# 情報セキュリティ過去問 この科目は**取る優先度は低い** です。 教師が誤った発言をするばかりか, 話し声が小さいためです。 時間を投げ売って履修する場合, 過去問と資料の見直しで十分単位は取れます。 過去問と本試験問題には2割程度の変更がありましたが, 150点満点なので資料をパラっと見直せば十分だと思います。 ## 問題1 ### 1-1(第1回) (A) 情報セキュリティは何を守ることが役割か。 - 価値ある情報資産 (B) 情報セキュリティは何に焦点を当てて対策を講じているか, 3つ答えよ。 - 可用性 - 許可されたユーザが必要な時にアクセスできる性質 - 機密性 - 許可されたユーザのみがアクセスできる性質 - 完全性 - 情報およびデータが最新かつ正しい状態で維持されている性質 ref: [情報セキュリティ7要素 | CIA＋真正性,責任追及性,否認防止,信頼性](https://madadou.info/2018/06/14/secure7/#toc_id_4) (C) データ通信時にそのた情報セキュリティの関心事として考えられる属性を2つ記述せよ。 - 否認不能性 - 真正性 ### 1-2(第5回) (A) 企業などの組織における情報セキュリティマネジメントシステムの仕様を定めた規格 - エ: ISO/IEC 27002(日本工業規格JIS Q27002) (B) 個人情報の有用性と権利利益のバランスを図ることを目的として個人情報の取り扱いを定めた法律 - イ: 個人情報保護法 (C) 2001年11月に日米欧の主要国を含む30か国の署名により採択された, 国境を越えたコンピュータ犯罪に国際的に対応するための条約 - ア: サイバー犯罪条約 (D) 「ID・パスワードの不正な使用」や「そのほかの攻撃手法」によってアクセス権限のないコンピュータ資源へのアクセスを犯罪として定義するもの - ウ: 不正アクセス禁止法 (E) 行政機関・独立行政法人等が守るべき個人情報の取扱いに関するルール - オ: 行政機関の保有する個人情報の保護に関する法律 ### 1-3 (第4回) (A) ネットワークセキュリティの責任は個々の情報システムの保有者またはプロバイダが負うべきものとして提供するものの名称 - エ: ベストエフォート型サービス (B) 私たちの暮らしの中では、この2つの言葉はあまり区別することなく使われている場合があるが、正確には1つは、個人の氏名、生年月日、住所などの個人を特定する情報のことを表し、他は「個人や家庭内の私事・私生活。個人の秘密。また、それが他人から干渉・侵害を受けない権利」を意味している - イ: 個人情報とプライバシー (C) 情報の本来の性質を表し、公表されると、万人が所有するものとなり、また万人が所有してもそのアイデンティが失われることはないことを表している - ウ: 情報の公共財的な特性 (D) 2002年「(OECD) ネットワークセキュリティ文化に向けて」で唱えられ、我々の生活のすべての場に存在しなくてはならないものとされたもの - ア: セキュリティ文化 (E) ネットワークのアクセスを制御する、全体としてのいかなる制御も存在せず、自力救済および相互の合意に制御が求められていることを以前の状態と比べ表した言葉 - オ: インターネットでの脱秩序化 ### 1-4(第11回) (A) 無害なプログラムを装いコンピュータに侵入し、データ消去やファイル破壊や外部流出、パソコンの遠隔機能などを行う機能を備えたプログラムのこと。マルウェアの1つである - エ: トロイの木馬 (B) コンピュータシステムや通信システムの動作を解析したりプログラムを改造・改良したりすること。現在は悪意のある侵入もこの言葉で報道されているが、当初は悪意のない技術的研究の行為を表すものとして使用された。 - オ: ハッキング (C) 標的とする特定組織や人を事前に調査し、メール等により本物のように業務等を装いウイルスの入ったファイルを添付して、感染させたり、その組織の要員が頻繁にアクセスするURL(ホームページ)の疑似URLを作成し、そのURLにアクセスするよう誘導し、ウイルスに感染させ、漏えいを行う攻撃である。 - イ: 標的型メール攻撃 (D) コンピュータシステムやインターネットなどを利用して、標的のコンピュータやネットワークに不正に侵入してデータの詐取や破壊、改ざんなどを行なう攻撃である。現在の脅威のなかで最も広く知られ、総称としても使用されている攻撃である。 - エ: サイバー攻撃 (E) サイバー攻撃に対する対策の1つで、侵入したウイルス感染後の情報漏えいを阻止する対策である。この考えの前提の1つにコンピュータウィルス等による侵入は完全に防ぐことが難しくなっているという考えがある。その実現する主な方法は、ネットワークの設定等で行う。 - ウ: 出口対策 ## 問題2 ### 2-1(第4回) (1) 公共財的な特性に対して情報を保護する代表的な制度を2つ答え, その内容を記述せよ。 観点として, 情報の何化を進めるためのものか, また情報の何に関する規則なのかを理解している範囲で記せ。 - 著作権保護法 - 情報の規制化 - プライバシー保護法 - 情報の扱いに関する規則 (2) OECD (1992) 「情報システムのセキュリティに関するガイドライン」の内容を3つのキーワードを含めて具体的に記述せよ。 セキュリティの目的は, 情報システムがその利用可能性, 機密性, 完全性に故障を生じ, その故障が危害を引き起こした場合, その情報システムに依存する人々の利益をその危害から保護することである。 なお, 利用可用性(Availability)とは, 許可されたユーザが必要な時にアクセスできる性質。機密性(Confidentiality)は, 許可されたユーザのみがアクセスできる性質。完全性(Integrity)は情報およびデータが最新かつ正しい状態で維持されている性質である。 ### 2-2(第5回) (1) 標準化は何故必要か。また, 標準化にどのようなものがあるか, ISO/IEC <番号><標準化の名前>等の形と標準の名前を記述して具体的に説明せよ。 標準化は, 与えられた状況に応じて最適な程度の秩序を得るために必要である。具体的には, ISO/IEC 27000 情報セキュリティマネジメントの国際標準や, ISO/IEC 15408 セキュリティ製品の評価認証のための国際標準がある。 (2) 標準化によるメリットは何か, 理解している範囲で説明せよ。 - 業者(会社)間の連携が容易になること - 会社, 組織に対する信頼度が上昇し, 特に外国への信頼確保につながること ### 2-3(第6回) (1) リスク管理とは何か, 理解している範囲で説明せよ。 情報資産の**脆弱性**をついた, **脅威**の影響が**受容限度かつ受容費用内にあることを確定する**プロセスである。 (2) 情報セキュリティプログラムが保護することとしている4つの不足とは何か答えよ。 - 真正性と否認防止 - 情報およびデータが主張通りであることを確実にし, その事実を後になって否認されないように証明する性質 ### 2-4(第8回) (1) アクセス管理を行う具体的な3ステップの名称と内容を具体的に記述せよ。 - 識別(Identity) - 利用者が誰か識別すること - 認証(Authentication) - 利用者が本物か偽物か身元を確認すること - 権限管理(Authorization) - アクセス権限を設定し, 利用者を管理すること (2) メッセージ認証子, 電子署名, デジタル署名, PKI(公開鍵基盤)の内容(役割)を, 違いを意識して記述せよ。 メッセージ認証子は, 改ざんの有無を確認するためのデータだが, データの否認防止ができない。一方, デジタル署名は, 公開鍵暗号方式を用いた電子署名で, データの否認防止が可能である。この公開鍵暗号方式のような, 公開鍵周りのインフラをまとめてPKI(Public Key Infrastructure)と呼ぶ。また, このデジタル署名は, 電子的に作られた識別子の総称を指す電子署名の一つである。 ### 2-5(第7回) (1) 暗号化の重要性, 方式, アルゴリズム, 強度について理解している範囲で記述せよ。 - なぜ重要か - 情報交換を行う当事者以外から情報を秘匿して渡すため - 方式 - 暗号化と復号に同じ鍵を用いる共通鍵暗号方式 - 暗号化と復号に異なる鍵を用いる公開鍵暗号方式 - アルゴリズム - 暗号化と復号ができる - RSAやAESのようなアルゴリズムが存在する - 強度 - 暗号の解読しづらさ - 鍵の秘匿性や長さ, アルゴリズムによって決まる (2) 2010年問題と電子政府推奨暗号リストの内容を理解している範囲で記述せよ。観点として暗号の何が低下する問題か。 それに対応して2013年に改訂された電子政府推奨暗号リストはどのようにその低下を防ごうとしているか, 理解している範囲で記述せよ。 2010年問題は, 様々な暗号の安全性が低下する問題である。電子政府推奨暗号リストとは, CRYPTRECが選定した, 総務省と経済産業省が共同で所管する電子政府での利用が推奨される暗号方式のリストである。 2013年の改定で, 2003年に公開された「電子政府推奨暗号リスト」から, 推奨すべきでなくなった暗号技術を継続, もしくは除外するという対策を行った。 ref: [「電子政府推奨暗号リスト」を改定、24種類を推奨（総務省、経済産業省）](https://scan.netsecurity.ne.jp/article/2013/03/04/31139.html) ### 2-6(第10回) (1) ウェブサイトの脆弱性としてここ数年変わらず存在するものの名称と内容を理解している範囲で記述せよ。 - XSS(クロスサイト・スクリプティング)(56%) - SQLインジェクション(12%) (2) 情報システムの脆弱性がなぜ起こり, その対策がなぜ必要かを理解している範囲で記述せよ。 - 情報システムの脆弱性が起きる理由 - 時間がたつと情報システムの安全性が低下するから - 対策が必要な理由 - 潜む脆弱性の対策を行わないと, その脆弱性を狙うコンピュータウイルスを除去しても同じ脆弱性を狙うコンピュータウイルスに感染する可能性があるため ## 理解する単語 - 脅威 - 情報資産の破損, 損失, 不正利用をもたらす事像や行為 - e.g.) プログラムのバクを利用して不正行為を行う人 - 脆弱性 - 脅威に対する弱さ - 物理的(SECOM), 技術的(セキュリティホール), 人的(誤操作)なもの - 攻撃者 - 脆弱性を利用して技術的脅威を用いた攻撃を行い, 情報資産の不正入手, 破損や改ざんを行う者 - コンピュータセキュリティ - コンピュータのシステム等を故障, 不正な侵入等から守ること - インターネットセキュリティ - virus, 迷惑メール, 不正侵入等の攻撃に対策を講じること - 認証(利用者は誰？) - 利用者やサービス, 情報が本物か否かを確認すること - アクセス管理(利用者にどこまでアクセスさせるか) - 機密性の高い情報への不正アクセスを防ぐために, 誰に, 何を, どこまで使用させるかを許可(拒否)する仕組みを構築して運用すること - 暗号化(利用者以外に情報を隠す) - 情報交換を行う当事者以外に情報やデータを秘匿して送受信することするための技術 - シングルサインオン - 一度の認証処理で複数のコンピュータのリソースが利用可能になる認証機能 - 共通鍵方式(DES) - 公開鍵方式(RSA) - SSL - メッセージ認証 - 情報の改ざん検知(SHA-256ハッシュ値) - PKI - 公開鍵を安全に利用できる仕組みや, その仕組みを利用したサービス全体の総称 - 公開鍵と秘密鍵が確実に本人のものであることを証明する機構 - 真正性を実現する