的とした会社にマルウェアを添付した攻撃メールを送付する。

エ攻撃者が,ボットに感染した PC を遠隔操作して社内ネットワーク上の PC を次々にマルウェア感染させて,利用者 ID とパスワードを入手する。

解説・コメント

https://ja.mondder.com/sq?id=1320🔗

問題文正答率:50.00%

問6 量子暗号の特徴として,適切なものはどれか。

選択肢

ア暗号化と復号の処理を,量子コンピュータを用いて瞬時に行うことができるので,従来のコンピュータでの処理に比べて大量のデータの秘匿を短時間で実現できる。

イ共通鍵暗号方式であり,従来の情報の取扱量の最小単位であるビットの代わりに量子ビットを用いることによって,瞬時のデータ送受信が実現できる。

ウ量子雑音を用いて疑似乱数を発生させて共通鍵を生成し、公開鍵暗号方式で共有することによって,解読が困難な秘匿通信が実現できる。

エ量子通信路を用いて安全に共有した乱数列を使い捨ての暗号鍵として用いることによって,原理的に第三者に解読されない秘匿通信が実現できる。

解説・コメント

https://ja.mondder.com/sq?id=1321🔗

問題文正答率:50.00%

問7 安全・安心な IT 社会を実現するために創設された制度であり, IPA“中小企業の情報セキュリティ対策ガイドライン”に沿った情報セキュリティ対策に取り組むことを中小企業などが自己宣言するものはどれか。

選択肢

ア ISMS 適合性評価制度

イ IT セキュリティ評価及び認証制度

ウ MyJVN

エ SECURITY ACTION

解説・コメント

https://ja.mondder.com/sq?id=1322🔗

問題文正答率:50.00%

問8 総務省及び国立研究開発法人情報通信研究機構 (NICT) が 2019 年 2 月から実施している取組“NOTICE" に関する記述のうち,適切なものはどれか。

選択肢

ア NICT が運用するダークネット観測網において, Mirai などのマルウェアに感染した IoT 機器から到達するパケットを分析した結果を当該機器の製造者に提供し,国内での必要な対策を促す。

イ国内のグローバル IP アドレスを有する IoT 機器に対して,容易に推測されるパスワードを入力することなどによって,サイバー攻撃に悪用されるおそれのある機器を調査し,インターネットサービスプロバイダを通じて当該機器の利用者に注意喚起を行う。

ウ国内の利用者からの申告に基づき,利用者の所有する IoT 機器に対して無料でリモートから,侵入テストや OS の既知の脆弱性の有無の調査を実施し,結果を通知するとともに,利用者が自ら必要な対処ができるよう支援する。

エ製品のリリース前に,不要にもかかわらず開放されているポートの存在,パスワードの設定漏れなど約 200 項目の脆弱性の有無を調査できるテストベッドを国内の IoT 機器製造者向けに公開し,市場に流通する IoT 機器のセキュリティ向上を目指す。

解説・コメント

https://ja.mondder.com/sq?id=1323🔗

問題文正答率:50.00%

問9 経済産業省と IPA が策定した“サイバーセキュリティ経営ガイドライン(Ver2.0)”に関する記述のうち,適切なものはどれか。

選択肢

ア経営者が,実施するサイバーセキュリティ対策を投資ではなくコストとして捉えることを重視し,コストパフォーマンスの良いサイバーセキュリティ対策をまとめたものである。

イ経営者が認識すべきサイバーセキュリティに関する原則と,経営者がリーダシップを発揮して取り組むべき項目を取りまとめたものである。

ウ事業の規模やビジネスモデルによらず,全ての経営者が自社に適用すべきサイバーセキュリティ対策を定めたものである。

エ製造業のサプライチェーンを構成する小規模事業者の経営者が,サイバー攻撃を受けた際に行う事後対応をまとめたものである。

解説・コメント

https://ja.mondder.com/sq?id=1324🔗

問題文正答率:50.00%

問10 CRYPTREC の主な活動内容はどれか。

選択肢

ア暗号技術の技術的検討並びに国際競争力の向上及び運用面での安全性向上に関する検討を行う。

イ情報セキュリティ政策に係る基本戦略の立案,官民における統一的,横断的な情報セキュリティ対策の推進に係る企画などを行う。

ウ組織の情報セキュリティマネジメントシステムを評価して認証する制度を運用する。

エ認証機関から貸与された暗号モジュール試験報告書作成支援ツールを用いて暗号モジュールの安全性についての評価試験を行う。

解説・コメント

https://ja.mondder.com/sq?id=1325🔗

問題文正答率:50.00%

問11 インターネットバンキングの利用時に被害をもたらす MITB (Man-in-theBrowser) 攻撃に有効なインターネットバンクでの対策はどれか。

選択肢

アインターネットバンキングでの送金時に接続する Web サイトの正当性を利用者が確認できるよう, EV SSL サーバ証明書を採用する。

イインターネットバンキングでの送金時に利用者が入力した情報と,金融機関が受信した情報とに差異がないことを検証できるよう,トランザクション署名を利用する。

ウインターネットバンキングでのログイン認証において,一定時間ごとに自動的に新しいパスワードに変更されるワンタイムパスワードを導入する。

エインターネットバンキング利用時の通信を SSL ではなく TLS を利用して暗号化するように Web サイトを設定する。

解説・コメント

https://ja.mondder.com/sq?id=1326🔗

問題文正答率:50.00%

問12 JIS X 9401:2016 (情報技術ークラウドコンピューティングー概要及び用語)の定義によるクラウドサービス区分の一つであり,クラウドサービスカスタマが表中の項番 1 と 2 の責務を負い, クラウドサービスプロバイダが項番 3 ～ 5 の責務を負うものはどれか。

項番	責務
1	アプリケーションソフトウェアに対して,データ利用時のアクセス制御と暗号化の設定を行う。
2	アプリケーションソフトウェアに対して,セキュアプログラミングとソースコードの脆弱性診断を行う。
3	DBMS に対して,修正プログラム適用と権限設定を行う。
4	OS に対して,修正プログラム適用と権限設定を行う。
5	ハードウェアに対して,アクセス制御と物理セキュリティ確保を行う。

選択肢

ア HaaS

イ IaaS

ウ PaaS

エ SaaS

解説・コメント

https://ja.mondder.com/sq?id=1327🔗

問題文正答率:50.00%

問13 DNSSEC で実現できることはどれか。

選択肢

ア DNS キャッシュサーバが得た応答中のリソースレコードが,権威 DNS サーバで管理されているものであり,改ざんされていないことの検証

イ権威 DNS サーバと DNS キャッシュサーバとの通信を暗号化することによる, ゾーン情報の漏えいの防止

ウ長音“ー”と漢数字“一”などの似た文字をドメイン名に用いて,正規サイトのように見せかける攻撃の防止

エ利用者の URL の入力誤りを悪用して,偽サイトに誘導する攻撃の検知

解説・コメント

https://ja.mondder.com/sq?id=1328🔗

問題文正答率:50.00%

問14 HTTP Strict Transport Security (HSTS)の動作はどれか。

選択肢

ア HTTP over TLS (HTTPS) によって接続しているとき, EV SSL 証明書であることを利用者が容易に識別できるように, Web ブラウザのアドレス表示部分を緑色に表示する。

イ Web サーバからコンテンツをダウンロードするとき,どの文字列が秘密情報かを判定できないように圧縮する。

ウ Web サーバと Web ブラウザとの間の TLS のハンドシェイクにおいて,一度確立したセッションとは別の新たなセッションを確立するとき,既に確立したセッションを使って改めてハンドシェイクを行う。

エ Web サイトにアクセスすると, Web ブラウザは,以降の指定された期間,当該サイトには全て HTTPS によって接続する。

解説・コメント

https://ja.mondder.com/sq?id=1329🔗

問題文正答率:50.00%

問15 TLS に関する記述のうち,適切なものはどれか。

選択肢

ア TLS で使用する Web サーバのデジタル証明書には IP アドレスの組込みが必須なので, Web サーバの IP アドレスを変更する場合は,デジタル証明書を再度取得する必要がある。

イ TLSで使用する共通鍵の長さは, 128 ビット未満で任意に指定する。

ウ TLS で使用する個人認証用のデジタル証明書は, IC カードにも格納することができ,利用する PC を特定の PC に限定する必要はない。

エ TLS は Web サーバと特定の利用者が通信するためのプロトコルであり, Web サーバへの事前の利用者登録が不可欠である。

解説・コメント

https://ja.mondder.com/sq?id=1330🔗

問題文正答率:50.00%

問16 電子メールをスマートフォンで受信する際のメールサーバとスマートフォンとの間の通信を,メール本文を含めて暗号化するプロトコルはどれか。

選択肢

ア APOP

イ MAPS

ウ POP3

エ SMTP Submission

解説・コメント

https://ja.mondder.com/sq?id=1331🔗

問題文正答率:50.00%

問17 利用者認証情報を管理するサーバ 1 台と複数のアクセスポイントで構成された無線LAN 環境を実現したい。 PC が無線 LAN 環境に接続するときの利用者認証とアクセス制御に, IEEE 802.1X と RADIUS を利用する場合の標準的な方法はどれか。

選択肢

ア PC には IEEE 802.1X のサプリカントを実装し,かつ, RADIUS クライアントの機能をもたせる。

イアクセスポイントには IEEE 802.1X のオーセンティケータを実装し,かつ, RADIUS クライアントの機能をもたせる。

ウアクセスポイントには IEEE 802.1X のサプリカントを実装し,かつ, RADIUS サーバの機能をもたせる。

エサーバには IEEE 802.1X のオーセンティケータを実装し,かつ, RADIUS サーバの機能をもたせる。

解説・コメント

https://ja.mondder.com/sq?id=1332🔗

問題文正答率:50.00%

問18 IEEE 802.11a/b/g/n で採用されているアクセス制御方式はどれか。

選択肢

ア CSMA/CA

イ CSMA/CD

ウ LAPB

エトークンパッシング方式

解説・コメント

https://ja.mondder.com/sq?id=1333🔗

問題文正答率:50.00%

問19 インターネットに接続された PC の時刻合わせに使用されるプロトコルはどれか。

選択肢

ア NNTP

イ RTCP

ウ SNTP

エ TFTP

解説・コメント

https://ja.mondder.com/sq?id=1334🔗

問題文正答率:50.00%

問20 複数台のレイヤ 2 スイッチで構成されるネットワークが複数の経路をもつ場合に,イーサネットフレームのループが発生することがある。そのループの発生を防ぐための TCP/IP ネットワークインタフェース層のプロトコルはどれか。

選択肢

ア IGMP

イ RIP

ウ SIP

エスパニングツリープロトコル

解説・コメント

https://ja.mondder.com/sq?id=1335🔗

問題文正答率:50.00%

問21 データウェアハウスのメタデータに関する記述のうち,データリネージはどれか。

選択肢

ア誰がどのデータを見てよいかを示す情報であり,適切なアクセス制御を目的として設定される。

イデータが誰によって作られ管理されているかを示す情報であり,データ構造やデータ辞書を見ても意味が分からないときの問合せ先を表す。

ウデータがどこから発生し,どのような変換及び加工を経て,現在の形になったかを示す情報であり,データの生成源の特定又は障害時の影響調査に利用できる。

エデータ構造がどのように定義されているかを示す情報であり, Web サイトなどに公開して検索できるようにする。

解説・コメント

https://ja.mondder.com/sq?id=1336🔗

問題文正答率:50.00%

問22 システムに規定外の無効なデータが入力されたとき,誤入力であることを伝えるメッセージを表示して正しい入力を促すことによって,システムを異常終了させない設計は何というか。

選択肢

アフールプルーフ

イフェールセーフ

ウフェールソフト

エフォールトトレランス

解説・コメント

https://ja.mondder.com/sq?id=1337🔗

問題文正答率:50.00%

問23 JIS X 0160:2021 (ソフトウェアライフサイクルプロセス) によれば,ライフサイクルモデルの目的及び成果を達成するために,ライフサイクルプロセスを修正するか, 又は新しいライフサイクルプロセスを定義することを何というか。

選択肢

アシミュレーション

イ修整 (Tailoring)

ウ統治 (Governance)

エベンチマーキング

解説・コメント

https://ja.mondder.com/sq?id=1338🔗

問題文正答率:50.00%

問24 サービス提供時間帯が毎日 0～24 時の IT サービスにおいて,ある年の 4 月 1 日 0 時から 6 月 30 日 24 時までのサービス停止状況は表のとおりであった。システムバージョンアップ作業に伴う停止時間は,計画停止時間として顧客との間で合意されている。このとき, 4 月 1 日から 6 月 30 日までの IT サービスのサービス可用性は何%か。ここで, サービス可用性 (%) は小数第3位を四捨五入するものとする。

[サービス停止状況]

停止理由	停止時間
システムバージョンアップ作業に伴う停止	5 月 2 日 22 時から 5 月 6 日 10 時までの84 時間
ハードウェア故障に伴う停止	6 月 26 日 10 時から 20 時までの 10 時間

選択肢

ア 95.52

イ 95.70

ウ 99.52

エ 99.63

解説・コメント

https://ja.mondder.com/sq?id=1339🔗

問題文正答率:50.00%

問25 金融庁“財務報告に係る内部統制の評価及び監査に関する実施基準(令和元年)”におけるアクセス管理に関して,内部統制のうちの IT に係る業務処理統制に該当するものはどれか。

選択肢

ア組織としてアクセス管理規程を定め,統一的なアクセス管理を行う。

イ組織としてアクセス権限の設定方針を定め,周知徹底を図る。

ウ組織内のアプリケーションシステムに,業務内容に応じた権限を付与した利用者 ID とパスワードによって認証する機能を設ける。

エ組織内の全ての利用者に対して,アクセス管理の重要性についての教育を行う。

解説・コメント

https://ja.mondder.com/sq?id=1340🔗

もう一度解く

±^2√÷789×456+123-C0.=

Official

このアカウントで公開されている過去問に解説をつけたいという方がおられましたら問題差し上げますのでご連絡下さい。。

タイトル:

コメント:

埋め込みコード

Twitter LINE HatenaURL