[午前2問題について]
情報セキュリティスペシャリストの午前2問題では、40分間で25問の選択問題に解答し、6割以上の得点を取る必要があります。つまり、単純計算で25問中15問以上正解する必要があります。各回の問題の難易度の違いを吸収するために、受験者の平均点などによって、ある程度下駄を履かせたり履かせなかったりすることはあると思いますが、やはり15問以上は確実に正解しておきたいところです。出題範囲は情報セキュリティが主でそれ以外にネットワークとデータベースに関する問題が数問ずつ出題されます。また、午後1や午後2ではあまり出ないような最新技術に関する問題が出題されることもあります。
午前2問題では、同じ問題が出題されることも多いです。このような頻出問題をしっかりチェックしておけば、本番でも数問は確実に正解出来るうえ、解答時間も節約出来るため、安定して合格点をとる上で非常に重要だと思います。
そこで、平成26年春〜平成28年春までの過去5回分の情報セキュリティスペシャリスト午前2問題で過去に2回以上出題された問題をリストアップしていきたいと思います。
[頻出問題(問題文)]
解答はページ下部に記載しています。
問1
Webアプリケーションへの攻撃 (H26春ー問15、H23秋ー問16)
Webアプリケーションの脆弱性を悪用する攻撃手法のうち,Perlのsystem関数やPHPのexec関数など外部プログラムの呼出しを可能にするための関数を利用し,不正にシェルスクリプトや実行形式のファイルを実行させるものはどれに分類されるか。
ア)HTTPヘッダインジェクション
イ)OSコマンドインジェクション
ウ)クロスサイトリクエストフォージェリ
エ)セッションハイジャック
問2 ブラックリストとホワイトリスト
(H26春ー問16、H24秋ー問15)
WAF(Web Application Firewall)のブラックリスト又はホワイトリストの説明のうち,適切なものはどれか。
WAF(Web Application Firewall)のブラックリスト又はホワイトリストの説明のうち,適切なものはどれか。
ア)ブラックリストは,脆弱性のあるサイトのIPアドレスを登録したものであり,該当する通信を遮断する。
イ)ブラックリストは,問題がある通信データパターンを定義したものであり,該当する通信を遮断するか又は無害化する。
ウ)ホワイトリストは,暗号化された受信データをどのように復号するかを定義したものであり,復号鍵が登録されていないデータを遮断する。
エ)ホワイトリストは,脆弱性がないサイトのFQDNを登録したものであり,登録がないサイトへの通信を遮断する。
問3 バージョンロールバック攻撃
(H26春ー問17、H24春ー問16)
SSLに対するバージョンロールバック攻撃の説明はどれか。
ア)SSL実装の脆弱性を用いて,通信経路に介在する攻撃者が弱い暗号化通信方式を強制することによって,暗号化通信の内容を解読して情報を得る。
イ)SSLのハンドシェイクプロトコルの終了前で,使用暗号化アルゴリズムの変更メッセージを,通信経路に介在する攻撃者が削除することによって,通信者が暗号化なしでセッションを開始し,攻撃者がセッションの全通信を盗聴したり改ざんしたりする。
ウ)SSLを実装した環境において,攻撃者が物理デバイスから得られた消費電流の情報などを利用して秘密情報を得る。
エ)保守作業のミスや誤操作のときに回復できるようにバックアップしたSSLの旧バージョンのライブラリを,攻撃者が外部から破壊する。
問4 インターネットセキュリティプロトコル
(H26春ー問6、H23春ー問18)
インターネットVPNを実現するために用いられる技術であり,ESP(Encapsulating Security Payload)やAH(Authentication Header)などのプロトコルを含むものはどれか。
ア)IPsec
イ)MPLS
ウ)PPP
エ)SSL
[頻出問題(解答)]
問1:イ
問2:イ
問3:ア
問3:ア
問4:ア
0 件のコメント:
コメントを投稿