平成24年春期 午前I 共通 問12

CSMA/CD方式のLANで使用されるスイッチングハブ (レイヤ2スイッチ) は, フレームの蓄積機能, 速度変換機能や交換機能をもっている。
このようなスイッチングハブと同等の機能をもち, 同じプロトコル階層で動作する装置はどれか。

ア ゲートウェイ
イ ブリッジ
ウ リピータ
エ ルータ


こぼる
「CSMA/CDって何??」

ジョブりんご
「LANの方式、と問題文にはあるな。

このようなものである。
OSI7層は知っているか?」

こぼる
「してるよ。ア、プレゼントねデブ!」

でもこの図、なんのためにあるの?」

ジョブりんご
「インターネットの設計段階で、役割を決めた。
一つのソフトでOSI基本参照モデルを無視して作ると、他のソフトと互換性がなくなってしまう。」

こぼる
「プロトコル、ってやつなのかな。
私もイケメンの彼氏とプロトコル統一させたい~!」

ジョブりんご
「はっ?
話を戻して、それぞれの層で扱う装置の名前は?」

こぼる
「げるぶり!」

ジョブりんご
「名答。

レイヤ2とは?」

こぼる
「ア、プレゼントネデブ…デでデータリンク層。何やってるか知らないけど。」

ジョブりんご
「この際だから覚えなさい。

アプリケーション層 使えるサービスを提供する。FTP,HTTP
プレゼンテーション層 データの変換。文字コード変換など。
セッション層 プログラム間の接続の開始から終了まで。接続が切れた時フォローしたり。
トランスポート層 ネットワーク間の接続の開始から終了まで。
ネットワーク層 ネットワークの選択、ルーティング。
データリンク層 直接結ばれている機器間の信号の受け渡し。
物理層 ケーブル(無線でも、「ケーブル」という概念の何かがある)

覚えたか?」

こぼる
「覚えられるワケナイデショ!!」

ジョブりんご
「できないな。」

こぼる
「(ムカッ)
レイヤ2と対応する装置は、ゲルブリでブだからブリッジね、イね。!

ジョブりんご
「合ってる。ところでゲルブリのイメージはどんなだ?」

平成24年春期 午前I 共通 問29

X 社では, (1)~(4) に示す算定方式で在庫補充量を決定している。
第 n 週の週末時点での在庫量を B[n], 第 n 週の販売量を C[n]としたとき,
第 n 週の週末に発注する在庫補充了の算出式はどれか。
ここで, n は3以上とする。

[在庫補充量の算定方式]
(1) 週末ごとに在庫補充量を算出し, 発注を行う。在庫は翌週の月曜日に補充される。
(2) 在庫補充量は, 翌週の販売予測量から現在の在庫量を引き, 安全在庫量を加えて算出する。
(3) 翌週の販売予測量は, 先週の販売量と今週の販売量の平均値とする。
(4) 安全在庫量は, 翌週の販売予測量の 10%とする。

ア (C[n-1]+C[n])/2×1.1-B[n]
イ (C[n-1]+C[n])/2×1.1-B[n-1]
ウ (C[n-1]+C[n])/2+C[n]×0.1-B[n]
エ (C[n-2]+C[n-1])/2+C[n]×0.1-B[n]


こぼる
「コンビニのバイトしてた時は、在庫管理とか店長のフィーリングだったけど。」

ジョブりんご
「しかし、過去の発注量などがPOSに出ただろう?」

こぼる
「そうね。ソーセージ100袋発注したネタ画像とか見たことあるー」

ジョブりんご
「問題に戻ろう。
・翌週予測 - 現在の在庫 + 安全在庫
・翌週予測は、先週と今週の平均 → (C[n-1] + C[n]) / 2
・現在の在庫 → B[n]
・安全在庫 → 翌週予測 * 0.1
まとめると、
(C[n-1] + C[n]) / 2 – B[n] + (C[n-1] + C[n]) / 2 * 0.1
=(C[n-1] + C[n]) / 2 * 1.1 – B[n]
これは何番になる?」

こぼる
ア…
だけど、なんかジョブズが言ってるけどあたしのためにならないんじゃな??」

ジョブりんご
「私もPOSを触りたい。マネジメントしていると下っ端の管理をする仕事はできない。」

こぼる
「へー。小さい憧れ持ってるのね。」

平成24年春期 午前I 共通 問6

あるクライアントサーバシステムにおいて、クライアントから要求された1件の検索を処理するために、
サーバで平均100万命令が実行される。
1件の検索につき、ネットワーク内で転送されるデータは、平均2×105バイトである。
このサーバの性能は100MIPSであり、
ネットワークの転送速度は、8×107ビット/秒である。
このシステムにおいて, 1秒間に処理できる検索要求は何件か。

ここで、処理できる件数は, サーバとネットワークの処理能力だけで決まるものとする。
また, 1バイトは8ビットとする。

ア 50
イ 100
ウ 200
エ 400


ジョブりんご
「検索【要求】となっているから、サーバの性能はこの問題の計算に関係ないな。」

こぼる
「えっ。問題に書いてあること全部使うんじゃないの。」

ジョブりんご
「騙し問題だ。こういう問題では、「約何件か」となっていない時は、中途半端な数値が答えにならない。」

こぼる
「ネットワーク関連の記述だけ見て、
(2 * 105 * 8[bit]) / 8 * 107
一件1/50秒だから、1秒間には50件の検索要求!アね。」

ジョブりんご
「正解だ。性能を計算する時は、計算上の数値を最大として、それを越えないように調節する事もあるんだぞ。」

こぼる
「性能落とすの!?ばかじゃないの…」

ジョブりんご
「契約書に【~kbps以下】とあるからな。安定した性能の方が重要だ。」

平成24年春期 午前I 共通 問3

関数gcd(m,n)が次のように定義されている。
m=135, n=35のとき、gcd(m,n)は何回呼ばれるか。
ここで、最初のgcd(135,35)の呼び出しも、1回に数えるものとする。
また、m, n(m>n≧0)は整数とし、m mod nはmをnで割った余りを返すものとする。

[関数の定義]
(要図)

ア 2
イ 3
ウ 4
エ 5


ジョブりんご
「机上デバッグをするんだ。」

こぼる
「ギークが言語の性能評価に使う、回帰か!」

ジョブりんご
「Objective-C 大好き!」

こぼる
「えっと、
gcd(135,35) : 1回目
gcd(35,mod(135,35) : 2回目
ん?modってなに??」

ジョブりんご
「余り算だ。剰余算とも言う。」

こぼる
「じゃあ、mod(135,35)のこたえって…
135÷35=3あまり30 で、30なのかな。」

ジョブりんご
「それで合っている。」

こぼる
「んと、じゃあ続きね。
gcd(30,mod(35,30)) = gcd(35,5) : 3回目
gcd(5,mod(30,5) = gcd(5,0) : 4回目
4回呼び出したから、答えはウ!」

ジョブりんご
「難しかったか?」

こぼる
「えへへ。実はMODって、Excelで使ったことあるから知ってたわ~2年前から知ってたわ。」

ジョブりんご
「競合他社の花形ツールを使うなんて!!」

平成24年春期 情報セキュリティスペシャリスト 午前II 問6

JIS Q 27001:2006 における情報システムのリスクとその評価に関する記述のうち, 適切なものはどれか。

ア 脅威とは, 脆弱性が顕在化する源のことであり, 情報システムに組み込まれた技術的管理策によって脅威のレベルと発生の可能性が決まる。
イ 脆弱性とは, 情報システムに対して悪い影響を与える要因のことであり, 自然災害, システム障害, 人為的過失及び不正行為に大別される。
ウ リスクの特定では, 脅威が管理策の脆弱性に付け込むことによって情報資産に与える影響を特定する。
エ リスク評価では, リスク回避とリスク低減の二つに評価を分類し, リスクの大きさを判断して対策を決める。


こぼる
「JIS。。日本だけでしか通用しないのか。しょぼいわ~」

ジョブりんご
「世界の規格にすると、『会社がJISに適応している。認定しよう。』という手続きがきめ細やかにできないだろう?」

こぼる
「じゃあJISってしょぼくないの?」

ジョブりんご
「大切な基準だ。JIS Q 27001 とは、情報セキュリティのシステム(ISMS)がちゃんとしているかの判断材料だ。:2006 は、2006年度版のことだ。」

こぼる
「んじゃ、情報セキュリティの基本的なことが書かれているの?」

ジョブりんご
「基本的なことと言うが、会社の内部の政治的なことも含めて、遵守している会社は立派だ。」

こぼる
「ふ~ん。大人になったら考えよう。
アの脅威って、攻撃する奴のことでしょ?なんか内容がちぐはぐ。」

ジョブりんご
「そうだ。」

こぼる
「イの脆弱性って、ソフトウェアの弱点、攻撃する奴のつけいる隙のことだよね。
説明部分は、『脅威』のこと言ってるよねえ?」

ジョブりんご
「冴えてるな。」

こぼる
「それはもう…脆弱性つぶすのにどんだけ苦労してるか。。
ウは正解だね。
エは…リスク評価って、4種類だったきがす?」

ジョブりんご
「そうだな。リスク回避、リスク低減、リスク移転、リスク保有だ。」

こぼる
「ウとか、このブログのリスク特定といえばなんかある?」

ジョブりんご
「グーグル八分をくらえば、管理人の試験対策のモチベーションが下がり、試験を受けず、会社で評価されず、所得が増えず」

こぼる
「グーグルって、いろんな人の生命線なのね~。入りたいわ~」

ジョブりんご
「アップルで分散検索エンジン作ってくれよ。」

平成24年春期 情報セキュリティスペシャリスト 午前II 問5

コンティンジェンシープランにおける留意点はどれか。

ア 企業の全てのシステムを対象とするのではなく, システムの復旧の重要性と緊急性を勘案して対象を決定する。
イ 災害などへの対応のために, すぐに使用できるよう, バックアップデータをコンピュータ室内又はセンタ内に保存しておく。
ウ バックアップの対象は, 機密情報の中から機密度を勘案して選択する。
エ 被害のシナリオを作成し, これに基づく “予防策策定手順” を策定する。


ジョブりんご
「コンティンジェンシープランとは何か知っているか?」

こぼる
「オシャンティプラン?」

ジョブりんご
「…オシャンティプランだったらどういう意味になる?」

こぼる
「流行の服を買うためにおこづかいを貯めるとか。」

ジョブりんご
「コンティンジェンシーとは、予測できないという意味だ。
コンティンジェンシープランは、不測の事態に備える案だ。」

こぼる
「エは、被害のシナリオを作成してて、予測してるけど。。」

ジョブりんご
「だから、エは選外になる。
アが正解だ。システムの重要性を考慮して、不測の事態に備えている。
なにせ予測できないからな。壊れてもまだいいシステムと、万が一があったら
会社の生命に関わるシステムを選ぶ。」

こぼる
「イの、動いてるサーバと、バックアップのサーバーが同じ所にあったら、
地震とか起きたら両方おじゃんにならない?」

ジョブりんご
「冴えているな。イは間違いだ。
ウの、バックアップの対象のファイルを分けるのはどう思う?」

こぼる
「アが正解って言ってるから、ウは間違いなんだろうけど。。
これも大事な事に思えるのよね~。」

ジョブりんご
「システムの重要度勘定はするが、一つのシステムに関して重要度をはかるのは、また別の問題だ。
バックアップの容量が絡むからな。」

こぼる
「君津事項、うなぎは重要だね。うんうん。」

ジョブりんご
「うなぎのスカーフは君津でしか買えないから、重要だな。
うなぎのスカーフを売っている会社ならば、オフセットプリンタは重要だ。」

こぼる
「うなぎのスカーフなんて売ってるの?趣味悪~」

ジョブりんご
「フィクションだ。」

平成24年春期 情報セキュリティスペシャリスト 午前II 問4

米国 NIST が制定した, AESにおける鍵長の条件はどれか。

ア 128 ビット, 192ビット, 256 ビットから選択する。
イ 256ビット未満で任意に指定する。
ウ 暗号化処理単位のブロック長より 32 ビット長くする。
エ 暗号化処理単位のブロック長より 32 ビット短くする。


こぼる
「AESって、DESに似てるわね。秘密DESって、5年前くらいに近所のにーちゃんが言ってた。」

ジョブりんご
「DESは22時間で破られたから、安全では無くなった。今はDESの代わりに、AESを使う事が推奨されている。」

こぼる
「AESについてペディア先生に…
ブロック長は128ビット固定、鍵長は128 / 192 / 256から選択ね。
ってことは、アしか正しくないわね。」

ジョブりんご
「コンピュータがどんどん早くなって、暗号方式が出たと思ったら破られ、強固で長い暗号になっていく。」

こぼる
「いたちごっこね。(どよーん)」

ジョブりんご
「こぼるに恋人ができる頃には、どんな暗号方式でラブイーメールを暗号化するんだろうな?」

こぼる
「ラブイーメール フロムヴィーナス?」

ジョブりんご
「ポルノかよ!」

平成24年春期 情報セキュリティスペシャリスト 午前II 問3

ディジタル証明書に関する記述のうち, 適切なものはどれか。

ア S/MIMEやTLSで利用するディジタル証明書の規格は, ITU-T X.400で規定されている。
イ ディジタル証明書は, SSL/TLS プロトコルにおいて通信データの暗号化のための鍵交換や通信相手の認証に利用されている。
ウ 認証局が発行するディジタル証明書は, 申請者の秘密鍵に対して認証局がディジタル署名したものである。
エ ルート認証局は, 下位層の認証局の公開鍵にルート認証局の公開鍵でディジタル署名したディジタル証明書を発行する。


ジョブりんご
「こぼる、アの、『ITU-T X.400』って知っているか?」

こぼる
「知らんよ。」

ジョブりんご
「MHS、電子メールのシステム設計、プロトコル設計だ。利用されなかった。」

こぼる
「モンスターハンター…セカンド?サド?」

ジョブりんご
「東京ゲームショウのことは忘れなさい!!!」

こぼる
「ディジタル署名のことじゃないってのだけはわかった。」

ジョブりんご
「イが正解だ。」

こぼる
「SSL/TLSって、https通信とか、ブラウザにカギのマークついてる通信でしょ。
ふつうは全く意識しないけど、認証されたサーバとhttps通信する時に、公開鍵暗号使ってるのよね。」

ジョブりんご
「わりと有名な会社(pi●iv)でhttps使わないでパスワード送らせてたとかで、私は一時期憤慨していた。
ジャパニーズイラストレーションを見たくても見られない時期が続いた。」

こぼる
「日本人代表として?ドモドモ。
認証局にディジタル証明書を作ってもらうのって、お金いらないの?」

ジョブりんご
「もちろん要る。だが、2万からあるから、それをケチって、詳しい人を逃すのはどうか。」

こぼる
「私が作ってるサイトなんかは、ディジタル証明書買うほど人来るわけないし。」

ジョブりんご
「ウに関して、秘密鍵は基本的に、証明書など、信用おけるところだろうと公開しない。自分だけで持っておく。
だから、この問題は、『申請者の公開鍵に対して認証局がディジタル署名』だ。誤っている。」

こぼる
「エは私でもわかる。
ディジタル署名って、ひきこもりさんである秘密鍵で暗号化して、送って、向こうが公開鍵で復号するんでしょ。
違っちゃってる。」

ジョブりんご
「こぼるはひきこもりじゃないのか?」

こぼる
「禁則事項です(キリッ)」

平成24年春期 情報セキュリティスペシャリスト 午前II 問2

作成者によってディジタル署名された電子文書に, タイムスタンプ機関がタイムスタンプを付与した。この電子文書を公開する場合のタイムスタンプの効果のうち, 適切なものはどれか。

ア タイムスタンプを付与した時刻以降に, 作成者が電子文書の内容を他の電子文書へコピーして流用することを防止する。
イ タイムスタンプを付与した時刻以降に, 第三者が電子文書の内容を他の電子文書へコピーして流用することを防止する。
ウ 電子文書がタイムスタンプの時刻以前に存在したことを示すことによって, 作成者が電子文書の作成を否認することを防止する。
エ 電子文書がタイムスタンプの時刻以前に存在したことを示すことによって, 第三者が電子文書を改ざんすることを防止する。


ジョブりんご
「タイムスタンプ機関(TSA)のタイムスタンプは、」

こぼる
「TMA?」

ジョブりんご
「黙れ!!!!!」

こぼる
「ハッ無意識でした」

ジョブりんご
「タイムスタンプをつけた文書が今後改ざんされたとき、改ざんされたかどうかが検出できる。
また、時刻に確かにその文書が存在したことを証明する。」

こぼる
「コピーを防止するコピーコントロールCDや、改ざんを防止する右クリック的なもの?はないのね。」

ジョブりんご
「まあ、右クリックも付け焼刃だがな。情弱がひるむだけだ。」

こぼる
あてはまりそーなのはウかな。カイテナイッスヨ」

ジョブりんご
「長州小力か!」

こぼる
「おっ、めずらしくノリいーじゃん」

平成24年春期 情報セキュリティスペシャリスト 午前II 問1

クリックジャッキング攻撃に該当するものはどれか。

ア Web アプリケーションの脆弱性を悪用し, Web サーバに不正なリクエストを送って Web サーバからのレスポンスを二つに分割させることによって, 利用者のブラウザのキャッシュを偽造する。
イ Web ページのコンテンツ上に透明化した標的サイトのコンテンツを配置し, 利用者が気づかないうちに標的サイト上で不正操作を実行させる。
ウ ブラウザのタブ表示機能を利用し, ブラウザの非活性なタブの中身を, 利用者が気づかないうちに偽ログインページに書き換えて, それを操作させる。
エ 利用者のブラウザの設定を変更することによって, 利用者の Web ページの閲覧履歴やパスワードなどの機密情報を盗み出す。


こぼる
「クジャクのジャングル?」

ジョブりんご
「馬鹿。『クリック』を『ジャック』(ハイジャックなどのジャック)する、つまりクリック操作を乗っ取る攻撃。
まず、【悪意なさそうなサイト】の上に、ユーザが普段使っているサイトを透明に被せる。
普段使っているサイトの画面の、操作をするボタンの位置に、【悪意なさそうなサイト】のボタンを下に置く。
つまり、【悪意なさそうなサイト】のボタンを押したと思っているのに、
普段使っているサイトの画面(透明になってる)の操作を知らずにしてしまう。
知られている被害では、メールの全消去をさせてしまったり、twitterでフォローを知らずにしていたりする。」

こぼる
「ひぇー。。twitterで知らずに下ネタつぶやいてたんだけど、これはクリックジャッキングかな?」

ジョブりんご
「テンションあがってたんじゃないか?中学生の下ネタは大人が興奮するから気をつけたほうがいいな。」

こぼる
「ってーことは、答えはイね。」

ジョブりんご
「他の選択肢の用語も調べなさい。」

こぼる
「えー。(iPhoneいじる)
アは、HTTPレスポンス分割攻撃かな。
プロキシサーバに、有名なURLとひもづけて、自分(ワル)のサーバを登録しておく。
自分(ワル)は有名なURLのレスポンスヘッダに、自分(ワル)の悪いデータを紛れ込ませるように仕掛ける。
そのプロキシサーバ経由でURLにアクセスする人は、
知らずに自分(ワル)からのレスポンスを受けとっちゃって、フィッシング的な。」

ジョブりんご
「日本語でおk…だが、選択肢アが日本語なので、許そう。」

こぼる
「ウは、タブナビング攻撃。たぶんナビング。」

ジョブりんご
「たぶん?」

こぼる
「自分(ワル)のブログを表示させて、ユーザが他のサイトを徘徊してる間に、
自分(ワル)のブログのタブが、Gmailのログイン画面に切り替わる。でも、URLは自分(ワル)のサイトのまま。
でも、画面そっくりだし、ファビコンもGmailのものなので、気付かない。
このときにGmailのアドレスとパスワードを入れると、どっかーん!」

ジョブりんご
「ワイルドだな。」

こぼる
「エは、スパイウェア。
今はスパイウェアもウイルスと同等になってるわね。
コンピュータに悪さはしないけど、情報とか見たページとかを抜くんでしょ。」

ジョブりんご
「知っていたか?」

こぼる
「名前くらいは。。」

ジョブりんご
「Microsoftのスパイをやらないか?」

こぼる
「ウホッ!いい仕事!」