【基本情報処理技術者試験】最新問題のテクノロジ系をまったり解く 問41~問45 【令和元年度秋試験】
R01基本情報技術者試験 秋期試験に挑戦
基本情報技術者試験(FE)の問題をまったり解いていきます。
IPAの資格試験は、過去問からの出題率が高く、確実に合格するためにはどの区分の試験を受けるにしても過去問学習は大事です。
また、独学でも受験可能ですが、用語が多く初めは戸惑うと思います。が、過去問を十分に学習することで合格点に届くラインまでは問題を解けるようになるとおもいます。今は、オンラインやWEBでもたくさんの解説ページがありますが、Webの情報はどこまでうのみにしていいのかわからない部分もありますので、一応書籍を1~3冊ほど買っておくと確実だと思います。
以下に、私のおすすめ書籍を挙げておきますので、よかったら参考にしてください。
キタミ式イラストIT塾 基本情報技術者 平成31/01年 (情報処理技術者試験)
最近話題のキタミ式です。解説に漫画や、図表が多く、ビジュアルで訴えてくれるので、繰り返し見ているうちに頭に残りやすいです。
ただ、Amazon等のレビューにもありますが、解説ってよりは用語の羅列とか辞書のような、書き方になっているので、大事なところがわかりづらいという意見も多いです。
平成31/01年 イメージ&クレバー方式でよくわかる 栢木先生の基本情報技術者教室
こちらも有名な、栢木先生シリーズです。イメージはキタミ式と似ていて、図表を多く取り入れており、少し勉強したことがある人なら、頭に書いていることが残りやすいかもしれません。ただ、全くの初学者にとっては、謎の文字と図の羅列に見えてしまうことがありそうです。
現在新版の予約受付中のようです。
平成31年【春期】/01年【秋期】基本情報技術者 合格教本
後は、これを一冊リファレンスとして持っておけば大丈夫かと思います。
これ3冊そろえたら、たいてい合格できるんじゃない?って三兄弟です。
kindle版もありますので、ぜひ通勤途中や、通学途中にお気に入りの音楽でも聴きながら見てみてください!
それでは、今回も問題解いていきまーす。
令和元年度 基本情報技術者試験 午前問題 問41~問45
令和元年度 基本情報技術者試験 午前問題 問41
検索サイトの検索結果の上位に悪意のあるサイトが表示されるように細工する攻撃の名称はどれか。
ア | DNSキャッシュポイズニング |
---|---|
イ | SEOポイズニング |
ウ | クロスサイトスクリプティング |
エ | ソーシャルエンジニアリング |
解説
なんか、既視感がありますね。
問35でもDNSキャッシュポイズニングの問題が出ていましたね。DNSキャッシュポイズニングという単語自体は出てきませんでしたが、分かっている人にとってはアレ?って思うような(笑)
問35解説記事:
R01基本情報技術者試験 秋期試験に挑戦 問32~問35 - 工学じじいの縁側日記
とりあえず、解説によると「ア」は違いますね。
ア | DNSキャッシュポイズニング |
---|
DNSキャッシュを書き換えて不正な接続先へ導く攻撃手法でしたね。
イ | SEOポイズニング |
---|
SEOはSearch Engine Optimization(検索エンジン最適化)の略語で、検索エンジンが検索語に対する検索結果の順位を決める仕組みを解析し、そのWebページを検索結果の上位に表示されるようにする手法です。
その仕組みを使い、攻撃者が不正なWebページを上位に表示させて、閲覧者を不正ページへと導く手法です。
googleで検索した後って、上からポチポチ何個かのページを見てよさそうなページを選んで閲覧するってのが結構ありますよね。
(それで選ばれるページを書きたい。。。(願望))
ちょっと前まで、ページの下部に大量の卑猥なワードや、違法に近いものの単語が、バックグラウンドカラーで見えないように書いてあるページ結構ありましたよね。現在は、あのような手法は効果がないとされていますが、過去にはそのような手法で上位に表示されることがありました。
そのような、実際のページの内容と関係ない単語を含むページを表示させ検索エンジンに「勘違い」させて上位に表示させる手法を「クローキング」といいます。
ほかにも、ある不正ページへのリンクを持ったページを大量に作成して、検索結果に反映させる手法などや、検索上位に入るリンクネットワークを業者が売っていたりと、様々な手法がありますが、このような手法は現在は「検索エンジンスパム」と呼ばれ、検索エンジンからペナルティの対象とされています。
ということで、正解は「イ」ですね。
ウ | クロスサイトスクリプティング |
---|
クロスサイトスクリプティング(XSS)は、javascriptなどを使える掲示板やブログシステムのような作成者だけではなく閲覧者も動的なコンテンツを作成できるようなサービスの脆弱性を狙った攻撃手法です。
サイト自体を攻撃対象にするのではなく、攻撃者によって埋め込まれた不正なスクリプトを閲覧した閲覧者の情報を別サイトに送信するため、クロスサイトという単語が含まれています。
現在では定義が拡張され、サイト横断的ではないスクリプトでもXSSと呼ばれたりします。
大きな特徴としては、HTMLタグやjavascriptが用いられることで、攻撃に利用されたサイト自体も攻撃に気づきにくいこともあり、危険な攻撃手法とされています。
- XSSの主な被害
- セッションハイジャック(cookieの悪用により通信の乗っ取り)
- 偽サイトによるフィッシング
- 偽入力フォームによる不正な情報送信
エ | ソーシャルエンジニアリング |
---|
のぞき見や、電話での秘密情報の要求など、コンピュータやネット以外の部分で不正な情報入手をする手法。
高度な技術や知識を必要としないので、逆に引っ掛かりやすい面もある。
コンピュータは人が作ったもので、使い方に気を付けなければいけないけれども、人間同士のやり取りはある程度油断できる、という思い込みが招く危険ですね。
令和元年度 基本情報技術者試験 午前問題 問42
1台のファイアウォールによって、外部セグメント、DMZ、内部セグメントの三つのセグメントに分割されたネットワークがあり、このネットワークにおいて、Webサーバと、重要なデータを持つデータベースサーバからなるシステムを使って、利用者向けのWebサービスをインターネットに公開する。インターネットからの不正アクセスから重要なデータを保護するためのサーバの設置方法のうち、最も適切なものはどれか。ここで、Webサーバでは、データベースサーバのフロントエンド処理を行い、ファイアウォールでは、外部セグメントとDMZとの間、及びDMZと内部セグメントとの間の直接の通信は許可しないものとする。
ア | WebサーバとデータベースサーバをDMZに設置する。 |
---|---|
イ | Webサーバとデータベースサーバを内部セグメントに設置する。 |
ウ | WebサーバをDMZに、データベースサーバを内部セグメントに設置する。 |
エ | Webサーバを外部セグメントに、データベースサーバをDMZに設置する。 |
解説
カタカナと略語を混ぜ込んだ国語の問題です。
ファイアウォールは、異なるネットワーク間に置かれるアクセス制御のための機器(ソフトウェア)のことですね。
DMZは、外部ネットワークからのアクセスを許可された、内部ネットワークと外部ネットワークの中間地点。
1台のファイアウォールによって、外部セグメント、DMZ、内部セグメントの三つのセグメントに分割されたネットワークがあり。。。
この時点では、セグメント間の関係はまだわからないですね。
(内部セグメント) (FW) (DMZ) (外部セグメント)
ふむ。
このネットワークにおいて、Webサーバと、重要なデータを持つデータベースサーバからなるシステムを使って、利用者向けのWebサービスをインターネットに公開する。。。
外部にはWebサーバが公開され(外部からのアクセス可能)
重要なデータを持つデータベースサーバがある(重要なことしかわからない)
ふむ。
Webサーバでは、データベースサーバのフロントエンド処理を行い。。。
(Webサーバ)<---(処理)---> (データベースサーバ)
ふむ。
ファイアウォールでは、外部セグメントとDMZとの間、及びDMZと内部セグメントとの間の直接の通信は許可しない。
直接は許可しないってことは、通信禁止ではなくFW経由って事ね。
(外部セグメント)---(FW)---> (DMZ)
(DMZ)---(FW)---> (内部セグメント)
きっと基本的なネットワーク構成はこんな感じだと思います。
これのどこにWebサーバとデータベースサーバを設置するかという問題
全部書いてみます(笑)
ア | WebサーバとデータベースサーバをDMZに設置する。 |
---|
この構成は、WebサーバがDMZとFWによって内部セグメントと切り離されているのはいいですが、外部からアクセス可能なDMZにデータベースサーバ(もっとも守るべきサーバ)があるので、外部からWebサーバを踏み台にデータベースサーバにアクセスできてしまう可能性があります。×ですね。
イ | Webサーバとデータベースサーバを内部セグメントに設置する。 |
---|
この構成では、外部からWebサーバにアクセスできないので、Webサーバを公開することができません。×ですね。
ウ | WebサーバをDMZに、データベースサーバを内部セグメントに設置する。 |
---|
この構成では、DMZにウェブサーバがありますので、外部公開は問題なくできます。また、データベースサーバが内部セグメントにありますが、DMAと内部セグメント間の通信はFWをとおして、ある程度安全に行うことができるため問題が起こりにくいです。
また、外部からデータベースサーバにアクセスしようとしても、FWが防いでくれるのでその点も安全です。
きっと〇。
エ | Webサーバを外部セグメントに、データベースサーバをDMZに設置する。 |
---|
そもそも、外部からアクセス可能なDMZにデータベースサーバを置いています。おそらく×。
正解は「ウ」です。
令和元年度 基本情報技術者試験 午前問題 問43
SIEM(Security Information and Event Management)の機能はどれか。
ア | 隔離された仮想環境でファイルを実行して、C&Cサーバへの通信などのふるまいを監視する。 |
---|---|
イ | 様々な危機から集められたログを総合的に分析し、管理者による分析と対応を支援する。 |
ウ | ネットワーク上の様々な通信機器を集中的に制御し、ネットワーク構成やセキュリティ設定などを変更する。 |
エ | パケットのヘッダ情報の検査だけではなく、通信先のアプリケーションプログラムを識別して通信を制御する。 |
解説
SIEM(Security Information and Event Management):しーむ、って読むらしいです。えすあいいーえむじゃないんだ(笑)
意味合いとしては、言葉の通りで、セキュリティの情報とイベントをマネジメントする、って感じです。
環境内の様々な機器やコンピュータの、ログ情報を一元的に管理し、単独のログではわからないような、侵入や、情報漏洩などのセキュリティの状況を割り出す技術です。
人の手では賄いきれない大量のログをシステムに任せて解析するってことですね。
答えは「イ」です。
関連する用語が、わんさかあるので混乱しないようにしてください。
- EDR
- Endpoint Detection and Response
- エンドポイントにおける脅威の動きを包括的に可視化し、ハッキング活動の検知・観察や記録、攻撃遮断などの応急措置となる機能を提供する
- EPP
- Endpoint Protection Platform
- 悪意をもってPCに侵入しようとするマルウェアを水際で検知し、PCを保護することを目的としている。従来のアンチウィルスソフトなどが該当する。
- IPS
- Intrusion Prevention System
- 外部からの不正な侵入を検知し、供えられた防御措置を行うもの
- IDS
- Intrusion Detection System
- 外部からの不正な侵入を検知し、管理者の通報などを行うもの
- WAF
- Web Application Firewall
- ウェブアプリの脆弱性を狙った攻撃を防ぐシステム
- 「クロスサイトスクリプティング」や「SQLインジェクション攻撃」、「強制ブラウジング」などの防御を行う
- サンドボックス
- 不正なソフトウェアの動作を確認するための隔離された箱庭環境
- SDN
- Software Defined Network
- ネットワーク上の様々な通信機器を集中的に制御し、ネットワーク構成やセキュリティ設定などを変更する技術の総称のこと
大混乱(笑)
令和元年度 基本情報技術者試験 午前問題 問44
電子メールをドメインAの送信者がドメインBのあて先に送信するとき、送信者をドメインAのメールサーバで認証するためのものはどれか。
ア | APOP | イ | POP3S | ウ | S/MIME | エ | SMTP-AUTH |
---|
解説
ア | APOP |
---|
Authenticated Post Office Protocol
(またはAutomatic Processing Options Protocol)
の略で、平文でユーザー名とパスワードを送信するPOP3を改良したもの
イ | POP3S |
---|
POP3 over SSL/TLSの略、単純にPOPSとも
Post Office Protocol version 3)に、伝送路を暗号化するSSL/TLSを組み合わせたプロトコル
ウ | S/MIME |
---|
Secure / Multipurpose Internet Mail Extensionsの略
電子メールの内容を暗号化したりデジタル署名を付加したりする手法。
エ | SMTP-AUTH |
---|
SMTPの拡張仕様の一つで、メールの発送時に、メールサーバが送信依頼をしてきた相手が正規の利用者かどうかを確認する方法を規定したもの。
そもそもユーザー認証の機構がなかったSMTPにユーザー認証機能を拡張したもの。
認証方法は、SASL(Simple Authentication and Security Layer)を採用していて、暗号化有り無しなどでいくつかのモードがある。
答えは「エ」ですね。
令和元年度 基本情報技術者試験 午前問題 問45
図は、構造化分析法で用いられるDFDの例である。図中の”〇”があらわしているものはどれか。
ア | アクティビティ | イ | データストア |
---|---|---|---|
ウ | データフロー | エ | プロセス |
解説
DFD(Data Flow Diagram)は、システムで扱うデータの流れを明確化するとともに、データ処理を可視化する手法です。
構造化分析(Structured Analysis)は、トム・デマルコによって考案され、1970 年代後半から普及した要求を階層的
に設計していく分析手法です。構造化分析では、データフロー図(DFD)、データディクショナリ、ミニ仕様書の3点セットを用います。
- データフロー図
- システム全体の情報の流れを図で表現
- 個々の情報の処理手順を逐次的なプロセスとして記述
- データディクショナリ
- DFDで記述したデータフローやプロセスに関し
て、より詳細なデータ項目を定義したもの
-
- デマルコの記法
- ミニ仕様書
- 最下位プロセス1つ1つの逐次的な処理手順
を記述
-
- フローチャート、疑似言語など
ここで問題になっているDFDでは、以下のような要素が使われます。
- 外部実体
- 外部実体とは、モデル化されるシステムの外部に存在するデータの発生源(source)やデータの出力先(sink)などの要素
- 人間や外部システムを指す場合が多い。
- データストア
- データストアはデータの永続的な保管場所を表す
- ファイルやデータベースなど
- プロセス
- プロセスは実際の処理
- 外部実体、データストアまたは他のプロセスからデータを入力し、外部実体、データストアまたは他のプロセスへデータを出力する
- データフロー
- データフローはデータの流れを矢印で表したもの
□:外部実態
〇:プロセス
〓:データストア
→:データフロー
を表す。ので答えは「エ」です。