平成22年春期 情報セキュリティスペシャリスト試験の午前Ⅱ試験の解答速報で復習
さて、情報セキュリティスペシャリスト午前Ⅱの復習をしないと…。
昨年の平成21年秋期 応用情報技術者試験の午前試験の解答速報で復習同様、
ボクが間違えたところのみ問題を記載します。
とりあえず解答速報が見たい方は平成22年度春季情報セキュリティスペシャリスト試験(SC)解答速報をご覧ください。
問2.XMLディジタル署名の特徴はどれか。
ア.XML文書中の、指定したエレメントに対して署名することができる。
イ.エンベローピング署名(Enveloping Signiture)では一つの署名対象に必ず複数の署名を付ける。
ウ.署名形式として、CMS(Cryptographic Message Syntax)を用いる。
エ.署名対象と署名アルゴリズムをASN.1によって記述する。
XMLデジタル署名とXML暗号は新しいデジタル署名、暗号化の技術で、
CMSは古いフォーマットなんですね。
CMS(Cryptographic Message Syntax)は、
RFC2630としてASN.1で定義されているとのことです。
参考)
@IT XMLデジタル署名とXML暗号
http://www.atmarkit.co.jp/fsecurity/rensai/webserv02/webserv01.html
問4.S/KEYワンタイムパスワードに関する記述のうち、適切なものはどれか。
ア.クライアントは認証要求のたびに、サーバへシーケンス番号と種(Seed)からなるチャレンジデータを送信する。
イ.サーバはクライアントから送られた使い捨てパスワードを演算し、
サーバで記憶している前回の使い捨てパスワードと比較することによって、
クライアントを認証する。
ウ.時刻情報を基にパスワードを生成し、クライアント、サーバ間でパスワードを時刻で同期させる。
エ.利用者が設定したパスフレーズは1回ごとに使い捨てる。
アはチャレンジレスポンス方式の説明だから違いますね。
イがS/KEYワンタイムパスワードの説明。
ボクが間違えたウはトークンによるワンタイムパスワードですね。
S/KEYワンタイムパスワードとイコールだと思ってました。
エはまぁ、そうなんだろうけどとも思いましたが、
利用者が設定したものではないので除外しました。
実際は、S/KEYワンタイムパスワード(OTP)は
チャレンジレスポンスによるOTPの一種で、
フリーウェアとしても提供されているとのことです。
サーバがユーザ毎に生成したシードsと、ユーザが設定したパスワードpを使って、
あらかじめ設定されたログイン回数nまでハッシュ関数fを繰り返す仕様です。
f(f(f(s+p)))
とするワケですね。
参考)
S/KEY One-Time Passwordのレポート
http://okaweb.ec.kyushu-u.ac.jp/lectures/ds/98-Reports/tumura.html
問6.情報漏えいに関するリスク対応のうち、リスク回避に該当するものはどれか。
ア.外部の者が侵入できないように、入退室をより厳重に管理する。
イ.情報資産を外部のデータセンターに預託する。
ウ.情報の重要性と対策費用を勘案し、あえて対策をとらない。
エ.データの安易な作成を禁止し、不要なデータを消去する。
リスク回避とリスクの受容を完全に間違えておりました。
アがリスク低減。
イがリスク移転。
ウがリスクの受容。
エがリスク回避ですね。
参考)
リスク回避とは
http://www.mitsue.co.jp/case/glossary/p_012.html
問10.ステガノグラフィを説明したものはどれか。
ア.データの複写を不可能にする(コピーできないようにする)技術のことをいう。
イ.データを第三者に盗み見られても解読できないようにするため、決まった規則に従ってデータを変換することをいう。
ウ.文書の正当性を保証するために付けられる暗号化された署名情報のことをいう。
エ.メッセージを画像データや音声データなどに埋め込み、その存在を隠す技術のことをいう。
ステガノグラフィって、いわゆる電子透かしのことだったんですね。
言葉自体知りませんでした。
参考)
e-Words ステガノグラフィ―
http://e-words.jp/w/E382B9E38386E382ACE3838EE382B0E383A9E38395E382A3E383BC.html
ステガノグラフィーとは、音声や画像などのデータに秘密のメッセージを埋め込む技術。紙に果汁で字を書いて火にかざすと文字が浮かび上がる「あぶり出し」のデジタル版。
ある程度の大きさ以上の音声や映像、画像などのマルチメディアデータは冗長性を含むため、データをわずかに改変しても人間には知覚できない。この性質を利用して、見た目などをほとんど変化させずにデータの中にメッセージ(多くの場合は文字)を埋め込む技術がステガノグラフィーである。
メッセージを秘匿する技術という点では暗号技術に似ているが、暗号はメッセージが発見されても解読されないようにする技術であるのに対し、ステガノグラフィーはメッセージが送られていること自体を気付かれないようにする技術である。
インターネットの普及と高速化により、電子メールやWWWで画像や音声を手軽に扱えるようになったため、犯罪組織やテロ集団に当局に気付かれないように情報交換をする技術としてステガノグラフィーを利用するのではないかという懸念が高まっている。
上記URLより引用。
問18は図が入るので省略。
問24.情報システムの設計において、フェールソフトが講じられているのはどれか。
ア.UPS装置を設置することで、停電時に手順どおりにシステムを停止できるようにし、
データを保全する。
イ.制御プログラムの障害時に、システムの暴走を避け、安全に運転を停止できるようにする。
ウ.ハードウェアの障害時に、パフォーマンスは低下するが、構成を縮小して運転を続けられるようにする。
エ.利用者の誤操作や誤入力を未然に防ぐことで、システムの誤動作を防止できるようにする。
フェールセーフとフェールトトレラントしか覚えてませんでした。
フェールセーフがシステム障害が発生した時に、安全な方向に向かうように設定しておくことで、
フェールトトレラントが待機系を設定し、障害発生時に影響を及ぼすことなく、
継続運用できるようにしたもの、
フェールソフトはシステムの一部に障害が発生した場合に、
障害が発生した箇所を切り離すことで、影響を抑えて稼働させることですね。
参考)
e-Words フェイルソフト
http://e-words.jp/w/E38395E382A7E382A4E383ABE382BDE38395E38388.html
フェイルソフトとは、システムの一部に障害が発生した際に、故障した個所を破棄、切り離すなどして障害の影響が他所に及ぼされるのを防ぎ、最低限のシステムの稼動を続けるための技術。
ハードディスクを複数個備え、内容を常にミラーリングしているRAIDシステムや、電源やネットワークカードのコントローラを複数個備えているリダンダント電源やリダンダントネットワークカードなどでは、運用中に一ヶ所に障害が生じても、残された系統で運用を続けることができ、直ちにシステムが停止しないようになっている。
このように、システムの要所に複数系統を用意した冗長化を行ない、さらに故障の自動的な検知、故障に対する対処の自動化を盛り込んだシステムをフェイルソフトと呼ぶ。
上記URLより引用。
25問しかないので、復習も楽チンですね。
今回のいろいろあった、情報セキュリティスペシャリスト試験までの道を
シリーズ化してみました。
後1週間 逆境の情報セキュリティースペシャリスト試験その1
試験前日 逆境の情報セキュリティースペシャリスト試験その2
ようやく 逆境の情報セキュリティースペシャリスト試験その3
困った困った… 逆境の情報セキュリティースペシャリスト試験その4
来なくて良かったのね 逆境の情報セキュリティースペシャリスト試験その5
長い… 逆境の情報セキュリティースペシャリスト試験その6
顔色悪い? 逆境の情報セキュリティースペシャリスト試験その7
漏洩事件の影響 逆境の情報セキュリティースペシャリスト試験その8
平成22年度春期(SC)情報セキュリティスペシャリスト試験解答速報
ガッテンしていただけましたでしょうか?
ガッテン!してランキングに1票!
ガッテン!してランキングに1票!
ブログランキング参加中です。
ご協力ありがとうございます。 m(. . m
よろしければ「ポチッとな」って言いながら押してください。
ブログランキング まじめな話題
ブログセンター by GMOまじめな話題ランキング11位(2010年4月18日現在)
※ここは上位狙いやすいです。詳細はこちら
にほんブログ村にほんブログ村仕事術ランキング5位
(2010年04月18日現在)
東大生ってどんなこと考えてるの?
もと東大生もと社長もとくんは何をかんがえているの?
※自分のブログ解析ができるよ
これ、自分のブログでやってみると結構面白いです。
さて、情報セキュリティスペシャリスト午前Ⅱの復習をしないと…。
昨年の平成21年秋期 応用情報技術者試験の午前試験の解答速報で復習同様、
ボクが間違えたところのみ問題を記載します。
とりあえず解答速報が見たい方は平成22年度春季情報セキュリティスペシャリスト試験(SC)解答速報をご覧ください。
問2.XMLディジタル署名の特徴はどれか。
ア.XML文書中の、指定したエレメントに対して署名することができる。
イ.エンベローピング署名(Enveloping Signiture)では一つの署名対象に必ず複数の署名を付ける。
ウ.署名形式として、CMS(Cryptographic Message Syntax)を用いる。
エ.署名対象と署名アルゴリズムをASN.1によって記述する。
XMLデジタル署名とXML暗号は新しいデジタル署名、暗号化の技術で、
CMSは古いフォーマットなんですね。
CMS(Cryptographic Message Syntax)は、
RFC2630としてASN.1で定義されているとのことです。
参考)
@IT XMLデジタル署名とXML暗号
http://www.atmarkit.co.jp/fsecurity/rensai/webserv02/webserv01.html
問4.S/KEYワンタイムパスワードに関する記述のうち、適切なものはどれか。
ア.クライアントは認証要求のたびに、サーバへシーケンス番号と種(Seed)からなるチャレンジデータを送信する。
イ.サーバはクライアントから送られた使い捨てパスワードを演算し、
サーバで記憶している前回の使い捨てパスワードと比較することによって、
クライアントを認証する。
ウ.時刻情報を基にパスワードを生成し、クライアント、サーバ間でパスワードを時刻で同期させる。
エ.利用者が設定したパスフレーズは1回ごとに使い捨てる。
アはチャレンジレスポンス方式の説明だから違いますね。
イがS/KEYワンタイムパスワードの説明。
ボクが間違えたウはトークンによるワンタイムパスワードですね。
S/KEYワンタイムパスワードとイコールだと思ってました。
エはまぁ、そうなんだろうけどとも思いましたが、
利用者が設定したものではないので除外しました。
実際は、S/KEYワンタイムパスワード(OTP)は
チャレンジレスポンスによるOTPの一種で、
フリーウェアとしても提供されているとのことです。
サーバがユーザ毎に生成したシードsと、ユーザが設定したパスワードpを使って、
あらかじめ設定されたログイン回数nまでハッシュ関数fを繰り返す仕様です。
f(f(f(s+p)))
とするワケですね。
参考)
S/KEY One-Time Passwordのレポート
http://okaweb.ec.kyushu-u.ac.jp/lectures/ds/98-Reports/tumura.html
問6.情報漏えいに関するリスク対応のうち、リスク回避に該当するものはどれか。
ア.外部の者が侵入できないように、入退室をより厳重に管理する。
イ.情報資産を外部のデータセンターに預託する。
ウ.情報の重要性と対策費用を勘案し、あえて対策をとらない。
エ.データの安易な作成を禁止し、不要なデータを消去する。
リスク回避とリスクの受容を完全に間違えておりました。
アがリスク低減。
イがリスク移転。
ウがリスクの受容。
エがリスク回避ですね。
参考)
リスク回避とは
http://www.mitsue.co.jp/case/glossary/p_012.html
問10.ステガノグラフィを説明したものはどれか。
ア.データの複写を不可能にする(コピーできないようにする)技術のことをいう。
イ.データを第三者に盗み見られても解読できないようにするため、決まった規則に従ってデータを変換することをいう。
ウ.文書の正当性を保証するために付けられる暗号化された署名情報のことをいう。
エ.メッセージを画像データや音声データなどに埋め込み、その存在を隠す技術のことをいう。
ステガノグラフィって、いわゆる電子透かしのことだったんですね。
言葉自体知りませんでした。
参考)
e-Words ステガノグラフィ―
http://e-words.jp/w/E382B9E38386E382ACE3838EE382B0E383A9E38395E382A3E383BC.html
ステガノグラフィーとは、音声や画像などのデータに秘密のメッセージを埋め込む技術。紙に果汁で字を書いて火にかざすと文字が浮かび上がる「あぶり出し」のデジタル版。
ある程度の大きさ以上の音声や映像、画像などのマルチメディアデータは冗長性を含むため、データをわずかに改変しても人間には知覚できない。この性質を利用して、見た目などをほとんど変化させずにデータの中にメッセージ(多くの場合は文字)を埋め込む技術がステガノグラフィーである。
メッセージを秘匿する技術という点では暗号技術に似ているが、暗号はメッセージが発見されても解読されないようにする技術であるのに対し、ステガノグラフィーはメッセージが送られていること自体を気付かれないようにする技術である。
インターネットの普及と高速化により、電子メールやWWWで画像や音声を手軽に扱えるようになったため、犯罪組織やテロ集団に当局に気付かれないように情報交換をする技術としてステガノグラフィーを利用するのではないかという懸念が高まっている。
上記URLより引用。
問18は図が入るので省略。
問24.情報システムの設計において、フェールソフトが講じられているのはどれか。
ア.UPS装置を設置することで、停電時に手順どおりにシステムを停止できるようにし、
データを保全する。
イ.制御プログラムの障害時に、システムの暴走を避け、安全に運転を停止できるようにする。
ウ.ハードウェアの障害時に、パフォーマンスは低下するが、構成を縮小して運転を続けられるようにする。
エ.利用者の誤操作や誤入力を未然に防ぐことで、システムの誤動作を防止できるようにする。
フェールセーフとフェールトトレラントしか覚えてませんでした。
フェールセーフがシステム障害が発生した時に、安全な方向に向かうように設定しておくことで、
フェールトトレラントが待機系を設定し、障害発生時に影響を及ぼすことなく、
継続運用できるようにしたもの、
フェールソフトはシステムの一部に障害が発生した場合に、
障害が発生した箇所を切り離すことで、影響を抑えて稼働させることですね。
参考)
e-Words フェイルソフト
http://e-words.jp/w/E38395E382A7E382A4E383ABE382BDE38395E38388.html
フェイルソフトとは、システムの一部に障害が発生した際に、故障した個所を破棄、切り離すなどして障害の影響が他所に及ぼされるのを防ぎ、最低限のシステムの稼動を続けるための技術。
ハードディスクを複数個備え、内容を常にミラーリングしているRAIDシステムや、電源やネットワークカードのコントローラを複数個備えているリダンダント電源やリダンダントネットワークカードなどでは、運用中に一ヶ所に障害が生じても、残された系統で運用を続けることができ、直ちにシステムが停止しないようになっている。
このように、システムの要所に複数系統を用意した冗長化を行ない、さらに故障の自動的な検知、故障に対する対処の自動化を盛り込んだシステムをフェイルソフトと呼ぶ。
上記URLより引用。
25問しかないので、復習も楽チンですね。
今回のいろいろあった、情報セキュリティスペシャリスト試験までの道を
シリーズ化してみました。
後1週間 逆境の情報セキュリティースペシャリスト試験その1
試験前日 逆境の情報セキュリティースペシャリスト試験その2
ようやく 逆境の情報セキュリティースペシャリスト試験その3
困った困った… 逆境の情報セキュリティースペシャリスト試験その4
来なくて良かったのね 逆境の情報セキュリティースペシャリスト試験その5
長い… 逆境の情報セキュリティースペシャリスト試験その6
顔色悪い? 逆境の情報セキュリティースペシャリスト試験その7
漏洩事件の影響 逆境の情報セキュリティースペシャリスト試験その8
平成22年度春期(SC)情報セキュリティスペシャリスト試験解答速報
ガッテンしていただけましたでしょうか?
ガッテン!してランキングに1票!
ガッテン!してランキングに1票!
ブログランキング参加中です。
ご協力ありがとうございます。 m(. . m
よろしければ「ポチッとな」って言いながら押してください。
ブログランキング まじめな話題
ブログセンター by GMOまじめな話題ランキング11位(2010年4月18日現在)※ここは上位狙いやすいです。詳細はこちら
にほんブログ村
にほんブログ村仕事術ランキング5位(2010年04月18日現在)
東大生ってどんなこと考えてるの?
もと東大生もと社長もとくんは何をかんがえているの?
※自分のブログ解析ができるよ
これ、自分のブログでやってみると結構面白いです。