情報セキュリティマネジメント試験「暗号・認証・アクセス制御」の一問一答
📖 情報セキュリティマネジメント試験「暗号・認証・アクセス制御」の全75問と解説(一覧)
情報セキュリティマネジメント試験の暗号・認証・アクセス制御に関する一問一答(全75問)の正解と解説の一覧です。上の一問一答で実際に解いてから、ここで復習・確認できます。
-
問1.共通鍵暗号方式は暗号化と復号に同じ鍵を使用する暗号方式である。
正解:○(正しい)
解説:AES・DES・3DES等が代表例。鍵配送が課題で、公開鍵暗号と組み合わせるハイブリッド暗号で解決する。
-
問2.公開鍵暗号方式は暗号化と復号に異なる鍵(公開鍵と秘密鍵)を使用する暗号方式である。
正解:○(正しい)
解説:RSA・ECC・DH等が代表例。鍵配送問題を解決するが処理速度は共通鍵より遅い。
-
問3.AES(Advanced Encryption Standard)は共通鍵暗号方式のブロック暗号アルゴリズムであり、128/192/256ビット鍵が選択できる。
正解:○(正しい)
解説:現在の標準的な共通鍵暗号アルゴリズムで広く利用されている。
-
問4.RSA暗号は公開鍵暗号方式の代表的アルゴリズムで、大きな素数の積の素因数分解が困難であることを安全性の根拠とする。
正解:○(正しい)
解説:RSAは大きな素数の積(合成数)の素因数分解が困難であることを安全性の根拠とする公開鍵暗号。鍵長は2048ビット以上が現代の推奨水準で、2030年以降は3072ビット以上が望ましい。デジタル署名・鍵交換にも利用される。
-
問5.楕円曲線暗号(ECC)はRSAより短い鍵長で同等の安全性を実現できる公開鍵暗号方式である。
正解:○(正しい)
解説:256ビットECC ≒ 3072ビットRSAの安全性に相当。
-
問6.ハイブリッド暗号方式は共通鍵暗号と公開鍵暗号を組み合わせ、両者の長所を活かす方式である。
正解:○(正しい)
解説:本文を共通鍵で暗号化し、その共通鍵を公開鍵で暗号化して送付する。TLS/SSLでも採用。
-
問7.ハッシュ関数は任意長の入力から固定長の出力を生成し、出力から入力を復元することは事実上不可能(一方向性)である。
正解:○(正しい)
解説:改ざん検知・パスワード保管・電子署名で利用される。
-
問8.SHA-256は256ビット長のハッシュ値を生成する暗号学的ハッシュ関数で、現在広く利用されている。
正解:○(正しい)
解説:SHA-2系の代表アルゴリズム。SHA-1は衝突耐性が低く非推奨。
-
問9.ソルトはパスワードをハッシュ化する際に付加するランダムな値で、レインボーテーブル攻撃への対策となる。
正解:○(正しい)
解説:利用者ごとに異なるソルトを使用することが重要。
-
問10.ストレッチング(鍵導出関数の繰り返し適用)はハッシュ計算を意図的に遅くして総当たり攻撃の負荷を増やす技法である。
正解:○(正しい)
解説:bcrypt・PBKDF2・scrypt・Argon2等で実装される。
-
問11.デジタル署名は秘密鍵で署名を生成し公開鍵で検証することで、署名者の真正性とメッセージの完全性を担保する。
正解:○(正しい)
解説:デジタル署名は秘密鍵で署名生成・公開鍵で検証することで、署名者の真正性とメッセージの完全性を担保する。さらに署名者は後から「自分は署名していない」と否認できないため、否認防止(Non-repudiation)にも寄与する重要な技術。
-
問12.電子証明書は認証局(CA)が発行し、公開鍵と所有者の対応関係をCAの署名で保証する仕組みである。
正解:○(正しい)
解説:電子証明書は認証局(CA)が発行し、公開鍵とその所有者(個人・組織)の対応関係をCAの署名で保証する仕組み。国際標準形式はX.509で、SSL/TLSサーバ証明書・クライアント証明書・コードサイニング証明書等で広く使われる。
-
問13.PKI(Public Key Infrastructure)は公開鍵暗号と電子証明書を運用するための信頼基盤である。
正解:○(正しい)
解説:CA・RA・リポジトリ・CRL/OCSP等で構成される。
-
問14.TLS(Transport Layer Security)はインターネット上の通信を暗号化するプロトコルで、HTTPSの基盤となる。
正解:○(正しい)
解説:TLS 1.2/1.3が現行。SSL 2.0/3.0・TLS 1.0/1.1は脆弱で非推奨。
-
問15.IPsecはネットワーク層で通信の暗号化・認証を行うプロトコル群で、VPN構築に広く使われる。
正解:○(正しい)
解説:ESP・AHのプロトコルとIKEによる鍵交換から構成される。
-
問16.多要素認証(MFA)は知識情報・所持情報・生体情報のうち2つ以上を組み合わせる認証方式である。
正解:○(正しい)
解説:1要素のみのパスワード認証より大幅にセキュリティが向上する。
-
問17.TOTP(Time-based One-Time Password)は時刻情報を基に一定時間ごとに変化するワンタイムパスワード方式である。
正解:○(正しい)
解説:認証アプリ(Google Authenticator等)で生成される。
-
問18.FIDO2はパスワードに依存しない認証標準規格で、生体認証やセキュリティキーを利用する。
正解:○(正しい)
解説:公開鍵暗号ベースで、サーバ側にパスワードを保管しないためフィッシング耐性が高い。
-
問19.シングルサインオン(SSO)は1回の認証で複数のシステム・サービスを利用できる仕組みである。
正解:○(正しい)
解説:SAML・OAuth・OpenID Connect等で実現される。
-
問20.OAuth 2.0はパスワードを第三者アプリに渡さずアクセス権限を委譲するための認可フレームワークである。
正解:○(正しい)
解説:GoogleやTwitterのAPI連携等で広く使われる。
-
問21.OpenID Connect(OIDC)はOAuth 2.0を拡張した認証プロトコルで、IDトークンによりユーザIDの提供を行う。
正解:○(正しい)
解説:OpenID Connect(OIDC)はOAuth 2.0の認可フレームワークを拡張し、IDトークン(JWT形式)によりユーザの認証情報も提供する。Googleログインやその他のソーシャルログインで広く採用され、SSOの標準的な仕組みの一つ。
-
問22.SAML(Security Assertion Markup Language)はXMLベースの認証・認可情報を交換するための標準規格である。
正解:○(正しい)
解説:SAML(Security Assertion Markup Language)はXMLベースで認証・認可情報を交換する標準規格。企業向けSSO(特にエンタープライズSaaS連携)で広く使われ、IdP(ID Provider)とSP(Service Provider)間でアサーションをやり取りする。
-
問23.RBAC(Role-Based Access Control)は利用者にロール(役割)を割り当て、ロールに紐付く権限でアクセス制御を行う方式である。
正解:○(正しい)
解説:RBACはロール(役割)に権限を紐付け、利用者にロールを割り当てる方式。ユーザ単位で個別に権限管理するDACより運用負荷が小さく、組織変更時もロールの付け替えで一括反映できる。アクセス制御モデルの代表例。
-
問24.最小権限の原則は利用者やプロセスに業務遂行上必要な最小限の権限のみを付与する考え方である。
正解:○(正しい)
解説:情報漏えいや内部不正の被害を限定する基本的なアクセス制御方針。
-
問25.二要素認証で『所持情報』に該当するものは、ハードウェアトークン・スマートフォン・ICカード等である。
正解:○(正しい)
解説:知識情報(パスワード)・所持情報(トークン)・生体情報(指紋等)の3要素分類。
-
問26.共通鍵暗号方式は暗号化と復号に異なる鍵を使用する暗号方式である。
正解:×(誤り)
解説:誤り。共通鍵暗号は同じ鍵を使う方式。異なる鍵を使うのは公開鍵暗号方式。
-
問27.公開鍵暗号方式は暗号化と復号に同じ鍵を使用する暗号方式である。
正解:×(誤り)
解説:誤り。公開鍵暗号は異なる鍵(公開鍵と秘密鍵)を使う非対称鍵方式。同じ鍵を使うのは共通鍵暗号。
-
問28.AESは公開鍵暗号方式の代表的なアルゴリズムで、デジタル署名に広く利用される。
正解:×(誤り)
解説:誤り。AESは共通鍵(対称鍵)暗号方式のブロック暗号。公開鍵暗号の代表はRSAや楕円曲線暗号。
-
問29.RSA暗号は共通鍵暗号方式のアルゴリズムで、離散対数問題の困難性を安全性の根拠とする。
正解:×(誤り)
解説:誤り。RSAは公開鍵暗号で、安全性の根拠は大きな素数の積の素因数分解の困難性。離散対数問題はDH鍵交換等の根拠。
-
問30.ハイブリッド暗号方式は2つの異なる公開鍵暗号アルゴリズムを組み合わせて利用する方式である。
正解:×(誤り)
解説:誤り。ハイブリッド暗号は共通鍵暗号と公開鍵暗号を組み合わせ、本文を共通鍵で・共通鍵を公開鍵で暗号化する方式。
-
問31.ハッシュ関数は同じ入力から異なるハッシュ値を生成し、出力から入力を簡単に復元できる特性を持つ。
正解:×(誤り)
解説:誤り。ハッシュ関数は同じ入力からは常に同じハッシュ値を生成し、出力から入力を復元することは事実上不可能(一方向性)。
-
問32.SHA-256は128ビットのハッシュ値を生成する暗号学的ハッシュ関数である。
正解:×(誤り)
解説:誤り。SHA-256は名前の通り256ビット(32バイト)のハッシュ値を生成する。128ビット出力はMD5。
-
問33.ソルトはパスワードを保管する際にハッシュ値を短縮しデータ容量を削減するための処理である。
正解:×(誤り)
解説:誤り。ソルトはハッシュ化時に付加するランダムな値で、レインボーテーブル攻撃対策が目的。容量削減ではない。
-
問34.デジタル署名は公開鍵で署名を生成し秘密鍵で検証することで真正性を担保する。
正解:×(誤り)
解説:誤り。デジタル署名は秘密鍵で署名を生成し、公開鍵で検証する。鍵の役割が逆。
-
問35.TLSは現在TLS 1.0が標準として推奨されている最新バージョンである。
正解:×(誤り)
解説:誤り。TLS 1.0/1.1は脆弱性のため非推奨。現在の標準はTLS 1.2/1.3。
-
問36.IPsecはアプリケーション層で通信を暗号化するプロトコルである。
正解:×(誤り)
解説:誤り。IPsecはネットワーク層(OSI第3層)で通信を暗号化・認証するプロトコル群。アプリ層暗号化はTLSやアプリ独自の暗号化。
-
問37.多要素認証(MFA)は同じ要素のもの(例:パスワード2つ)を複数組み合わせる認証方式である。
正解:×(誤り)
解説:誤り。MFAは知識・所持・生体の異なる要素を2つ以上組み合わせる方式。同種要素の複数組合せは多段階認証であってMFAではない。
-
問38.TOTPは利用者の現在地(位置情報)を基に生成される一時的なパスワードである。
正解:×(誤り)
解説:誤り。TOTPは時刻情報を基に生成される。位置情報とは無関係。
-
問39.FIDO2はパスワードの定期変更を強制するパスワードベースの認証規格である。
正解:×(誤り)
解説:誤り。FIDO2はパスワードに依存しないパスワードレス認証標準規格で、生体認証やセキュリティキーを使用する。
-
問40.シングルサインオン(SSO)はサービスごとに毎回個別認証を行う必要がある仕組みである。
正解:×(誤り)
解説:誤り。SSOは1回の認証で連携した複数サービスを利用できる仕組み。毎回認証は従来方式で逆。
-
問41.OAuthは第三者アプリにユーザのID・パスワードそのものを渡してアクセスを許可する認証方式である。
正解:×(誤り)
解説:誤り。OAuthはパスワードを渡さずトークンによってアクセス権限を委譲する認可プロトコル。
-
問42.RBAC(Role-Based Access Control)は利用者個人ごとに直接アクセス権限を割り当てる方式である。
正解:×(誤り)
解説:誤り。RBACはロール(役割)に権限を紐付け、利用者にロールを割り当てる方式。個別割当はDAC(任意アクセス制御)等。
-
問43.最小権限の原則は利用者には全ての権限を一度付与し、必要に応じて削除する考え方である。
正解:×(誤り)
解説:誤り。最小権限の原則は『業務遂行上必要な最小限の権限のみを付与』する考え方。全部付与は逆。
-
問44.パスワードのハッシュ化保管ではソルトもストレッチングも必要なく、SHA-256で1回ハッシュ化すれば十分である。
正解:×(誤り)
解説:誤り。利用者ごとのソルト+ストレッチング(bcrypt/PBKDF2/Argon2等)が現代の標準。SHA-256単体は総当たりに弱い。
-
問45.共通鍵暗号方式は公開鍵暗号方式に比べて処理速度が一般的に遅い。
正解:×(誤り)
解説:誤り。共通鍵暗号は公開鍵暗号より大幅に高速。だからハイブリッド暗号で本文を共通鍵で暗号化する。
-
問46.電子証明書は利用者が自分自身で発行・自署するもので、第三者機関は関与しない。
正解:×(誤り)
解説:誤り。電子証明書は認証局(CA)が発行し、CAの署名で公開鍵と所有者の対応関係を保証する。自己署名証明書は信頼の連鎖が成立しない。
-
問47.PKIにおけるCRL(Certificate Revocation List)は新規発行された証明書の一覧である。
正解:×(誤り)
解説:誤り。CRLは『失効した証明書』のリスト。新規発行一覧ではない。
-
問48.生体認証は1度登録すれば変更が容易で、漏えいしても安全である。
正解:×(誤り)
解説:誤り。生体情報(指紋・顔・虹彩等)は変更が困難。漏えい時は変更できないため、補助手段として運用するか、テンプレートを暗号化して保護する。
-
問49.ICカード認証は所持情報・知識情報・生体情報のうち『生体情報』に分類される。
正解:×(誤り)
解説:誤り。ICカード等の物理デバイスは『所持情報(something you have)』に分類される。生体情報は指紋・顔・虹彩等。
-
問50.ゼロトラストモデルでは社内ネットワークからのアクセスを信頼し、認証や検証を省略する。
正解:×(誤り)
解説:誤り。ゼロトラストは『何も信頼しない』を前提とし、社内アクセスでも常に認証と検証を行うモデル。社内信頼は従来の境界防御モデル。
-
問51.AESアルゴリズムが採用している暗号方式の分類はどれか。
- ア.量子暗号方式
- イ.公開鍵暗号方式
- ウ.ハイブリッド暗号方式
- エ.共通鍵暗号方式(ブロック暗号)
正解:エ.共通鍵暗号方式(ブロック暗号)
解説:AESは共通鍵(対称鍵)暗号方式のブロック暗号で、現在広く利用される標準。
-
問52.公開鍵暗号方式の代表的なアルゴリズムはどれか。
- ア.RSA
- イ.AES
- ウ.DES
- エ.SHA-256
正解:ア.RSA
解説:RSAは公開鍵暗号の代表例。AES/DESは共通鍵、SHA-256はハッシュ。
-
問53.ハッシュ関数の特徴として正しいものはどれか。
- ア.出力から元の入力を容易に復元できる
- イ.同じ入力から常に同じ出力が得られ、一方向性を持つ
- ウ.暗号化と復号に使う
- エ.入力ごとに異なる出力長を生成する
正解:イ.同じ入力から常に同じ出力が得られ、一方向性を持つ
解説:一方向性・固定長出力・同入力同出力(衝突耐性)が主要な性質。
-
問54.パスワード保管時にソルトを利用する目的はどれか。
- ア.容量を削減する
- イ.利用者の利便性を高める
- ウ.レインボーテーブル攻撃を困難にする
- エ.ハッシュ計算を高速化する
正解:ウ.レインボーテーブル攻撃を困難にする
解説:利用者ごとに異なるソルトで事前計算テーブルが無効化される。
-
問55.TLSプロトコルの主な役割はどれか。
- ア.メールの送受信
- イ.DNSの名前解決
- ウ.ファイル圧縮
- エ.インターネット上の通信を暗号化し改ざん検知・サーバ認証を行う
正解:エ.インターネット上の通信を暗号化し改ざん検知・サーバ認証を行う
解説:HTTPS(HTTP over TLS)等で広く利用される。
-
問56.IPsecが動作するOSI参照モデルの層はどれか。
- ア.第3層(ネットワーク層)
- イ.第2層(データリンク層)
- ウ.第4層(トランスポート層)
- エ.第7層(アプリケーション層)
正解:ア.第3層(ネットワーク層)
解説:IPsecはIP層で動作する暗号化・認証プロトコル群。VPN構築に多用。
-
問57.多要素認証(MFA)の組合せとして適切なものはどれか。
- ア.パスワード2つ
- イ.パスワードとSMS認証コード
- ウ.パスワードとPINコード
- エ.パスワードと秘密の質問
正解:イ.パスワードとSMS認証コード
解説:知識(パスワード)と所持(SMS受信端末)の異なる要素を組み合わせる。同種要素の組合せはMFAではない。
-
問58.TOTPによるワンタイムパスワードの生成基準はどれか。
- ア.ランダム
- イ.利用者の位置情報
- ウ.現在時刻
- エ.最後にログインしたIPアドレス
正解:ウ.現在時刻
解説:時刻ベース(Time-based)で30秒ごとに変化するのが一般的。
-
問59.FIDO2の特徴として最も適切なものはどれか。
- ア.全ユーザに同じパスワードを使わせる
- イ.パスワードを暗号化して保管する
- ウ.パスワードを短縮する
- エ.パスワードに依存せず生体認証やセキュリティキーで認証する
正解:エ.パスワードに依存せず生体認証やセキュリティキーで認証する
解説:パスワードレス認証で公開鍵暗号ベース。フィッシング耐性が高い。
-
問60.シングルサインオン(SSO)の効果として正しいものはどれか。
- ア.1回の認証で連携する複数サービスにログインできる
- イ.利用者は連携サービスごとに異なるパスワードを覚える必要がある
- ウ.パスワード変更ができなくなる
- エ.認証時間が長くなる
正解:ア.1回の認証で連携する複数サービスにログインできる
解説:利便性向上と運用コスト削減が主なメリット。SAML・OIDC等で実現。
-
問61.OAuth 2.0が解決する課題はどれか。
- ア.パスワードを長くする
- イ.パスワードを第三者アプリに直接渡すことなくアクセス権限を委譲する
- ウ.認証回数を減らす
- エ.暗号鍵を強化する
正解:イ.パスワードを第三者アプリに直接渡すことなくアクセス権限を委譲する
解説:アクセストークンによる権限委譲フレームワーク。SNS連携等で広く採用。
-
問62.RBACの主な特徴はどれか。
- ア.利用者ごとに個別に権限を付与
- イ.アクセス制御を行わない
- ウ.ロール(役割)に権限を紐付け、利用者にロールを割り当てる
- エ.管理者権限を全員に付与
正解:ウ.ロール(役割)に権限を紐付け、利用者にロールを割り当てる
解説:業務役割の変更時にロール付け替えで一括反映でき、運用が効率的。
-
問63.最小権限の原則の例として適切なものはどれか。
- ア.全社員に管理者権限を付与
- イ.権限管理を行わない
- ウ.権限はランダムに付与
- エ.各業務に必要な最小限の権限のみを付与する
正解:エ.各業務に必要な最小限の権限のみを付与する
解説:情報漏えいや内部不正の被害を限定する基本原則。アクセス制御の根本思想の一つ。
-
問64.『知識情報』に該当する認証要素はどれか。
- ア.パスワード
- イ.指紋
- ウ.ICカード
- エ.顔認証
正解:ア.パスワード
解説:知識(パスワード・PIN・秘密の質問)・所持(IC・トークン・スマホ)・生体(指紋・顔等)。
-
問65.『所持情報』に該当する認証要素はどれか。
- ア.パスワード
- イ.ハードウェアトークン
- ウ.秘密の質問
- エ.声紋
正解:イ.ハードウェアトークン
解説:所持情報は物理デバイス(IC・トークン・スマホ等)。
-
問66.電子証明書を発行する役割を担う組織はどれか。
- ア.IPA
- イ.PKI
- ウ.CA(認証局)
- エ.ICANN
正解:ウ.CA(認証局)
解説:CAが信頼の起点となり、公開鍵と所有者の対応関係をCAの署名で保証する。
-
問67.証明書失効を確認するためのオンライン手段はどれか。
- ア.DNS
- イ.NTP
- ウ.SNMP
- エ.CRL(証明書失効リスト)またはOCSP
正解:エ.CRL(証明書失効リスト)またはOCSP
解説:CRLは失効リスト、OCSPはリアルタイム照会プロトコル。
-
問68.デジタル署名で完全性と真正性を担保する仕組みとして正しいものはどれか。
- ア.送信者が秘密鍵で署名・受信者が公開鍵で検証
- イ.送信者が公開鍵で署名・受信者が秘密鍵で検証
- ウ.共通鍵で署名・検証
- エ.ハッシュ値のみで検証
正解:ア.送信者が秘密鍵で署名・受信者が公開鍵で検証
解説:署名生成は送信者の秘密鍵、検証は対応する公開鍵で行う。
-
問69.ストレッチングの目的はどれか。
- ア.処理を高速化する
- イ.ハッシュ計算を意図的に遅くし総当たり攻撃の負荷を増やす
- ウ.ストレージ容量を増やす
- エ.パスワード長を短くする
正解:イ.ハッシュ計算を意図的に遅くし総当たり攻撃の負荷を増やす
解説:bcrypt・PBKDF2・Argon2等の鍵導出関数で実装される。
-
問70.ゼロトラストアーキテクチャの基本原則はどれか。
- ア.社内アクセスは無条件に信頼
- イ.社外アクセスは無条件に拒否
- ウ.アクセス元に関わらず常に認証・検証を行う
- エ.認証は1日1回のみ
正解:ウ.アクセス元に関わらず常に認証・検証を行う
解説:境界防御(社内信頼)の限界に対応するモデル。マイクロセグメンテーション等で実現。
-
問71.DH鍵交換(Diffie-Hellman)の主な役割はどれか。
- ア.ハッシュを生成する
- イ.ファイルを圧縮する
- ウ.ユーザを認証する
- エ.共通鍵を安全に共有する
正解:エ.共通鍵を安全に共有する
解説:公開チャネル上で共通鍵を生成・共有する仕組み。
-
問72.パスワードのハッシュ保管で現代的に推奨される手法はどれか。
- ア.ソルト+ストレッチング(bcrypt/Argon2等)
- イ.SHA-256で1回ハッシュ化
- ウ.MD5で1回ハッシュ化
- エ.平文で保管
正解:ア.ソルト+ストレッチング(bcrypt/Argon2等)
解説:MD5は脆弱、SHA-256単体は高速で総当たりに弱い。bcrypt/Argon2等が標準。
-
問73.RADIUSプロトコルの主な用途はどれか。
- ア.メール転送
- イ.ネットワーク機器へのアクセス時の集中認証・認可・課金(AAA)
- ウ.ファイル転送
- エ.DNS解決
正解:イ.ネットワーク機器へのアクセス時の集中認証・認可・課金(AAA)
解説:Remote Authentication Dial-In User Service。AAA機能を提供。
-
問74.量子コンピュータによる解読に耐えることを目指した暗号技術の総称はどれか。
- ア.古典暗号
- イ.量子鍵配送(QKD)
- ウ.耐量子計算機暗号(PQC)
- エ.共通鍵暗号
正解:ウ.耐量子計算機暗号(PQC)
解説:PQCは古典コンピュータ上で動作する次世代暗号。NISTが標準化中。
-
問75.DAC(Discretionary Access Control)の特徴はどれか。
- ア.強制的に管理者がアクセスを統制
- イ.属性に基づいて統制
- ウ.ロールに基づいて統制
- エ.リソース所有者が自主的に権限を付与・管理
正解:エ.リソース所有者が自主的に権限を付与・管理
解説:DACは所有者裁量。MACは強制制御、RBACはロール、ABACは属性ベース。