情報セキュリティ・キーワード 2016 ④ 技術的対策編

ネットワーク、ミドルウェア、アプリケーション、データベース、OS、ハードウェア、など、多種多様な要素のそれぞれについて、個別に技術的にセキュリティ対策がとられています。

• １．電子メールのセキュリティ
• ２．Web のセキュリティ
• ３．クラウドサービスのセキュリティ
• ４．ミドルウェアやプラグインのセキュリティ
• ５．アプリケーションのセキュリティ
• ５－１．セキュアプログラミング
• ５－２．バッファオーバフロー対策
• ５－３．クロスサイトスクリプティング対策
• ５－４．SQL インジェクション対策
• ６．データベースのセキュリティ
• ６－１．データベース暗号化
• ６－２．データベースアクセス制御
• ６－３．データベースバックアップ

• ７．無線 LAN のセキュリティ
• ７－１．SSID とは
• ７－２．無線 LAN の暗号化
• ７－３．無線 LAN の認証方式
• ８．スマートフォンのセキュリティ
• ９．オペレーティングシステムのセキュリティ
• １０．ハードウェアのセキュリティ
• １１．その他
• １２．情報処理技術試験の過去問題

１．電子メールのセキュリティ

スパムメール （Spam Mail）は、受信者の同意なく、無差別かつ大量に送信される電子メールです。迷惑メールともいいます。スパムメールの中には、ウイルスが仕組まれたファイルが添付されていたり、フィッシングサイトへ誘導するリンクが含まれているフィッシングメールだったりすることもあります。

受信者は、送信者やタイトルに心当たりのない場合や不審と思われる場合は開かない、内容が不審な場合はメール上のリンクを使わない、怪しいと思われる添付ファイルを開かない、などが一般的な対策としてとられています。

SPF （Sender Policy Framework）は、 ドメインを管理している DNS サーバにおいて、SPF の書式に従って TXT レコードを作成します（この TXT レコードは SPF レコードと呼ばれます）。送信者のドメインの認証を行うの方法のひとつで、差出人のメールアドレスのなりすましを検出します。

DKIM （Domainkeys Identified Mail）は、送信側で電子メールに電子署名を付加し、受信側でその電子署名を照合するという方法で送信者のドメインの認証を行います。

ベイジアンフィルタ (Bayesian Filter) は、ベイズ推定と呼ばれる統計的手法を応用して迷惑メールを判定します。受信者が迷惑メールと通常のメールを分類したものから、それぞれのメールの内容を解析・学習し、それ以降の受信メールを自動的に分類するフィルタです。学習量が増えるとフィルタの分類精度が上昇するという特徴をもちます。

サンドボックス （Sandbox）は、メールの添付ファイルなど、不審なファイルを保護された領域で実行し、その振る舞いを分析することによって、悪意あるソフトウェアかどうかを判定します。

OP25B （Outbound Port 25 Blocking）は、ISP 側で許可した特定のサーバ以外の SMTP（通常使用される TCP ポート 25 番）の送信をブロックします。第三者による送信用メールサーバの不正利用を防ぎます。

サブミッションポート 587 （Submission Port 587）は、従来よりメール送信に利用しているポート 25 番とは別に、メール送信の受付専用に利用するポート（port 587）です。あわせて、SMTP AUTH による送信者の認証を行います。OP25B により、不正利用ではないメール送信における影響への対策です。

SMTP AUTH （SMTP Authentication）は、メールを送信する際にユーザの認証を行い、許可された場合のみメールを送信可能とします。

２．Web のセキュリティ

URL フィルタリング （URL Filtering ）は、特定の Web サイトへのアクセスを制限する仕組みです。アクセスを許可する URL のみを設定するホワイトリスト方式と、アクセスを拒否する URL のみを設定するブラックリスト方式があります。また、マルウェアを配布している不正な Web サイトへのアクセスや、不正に誘導される Web サイトへのアクセスを拒否するリストなど、目的による提供もあります。

コンテンツフィルタリング （Contents Filtering）は、Web ページのコンテンツ内容を判断して、好ましくない Web サイトへのアクセスを拒否する、あるいは、内容に一定の規制をかける仕組みです。Web 閲覧の制限のほか、メールの送受信において、メール内容から不正な情報の流入や機密情報の漏えいの判断にも用いられています。

Web アプリケーションファイアウォール （Web Application Firewall：WAF）は、Web アプリケーションが稼働しているサーバへの攻撃を検出します。Web サーバとの通信（HTTP/HTTPS）内容を検査して、Web アプリケーションへの攻撃を検出します。検出の基本となるのはシグネチャ（不正な通信、不正な攻撃パターンをまとめた定義ファイル）とのマッチングです。シグネチャに合致するものを不正な通信として検出します。

３．クラウドサービスのセキュリティ

クラウドサービス上で利用するデータは、選別すべきです。

機密性の高いデータの保存には、慎重な検討が必要です。また、クラウドサービス上のデータ共有やデータ転送ては、意図しない公開や変更などのトラブル事例があります。さらに、クラウドサービスに障害が発生すると、サービスが利用できなくなってしまいます。回線事業者に障害が発生してしまっても利用できなくなってしまいます。

クラウドサービスのセキュリティは、多要素認証、ファイルや通信経路の暗号化など、機能強化が進められています。

４．ミドルウェアやプラグインのセキュリティ

最新バージョンへのアップデートやパッチの適用を行い、アップデートが長らく停止している場合は、使用を中止するなどします。

５．アプリケーションのセキュリティ

５－１．セキュアプログラミング

プログラミングの過程で、脆弱性を作り込まないための対策や技法です。

入力バリデーション、安全な出力（エンコード、エスケープ、サニタイズ）、エラー処理や例外処理、メモリ管理やリソース管理の徹底、最小権限での実装、コンパイラレベルのバグの完全除去、組織でのセキュアコーディング標準（規約）の採用などがあります。

入力バリデーションは、書式や形式、特定の文字列や文字構成、文字種、文字数などについての入力規則をもとに入力値が妥当か検証します。

エンコードは、符号化のための規則や方式です。

エスケープは、特別な意味を持つ文字、字句を表すための手段です。

サニタイズは、スクリプトコードなどに使用される記号や字句を、エスケープを用いて置き換え、表示可能なだけの文字列にします。無害化ともいわれます。

５－２．バッファオーバフロー対策

バッファにデータを保存する際にデータサイズがバッファサイズを超えていないことを常に確認する標準ライブラリ関数の使用などがあります。

５－３．クロスサイトスクリプティング対策

入力バリデーション、特殊文字のサニタイズなどがあります。

５－４．SQL インジェクション対策

入力バリデーション、エスケープのほか、プリペアドステートメント（プリペアードクエリ）の使用などがあります。

プリペアドステートメントは、SQL 文（クエリ）にプレースホルダを含めてあらかじめ組み立てておいて、実行する前にプレースホルダに入力データを割り当てます(バインドメカニズム)。

６．データベースのセキュリティ

６－１．データベース暗号化

透過的なデータ暗号化 （Transparent Data Encryption：TDE）は、データとログファイルの暗号化および復号がリアルタイムで実行されます。

カラム暗号化 は、テーブル内にある特定の列（カラム）のみを選択的に暗号化します。

６－２．データベースアクセス制御

最小権限の原則 （Least Privilege）に基づいて、アクセスコントロールの管理・制限を行います。

６－３．データベースバックアップ

障害時の復旧のため、データベースバックアップとログを取得し保存します。

７．無線 LAN のセキュリティ

７－１．SSID とは

SSID （Service Set Identifier）は、アクセスポイントの識別子のことです。最大 32 文字までの英数字を任意に設定できます。なお、ネットワーク識別名に拡張したものを ESSID（Extended SSID）といいますが、この ESSID の意味で使用されることも多くあります。

アクセスポイントからは、定期的に SSID が発信（ブロードキャスト）されています。 SSID ステルス は、このブロードキャストに SSID を含めない機能です。

７－２．無線 LAN の暗号化

WEP （Wired Equivalent Privacy） は、最初に策定された暗号化技術で、暗号化方式は RC4 です。古い無線規格しかサポートしていない機器や、処理能力が低い機器でサポートしているものが多くありますが、数分もあれば解除できてしまうため、基本的に WEP は使うべきではありません。

WPA （Wi-Fi Protected Access）は、WEP の脆弱性を受けて開発され、同じく WEP の対策として策定中であった IEEE 802.11i という規格の主要部分をサポートしています。古い機種では WPA にしか対応していない機器があるため、WPA と WPA2 の両方に対応している「Mixed mode」という設定もあります。WPA では WEP をより強力にした TKIP（Temporal Key Integrity Protocol）が暗号化方式として採用されています。

WPA2 （Wi-Fi Protected Access 2）は、IEEE 802.11i の必須部分すべてを実装しています。WPA2 では、TKIP に加えて、AES（Adanced Encryption Standard）を元にした CCMP（Counter mode with Cipher-block chaining Message authentication code Protocol）が暗号化方式として採用されています。

なお、TKIP には脆弱性が発見されており、より強力な CCMP を使う WPA2 か、WPA で TKIP の代わりに CCMP を使うことが推奨されています。表記としては CCMP より AES のほうが多く使われており、「WPA-AES」、「WPA2-AES」などと表示されることのほうが多くあります。

７－３．無線 LAN の認証方式

WPA と WPA2 には「パーソナル」と「エンタープライズ」という２つのモードが用意されています。「パーソナル」は、暗号化に共有鍵方式（Pre Shared Key：PSK）を使い、「エンタープライズ」では、IEEE 802.1X 対応のサーバーを使って認証を行います。

共有鍵方式は、パスワード（パスフレーズ）を設定する方式です。WPA、WPA2 の場合は、8～63文字のパスワードを使用します。

WPA、WPA2 のエンタープライズモードによる認証は、サプリカント（Supplicant）、オーセンティケータ（Authenticator）、認証サーバという３つの構成要素が連携して行ないます。サプリカントは、無線クライアント上で動作するソフトウェア、オーセンティケータはアクセスポイント、認証サーバは RADIUS を用いたサーバ。RADIUS（ Remote Authentication Dial In User Service）は、ユーザーの認証と記録を行なうためのプロトコルです。

IEEE802.1x 認証は、サプリカントと認証サーバ間で EAP（Extensible Authentication Protocol）という認証プロトコルを使って行ないます。

EAP-TLS は、認証サーバのサーバ証明書とクライアント端末のクライアント証明書による認証です。

EAP-TTLS は、認証サーバのサーバ証明書と、クライアントのユーザ名とパスワードによる認証です。

８．スマートフォンのセキュリティ

スマートフォンのアプリは多様で豊富です。しかし、不正プログラムも少なくありません。信頼できる配布先からのみアプリを入手するようにします。また、アプリが要求する権限を確認するようにします。

盗難・紛失時の対策には、スクリーンロック機能を使用することや、端末の暗号化があります。

BYOD （Bring Your Own Device）は、個人が所有している端末（デバイス）を業務に利用することです。

MDM （Mobile Device Management）は、紛失や盗難、不正使用の対策のひとつで、BYOD において、強度が高いパスワード機能や、データを暗号化する機能を追加したり、カメラや画面キャプチャなどの一部機能の使用を制限したります。

さらに、SMS やメールのやり取りを遠隔から確認したり、GPS を用いて立ち寄った場所などを確認する機能を提供しているものもあります。そのほか、遠隔からデバイスをロックしたり、データを削除する機能も用意されている場合もあります。

BYOD においては、MDM 以外に、セキュアブラウザと企業内部ネットワークへのリモートアクセスを組み合わせて、デバイスにデータ残さないしくみや、デバイス内に業務用と個人用の領域を作成し、切り替えて利用するしくみも提供されています。デバイス内の業務にかかわるアプリとデータのみの管理（配布するアプリをコントロールしたり、リモートからのロックやデータ消去するなど）や、業務に必要なコンテンツだけを管理するものなどもあります。

９．オペレーティングシステムのセキュリティ

暗号化ファイルシステム （Encrypting File System：EFS）は、ファイル単位やフォルダ単位の暗号化のほか、ファイルシステム全体やディスク全体を暗号化します。

セキュア OS （Secure OS）は、 強制アクセス制御（Mandatory Access Control：MAC）によるアクセス制御機能と、root ユーザを廃止して管理権限を複数のユーザに分割する「最小特権」の２つの機能を持つことがセキュア OSの必須条件とされています。SELinux（Security-Enhanced Linux）や、LIDS（Linux Intrusion Detection System）などがあります。

強制アクセス制御は、ファイルの所有者がアクセス権を変更できないようにし、システム全体を管理する者が設定するアクセス権を強制できます。

最小特権は、プロセスに特権を与える際に、すべての特権を一度に与えるのではなく、細かく分割された特権のうち必要なものだけを与えます。

パーソナルファイアウォール （Personal Firewall）は、個人利用のパーソナルコンピュータを対象とし、外部ネットワークからの侵入およびコンピュータ内部からの外部ネットワークへの通信を検知、遮断します。オペレーティングシステムのほか、統合セキュリティソフトウェアに組み込まれている場合も多くあります。

１０．ハードウェアのセキュリティ

セキュリティチップ （Trusted Platform Module：TPM）は、ハートウェアやソフトウェアが改ざんされていないかをハッシュ関数の確認を積み重ねて観測します。また、TPM により、暗号鍵を保護し、暗号化の専用モジュールを他の内部デバイスから独立して搭載します。

セキュリティ USB メモリは、ハードウェア暗号化や、ウイルスチェックのほか、Autorun.inf の自動削除機能、パスワード機能、コピー制御と読み出し専用化などの機能をもつものもあります。

１１．その他

電子透かし （Digital Watermark）は、画像や動画、音声などのマルチメディアデータに、特定の情報を埋め込む技術のことです。コピーやデータ改ざんの検出など、主に著作権保護用途に使われます。ステガノグラフィーの考え方を応用しています。 ステガノグラフィー （Steganography）は、データ隠蔽技術のひとつで、データを他のデータに埋め込む技術です。

１２．情報処理技術試験の過去問題

試験問題の全文は、https://www.jitec.ipa.go.jp/1_04hanni_sukiru/_index_mondai.html をご覧ください。

平成23年度特別SC試験午前Ⅱ問題 問 3
平成26年度春期SC試験午前Ⅱ問題 問 5
平成27年度秋期SC試験午前Ⅱ問題
問 4 PC などに内蔵されるセキュリティチップ (TPM:Trusted Platform Module) がもつ機能はどれか。

• ア TPM 間での共通鍵の交換
• イ 鍵ペアの生成
• ウ ディジタル証明書の発行
• エ ネットワーク経由の乱数送信

正解 イ

平成27年度秋期SC試験午前Ⅱ問題
問12 クロスサイトスクリプティングによる攻撃を防止する対策はどれか。

• ア Web サーパに SNMP エージェントを常駐稼働させ, Web サーバの負荷状態を監視する。
• イ Web サーバの OS のセキュリティパッチについて, 常に最新のものを適用する。
• ウ Web サイトヘのデータ入力について, 許容範囲を超えた大きさのデータの書込みを禁止する。
• エ Web サイトヘの入力データを表示するときに, HTML で特別な意味をもつ文字のエスケープ処理を行う。

正解 エ

平成22年度春期SC試験午前Ⅱ問題 問12
平成23年度秋期SC試験午前Ⅱ問題 問12
平成25年度春期SC試験午前Ⅱ問題 問15
平成27年度秋期SC試験午前Ⅱ問題
問16 ダウンローダ型マルウェアが内部ネットワークの PC に感染したとき, そのマルウェアによってインターネット経由で他のマルウェアがダウンロードされることを防ぐ対策として, 最も有効なものはどれか。

• ア URL フィルタを用いてインターネット上の危険な Web サイトへの接続を遮断する。
• イ インターネットから内部ネットワークに向けた要求パケットによる不正侵入行為を IPS で破棄する。
• ウ スバムメール対策サーバでインターネットからのスパムメールを拒否する。
• エ メールフィルタで他サイトヘの不正メール発信を遮断する。

正解 ア

平成27年度春期SC試験午前Ⅱ問題
問11 マルウェアの活動傾向などを把握するための観測用センサが配備されるダークネットはどれか。

• ア インターネット上で到達可能, かつ, 未使用の IP アドレス空間
• イ 組織に割り当てられている IP アドレスのうち, コンピュータで使用されている IPアドレス空間
• ウ 通信事業者が他の通信事業者などに貸し出す光ファイバ設備
• エ マルウェアに狙われた制御システムのネットワーク

正解 ア

平成24年度春期SC試験午前Ⅱ問題 問13
平成25年度秋期SC試験午前Ⅱ問題 問13
平成27年度春期SC試験午前Ⅱ問題
間13 迷惑メールの検知手法であるべイジアンフィルタリングの説明はどれか。

• ア 信頼できるメール送信元を許可リストに登録しておき, 許可リストにないメール送信元からの電子メールは迷惑メールと判定する。
• イ 電子メールが正規のメールサーパから送信されていることを検証し, 迷惑メールであるかどうかを判定する。
• ウ 電子メールの第三者中継を許可しているメールサーバを登録したデータべースに掲載されている情報を基に, 迷惑メールであるかどうかを判定する。
• エ 利用者が振り分けた迷惑メールから特徴を学習し, 迷惑メールであるかどうかを統計的に解析して判定する。

正解 エ

平成24年度春期SC試験午前Ⅱ問題 問15
平成27年度春期SC試験午前Ⅱ問題
問16 SMTP-AUTH の特徴はどれか。

• ア ISP 管理下の動的 IP アドレスからの電子メール送信について, 管理外ネットワークのメールサーバへの SMTP 接続を禁止する。
• イ PC からメールサーバヘの電子メール送信時に, ユーザアカウントとパスワードによる利用者認証を行う。
• ウ PC からメールサーバヘの電子メール送信は, POP 接続で利用者認証済みの場合にだけ許可する。
• エ 電子メール送信元のサーバが, 送信元ドメインの DNS に登録されていることを確認して, 電子メールを受信する。

正解 イ

平成27年度春期SC試験午前Ⅱ問題
問17 SQL インジェクション対策について, Web アプリケーションの実装における対策と Web アプリケーションの実装以外の対策として, ともに適切なものはどれか。

＼	Web アプリケーションの実装における対策	Web アプリケーションの実装以外の対策
ア	Web アプリケーション中でシェルを起動しない。	chroot 環境で Web サ一バを稼働させる。
イ	セッション ID を乱数で生成する。	TLS によって通信内容を秘匿する。
ウ	パス名やファイル名をバラメタとして受け取らないようにする。	重要なファイルを公開領域に置かない。
エ	プレースホルダを利用する。	データべースのアカウン卜がもつデータべースアクセス権限を必要最小限にする。

正解 エ

平成22年度春期SC試験午前Ⅱ問題 問14
平成23年度秋期SC試験午前Ⅱ問題 問14
平成25年度春期SC試験午前Ⅱ問題 問16
平成26年度秋期SC試験午前Ⅱ問題
問15 スパムメールヘの対策である DKIM (DomainKeys Identified Mail) の説明はどれか。

• ア 送信側メールサーバでディジタル署名を電子メールのヘッダに付加して, 受信側メールサーバで検証する。
• イ 送信側メールサーバで利用者が認証されたとき, 電子メールの送信が許可される。
• ウ 電子メールのへッダや配送経路の情報から得られる送信元情報を用いて, メール送信元の IPアドレスを検証する。
• エ ネットワーク機器で, 内部ネットワ一クから外部のメールサーバの TCP ポー卜番号 25 ヘの直接の通信を禁止する。

正解 ア

平成26年度秋期SC試験午前Ⅱ問題
問17 サンドボックスの仕組みについて述ベたものはどれか。

• ア Web アプリケーションの脆弱性を悪用する攻撃に含まれる可能性が高い文字列を定義し, 攻撃であると判定した場合には, その通信を遮断する。
• イ 侵入者をおびき寄せるために本物そっくりのシステムを設置し, 侵入者の挙動などを監視する。
• ウ プログラムの影響がシステム全体に及ばないように, ブログラムが実行できる機能やアクセスできるリソースを制限して動作させる。
• エ ブログラムのソースコードで SQL 文の離形の中に変数の場所を示す記号を置いた後, 実際の値を割り当てる。

正解 ウ

平成23年度特別SC試験午前Ⅱ問題 問 4
平成25年度春期SC試験午前Ⅱ問題 問 6
平成26年度秋期共通試験午前Ⅰ問題
問12 SMTP-AUTH (SMTP Service Extension for Authentication) における認証の動作を説明したものはどれか。

• ア SMTP サーバは, クライアントがアクセスしてきた場合に利用者認証を行い, 認証が成功したとき電子メールを受け付ける。
• イ サーバは認証局のディジタル証明書をもち, クライアントから送信された認証局の署名付きクライアント証明書の妥当性を確認する。
• ウ 電子メールを受信した際にパスワード認証が成功したクライアントの IP アドレスは, ー定時間だけ SMTP サーバヘの電子メールの送信が許可される。
• エ パスワードを秘匿するために, パスワードからハッシュ値を計算して, その値で利用者が電子メールを受信する際の利用者認証を行う。

正解 ア

平成24年度秋期共通試験午前Ⅰ問題 問15
平成26年度秋期共通試験午前Ⅰ問題
問14 Web アプリケーションにおけるセキュリティ上の脅威と対策の適切な組合せはどれか。

• ア OS コマンドインジェクションを防ぐために, Web アプリケーションが発行するセッション ID を推測困難なものにする。
• イ SQL インジェクションを防ぐために, Web アプリケーション内でデータベースへの問合せを作成する際にバインド機構を使用する。
• ウ クロスサイトスクリプティングを防ぐために, 外部から渡す入力データを Web サーバ内のファイル名として直接指定しない。
• エ セッションハイジャックを防ぐために, Web アプリケーションからシェルを起動できないようにする。

正解 イ

平成26年度秋期共通試験午前Ⅰ問題
問15 無線 LAN を利用するとき, セキュリティ方式として WPA2 を選択することで利用される暗号化アルゴリズムはどれか。

• ア AES
• イ ECC
• ウ RC4
• エ RSA

正解 ア

平成21年度春期SC試験午前Ⅱ問題 問 4
平成22年度秋期SC試験午前Ⅱ問題 問13
平成24年度秋期SC試験午前Ⅱ問題 問 5
平成26年度春期SC試験午前Ⅱ問題
問 4 スパムメールの対策として, 宛先ポート番号 25 番の通信に対して ISP が実施する OP25B の説明はどれか。

• ア ISP 管理外のネッ卜ワークからの通信のうち, スパムメールのシグネチャに該当する ものを遮断する。
• イ 動的 IP アドレスを割り当てたネットワークから ISP 管理外のネットワークヘの直接の通信を遮断する。
• ウ メール送信元のメールサーバについて DNS の逆引きができない場合, そのメールサーバからの通信を遮断する。
• エ メール不正中継の脆弱性をもつメールサーバからの通信を遮断する。

正解 イ

平成22年度秋期SC試験午前Ⅱ問題 問13
平成26年度春期SC試験午前Ⅱ問題
問13 無線 LAN のセキュリティ対策に関する記述のうち, 適切なものはどれか。

• ア EAP は, クライアント PC とアクセスポイントとの間で, あらかじめ登録した共通鍵による暗号化通信を実現できる。
• イ RADIUS では, クライアント PC とアクセスポイントとの間で公開鍵暗号方式による暗号化通信を実現できる。
• ウ SSID は, クライアント PC ごとの秘密鍵を定めたものであり, 公開鍵暗号方式による暗号化通信を実現できる。
• エ WPA2 では, IEEE802.1X の規格に沿った利用者認証及び勤的に更新される暗号化鍵を用いた暗号化通信を実現できる。

正解 エ

平成26年度春期共通試験午前Ⅰ問題
問13 安全な Web アプリケーションの作り方について' 攻撃と対策の適切な組合せはどれか。

＼	攻撃	対策
ア	SQL インジェクション	SQL 文の組立てに静的プレースホルダを使用する。
イ	クロスサイトスクリプティング	任意の外部サイトのスタイルシートを取り込めるようにする。
ウ	クロスサイトリクエストフォージェリ	リクエストに GET メソッドを使用する。
ウ	セッションハイジャック	利用者ごとに固定のセッション ID を使用する。

正解 ア

平成22年度秋期SC試験午前Ⅱ問題 問15
平成25年度秋期SC試験午前Ⅱ問題 問15
平成26年度春期SC試験午前Ⅱ問題
問16 WAF (Web Application Firewall) のブラックリスト又はホワイトリストの説明のうち, 適切なものはどれか〟

• ア ブラックリストは, 脆弱性があるサイトの IP アドレスを登録したものであり, 該当する通信を遮断する。
• イ ブラックリストは, 問題がある通信データパターンを定義したものであり, 該当する通信を遮断するか又は無害化する。
• ウ ホワイトリストは, 暗号化された受信データをどのように復号するかを定義したものであり, 復号鍵が登録されていないデータを遮断する。
• エ ホワイトリストは, 脆弱性がないサイトの FQDN を登録したものであり, 登録がないサイトへの通信を遮断する。

正解 イ

平成25年度秋期SC試験午前Ⅱ問題
問 4 無線 LAN における WPA2 の特徴はどれか。

• ア AH とESP の機能によって認証と暗号化を実現する。
• イ 暗号化アルゴリズムに AES を採用 した CCMP (Counter-mode with CBC-MAC Protocol) を使用する。
• ウ 端末とアクセスポイントの間で通信を行う際に SSL Handshake Protocol を使用して, お互いが正当な相手かどうかを認証する。
• エ 利用者が設定する秘密鍵と製品で生成する IV (Initialization Vector) とを連結した数字を基に, データをフレームごとに RC4 で暗号化する。

正解 イ

平成24年度春期SC試験午前Ⅱ問題 問 8
平成25年度秋期SC試験午前Ⅱ問題
問 6 サイドチャネル攻撃の手法であるタイミング攻撃の対策として, 最も適切なものはどれか。

• ア 演算アルゴリズムに対策を施して, 機密情報の違いによって演算の処理時間に差異が出ないようにする。
• イ 故障を検出する機構を設けて, 検出したら機密情報を破壊する。
• ウ コンデンサを挿入して, 電力消費量が時間的に均一になるようにする。
• エ 保護層を備えて, 内部のデータが不正に書き換えられないようにする。

正解 ア

平成22年度秋期SC試験午前Ⅱ問題 問12
平成24年度春期SC試験午前Ⅱ問題 問12
平成25年度秋期SC試験午前Ⅱ問題
問12 送信元を詐称した電子メールを拒否するために, SPF (Sender Policy Framework) の仕組みにおいて受信側が行うことはどれか。

• ア Resent-Sender:, Resent-From:, Sender:, From: など のメ ールへッダの送信者メールアドレスを基に送信メールアカウントを検証する。
• イ SMTP が利用するポート番号 25 の通信を拒否する。
• ウ SMTP 通信中にやり取りされる MAIL FROM コマンドで与えられた送信ドメインと送信サーバの IP アドレスの適合性を検証する。
• エ 電子メールに付加されたディジタル署名を検証する。

正解 ウ

平成21年度秋期SC試験午前Ⅱ問題 問13
平成24年度春期SC試験午前Ⅱ問題 問16
平成25年度秋期SC試験午前Ⅱ問題
問15 SQL インジェクション対策について, Web アプリケーションの実装における対策と Web アプリケーションの実装以外の対策として, ともに適切なものはどれか。

＼	Web アプリケーションの実装における対策	Web アプリケーションの実装以外の対策
ア	Web アプリケ一ション中でシェルを起動しない。	chroot 環境で Web サーバを実行する。
イ	セッション ID を乱数で生成する。	SSLによって通信内容を秘匿する。
ウ	バインド機構を利用する。	データベースのアカウントのもつデータベースアクセス権限を必要最小限にする。
エ	パス名やファイル名をパラメタとして受け取らないようにする。	重要なファイルを公開領域に置かない。

正解 ウ

平成25年度春期SC試験午前Ⅱ問題
問 7 無線 LAN 環境に複数台の PC, 複数のアクセスポイント及び利用者認証情報を管理する 1 台のサーパがある。利用者認証とアクセス制御に IEEE 802.1X と RADIUS を利用する場合の実装方法はどれか。

• ア PCには IEEE 802.1X のサプリカントを実装し, RADIUS クライアントの機能をもたせる。
• イ アクセスポイン卜には IEEE 802.1X のオーセンティケータを実装し, RADIUS クライアントの機能をもたせる〟
• ウ アクセスボイントには IEEE 802.1X のサプリカントを実装し, RADIUS サーバの機能をもたせる。
• エ サーバには IEEE 802.1X のオーセンティケータを実装し, RADIUS サーバの機能をもたせる。

正解 イ

平成21年度秋期SC試験午前Ⅱ問題 問 8
平成23年度特別SC試験午前Ⅱ問題 問 9
平成25年度春期SC試験午前Ⅱ問題
問13 ウイルスの検出手法であるビへイビア法を説明したものはどれか。

• ア あらかじめ特徴的なコードをパ夕ーンとして登録したウイルス定義ファイルを用いてウイルス検査対象と比較し, 同じパターンがあれば感染を検出する。
• イ ウイルスに感染していないことを保証する情報をあらかじめ検査対象に付加しておき, 検査時に不整合があれば感染を検出する。
• ウ ウイルスの感染が疑わしい検査対象を, 安全な場所に保管されている原本と比較し, 異なっていれば感染を検出する。
• エ ウイルスの感染や発病によって生じるデータ書込み動作の異常や通信量の異常増加などの変化を監視して, 感染を検出する。

正解 エ

平成24年度春期SC試験午前Ⅱ問題
問11 有料の公衆無線 LAN サービスにおいて実施される, ネットワークサービスの不正利用に対するセキュリティ対策の方法と目的はどれか。

• ア 利用者ごとに異なる SSID を割り当てることによって, 利用者 PC への不正アクセスを防止する。
• イ 利用者ごとに異なるサプリカントを割り当てることによって, 利用者 PC への不正アクセスを防止する。
• ウ 利用者ごとに異なるプライペート IP アドレスを割り当てることによって, 第三者によるアクセスポイントへのなりすましを防止する。
• 工 利用者ごとに異なる利用者 ID を割り当て, パスワードを設定することによって, 契約者以外の利用者によるアクセスを防止する。

正解 エ

平成24年度春期SC試験午前Ⅱ問題
問17 無線 LAN で用いられる SSID の説明として, 適切なものはどれか。

• ア 48 ビットのネットワーク識別子であり, アクセスポイントの MAC アドレスと一致する。
• イ 48 ビットのホスト識別子であり, 有線 LAN の MAC アドレスと同様の働きをする。
• ウ 最長 32 オクテットのネットワーク識別子であり, 接続するアクセスポイントの選択に用いられる。
• エ 最長 32 オクテットのホスト識別子であり, ネットワーク上で一意である。

正解 ウ

平成23年度秋期SC試験午前Ⅱ問題
問 5 ISP “A" 管理下のネットワークから別の ISP “B" 管理下の宛先へ SMTP で電子メールを送信する。 電子メール送信者が SMTP-AUTH を利用していない場合, スパムメール対策 OP25B によって遮断される電子メールはどれか。

• ア ISP “A” 管理下の固定 IP アドレスから送信されたが, 受信者の承諾を得ていない広告の電子メール
• イ ISP “A" 管理下の固定 IP アドレスから送信されたが, 送信元 IP アドレスが DNS で逆引きできなかった電子メール
• ウ ISP “A” 管理下の動的 IP アドレスから ISP “A" のメールサーバを経由して送信された電子メール
• エ ISP “A" 管理下の動的 IP アドレスから ISP “A" のメールサーバを経由せずに送信された電子メール

正解 エ

平成22年度秋期SC試験午前Ⅱ問題
問 8 SQL インジェクション攻撃を防ぐ方法はどれか。

• ア 入力から, 上位ディレクトリを指定する文宇列 (../) を取り除く。
• イ 入力中の文字がデータべースヘの問合せや操作において特別な意味をもつ文字として解釈されないようにする。
• ウ 入力に HTML タグが含まれていたら, 解釈, 実行できないほかの文字列に置き換える。
• エ 入力の全体の長さが制限を超えていたときは受け付けない。

正解 イ

平成22年度秋期SC試験午前Ⅱ問題
問 9 通信を要求した PC に対し, ARP の仕組みを利用して実現できる通信の可否の判定方法のうち, 最も適切なものはどれか。

• ア PC にインストールされているソフトウェアを確認し, 登録されているソフトウェアだけがインストールされている場合に通信を許可する。
• イ PC の MAC アドレスを確認し, 事前に登録されている MAC アドレスをもつ場合だけ通信を許可する。
• ウ PC の OS のパッチ適用状況を確認し, 最新のパッチが適用されている場合だけ通信を許可する。
• エ PC のマルウェア対策ソフ卜の定義ファイルを確認し, 最新になっている場合だけ通信を許可する。

正解 イ

平成21年度秋期SC試験午前Ⅱ問題 問10
平成22年度春期SC試験午前Ⅱ問題
問10 ステガノグラフィを説明したものはどれか。

• ア データの複写を不可能にする (コピーできないようにする) 技術のことをいう。
• イ データを第三者に盗み見られても解読できないようにするため, 決まった規則に従ってデータを変換することをいう。
• ウ 文書の正当性を保証するために付けられる暗号化された署名情報のことをいう。
• エ メッセージを画像データや音声データなどに埋め込み, その存在を隠す技術のことをいう。

正解 エ

平成22年度春期SC試験午前Ⅱ問題
問15 SMTP-AUTH を使ったメールセキュリティ対策はどれか。

• ア ISP 管理下の動的 IP アドレスからの電子メール送信について, 管理外ネットワークのメールサーバヘ SMTP 通信を禁止する。
• イ PC からの電子メール送信について, POP 接続で利用者認証済の場合にだけ許可する。
• ウ 通常の SMTP とは独立したサブミッションポートを使用して, メールサーパ接続時の認証を行う。
• エ 電子メール送信元のサーバについて DNS の逆引きが成功した場合にだけ, 電子メール受信を許可する。

正解 ウ

平成21年度秋期SC試験午前Ⅱ問題
問 3 SMTP-AUTH 認証はどれか。

• ア SMTP サーバに電子メールを送信する前に, 電子メールを受信し, その際にパスワード認証が行われたクライアントの IP アドレスに対して, ー定時間だけ電子メールの送信を許可する。
• イ クライアントが SMTP サーバにアクセスしたときに利用者認証を行い, 許可された利用者だけから電子メールを受け付ける。
• ウ サーバは CA の公開鍵証明書をもち, クライアントから送信された CA の署名付きクライアント証明書の妥当性を確認する。
• エ 電子メールを受信する際の認証情報を秘匿できるように, パスワードからハッシュ値を計算して, その値で利用者認証を行う。

正解 イ

平成21年度秋期SC試験午前Ⅱ問題
問 7 クロスサイトスクリプティングによる攻撃ヘのセキュリティ対策に該当するものはどれか。

• ア OS のセキュリティパッチを適用することによって, Web サーパヘの侵入を防止する。
• イ Web アプリケーションがクライアントに入力デー夕を表示する場合, データ内の特殊文字を無効にする処理を行う。
• ウ Web サーバに SNMP エージェントを常駐稼働させることによって, 攻撃を検知する。
• エ 許容範囲を超えた大きさのデ一タの書込みを禁止し, Web サーバへの侵入を防止する。

正解 イ

平成21年度春期SC試験午前Ⅱ問題
問11 メールサーバ (SMTP サーバ) の不正利用を防止するために行う設定はどれか。

• ア ゾーン転送のアクセス元を制御する。
• イ 第三者中継を禁止する。
• ウ ディレクトリに存在するファイル名の表示を禁止する。
• エ 特定のディレクトリ以外での CGI プログラムの実行を禁止する。

正解 イ