電気通信主任技術者試験
平成14年度第2回
第1種伝送交換主任技術者
伝送交換設備及び設備管理
問5 次の問いに答えよ。(小計20点)
(1) 次の文章は、セキュリティについて述べたものである。( )内の(ア)〜(オ)に最も適し
たものを、下記のそれぞれの解答群から選び、その番号を記せ。ただし、( )内の同じ記
号は、同じ解答を示す。
(i) 電子メールのセキュリティ技術としては、盗聴を防止するためにメッセージ文を暗号化する技術のほかに、
メッセージの改ざんやなりすましを防止するために(ア) 技術が利用されている。
代表的な暗号メールの方式としては、PGPと(イ)とがある。どちらの方式も、共通鍵暗号方式と(ウ)暗号方式
とを組み合わせたものであるが、(イ)は、(ウ)の正当性を保証するため、(エ)が発行する証明書を利用している。
(2点×4=8点)
<(ア)〜(エ)の解答群>
(1) パスワード(2) ディジタル署名 (3) RSA
(4) PKI (5) ケルベロスサーバ(6) 認証局
(7) 登記所 (8) リポジトリー (9) 秘密鍵
(10) SHA (11) S/MIME (12) DES
(13) 公開鍵 (14) 公証役場 (15) vCard
公式解答
問5 2 11 13 6
PGP
では公開鍵に対する信用の輪 (web of trust) をユーザ自身が形成していく方式に対し PEM 及び S/MIME では、公開鍵の認証する信用のおける第3者機関である認証局
(Certificate Authority) が公開鍵を保証する。
http://www.ipa.go.jp/security/fy10/contents/over-all/02/23.html
(i) 電子メールのセキュリティ技術としては、盗聴を防止するためにメッセージ文を暗号化する技術のほかに、
メッセージの改ざんやなりすましを防止するために(ディジタル署名) 技術が利用されている。
代表的な暗号メールの方式としては、PGPと(S/MIME)とがある。どちらの方式も、共通鍵暗号方式と(公開鍵)暗号方式
とを組み合わせたものであるが、(S/MIME)は、(公開鍵)の正当性を保証するため、(認証局)が発行する証明書を利用している。
(ii) 暗号化の基本アルゴリズムである置換(permutation)と換字(substitution)について述べた
次の文章は、(オ)が正しい。(3点)
<(オ)の解答群>
(1) 置換は他の文字と置き換えるのに対し、換字は文字の位置を置き換える。
(2) 置換は文字の位置を置き換えるのに対し、換字は他の文字と置き換える。
(3) 置換は語や句の単位で他の語句と置き換えるのに対し、換字は1文字ごとに他の文字に置き換える。
(4) 置換は語や句の単位で位置を置き換えるのに対し、換字は1文字ごとに位置を置き換える。
(5) 置換は語や句の単位で他の語句と置き換えるのに対し、換字は1文字ごとに位置を置き換える。
公式解答
問5 2
語や句の単位で置き換えるのは転置、じゃないか? あとはそのまま、置換えは位置を換える、換字は字を換える。
(2) 次の文章は、広義のコンピュータウイルス対策(コンピュータウィルスやワームなどの有害プ
ログラム対策)について述べたものである。( )内の(カ)に適したものを、下記の解答群
から選び、その番号を記せ。(3点)
ネットワーク構築時におけるコンピュータウイルス対策について述べた次のA〜Cの文章は、(カ)。
A Webページの閲覧は、コンピュータウイルス感染の原因となる可能性があるため、クラ
イアントからのWebページの閲覧を制限するフィルタリング機能をメールサーバに設ける。
B コンピュータウイルスに感染したメールの送受信が、コンピュータウイルスを蔓延させる
要因となるため、特定の差出人のメールを拒否したり、電子メールの本文や添付ファイルが、
コンピュータウイルスに感染していないかチェックする機能などをゲートウエイに設ける。
C ネットワーク内のファイルサーバを共同利用する場合、共用ファイルがコンピュータウイ
ルスに感染すると、ネットワーク内でコンピュータウイルスを蔓延させる要因となるため、
ファイルサーバへコンピュータウィルスの感染防止、検知、駆除等の対策用のソフトウェア
を導入する。
<(カ)の解答群>
(1) Aのみ正しい (2) Bのみ正しい (3) Cのみ正しい
(4) A、Bが正しい (5) A、Cが正しい (6) B、Cが正しい
(7) A、B、Cいずれも正しい(8) A、B、Cいずれも正しくない
公式解答
問5 6
A Webページの閲覧制限をメールサーバに設けるわきゃないわな。Webサーバか、ゲートウェイか、な?
B 電子メールのフィルタは、メールサーバじゃなくて、ゲートウェイなんだ。
C 共用ファイルのウィルス対策は、ファイルサーバ。
(3) 次の文章の( )内の(キ)に適したものを、下記の解答群から選び、その番号を記せ。(3点)
文章などの記述物以外に音楽、ゲームなど様々なコンテンツがディジタルデータとして流通
している。ディジタルコンテンツの不正コピー抑止対策として用いられる電子透かしについて
述べた次のA〜Cの文章は、(キ)。
A 暗号化された情報をディジタルコンテンツに埋め込むことによって、コピーを行った場合
は、一般に、原本と異なる情報を出力することにより、不正コピーを防止する方法である。
B ディジタルコンテンツに微細な変更を加えて情報を埋め込むことによって、不正コピーを
抑止するほか、著作権を保護することができる。
C ディジタルコンテンツに対する著作権を主張することや不正コピーされたディジタルコン
テンツから不正者を特定することはできるが、画像などの改ざんを検知することはできない。
<(キ)の解答群>
(1) Aのみ正しい (2) Bのみ正しい (3) Cのみ正しい
(4) A、Bが正しい (5) A、Cが正しい (6) B、Cが正しい
(7) A、B、Cいずれも正しい(8) A、B、Cいずれも正しくない
公式解答
問5 2
電子透かしは本物か偽者かの区別ができる方法。
A 不正コピーを防止することはできない。
B 不正コピーを抑止し、著作権の保護を行う。
C 画像の改ざんを検知できる。不正者を特定はできない。
(4) 次の文章の( )内の(ク)に適したものを、下記の解答群から選び、その番号を記せ。(3点)
ISMS(情報セキュリティマネジメントシステム)の要求事項について述べた次の文章のう
ち、誤っているものは、(ク)である。
<(ク)の解答群>
(1) 情報セキュリティポリシーは、定期的に見直され、必要に応じて変更さ
れること。また、変更された場合にはその変更内容の妥当性が確認されること。
(2) 情報資産を適切に管理するために資産台帳を作成し、重要な情報資産をすべて登録し管理すること。
(3) 取扱いに慎重を要する情報や重大な情報については、可用性を保護するために必ず暗号化すること。
(4) 情報や情報システムを有害な不正ソフトウェアから保護するために、検出及び防止策を講じ、
適宜ユーザの教育・訓練を実施すること。
公式解答
問5 3
ISMS の定義としてJIPDECは、「ISMSとは、個別の問題ごとの技術対策のほかに、組織のマネジメントとして自らのリスク評価により、必要なセキュリティレベルを定め、プランを持ち、資源配分してシステムを運用することである」、また、「組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することがISMSの要求する主なコンセプトである」と設定している。
また、ここでいう機密性・完全性・可用性とは、以下のような内容である。
機密性
アクセス権を持つ者だけが、情報にアクセスできることを確実にすること。
完全性
情報および処理方法が正確であることおよび完全であることを保護すること。
可用性
認可された利用者が、必要なときに、情報および関連する資産にアクセスできることを確実にすること。
http://www.atmarkit.co.jp/aig/02security/isms.html
|
Ver.1.0 |
Ver.2.0 |
主な内容 |
|
セキュリティポリシー |
情報セキュリティ |
情報セキュリティポリシー(基本方針)は、経営陣によって承認され、全関係者に公表されること、ま
た定期的及び必要に応じて、見直されること。 |
|
セキュリティ組織 |
組織のセキュリティ |
経営陣の参加による情報セキュリティ委員会を設置し、適切な責任分担を行うこと。第三者(外部委託先含む)から、情報資産を保護すること。 |
|
資産の分類及び管理 |
資産の分類及び管理 |
情報資産台帳(目録)を作成、管理すること。情報資産を重要性により分類し、適切な取扱手順を定めること。 |
|
人的セキュリティ |
人的セキュリティ |
情報セキュリティを職責に含めるとともに、違反者は正式な懲戒プロセスに従って処置すること。情報セキュリティに関する教育・訓練を行うこと。 |
|
物理的及び環境的セキュリティ |
物理的及び環境的セキュリティ |
情報処理施設を物理的に保護し、適切な入退管理を行うこと。情報処理装置を環境上の脅威から保護すること。クリアデスク、クリアスクリーンを実施すること。 |
|
通信及び運用管理 |
通信及び運用管理 |
操作手順を文書化すること。セキュリティ事故に対する、責任体制及び手順を定めること。不正なソフトウェア(ウィルスを含む)から情報資産を保護すること。ネットワーク・システム・媒体等を適切に管理すること。 |
|
アクセス制御 |
アクセス制御 |
アクセス制御について、方針を文書化すること。利用者のアクセス権を適切に管理すること。利用者は、パスワードを適切に管理すること |
|
システムの開発及びメンテナンス |
システムの開発及び保守 |
情報システムの導入・変更を行う場合には、セキュリティ要求事項を明確にすること。必要に応じて暗号化等のセキュリティ対策を行うこと。 |
|
事業継続管理 |
事業継続管理 |
事業継続に取り組むため管理手続きを整備すること。事業継続計画を作成し、定期的に見直すこと。 |
|
準拠 |
適合性 |
各情報システムについて、全ての関連法規・契約上の要求事項を文書化すること。個人情報を保護すること。手続きが、情報セキュリティポリシー(基本方針)に適合していることを定期的に見直すこと。 |
http://japan.cnet.com/column/security/story/0,2000047997,20054140,00.htm
暗号化しちゃ可用性は維持できないんじゃないかな。とか思った。