セキュリティ
暗号技術、認証、マルウェア対策、情報セキュリティ管理を学びます。
107問収録
セキュリティの問題を解く公開鍵暗号方式の特徴として適切なものはどれか。
SQLインジェクション攻撃への対策として最も有効なものはどれか。
HTTPとHTTPSを比較した場合において、HTTPSだけがもつ特徴を示したものはどれ か。
ドライブバイダウンロード攻撃に該当するものはどれか。
ペネトレーションテストに該当するものはどれか。
暗号の危殆化に該当するものはどれか。
メッセージ認証コード(MAC)とデジタル署名を比較したとき、デジタル署名だけが提供できる特性として、最も適切なものはどれか。
図のような構成と通信サービスのシステムにおいて、Webアプリケーションの脆弱性対策のためのWAFの設置場所として、最も適切な箇所はどこか。ここで、WAFには通信を暗号化したり、復号したりする機能はないものとする。
SQLインジェクションの対策として、有効なものはどれか。
WAFの説明はどれか。
パスワードをハッシュ値として保存するシステムにおいて、レインボーテーブル攻撃を無効化する効果が最も高い対策はどれか。
チャレンジレスポンス認証の仕組みとして、最も適切なものはどれか。
共通鍵暗号方式と公開鍵暗号方式の比較として、適切なものはどれか。
デジタル署名の目的として、適切なものの組み合わせはどれか。 a. 送信者の本人確認(なりすまし防止) b. メッセージの機密性(第三者への内容漏洩防止) c. メッセージの改ざん検知 d. 送信者による送信の否認防止
認証局(CA:Certificate Authority)とデジタル証明書に関する記述として、適切なものはどれか。
ファイアウォールのパケットフィルタリング機能に関する記述として、適切なものはどれか。
SQLインジェクション攻撃の説明と対策の組み合わせとして、適切なものはどれか。
クロスサイトスクリプティング(XSS)に関する記述として、適切なものはどれか。
マルウェアの種類と特徴の組み合わせとして、適切なものはどれか。
多要素認証(MFA:Multi-Factor Authentication)に関する記述として、適切なものはどれか。
ゼロトラストセキュリティモデルの基本的な考え方として最も適切なものはどれか。
ゼロトラストセキュリティWAF(Web Application Firewall)の説明として適切なものはどれか。
WAFIDS(Intrusion Detection System)とIPS(Intrusion Prevention System)の違いとして最も適切な説明はどれか。
IDS/IPSファイアウォールを2台用いてDMZを構成する場合、DMZに配置すべきサーバの組み合わせとして最も適切なものはどれか。
DMZPKI(Public Key Infrastructure)において、デジタル証明書を発行・管理する機関の名称はどれか。
PKI(公開鍵基盤)ワンタイムパスワード(OTP)を認証に利用する主な目的として最も適切なものはどれか。
ワンタイムパスワードCSRF(Cross-Site Request Forgery)攻撃への対策として適切なものはどれか。
CSRF対策ソーシャルエンジニアリング攻撃の例として最も適切なものはどれか。
ソーシャルエンジニアリングISMSの認証規格であるISO/IEC 27001に関する説明として、最も適切なものはどれか。
情報セキュリティ管理リスクアセスメントにおいてリスク値を算出する式として、最も適切なものはどれか。
情報セキュリティ管理組織の情報セキュリティポリシの構成に関する説明として、最も適切なものはどれか。
情報セキュリティ管理ペネトレーションテストの説明として、最も適切なものはどれか。
情報セキュリティ管理デジタルフォレンジックの説明として、最も適切なものはどれか。
情報セキュリティ管理CSIRTに関する説明として、最も適切なものはどれか。
情報セキュリティ管理バッファオーバーフロー攻撃への対策として、最も適切なものはどれか。
情報セキュリティ管理CRYPTRECが作成する「電子政府推奨暗号リスト」に関する説明として、最も適切なものはどれか。
情報セキュリティ管理10人のユーザが互いに共通鍵暗号を使って通信を行う場合、必要な鍵の総数はいくつか。
英小文字のみ(a〜z、26文字)を使った4桁のパスワードの組合せは何通りか。
あるシステムへの不正アクセスが発生する確率が 0.1(年間)で、発生した場合の損害額が 1,000万円と見積もられる。このリスクの年間期待損失額(リスク値)はいくつか。
AさんがBさんに秘密のメッセージを公開鍵暗号で送るとき、暗号化と復号の組合せとして正しいものはどれか。
ブロックチェーンの仕組みに関する記述として、最も適切なものはどれか。
新技術トレンドゼロトラストネットワークに関する記述として、最も適切なものはどれか。
新技術トレンドリソース制約のある IoT エッジデバイスにおいて、データの真正性確認(改ざん検出)と認証を効率的に実現するために最も適した手法はどれか。
IoTエッジデバイスのセキュリティパスワードリスト攻撃とブルートフォース攻撃の違いに関する記述として、最も適切なものはどれか。
セキュリティ実践レインボーテーブル攻撃への対策としてソルト(salt)を使用する目的として、最も適切なものはどれか。
セキュリティ実践SIEM(Security Information and Event Management)の機能として、最も適切なものはどれか。
セキュリティ実践ハニーポット(honeypot)に関する記述として、最も適切なものはどれか。
セキュリティ実践セキュリティにおけるサンドボックス(sandbox)の主な目的として、最も適切なものはどれか。
セキュリティ実践コードサイニング(コード署名)に関する記述として、最も適切なものはどれか。
セキュリティ実践TPM(Trusted Platform Module)の主な機能として、最も適切なものはどれか。
セキュリティ実践生体認証システムにおけるFAR(他人受入率)とFRR(本人拒否率)の関係として、最も適切なものはどれか。
セキュリティ実践共通鍵暗号において、鍵長を56ビット(DES)から128ビット(AES)に変更した場合、総当たり攻撃に必要な試行回数(セキュリティ強度)は理論上何倍になるか。
計算問題誕生日問題(birthday problem)のハッシュ衝突への応用に関する記述として、最も適切なものはどれか。
計算問題楕円曲線暗号(ECC: Elliptic Curve Cryptography)の特徴として、最も適切なものはどれか。
セキュリティ応用AESとDESの比較に関する記述として、最も適切なものはどれか。
セキュリティ応用Kerberos認証の仕組みに関する記述として、最も適切なものはどれか。
セキュリティ応用RADIUS(Remote Authentication Dial-In User Service)の役割に関する記述として、最も適切なものはどれか。
セキュリティ応用OAuth 2.0の認可コードフロー(Authorization Code Flow)に関する記述として、最も適切なものはどれか。
セキュリティ応用JWT(JSON Web Token)に関する記述として、最も適切なものはどれか。
セキュリティ応用SAML(Security Assertion Markup Language)に関する記述として、最も適切なものはどれか。
セキュリティ応用デジタル証明書の失効確認方式に関する記述として、最も適切なものはどれか。
セキュリティ応用ブロック暗号のECB(Electronic Codebook)モードの弱点として最も適切なものはどれか。
CBC(Cipher Block Chaining)モードの特徴として正しいものはどれか。
SHA-256に関する記述として正しいものはどれか。
HMAC(Hash-based Message Authentication Code)の主な目的として正しいものはどれか。
RFC 3161で規定されたタイムスタンプ(TSA: Time Stamping Authority)の仕組みの説明として正しいものはどれか。
S/MIME(Secure/Multipurpose Internet Mail Extensions)の説明として正しいものはどれか。
TLS 1.3のハンドシェイクにおいて、クライアントとサーバが「セッション鍵」を合意する仕組みとして正しいものはどれか。
ゼロ知識証明(Zero-Knowledge Proof)の説明として正しいものはどれか。
OWASP Top 10について正しく説明しているものはどれか。
セキュリティ実践セキュリティバイデザイン(Security by Design)の考え方として最も正しいものはどれか。
セキュリティ実践DevSecOpsの説明として最も正しいものはどれか。
セキュリティ実践脅威モデリング手法STRIDEの各頭文字が表す脅威カテゴリとして正しいものはどれか。
セキュリティ実践ペネトレーションテストの手法について正しいものはどれか。
セキュリティ実践バグバウンティプログラムの特徴として最も正しいものはどれか。
セキュリティ実践セキュリティ情報共有の標準規格であるSTIXとTAXIIについての説明として最も正しいものはどれか。
セキュリティ実践ランサムウェア対策として最も効果的な組み合わせはどれか。
セキュリティ実践SAST・DAST・IASTの説明として、最も適切なものはどれか。
セキュリティ実践SBOM(Software Bill of Materials:ソフトウェア部品表)に関する説明として、最も適切なものはどれか。
セキュリティ実践ソフトウェアサプライチェーンセキュリティに関する脅威と対策の説明として、最も適切なものはどれか。
セキュリティ実践CSPM(Cloud Security Posture Management:クラウドセキュリティ態勢管理)の主な機能として、最も適切なものはどれか。
セキュリティ実践EDRとXDRの違いに関する説明として、最も適切なものはどれか。
セキュリティ実践SOAR(Security Orchestration, Automation and Response)に関する説明として、最も適切なものはどれか。
セキュリティ実践CTI(Cyber Threat Intelligence:サイバー脅威インテリジェンス)に関する説明として、最も適切なものはどれか。
セキュリティ実践インシデントレスポンス手順の一般的なフェーズとして、最も適切な順序はどれか。
セキュリティ実践データ列 0x12, 0x34, 0x56, 0x78 のチェックサム(各バイトの和の下位8ビット)として正しいものはどれか。
128ビット鍵と256ビット鍵を比べたとき、256ビット鍵の総当たり攻撃に対する強度は128ビット鍵の何倍か。
ハッシュ関数の誕生日攻撃(衝突探索)において、n ビットのハッシュ値で衝突を見つけるのに必要な試行回数の期待値として最も適切なものはどれか。
英小文字(26種)・大文字(26種)・数字(10種)の計62種類から8文字のパスワードを設定した場合、毎秒10億回(10⁹回)の総当たり攻撃に要する時間として最も近いものはどれか。ただし log₂62≈5.95 として計算すること。
X.509証明書チェーンの検証手順として、最も適切な順序はどれか。
RSA暗号で素数 p=11、q=13 を選んだとき、公開鍵 e=7 に対応する秘密鍵 d の値として正しいものはどれか。ただし d は 7d ≡ 1 (mod 120) を満たす最小の正の整数とする。
ディフィー・ヘルマン鍵交換において、公開パラメータを素数 p=23、生成元 g=5 とする。アリスの秘密鍵 a=6、ボブの秘密鍵 b=15 のとき、共有秘密鍵の値として正しいものはどれか。
セッション鍵を頻繁に更新することで得られる「前方秘匿性(Forward Secrecy)」の効果として最も適切な説明はどれか。
AES-256暗号化を用いるシステムで、暗号化なしのスループットが100MB/sのとき、暗号化処理によってスループットが80MB/sに低下した。暗号化オーバーヘッド率として正しいものはどれか。
CSRFトークンによる防御の仕組みとして正しいものはどれか。
XSS(クロスサイトスクリプティング)の3種類の分類として正しい組み合わせはどれか。
プレースホルダ(バインド変数)がSQLインジェクションを防ぐ理由として正しいものはどれか。
セッション固定攻撃(Session Fixation)に対する防御として最も効果的なものはどれか。
CORS(Cross-Origin Resource Sharing)の仕組みとして正しいものはどれか。
HSTSヘッダ「Strict-Transport-Security: max-age=31536000; includeSubDomains; preload」のmax-ageの意味として正しいものはどれか。
CSP(Content Security Policy)でインラインスクリプトの実行を禁止する設定として正しいものはどれか。
サイドチャネル攻撃の種類と観測する情報の組み合わせとして正しいものはどれか。
シグネチャ型IDSとアノマリ型IDSの特性を比較した説明として正しいものはどれか。
IPアドレス 192.168.10.0/24 のネットワークを、最低4つのサブネットに均等分割したい。このとき使用するサブネットマスクと、各サブネットで使用できるホスト数(ネットワークアドレスとブロードキャストアドレスを除く)の組合せとして正しいものはどれか。
社内ネットワークとインターネットの境界に設置するファイアウォールのルール設計として、「社内からHTTPS(ポート443)の通信は許可、外部からの全インバウンド通信はデフォルト拒否」を実現する設定として最も適切なものはどれか。
RBACモデル(Role-Based Access Control)に関して、次の状況で最も適切な権限管理の説明はどれか。社員が異動して部署が変わる場合。
TLS相互認証(クライアント証明書認証)を用いたHTTPS通信のフローで、サーバがクライアントの身元を確認するために行う処理として正しいものはどれか。