基本情報対策 セキュリティ (2)

今回の基本情報対策は、セキュリティです。2回目になります。メッセージダイジェストや認証局に関する問題のほか、情報セキュリティの3要素に関する問題を選びました。情報セキュリティの3要素というのは、機密性・完全性・可用性のことですが、それぞれ何を意味するかを、答えられるようにしておきましょう。

問題 1

メッセージ認証符号におけるメッセージダイジェストの利用目的はどれか。 (基本情報技術者試験 平成26年春期 午前問36)

(A) メッセージが改ざんされていないことを確認する。

(B) メッセージの暗号化方式を確認する。

(C) メッセージの概要を確認する。

(D) メッセージの秘匿性を確保する。

正解は A


メッセージダイジェストとは、原文からハッシュ関数により求めた固定長の値であり、改ざんの検知に利用されます。

(A) メッセージが改ざんされていないことを確認する。

これは正しいです。

(B) メッセージの暗号化方式を確認する。

これは誤りです。メッセージダイジェストでは、暗号化方式は確認できません。

(C) メッセージの概要を確認する。

これは誤りです。メッセージダイジェストでは、メッセージの概要は確認できません。

(D) メッセージの秘匿性を確保する。

これは誤りです。メッセージダイジェストでは、秘匿性の確保は行えません。

問題 2

PKI(公開鍵基盤)の認証局が果たす役割はどれか。 (基本情報技術者試験 平成26年春期 午前問37)

(A) 共通鍵を生成する。

(B) 公開鍵を利用しデータの暗号化を行う。

(C) 失効したディジタル証明書の一覧を発行する。

(D) データが改ざんされていないことを検証する。

正解は C


認証局とは、公開鍵暗号方式のデータ通信において、利用者にディジタル証明書を発行する機関です。証明書の失効処理も行います。

(A) 共通鍵を生成する。

これは誤りです。認証局では、共通鍵の生成は行いません。

(B) 公開鍵を利用しデータの暗号化を行う。

これは誤りです。認証局では、データの暗号化は行いません。

(C) 失効したディジタル証明書の一覧を発行する。

これは正しいです。証明書の紛失や盗用の場合は、失効処理を行いますが、その際に失効した証明書の一覧を発行します。

(D) データが改ざんされていないことを検証する。

これは誤りです。認証局では、改ざんの検証は行いません。

問題 3

情報セキュリティにおける"完全性"を脅かす攻撃はどれか。 (基本情報技術者試験 平成26年春期 午前問39)

(A) Webページの改ざん

(B) システム内に保管されているデータの不正コピー

(C) システムを過負荷状態にするDoS攻撃

(D) 通信内容の盗聴

正解は A


完全性とは、情報が正確かつ完全であること、つまり改ざんされていないことを保証することです。

(A) Webページの改ざん

これは正しいです。完全性を脅かす攻撃です。

(B) システム内に保管されているデータの不正コピー

これは誤りです。機密性を脅かす攻撃です。

(C) システムを過負荷状態にするDoS攻撃

これは誤りです。可用性を脅かす攻撃です。

(D) 通信内容の盗聴

これは誤りです。機密性を脅かす攻撃です。

問題 4

会社や団体が,自組織の従業員に貸与するスマートフォンに対して,セキュリティポリシに従った一元的な設定をしたり,業務アプリケーションを配信したりして,スマートフォンの利用状況などを一元管理する仕組みはどれか。 (基本情報技術者試験 平成26年春期 午前問40)

(A) BYOD(Bring Your Own Device)

(B) ECM(Enterprise Contents Management)

(C) LTE(Long Term Evolution)

(D) MDM(Mobile Device Management)

正解は D


MDMとは、社員のスマートフォンを一元管理し、セキュリティ設定やソフトウェアの配信を行う仕組みです。

MDM = Mobile Device Management

(A) BYOD(Bring Your Own Device)

これは誤りです。BYODは、社員が私用のスマートフォンを業務で活用することです。

(B) ECM(Enterprise Contents Management)

これは誤りです。ECMは、企業や組織の情報を、一元的に蓄積・管理・運用するための仕組みです。

(C) LTE(Long Term Evolution)

これは誤りです。LTEは通信規格の1つです。

(D) MDM(Mobile Device Management)

これは正しいです。

問題 5

緊急事態を装って組織内部の人間からパスワードや機密情報を入手する行為は,どれに分類されるか。 (基本情報技術者試験 平成26年春期 午前問41)

(A) ソーシャルエンジニアリング

(B) トロイの木馬

(C) パスワードクラック

(D) 踏み台攻撃

正解は A


ソーシャルエンジニアリングとは、コンピュータの利用者から、のぞき見や話術などの社会的な手段で、機密情報を入手することです。

(A) ソーシャルエンジニアリング

これは正しいです。

(B) トロイの木馬

これは誤りです。トロイの木馬は、表面上は問題のないように見せかけて、裏は不正な処理を行うソフトウェアです。

(C) パスワードクラック

これは誤りです。パスワードクラックは、様々な攻撃によって、パスワードを盗み出すことです。

(D) 踏み台攻撃

これは誤りです。踏み台攻撃は、セキュリティ対策の緩いコンピュータを中継して、本来の対象のサーバを攻撃することです。