七転び八起き 諦めないための学習記録

諦めないために学習記録を残しています。情報処理技術者試験の勉強記録が多いですが、その時々により内容は違います。

宿題メールより 2022/11/18

情報処理技術者試験 記録

[解説:技術系]応用・基本・セキマネ・ITパス向け

 インターネットとの接続において,ファイアウォールの NAPT 機能による
セキュリティ上の効果はどれか。

 ア DMZ 上にある公開 Web サーバの脆弱性を悪用する攻撃から防御できる。

 イ インターネットから内部ネットワークへの侵入を検知し,検知後の通信を
  遮断できる。

 ウ インターネット上の特定の Web サービスを利用する HTTP 通信を検知し,
  遮断できる。

 エ 内部ネットワークからインターネットにアクセスする利用者 PC について, 
  インターネットからの不正アクセスを困難にすることができる。

■キーワード■ NAPT

■解答■
  応用情報技術者午前令和01年秋問37

 エ 内部ネットワークからインターネットにアクセスする利用者 PC について, 
  インターネットからの不正アクセスを困難にすることができる。

> NAPT(Network Address Port Translation/ナプト/IPマスカレード)
> NAPTとは、1つのグローバルIPアドレスを複数の端末で共有するための
> ネットワークアドレス変換技術の1つ。TCP/UDPのポート番号も含めて変換する
> ことで、複数の端末を同時接続させることができる。LinuxにおけるNAPTの
> 実装をIPマスカレードと呼ぶ。
> https://atmarkit.itmedia.co.jp/aig/06network/napt.html

 どうもありがとうございます。

> ファイアウォールの NAPT 機能
> https://aolaniengineer.com/archives/4078
> 上記より、IPを内部変換しているため、
> インターネットからの不正アクセスを困難にします。
> よって、解答はエです。
> 参考
> https://www.ap-siken.com/kakomon/01_aki/q37.html

 どうもありがとうございます。

> https://www.ap-siken.com/kakomon/01_aki/q37.html

 どうもありがとうございます。

                                                                                                                                              • -

[解説:セキュリティ系]

 表 R と表 S に対して、次の SQL 文を実行した結果はどれか。

R       S
┌───┬──┐┌───┬──┐
│  X   │ Y  ││  X   │ Z  │
┝━━━┿━━┥┝━━━┿━━┥
│ A001 │ 10 ││ A002 │ 20 │
├───┼──┤├───┼──┤
│ A002 │ 20 ││ A003 │ 30 │
├───┼──┤├───┼──┤
│ A003 │ 30 ││ A004 │ 40 │
├───┼──┤└───┴──┘
│ A005 │ 50 │         
└───┴──┘      

[ SQL 文]
SELECT R.X AS A,R.Y AS B,S.X AS C,S.Z AS D 
     FROM R LEFT OUTER JOIN S ON R_X = S.X 
 ア                               イ
   A     B     C     D       A     B     C     D
  -------------------------    -------------------------  
   A001   10   NULL  NULL      A002   20   A002   20
     A005   50   NULL  NULL           A003   30   A003   30
                                      NULL  NULL  A004   40

 ウ                エ
   A     B     C     D       A     B     C     D
  -------------------------    -------------------------  
   A001   10   NULL  NULL      A001   10   NULL  NULL
   A002   20   A002	20            A002   20   A002   20
     A003   30   A003   30            A003   30   A003   30
     A005   50   NULL  NULL           NULL  NULL  A004   40
                                      A005   50   NULL  NULL

■キーワード■ 

■解答■
  情報処理安全確保支援士午前2令和04年秋問21

  ウ
   A     B     C     D   
  ------------------------- 
   A001   10   NULL  NULL
   A002   20   A002	20 
     A003   30   A003   30 
     A005   50   NULL  NULL

> 外部結合
> 外部結合とは2つのテーブルでそれぞれ結合の対象となるカラムを指定し、
> それぞれのカラムに同じ値が格納されているデータを結合して取得するもの
> です。内部結合の場合は、一致しないデータは取得しませんでしたが、
> 外部結合の場合は一致しない場合もデータとして取得します。
> ・LEFT OUTER JOIN(左外部結合):
> 左側のテーブルにしかないデータも取得する
> ・RIGHT OUTER JOIN(右外部結合):
> 右側のテーブルにしかないデータも取得する
> https://www.javadrive.jp/sqlite/join/index2.html#section2
> ⇒ ウ

 どうもありがとうございます。

> セレクト全部とジョインで並び替え全部表示
> しかし誤って表示されている解答ではレフト表に無いレコードが削除
> ウだったなと。だしかにA004のレコードが順序指定されてません

 どうもありがとうございます。

> 分かりませんでしした。
> 詳細の解説をお願いします。

 どうもありがとうございます。
 実際にコーディングしているといいかも。
 あとで、作ってみます。

> https://www.sc-siken.com/kakomon/04_aki/am2_21.html

 どうもありがとうございます。

                                                                                                                                              • -

[解説:入門]ITパス向け

 プログラムの著作物について,著作権法上,適法である行為はどれか。

 ア 海賊版を複製したプログラムと事前に知りながら入手し,業務で使用した。

 イ 業務処理用に購入したプログラムを複製し,社内教育用として各部門に
  配布した。

 ウ 職務著作のプログラムを,作成した担当者が独断で複製し,他社に貸与した。

 エ 処理速度を向上させるために,購入したプログラムを改変した。

■キーワード■ 

■解答■
  応用情報技術者午前令和01年秋問78

 エ 処理速度を向上させるために,購入したプログラムを改変した。

> https://www.ap-siken.com/kakomon/01_aki/q78.html
> 違法と読み間違えてしまいました

 どうもありがとうございます。よくやるミスですね。

> 著作権法20条
> 1.著作者は、その著作物及びその題号の同一性を保持する権利を有し、
> その意に反してこれらの変更、切除その他の改変を受けないものとする。
> 2.前項の規定は、次の各号のいずれかに該当する改変については、適用しない。
> 一 第33条第1項(同条第四項において準用する場合を含む。)、
> 第33条の2第1項又は第34条第1項の規定により著作物を利用する場合における
> 用字又は用語の変更その他の改変で、学校教育の目的上やむを得ないと
> 認められるもの
> 二 建築物の増築、改築、修繕又は模様替えによる改変
> 三 特定の電子計算機においては利用し得ないプログラムの著作物を
> 当該電子計算機において利用し得るようにするため、又はプログラムの
> 著作物を電子計算機においてより効果的に利用し得るようにするために
> 必要な改変
> 四 前三号に掲げるもののほか、著作物の性質並びにその利用の目的及び態様に
> 照らしやむを得ないと認められる改変
> https://ja.wikibooks.org/wiki/%E8%91%97%E4%BD%9C%E6%A8%A9%E6%B3%95%E7%AC%AC20%E6%9D%A1

 どうもありがとうございます。

> 著作物が自由に使える場合は?
> https://www.cric.or.jp/qa/hajime/hajime7.html
> 上記より、解答はエです。
> 参考
> https://www.ap-siken.com/kakomon/22_haru/q79.html

 どうもありがとうございます。

宿題メールより 2022/11/17

情報処理技術者試験 記録

[解説:技術系]応用・基本・セキマネ・ITパス向け

 チャレンジレスポンス認証方式に該当するものはどれか。

 ア 固定パスワードを TLS によって暗号化し,クライアントからサーバに送信
  する。

 イ 端末のシリアル番号を,クライアントで秘密鍵を使って暗号化してサーバ
  に送信する。

 ウ トークンという装置が自動的に表示する,認証のたびに異なるデータを
  パスワードとしてサーバに送信する。

 エ 利用者が入力したパスワードと,サーバから受け取ったランダムなデータ
  とをクライアントで演算し,その結果をサーバに送信する。

■キーワード■ チャレンジレスポンス認証方式

■解答■
  応用情報技術者午前令和01年秋問38

 エ 利用者が入力したパスワードと,サーバから受け取ったランダムなデータ
  とをクライアントで演算し,その結果をサーバに送信する。

> チャレンジレスポンス方式(Challenge & Response)
> パスワードの認証に用いられる方式のひとつで、サーバーから送られてくる
> 暗号鍵(チャレンジ)を受け取り、それに演算処理を組み合わせたデータ
> (レスポンス)を返すことによって暗証を行う方式のことである。主にワンタイム
> パスワードの手法として用いられる。チャレンジ&レスポンス方式においては、
> はじめにサーバーがクライアントに対して「チャレンジ」と呼ばれる値を送る。
> チャレンジを受け取ったクライアントは、チャレンジの値にそれぞれ保有して
> いるパスワードを掛け合わせて演算処理を行い、その結果として生成された
> ハッシュ値を「レスポンス」として返す。サーバーは、クライアントから返って
> きた値をサーバーが自ら生成したレスポンスと照合し、ふたつのレスポンスの
> 値が一致していれば認証を通す。チャレンジとして送られてくる値は毎回
> ランダムな値で変更される。そのため、生成されるレスポンスの値も毎回
> 異なる。そのため、チャレンジ&レスポンス方式にはチャレンジやレスポンスが
> 盗聴されたとしても認証上の致命的な問題が生じないという利点がある。
> https://www.sophia-it.com/content/%E3%83%81%E3%83%A3%E3%83%AC%E3%83%B3%E3%82%B8%26%E3%83%AC%E3%82%

 どうもありがとうございます。

> チャレンジレスポンス認証方式
> https://e-words.jp/w/%E3%83%81%E3%83%A3%E3%83%AC%E3%83%B3%E3%82%B8-%E3%83%AC%E3%82%B9%E3%83%9D%E3%83%B3%E3%82%B9%E8%AA%8D%E8%A8%BC.html
> 上記より、解答はエです。

 どうもありがとうございます。

> https://www.ap-siken.com/kakomon/26_haru/q38.html

 どうもありがとうございます。

                                                                                                                                              • -

[解説:セキュリティ系]

 IP ネットワークにおいて,クライアントの設定を変えることなくデフォルト
ゲートウェイの障害を回避するために用いられるプロトコルはどれか。

 ア RARP

 イ RSTP

 ウ RTSP

 エ VRRP

■キーワード■ 

■解答■
  情報処理安全確保支援士午前2令和04年秋問20

 エ VRRP

> VRRP(Virtual Router Redundancy Protocol)
> デフォルトゲートウェイなどを冗長化するためのプロトコル
> 物理的には2台あるルータが仮想的には、1台のルータに見える。
> 障害発生時には、バックアップルータがマスタールータに切り替わる。
> https://www.infraexpert.com/study/fhrpz06.html

 どうもありがとうございます。

> VRRP(Virtual Router Redundancy Protocol)
> 経路の冗長化を目的とする機能です。VRRPをサポートするルータは、
> VRRPパケット(ADVERTISEMENT)を使用し、自分がVRRP 機能を使用するルータ
> であることを、ネットワークに対して広告します。ただし、一度代表ル
> ータが決定した後は、代表ルータのみがVRRP パケットを、定期的に送信します。
> VRRP は、プロトコル番号112 のIP パケットです。VRRP パケットを送信する際、
> 送信元アドレスは実際に送信するインタフェースのIP アドレス/宛先アドレス
> は224.0.0.18 となります。IP ヘッダのTTL 値は、"255"でなくてはいけません。
> https://www.furukawa.co.jp/fitelnet/f/man/1000/command-config/yougo/a-z/vrrp.htm

 どうもありがとうございます。

> ア RARPとは
> https://atmarkit.itmedia.co.jp/aig/06network/rarp.html
> イ RSTPとは
> https://e-words.jp/w/RSTP.html
> ウ RTSPとは
> https://systemk-camera.jp/camera-blog/knowledge/what-rtsp.php
> エ VRRPとは
> https://www.infraexpert.com/study/fhrpz06.html
> 上記より、解答はエです。
> 参考
> https://www.nw-siken.com/kakomon/27_aki/am2_12.html

 どうもありがとうございます。

> https://www.nw-siken.com/kakomon/01_aki/am2_10.html

 どうもありがとうございます。

                                                                                                                                              • -

[解説:入門]ITパス向け

 下請代金支払遅延等防止法において,親事業者の違法となる行為はどれか。

 ア 支払期日を,発注したソフトウェアの受領後45日と決めた。

 イ ソフトウェア開発の発注書面を,了解を得て電子メールで送った。

 ウ 納品され受領したソフトウェアの仕様を変更したいので,返品した。

 エ 納品されるソフトウェアに不具合があるので,受領拒否した。

■キーワード■ 

■解答■
  応用情報技術者午前令和01年秋問79

 ウ 納品され受領したソフトウェアの仕様を変更したいので,返品した。

> 下請代金支払遅延等防止法(下請法)
> 親事業者の不公正な取引を規制し、下請事業者の利益を保護するためにできた
> 法律です。この法律は、親事業者による優越的地位の濫用を排除するために、
> 親事業者の義務や禁止行為が定められています。
> <親事業者の禁止行為>
> (4)返品の禁止
> 物品・サービスを受領した後に検査しても不備はなく、下請事業者に責任が
> ない場合、親事業者は下請事業者に納品物を引き取らせてはいけない。
> https://j-net21.smrj.go.jp/support/publicsupport/2018112701.html

 どうもありがとうございます。

> 下請代金支払遅延等防止法とは
> https://www.jftc.go.jp/shitauke/legislation/act.html
> 上記より、解答はウです。
> こういう行為を防止するための法律です。

 どうもありがとうございます。

> https://www.ap-siken.com/kakomon/01_aki/q79.html

 どうもありがとうございます。

宿題メールより 2022/11/16

情報処理技術者試験 記録

[解説:技術系]応用・基本・セキマネ・ITパス向け

 無線 LAN 環境における WPA2-PSK の機能はどれか。

 ア アクセスポイントに設定されているSSID を共通鍵とし,通信を暗号化す
  る。

 イ アクセスポイントに設定されているのと同じ SSID とパスワード(Pre-Shared Key)
  が設定されている端末だけに接続を許可する。

 ウ アクセスポイントは,IEEE 802.11ac に準拠している端末だけに接続を
  許可する。

 エ アクセスポイントは,利用者ごとに付与された SSID を確認し,無線 LAN
  へのアクセス権限を識別する。

■キーワード■ WPA2-PSK

■解答■
  応用情報技術者午前令和01年秋問39

 イ アクセスポイントに設定されているのと同じ SSID とパスワード(Pre-Shared Key)
  が設定されている端末だけに接続を許可する。

> WPA2-PSKとは
> https://e-words.jp/w/WPA-PSK-WPA2-PSK.html
> 上記より、同じ SSID とパスワード(Pre-Shared Key)が設定が
> 該当すると考えます。
> よって、解答はイです。
> 参考
> https://www.ap-siken.com/kakomon/27_aki/q39.html

 どうもありがとうございます。

> ・WPA2-PSK(WPA2 Pre-Shared Key)
> WPA2-PSKとは、無線LAN(Wi-Fi)を安全に利用するためのデータ暗号化方式で、
> Wi-Fi標準セキュリティ規格の一つです。
> アクセスポイントと端末で事前共有鍵を使った接続認証や暗号化をおこない
> ます。WPA2-PSKは、暗号化方式の中でも非常にセキュリティ強度が高いことが
> 特徴です。
> ・暗号化方式の種類3:PSK
> PSKとは【Pre-Shared Key】の略称で、事前共有鍵という呼び方もあります。
> 事前にパスワードやパスフレーズを設定し、文字数は8文字以上63文字以下の
> 複雑な構造をしているため、安全にアクセスポイントに接続できるように
> なります。PSKによる認証では、複数の機器に共通のパスフレーズを入力し、
> 接続時に一致するかを調べます。
> https://www.fenet.jp/infla/column/network/wpa2-psk%E3%81%A7%E7%84%A1%E7%B7%9Alan%E3%82%92%E5%AE%89%E5%85%A8%E3%81%AB%E4%BD%BF%E3%81%86%E3%81%AB%E3%81%AF%EF%BC%9F%E5%88%A9%E7%94%A8%E3%81%AE%E3%83%9D%E3%82%A4%E3%83%B3%E3%83%888%E3%81%A4/#headline_1

 どうもありがとうございます。

                                                                                                                                              • -

[解説:セキュリティ系]

クラス D の IP アドレスを使用するのはどの場合か。

 ア 端末数が 250 台程度までの比較的小規模なネットワークのホストアドレスを
  割り振る。

 イ 端末数が 65,000 台程度の中規模なネットワークのホストアドレスを割り
  振る。

 ウ プライベートアドレスを割り振る。

 エ マルチキャストアドレスを割り振る。

■キーワード■ 

■解答■
  情報処理安全確保支援士午前2令和04年秋問19

 エ マルチキャストアドレスを割り振る。

> マルチキャストアドレス(multicast address)
> 特定のグループを指定するアドレス、つまりマルチキャストアドレスでは、
> クラスDアドレス(224.0.0.0 ~ 239.255.255.255)を使用します。
> このマルチキャストアドレスは宛先アドレスとしてのみ使用され、送信元
> アドレスはユニキャストアドレスを使用します。なお、マルチキャスト
> トラフィックUDPを使用するので、マルチキャストトラフィックの信頼性を
> 確保したい場合、それはアプリケーションやQoSで管理する必要があります。
> マルチキャストIPアドレスは、32ビットのうち第1オクテットのトップビット
> 「1110」を使用しますが、残りの28ビットはクラスA ~ C のように階層構造と
> なっておらず、残りはマルチキャストのグループIDを識別するのに使用され
> ます。
> https://www.infraexpert.com/study/multicastz03.html

 どうもありがとうございます。

> マルチキャスト
> 1つの送信元から、複数の宛先へ同じデータを送る通信。
> マルチキャストパケットにおいて、宛先IPアドレスとして、クラスDのレンジを使用。
> https://milestone-of-se.nesuke.com/nw-advanced/multicast/multicast-summary/

 どうもありがとうございます。

> アドレス・クラスとさまざまなIPアドレス
> https://atmarkit.itmedia.co.jp/ait/articles/0301/17/news003.html
> 上記より、解答はエです。
> 参考
> https://www.nw-siken.com/kakomon/22_aki/am2_12.html

 どうもありがとうございます。

                                                                                                                                              • -

[解説:入門]ITパス向け

 技術基準適合証明として用いられる技適マークの説明として,適切なものはどれ

 ア EU 加盟国で販売する製品が,EU の安全規制に適合していることを証明する。

 イ 電波を発する通信機器が,日本の電波法で定められた条件に適合していること
  を証明する。

 ウ 日本国内で販売する電気用品が,日本の電気用品安全法の基準に適合している
  ことを証明する。  

 エ 米国で設置する通信機器が,米国の規則に適合していることを証明する。

■キーワード■ 

■解答■
  応用情報技術者午前令和01年秋問80

 イ 電波を発する通信機器が,日本の電波法で定められた条件に適合していること
  を証明する。

> 技適マーク(Technical Conformity Mark)
> 技適マークとは、電波法で定められている技術基準に適合している無線機である
> ことを証明するためのマークであり、その証となるマークを無線機に貼付する
> 必要があります。また、技適を取得した際には固有番号である『技適番号』が
> 付与され、技適マークと一緒に表示をします。
> 一般的に多くの場合、技適マーク、および技適番号は無線機の型式名称や製造者
> が記載された銘板の中に表示されています。
> https://www.musen-connect.co.jp/blog/course/other/japan-radio-law-basic/

 どうもありがとうございます。

> 技適マークは、電波法令で定めている技術基準に適合している
> 無線機であることを証明するマークで、個々の無線機に付けられています。
> https://www.tele.soumu.go.jp/j/adm/monitoring/summary/qa/giteki_mark/
> 上記より、解答はイです。
> 参考
> https://www.ap-siken.com/kakomon/01_aki/q80.html

 どうもありがとうございます。

宿題メールより 2022/11/15

情報処理技術者試験 記録

[解説:技術系]応用・基本・セキマネ・ITパス向け

 JIS Q 27000:2019(情報セキュリティマネジメントシステム-用語)では,
情報セキュリティは主に三つの特性を維持することとされている。それらのうち
の二つは機密性と完全性である。残りの一つはどれか。

 ア 可用性

 イ 効率性

 ウ 保守性

 エ 有効性

■キーワード■ 可用性

■解答■
  応用情報技術者午前令和01年秋問40

 ア 可用性

> 情報セキュリティの3要素「CIA」
> ・機密性(Confidentiality)
> 情報へのアクセス許可のある人だけが情報を利用することができ、
> 許可の無い者は情報の使用、閲覧が出来なくすることです。
> ・完全性(Integrity)
> 情報資産に正確性があり改竄されていないこと。
> ・可用性(Availability)
> 情報へのアクセス許可のある人が必要な時点で情報にアクセスできること。
> http://privacymark.co.jp/isms/index_1.html

 どうもありがとうございます。

> JIS Q 27000:2019(情報セキュリティマネジメントシステム-用語)
> 3.28 情報セキュリティ(information security)
> 情報の機密性(3.10),完全性(3.36)及び可用性(3.7)を
> 維持すること。
> 注記 さらに,真正性(3.6),責任追跡性,否認防止(3.48),
> 信頼性(3.55)などの特性を維持することを含めることもある。
> https://www.kikakurui.com/q/Q27000-2019-01.html
> 上記より、解答はアです。
> 参考
> https://www.ap-siken.com/kakomon/04_aki/

 どうもありがとうございます。

> https://www.ap-siken.com/kakomon/01_aki/q40.html

 どうもありがとうございます。

                                                                                                                                              • -

[解説:セキュリティ系]

 電子メール又はその通信を暗号化する三つのプロトコルについて,公開鍵を
用意する単位の組合せのうち,適切なものはどれか。 

  ┌─────────┬─────────┬─────────┐
   │       PGPS/MIMESMTP over TLS   │
┌─┼─────────┼─────────┼─────────┤
│ア│メールアドレスごと│メールアドレスごと│メールサーバーごと│
├─┼─────────┼─────────┼─────────┤
│イ│メールアドレスごと│メールサーバーごと│メールアドレスごと│
├─┼─────────┼─────────┼─────────┤
│ウ│メールサーバーごと│メールアドレスごと│メールアドレスごと│
├─┼─────────┼─────────┼─────────┤
│エ│メールサーバーごと│メールサーバーごと│メールサーバーごと│
└─┴─────────┴─────────┴─────────┘

■キーワード■ 

■解答■
  情報処理安全確保支援士午前2令和04年秋問16

  ┌─────────┬─────────┬─────────┐
   │       PGPS/MIMESMTP over TLS   │
┌─┼─────────┼─────────┼─────────┤
│ア│メールアドレスごと│メールアドレスごと│メールサーバーごと│
└─┴─────────┴─────────┴─────────┘

> PGP(Pretty Good Privacy)
> 送信する際、1回限りの鍵で暗号化。
> その鍵を送信相手の公開鍵で暗号化。
> https://ameblo.jp/bakery-diary/entry-12597025168.html
>
> S/MIME
> 送受信者間で共通の秘密鍵を生成。
> その鍵を受信者の公開鍵で暗号化。
> https://medium-company.com/s-mime-%E4%BB%95%E7%B5%84%E3%81%BF/
>
> SMTP over TLS
> SSL/TLSによって提供される安全な接続の上でSMTPを行う。
> https://medium-company.com/smtps-starttls-%E9%81%95%E3%81%84/

 どうもありがとうございます。

> ・PGP(Pretty Good Privacy)
> 公開鍵暗号方式を使用して電子メールの暗号化、認証、改ざん検知を行う
> ツールの一つ。通信を行う双方のメールソフトが対応していることが必要。
> 公開鍵の検証にフィンガープリント(電子指紋)というハッシュ値を使用する
> こと、公開鍵に信頼度を設定しあうことで公開鍵の正当性を確保することで
> 認証局が不要であることが特徴。
> ・S/MIME(Secure Multipurpose Internet Mail Extensions)
> PGPと同様に、公開鍵暗号方式を使用して電子メールの暗号化、認証、改ざん
> 検知を行うツールの一つで、双方の電子メールソフトが対応していることが
> 必要。また、ディジタル証明書を共有しておく必要がある。
> ・SMTP over TLS
>  (Simple Mail Transfer Protocol over Transport Layer Security)
> TLSによって確立された安全な伝送路上で電子メールをやり取りするプロトコル
> 送信者ー送信者のメールサーバ、メールサーバ間での通信を暗号化できる。
> https://aolaniengineer.com/archives/3856

 どうもありがとうございます。

> 電子メール又はその通信を暗号化する三つのプロトコル
> PGPとは
> https://www.ipa.go.jp/security/enc/digitalsignature/02_ML.htm
> S/MIMEとは
> https://jp.globalsign.com/service/clientcert/about_smime.html
> SMTP over TLSとは
> https://e-words.jp/w/SMTPS.html
> 上記より、解答はアだと思います。
> https://www.sc-siken.com/kakomon/28_haru/am2_17.html

 どうもありがとうございます。

> https://www.sc-siken.com/kakomon/04_aki/am2_16.html

 どうもありがとうございます。

                                                                                                                                              • -

[解説:入門]ITパス向け

 入出力データの管理方針のうち,適切なものはどれか。

 ア 出力帳票の利用状況を定期的に点検し,利用されていないと判断したものは,
  情報システム部門の判断で出力を停止する。

  イ 出力帳票は授受管理表などを用いて確実に受渡しを行い,情報の重要度
  によっては業務部門の管理者に手渡しする。

 ウ チェックによって発見された入力データの誤りは,情報システム部門の判断
  で迅速に修正する。

 エ 入力原票や EDI 受信ファイルなどの取引情報は,機密性を確保するために,
  データをシステムに取り込んだ後に速やかに廃棄する。

■キーワード■ 

■解答■
  応用情報技術者午前令和04年秋問57

 ア 出力帳票の利用状況を定期的に点検し,利用されていないと判断したものは,
  情報システム部門の判断で出力を停止する。

> 内部統制(Internal control)の4つの目的
> 内部統制には、大きく以下4つの目的が存在します。
> 1.業務の有効性および効率性
> 2.財務報告の信頼性
> 3.事業活動に関わる法令等の遵守
> 4.資産の保全
> 内部統制の6つの基本要素
> 先述した4つの目的を達成するために必要な、内部統制の6つの基本要素が
> あります。
> 1.統制環境
> 2.リスクの評価と対応
> 3.統制活動
> 4.情報と伝達
> 5.モニタリング
> 6.IT(情報技術)への対応
> https://www.wingarc.com/chohyo-navi/internal-control.html

 どうもありがとうございます。

> 入出力データの管理方針
> https://www.ibm.com/docs/ja/z-netview/6.2.0?topic=services-managing-inputoutput
> 上記を踏まえて
> ア 誤 情報システム部門の判断で出力は停止できません。
> イ 正 
> ウ 誤 情報システム部門の判断では修正できません。
> エ 誤 取り込んだ後暫く経過後に廃棄します。
> 上記より、解答はイです。

 どうもありがとうございます。

> https://www.sc-siken.com/kakomon/27_aki/am2_24.html
> (選択肢の並びが若干異なりますが)

 どうもありがとうございます。

宿題メールより 2022/11/14

情報処理技術者試験 記録

[解説:技術系]応用・基本・セキマネ・ITパス向け

 内部ネットワークの PC からインターネット上の Web サイトを参照するとき
に,DMZ に設置した VDI (Virtual Desktop Infrastructure) サーバ上の Web
ブラウザを利用すると,未知のマルウェアが PC にダウンロードされるのを防ぐ
というセキュリ ティ上の効果が期待できる。この効果を生み出す VDI サーバの
動作の特徴はどれか。

 ア Web サイトからの受信データのうち,実行ファイルを削除し,その他のデータ
をPCに送信する。

 イ Web サイトからの受信データは,IPsecカプセル化し,PC に送信する。

 ウ Web サイトからの受信データは,受信処理ののち生成したデスクトップ画面
  の画像データだけをPCに送信する。

 エ Web サイトからの受信データは,不正なコード列が検知されない場合だけ
  PC に送信する。

■キーワード■ VDI サーバ

■解答■
  応用情報技術者午前令和01年秋問41

 ウ Web サイトからの受信データは,受信処理ののち生成したデスクトップ画面
  の画像データだけをPCに送信する。

> VDI(Virtual Desktop Infrastructure/デスクトップ仮想化)
> サーバ上にあるデスクトップ環境を遠隔地にある端末に転送して利用すること
> です。仮想化とは、ソフトウェアを用いてハードウェアを仮想環境で動作させる
>
> ことです。ハードウェアとは、サーバ・CPU・メモリ・HDD・SSDなどを指します。
> これがデスクトップになるとデスクトップ仮想化という概念になります。
> 端末で最小限の処理を行い、ほとんどの処理をサーバ側で行うシステム構成を
> シンクライアントといい、実現するのがVDIです。ちなみに、シンクライアント
> の実行方法はネットワークブート型と画像転送型があり、VDIは画像転送型の
> 一種です。利用者の作業は、自身の端末ではなくサーバ上で実行され、
> データもサーバに保存されます。そのため、利用者の端末には、データが保存
> されないため情報漏えいのリスクがありません。
> https://it-trend.jp/desktop-
> virtualization/article/beginner_desktop_virtualization

 どうもありがとうございます。

> VDI(Virtual Desktop Infrastructure)サーバとは
> https://atmarkit.itmedia.co.jp/ait/articles/0906/22/news104.html
> 上記より、VDI サーバで生成したデスクトップ画面の画像データだけを
> PC に送信するが該当します。
> よって、解答はウです。
> 参考
> https://www.mobi-connect.net/blog/virtual-desktop-infrastructure/

 どうもありがとうございます。

> https://www.ap-siken.com/kakomon/04_haru/q44.html

 どうもありがとうございます。

                                                                                                                                              • -

[解説:セキュリティ系]

 PC からサーバに対し,IPv6 を利用した通信を行う場合,ネットワーク層
暗号化を行うときに利用するものはどれか。

 ア IPsec

 イ PPP

 ウ SSH
 
 エ TLS

■キーワード■ 

■解答■
  情報処理安全確保支援士午前2令和04年秋問13

 ア IPsec

> IPSecは、ネットワーク層のセキュリティ技術。
> https://atmarkit.itmedia.co.jp/ait/articles/0110/26/news002.html
>
> ・PPP データリンク層
> ・SSH アプリケーション層
> ・TLS アプリケーション層とトランスポート層

 どうもありがとうございます。

> IPsec(Security Architecture for Internet Protocol)
> 暗号化によってパケットの秘匿や改ざん検知を実現するプロトコルです。
> 主にインターネットを介して拠点間を接続する、インターネットVPNを実現する
> ためのプロトコルとして広く利用されています。IPsecを使って通信する際に
> 利用する論理的な通信路(コネクション)はSA(Security Association)と呼ばれ
> ます。このSAを確立する際、暗号化のための鍵を交換するためのプロトコル
> IKE(Internet Key Exchange protocol)です。またIPsecには、認証と改ざん防止
> のみを行うAH(Authentication Header)と、データの暗号化を行う
> ESP(Encapsulated Security Payload)の2つのプロトコルがあるほか、
> データ部分のみを暗号化するトランスポートモードと、ヘッダとデータの両方を
> 暗号化するトンネルモードがあります。IPsecを用いたインターネットVPN
> によって拠点間を接続する場合には、トランスポートモードを利用します。
> https://www.ntt.com/bizon/glossary/e-i/ipsec.html

 どうもありがとうございます。

> IPv6の概要
> https://www.jstage.jst.go.jp/article/koshientb/2/0/2_44/_pdf
> 上記より、解答はアのIPsecです。
> 参考
> IPsecとは
> https://www.cloudflare.com/ja-jp/learning/network-layer/what-is-ipsec/

 どうもありがとうございます。

> https://www.ap-siken.com/kakomon/02_aki/q37.html

 どうもありがとうございます。

                                                                                                                                              • -

[解説:入門]ITパス向け

 Q 27001:2014 (情報セキュリティマネジメントシステム-要求事項)に基づい
ISMS 内部監査を行った結果として判明した状況のうち,監査人が,指摘事項とし
て監査報告書に記載すべきものはどれか。

 ア USB メモリの使用を,定められた手順に従って許可していた。  

 イ 個人情報の誤廃棄事故を主務官庁などに,規定されたとおりに報告していた。

 ウ マルウェアスキャンでスパイウェアが検知され,駆除されていた。

 エ リスクアセスメントを実施した後に,リスク受容基準を決めていた。

■キーワード■ 

■解答■
  応用情報技術者午前令和04年秋問58

> JIS Q 27001:2014(ISO/IEC 27001:2013)
> 6.1.2 情報セキュリティリスクアセスメント
> 組織は,次の事項を行う情報セキュリティリスクアセスメントのプロセスを
> 定め,適用しなければならない。
> a) 次を含む情報セキュリティのリスク基準を確立し,維持する。
> 1) リスク受容基準
> 2) 情報セキュリティリスクアセスメントを実施するための基準
> 6.1.3 情報セキュリティリスク対応
> 組織は,次の事項を行うために,情報セキュリティリスク対応のプロセスを
> 定め,適用しなければならない。
> a) リスクアセスメントの結果を考慮して,適切な情報セキュリティリスク対応
> の選択肢を選定する。
> https://kikakurui.com/q/Q27001-2014-01.html
> ⇒ 「リスク受容基準」は「リスクアセスメント」を実施する前に
>   決められていなければならない。

 どうもありがとうございます。

> JIS Q 27001:2014 (情報セキュリティマネジメントシステム-要求事項)
> 6.1.2 情報セキュリティリスクアセスメント
> 組織は,次の事項を行う情報セキュリティリスクアセスメント
> プロセスを定め,適用しなければならない。
> https://kikakurui.com/q/Q27001-2014-01.html
> 上記より、リスクアセスメントを実施した後にから解答はエです。
> 参考
> https://www.fe-siken.com/kakomon/30_aki/q58.html

 どうもありがとうございます。

> https://www.ap-siken.com/kakomon/04_aki/q58.html

 どうもありがとうございます。

宿題メールより 2022/11/11

情報処理技術者試験 記録


[解説:技術系]応用・基本・セキマネ・ITパス向け

 エクスプロイトキットの説明はどれか。

 ア JPEG データを読み込んで表示する機能をもつ製品に対して,セキュリティ上
  の問題を発生させる可能性のある値を含んだ JPEG データを読み込ませるこ
  とによって,脆弱性がないかをテストするツール  

 イ JVN などに掲載された脆弱性情報の中に,利用者自身が PC 又はサーバに
  インストールした製品に関する情報が含まれているかどうかを確認するツール

 ウ OS やアプリケーションソフトウェア脆弱性を悪用して攻撃するツール

 エ Web サイトのアクセスログから,Web サイトの脆弱性を悪用した攻撃を
  検出するツール

■キーワード■

■解答■
  応用情報技術者午前令和01年秋問42

 ウ OS やアプリケーションソフトウェア脆弱性を悪用して攻撃するツール

> エクスプロイトキット(Exploit Kit)
> エクスプロイトキットとは、複数のエクスプロイトコード(エクスプロイト)を
> パッケージ化して、様々な脆弱性攻撃に対応できるようにしたプログラムのこと
> である。エクスプロイトコードは、セキュリティ上の脆弱性を攻撃するための
> プログラムを指す用語である。従来のエクスプロイトに対して、新しく発見
> された脆弱性への攻撃プログラムなどが随時追加されていくことで、さまざまな
> 場面に対して攻撃を仕掛けることが可能となっている。
> https://www.sophia-it.com/content/%E3%82%A8%E3%82%AF%E3%82%B9%E3%83%97%E3%83%AD%E3%82%A4%E3%83%88%E3%82%AD%E3%83%83%E3%83%88

 どうもありがとうございます。

> エクスプロイトキットとは、サイバー攻撃者がパソコンやモバイルデバイス
> 脆弱性を利用する際に用いるクラッキングツール。
> https://eset-info.canon-its.jp/malware_info/term/detail/00129.html
> 上記より、解答はウです。
> 参考
> https://e-words.jp/w/%E3%82%A8%E3%82%AF%E3%82%B9%E3%83%97%E3%83%AD%E3%82%A4%E3%83%88%E3%82%AD%E3%83%83%E3%83%88.html

 どうもありがとうございます。

> https://www.ap-siken.com/kakomon/01_aki/q42.html

 どうもありがとうございます。

                                                                                                                                              • -

[解説:セキュリティ系]

 パスワードスプレー攻撃に該当するものはどれか。

 ア 攻撃対象とする利用者 ID を一つ定め,辞書及び人名リストに掲載されて
  いる単語及び人名並びにそれらの組合せを順にパスワードとして入力して,
  ログインを試行する。

 イ 攻撃対象とする利用者 ID を一つ定め,パスワードを総当たりして,ログイン
  を試行する。

 ウ 攻撃の時刻と攻撃元 IP アドレスとを変え,かつ,アカウントロックを回避
  しながらよく用いられるパスワードを複数の利用者 ID に同時に試し,ログイン
  を試行する。
 
 エ 不正に取得したある他のサイトの利用者 ID とパスワードとの組みの一覧表
  を用いて,ログインを試行する。

■キーワード■ パスワードスプレー攻撃 

■解答■
  情報処理安全確保支援士午前2令和04年秋問6

 ウ 攻撃の時刻と攻撃元 IP アドレスとを変え,かつ,アカウントロックを回避
  しながらよく用いられるパスワードを複数の利用者 ID に同時に試し,ログイ
  ンを試行する。

> 昨日と同じ問題です。

 すいませんでした。

> パスワードスプレー攻撃(Password spray attack)
> 同じパスワードを複数のユーザーアカウントログインで同時に試すことです。
> ログインの際に一定の回数パスワードを間違えると、アカウントロックが
> かかる場合がありますよね?パスワードスプレー攻撃の場合、
> ロックがかかっても解除されるまで他のアカウントでログインを試せば
> いいため、あまり意味がありません。また一度に複数のユーザーへログインが
> 試せるので、犯人にとっては効率がいい方法です。
> https://office110.jp/security/knowledge/cyber-attack/password-spray

 どうもありがとうございます。

> パスワードスプレー攻撃とはIDやパスワードを組み合わせて連続的に
> 攻撃するブルートフォース攻撃の一種です。
> https://cybersecurity-jp.com/column/30629#i
> 上記より、解答はウです。
> 参考
> https://www.sc-siken.com/kakomon/04_aki/am2_6.html

 どうもありがとうございます。

                                                                                                                                              • -

[解説:入門]ITパス向け

 システム監査における "監査手続" として,最も適切なものはどれか。

 ア 監査計画の立案や監査業務の進捗管理を行うための手順

 イ 監査結果を受けて,監査報告書に監査人の結論や指摘事項を記述する手順

 ウ 監査項目について,十分かつ適切な証拠を入手するための手順

 エ 監査テーマに合わせて,監査チームを編成する手順

■キーワード■ 

■解答■
  応用情報技術者午前令和04年秋問59

 ウ 監査項目について,十分かつ適切な証拠を入手するための手順


> IV.システム監査実施に係る基準
>
> 【基準8】 監査証拠の入手と評価
> <解釈指針>
> 1.システム監査において、システム監査人は、個別監査計画に基づいて、
>   監査手続を実施することによって、監査証拠を入手する。
> 2.監査手続は、監査対象の実態を把握するための予備調査(事前調査とも
> いう。)、及び予備調査で得た情報を踏まえて、十分かつ適切な監査証拠
>   を入手するための本調査に分けて実施される。
> https://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kansa_h30.pdf

 どうもありがとうございます。

> 監査手続とは、監査人が監査意見を形成するに足る基礎を得るための
> 監査証拠を入手するために実施する手続をいい、実施する目的により、
> リスク評価手続とリスク対応手続(運用評価手続又は実証手続)に
> 分けられる。
> https://www2.deloitte.com/jp/ja/pages/audit/articles/aa/glossary/au-017.html
> 上記より、解答はウです。
> 参考
> https://www2.deloitte.com/jp/ja/pages/risk/articles/rm/substantive-test.html

 どうもありがとうございます。

> https://www.ap-siken.com/kakomon/04_aki/q59.html

 どうもありがとうございます。

宿題メールより 2022/11/10

情報処理技術者試験 記録


[解説:技術系]応用・基本・セキマネ・ITパス向け

 ダークネットは,インターネット上で到達可能であるが,使われていない
IP アドレス空間を示す。このダークネットにおいて観測されるものはどれか。

 ア インターネット上で公開されている Web サイトに対して Web ブラウザか
  ら送信するパケット

 イ インターネットにつながっており,実在する IoT 機器から実在するサーバ
  に送信されるパケット

 ウ マルウェアが IoT機器やサーバなどの攻撃対象を探すために送信するパケット

 エ 有効な電子メールアドレスに対して攻撃者が標的型攻撃メールを送信する

■キーワード■ ダークネット

■解答■
  応用情報技術者午前令和01年秋問43

 ウ マルウェアが IoT機器やサーバなどの攻撃対象を探すために送信するパケット

> ダークネット(darknet)
> ダークネットとは、インターネット上で到達可能なIPアドレスのうち、
> 特定のホストコンピュータが割り当てられていないアドレス空間のことである。
> ダークネットは未使用のIPアドレスであり、通常はダークネットに対して
> パケットが送信されることはほとんどない。しかし実際には、ダークネット上で
> 相当数のパケットが観測されるという。ダークネット上を流れるパケットの
> 多くは、不正な行為・活動に起因するものと言われている。情報通信研究機構
>
> (IPA)は、ダークネット上を流れるパケットの主な種類として、
> 「マルウェアが感染対象を探査するためのスキャン」、
> 「マルウェアが感染対象の脆弱性を攻撃するためのエクスプロイトコード」、
> 「送信元IPアドレスが詐称されたDDoS攻撃を被っているサーバからの応答」
> を挙げている。
> https://www.sophia-it.com/content/%E3%83%80%E3%83%BC%E3%82%AF%E3%83%8D%E3%83%83%E3%83%88

 どうもありがとうございます。

> ダークネットとは
> https://e-words.jp/w/%E3%83%80%E3%83%BC%E3%82%AF%E3%83%8D%E3%83%83%E3%83%88.html
> 上記より、攻撃対象を探すために送信するパケットだと思います。
> よって、解答はウです。
> ダークネットは、悪いイメージです。

 どうもありがとうございます。

> https://www.ap-siken.com/kakomon/01_aki/q43.html

 どうもありがとうございます。

                                                                                                                                              • -

[解説:セキュリティ系]

 パスワードスプレー攻撃に該当するものはどれか。

 ア 攻撃対象とする利用者 ID を一つ定め,辞書及び人名リストに掲載されて
  いる単語及び人名並びにそれらの組合せを順にパスワードとして入力して,
  ログインを試行する。

 イ 攻撃対象とする利用者 ID を一つ定め,パスワードを総当たりして,ログイン
  を試行する。

 ウ 攻撃の時刻と攻撃元 IP アドレスとを変え,かつ,アカウントロックを回避
  しながらよく用いられるパスワードを複数の利用者 ID に同時に試し,ログイン
  を試行する。
 
 エ 不正に取得したある他のサイトの利用者 ID とパスワードとの組みの一覧表
  を用いて,ログインを試行する。

■キーワード■ パスワードスプレー攻撃 

■解答■
  情報処理安全確保支援士午前2令和04年秋問6

 ウ 攻撃の時刻と攻撃元 IP アドレスとを変え,かつ,アカウントロックを回避
  しながらよく用いられるパスワードを複数の利用者 ID に同時に試し,ログイ
  ンを試行する。

> パスワードスプレー攻撃(Password spray attack)
> 同じパスワードを複数のユーザーアカウントログインで同時に試すことです。
> ログインの際に一定の回数パスワードを間違えると、アカウントロックが
> かかる場合がありますよね?パスワードスプレー攻撃の場合、
> ロックがかかっても解除されるまで他のアカウントでログインを試せば
> いいため、あまり意味がありません。また一度に複数のユーザーへログインが
> 試せるので、犯人にとっては効率がいい方法です。
> https://office110.jp/security/knowledge/cyber-attack/password-spray

 どうもありがとうございます。

> パスワードスプレー攻撃
> 膨大な数のユーザー名とよく使われるパスワードを試みる攻撃。
> ログインの試行回数が少ないため、ロックがかからない。
> https://www.manageengine.jp/products/ADSelfService_Plus/solution-idm_Password-spray_WP_LP.html

 どうもありがとうございます。

> パスワードスプレー攻撃とはIDやパスワードを組み合わせて連続的に
> 攻撃するブルートフォース攻撃の一種です。
> https://cybersecurity-jp.com/column/30629#i
> 上記より、解答はウです。

 どうもありがとうございます。

> https://www.sc-siken.com/kakomon/04_aki/am2_6.html

 どうもありがとうございます。

                                                                                                                                              • -

[解説:入門]ITパス向け

 システム監査基準の意義はどれか。

 ア システム監査業務の品質を確保し,有効かつ効率的な監査を実現するための
  システム監査人の行為規範となるもの

 イ システム監査の信頼性を保つために,システム監査人が保持すべき情報システム
  及びシステム監査に関する専門的知識・技能の水準を定めたもの

 ウ 情報システムのガバナンス,マネジメント,コントロールを点検・評価・検証す
  る際の判断の尺度となるもの

 エ どのような組織体においても情報システムの管理において共通して留意すべき
  基本事項を体系化・一般化したもの

■キーワード■ 

■解答■
  応用情報技術者午前令和04年秋問60

 ア システム監査業務の品質を確保し,有効かつ効率的な監査を実現するための
  システム監査人の行為規範となるもの

> システム監査基準(system audit standards)
> 情報システムのガバナンス、マネジメントまたはコントロールを点検・評価・
> 検証する業務(システム監査業務)の品質を確保し、有効かつ効率的な監査を
> 実現するためのシステム監査人の行為規範である。システム監査の体制整備、
> 監査人の独立性、監査計画、監査実施、監査報告からフォローアップまで、
> 全12つの基準で構成されている。
> https://www.itpassportsiken.com/word/%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E7%9B%A3%E6%9F%BB%E5%9F%BA%E6%BA%96.html

 どうもありがとうございます。

> [1] システム監査の意義と目的
> https://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kansa_h30.pdf
> 上記より、解答はアです。

 どうもありがとうございます。

> https://www.ap-siken.com/kakomon/04_aki/q60.html

 どうもありがとうございます。