みちともブログ

一部上場企業でシステムエンジニアとして情報社会の第一線で15年間働き、さらにその後17年間高校教師として教育現場の最前線で子供たちの教育にあたって、さまざまな経験を積みました。社会人経験者教員としての経験をもとに、みんなの暮らしや教育の課題・悩みを解決する方法を紹介します。

新出用語への力がつく必須演習(第9回)

f:id:michitomo2019:20191119095441j:plain

 こんにちは、みちともです。 

 新出用語への力がつく問題演習の第9回目です。

 覚えた知識を試してみましょう。

 解説では、各選択肢に説明を付けました。

 ぜひ、活用してください。

問題1  基本情報技術者 令和元年秋期午前 問41

 検索サイトの検索結果の上位に悪意のあるサイトが表示されるように細工する攻撃の名称はどれか。

 DNSキャッシュポイズニング

 SEOポイズニング

 クロスサイトスクリプティング

 ソーシャルエンジニアリング

正解・解説を表示する 

正解  イ 

 DNSキャッシュポイズニング は、PCが参照するDNSサーバに偽のドメイン情報を注入して,利用者を偽装されたサーバに誘導する攻撃です。

 問題文に「検索結果の上位に悪意のあるサイトが表示されるように」とあるので、 SEOポイズニング が正解です。

 クロスサイトスクリプティング は、攻撃者が罠(わな)を仕掛けたWebページを利用者が閲覧し,当該ページ内のリンクをクリックしたときに,不正スクリプトを含む文字列が脆弱なWebサーバに送り込まれ,レスポンスに埋め込まれた不正スクリプトの実行によって,情報漏えいをもたらす攻撃です。

 ソーシャルエンジニアリング は、ネットワークに侵入するために必要となるパスワードなどの重要な情報を、情報通信技術を使用せずに盗み出す方法です。その多くは人間の心理的な隙や行動のミスにつけ込むものです。

問題2 ITパスポート 令和元年秋期 問100

 脆弱性のあるIoT機器が幾つかの企業に多数設置されていた。その機器の1台にマルウェアが感染し, 他の多数のIoT機器にマルウェア感染が拡大した。ある日のある時刻に,マルウエアに感染した多数のIoT機器が特定のWebサイトへ一斉に大量のアクセスを行い, Webサイトのサービスを停止に追い込んだ。このWebサイトが受けた攻撃はどれか。 

 DDoS攻撃

 クロスサイトスクリプティング

 辞書攻撃

 ソーシャルエンジニアリング

正解・解説を表示する

正解  ア 

解説

 正解です。

 クロスサイトスクリプティング は、攻撃者が罠(わな)を仕掛けたWebページを利用者が閲覧し,当該ページ内のリンクをクリックしたときに,不正スクリプトを含む文字列が脆弱なWebサーバに送り込まれ,レスポンスに埋め込まれた不正スクリプトの実行によって,情報漏えいをもたらす攻撃です。

 辞書攻撃 辞書にある単語をパスワードに設定している利用者がいる状況に着目して,攻撃対象とする利用者IDを定め,英語の辞書にある単語をパスワードとして,ログインを試行する攻撃です。

 ソーシャルエンジニアリング ネットワークに侵入するために必要となるパスワードなどの重要な情報を、情報通信技術を使用せずに盗み出す方法です。その多くは人間の心理的な隙や行動のミスにつけ込むものです。

問題3  ITパスポート 平成30年秋期 問68

 情報セキュリティにおけるリスクアセスメントの説明として,適切なものはどれか。

 PCやサーバに侵入したウイルスを,感染拡大のリスクを抑えながら駆除する。

 識別された資産に対するリスクを分析,評価し,基準に照らして対応が必要かどうかを判断する。

 事前に登録された情報を使って,システムの利用者が本人であることを確認する。

 情報システムの導入に際し,費用対効果を算出する。

正解・解説を表示する

正解  イ 

解説

リスクアセスメントとは危険を未然に除去・防止する手法であり、事後的に対策する手法ではありません。

 「PCやサーバに侵入したウイルスを」とあるので、 ウイルスが発生してしまったときの 処置 についてです。

 「リスクを分析,評価し,基準に照らして対応が必要かどうかを判断」とあるので、 リスクアセスメント の説明です。

 「システムの利用者が本人であることを確認する。」とあるので、 認証 の説明です。

 「情報システムの導入に際し」とあるので、システムを導入する時の検討 についてです。

問題4 ITパスポート 平成27年秋期 問58

 情報セキュリティの観点から,システムの可用性を高める施策の例として,最も適切なものはどれか。

 生体認証を採用する。

 ディジタル署名を行う。

 データを暗号化する。

 ハードウェアを二重化する。

正解・解説を表示する

正解  エ 

解説

 「生体認証を採用する。」は、 機密性 を高める施策です。

 「ディジタル署名を行う。」は、 完全性 を高める施策です。

 「データを暗号化する。」は、 機密性 を高める施策です。

 正解です。

問題5 ITパスポート 平成30年春期 問98

 A社では紙の顧客名簿を電子化して,電子データで顧客管理を行うことにした。顧客名簿の電子データからの情報漏えいを防ぐ方法として,適切なものはどれか。

 データにディジタル署名を付与する。

 データのバックアップを頻繁に取得する。

 データをRAIDのディスクに保存する。

 データを暗号化して保存する。

正解・解説を表示する

正解 

解説

 データに ディジタル署名 を付与することで、署名された文書の改ざんを検出できます。しかし、情報漏えいを防ぐことはできません。

  データの バックアップ を頻繁に取得することで、データの復元が可能になります。しかし、情報漏えいを防ぐことはできません。

 データを RAID のディスクに保存することで、ハードディスクの高速性や耐故障性を高めることができます。しかし、情報漏えいを防ぐことはできません。

 正解です。

 

 正解できたでしょうか?

 本番の試験のために、誤った問題については、解説で誤答になった理由を確認しておきましょう。

 今回の問題は、以下の用語の問題でした。

 (番号は、「最新ITパスポート試験/テクノロジ系追加用語60の学習ポイント」と共通です。

www.michitomo2019.com

   ㉔キャッシュポイズニング

   ㉕DDoS 攻撃

   ㉖リスクアセスメント

   ㉗情報セキュリティの要素

   ㉙安全管理措置

 以上、みちともでした。

↓ ブログ村ランキングに参加しています。応援お願いします。

にほんブログ村 資格ブログ IT系資格へ
にほんブログ村