- トップページ
- 応用情報技術者
- 平成30年度春季問題
- 平成30年度春季解答・解説
平成30年度春季解答
問題41
内部ネットワーク上のPCからインターネット上のWebサーバを参照するときにDMZ上に用意したVDI(Virtual Desktop Infrastructure)サーバ上のWebブラウザを利用すると、未知のマルウェアがPCにダウンロードされて、PCが感染することを防ぐというセキュリティ上の効果が期待できる。 この効果を生み出すVDIサーバの動作の特徴はどれか。
| ア | Webサイトからの受信データのうち、実行ファイルを削除し、その他のデータをPCに送信する。 |
| イ | Webサイトからの受信データのうち、不正なコードが検知されない通信だけをPCに送信する。 |
| ウ | Webサイトからの受信データを処理してVDIサーバで生成したデスクトップ画面の画像データだけをPCに送信する。 |
| エ | Webサイトからの受信データを全てIPsecでカプセル化し、PCに送信する。 |
解答:ウ
<解説>
VDI(ブイディーアイ)サーバーとは、物理サーバー上に仮想デスクトップ環境を構築し、クライアント端末から操作できるシステム。仮想デスクトップインフラストラクチャとも呼ばれる。
VDIサーバーのメリットは次のとおりです。
- セキュリティ対策:端末にデータが残らないため、紛失や盗難、ウイルス感染による情報漏えいを防ぐことができる
- コスト削減:端末のメモリや動作に負荷がかからないため、ソフトやアプリケーションを追加しても高スペックなパソコンに買い替える必要がない
- リモートワークの実現:セキュアな環境で社外からのアクセスが容易になるため、個々人のワークスタイルを拡充させたり、災害発生時にも業務を継続したりすることができる
| ア | × | プロキシサーバの説明である。 |
| イ | × | プロキシサーバの説明である。 |
| ウ | 〇 | VDIサーバーの説明である。 |
| エ | × | VPNの説明である。 |
問題42
ファジングに該当するものはどれか。
| ア | サーバにFINパケットを送信し、サーバからの応答を観測して、稼働しているサービスを見つけ出す。 |
| イ | サーバのOSやアプリケーションソフトが生成したログやコマンド履歴などを解析して、ファイルサーバに保存されているファイルの改ざんを検知する。 |
| ウ | ソフトウェアに、問題を引き起こしそうな多様なデータを入力し、挙動を監視して、脆弱性を見つけ出す。 |
| エ | ネットワーク上を流れるパケットを収集し、そのプロトコルヘッダーやデータを解析して、あらかじめ登録された攻撃パターンと一致した場合は不正アクセスと判断する。 |
解答:ウ
<解説>
ファジングとは、ソフトウェアの不具合(とくに脆弱性を意図することが多い)を発見するためのテスト手法の一つである。 ファズ(英:fuzz)(予測不可能な入力データ)を与えることで意図的に例外を発生させ、その例外の挙動を確認するという方法を用いる。 ファズテストと呼ばれることもある。
| ア | × | ポートスキャンの説明である。 |
| イ | × | ログ分析の説明である。 |
| ウ | 〇 | ファジングの説明である。 |
| エ | × | IDSなどのパターンマッチングの説明である。 |
問題43
Webシステムにおいて、セッションの乗っ取りの機会を減らすために、利用者のログアウト時に Webサーバ又は Webブラウザにおいて行うべき処理はどれか。 ここで、利用者は自分専用のPCにおいて、Webブラウザを利用しているものとする。
| ア | WebサーバにおいてセッションIDをディスクに格納する。 |
| イ | WebサーバにおいてセッションIDを無効にする。 |
| ウ | WebブラウザにおいてキャッシュしているWebページをクリアする。 |
| エ | WebブラウザにおいてセッションIDをディスクに格納する。 |
解答:イ
<解説>
ウェブアプリケーションの中には、セッションID(利用者を識別するための情報)を発行し、セッション管理を行っているものが存在する。このセッションIDの発行や管理に不備がある場合、悪意のある人にログイン中の利用者のセッションIDを不正に取得され、その利用者になりすましてアクセスされてしまう可能性がある。この問題を悪用した攻撃手法を、「セッション・ハイジャック」と呼ぶ。
セッション・ハイジャックを防ぐためにはログアウトしたら必ずセション情報を廃棄して無効にする必要がある。
したがって、イが正解である。
問題44
パケットフィルタリング型ファイアウォールのフィルタリングルールを用いて、本来必要なサービスに影響を及ぼすことなく防げるものはどれか。
| ア | 外部に公開していないサービスへのアクセス |
| イ | サーバで動作するソフトウェアのセキュリティ脆ぜい弱性を突く攻撃 |
| ウ | 電子メールに添付されたファイルに含まれるマクロウイルスの侵入 |
| エ | 不特定多数のIoT機器から大量のHTTPリクエストを送り付けるDDoS攻撃 |
解答:ア
<解説>
パケットフィルタリングとは、ルータやファイヤーウォールなどを経由して行われる通信(データ・パケット)に対して、IPアドレスやポート番号などの情報によって、送られてきたパケットを中継(許可)するべきか、それとも遮断(拒否)するべきかの判断を行う機能である。
| ア | ○ | 外部に公開していないサービスへのアクセスは、パケットフィルタリングによって防ぐことができる。 バケットフィルタリング型ファイアウォールで外部に公開しないサービスのポート番号をもつIPパケットを遮断する設定にすれば,当該サービスへの外部からの不正なアクセスは遮断される。 |
| イ | × | サーバで動作するソフトウェアのセキュリティの脆弱性を突く攻撃は、正常な通信手段を使って行われる。 したがって、パケットフィルタリングによって防ぐことはできない。 |
| ウ | × | 電子メールに添付されたファイルの中身までをパケットフィルタリングでは検査しない。 したがって、パケットフィルタリングによって防ぐことはできない。 |
| エ | × | パケットフィルタリングで電子メールのパケットそのものを遮断することは可能だが正常な電子メールも遮断することとなる。 したがって、パケットフィルタリングによって防ぐことはできない。 |
問題45
TPM(Trusted Platform Module)に該当するものはどれか。
| ア | PCなどの機器に搭載され、鍵生成やハッシュ演算及び暗号処理を行うセキュリティチップ |
| イ | 受信した電子メールが正当な送信者から送信されたものであることを保証する、送信ドメイン認証技術 |
| ウ | ファイアウォールや侵入検知、アンチマルウェアなど、複数のセキュリティ機能を統合したネットワーク監視装置 |
| エ | ログデータを一元的に管理し、監視者へのセキュリティイベントの通知や相関分析を行うシステム |
解答:ア
<解説>
TPM(Trusted Platform Module)とは、ハードウェア耐タンパー性をもつセキュリティチップのことである。 通常はPCなどのマザーボードに直付けされていて、CPUからLPC経由でアクセスできるコプロセッサとして働く。
RSA暗号演算やSHA-1ハッシュ演算といった機能を有しており、チップ内で暗号化・復号、デジタル署名の生成・検証、プラットフォームの完全性検証を行うことができる。また、TPMの内部でRSAの鍵ペア(公開鍵と秘密鍵)を生成することができる。
| ア | 〇 | PCなどの機器に搭載され、鍵生成やハッシュ演算及び暗号処理を行うセキュリティチップは、TPM(Trusted Platform Module)である。 |
| イ | × | 受信した電子メールが正当な送信者から送信されたものであることを保証する、送信ドメイン認証技術はSPFである。 |
| ウ | × | ファイアウォールや侵入検知、アンチマルウェアなど、複数のセキュリティ機能を統合したネットワーク監視装置は、UTMである。 |
| エ | × | ログデータを一元的に管理し、監視者へのセキュリティイベントの通知や相関分析を行うシステムは、SIEMである。 |
お問い合わせ
