七転び八起き 諦めないための学習記録

諦めないために学習記録を残しています。情報処理技術者試験の勉強記録が多いですが、その時々により内容は違います。

宿題メールより 2022/09/27

[解説:技術系]応用・基本・セキマネ・ITパス向け

 チャレンジレスポンス認証方式に該当するものはどれか。

 ア 固定パスワードを TLS によって暗号化し,クライアントからサーバに送信
  する。

 イ 端末のシリアル番号を,クライアントで秘密鍵を使って暗号化してサーバ
  に送信する。

 ウ トークンという装置が自動的に表示する,認証のたびに異なるデータを
  パスワードとしてサーバに送信する。

 エ 利用者が入力したパスワードと,サーバから受け取ったランダムなデータ
  とをクライアントで演算し,その結果をサーバに送信する。

■キーワード■ チャレンジレスポンス認証方式

■解答■
  応用情報技術者午前令和01年秋問38

 エ 利用者が入力したパスワードと,サーバから受け取ったランダムなデータ
  とをクライアントで演算し,その結果をサーバに送信する。

> チャレンジレスポンス(challenge & response)
> この方式のポイントは「ネットワーク上にパスワードそのものを流さない」
> ということです。「チャレンジ」と呼ばれる一度しか使わない乱数と
> パスワードをハッシュ関数で計算します。その計算結果が「レスポンス」
> (メッセージダイジェストとも呼ぶ)となり、このレスポンスをネットワーク
> 経由でサーバに渡して照合して、認証結果を出します。
> ハッシュ化された値は不可逆式なので、盗聴されても元のパスワードに戻す
> ことができないので、セキュリティが高くなります。
> <チャレンジレスポンス認証の流れ>
> 1.利用者がサーバにアクセスを要求する
> 2.サーバ側でチャレンジを作成し、利用者側に送る
> 3.チャレンジを受け取った利用者側は、入力したパスワードとチャレンジを
> 使ってレスポンスを生成し、サーバ側へ「レスポンスA」を送る
> 4.サーバ側でもデータベースに格納されているパスワードとチャレンジを
> 使って「レスポンスB」を生成する
> 5.サーバ側で「レスポンスA」と「レスポンスB」を照合する
> 6.認証結果を利用者側に返す
> 7.認証結果がOKだったら、サービスの利用が開始される
> https://itmanabi.com/challenge-response/

 どうもありがとうございます。

> チャレンジレスポンス認証方式とは
> https://itmanabi.com/challenge-response/#toc3
> 上記より、解答はエです。

 どうもありがとうございます。

> https://www.ap-siken.com/kakomon/04_haru/q38.html

 どうもありがとうございます。

                                                                                                                                              • -

[解説:セキュリティ系]

 プロジェクトライフサイクルの一般的な特性はどれか。

 ア 開発要員数は,プロジェクト開始時が最多であり,プロジェクトが進むに
  つれて減少し,完了に近づくと再度増加する。

 イ ステークホルダがコストを変えずにプロジェクトの成果物に対して及ぼす
  ことができる影響の度合いは、プロジェクト完了直前が最も大きくなる。

 ウ プロジェクトが完了に近づくほど,変更やエラーの修正がプロジェクトに
  影響する度合いは小さくなる

 エ リスクは、プロジェクトが完了に近づくにつれて減少する。

■キーワード■ プロジェクトライフサイクル

■解答■
  情報セキュリティマネジメント午前令和01年秋問43

 エ リスクは、プロジェクトが完了に近づくにつれて減少する。

> プロジェクトは、目標を達成できないリスクや失敗するリスクが存在する。
> 開始段階がもっとも高く、完成に近づくにつれ、減っていく。
> https://www.work-management.jp/blog/what-is-project-life-cycle.html

 どうもありがとうございます。

> プロジェクトライフサイクル
> プロジェクトライフサイクルは、プロジェクトが通るプロセスのことです。
> 開始/準備/作業/完了の4ステップに分けられます。
> また、プロジェクトライフサイクルには、以下の3つの特徴があります。
> ■コストや要員は中盤にかけて増加し、そこから減少に転じる
> ■ステークホルダーの影響力は開始時に最大で、その後は減少の一途をたどる
> ■変更やエラーの影響は終盤にかけて増大
> https://it-trend.jp/project_management/article/33-0072

 どうもありがとうございます。

> プロジェクトライフサイクルの特性
> https://www.work-management.jp/blog/what-is-project-life-cycle.html
> 上記より、解答はエです。

 どうもありがとうございます。

> https://www.sg-siken.com/kakomon/01_aki/q43.html

 どうもありがとうございます。

                                                                                                                                              • -

[解説:入門]ITパス向け

 HTML 形式の電子メールの特徴を悪用する攻撃はどれか。

 ア DoS 攻撃

 イ SQL インジェクション

 ウ 悪意のあるスクリプトの実行

 エ 辞書攻撃

■キーワード■ 悪意のあるスクリプトの実行

■解答■
  ITパスポート令和02年問56

 ウ 悪意のあるスクリプトの実行

> HTMLメールのセキュリティ
> HTMLメールは、Webサイトを作成する際に利用するプログラミング言語
> つくられています。HTMLメールの機能は、
> 1.メール本文内に自動的に起動可能な「プログラムの埋め込み」ができる。
> ⇒ 埋め込まれたウィルスへの感染リスクがある。
> 2.本文内にWebページへリンクを張る「URLリンクの本文設置」ができる
> ⇒ なりすましメールで悪質サイトへ誘導されるリスクがある。
> 3.どのアドレスがいつ頃開封したのかという「開封情報の取得」ができる
> ⇒ スパムメール業者へのアドレス流出リスクがある。
> https://mailmarketinglab.jp/htmlmail-security-commentary/

 どうもありがとうございます。

> ア DoS 攻撃とは
> https://www.shadan-kun.com/blog/glossary/264/#01
> イ SQL インジェクションとは
> https://www.shadan-kun.com/blog/glossary/285/#01
> ウ 悪意のあるスクリプトの実行とは
> https://www.ipa.go.jp/security/awareness/vendor/programmingv1/a01_02.html
> エ 辞書攻撃とは
> https://cloud.nttsmc.com/sns/useful/keyword/dictionary-attack.html
> 上記より、解答はウです。
> 参考
> https://www.commins.co.jp/useful_information/security_003
> https://www.shadan-kun.com/blog/glossary/250/
> https://blastmail.jp/blog/mailmagazine/htmlmail-security

 どうもありがとうございます。

> https://www.itpassportsiken.com/kakomon/02_aki/q56.html

 どうもありがとうございます。