Archive for 9月, 2012

平成24年春期 情報セキュリティスペシャリスト 午前II 問4

米国 NIST が制定した, AESにおける鍵長の条件はどれか。

ア 128 ビット, 192ビット, 256 ビットから選択する。
イ 256ビット未満で任意に指定する。
ウ 暗号化処理単位のブロック長より 32 ビット長くする。
エ 暗号化処理単位のブロック長より 32 ビット短くする。


こぼる
「AESって、DESに似てるわね。秘密DESって、5年前くらいに近所のにーちゃんが言ってた。」

ジョブりんご
「DESは22時間で破られたから、安全では無くなった。今はDESの代わりに、AESを使う事が推奨されている。」

こぼる
「AESについてペディア先生に…
ブロック長は128ビット固定、鍵長は128 / 192 / 256から選択ね。
ってことは、アしか正しくないわね。」

ジョブりんご
「コンピュータがどんどん早くなって、暗号方式が出たと思ったら破られ、強固で長い暗号になっていく。」

こぼる
「いたちごっこね。(どよーん)」

ジョブりんご
「こぼるに恋人ができる頃には、どんな暗号方式でラブイーメールを暗号化するんだろうな?」

こぼる
「ラブイーメール フロムヴィーナス?」

ジョブりんご
「ポルノかよ!」

No Comments Posted by irimo 9月 25, 2012 in セキュリティスペシャリスト, 試験

平成24年春期 情報セキュリティスペシャリスト 午前II 問3

ディジタル証明書に関する記述のうち, 適切なものはどれか。

ア S/MIMEやTLSで利用するディジタル証明書の規格は, ITU-T X.400で規定されている。
イ ディジタル証明書は, SSL/TLS プロトコルにおいて通信データの暗号化のための鍵交換や通信相手の認証に利用されている。
ウ 認証局が発行するディジタル証明書は, 申請者の秘密鍵に対して認証局がディジタル署名したものである。
エ ルート認証局は, 下位層の認証局の公開鍵にルート認証局の公開鍵でディジタル署名したディジタル証明書を発行する。


ジョブりんご
「こぼる、アの、『ITU-T X.400』って知っているか?」

こぼる
「知らんよ。」

ジョブりんご
「MHS、電子メールのシステム設計、プロトコル設計だ。利用されなかった。」

こぼる
「モンスターハンター…セカンド?サド?」

ジョブりんご
「東京ゲームショウのことは忘れなさい!!!」

こぼる
「ディジタル署名のことじゃないってのだけはわかった。」

ジョブりんご
「イが正解だ。」

こぼる
「SSL/TLSって、https通信とか、ブラウザにカギのマークついてる通信でしょ。
ふつうは全く意識しないけど、認証されたサーバとhttps通信する時に、公開鍵暗号使ってるのよね。」

ジョブりんご
「わりと有名な会社(pi●iv)でhttps使わないでパスワード送らせてたとかで、私は一時期憤慨していた。
ジャパニーズイラストレーションを見たくても見られない時期が続いた。」

こぼる
「日本人代表として?ドモドモ。
認証局にディジタル証明書を作ってもらうのって、お金いらないの?」

ジョブりんご
「もちろん要る。だが、2万からあるから、それをケチって、詳しい人を逃すのはどうか。」

こぼる
「私が作ってるサイトなんかは、ディジタル証明書買うほど人来るわけないし。」

ジョブりんご
「ウに関して、秘密鍵は基本的に、証明書など、信用おけるところだろうと公開しない。自分だけで持っておく。
だから、この問題は、『申請者の公開鍵に対して認証局がディジタル署名』だ。誤っている。」

こぼる
「エは私でもわかる。
ディジタル署名って、ひきこもりさんである秘密鍵で暗号化して、送って、向こうが公開鍵で復号するんでしょ。
違っちゃってる。」

ジョブりんご
「こぼるはひきこもりじゃないのか?」

こぼる
「禁則事項です(キリッ)」

No Comments Posted by irimo 9月 25, 2012 in セキュリティスペシャリスト, 試験

平成24年春期 情報セキュリティスペシャリスト 午前II 問2

作成者によってディジタル署名された電子文書に, タイムスタンプ機関がタイムスタンプを付与した。この電子文書を公開する場合のタイムスタンプの効果のうち, 適切なものはどれか。

ア タイムスタンプを付与した時刻以降に, 作成者が電子文書の内容を他の電子文書へコピーして流用することを防止する。
イ タイムスタンプを付与した時刻以降に, 第三者が電子文書の内容を他の電子文書へコピーして流用することを防止する。
ウ 電子文書がタイムスタンプの時刻以前に存在したことを示すことによって, 作成者が電子文書の作成を否認することを防止する。
エ 電子文書がタイムスタンプの時刻以前に存在したことを示すことによって, 第三者が電子文書を改ざんすることを防止する。


ジョブりんご
「タイムスタンプ機関(TSA)のタイムスタンプは、」

こぼる
「TMA?」

ジョブりんご
「黙れ!!!!!」

こぼる
「ハッ無意識でした」

ジョブりんご
「タイムスタンプをつけた文書が今後改ざんされたとき、改ざんされたかどうかが検出できる。
また、時刻に確かにその文書が存在したことを証明する。」

こぼる
「コピーを防止するコピーコントロールCDや、改ざんを防止する右クリック的なもの?はないのね。」

ジョブりんご
「まあ、右クリックも付け焼刃だがな。情弱がひるむだけだ。」

こぼる
あてはまりそーなのはウかな。カイテナイッスヨ」

ジョブりんご
「長州小力か!」

こぼる
「おっ、めずらしくノリいーじゃん」

No Comments Posted by irimo 9月 25, 2012 in セキュリティスペシャリスト, 試験

平成24年春期 情報セキュリティスペシャリスト 午前II 問1

クリックジャッキング攻撃に該当するものはどれか。

ア Web アプリケーションの脆弱性を悪用し, Web サーバに不正なリクエストを送って Web サーバからのレスポンスを二つに分割させることによって, 利用者のブラウザのキャッシュを偽造する。
イ Web ページのコンテンツ上に透明化した標的サイトのコンテンツを配置し, 利用者が気づかないうちに標的サイト上で不正操作を実行させる。
ウ ブラウザのタブ表示機能を利用し, ブラウザの非活性なタブの中身を, 利用者が気づかないうちに偽ログインページに書き換えて, それを操作させる。
エ 利用者のブラウザの設定を変更することによって, 利用者の Web ページの閲覧履歴やパスワードなどの機密情報を盗み出す。


こぼる
「クジャクのジャングル?」

ジョブりんご
「馬鹿。『クリック』を『ジャック』(ハイジャックなどのジャック)する、つまりクリック操作を乗っ取る攻撃。
まず、【悪意なさそうなサイト】の上に、ユーザが普段使っているサイトを透明に被せる。
普段使っているサイトの画面の、操作をするボタンの位置に、【悪意なさそうなサイト】のボタンを下に置く。
つまり、【悪意なさそうなサイト】のボタンを押したと思っているのに、
普段使っているサイトの画面(透明になってる)の操作を知らずにしてしまう。
知られている被害では、メールの全消去をさせてしまったり、twitterでフォローを知らずにしていたりする。」

こぼる
「ひぇー。。twitterで知らずに下ネタつぶやいてたんだけど、これはクリックジャッキングかな?」

ジョブりんご
「テンションあがってたんじゃないか?中学生の下ネタは大人が興奮するから気をつけたほうがいいな。」

こぼる
「ってーことは、答えはイね。」

ジョブりんご
「他の選択肢の用語も調べなさい。」

こぼる
「えー。(iPhoneいじる)
アは、HTTPレスポンス分割攻撃かな。
プロキシサーバに、有名なURLとひもづけて、自分(ワル)のサーバを登録しておく。
自分(ワル)は有名なURLのレスポンスヘッダに、自分(ワル)の悪いデータを紛れ込ませるように仕掛ける。
そのプロキシサーバ経由でURLにアクセスする人は、
知らずに自分(ワル)からのレスポンスを受けとっちゃって、フィッシング的な。」

ジョブりんご
「日本語でおk…だが、選択肢アが日本語なので、許そう。」

こぼる
「ウは、タブナビング攻撃。たぶんナビング。」

ジョブりんご
「たぶん?」

こぼる
「自分(ワル)のブログを表示させて、ユーザが他のサイトを徘徊してる間に、
自分(ワル)のブログのタブが、Gmailのログイン画面に切り替わる。でも、URLは自分(ワル)のサイトのまま。
でも、画面そっくりだし、ファビコンもGmailのものなので、気付かない。
このときにGmailのアドレスとパスワードを入れると、どっかーん!」

ジョブりんご
「ワイルドだな。」

こぼる
「エは、スパイウェア。
今はスパイウェアもウイルスと同等になってるわね。
コンピュータに悪さはしないけど、情報とか見たページとかを抜くんでしょ。」

ジョブりんご
「知っていたか?」

こぼる
「名前くらいは。。」

ジョブりんご
「Microsoftのスパイをやらないか?」

こぼる
「ウホッ!いい仕事!」

No Comments Posted by irimo 9月 25, 2012 in セキュリティスペシャリスト, 試験

平成24年春期 午前I 共通 問21

“システム管理基準”において, システムテストの監査におけるチェックポイントのうち, 適切なものはどれか。

ア テスト計画は事前に利用者側の責任者だけで承認されていること
イ テストは独立性を考慮して, 利用者側の担当者だけで行われていること
ウ テストは本番環境で実施されていること
エ 例外ケースや異常ケースを想定したテストが行われていること


こぼる
「つまりは、いつも会社でやってるテストを想定してOK?」

ジョブりんご
「テストは開発者、企画者、利用者(初見)など、時間の許す限り、巻き込めば巻き込むほど良い。
我が社はサプライズを狙わなければいけないから、信頼出来ない者にはテストさせないがな。」

こぼる
「アとかイは、「だけ」ってなんだかなー。違うよね。」

ジョブりんご
「監査は本番環境でする必要はない。」

こぼる
「発表前のサービスとかは、アドレス誰も知らないからまだましだけど、
発表したサービスの監査って、開発環境に認証入れてやったりしたなあ。」

ジョブりんご
「エは?」

こぼる
「なんか一番無難な…これが正解って言うのもなんか雲をつかむよう。でも、正解はエなんだよね。
無難なことかいてある選択肢が正解…これがIPAクオリティ…」

No Comments Posted by irimo 9月 21, 2012 in 試験, 高度共通

平成24年春期 午前I 共通 問11

DBMSの媒体障害時の回復法はどれか。

ア 障害発生時, 異常終了したトランザクションをロールバックする。
イ 障害発生時点でコミットしていたが, データベースの実更新がされていないトランザクションをロールフォワードする。
ウ 障害発生時点で, まだコミットもアボートもしていなかった全てのトランザクションをロールバックする。
エ バックアップコピーでデータベースを復元し, バックアップ取得以降にコミットした全てのトランザクションをロールフォワードする。


こぼる
「媒体障害って、ディスクの読み込みができなくなったとかで、ハードがぶっ壊れることだよね。
そのままゴミには出せないから、ハードディスクをハンマーでガーン☆」

ジョブりんご
「野性的すぎるだろ…。
『ハードがぶっ壊れた』ときの回復法は、バックアップディスクを使って以前の状態に戻し、データベースに関しては
バックアップから、それ以降のコミットログを使って、できるだけlatest(直近)の状態にするな。」

こぼる
「完全に障害発生直前1秒前とかにはならないの?」

ジョブりんご
「ログが奇跡的に、障害発生直前1秒前を記録していたらできるが、
トランザクション(計算や書き込み)中のデータベースの情報は無効化されてしまうな。」

こぼる
「それ、銀行の予算とかつじつまあわなくてやばくない?」

ジョブりんご
「だから、障害が起きないように、多重化や、ミラーリングを行う。」

こぼる
「多重化は何台も動いてて、どれかぶっ壊れてもシステムは止まらないようにするものね。
ミラーリングは、2つ以上のハードディスクに全く同じデータを同時に書き込むものね。
ミラーリングを、ハードウェアでやってくれる(工場出荷時、OSを載せる前にもう、あらかじめ機能が備わっている)
から、CPUの負荷がかからないっていうの、最近wikipediaで読んだ!」

ジョブりんご
「選択肢を見ていこうか。」

こぼる
「アは、トランザクションが異常終了ってかいてある。」

ジョブりんご
「ロールバックは基本的に、バグが起きた時、コミットをせずに、トランザクション前の状態に巻き戻すことだ。媒体障害時ではない。」

こぼる
「イはロールフォワードってあるけど?」

ジョブりんご
「ロールフォワードだけでは情報が不足している。」

こぼる
「ウは回復法じゃないよね?一番初めにやること、だけだ。」

ジョブりんご
「エは?」

こぼる
「さっきジョブズが説明してくれたじゃん。エ…で合ってる?」

ジョブりんご
「正解だ。
余談だが、DBのスキーマを考えるのは楽しいよな。」

こぼる
「つっかっもーぜ?」

ジョブりんご
「なぜ知ってる!?」

こぼる
「地方局でやってた。
ジョブズこそ、外国人なのになんで知ってるのよ…」

No Comments Posted by irimo 9月 21, 2012 in 試験, 高度共通
平成24年春期 午前I 共通 問1

平成24年春期 午前I 共通 問1

任意のオペランドに対するブール演算Aの結果とブール演算Bの結果が互いに否定の関係にあるとき、AはBの(又は、BはAの)相補演算であるという。
排他的論理和の相補演算はどれか。
ア 等価演算
()

イ 否定論理和
()

ウ 論理積
()

エ 論理和
()


こぼる
「いきなりイミフなんだけど。。
オペランドって何?手術の遊園地?」

ジョブりんご
「これはなあ。前半の文章は豆知識の披露だ。
まどわされないで、普通に【排他的論理和】を表す図を選べば、アになるな。
ちなみにオペランドは「被演算子」A xor B のときの A や B のことだな。

こぼる
「ふーん。この図と言葉覚えなきゃいけないの?
むずかしー。。」

ジョブりんご
「覚えるには日常会話に入れたらいいかもな。
ロリコン目線の幼女と、リアル妹は排他的だ、とかな。」

こぼる
「ジョブスさん、そういう趣味だったの?」

No Comments Posted by irimo 9月 21, 2012 in 試験, 高度共通

平成24年春期 午前I 共通 問26

戦略を立案するために, SWOT 分析を実施した。市場機会を獲得するために自社の強みを生かすことができる戦略はどれか。

S O
・高い技術力をもつ。
・データセンタを多数所有している。
・クラウドコンピューティングが注目されている。
・市場のグローバル化が進んでいく。
W T
・営業力がない。
・メーカの子会社であり意思決定が遅い。
・海外ベンダが日本市場に参入している。
・市場の成長率が低い。

ア 意思決定の遅さを克服して市場の平均成長率を超える。
イ 営業力のなさを海外ベンダと連携して市場のグローバル化に対応する。
ウ 高い技術力を応用して海外ベンダの日本市場参入に対抗する。
エ データセンタの資源を生かしてクラウドコンピューティングサービスを提供する。


こぼる
「SWOTって、強そうなソルジャーのイメージ。」

ジョブりんご
「それはSWAT!経営環境を分析して、戦略立案に生かす。」

こぼる
「強みを生かして市場機会を獲得する??
アとイは、弱点克服だから、強みではないわね。」

ジョブりんご
「そうだな。強みを生かそうとしているのはウとエだ。
市場機会を得ようとしているのは、エだな。
ウは強みを生かして脅威に備えている。海外ベンダへの対抗だ。」

こぼる
ということはエ?」

ジョブりんご
「私達を会話させながら試験の解説をしている管理人は、
自分のユーモアという強み、資格試験を前向きに捉える強みを生かして、
ネットの中の『資格試験界隈』で市場を得ようとしているらしい。」

こぼる
「私も何かあるかなあ。」

ジョブりんご
「これからおとなになるまでに、いろいろなことをして、考えてみなさい。
5年後までの宿題だ。
私の社員達にとっては、私の厳しい指摘が強みだった。」

こぼる
「とんがってるヤツも極めれば重宝なのね~。」

ジョブりんご
「日本では難しいかもな。」

No Comments Posted by irimo 9月 18, 2012 in 試験, 高度共通

平成24年春期 午前I 共通 問24

業務プロセスを可視化する手法として UML を採用した場合の活用シーンはどれか。

ア データ中心にプロセスを表現するために, データをエンティティとその属性で表し, エンティティ間の関連を図に示す。
イ データの流れによってプロセスを表現するために, データの発生, 吸収の場所, 蓄積場所, データの処理をデータの流れを示す矢印でつないで表現する。
ウ 複数の観点でプロセスを表現するために, 目的に応じたモデル図法を使用し, オブジェクトモデリングのために標準化された記述ルールで表現する。
エ プロセスの機能を網羅的に表現するために, 一つの要因に対し発生する事象を条件分岐の形式で記述する。


こぼる
「どれもUMLの一部の図の説明じゃないの~?」

ジョブりんご
「これは問題の見方だ。『UMLに含まれる図の一つ』の説明ではなく、『UML全体の方針の説明』を選ぶんだ。」

こぼる
「何その国語の問題。。アはクラス図だけ、イはDFD(DFDはUMLじゃない)、ウはUML全体の説明、エはアクティビティ図だけ。
ってことは、ウになるか。」

ジョブりんご
「こぼるのUML図、綺麗だな。」

こぼる
「ちょっとー!惚れちゃった?だてにデザインの本を読んでないわよ。」

No Comments Posted by irimo 9月 18, 2012 in 試験, 高度共通

平成24年春期 午前I 共通 問22

災害や事故の発生後の対応を順に, BCP 発動, 業務再開, 業務回復, 全面復旧の四つのフェーズに分けたとき, 業務再開フェーズで実施するものはどれか。

ア 代替設備や代替手段から本番環境への切替手順を慎重に確認した上で, 平常運用への移行を実施するとともに, BCPの見直しなど総括を実施する。
イ 発生事象の確認, 対策本部の速やかな立上げ, 確実な情報収集, BCP 基本方針の決定を実施する。
ウ 最も緊急度が高い業務や機能が再開された後に, 代替設備や代替手段の運営を継続しながら, さらに業務範囲の拡大を実施する。
エ 最も緊急度の高い業務を対象に, 代替設備や代替手段に切り替え, 復旧作業の推進, 要因などの経営資源のシフトを実施する。


こぼる
「BCPってなに?」

ジョブりんご
「事業継続計画といって、災害や事故など予期せぬ出来事があったとしたら、
最低限の資源で事業継続 か、一刻も早く事業再開するために、あらかじめ考えておく行動計画だ。」

こぼる
「なる。この4つは。問題文中の4つのフェーズに対応してるのかな。
イ→エ→ウ→ア ってなるのかな。それぞれ、問題文中の4つのフェーズに対応してるっぽいね。
だと、流れの二番目のエになるのかな。」

ジョブりんご
「私も天国に転勤になった時、Appleの5ヵ年計画を残してきた。個人的なBCPだ。」

こぼる
「Appleって立ち直れんの?iPhone4Sも、iPhone5も目新しいものないじゃん。」

ジョブりんご
「次世代の私を、育てるべきだった…」

No Comments Posted by irimo 9月 18, 2012 in 試験, 高度共通