本試験について

本試験解答情報

テクニカルエンジニア 情報セキュリティ試験 午後[I・II]本試験解答情報

4月19日更新
問題タイトルにつきましては随時修正させていただいております。

午後I
問題1
設問枝問解答配点備考
1 1  a hidden 2
2  b なし 2
c あり 2
2 1  サニタイジング 2
2  d “<” 2
e “&lt;” 2
3 1  f 32 2
g 14 2
h 32 2
i 80 2
2  ひとつの利用者IDに対しては60種類の暗号化文字列しか生成されない。 8
4 1  セッションIDはランダムな値にする。 6
2  セッションが終了した場合には破棄する。 6
問題2
設問枝問解答配点備考
1 a 2
b 2
c 2
d 2
2 1 アクセスに成功した場合も利用者を特定できる情報を残す必要があるため 8
2 設計開発文書に対して都度アクセス権を付与すると業務効率を損なうため 8
3 機能 定期的に設計開発文書のハッシュ値を比較して改ざんを検知できる機能 8
条件 チームリーダのみが承認者としてハッシュ値を生成すること 8
問題3
設問枝問解答配点備考
1 a 認証局 2
b 改ざん 2
2 1 有効期限 2
2 シリアル番号 2
3 c LN=n,W(またはL) 2
d LN=n,W(またはL) 2
e XX 2
f R 2
4 1 辞書攻撃 2
2 共有鍵で相互認証を行うこと 6
3 脅威 なりすまし 2
範囲 MWとICカードの間 4
4 用途 承認者の公開鍵証明書の検証を行うこと 6
情報 認証局の公開かぎ 4
問題4
設問枝問解答配点備考
1 a 盗聴 2
b サーバ(または,SV) 2
2 1 証明書の発行先FQDNの確認 4
2 SVの秘密鍵でしか暗号化した乱数を復号できない。 6
3 悪意のあるサーバに接続されていても、それに気付かないため。 6
有効期限が切れた不正な証明書を持つサーバに接続されるため。 6
3 1 4 2
2 1 攻撃者の公開鍵証明書と、その電子署名を行ったCAの公開鍵を同時に送信する。 6
2 攻撃者がCLとSVの通信を仲立ちする形で、中間攻撃を行う。 6
午後II
問題1
設問枝問解答配点備考
1 1 a 最小特権 3
b 3
c 3
2 システム管理者をデータベース管理とオペレーションの業務に職務分離し,それぞれが職務遂行に必要な最小限の権限を持つようにする 10
3 利用者が人事情報DBにアクセスする場合は許可された利用者ビューだけが利用可能となるように制御する 8
2 1 d 任意 3
e ラベル 3
f 社外秘 3
g 役割 3
2 1 取扱レベル 4
2 権限クラス 4
3 カテゴリ 4
3 1 h クラス4 3
i B製品開発 3
j クラス5 3
k クラス3 3
l F製品開発 3
2 理由 プロジェクトなどの事業部を横断した業務遂行の単位を識別できないため 8
問題 事業部単位でカテゴリを設けると異なるプロジェクト間で不必要な情報資産へのアクセスが可能になり,情報漏えいの危険性が高まる 10
3 1 オペレータが管理文書サーバから機密情報管理サーバに“製品仕様書”ファイルを移動する 10
2 システム管理者が機密情報管理サーバ上の“製品仕様書”の取扱レベルを“取扱注”から“社外秘”にパラメタ変更する 10
4 問題 アクセス制御上の問題:“処理記述”にはクラス5のアクセス権限が必要なのでアクセスに失敗する 8
解決策 “処理記述”の取扱レベルをレビュー時に暫定的に“社外秘“にする 8
問題2
設問枝問解答配点備考
1 1 1 メールサーバとメールサーバ間 3
2 メールサーバと受信者PC間 3
2 メールサーバは利用者認証を行うため否認防止に効果がある。 8
2 1 a ディジタル署名 3
b 送信者 3
c 暗号化 3
d 秘密鍵 3
e 公開鍵 3
f BASE64 3
g 6 3
h 24 3
i 3 3
j 1.3 3
2 subjectは暗号化されないため 4
3 メールのディジタル署名をJ社の調達担当者の公開鍵証明書で検証する 8
3 1 定期的なパスワードの更新と通知を一括管理できるため 8
2 デイレクトリアクセスする方法:親ディレクトリに移動する相対パスを入力して任意のディレクトリを指定する 8
ファイルをアクセスする方法:%00を入力して.cep拡張子を無視させて任意のファイル名を指定する 8
3 ファイルの指定文字列に使用する40字以外の文字列が含まれないように入力値をチェックし危険文字はエスケープする 10
4 1 Webサーバのファイルの内容は暗号化されていないため 8
2 特定の開発担当者に許可されたアクセスをさせる必要があるため 8
3 確認 サーバ証明書の警告内容を確認する 6
目的 悪意のある偽のサーバに認証情報を送付しないようにJ社Webサーバにアクセスしていることを確認する 8

ページトップへ