2019年01月02日

平成30年度秋期 応用情報技術者試験問題 問43

問43
脆弱性検査手法の一つであるファジングはどれか。

 ア 既知の脆弱性に対するシステムの対応状況に注目し、システムに
   導入されているソフトウエアのバージョン及びパッチの適用状況の
   検査を行う。
 イ ソフトウェアのデータの入出力に注目し、問題を引き起こしそうな
   データを大量に多様なパターンで入力して挙動を観察し、脆弱性を
   見つける。
 ウ ベンダや情報セキュリティ関連機関が提供するセキュリティアドバイザリ
   などの最新のセキュリティ情報に注目し、ソフトウェアの脆弱性の検査を
   行う。
 エ ホワイトボックス検査の一つであり、ソフトウェアの内部構造に注目し、
   ソースコードの構文をチェックすることによって脆弱性を見つける。



続きを読む
タグ:ファジング
posted by ファーストマクロ at 14:33| Comment(0) | H30秋応用情報技術者

2019年01月01日

平成30年度秋期 応用情報技術者試験問題 問42

問42
ブルートフォース攻撃に該当するものはどれか。

 ア WebブラウザとWebサーバの間の通信で、認証が成功してセッションが
   開始されているときに、Cookieなどのセッション情報を盗む。
 イ コンピュータへのキー入力を全て記録して外部に送信する。
 ウ 使用可能な文字のあらゆる組合せをそれぞれパスワードとして、
   繰り返しログインを試みる。
 エ 正当な利用者のログインシーケンスを盗聴者が記録してサーバに
   送信する。



続きを読む
posted by ファーストマクロ at 09:51| Comment(0) | H30秋応用情報技術者

2018年12月31日

平成30年度秋期 応用情報技術者試験問題 問41

問41
クロスサイトスクリプティング対策に該当するものはどれか。

 ア WebサーバでSNMPエージェントを常時稼働させることによって、
   攻撃を検知する。
 イ WebサーバのOSにセキュリティパッチを適用する。
 ウ Webページに入力されたデータの出力データが、HTMLタグと
   して解釈されないように処理する。
 エ 許容量を超えた大きさのデータをWebページに入力することを
   禁止する。



続きを読む
posted by ファーストマクロ at 00:24| Comment(0) | H30秋応用情報技術者

2018年12月30日

平成30年度秋期 応用情報技術者試験問題 問40

問40
インターネットに接続された利用者のPCから、DMZ上の公開Webサイトに
アクセスし、利用者の個人情報を入力すると、その個人情報が内部ネット
ワークのデータベース (DB) サーバに蓄積されるシステムがある。このシステムに
おいて、利用者個人のディジタル証明書を用いたTLS通信を行うことによって
期待できるセキュリティ上の効果はどれか。

 ア PCとDBサーバ間の通信データを暗号化するとともに、正当なDBサーバ
   であるかを検証することができるようになる。
 イ PCとDBサーバ間の通信データを暗号化するとともに、利用者を認証する
   ことができるようになる。
 ウ PCとWebサーバ間の通信データを暗号化するとともに、正当なDBサーバ
   であるかを検証することができるようになる。
 エ PCとWebサーバ間の通信データを暗号化するとともに、利用者を認証
   することができるようになる。



続きを読む
タグ:TLS
posted by ファーストマクロ at 16:11| Comment(0) | H30秋応用情報技術者

2018年12月29日

平成30年度秋期 応用情報技術者試験問題 問39

問39
DNSキャッシュサーバに対して外部から行われるキャッシュポイズニング
攻撃への対策のうち、適切なものはどれか。

 ア 外部ネットワークからの再帰的な問合せにも応答できるように、
   コンテンツサーバにキャッシュサーバを兼ねさせる。
 イ 再帰的な問合せに対しては、内部ネットワークからのものだけを
   許可するように設定する。
 ウ 再帰的な問合せを行う際の送信元のポート番号を固定する。
 エ 再帰的な問合せを行う際のトランザクションIDを固定する。



続きを読む
posted by ファーストマクロ at 08:14| Comment(0) | H30秋応用情報技術者

2018年12月28日

平成30年度秋期 応用情報技術者試験問題 問38

問38
JIS X 9401:2016 (情報技術−クラウドコンピューティング−概要及び用語) の
定義によるクラウドサービス区分において、パブリッククラウドのクラウドサービスカスタマの
システム管理者が、仮想サーバのゲストOSに対するセキュリティパッチの管理と適用を
実施可か実施不可かの組合せのうち、適切なものはどれか。

   ┌────┬────┬────┐
   │IaaS│PaaS│SaaS│
 ┌─┼────┼────┼────┤
 │ア│実施可 │実施可 │実施不可│
 ├─┼────┼────┼────┤
 │イ│実施可 │実施不可│実施不可│
 ├─┼────┼────┼────┤
 │ウ│実施不可│実施可 │実施不可│
 ├─┼────┼────┼────┤
 │エ│実施不可│実施不可│実施可 │
 └─┴────┴────┴────┘



続きを読む
タグ:クラウド
posted by ファーストマクロ at 22:41| Comment(0) | H30秋応用情報技術者

2018年12月27日

平成30年度秋期 応用情報技術者試験問題 問37

問37
楕円曲線暗号に関する記述のうち、適切なものはどれか。

 ア AESに代わる共通暗号方式としてNISTが標準化している。
 イ 共通鍵暗号方式であり、ディジタル署名にも利用されている。
 ウ 公開鍵暗号方式であり、TLSにも利用されている。
 エ 素因数分解問題の困難性を利用している。



続きを読む
posted by ファーストマクロ at 21:45| Comment(0) | H30秋応用情報技術者

2018年12月26日

平成30年度秋期 応用情報技術者試験問題 問36

問36
サイバーセキュリティ基本法に基づき、内閣官房に設置された機関はどれか。

 ア IPA
 イ JIPDEC
 ウ JPCERT/CC
 エ NISC



続きを読む
posted by ファーストマクロ at 22:22| Comment(0) | H30秋応用情報技術者

2018年12月25日

平成30年度秋期 応用情報技術者試験問題 問35

問35
OpenFlowを使ったSDN (Software-Defined Networking) の説明と
して、適切なものはどれか

 ア 単一の物理サーバ内の仮想サーバ同士が、外部のネットワーク
   機器を経由せずに、物理サーバ内部のソフトウェアで実現された
   仮想スイッチを経由して、通信する方式
 イ データを転送するネットワーク機器とは分離したソフトウェアによって、
   ネットワーク機器を集中的に制御、管理するアーキテクチャ
 ウ プロトコルの文法を形式言語を使って厳密に定義する、
   ISOで標準化された通信プロトコルの規格
 エ ルータやスイッチの機器内部で動作するソフトウェアを、
   オープンソースソフトウェア (OSS) で実現する方式



続きを読む
タグ:SDN
posted by ファーストマクロ at 00:24| Comment(0) | H30秋応用情報技術者

2018年12月24日

平成30年度秋期 応用情報技術者試験問題 問34

問34
あるサブネットでは、ルータやスイッチなどのネットワーク機器にIPアドレスを割り
当てる際、割当て可能なアドレスの末尾から降順に使用するルールを採用して
いる。このサブネットのネットワークアドレスを10.16.32.64/26とするとき、
10番目に割り当てられるネットワーク機器のアドレスはどれか。 ここで、ネット
ワーク機器1台に対して、このサブネット内のアドレス1個を割り当てるものとする。

 ア 10.16.32.54
 イ 10.16.32.55
 ウ 10.16.32.117
 エ 10.16.32.118



続きを読む
posted by ファーストマクロ at 09:24| Comment(0) | H30秋応用情報技術者