応用情報技術者試験の過去問&キーワードを動画2443本の動画で解説!スキマ時間に動画!※2017年9月11日現在

PR広告

平成30年度秋 応用情報技術者試験午後 問1 情報セキュリティ|合格率アップ!動画解説!

インターネットサービス向けサーバのセキュリティ対策に関する次の記述を読んで、設問1~3に答えよ。

 食品販売業を営むL社では、社内外の電子メール(以下、メールという)を扱うメールサーバ、商品を紹介するWebサーバ及び自社ドメイン名を管理するDNSサーバを運用している。L社情報システム部のM部長は、インターネット経由の外部からのサイバー攻撃への対策が重要だと考え、当該サイバー攻撃にさらされるおそれのあるサーバの脆弱性診断を行うように、情報システム部のNさんに指示した。L社のサーバなどを配置したDMZを含むネットワーク構成を図1に、各サーバで使用している主なソフトウェアを表1に示す。

 なお、L社のセキュリティポリシでは、各サーバで稼働するサービスへのアクセス制限は、ファイアウォール(以下、FWという)及び各サーバのOSがもつFW機能の両方で実施することになっている。

平成30年度秋 応用情報技術者試験午後過去問1 情報セキュリティ

図1 L社のサーバなどを配置したDMZを含むネットワーク構成

表1 各サーバで使用している主なソフトウェア

サーバ名 ソフトウェア
メールサーバ OS-A、メールサーバソフトウェア
Webサーバ OS-B、Webサーバソフトウェア、DBMS、商品検索ソフトウェア(社外に委託して開発した自社ソフトウェア)
DNSサーバ OS-A、DNSサーバソフトウェア

〔脆弱性診断の実施〕

 Nさんは、社外のセキュリティベンダであるQ社に、メールサーバ、Webサーバ及びDNSサーバの脆弱性診断を実施してもらい、脆弱性診断の内容とその結果を受け取った。Q社が実施した脆弱性診断の内容の抜粋を表2に、Q社から受け取った脆弱性診断結果の抜粋を表3に示す。

表2 Q社が実施した脆弱性診断の内容(抜粋)

項番 項目 実施内容
診1 ポートスキャン インターネット側から対象サーバにTCPスキャン及びaスキャンを実施し、稼働しているサービスに関する情報を収集する。
診2 既知の脆弱性に対する診断 使用しているソフトウェアのバージョンなどから既知の脆弱性がないことを確認する。
診3 ソフトウェア設定診断 OS、ミドルウェア、アプリケーションの設定の不備などがないことを確認する。
診4 Webアプリケーション診断 Webアプリケーションについて、bの不備、Webページの出力処理の不備などがないことを確認する。

表3 Q社から受け取った脆弱性診断結果(抜粋)

項番 対象サーバ 脆弱性診断の項番 対象ソフトウェア 脆弱性の内容
脆1 メールサーバ c メールサーバソフトウェア 送信ドメイン認証機能が未設定なので、インターネットから届く送信元メールアドレスを偽装したスパムメールを受信してしまう状態であった。
脆2 Webサーバ 診1 OS-B DBMSに接続するためのTCPポートにインターネットからアクセス可能であった。
脆3 Webサーバ 診3 Webサーバソフトウェア 脆弱な暗号化通信方式が使用できてしまう設定であり、情報漏えいのおそれがあった。
脆4 Webサーバ 診4 商品検索ソフトウェア 入力値チェックの不備によって、データベースに蓄積された非公開情報が閲覧されるおそれがあった。
脆5 DNSサーバ 診2 DNSサーバソフトウェア DNSサーバソフトウェアの脆弱性によって、ゾーン情報がリモートから操作可能であった。

〔発見された脆弱性への対策の検討〕

 Nさんは、表3の脆弱性診断結果の内容を確認し、発見された脆弱性に対して実施すべき対策の案を検討した。検討結果を表4に示す。

表4 発見された脆弱性に対して実施すべき対策(案)

脆弱性診断結果の項番 実施すべき対策
脆1 メールサーバソフトウェアに送信ドメイン認証機能としてd認証の設定を行う。送信元メールアドレスのドメイン名からDNSに問合せを行い、dレコードから正規のIPアドレスを調べる。受信したメールのeIPアドレスと照合して、なりすましの受信メールをフィルタリングする。
脆2 fと、gのOSがもつFW機能で、DBMSに接続するためのTCPポートを閉塞して、インターネットからDBMSにアクセスできないようにする。
脆3 Webサーバソフトウェアの設置を変更して、脆弱な暗号化通信方式を使用禁止にする。
脆4 SQL文を組み立てる際に害のあるコードが入力値に含まれていないか十分にチェックしてhを防止する。
脆5 DNSサーバソフトウェアの脆弱性に対応する修正ソフトウェアがリリースされているので、これを適用する。

 Nさんは、脆弱性診断結果(表3)と、実施すべき対策の案(表4)をM部長に報告した。報告を受けたM部長は、Nさんが検討した表4の脆弱性対策を速やかに実施することと、中長期的な脆弱性対策を検討することを指示した。

〔中長期的な脆弱性対策)

 Nさんは、OSやミドルウェアなどの市販ソフトウェアと社外に委託して開発する自社ソフトウェアについて、L社が中長期的に取り組むべき脆弱性対策の案を検討した。検討結果を表5に示す。

表5 L社が中長期的に取り組むべき脆弱性対策(案)

市販ソフトウェア 社外に委託して開発する自社ソフトウェア

・サーバで使用しているソフトウェアの製造元・提供元から更新情報を入手する・

①社外の関連する組織から脆弱性情報を入手して活用する。

・運用・保守要員に対するセキュリティ教育を実施し、脆弱性対策への意識を高める。

・ソフトウェア開発の委託先企業との契約に、セキュアコーディングの実施を盛り込む。

②ソフトウェア開発の委託先企業のセキュリティ対策の実施状況を確認する。

③ソフトウェアの企画・設計段階からセキュリティ機能を組み込むようにセキュリティの専門家を参加させる。

 Nさんは、表5の脆弱性対策の案を盛り込んだ改善計画を策定し、その結果をM部長に報告した。改善計画を確認したM部長は、この改善計画を基に具体的な取り組みを検討するようにNさんに指示した。

設問1

〔脆弱性診断の実施〕について、(1)、(2)に答えよ。

(1) 表2中のa, bに入れる適切な字句を解答群の中から選び、記号で答えよ。

解答群

ア ARP

イ IT資産管理

ウ UDP

エ XML

オ インシデント管理

カ ウイルス

キ セッション管理

ク ログ管理

(2) 表3中のcに入れる適切な字句を答えよ。

設問2

〔発見された脆弱性への対策の検討〕について、(1)~(3)に答えよ。

(1) 表4中のd, eに入れる適切な字句を解答群の中から選び、記号で答えよ。

解答群

ア MX

イ PTR

ウ SMTP

エ SPF

オ 送信先

カ 送信元

キ 中継先

ク 中継元

(2) 表4中のf, gに入れる適切な字句を、図1中の構成機器の名称で答えよ。

(3) 表4中のhに入れる適切なサイバー攻撃手法の名称を15字以内で答えよ。

設問3

〔中長期的な脆弱性対策〕について、(1)、(2)に答えよ。

(1) 表5中の下線①、②の各対策に該当する項目として適切なものを解答群の中からそれぞれ選び、記号で答えよ。

解答群

ア インシデント発生時の緊急対応体制を整備する。

イ 公開されている脆弱性情報データベースを確認する。

ウ 実施すべきセキュリティ対策を定めて定期的に監査する。

エ セキュリティ対策に関する予算を増額する。

オ リスク分析を定期的に実施して対応計画を立案する。

(2) 表5中の下線③について、表3の項番"脆3"で発見された脆弱性への対策として、ソフトウェアの企画・設計段階からセキュリティの専門家を参加させる狙いを30字以内で述べよ。

設問1 解説

〔脆弱性診断の実施〕について、(1)、(2)に答えよ。

(1) 表2中のa, bに入れる適切な字句を解答群の中から選び、記号で答えよ。

解答群

ア ARP

イ IT資産管理

ウ UDP

エ XML

オ インシデント管理

カ ウイルス

キ セッション管理

ク ログ管理

平成30年度秋 応用情報技術者試験午後過去問1 情報セキュリティ

(2) 表3中のcに入れる適切な字句を答えよ。

平成30年度秋 応用情報技術者試験午後過去問1 情報セキュリティ

設問2 解説

〔発見された脆弱性への対策の検討〕について、(1)~(3)に答えよ。

(1) 表4中のd, eに入れる適切な字句を解答群の中から選び、記号で答えよ。

解答群

ア MX

イ PTR

ウ SMTP

エ SPF

オ 送信先

カ 送信元

キ 中継先

ク 中継元

平成30年度秋 応用情報技術者試験午後過去問1 情報セキュリティ

(2) 表4中のf, gに入れる適切な字句を、図1中の構成機器の名称で答えよ。

(3) 表4中のhに入れる適切なサイバー攻撃手法の名称を15字以内で答えよ。

平成30年度秋 応用情報技術者試験午後過去問1 情報セキュリティ

設問3 解説

〔中長期的な脆弱性対策〕について、(1)、(2)に答えよ。

(1) 表5中の下線①、②の各対策に該当する項目として適切なものを解答群の中からそれぞれ選び、記号で答えよ。

解答群

ア インシデント発生時の緊急対応体制を整備する。

イ 公開されている脆弱性情報データベースを確認する。

ウ 実施すべきセキュリティ対策を定めて定期的に監査する。

エ セキュリティ対策に関する予算を増額する。

オ リスク分析を定期的に実施して対応計画を立案する。

平成30年度秋 応用情報技術者試験午後過去問1 情報セキュリティ

(2) 表5中の下線③について、表3の項番"脆3"で発見された脆弱性への対策として、ソフトウェアの企画・設計段階からセキュリティの専門家を参加させる狙いを30字以内で述べよ。

平成30年度秋 応用情報技術者試験午後過去問1 情報セキュリティ


PR広告

フェイスブックコメント

難解な応用情報技術者試験午前で80点中48点を取る優しい方法

平成28年度春 応用情報技術者試験 午後 テキスト・動画解説

平成28年度春 応用情報技術者試験 午後 動画解説再生リスト

平成28年度春 応用情報技術者試験 午前 テキスト・動画解説

平成28年度秋 応用情報技術者試験 午前 動画解説再生リスト

平成27年度秋 応用情報技術者試験 午前 テキスト・動画解説

平成27年度秋 応用情報技術者試験 午前 動画解説再生リスト

平成27年度春 応用情報技術者試験 午後 テキスト・動画解説

平成27年度春 応用情報技術者試験 午後 動画解説再生リスト

平成27年度春 応用情報技術者試験 午前 テキスト・動画解説

平成27年度春 応用情報技術者試験 午前 動画解説再生リスト

平成26年度秋 応用情報技術者試験 午前 テキスト・動画解説

平成26年度秋 応用情報技術者試験 午前 動画解説再生リスト

平成26年度春 応用情報技術者試験 午前 テキスト・動画解説

平成26年度春 応用情報技術者試験 午前 動画解説再生リスト