 
		ドメイン3の試験です。
70%以上で合格になります。
#1. ケルクホフスの原理によれば、漏洩していけないものはどれか。
ケルクホフスの原理とは、暗号は秘密鍵以外の全てが知られても安全であるべきという考え方です。データを暗号化するときには、秘密鍵とその秘密鍵を使ってどのように暗号化するかを決めます。アウグスト・ケルクホフスさんは、どのように暗号化されているかを知られたとしても、秘密鍵さえばれなければ解読されないようにしろと言うのです。暗号化は、人類の戦いの歴史とともにあります。敵にばれずに作戦を味方に伝えることが大きな目的です。戦いの中では、スパイによってその設計書や暗号化装置を盗まれたりすることもあるでしょう。そのため、仕組みがどれだけ分かったとしても、鍵がなければ解かれないような暗号をしなければならないのです。よって正解は、「秘密鍵」になります。
#2. 量子コンピュータの開発によって暗号化技術が解読されるニュースを見た。コンピュータの計算能力の向上に伴って、既存の暗号が解読される現象を何というか。
危殆化とは、安全な暗号化だったものがコンピュータの進化によって安全でなくなることを言います。暗号は鍵という一つの答えを通信を行うもの同士で共有していることで成り立ちます。鍵はコンピュータの計算によって生成され、鍵を第3者が導き出すには数年かかるような難問を解かなければなりません。しかしながら、コンピュータの計算能力が進化し、前までは解けなかった難問も解けるようになりました。こうなると暗号化の意味がありません。これが進化による危殆化です。よって正解は、「危殆化」になります。
#3. ハッシュの衝突現象によって生じる問題はどれか。
衝突とは、あるハッシュ関数から異なる2つのデータのハッシュ値が同じになること。ハッシュ化は一方向暗号であり、元の平文がいずれかであることがわからなくなります。
#4. サブジェクトとオブジェクト間のアクセス権を安全に開発する方法を定義するセキュリティアーキテクチャモデルはどれですか?
〇:Graham-Denningモデル
Graham-Denningモデルは、サブジェクトとオブジェクト間のアクセス権がどのように定義され、開発され、統合されるかを扱っています。これは、特定のサブジェクトがオブジェクトに対して実行できるコマンドの観点から基本的な権利のセットを定義します。このモデルには、これらのタイプの機能を安全に行う方法に関する8つの基本保護権またはルールがあります。
×:Brewer-Nashモデル
ユーザーの以前の操作に応じて動的に変更できるアクセスコントロールを提供することを目的としているため、間違っています。主な目的は、ユーザーのアクセス試行による利益相反から保護することです。たとえば、大規模なマーケティング会社が2つの銀行のマーケティングプロモーションや資料を提供している場合、銀行Aのプロジェクトを担当する従業員は、マーケティング会社が他の銀行顧客である銀行Bの情報を見ることができないはずです。銀行が競争相手であるために利益相反が生じる可能性があります。マーケティング会社のプロジェクトAのプロジェクトマネージャーが、銀行Bの新しいマーケティングキャンペーンに関する情報を見ることができれば、より直接的な顧客を喜ばせるためにプロモーションよりも実行を試みる可能性があります。マーケティング会社は社内の従業員が無責任な行動をとることができてしまうと、評判が悪くなります。
×:Clark-Wilsonモデル
データの整合性を保護し、アプリケーション内で適切にフォーマットされたトランザクションが確実に行われるように、Clark-Wilsonモデルが実装されているため、間違っています。サブジェクトは、許可されたプログラムを通じてのみオブジェクトにアクセスできます。職務の分離が強制される。監査が必要です。 Clark-Wilsonモデルは、権限のないユーザーによる変更の防止、権限のないユーザーによる不適切な変更の防止、内部および外部の一貫性の維持という3つの完全性目標に対応しています。
×:Bell-LaPadulaモデル
米軍のシステムのセキュリティと分類された情報の漏洩に対する懸念に対応するために開発されたモデルであり、間違っています。モデルの主な目的は、機密情報が不正にアクセスされるのを防ぐことです。これは、アクセス制御の機密性の側面を強制するステートマシンモデルです。マトリックスとセキュリティレベルは、サブジェクトが異なるオブジェクトにアクセスできるかどうかを判断するために使用されます。主題のオブジェクトの分類と比較して、オブジェクト間のやりとりの仕方を制御するための特定の規則が適用されます。
#5. AESのアルゴリズムは、何のために使用されていますか?
〇:データの暗号化
AES(Advanced Encryption Standard)は、以前のデファクトスタンダードであるデータ暗号化規格(DES)を改善するために開発されたデータ暗号化規格です。対称アルゴリズムとしては、AESはデータを暗号化するために使用されます。よって正解は、「データの暗号化」になります。
ほかの選択肢でもAESを利用するシーンはありますが、データの暗号化が最も焦点のあっている、もしくはマシな回答です。このように、すべて正しいと思われる中から選択するケースもあります。
×:データの整合性
デジタル署名の特性です。
×:キーリカバリ
復号やキーエスクローの特性です。
×:対称鍵の配布
AESの配布のために対称鍵を用いることは鍵配送問題に低触します。
#6. 暗号鍵を他の組織に預託することの利点は何か。
鍵供託方式(キーエスクローシステム) とは、第三者機関が公開鍵と秘密鍵のペアのコピーを保持することです。秘密鍵は盗まれるとすべての暗号を復号できてしまいます。逆にいえば、無くすとすべて復号できなくなります。そのため、控えを用意しておきたいのです。ですが自分が持っていると、侵入されたら盗まれてしまうかもしれないため、第三者機関に預けるのです。よって正解は、「鍵の冗長性」になります。
#7. 次のうちPKI環境で発生する事象はどれでしょうか?
〇:CAは証明書に署名します。
認証局(CA)は、デジタル証明書を維持し、信頼できる機関(またはサーバ)です。証明書を要求すると、登録局(RA)は、その個人の身元を確認し、CAに証明書要求を渡します CAは、証明書を作成し、署名し、その有効期限にわたって証明書を保持しています。
×:RAは証明書を作成し、CAはそれに署名します。
RAは、証明書を作成していないため正しくありません。CAは、それを作成し、それに署名します。RAは、認証登録業務を行います。RAを確立し、証明書を要求する個人のアイデンティティを確認し、エンドユーザーに代わってCAに認証プロセスを開始し、証明書のライフサイクル管理機能を実行することができます。RAは、証明書を発行することはできませんが、ユーザーとCAの間のブローカーとして機能することができます ユーザーが新しい証明書を必要とするとき、彼らはRAに要求を行いRAはCAに行くため、要求を許可する前にすべての必要な識別情報を検証します。
×:RAは証明書に署名します。
RAは、証明書に署名していないため正しくありません。CAは、証明書に署名します。RAは、利用者の識別情報を検証してから、CAに証明書の要求を送信します。
×:ユーザーは証明書に署名します。
ユーザーが証明書に署名していないため、正しくありません。PKI環境では、ユーザーの証明書が作成され、CAによって署名されます。 CAはその公開鍵を保持するユーザー証明書を生成する信頼できる第三者機関です。
#8. 暗号化を2回しているのにさほど暗号強度がないと言えるのは、次のうちどの攻撃に依存するものか。
〇:中間一致攻撃
中間一致攻撃とは、暗号と復号を同時にすることにより鍵を取得する攻撃です。DESのように古い暗号化方式であっても、暗号化を2回繰り返せば安全であろうと一瞬思います。しかしながら、2回暗号化してもさほど強度が上がりません。暗号化を2回繰り返すと、平文、暗号文1回目、暗号文2回目の3つができます。めぼしい鍵をひとつずつあてはめていきもしもそれが正しい鍵であるとき、暗号と復号を同時に行っていけばどこかで一致します。わざわざ2回も暗号化しているのに、暗号文から平文を見つけるのとあまり変わりません。共通鍵暗号化方式の一つであるDESは脆弱性が発見された後、数段階DESを行う方法が考えられました。2DESではこの中間一致攻撃の対象になるため、3回を繰り返す3DESという方法が考案されました。よって正解は、「中間一致攻撃」になります。
×:CRIME攻撃
CRIME攻撃とは、暗号文の圧縮率から元のデータを解読する攻撃です。
×:BEAST攻撃
BEAST攻撃とは、Web通信での暗号化の脆弱性を利用して、盗聴する攻撃です。
×:サイドチャネル攻撃
サイドチャネル攻撃とは、物理的な情報からシステムデータを盗聴する攻撃です。
#9. 上司のドキュメントを書き換えることにより、上司に誤った情報を流すことがないことを保証するためのアクセス制御の公理はどれでしょうか。
〇:スター完全性公理
Bibaモデルでは、完全性のあるモデルとは2つの公理を持つものと定義しています。シンプル完全性公理とは、部下のドキュメントが見ること、Read Downがないことです。スター完全性公理とは、上司のドキュメントを書き換えること、Write Upがないことです。シンプル完全性公理が守られないと、部下のドキュメントが見られ、下位にある機密レベルのない誤った情報を吸収しかねないのです。スター完全性公理が守られないと、上司のドキュメントを書き換えてしまい、それを見た上司に誤った情報を流すことになります。そのため、2つとも完全性を保つ条件になります。よって正解は、「スター完全性公理」になります。
×:シンプル完全性公理
シンプル完全性公理とは、Read Downに対する制約です。
×:強トランキリ公理
強トランキリティ属性とは、システム稼働中は権限変更しないことです。
×:弱トランキリ公理
弱トランキリティ属性とは、属性が矛盾するまで権限変更しないことです。
#10. 独自サーバーのネットワーク環境の維持費の増加を解消するため、クラウドベースのソリューションに移行したいと考えています。次のうち、選ぶべき典型的なクラウドベースソリューションの正しい定義とマッピングはどれでしょうか。
〇:クラウドプロバイダは、オペレーティングシステム、データベース、及びウェブサーバを含むことができるコンピューティング・プラットフォームを提供するサービスとしてのプラットフォームが提供されます。
クラウドコンピューティングは、ネットワークやサーバ技術を集約し、それぞれを仮想化し、顧客にニーズにマッチした特定のコンピューティング環境を提供するための用語です。この集中制御は、セルフサービス、複数のデバイス間での広範なアクセス、リソースプーリング、迅速な弾力性、サービスの監視機能をエンドユーザーに提供します。
クラウドコンピューティング製品の異なる種類があります。IaaSは、クラウド上に仮想化されたサーバを提供します。PaaSは、アプリケーションは個別に開発することができます。SaaSは、サービス提供者は開発不要で機能の取捨選択でサービス展開できます。”独自のアプリケーション構成は変えずに”という条件からPaaSの定義に合言葉を選ぶ必要があります。よって正解は、「クラウドプロバイダは、オペレーティングシステム、データベース、及びウェブサーバを含むことができるコンピューティング・プラットフォームを提供するサービスとしてのプラットフォームが提供されます。」になります。
×:クラウドプロバイダは、オペレーティングシステム、データベース、及びウェブサーバを含むコンピューティング・プラットフォームを提供するサービスとしてのインフラストラクチャが提供されます。
IaaSの説明です。
×:クラウドプロバイダは、従来のデータセンターと同様の基盤環境を提供するようなソフトウェアサービスが提供される。
クラウドの営業的な利点の説明です。定義ではありません。
×:クラウドプロバイダは、アプリケーション機能が内包されたコンピューティング・プラットフォーム環境においてサービスとしてのソフトウェアが提供されます。
SaaSの説明です。
#11. あなたはベンダー中立のエンタープライズアーキテクチャフレームワークを持つ取締役会に対して、ITとビジネスプロセスの不整合による断片化を軽減するのに役立つものを報告するように指示されています。次のどのフレームワークを提案する必要がありますか?
〇:TOGAF
オープングループアーキテクチャフレームワーク(TOGAF)は、エンタープライズアーキテクチャーの開発と実装のためのベンダーに依存しないプラットフォームです。メタモデルとサービス指向アーキテクチャ(SOA)を使用して企業データを効果的に管理することに重点を置いています。 TOGAFの熟達した実装は、伝統的なITシステムと実際のビジネスプロセスの不整合に起因する断片化を減らすことを目的としています。また、新しい変更や機能を調整して、新しい変更を企業プラットフォームに容易に統合できるようにします。
×:DoDAF(Department of Defense Architecture Framework)
米国国防総省システムのエンタープライズアーキテクチャの組織に関するガイドラインにあたり、間違っています。軍事、民間、公共分野の大規模で複雑な統合システムにも適しています。
×:ソフトウエアの開発中に能力成熟度モデル統合(CMMI)
ソフトウェアを設計し、さらに向上させる目的のフレームワークであり、不適切です。 CMMIは、開発プロセスの成熟度を測定できるソフトウェア開発プロセスの標準を提供します。
×:ISO/IEC 42010
ソフトウェア集約型システムアーキテクチャの設計と概念を簡素化するための推奨プラクティスで構成されているため、正しくありません。この標準は、ソフトウェアアーキテクチャーのさまざまなコンポーネントを説明するための一種の言語(用語)を提供し、それを開発のライフサイクルに統合する方法を提供します。
#12. 次のうちデジタル署名の作成方法として適切なものはどれか?
〇:送信者は、自分の秘密鍵でメッセージダイジェストを暗号化します。
デジタル署名は、送信者の秘密鍵で暗号化されたハッシュ値です。デジタル署名の行為は秘密鍵でメッセージのハッシュ値を暗号化することを意味します。送信者は、自分の秘密鍵を用いてそのハッシュ値を暗号化することになります。受信者がメッセージを受信すると、彼女は、メッセージにハッシュ関数を実行し、自身でハッシュ値を生成します。それから送信者のの公開鍵で送信されたハッシュ値(デジタル署名)を解読します。受信者は、2つの値を比較し、それらが同じであれば、メッセージが送信中に変更されていないことを確認することができます。
×:送信者は、自分の公開鍵でメッセージダイジェストを暗号化します。
送信者は、メッセージが自分の公開鍵でダイジェストを暗号化した場合、受信者がそれを解読することはできませんので、間違っています。受信者が発生してはならない送信者の秘密鍵へのアクセスが必要になります。秘密鍵は常に秘密にする必要があります。
×:受信者は、自分の秘密鍵でメッセージダイジェストを暗号化します。
受信機は、メッセージが送信者の公開鍵でダイジェストを解読しなければならないので、間違っています。メッセージダイジェストは、唯一の送信者の公開鍵で復号することができ、送信者の秘密鍵で暗号化されています。
×:受信者は、自分の公開鍵でメッセージダイジェストを暗号化します。
受信機は、メッセージが送信者の公開鍵でダイジェストを解読しなければならないので、間違っています。メッセージダイジェストは、唯一の送信者の公開鍵で復号することができ、送信者の秘密鍵で暗号化されています。
#13. 次のうち対称鍵システムの欠点はどれでしょうか?
〇:キー自体を安全に配信することが必要
対称鍵アルゴリズムで暗号化されたメッセージを交換する2人のユーザーのために、彼らは最初の鍵を配布する方法を見つけ出す必要があります。鍵が危険にさらされた場合、その鍵で暗号化されたすべてのメッセージを復号し、侵入者に読み取られてしまいます。鍵が保護されておらず、容易に攻撃者が傍受して使用することができるので、単に電子メールメッセージで鍵を送信することは安全ではありません。したがってレガシーな方法では、USBドライブに鍵を保管し渡すなどのアウトオブバンド方式を使用して鍵を送信しなければなりません。よって正解は、「キー自体を安全に配信することが必要」になります。
×:非対称システムよりも計算が遅い
一般的には非対称システムより対称システムのほうが計算速度は早いです。
×:非対称システムよりも計算が早い
一般的には非対称システムより対称システムのほうが計算速度は早いです。しかし、欠点ではありません。
×:数学的にタスクを実行する傾向がある
コンピュータによるすべての暗号化アルゴリズムが数学的計算になります。しかし、欠点ではありません。
#14. レイシーのマネージャーは、新しいディスパッチングセンターの侵入検知システムを調査することを彼女に任命しました。レイシーは上位5製品を特定し、評価を比較します。次のうち、本目的に沿った今日最も使用されている評価基準フレームワークはどれですか?
〇:コモンクライテリア
コモンクライテリアは、信頼できるコンピュータシステム評価基準(TCSEC)と情報技術セキュリティ評価基準(ITSEC)の両方の長所を組み合わせて弱点を排除する方法として1990年代初めに作成されました。コモンクライテリアは、TCSECよりも柔軟性があり、ITSECよりも簡単です。コモンクライテリアは、世界的に認知されているため、評価の複雑さを軽減し、さまざまな評価スキームで異なる評価の定義と意味を理解する必要性を排除して消費者を支援します。これは、さまざまなルールと要件で複数の異なる評価基準を満たすのではなく、製品を国際的に販売したい場合に、特定の一連の要件を構築できるようになったため、メーカーにとっても役立ちます。
×:ITSEC
情報技術セキュリティ評価基準が最も広く使用されていないため、正しくありません。 ITSECは、多くのヨーロッパ諸国でコンピュータシステムと製品のセキュリティ属性を評価するための単一の基準を確立する最初の試みでした。さらに、ITSECは評価において機能性と保証性を分離し、それぞれに別の評価を与えます。これは、TCSECよりも高い柔軟性を提供するために開発され、ネットワークシステムにおける完全性、可用性、および機密性に対処します。 ITSECの目標は製品評価の世界基準となることでしたが、その目標を達成できず、コモンクライテリアに置き換えられました。
×:レッドブック
ネットワークおよびネットワークコンポーネントのセキュリティ評価トピックに対処する米国政府の出版物であるため、間違っています。正式にTrusted Network Interpretationと題されたこの本は、さまざまなタイプのネットワークを保護するためのフレームワークを提供しています。ネットワーク上のオブジェクトにアクセスする被験者は、制御、監視、および監査が必要です。
×:オレンジブック
政府および軍の要件とオペレーティングシステムに対する期待に対応する米国政府の出版物であるため、正しくありません。オレンジブックは、製品に、ベンダーが要求するセキュリティー特性と特定のアプリケーションまたは機能に適しているかどうかを評価するために使用されます。オレンジブックは、評価中の製品の機能、有効性、保証をレビューするために使用され、セキュリティ要件の典型的なパターンに対処するために考案されたクラスを使用します。どのユーザーがシステムにアクセスできるかを制御することに重点を置いて、信頼できるシステムの構築と評価のための幅広いフレームワークを提供します。 オレンジブックと言っていますが、もう1つの名前はTrusted Computer System Evaluation Criteria(TCSEC)です。
#15. 既知平文攻撃、選択平文攻撃、適応的選択平文攻撃のうち最も鍵の発見が困難であるものはどれか。
〇:既知平文攻撃
既知平文攻撃とは、解読者は無差別に平文を取得できる状況です。暗号文単独攻撃とは、解読者は無差別に暗号文を取得できる状況です。既知平文攻撃は平文を取得するものの、それが何の暗号文と対になっているがわからない状況なので、つまりは2つとも無作為な暗号文のみで復号を試みるということです。この状況では解読することが難しいと言えます。よって正解は、「既知平文攻撃」になります。
×:選択平文攻撃
選択平文攻撃とは、解読者は、取得する平文は自由に選択して暗号文を取得できる状況です。
×:適応的選択平文攻撃
適応的選択平文攻撃とは、解読者は取得する平文は自由に選択し暗号文を取得でき、その結果を見たうえで再度取得を繰り返すことができます。
×:どれでもない
”最も”を選ぶ選択肢でどれでもないという回答は稀です。
#16. 公開鍵暗号方式と公開鍵基盤との違いはどれですか?
〇:公開鍵インフラストラクチャは公開鍵暗号配布のメカニズム構成であり、公開鍵暗号方式は非対称暗号化の別名です。
公開鍵暗号方式は、非対称暗号です。用語は互換的に使用されます。公開鍵暗号は、証明機関、登録機関、証明書、キー、プログラム、およびユーザーなど、さまざまな部分とから構成されている公開鍵基盤(PKI)の中の一つの概念です。公開鍵基盤は、ユーザを識別作成し、証明書を配布し、維持し、証明書を失効、配布し、暗号化キーを維持し、暗号化通信と認証の目的のために利用されます。
×:公開鍵基盤が対称アルゴリズムを使用し、公開鍵暗号方式は非対称アルゴリズムを使用します。
公開鍵基盤は、対称および非対称鍵アルゴリズムおよび方法のハイブリッドシステムを使用しているため、正しくありません。公開鍵暗号方式は、非対称アルゴリズムを使用することです。したがって、非対称暗号と公開鍵暗号方式は、交換可能であり、同じことを意味します。非対称アルゴリズムの例としては、RSA、楕円曲線暗号(ECC)、ディフィー・ヘルマン、エル・ガマルです。
×:公開鍵基盤は鍵交換を実行するために使用され、公開鍵暗号方式は公開鍵/秘密鍵のペアを作成するために使用されます。
公開鍵暗号は、公開鍵/秘密鍵のペアを作成鍵交換を実行し、デジタル署名を生成し、検証するために使用されている非対称アルゴリズムの使用であるため、正しくありません。
×:公開鍵基盤は機密性と完全性を提供し、公開鍵暗号は認証と否認防止を提供します。
公開鍵基盤自体は、認証、否認防止、機密性、完全性を提供しているわけではないので、間違っています。
#17. 米国国家安全保障局(NSA)は、すべてのマザーボードにクリッパーチップを組み込みたいと考えていました。このチップはどの暗号化アルゴリズムを使用しましたか?
クリッパーチップは、米国国家安全保障局(NSA)によって開発され、組み込みのバックドアとして「音声およびデータメッセージ」を保護する暗号化デバイスとして搭載されたチップセットです。ブロック暗号であるSkipJackを使用していました。
#18. 次のうち仮想マシンの定義としてを最も近いものはそれでしょうか?
〇:オペレーティングシステムの仮想インスタンス
仮想マシンは、オペレーティングシステムの仮想インスタンスです。仮想マシンはゲストとも呼ばれ、ホスト環境で動作します。ホスト環境では、複数のゲストを同時に実行できます。仮想マシンは、RAM、プロセッサー、ストレージなどのリソースをホスト環境からプールします。これには、処理効率の向上など、多くのメリットがあります。その他の利点には、レガシーアプリケーションを実行する機能があります。たとえば、組織はWindows 7をロールアウトした後、Windows 7のインスタンス(仮想マシン)でレガシーアプリケーションを実行することを選択することがあげられます。
×:複数のオペレーティングシステム環境を同時に実行するハードウェア
仮想マシンはハードウェアではないため、正しくありません。仮想マシンは、ハードウェア上で動作するオペレーティングシステムのインスタンスです。ホストは複数の仮想マシンを実行できます。つまり、基本的に異なるオペレーティングシステムを同時に実行する1台のコンピュータを持つことができます。仮想マシンを使用すると、未使用のいくつかのサーバーのワークロードを1つのホストに統合することができ、ハードウェアおよび管理の管理作業を節約できます。
×:複数のゲストのための物理的環境
仮想マシンがソフトウェアエミュレーション内で提供し機能するため、正しくありません。ホストは、仮想マシンのメモリ、プロセッサ、バス、RAM、ストレージなどのリソースを提供します。仮想マシンはこれらのリソースを共有しますが、それらのリソースには直接アクセスしません。システムリソースの管理を担当するホスト環境は、リソースと仮想マシン間の仲介役として機能します。
×:レガシーアプリケーションを完全に利用できる環境
多くのレガシーアプリケーションは特定のハードウェアおよび新しいオペレーティングシステムと互換性がないため、正しくありません。このため、アプリケーションは一般にサーバーソフトウェアとコンポーネントを十分に活用していません。仮想マシンは、レガシーアプリケーションや他のアプリケーションが使用可能なリソースを完全に使用できるようにする環境をエミュレートします。これが仮想マシンを使用する理由ですが、利点と定義は違います。
#19. 仮想化の利点として誤っているものはどれでしょうか。
〇:オペレーティングシステムのパッチ適用が簡単になる。
誤っているものを選択する問題です。仮想化は、オペレーティングシステムのパッチ適用を簡素化しません。実際、少なくとも1つのオペレーティングシステムが追加されているため、複雑になっています。各オペレーティングシステムは一般的なバージョン構成と異なり、パッチ適用の複雑さが増します。サーバー自体のオペレーティングシステムは、ホスト環境内でゲストとして実行されます。従来のサーバーオペレーティングシステムをパッチして維持するだけでなく、仮想化ソフトウェア自体をパッチして維持する必要があります。よって正解は、「オペレーティングシステムのパッチ適用が簡単になる。」になります。
この問題に関しては、仮想化のすべての技術体系を理解していることを求めてはいません。ここで要求されるのは、消去法による回答の選定です。
×:安全なコンピューティングプラットフォームを構築できる。
安全なコンピューティングプラットフォームを構築すること自体は仮想化の特徴ではないかもしれません。しかし、安全な環境を構築できないか?ということを否定できないため、誤っている選択肢から外れます。
×:障害およびエラーの封じ込めを提供できる。
仮想化は、ホストの独立を行うことができます。封じ込めという意味では、物理サーバからの独立による障害およびエラーの封じ込めを提供できる解釈も可能です。よって否定できないため、誤っている選択肢から外れます。
×:強力なデバッグ機能を提供できる。
仮想化は、クリーンな仮想ホストを立てるだけではなく、固有の環境を再現することができます。よって否定できないため、誤っている選択肢から外れます。
#20. 仮想ストレージは、システムメモリ用のRAMと二次記憶装置を組み合わせています。次のうち仮想ストレージに関するセキュリティ上の懸念事項はどれですか?
〇:複数のプロセスが同じリソースを使用している
システムは、RAMメモリ空間を拡張するために予約されているハードドライブスペース(スワップスペースと呼ばれる)を使用します。システムが揮発性メモリ空間をいっぱいになると、メモリからハードドライブにデータが書き込まれます。プログラムがこのデータへのアクセスを要求すると、ハードドライブからページフレームと呼ばれる特定の単位でメモリに戻されます。ハードディスクのページに保存されているデータにアクセスすると、物理ディスクの読み書きアクセスが必要になるため、メモリに保存されているデータにアクセスするより時間がかかります。仮想スワップ領域を使用するセキュリティ上の問題は、2つ以上のプロセスが同じリソースを使用し、データが破損または破損する可能性があることです。
×:クッキーがメモリ内に永続的に残ることを可能にする
仮想記憶域はCookieに関連していないため、正しくありません。仮想ストレージは、ハードドライブスペースを使用してRAMメモリスペースを拡張します。 Cookieは、主にWebブラウザで使用される小さなテキストファイルです。クッキーには、Webサイト、サイト設定、ショッピング履歴の資格情報を含めることができます。 Cookieは、Webサーバーベースのセッションを維持するためにも一般的に使用されます。
×:サイドチャネル攻撃が可能になる
サイドチャネル攻撃は物理的な攻撃であるため、正しくありません。この種の攻撃では、放棄された放射線、処理に要した時間、タスクを実行するために消費された電力などからメカニズム(スマートカードや暗号化プロセッサなど)がどのように機能するかに関する情報を収集します。情報を使用して、そのメカニズムをリバースエンジニアリングして、セキュリティタスクの実行方法を明らかにします。これは仮想ストレージに関連していません。
×:2つのプロセスがサービス拒否攻撃を実行できる
オペレーティングシステムがすべてのリソース間でメモリを共有する必要があるため、プロセス間でリソースを共有しているシステム内で最大の脅威は、あるプロセスが他のプロセスのリソースに悪影響を及ぼすことです。これはメモリの場合には、特に当てはまります。なぜならすべてのそれらが機密であるかどうかに関係なく、そこに命令が格納されるからです。2つのプロセスが連携してサービス拒否攻撃を行うことは可能ですが、これは仮想ストレージの使用の有無にかかわらず実行できる攻撃の1つに過ぎません。

 
                    


