このページでは,基本情報技術者試験を中心に,セキュリティ(セキュリティ技術評価・実装技術)分野の過去問題・サンプル問題・公開問題を掲載しています。CSIRT,ペネトレーションテスト,ファジング,セキュア設計,SQLインジェクションなどの各種攻撃対策,IPsec,HTTPS,WPA3,S/MIMEといった通信・メールのセキュリティ技術など,試験で頻出となるテーマを問題形式で確認できます。解けなかった問題は,各問題下の【参考】リンクから対応する解説ページを読み,理解した上でもう一度解いてみてください。
平成30年度 基本情報技術者試験 秋期 午前 問40
問 組織的なインシデント対応体制の構築や運用を支援する目的でJPCERT/CCが作成したものはどれか。
ア CSIRTマテリアル
イ ISMSユーザーズガイド
ウ 証拠保全ガイドライン
エ 組織における内部不正防止ガイドライン
【解答】ア
【解説】
■ CSIRT(Computer Security Incident Response Team)
情報セキュリティインシデントへの対応を行う組織のことをいう。
※ 組織内CSIRT…企業などの組織内で発生した情報セキュリティインシデントに対応する
※ JPCERT/CC…JPCERTコーディネーションセンター。情報セキュリティインシデントに関する窓口業務を行い,対応支援や情報提供を行う。国内外の関係組織と連携し,情報セキュリティ対策の向上に取り組んでいる
■ CSIRTマテリアル
組織内CSIRTの構築を支援する目的で作成されたガイドラインのことをいう。
※ JPCERT/CCが公開している
平成29年度 基本情報技術者試験 秋期 午前 問42
問 CSIRTの説明として,適切なものはどれか。
ア IPアドレスの割当て方針の決定,DNSルートサーバの運用監視,DNS管理に関する調整などを世界規模で行う組織である。
イ インターネットに関する技術文書を作成し,標準化のための検討を行う組織である。
ウ 企業内・組織内や政府機関に設置され,情報セキュリティインシデントに関する報告を受け取り,調査し,対応活動を行う組織の総称である。
エ 情報技術を利用し,宗教的又は政治的な目標を達成するという目的をもつ者や組織の総称である。
【解答】ウ
【解説】
■ CSIRT(Computer Security Incident Response Team)
情報セキュリティインシデントへの対応を行う組織のことをいう。
※ 組織内CSIRT…企業などの組織内で発生した情報セキュリティインシデントに対応する
※ JPCERT/CC…JPCERTコーディネーションセンター。情報セキュリティインシデントに関する窓口業務を行い,対応支援や情報提供を行う。国内外の関係組織と連携し,情報セキュリティ対策の向上に取り組んでいる
■ CSIRTマテリアル
組織内CSIRTの構築を支援する目的で作成されたガイドラインのことをいう。
※ JPCERT/CCが公開している
ア ICANN
イ IETF
平成29年度 基本情報技術者試験 秋期 午前 問45
平成27年度 基本情報技術者試験 春期 午前 問46
平成24年度 基本情報技術者試験 秋期 午前 問44
問 コンピュータやネットワークのセキュリティ上の脆弱性を発見するために,システムを実際に攻撃して侵入を試みる手法はどれか。
| ア ウォークスルー | イ ソフトウェアインスペクション |
| ウ ペネトレーションテスト | エ リグレッションテスト |
【解答】ウ
【解説】
■ ペネトレーションテスト(侵入テスト)
ネットワークに接続されているシステムに対して,さまざまな方法を用いて侵入を試み,脆弱性の有無を調べるテスト手法のことをいう。
※ サーバーやファイアウォールなどのOSやソフトウェア,Webアプリケーションなどの脆弱性を調べる
(令和4年度) 基本情報技術者試験 サンプル問題 科目A 問34
問 ファジングに該当するものはどれか。
ア サーバにFINパケットを送信し,サーバからの応答を観測して,稼働しているサービスを見つけ出す。
イ サーバのOSやアプリケーションソフトウェアが生成したログやコマンド履歴などを解析して,ファイルサーバに保存されているファイルの改ざんを検知する。
ウ ソフトウェアに,問題を引き起こしそうな多様なデータを入力し,挙動を監視して,脆弱性を見つけ出す。
エ ネットワーク上を流れるパケットを収集し,そのプロトコルヘッダやペイロードを解析して,あらかじめ登録された攻撃パターンと一致するものを検出する。
【解答】ウ
【解説】
■ ファジング
ソフトウェアに対して,(想定されていない)問題を引き起こしそうなデータを大量に入力して挙動を監視し,問題が発生しないかを調べるテスト手法のことをいう。
※ ファジングツールなどの専用ソフトを用いることが多い
ア ポートスキャン
イ ログ分析
エ パターンマッチング
平成31年度 基本情報技術者試験 春期 午前 問45
問 ファジングで得られるセキュリティ上の効果はどれか。
ア ソフトウェアの脆弱性を自動的に修正できる。
イ ソフトウェアの脆弱性を検出できる。
ウ 複数のログデータを相関分析し,不正アクセスを検知できる。
エ 利用者IDを統合的に管理し,統一したパスワードポリシを適用できる。
【解答】イ
【解説】
■ ファジング
ソフトウェアに対して,(想定されていない)問題を引き起こしそうなデータを大量に入力して挙動を監視し,問題が発生しないかを調べるテスト手法のことをいう。
※ ファジングツールなどの専用ソフトを用いることが多い
ア 自動修正はできない
ウ SIEM
令和元年度 基本情報技術者試験 秋期 午前 問64
問 システム開発の上流工程において,システム稼働後に発生する可能性がある個人情報の漏えいや目的外利用などのリスクに対する予防的な機能を検討し,その機能をシステムに組み込むものはどれか。
| ア 情報セキュリティ方針 | イ セキュリティレベル |
| ウ プライバシーバイデザイン | エ プライバシーマーク |
【解答】ウ
【解説】
■ プライバシーバイデザイン
システムなどから利用者の個人情報などが漏えいしないようにするための予防的な施策を,企画・設計の段階から組み込んでいく設計のことをいう。
| 【参考】 |
平成30年度 基本情報技術者試験 春期 午前 問42
問 セキュリティバイデザインの説明はどれか。
ア 開発済みのシステムに対して,第三者の情報セキュリティ専門家が,脆弱性診断を行い,システムの品質及びセキュリティを高めることである。
イ 開発済みのシステムに対して,リスクアセスメントを行い,リスクアセスメント結果に基づいてシステムを改修することである。
ウ システムの運用において,第三者による監査結果を基にシステムを改修することである。
エ システムの企画・設計段階からセキュリティを確保する方策のことである。
【解答】エ
【解説】
■ セキュリティバイデザイン
情報セキュリティを企画・設計段階から確保するための方策
| 【参考】 |
平成29年度 基本情報技術者試験 秋期 午前 問44
問 図のように,クライアント上のアプリケーションがデータベース接続プログラム経由でサーバ上のデータベースのデータにアクセスする。アプリケーションとデータベースとの間で送受信されるコマンドや実行結果の漏えいを防止する対策はどれか。
ア サーバ側のデータベース接続プロムラムにアクセスできるクライアントのIPアドレスを必要なものだけに制限する。
イ サーバ側のデータベース接続プログラムを起動・停止するときに必要なパスワードを設定する。
ウ データベース接続プログラムが通信に使用するポート番号をデータベース管理システムでの初期値から変更する。
エ データベース接続プログラム間の通信を暗号化する。
【解答】エ
【解説】
盗聴による情報漏えいを防止するには,通信を暗号化すればよい。
| 【参考】 | 「暗号化の基礎まとめ」 |
平成30年度 基本情報技術者試験 春期 午前 問43
平成25年度 基本情報技術者試験 秋期 午前 問44
平成21年度 基本情報技術者試験 秋期 午前 問43
問 利用者情報を格納しているデータベースから利用者情報を検索して表示する機能だけをもつアプリケーションがある。このアプリケーションがデータベースにアクセスするときに用いるアカウントに与えるデータベースへのアクセス権限として,情報セキュリティ管理上,適切なものはどれか。ここで,権限の名称と権限の範囲は次のとおりとする。
〔権限の名称と権限の範囲〕
参照権限: レコードの参照が可能
更新権限: レコードの登録,変更,削除が可能
管理者権限:テーブルの参照,登録,変更,削除が可能
| ア 管理者権限 | イ 更新権限 |
| ウ 更新権限と参照権限 | エ 参照権限 |
【解答】エ
【解説】
「最小権限の原則」に従い設定する。
| 【参考】 |
(令和4年度) 基本情報技術者試験 サンプル問題 科目A 問36
平成30年度 基本情報技術者試験 春期 午前 問41
平成27年度 基本情報技術者試験 秋期 午前 問42
平成25年度 基本情報技術者試験 春期 午前 問40
問 SQLインジェクション攻撃による被害を防ぐ方法はどれか。
ア 入力された文字が,データベースへの問合せや操作において,特別な意味をもつ文字として解釈されないようにする。
イ 入力にHTMLタグが含まれていたら,HTMLタグとして解釈されない他の文字列に置き換える。
ウ 入力に上位ディレクトリを指定する文字列(../)が含まれているときは受け付けない。
エ 入力の全体の長さが制限を超えているときは受け付けない。
【解答】ア
【解説】
■ SQLインジェクション攻撃
Webアプリケーションの入力フォームなどに不正なSQL文を入力して想定外のSQL文を実行させることにより,通常はアクセスが禁止されているデータにアクセスしたり,改ざんしたりする攻撃をいう。
ア クロスサイトスクリプティングによる被害を防ぐ方法
イ ディレクトリトラバーサルによる被害を防ぐ方法
ウ バッファオーバーフロー攻撃による被害を防ぐ方法
| 【参考】 | 「SQLインジェクション攻撃対策の基礎まとめ」 |
平成24年度 基本情報技術者試験 春期 午前 問44
問 通信を要求したPCに対し,ARPの仕組みを利用して実現できる通信可否の判定方法のうち,最も適切なものはどれか。
ア PCにインストールされているソフトウェアを確認し,登録されているソフトウェアだけがインストールされている場合に通信を許可する。
イ PCのMACアドレスを確認し,事前に登録されているMACアドレスである場合だけ通信を許可する。
ウ PCのOSのパッチ適用状況を確認し,最新のパッチが適用されている場合だけ通信を許可する。
エ PCのマルウェア対策ソフトの定義ファイルを確認し,最新になっている場合だけ通信を許可する。
【解答】イ
【解説】
■ MACアドレスフィルタリング
無線LANアクセスポイントに,接続を許可する端末のMACアドレスを登録しておき,登録されている端末からの接続要求についてのみ許可する方式である(登録されていない端末からの接続要求については拒否する)。
平成21年度 基本情報技術者試験 秋期 午前 問40
問 無線LANやVPN接続などで利用され,利用者を認証するためのシステムはどれか。
| ア DES | イ DNS | ウ IDS | エ RADIUS |
【解答】エ
【解説】
■ RADIUS(Remote Authentication Dial-In User Service)
ネットワーク上で利用者認証を行うプロトコルである。認証サーバーを(1台,または,複数台の)RADIUSクライアント(アクセスサーバー)とRADIUSサーバーに分ける構成になっている。RADIUSクライアントで,さまざまなネットワークからの認証要求を受け付け,RADIUSサーバーで,利用者認証情報を一元管理する。
※ RADIUSはデータリンク層(OSI基本参照モデル)のプロトコルである
※ RADIUSは,複数台のリモートアクセスサーバーからのPAPやCHAPによる利用者認証(パスワード認証)を集中管理するために考案されたプロトコルだが,その他の認証方式にも対応可能である(生体認証,公開鍵暗号方式を利用した認証など)。リモートアクセスサーバーの接続状態の制御や,課金管理,ログ管理などもできる
※ RADIUSクライアントとして動作するものに,スイッチのポートや無線アクセスポイント,リモートアクセスサーバーなどがある
平成31年度 基本情報技術者試験 春期 午前 問43
問 OSI基本参照モデルのネットワーク層で動作し,“認証ヘッダ(AH)” と “暗号ペイロード(ESP)” の二つのプロトコルを含むものはどれか。
| ア IPsec | イ S/MIME | ウ SSH | エ XML暗号 |
【解答】ア
【解説】
■ IPsec(Security Architecture for Internet Protocol)
IPネットワークでセキュリティ機能を提供するプロトコルである。鍵交換を行うIKE,認証を行うAH,暗号化や認証を行うESPなど,複数のプロトコルで構成されている。
※ IPsecはネットワーク層(OSI基本参照モデル)のプロトコルである
※ IPsecは,インターネットVPNを構築する際に用いられる(IPsec-VPN)
令和元年度 基本情報技術者試験 秋期 午前 問37
問 WPA3はどれか。
ア HTTP通信の暗号化規格
イ TCP/IP通信の暗号化規格
ウ Webサーバで使用するディジタル証明書の規格
エ 無線LANのセキュリティ企画
【解答】エ
【解説】
■ WPA3(Wi-Fi Protected Access 3)
Wi-Fiなどの無線LAN通信におけるセキュリティ規格である。暗号化には,CCMPとGCMPを採用している。利用者認証の機能もある。
※ WPA2の後継プロトコルで,IEEE802.11iに準拠している
ア HTTPSなど
イ IPsec
ウ ITU-T X.509
| 【参考】 | 「WEP・WPA・WPA2・WPA3の基礎まとめ」 |
平成30年度 基本情報技術者試験 春期 午前 問40
問 SPF(Sender Policy Framework)の仕組みはどれか。
ア 電子メールを受信するサーバが,電子メールに付与されているディジタル署名を使って,送信元ドメインの詐称がないことを確認する。
イ 電子メールを受信するサーバが,電子メールの送信元のドメイン情報と,電子メールを送信したサーバのIPアドレスから,ドメインの詐称がないことを確認する。
ウ 電子メールを送信するサーバが,送信する電子メールの送信者の上司からの承諾が得られるまで,一時的に電子メールの送信を保留する。
エ 電子メールを送信するサーバが,電子メールの宛先のドメインや送信者のメールアドレスを問わず,全ての電子メールをアーカイブする。
【解答】イ
【解説】
■ SPFレコード
電子メールの送信元ドメインを確認できるようにするためのレコード(電子メールの受信者が,電子メールの受信時に,送信元のドメイン名とメールサーバーのIPアドレスの適合性を問い合わせる際に照会される)
| 【参考】 | 「DNSの基礎まとめ」 |
平成31年度 基本情報技術者試験 春期 午前 問44
問 侵入者やマルウェアの挙動を調査するために,意図的に脆弱性をもたせたシステム又はネットワークはどれか。
| ア DMZ | イ SIEM |
| ウ ハニーポット | エ ボットネット |
【解答】ウ
【解説】
■ ハニーポット
DMZなどに設置される囮のシステムのことをいう。脆弱性のあるシステムを敢えて公開したり,重要な情報が入っているように見えるデータベースを設置したりして攻撃者を引き寄せることで,侵入を検知したり,(重要な部分で)被害を出さないようにすることができる。また,攻撃者の行動を調べることで,インシデントへの対応や,攻撃手法の研究をすることもできる。
平成26年度 基本情報技術者試験 秋期 午前 問43
問 HTTPS(HTTP over SSL/TLS)の機能を用いて実現できるものはどれか。
ア SQLインジェクションによるWebサーバへの攻撃を防ぐ。
イ TCPポート80番と443番以外の通信を遮断する。
ウ Webサーバとブラウザの間の通信を暗号化する。
エ Webサーバへの不正なアクセスをネットワーク層でのパケットフィルタリングによって制限する。
【解答】ウ
【解説】
■ HTTPS(HTTP over SSL/TLS)
SSL/TLSで暗号化した通信路上で,HTTP通信を利用できるようにする技術をいう。クライアントがHTTPSリクエストを送信する際には,サーバー認証やクライアント認証が行われ,SSLセッションが確立される。
※ HTTPSは,プロトコルではない
※ クライアント認証はオプション
ア WAFの機能
イ,エ ファイアウォールの機能
平成25年度 基本情報技術者試験 春期 午前 問44
問 HTTPSを用いて実現できるものはどれか。
ア Webサーバ上のファイルの改ざん検知
イ クライアント上のウイルス検査
ウ クライアントに対する侵入検知
エ 電子証明書によるサーバ認証
【解答】エ
【解説】
■ HTTPS(HTTP over SSL/TLS)
SSL/TLSで暗号化した通信路上で,HTTP通信を利用できるようにする技術をいう。クライアントがHTTPSリクエストを送信する際には,サーバー認証やクライアント認証が行われ,SSLセッションが確立される。
※ HTTPSは,プロトコルではない
※ クライアント認証はオプション
平成25年度 基本情報技術者試験 春期 午前 問43
問 電子メールを暗号化するために使用される方式はどれか。
| ア BASE64 | イ GZIP | ウ PNG | エ S/MIME |
【解答】エ
【解説】
■ S/MIME(Secure Multipurpose Internet Mail Extensions)
電子メールに暗号化と認証の機能を提供する(MIMEを利用した)規格のことをいう。S/MIMEを利用することにより,電子メール本文の盗聴や改ざん,送信者のなりすましを防ぐことができる。
※ 送信者側と受信者側のメールソフトがS/MIMEに対応している必要がある(Outlookなどが対応している)
イ データ圧縮プログラム
ウ 画像ファイルのフォーマット(可逆圧縮)
(令和4年度) 基本情報技術者試験 サンプル問題 科目A 問37
令和元年度 基本情報技術者試験 秋期 午前 問44
平成29年度 基本情報技術者試験 春期 午前 問44
問 電子メールをドメインAの送信者がドメインBの宛先に送信するとき,送信者をドメインAのメールサーバで認証するためのものはどれか。
| ア APOP | イ POP3S | ウ S/MIME | エ SMTP-AUTH |
【解答】エ
【解説】
■ SMTP-AUTH(SMTP Authentication)
電子メールの送信時に利用者認証を行い,認証されたクライアントに対して,電子メールの送信を許可する方式である。
※ 認証機能のないSMTPに,AUTHによる認証機能を持たせた方式
※ クライアントとメールサーバーが,SMTP-AUTHに対応している必要がある
まとめ
今回は,基本情報技術者試験の過去問題・サンプル問題・公開問題のうち,セキュリティ(セキュリティ技術評価・実装技術)分野に関するものを集め,シンプルにまとめてみました。みなさんは,どのくらい解けましたか?はじめは難しく感じるかもしれませんが,繰り返し問題を解くことで,少しずつ理解できるようになると思います。8割以上(できれば9割以上)解けるようになることを目標に,ぜひ取り組んでみてください。また,一度解けるようになっても,時間が経つと忘れてしまうことがあります。1週間後や1か月後など,期間をあけてもう一度解き直すことで,理解の定着につながると思います。
