応用情報技術者「情報セキュリティ」の一問一答
📖 応用情報技術者「情報セキュリティ」の全60問と解説(一覧)
応用情報技術者の情報セキュリティに関する一問一答(全60問)の正解と解説の一覧です。上の一問一答で実際に解いてから、ここで復習・確認できます。
-
問1.CIAトライアドは機密性・完全性・可用性の情報セキュリティ3要素である。
正解:○(正しい)
解説:Confidentiality・Integrity・Availabilityの3要素です。
-
問2.情報セキュリティ7要素は、CIAトライアド(機密性・完全性・可用性)に加え、効率性・拡張性・経済性が含まれる。
正解:×(誤り)
解説:誤り。7要素はCIA+「真正性・責任追跡性・否認防止・信頼性」(効率性等は別概念)。
-
問3.AESは公開鍵暗号方式で、ブロック長は512ビットである。
正解:×(誤り)
解説:AESは「共通鍵暗号」、ブロック長「128ビット」、鍵長128/192/256ビット(公開鍵・512ビットは誤り)。
-
問4.RSA暗号は、共通鍵暗号で素数の生成困難性が安全性の根拠である。
正解:×(誤り)
解説:誤り。RSAは「公開鍵暗号」(共通鍵ではない)、安全性は「素因数分解の困難性」(生成ではなく分解)。
-
問5.楕円曲線暗号(ECC)はRSAと比べて同等の安全性をより短い鍵長で実現できる。
正解:○(正しい)
解説:ECCは楕円曲線上の離散対数問題の困難性に基づき、RSA 3072ビット相当がECC 256ビットで実現されます。
-
問6.SHA-1は現在も最も推奨されるハッシュ関数である。
正解:×(誤り)
解説:誤り。SHA-1は「衝突発見攻撃で安全でない」、現在はSHA-256以上が推奨。
-
問7.ディジタル署名は、署名者が公開鍵で署名し検証者が秘密鍵で検証する仕組みである。
正解:×(誤り)
解説:誤り。逆です。署名者が秘密鍵で署名、検証者が公開鍵で検証します。
-
問8.PKIの認証局(CA)は、共通鍵を発行する機関である。
正解:×(誤り)
解説:誤り。CAは「ディジタル証明書(公開鍵証明書)」を発行・失効管理(共通鍵ではない)。
-
問9.チャレンジレスポンス認証は、毎回異なるランダム値(チャレンジ)を用いることでリプレイ攻撃を防ぐ。
正解:○(正しい)
解説:ワンタイムなチャレンジで過去通信の再送攻撃を防ぎます。
-
問10.パスワードは平文で保存するのが安全な方式である。
正解:×(誤り)
解説:誤り。パスワードは「ソルト付きハッシュ」で保存(平文は最悪、漏洩時即被害)。
-
問11.ゼロトラストは、ネットワーク境界内は完全に信頼するモデルである。
正解:×(誤り)
解説:誤り。ゼロトラストは「内外を問わず信頼しないことが前提」(境界内信頼は従来モデル)。
-
問12.SAML・OAuth・OpenID Connectは、いずれもシングルサインオン(SSO)に利用される認証・認可の標準プロトコルである。
正解:○(正しい)
解説:SAMLはXML基盤、OAuth/OIDCはトークン基盤です。
-
問13.SQLインジェクション対策は、入力をすべて文字列連結することが基本である。
正解:×(誤り)
解説:誤り。対策は「プレースホルダ(パラメタ化クエリ)」、文字列連結こそ脆弱性の原因。
-
問14.クロスサイトスクリプティング(XSS)対策の基本は、入力時バリデーションと出力時エスケープ(HTMLエンコード)である。
正解:○(正しい)
解説:出力時のエスケープが最も効果的で、CSPも補完策として有効です。
-
問15.CSRFトークンは、ユーザIDで生成する固定値である。
正解:×(誤り)
解説:誤り。CSRFトークンは「画面遷移毎発行のランダム秘密値」(固定値ではない、毎回異なる)。
-
問16.DoS・DDoS攻撃への対策としてIPS・WAF・CDN利用・レートリミットが有効である。
正解:○(正しい)
解説:多層防御で大規模攻撃のトラフィックを吸収・遮断します。
-
問17.標的型攻撃では、特定組織を狙った巧妙なフィッシングメール等による侵入が行われる。
正解:○(正しい)
解説:APT(Advanced Persistent Threat)と呼ばれ、長期潜伏型攻撃も含みます。
-
問18.CAP定理では、分散システムで一貫性・可用性・分断耐性の3つを同時に保証することは一般に困難とされる。
正解:○(正しい)
解説:ネットワーク分断発生時はCとAのいずれかを選ぶ必要があります。
-
問19.TCPのスリーウェイハンドシェイクは、ACK→SYN→ACKの3段階である。
正解:×(誤り)
解説:誤り。3-way handshakeは「SYN→SYN/ACK→ACK」(順序が異なる)。
-
問20.IPsecはアプリケーション層、SSL/TLS-VPNはネットワーク層で動作する。
正解:×(誤り)
解説:誤り。IPsec「ネットワーク層」、SSL/TLS「アプリケーション層以下のトンネリング」(記述が逆)。
-
問21.CDN(コンテンツデリバリーネットワーク)はエッジサーバで静的コンテンツをキャッシュし、応答速度と可用性を向上させる。
正解:○(正しい)
解説:Cloudflare、Akamai等が代表例。DDoS対策にも利用されます。
-
問22.SQLインジェクション対策として最も効果的なものはどれか。
- ア.HTMLエスケープ
- イ.プレースホルダ(パラメタ化クエリ)
- ウ.HTTPSの利用
- エ.CSRFトークンの発行
正解:イ.プレースホルダ(パラメタ化クエリ)
解説:SQLの構造と値を分離するプレースホルダが最も根本的な対策です。
-
問23.公開鍵暗号方式で、送信者Aが受信者Bにメッセージを機密に送る際に使用する鍵はどれか。
- ア.Aの秘密鍵
- イ.Aの公開鍵
- ウ.Bの公開鍵
- エ.Bの秘密鍵
正解:ウ.Bの公開鍵
解説:受信者の公開鍵で暗号化、受信者の秘密鍵で復号します。
-
問24.ディジタル署名の検証に用いられる鍵はどれか。
- ア.署名者の秘密鍵
- イ.検証者の公開鍵
- ウ.検証者の秘密鍵
- エ.署名者の公開鍵
正解:エ.署名者の公開鍵
解説:署名は送信者の秘密鍵で付与、検証は送信者の公開鍵で行います。
-
問25.ISMSの国際規格ISO/IEC 27001に準拠した認証制度はどれか。
- ア.ISMS適合性評価制度
- イ.Pマーク
- ウ.TRUSTe
- エ.CMMI
正解:ア.ISMS適合性評価制度
解説:ISMS適合性評価制度(JIS Q 27001)が国内での認証制度です。Pマークは個人情報保護です。
-
問26.クロスサイトリクエストフォージェリ(CSRF)の対策として最も直接的なものはどれか。
- ア.CSRFトークンの検証
- イ.プレースホルダ利用
- ウ.出力時HTMLエスケープ
- エ.WAF導入のみ
正解:ア.CSRFトークンの検証
解説:CSRFトークンにより正規画面から遷移したリクエストであることを検証します。
-
問27.多要素認証で「所有物」要素に該当するものはどれか。
- ア.パスワード
- イ.ワンタイムパスワード用ハードウェアトークン
- ウ.指紋
- エ.秘密の質問
正解:イ.ワンタイムパスワード用ハードウェアトークン
解説:所有物要素:ICカード・ハードウェアトークン・スマートフォン等。
-
問28.公開鍵証明書の失効情報を問合せるプロトコルはどれか。
- ア.IKE
- イ.LDAP
- ウ.OCSP
- エ.ARP
正解:ウ.OCSP
解説:OCSP=Online Certificate Status Protocolで、CRLより軽量にリアルタイム失効確認ができます。
-
問29.OAuth 2.0の主な目的はどれか。
- ア.ユーザ認証
- イ.パスワード複雑化
- ウ.メッセージ暗号化
- エ.サービス間のAPIアクセス認可(権限委譲)
正解:エ.サービス間のAPIアクセス認可(権限委譲)
解説:OAuth 2.0は認可フレームワークです。認証はOpenID Connectが担当します。
-
問30.共通鍵暗号方式は、暗号化と復号で異なる鍵を使用する方式である。
正解:×(誤り)
解説:誤り。共通鍵は「同じ鍵」を使用(異なる鍵は公開鍵暗号)。
-
問31.公開鍵暗号方式では、暗号化に秘密鍵、復号に公開鍵を使用する。
正解:×(誤り)
解説:誤り。通常は「公開鍵で暗号化、秘密鍵で復号」(記述が逆、署名の場合は秘密鍵で署名・公開鍵で検証)。
-
問32.ハッシュ関数は、固定長入力から任意長のダイジェストを生成する関数である。
正解:×(誤り)
解説:誤り。ハッシュは「任意長入力→固定長出力」(記述が逆、一方向性関数)。
-
問33.デジタル署名は、受信者の公開鍵で署名し、送信者の秘密鍵で検証する。
正解:×(誤り)
解説:誤り。署名は「送信者の秘密鍵で署名、受信者は送信者の公開鍵で検証」(記述が逆)。
-
問34.PKI(公開鍵基盤)は、認証局(CA)が公開鍵証明書を発行・管理する仕組みである。
正解:○(正しい)
解説:PKI:CAが公開鍵証明書を発行、信頼の連鎖(ルートCA→中間CA→個別証明書)で身元を保証。HTTPS・電子署名の基盤。
-
問35.SQLインジェクション攻撃は、入力値の不適切な処理によりSQLの構造を改変させる攻撃である。
正解:○(正しい)
解説:SQLインジェクション:プリペアドステートメント・パラメータ化クエリで防御。OWASP Top10の常連脅威。
-
問36.クロスサイトスクリプティング(XSS)は、Webサイトに悪意のあるスクリプトを埋め込み、訪問者のブラウザで実行させる攻撃である。
正解:○(正しい)
解説:XSS:反射型・蓄積型・DOMベースの3種。出力エスケープ・CSP(Content Security Policy)で防御。
-
問37.CSRF(クロスサイトリクエストフォージェリ)は、ユーザの意図しないリクエストを送信させる攻撃である。
正解:○(正しい)
解説:CSRF:トークンチェック・SameSite Cookie・Refererチェック等で防御。送信元の正当性確認が肝。
-
問38.DDoS攻撃は、複数の攻撃者が連携して標的システムに大量のリクエストを送信し、サービス停止に追い込む攻撃である。
正解:○(正しい)
解説:DDoS:分散DoS。ボットネット悪用が一般的。防御:WAF・CDN・トラフィック監視・通信フィルタリング等。
-
問39.ランサムウェアは、感染したPCのファイルを暗号化し、復号と引換に身代金を要求するマルウェアである。
正解:○(正しい)
解説:ランサムウェア(WannaCry等):定期バックアップ・パッチ適用・教育で予防。被害発生時は警察・専門業者へ相談。
-
問40.HTTPS(HTTP over TLS/SSL)は、HTTPの通信内容をTLS/SSLで暗号化したプロトコルである。
正解:○(正しい)
解説:HTTPS:通信暗号化+サーバ認証+改ざん検知。443番ポート使用。Let's Encrypt等で無料証明書も。
-
問41.次のうち、共通鍵暗号方式に該当するものはどれか。
- ア.RSA
- イ.ECC
- ウ.AES
- エ.ElGamal
正解:ウ.AES
解説:AES(Advanced Encryption Standard)は共通鍵暗号。RSA・ECC・ElGamalは公開鍵暗号。
-
問42.次のうち、SQLインジェクション攻撃の防御策として最も効果的なものはどれか。
- ア.物理アクセス制限
- イ.パスワードの暗号化
- ウ.ファイアウォール設置
- エ.プリペアドステートメント(パラメータ化クエリ)
正解:エ.プリペアドステートメント(パラメータ化クエリ)
解説:SQLi対策の最善策はプリペアドステートメント。SQLとデータを分離処理し、入力値がSQL構文に影響しない。
-
問43.コンピュータウイルスは、他のプログラムに感染して自己増殖するマルウェアである。
正解:○(正しい)
解説:ウイルス:宿主プログラム必要、感染で増殖。ワームは単独で動作・自己増殖、トロイの木馬は無害装って侵入。
-
問44.ワームは、宿主プログラムに感染してから動作するマルウェアである。
正解:×(誤り)
解説:誤り。ワームは「単独動作」、宿主感染するのは「ウイルス」(記述が混同)。
-
問45.トロイの木馬は、無害なソフトに見せかけてシステムに侵入し、悪意のある動作を行うマルウェアである。
正解:○(正しい)
解説:トロイの木馬:自己増殖しない、ユーザの誤実行で侵入。バックドア設置・データ窃取等が目的。
-
問46.ボット(ボットネット)は、攻撃者の指令で動作するマルウェアで、複数のボットを集めてDDoS攻撃等に悪用される。
正解:○(正しい)
解説:ボットネット:複数感染端末をC&Cサーバから遠隔制御。スパム送信・DDoS・暗号通貨採掘等に悪用。
-
問47.ルートキットは、システム侵入を派手に表示するマルウェアである。
正解:×(誤り)
解説:誤り。ルートキットは「侵入痕跡を隠蔽」(隠匿目的、派手表示の逆)。
-
問48.フィッシングは、信頼できる組織を装ったメール等で、ユーザを偽サイトに誘導し個人情報を窃取する攻撃である。
正解:○(正しい)
解説:フィッシング:メール・SMS(スミッシング)・電話(ビッシング)等の手段。スピアフィッシング(標的型)はより精緻。
-
問49.スピアフィッシングは、特定の個人・組織を狙って巧妙にカスタマイズされたフィッシング攻撃である。
正解:○(正しい)
解説:スピアフィッシング:標的型。事前情報収集(OSINT)で信頼性を高め、エグゼクティブ等を狙う。BEC(ビジネスメール詐欺)も類似。
-
問50.標的型攻撃(APT)は、特定組織を長期間にわたり、高度な手段で継続的に攻撃する手法である。
正解:○(正しい)
解説:APT(Advanced Persistent Threat):国家支援級の高度持続的脅威。多段階・多手法・長期潜伏が特徴。
-
問51.バッファオーバーフロー攻撃は、プログラムのバッファサイズを超えるデータを送信し、メモリ上の他の領域を上書きする攻撃である。
正解:○(正しい)
解説:バッファオーバーフロー:スタック上書きで任意コード実行可。C/C++等のメモリ管理に注意要。Rust等のメモリ安全言語で根本解決。
-
問52.CVE(共通脆弱性識別子)は、世界中の脆弱性に固有のIDを割り振り、識別を統一するための仕組みである。
正解:○(正しい)
解説:CVE:MITRE Corporationが管理する脆弱性のグローバルID。CVE-YYYY-NNNN形式。NVD(米国脆弱性DB)と連携。
-
問53.CVSSは、脆弱性の深刻度を0〜100のスコアで評価する。
正解:×(誤り)
解説:誤り。CVSSスコアは「0.0〜10.0」(100スコアではない)。
-
問54.SIEM(Security Information and Event Management)は、ログを集中管理し、セキュリティイベントを相関分析するシステムである。
正解:○(正しい)
解説:SIEM:Splunk・QRadar・Microsoft Sentinel等。リアルタイム監視・脅威検知・コンプライアンス対応に活用。
-
問55.ペネトレーションテストは、システムへの侵入を試行し、脆弱性を実証的に発見するセキュリティ評価手法である。
正解:○(正しい)
解説:ペネトレーションテスト:「攻撃側」視点で実証的評価。脆弱性スキャナとは異なり、実際の攻撃シナリオを再現。
-
問56.WPA3はWPA2より脆弱で、現在は使用が非推奨である。
正解:×(誤り)
解説:WPA3はWPA2の「後継」で、より強固(SAEプロトコル採用、非推奨は誤り)。
-
問57.VPNは、公衆ネットワーク上で暗号化なしの通信を行う技術である。
正解:×(誤り)
解説:誤り。VPNは「暗号化されたトンネルで安全通信」(暗号化なしは公衆通信そのもの)。
-
問58.次のうち、自己増殖性を持たないマルウェアはどれか。
- ア.ウイルス
- イ.ワーム
- ウ.トロイの木馬
- エ.ボット
正解:ウ.トロイの木馬
解説:トロイの木馬は自己増殖しない(無害装って侵入し悪意動作)。ウイルス・ワーム・ボットは自己増殖性あり。
-
問59.CVSS v3でスコアが9.0以上の脆弱性の深刻度区分はどれか。
- ア.Low
- イ.Medium
- ウ.High
- エ.Critical
正解:エ.Critical
解説:CVSS v3区分:Low(0.1-3.9)・Medium(4.0-6.9)・High(7.0-8.9)・Critical(9.0-10.0)。
-
問60.次のうち、APT攻撃の特徴として誤っているものはどれか。
- ア.高度な手法
- イ.長期間継続
- ウ.短期間で広範囲
- エ.特定組織を標的
正解:ウ.短期間で広範囲
解説:APTは「Persistent」(持続的)が特徴で長期間継続。「短期間で広範囲」はAPTでなく一般的なマルウェア拡散の特徴。