令和元年度　基本情報技術者試験　午前問題　問４１

検索サイトの検索結果の上位に悪意のあるサイトが表示されるように細工する攻撃の名称はどれか。

解説

なんか、既視感がありますね。
問35でもＤＮＳキャッシュポイズニングの問題が出ていましたね。ＤＮＳキャッシュポイズニングという単語自体は出てきませんでしたが、分かっている人にとってはアレ？って思うような（笑）

問35解説記事：
R01基本情報技術者試験 秋期試験に挑戦 問３２～問３５ - 工学じじいの縁側日記

とりあえず、解説によると「ア」は違いますね。

ＤＮＳキャッシュを書き換えて不正な接続先へ導く攻撃手法でしたね。

SEOはSearch Engine Optimization（検索エンジン最適化）の略語で、検索エンジンが検索語に対する検索結果の順位を決める仕組みを解析し、そのWebページを検索結果の上位に表示されるようにする手法です。
その仕組みを使い、攻撃者が不正なＷｅｂページを上位に表示させて、閲覧者を不正ページへと導く手法です。
googleで検索した後って、上からポチポチ何個かのページを見てよさそうなページを選んで閲覧するってのが結構ありますよね。
（それで選ばれるページを書きたい。。。（願望））
ちょっと前まで、ページの下部に大量の卑猥なワードや、違法に近いものの単語が、バックグラウンドカラーで見えないように書いてあるページ結構ありましたよね。現在は、あのような手法は効果がないとされていますが、過去にはそのような手法で上位に表示されることがありました。
そのような、実際のページの内容と関係ない単語を含むページを表示させ検索エンジンに「勘違い」させて上位に表示させる手法を「クローキング」といいます。
ほかにも、ある不正ページへのリンクを持ったページを大量に作成して、検索結果に反映させる手法などや、検索上位に入るリンクネットワークを業者が売っていたりと、様々な手法がありますが、このような手法は現在は「検索エンジンスパム」と呼ばれ、検索エンジンからペナルティの対象とされています。

ということで、正解は「イ」ですね。

クロスサイトスクリプティング（ＸＳＳ）は、javascriptなどを使える掲示板やブログシステムのような作成者だけではなく閲覧者も動的なコンテンツを作成できるようなサービスの脆弱性を狙った攻撃手法です。
サイト自体を攻撃対象にするのではなく、攻撃者によって埋め込まれた不正なスクリプトを閲覧した閲覧者の情報を別サイトに送信するため、クロスサイトという単語が含まれています。
現在では定義が拡張され、サイト横断的ではないスクリプトでもＸＳＳと呼ばれたりします。
大きな特徴としては、ＨＴＭＬタグやjavascriptが用いられることで、攻撃に利用されたサイト自体も攻撃に気づきにくいこともあり、危険な攻撃手法とされています。

• ＸＳＳの主な被害
  • セッションハイジャック（cookieの悪用により通信の乗っ取り）
  • 偽サイトによるフィッシング
  • 偽入力フォームによる不正な情報送信

のぞき見や、電話での秘密情報の要求など、コンピュータやネット以外の部分で不正な情報入手をする手法。
高度な技術や知識を必要としないので、逆に引っ掛かりやすい面もある。
コンピュータは人が作ったもので、使い方に気を付けなければいけないけれども、人間同士のやり取りはある程度油断できる、という思い込みが招く危険ですね。

令和元年度　基本情報技術者試験　午前問題　問４２

1台のファイアウォールによって、外部セグメント、ＤＭＺ、内部セグメントの三つのセグメントに分割されたネットワークがあり、このネットワークにおいて、Ｗｅｂサーバと、重要なデータを持つデータベースサーバからなるシステムを使って、利用者向けのＷｅｂサービスをインターネットに公開する。インターネットからの不正アクセスから重要なデータを保護するためのサーバの設置方法のうち、最も適切なものはどれか。ここで、Ｗｅｂサーバでは、データベースサーバのフロントエンド処理を行い、ファイアウォールでは、外部セグメントとＤＭＺとの間、及びＤＭＺと内部セグメントとの間の直接の通信は許可しないものとする。

解説

カタカナと略語を混ぜ込んだ国語の問題です。
ファイアウォールは、異なるネットワーク間に置かれるアクセス制御のための機器（ソフトウェア）のことですね。
ＤＭＺは、外部ネットワークからのアクセスを許可された、内部ネットワークと外部ネットワークの中間地点。

1台のファイアウォールによって、外部セグメント、ＤＭＺ、内部セグメントの三つのセグメントに分割されたネットワークがあり。。。
この時点では、セグメント間の関係はまだわからないですね。
（内部セグメント）　（ＦＷ）　（ＤＭＺ）　　（外部セグメント）

ふむ。
このネットワークにおいて、Ｗｅｂサーバと、重要なデータを持つデータベースサーバからなるシステムを使って、利用者向けのＷｅｂサービスをインターネットに公開する。。。

外部にはＷｅｂサーバが公開され（外部からのアクセス可能）
重要なデータを持つデータベースサーバがある（重要なことしかわからない）

ふむ。
Ｗｅｂサーバでは、データベースサーバのフロントエンド処理を行い。。。
（Ｗｅｂサーバ）<---(処理)---> (データベースサーバ)

ふむ。
ファイアウォールでは、外部セグメントとＤＭＺとの間、及びＤＭＺと内部セグメントとの間の直接の通信は許可しない。
直接は許可しないってことは、通信禁止ではなくＦＷ経由って事ね。

（外部セグメント）---(ＦＷ)---> （ＤＭＺ）
（ＤＭＺ）---(ＦＷ)---> （内部セグメント）

きっと基本的なネットワーク構成はこんな感じだと思います。
これのどこにＷｅｂサーバとデータベースサーバを設置するかという問題

全部書いてみます（笑）

この構成は、ＷｅｂサーバがＤＭＺとＦＷによって内部セグメントと切り離されているのはいいですが、外部からアクセス可能なＤＭＺにデータベースサーバ（もっとも守るべきサーバ）があるので、外部からＷｅｂサーバを踏み台にデータベースサーバにアクセスできてしまう可能性があります。×ですね。

この構成では、外部からＷｅｂサーバにアクセスできないので、Ｗｅｂサーバを公開することができません。×ですね。

この構成では、ＤＭＺにウェブサーバがありますので、外部公開は問題なくできます。また、データベースサーバが内部セグメントにありますが、ＤＭＡと内部セグメント間の通信はＦＷをとおして、ある程度安全に行うことができるため問題が起こりにくいです。
また、外部からデータベースサーバにアクセスしようとしても、ＦＷが防いでくれるのでその点も安全です。
きっと〇。

そもそも、外部からアクセス可能なＤＭＺにデータベースサーバを置いています。おそらく×。

正解は「ウ」です。

令和元年度　基本情報技術者試験　午前問題　問４３

SIEM(Security Information and Event Management)の機能はどれか。

解説

SIEM(Security Information and Event Management)：しーむ、って読むらしいです。えすあいいーえむじゃないんだ（笑）
意味合いとしては、言葉の通りで、セキュリティの情報とイベントをマネジメントする、って感じです。
環境内の様々な機器やコンピュータの、ログ情報を一元的に管理し、単独のログではわからないような、侵入や、情報漏洩などのセキュリティの状況を割り出す技術です。
人の手では賄いきれない大量のログをシステムに任せて解析するってことですね。

答えは「イ」です。

関連する用語が、わんさかあるので混乱しないようにしてください。

• EDR
  • Endpoint Detection and Response
  • エンドポイントにおける脅威の動きを包括的に可視化し、ハッキング活動の検知・観察や記録、攻撃遮断などの応急措置となる機能を提供する
• EPP
  • Endpoint Protection Platform
  • 悪意をもってPCに侵入しようとするマルウェアを水際で検知し、PCを保護することを目的としている。従来のアンチウィルスソフトなどが該当する。
• IPS
  • Intrusion Prevention System
  • 外部からの不正な侵入を検知し、供えられた防御措置を行うもの
• IDS
  • Intrusion Detection System
  • 外部からの不正な侵入を検知し、管理者の通報などを行うもの
• WAF
  • Web Application Firewall
  • ウェブアプリの脆弱性を狙った攻撃を防ぐシステム
  • 「クロスサイトスクリプティング」や「SQLインジェクション攻撃」、「強制ブラウジング」などの防御を行う
• サンドボックス
  • 不正なソフトウェアの動作を確認するための隔離された箱庭環境
• SDN
  • Software Defined Network
  • ネットワーク上の様々な通信機器を集中的に制御し、ネットワーク構成やセキュリティ設定などを変更する技術の総称のこと

大混乱（笑）

令和元年度　基本情報技術者試験　午前問題　問４４

電子メールをドメインＡの送信者がドメインＢのあて先に送信するとき、送信者をドメインＡのメールサーバで認証するためのものはどれか。

解説

Authenticated Post Office Protocol
（またはAutomatic Processing Options Protocol）
の略で、平文でユーザー名とパスワードを送信するＰＯＰ３を改良したもの

POP3 over SSL/TLSの略、単純にPOPSとも
Post Office Protocol version 3）に、伝送路を暗号化するSSL/TLSを組み合わせたプロトコル

Secure / Multipurpose Internet Mail Extensionsの略
電子メールの内容を暗号化したりデジタル署名を付加したりする手法。

SMTPの拡張仕様の一つで、メールの発送時に、メールサーバが送信依頼をしてきた相手が正規の利用者かどうかを確認する方法を規定したもの。
そもそもユーザー認証の機構がなかったＳＭＴＰにユーザー認証機能を拡張したもの。
認証方法は、SASL（Simple Authentication and Security Layer）を採用していて、暗号化有り無しなどでいくつかのモードがある。

答えは「エ」ですね。

令和元年度　基本情報技術者試験　午前問題　問４５

図は、構造化分析法で用いられるＤＦＤの例である。図中の”〇”があらわしているものはどれか。

解説

DFD(Data Flow Diagram)は、システムで扱うデータの流れを明確化するとともに、データ処理を可視化する手法です。

構造化分析(Structured Analysis)は、トム・デマルコによって考案され、1970 年代後半から普及した要求を階層的
に設計していく分析手法です。構造化分析では、データフロー図（DFD）、データディクショナリ、ミニ仕様書の3点セットを用います。

• データフロー図
  • システム全体の情報の流れを図で表現
  • 個々の情報の処理手順を逐次的なプロセスとして記述
• データディクショナリ
  • DFDで記述したデータフローやプロセスに関し

て、より詳細なデータ項目を定義したもの

• • デマルコの記法
• ミニ仕様書
  • 最下位プロセス1つ1つの逐次的な処理手順

を記述

• • フローチャート、疑似言語など

ここで問題になっているＤＦＤでは、以下のような要素が使われます。

• 外部実体
  • 外部実体とは、モデル化されるシステムの外部に存在するデータの発生源（source）やデータの出力先（sink）などの要素
  • 人間や外部システムを指す場合が多い。
• データストア
  • データストアはデータの永続的な保管場所を表す
  • ファイルやデータベースなど
• プロセス
  • プロセスは実際の処理
  • 外部実体、データストアまたは他のプロセスからデータを入力し、外部実体、データストアまたは他のプロセスへデータを出力する
• データフロー
  • データフローはデータの流れを矢印で表したもの

□：外部実態
〇：プロセス
〓：データストア
→：データフロー

を表す。ので答えは「エ」です。