問1
暗号・認証・アクセス制御
『知識情報』に該当する認証要素はどれか。
- 1. パスワード
- 2. 指紋
- 3. ICカード
- 4. 顔認証
問2
情報技術全般(ネットワーク・OS・DB・クラウド・開発)
WAFが防御する代表的な攻撃はどれか。
- 1. DDoS
- 2. SQLインジェクション・XSS等のWebアプリ攻撃
- 3. 物理侵入
- 4. 電源遮断
問3
暗号・認証・アクセス制御
OAuth 2.0が解決する課題はどれか。
- 1. パスワードを長くする
- 2. パスワードを第三者アプリに直接渡すことなくアクセス権限を委譲する
- 3. 認証回数を減らす
- 4. 暗号鍵を強化する
問4
情報技術全般(ネットワーク・OS・DB・クラウド・開発)
データベースのACID特性のうち『A』はAvailability(可用性)を意味する。
問5
セキュリティ基礎・脅威・脆弱性
バッファオーバーフロー攻撃で発生し得る被害はどれか。
- 1. 確保領域を超える書込みで任意コードが実行される可能性がある
- 2. 通信が遅くなるだけ
- 3. ファイル名が変更される
- 4. DNSレコードが書き換わる
問6
情報技術全般(ネットワーク・OS・DB・クラウド・開発)
バックアップの3-2-1ルールが意味する内容として正しいものはどれか。
- 1. 3人の管理者・2拠点・1暗号化
- 2. 3つのコピー・2種類の媒体・1つは遠隔地
- 3. 3バックアップ/年・2回確認・1検証
- 4. 3週間保管・2年保存・1廃棄
問7
セキュリティ基礎・脅威・脆弱性
ランサムウェアは感染端末のファイルを暗号化し、復号鍵と引換に身代金を要求するマルウェアである。
問8
情報セキュリティマネジメント・関連法規
ISMAPはアプリケーション開発者向けの脆弱性検査制度である。
問9
情報セキュリティマネジメント・関連法規
事業継続計画(BCP)は災害・障害発生時に重要業務を継続・早期復旧する手順を定めた計画である。
問10
セキュリティ基礎・脅威・脆弱性
キーロガーはディスプレイの画面を画像として保存しサーバへ送信する仕組みのマルウェアである。
問11
セキュリティ基礎・脅威・脆弱性
SQLインジェクション攻撃への最も有効な対策はどれか。
- 1. プレースホルダ(バインド機構)を使用してSQL文を組み立てる
- 2. WAFの設置のみで十分
- 3. 入力フォームを廃止する
- 4. ユーザID/パスワードを長くする
問12
暗号・認証・アクセス制御
公開鍵暗号方式の代表的なアルゴリズムはどれか。
- 1. RSA
- 2. AES
- 3. DES
- 4. SHA-256
問13
セキュリティ基礎・脅威・脆弱性
中間者攻撃(MITM)は特定組織を長期にわたり執拗に狙う標的型攻撃の一種である。
問14
情報セキュリティマネジメント・関連法規
不正アクセス禁止法は他人のID・パスワードを使ったアクセスや脆弱性を突いたアクセスを禁止する法律である。
問15
暗号・認証・アクセス制御
AESアルゴリズムが採用している暗号方式の分類はどれか。
- 1. 量子暗号方式
- 2. 公開鍵暗号方式
- 3. ハイブリッド暗号方式
- 4. 共通鍵暗号方式(ブロック暗号)
問16
情報技術全般(ネットワーク・OS・DB・クラウド・開発)
WPA3が提供するセキュリティ機能として正しいものはどれか。
- 1. WPA2より強化された暗号化と認証
- 2. WPA2より弱い暗号化
- 3. 暗号化なし
- 4. パスワードの強制リセットのみ
問17
セキュリティ基礎・脅威・脆弱性
コンピュータウイルスは他のプログラムに寄生して自己複製する機能を持つマルウェアである。
問18
情報セキュリティマネジメント・関連法規
BCPにおけるRTO(Recovery Time Objective)はどのような目標値か。
- 1. 許容できるデータ損失量
- 2. 検知精度
- 3. インシデント対応費用の上限
- 4. 業務復旧までの目標時間
問19
情報セキュリティマネジメント・関連法規
セキュリティ教育は経営層には不要で、現場の従業員のみに実施すれば良い。
問20
暗号・認証・アクセス制御
ハッシュ関数の特徴として正しいものはどれか。
- 1. 出力から元の入力を容易に復元できる
- 2. 同じ入力から常に同じ出力が得られ、一方向性を持つ
- 3. 暗号化と復号に使う
- 4. 入力ごとに異なる出力長を生成する
問21
情報技術全般(ネットワーク・OS・DB・クラウド・開発)
仮想化(仮想マシン)は1台の物理サーバ上に複数の独立した仮想サーバを動作させる技術である。
問22
情報セキュリティマネジメント・関連法規
JIS Q 15001は個人情報保護マネジメントシステム(PMS)の要求事項を定めたJIS規格で、プライバシーマーク制度の基準となる。
問23
情報技術全般(ネットワーク・OS・DB・クラウド・開発)
PaaS(Platform as a Service)の説明として正しいものはどれか。
- 1. 物理ハードウェアそのもの
- 2. データセンター施設
- 3. 完成したアプリを提供
- 4. アプリ実行環境(OS・ミドルウェア等)を提供
問24
情報セキュリティマネジメント・関連法規
JIS Q 15001は情報セキュリティマネジメントシステム(ISMS)規格である。
問25
情報技術全般(ネットワーク・OS・DB・クラウド・開発)
セキュリティバイデザインは企画・設計段階からセキュリティを組み込む考え方である。
問26
情報技術全般(ネットワーク・OS・DB・クラウド・開発)
ACID特性のうち『A』が意味するものはどれか。
- 1. Atomicity(原子性)
- 2. Availability(可用性)
- 3. Authenticity(真正性)
- 4. Authorization(認可)
問27
暗号・認証・アクセス制御
RBACの主な特徴はどれか。
- 1. 利用者ごとに個別に権限を付与
- 2. アクセス制御を行わない
- 3. ロール(役割)に権限を紐付け、利用者にロールを割り当てる
- 4. 管理者権限を全員に付与
問28
暗号・認証・アクセス制御
共通鍵暗号方式は暗号化と復号に異なる鍵を使用する暗号方式である。
問29
暗号・認証・アクセス制御
IPsecが動作するOSI参照モデルの層はどれか。
- 1. 第3層(ネットワーク層)
- 2. 第2層(データリンク層)
- 3. 第4層(トランスポート層)
- 4. 第7層(アプリケーション層)
問30
情報技術全般(ネットワーク・OS・DB・クラウド・開発)
コンテナ仮想化はホストOSのカーネルを共有し、仮想マシンより軽量で高速に動作する仮想化方式である。
問31
セキュリティ基礎・脅威・脆弱性
信頼性(Reliability)とは意図した結果と一貫した動作・処理が得られる性質である。
問32
暗号・認証・アクセス制御
ハッシュ関数は任意長の入力から固定長の出力を生成し、出力から入力を復元することは事実上不可能(一方向性)である。
問33
暗号・認証・アクセス制御
デジタル署名で完全性と真正性を担保する仕組みとして正しいものはどれか。
- 1. 送信者が秘密鍵で署名・受信者が公開鍵で検証
- 2. 送信者が公開鍵で署名・受信者が秘密鍵で検証
- 3. 共通鍵で署名・検証
- 4. ハッシュ値のみで検証
問34
情報セキュリティマネジメント・関連法規
不正競争防止法上の『営業秘密』の3要件はどれか。
- 1. 秘密管理性・有用性・非公知性
- 2. 真正性・有用性・公知性
- 3. 秘密管理性・有償性・希少性
- 4. 非公知性・登録性・所有性
問35
セキュリティ基礎・脅威・脆弱性
DDoS攻撃でよく使われる手法はどれか。
- 1. 巨大ファイルを送りつける
- 2. ファイアウォールの無効化
- 3. DNSサーバの停止
- 4. ボットネットによる大量同時アクセス
問36
情報セキュリティマネジメント・関連法規
CSIRTはインシデントを発生させる責任を負う組織である。
問37
情報セキュリティマネジメント・関連法規
不正競争防止法における『営業秘密』として保護されるためには、秘密管理性・有用性・非公知性の3要件を満たす必要がある。
問38
暗号・認証・アクセス制御
パスワードのハッシュ保管で現代的に推奨される手法はどれか。
- 1. ソルト+ストレッチング(bcrypt/Argon2等)
- 2. SHA-256で1回ハッシュ化
- 3. MD5で1回ハッシュ化
- 4. 平文で保管
問39
情報セキュリティマネジメント・関連法規
JIS Q 27001は個人情報保護マネジメントシステム(PMS)の要求事項を定めた規格である。
問40
暗号・認証・アクセス制御
SHA-256は256ビット長のハッシュ値を生成する暗号学的ハッシュ関数で、現在広く利用されている。
問41
セキュリティ基礎・脅威・脆弱性
クロスサイトリクエストフォージェリ(CSRF)攻撃で起きる典型的な被害はどれか。
- 1. パスワードがハッシュ化されない
- 2. ログイン中ユーザの権限で意図しない操作(送金・退会等)が実行される
- 3. DNSが書き換わる
- 4. 通信が暗号化されない
問42
暗号・認証・アクセス制御
RADIUSプロトコルの主な用途はどれか。
- 1. メール転送
- 2. ネットワーク機器へのアクセス時の集中認証・認可・課金(AAA)
- 3. ファイル転送
- 4. DNS解決
問43
セキュリティ基礎・脅威・脆弱性
可用性(Availability)とは認可された者だけが情報にアクセスできる性質である。
問44
情報技術全般(ネットワーク・OS・DB・クラウド・開発)
UDPはコネクションレス型のプロトコルで、信頼性は保証しないが低オーバヘッドで高速通信が可能である。
問45
セキュリティ基礎・脅威・脆弱性
レインボー攻撃は平文のパスワード文字列を順番に比較する攻撃である。
問46
セキュリティ基礎・脅威・脆弱性
可用性(Availability)とは認可された者が必要時に情報・システムにアクセスできる性質である。
問47
暗号・認証・アクセス制御
最小権限の原則は利用者やプロセスに業務遂行上必要な最小限の権限のみを付与する考え方である。
問48
情報技術全般(ネットワーク・OS・DB・クラウド・開発)
DevSecOpsは開発と運用のみを統合し、セキュリティは別チームで後工程として実施する。
問49
暗号・認証・アクセス制御
DAC(Discretionary Access Control)の特徴はどれか。
- 1. 強制的に管理者がアクセスを統制
- 2. 属性に基づいて統制
- 3. ロールに基づいて統制
- 4. リソース所有者が自主的に権限を付与・管理
問50
セキュリティ基礎・脅威・脆弱性
真正性(Authenticity)とは事象や行為が後から否認されないことを保証する性質である。
問51
暗号・認証・アクセス制御
シングルサインオン(SSO)は1回の認証で複数のシステム・サービスを利用できる仕組みである。
問52
セキュリティ基礎・脅威・脆弱性
否認防止(Non-repudiation)とは事象や行為が後から否認されないことを保証する性質である。
問53
暗号・認証・アクセス制御
電子証明書を発行する役割を担う組織はどれか。
- 1. IPA
- 2. PKI
- 3. CA(認証局)
- 4. ICANN
問54
セキュリティ基礎・脅威・脆弱性
フィッシング攻撃への対策として最も適切なのはどれか。
- 1. パスワードを記憶する
- 2. HTMLメールの表示を必ず有効にする
- 3. メールを全て自動受信する
- 4. 送信者の偽装を疑い、URLや送信元を確認・公式サイトに直接アクセスする
問55
情報技術全般(ネットワーク・OS・DB・クラウド・開発)
IaaS(Infrastructure as a Service)の説明として正しいものはどれか。
- 1. 完成したアプリケーションを提供
- 2. 開発実行環境を提供
- 3. 仮想サーバ・ストレージ等のインフラを提供
- 4. 物理建屋を提供
問56
情報技術全般(ネットワーク・OS・DB・クラウド・開発)
ACID特性のうち『D』が意味するものはどれか。
- 1. Distribution
- 2. Durability(耐久性・永続性)
- 3. Decentralization
- 4. Disclosure
問57
セキュリティ基礎・脅威・脆弱性
標的型攻撃は特定の組織や個人を狙って機密情報の窃取等を目的とした執拗なサイバー攻撃である。
問58
セキュリティ基礎・脅威・脆弱性
ボットネットの説明として正しいものはどれか。
- 1. 1台の高性能サーバ
- 2. パスワード辞書のデータベース
- 3. 攻撃者が遠隔制御する多数の感染端末で構成されるネットワーク
- 4. 暗号化通信の総称
問59
暗号・認証・アクセス制御
FIDO2はパスワードの定期変更を強制するパスワードベースの認証規格である。
問60
暗号・認証・アクセス制御
パスワード保管時にソルトを利用する目的はどれか。
- 1. 容量を削減する
- 2. 利用者の利便性を高める
- 3. レインボーテーブル攻撃を困難にする
- 4. ハッシュ計算を高速化する