模擬試験(ドメイン3)

ドメイン3の試験です。

70%以上で合格になります。

Results

すばらしい!

まだ見ていないコンテンツがあるかも。

#1. 楕円曲線暗号は非対称アルゴリズムです。他の非対称アルゴリズムと比べて何が優れているでしょうか。

楕円曲線は、アプリケーションの多くの異なる種類の有用性が示されている豊富な数学的構造です。楕円曲線暗号(ECC)は、その効率のために、他の非対称アルゴリズムとは異なります。ECCは、他の非対称アルゴリズムよりも少ないので集中的な数学のより効率的です。ほとんどの場合、キーが長いほど、より多くの保護が提供されるが、ECCは、RSAが必要とするよりも短い鍵サイズと同じレベルの保護を提供することができます。長いキーは数学的なタスクを実行するために、より多くのリソースを必要とするので、ECCで使用されるより小さなキーはデバイスの少ないリソースを必要とします。

 

×:これは、デジタル署名、安全な鍵配布、および暗号化を提供します。

ECCは、デジタル署名、安全な鍵配布、および暗号化を提供する唯一の非対称アルゴリズムではありませんので、間違っています。これらのサービスはまた、RSAおよび他の非対称アルゴリズムによって提供されます。その一方向関数を用いて、ECC暗号化と署名の検証を提供し、逆方向復号化および署名生成を行います。また、その目的地に安全にそれを得るために、対称鍵を暗号化するために使用される意味、鍵交換プロトコルとして使用することができます。

 

×:それは有限で離散対数を計算します。

ディフィー・ヘルマンとエル・ガマルが有限で離散対数を計算するため、間違っています。楕円曲線を扱う数学の分野では、曲線は、グループと呼ばれる構造を構成上の点。これらの点は、ECCの暗号化と復号化の処理のための数式で使用される値です。このアルゴリズムは有限で離散対数の計算とは異なる楕円曲線の離散対数を計算します。

 

×:これは、暗号化を実行するためにリソースの大きな割合を使用します。

他の非対称アルゴリズムと比較した場合のECCがはるかに少ないリソースを使用しているため正しくありません。無線機器や携帯電話のようないくつかのデバイスは、処理能力、ストレージ、電力、帯域幅が限られています。これらのタイプのデバイスと、リソースの利用効率が非常に重要です。

#2. 次のベストのどれが鍵導出関数(KDFs)について説明しますか?

複合キーを生成するために、一般にマスターキーが作成され、次に、対称キー(サブキー)をそれから生成されます。鍵導出関数(KDFsは)秘密の値から暗号化キーを導出します。秘密の値は、マスターキー、パスフレーズ、またはパスワードすることができます。KDFsはそれが難しく、攻撃者がそれらを発見できるようにするためにキーの値のランダム性を確保するために使用されています。KDFは、一般的に、各暗号化キーを一意にするために秘密の値との擬似乱数生成器を使用しています。

 

×:セッション鍵は、互いから生成されます。

セッションキーは、一般的にマスターキーはなく、互いにから生成されるため、正しくありません。アプリケーションが1を要求した各被験者のためのセッションキーを作成するための責任がある場合たとえば、それはその一つのキーの同じインスタンスを配ってはなりません。異なるシステムは、悪い男のためのウィンドウがそのキーは同じキーを何度も繰り返し使用されている場合よりも小さく、キャプチャし、明らかにしていることを確認するために、異なる対称鍵を持っている必要があります。複数のキーはマスターキーから作成されたとき、それらはサブキーと呼ばれます。

 

×:非対称暗号は、対称鍵を暗号化するために使用されます。

キーの暗号化がKDFsとは何の関係もないので、間違っています。KDFsの使用は独特で強力な暗号化キーを作成する手順に関する。KDFsは、攻撃者がそれらを暴く難しく時間を持っているように、新しい鍵を生成する際に十分なランダム性が関与していることを確認するのに役立ちます。

 

×:マスターキーはセッションキーから生成されます。

逆です、正しくありません。セッション鍵は、一般に、マスター鍵から生成されます。キーはマスターキーのように、元の値から生成された場合、結果として得られるキーはサブキーまたはサブセッションキーと呼ばれます。

#3. 次のうちどれも同様に暗号をストリーミングするには何を使えばよいか?

ストリーム暗号は、それらは、同様に動作する理由である、ワンタイムパッドが行う保護の同じ種類を提供するために開発されました。実際には、ストリーム暗号は、ワンタイムパッドが行う保護のレベルを提供することはできませんが、ストリーム暗号は、ソフトウェアおよび自動化手段を介して実装されているので、彼らははるかに実用的です。ワンタイムパッドが正しく実装されていれば、それが割れないと見なされるため、完全な暗号化方式です。この暗号は、ランダムな値で構成されたパッドを使用しています。暗号化される必要がある平文メッセージをビットに変換し、ワンタイムパッドは、ランダムビットで構成されています。この暗号化プロセスは、通常、XORと略す排他的論理和と呼ばれるバイナリ数学関数を使用します。XORは、2つのビットに適用され、一般的にバイナリ数学および暗号化方法に使用される関数である動作です。ストリーム暗号はまた、彼らは、ワンタイムパッド暗号化方式に似ていますどのようにしている、ビットレベルで暗号化します。

 

×:AES

AESは対称ブロック暗号であるため、正しくありません。ブロック暗号は、暗号化および復号化の目的で使用される場合、メッセージは、ビットのブロックに分割されます。これらのブロックは、時間で、数学関数を介して一つのブロックを置いています。ブロック暗号は、一度ビットのデータを1ブロックを暗号化し、一方、ストリーム暗号は、一度にデータの1ビットを暗号化します。あなたがあなたの友人に送信され、64ビットのブロック・サイズを使用するブロック暗号を使用しているメッセージを暗号化する必要があるとします。640ビットのあなたのメッセージは、64ビットの10の個々のブロックに切り刻まれます。各ブロックは、数式の連続を通して入れ、何をして終わることは暗号化されたテキストの10ブロックです。あなたはあなたの友人にこの暗号化されたメッセージを送信します。彼は、同じブロック暗号と鍵を持っている必要があり、それらの10の暗号文ブロックは逆の順序でアルゴリズムを介して戻って平文メッセージに終わります。

 

×:ブロック暗号

ブロック暗号は、暗号化および復号化の目的のために使用される前の回答で述べたように、メッセージは、ビットのブロックに分割されている、ので、間違っています。これらのブロックは、時間で、数学関数を介して一つのブロックを置いています。

 

×:RSA

RSAは、それが非対称アルゴリズムに来るとき最も人気のある公開鍵アルゴリズムであるため、正しくありません。非対称アルゴリズムは、対称アルゴリズムよりも数学の異なるタイプを使用すると、ワンタイムパッド暗号化方式に似て何もありません。このアルゴリズムのセキュリティは元の素数に大きな数を因数分解することの難しさから来ています。

#4. マンディは同社の非対称アルゴリズムを用いて、260人の従業員のために鍵を生成する必要があります。必要となる鍵はいくつでしょうか。

非対称アルゴリズムでは、すべてのユーザーが少なくとも一つの鍵のペア(秘密鍵と公開鍵)しておく必要があります。公開鍵システムでは、各エンティティは別の鍵を有しています。この環境で必要なキーの数を決定するための式は N ×2の数でになります(Nは配布する人数)。つまり、260×2=520となります。よって正解は、「520」になります。

#5. 対称暗号にはストリーム暗号とブロック暗号がありますが、ストリーム暗号の特徴としてふさわしくないものはどれか?

対称アルゴリズムの2つの主要なタイプは、ブロック暗号とストリーム暗号です。ブロック暗号は、一度にビットのブロックに数学関数を実行します。ストリーム暗号は、一方では、ブロックにメッセージを分割しません。その代わりに、ストリーム暗号はビットのストリームとしてメッセージを扱い、個別に各ビットの数学関数を実行します。予測できない統計結果、無繰り返しパターンの長い期間、統計的に公平なキーストリーム、およびキーに直線的に関連しないキーストリーム:良いストリーム暗号は、以下を提供します。ストリーム暗号は、統計的に予測可能である場合、攻撃者がキーを発見し、暗号を破るために、それが可能になります。

 

×:統計的に公平なキーストリーム

統計的に公平なキーストリームは、良好なストリーム暗号の属性であるため、正しくありません。統計的公平なキーストリームは、ものの数と同数のゼロが存在することを意味します。キーストリームで0または1の数に優位があってはなりません。

 

×:繰り返しパターンが長い

キーストリーム値内に無い繰り返しパターンの長い期間は、良好なストリーム暗号の特徴であるため、正しくありません。攻撃者は、リバースエンジニアおよび暗号化処理の際に使用された鍵を発見することができないように任意の暗号化の究極の目標は、ランダム性の高いレベルを提供することにあります。

 

×:キーストリームがキーに無関係であること

直線的にキーに関連しないキーストリームは、良好なストリーム暗号の属性であるため、正しくありません。これは、誰かがキーストリーム値を割り出した場合、それは彼が今キーの値を知っているという意味ではありませんことを意味します。鍵は、暗号化処理のランダム性を提供するので、これは重要です。ほとんどの暗号化アルゴリズムは公開されているので、人々は、彼らがどのように動作するかを知っています。秘密のソースへの秘密鍵です。平文にXORされたビットのストリームは、できるだけランダムになるようにキーは、ランダム性を提供します。

#6. SSLは信頼できないネットワーク上で発生するトランザクションを保護するために使用されるプロトコルです。次のうち、SSL接続のセットアッププロセス中に行われるものについて適切な説明はどれでしょうか?

Secure Sockets Layer(SSL)は、公開鍵暗号を使用して、データの暗号化、サーバ認証、メッセージの整合性、およびオプションのクライアント認証を提供します。クライアントは、ウェブサイトにアクセスすると、そのウェブサイトは、保護及び公共部分の両方を有していてもよいです。保護された部分は、いくつかの方法で認証するユーザを必要とします。クライアントが保護されたページへのウェブサイト上で公開ページから移行した場合、Webサーバは、SSLを起動し、このタイプの通信を保護するために必要なタスクを開始します。サーバは安全なセッションが確立されるべきで示す、クライアントにメッセージを送信し、応答したクライアントは、セキュリティパラメータを送信します。それが一致するものが見つかるまで、サーバーには、独自にそれらのセキュリティパラメータを比較します。これは、ハンドシェイクフェーズです。サーバーはそれをデジタル証明書を送信することによって、クライアントに認証し、クライアントがサーバを信頼することを決定した場合、処理が続行されます。クライアントは、セッション鍵を生成し、サーバの公開鍵でそれを暗号化します。この暗号化キーは、Webサーバーに送信され、それらの両方は、彼らが前後に送信するデータを暗号化するために、この対称キーを使用しています。

 

×:サーバは、セッション鍵を生成し、公開鍵でそれを暗号化します。

サーバがセッションキーを作成していないため、正しくありません。クライアントはセッションキーを作成し、サーバーの公開鍵でそれを暗号化します。SSLは、一般にWebトランザクションで使用され、以下のように動作されるクライアントがセッション鍵を作成し、クライアントは、サーバの公開鍵を用いてセッション鍵を暗号化してサーバに送信し、サーバは、セッション鍵を受信し、その秘密鍵で復号化します。

 

×:サーバーは、セッション鍵を生成し、秘密鍵で暗号化します。

サーバがセッションキーを作成しませんので間違っている、それは秘密鍵で暗号化されていません。クライアントはセッションキーを作成し、サーバーの公開鍵でそれを暗号化します。サーバは、セッション鍵を受信し、その秘密鍵で復号化します。セッション鍵は、クライアントとサーバの間で送信されるデータを暗号化するために使用されます。

 

×:クライアントは、セッション鍵を生成し、秘密鍵で暗号化します。

クライアントはそれが生成するセッション鍵を暗号化するために、サーバの公開鍵を使用しているため、正しくありません。クライアントの秘密鍵を使用してセッション鍵を暗号化された場合、クライアントの公開鍵を保有するエンティティは、セッション鍵を復号化することができるであろう。これは、任意のセキュリティを提供しません。サーバの公開鍵、サーバのみ、対応する秘密鍵が-ことができ、それを解読保有してセッション鍵を暗号化することによって。

#7. あなたはベンダー中立のエンタープライズアーキテクチャフレームワークを持つ取締役会に対して、ITとビジネスプロセスの不整合による断片化を軽減するのに役立つものを報告するように指示されています。次のどのフレームワークを提案する必要がありますか?

〇:TOGAF

オープングループアーキテクチャフレームワーク(TOGAF)は、エンタープライズアーキテクチャーの開発と実装のためのベンダーに依存しないプラットフォームです。メタモデルとサービス指向アーキテクチャ(SOA)を使用して企業データを効果的に管理することに重点を置いています。 TOGAFの熟達した実装は、伝統的なITシステムと実際のビジネスプロセスの不整合に起因する断片化を減らすことを目的としています。また、新しい変更や機能を調整して、新しい変更を企業プラットフォームに容易に統合できるようにします。

 

×:DoDAF(Department of Defense Architecture Framework)

米国国防総省システムのエンタープライズアーキテクチャの組織に関するガイドラインにあたり、間違っています。軍事、民間、公共分野の​​大規模で複雑な統合システムにも適しています。

 

×:ソフトウエアの開発中に能力成熟度モデル統合(CMMI)

ソフトウェアを設計し、さらに向上させる目的のフレームワークであり、不適切です。 CMMIは、開発プロセスの成熟度を測定できるソフトウェア開発プロセスの標準を提供します。

 

×:ISO/IEC 42010

ソフトウェア集約型システムアーキテクチャの設計と概念を簡素化するための推奨プラクティスで構成されているため、正しくありません。この標準は、ソフトウェアアーキテクチャーのさまざまなコンポーネントを説明するための一種の言語(用語)を提供し、それを開発のライフサイクルに統合する方法を提供します。

#8. 以下のうち、参照モニターとセキュリティカーネルの関係を正しく記述しているのはどれですか?

〇:セキュリティカーネルは、参照モニターを実装し実行する

信頼できるコンピューティングベース(TCB)は、システムの保護メカニズムの完全な組み合わせです。これらは、ハードウェア、ソフトウェア、およびファームウェアの形式です。これらの同じコンポーネントは、セキュリティカーネルも構成します。参照モニターは、ハードウェア、ソフトウェア、およびファームウェアを介してセキュリティカーネルによって実装および強制されるアクセス制御の概念です。その際、セキュリティカーネル、サブジェクトが要求しているオブジェクトにアクセスするための適切な権限を持つことを保証します。プログラム、ユーザー、またはプロセスである対象は、適切なアクセス権があることが証明されるまで、要求しているファイル、プログラム、またはリソースにアクセスできません。

 

×:参照モニターは、セキュリティカーネルで構成された信頼されたコンピューティングベース(TCP)のコアである

参照モニターはTCBの中核ではないため、正しくありません。 TCBのコアはセキュリティカーネルであり、セキュリティカーネルは参照モニターの概念を実行します。参照モニターは、アクセス制御に関する概念です。物理的なコンポーネントではないため、「抽象的なマシン」と呼ばれることがよくあります。

 

×:参照モニターは、セキュリティカーネルを実装し実行する

参照モニタがセキュリティカーネルを実装して実行しているわけではない、正しくありません。逆で、セキュリティカーネルは参照モニタを実装し、実行します。参照モニタは抽象的な概念であり、セキュリティカーネルは信頼できるコンピューティングベース内のハードウェア、ソフトウェア、ファームウェアの組み合わせです。

 

×:セキュリティカーネルつまり抽象的なマシンは、参照モニターの概念を実装される

抽象的なマシンがセキュリティカーネルの別の名前ではないため、正しくありません。抽象的なマシンは、参照モニターの別名です。この概念は、抽象的なマシンがサブジェクトとオブジェクトとの間の仲介者として機能し、サブジェクトが要求しているオブジェクトにアクセスするのに必要な権利を有することを保証し、無許可のアクセスおよび改変から主題を保護します。セキュリティカーネルは、これらの活動を実行するために機能しています。

#9. 次のうち、デジタル署名の作成方法として適切なものはどれか?

デジタル署名は、送信者の秘密鍵で暗号化されたハッシュ値です。デジタル署名の行為は秘密鍵でメッセージのハッシュ値を暗号化することを意味します。サムは彼はデビーに送信するメッセージが変更されていないことを確認したいと彼はそれが彼からだけ来た彼女は必ずしたい場合、彼はメッセージにデジタル署名することができます。これは、一方向ハッシュ関数がメッセージ上で実行されることを意味し、その後サムは自分の秘密鍵を用いてそのハッシュ値を暗号化することになります。デビーがメッセージを受信すると、彼女は、メッセージにハッシュ関数を実行し、彼女自身のハッシュ値を考え出すだろう。それから彼女はサムの公開鍵で送信されたハッシュ値(デジタル署名)を解読します。彼女はその後、2つの値を比較し、それらが同じであれば、彼女は、メッセージが送信中に変更されていないことを確認することができます。彼女はまた、値が自分の秘密鍵で暗号化されたため、メッセージはサムから来てくださいです。

 

×:送信者は、自分の公開鍵でメッセージダイジェストを暗号化します。

送信者は、メッセージが自分の公開鍵でダイジェストを暗号化した場合、受信者がそれを解読することはできませんので、間違っています。受信者が発生してはならない送信者の秘密鍵へのアクセスが必要になります。秘密鍵は常に秘密にする必要があります。

 

×:受信者は、自分の秘密鍵でメッセージダイジェストを暗号化します。

受信機は、メッセージが送信者の公開鍵でダイジェストを解読しなければならないので、間違っています。メッセージダイジェストは、唯一の送信者の公開鍵で復号することができ、送信者の秘密鍵で暗号化されています。

 

×:受信者は、自分の公開鍵でメッセージダイジェストを暗号化します。

受信機は、メッセージが送信者の公開鍵でダイジェストを解読しなければならないので、間違っています。メッセージダイジェストは、唯一の送信者の公開鍵で復号することができ、送信者の秘密鍵で暗号化されています。

#10. フランクは、同社のオンラインアプリケーション、Webサーバー、およびWebベースの活動のセキュリティを担当しています。ウェブアプリケーションは、複数のユーザが同時にウェブページを編集したり、お互いの仕事を上書きしたりすることができないように、動的に「ロック」される能力を有しています。監査では、このソフトウェアロック機能が適切に構成されていても、複数のユーザーが同じWebページを同時に変更できることが明らかになりました。この事情を最もよく表しているのはどれでしょうか。

〇:TOC/TOU

特定の攻撃は、システムが要求を処理してタスクを実行する方法を利用できます。 TOC/TOU攻撃は、システムがタスクを完了するために使用する一連のステップを処理します。 このタイプの攻撃は、マルチタスキングオペレーティングシステムで発生するイベントのタイミングに依存することを利用します。TOC/TOUは、条件のチェック(つまり、信任状の検証)とその条件チェック機能からの結果の使用を可能にするソフトウェア脆弱性です。 この質問のシナリオでは、Webアプリケーションが正しく構成されている可能性が高いという事実は、このアプリケーションのプログラミングコードがこの種の脆弱性をコード自体に埋め込んでいることを示しています。

 

×:バッファオーバーフロー

あまりにも多くのデータが特定のプロセスへの入力として受け入れられると、バッファのオーバーフローが発生します。問題文の事象とは一致しないため、間違っています。 バッファはメモリの割り当てられたセグメントです。 バッファは、あまりにも多くのデータで任意にオーバーフローする可能性がありますが、攻撃者に使用されるためにはバッファに挿入されるコードが特定の長さでなければならず、攻撃者が実行するコマンドが必要です。 これらのタイプの攻撃は、通常、例外的に障害のセグメント化、または機密データが攻撃者に提供されます。

 

×:ブラインドSQLインジェクション

ブラインドSQLインジェクション攻撃は、真実か偽の質問をデータベースに送信するSQLインジェクション攻撃の一種であるため、間違っています。 基本的なSQLインジェクションでは、攻撃者はSQL形式の特定の命令を送信して、関連付けられたデータベースに問い合わせます。 ブラインドSQL攻撃では、攻撃者はデータベースの応答を分析して機密情報を収集するために、一連の真偽の質問をデータベースに送信することに限定されています。

 

×:クロスサイトリクエストフォージェリ(CSRF)

クロスサイトリクエストフォージェリ(CSRF)は、悪意のある要求や操作を含むWebページを読み込むように犠牲者を騙そうとする攻撃タイプであるため、正しくありません。 攻撃操作は、被害者のアクセス権のコンテキスト内で実行されます。 要求は被害者の身元を継承し、被害者のために望ましくない機能を実行します。 この種の攻撃では、攻撃者は犠牲者のシステムにアカウント情報の変更、アカウントデータの取得、またはログアウトなどの意図しない動作を実行させることができます。 このタイプの攻撃はこの質問に記載されているシナリオに関係する可能性がありますが、ユーザーがWebアプリケーションに組み込まれているロックメカニズムをどのようにバイパスできるかに焦点を当てています。 プログラミングコードのロジックが誤って開発され、厳密な一連のチェックと使用シーケンスが正しく行われないため、ロック機能がバイパスされています。

#11. 次のうち、PKI環境で発生する事象はどれでしょうか?

認証局(CA)は、デジタル証明書を維持し、問題信頼できる機関(またはサーバ)です。人は、証明書を要求すると、登録局(RA)は、その個人の身元を確認し、CAにオフに証明書要求を渡します CAは、デジタル要求者に送信し、それに署名し、証明書を作成し、その寿命にわたって証明書を保持しています。受信機は、証明書がその特定のCAから来ていることを確認できるように、CAは、デジタルそれに署名します CAはデジタルで、秘密鍵で証明書に署名し、受信機はCAの公開鍵を使用してこの署名を検証します。

 

×:RAは、証明書を作成し、CAはそれに署名します。

RAは、証明書を作成していないため正しくありません。CAは、それを作成し、それに署名します。RAは、認証登録業務を行います。RAを確立し、証明書を要求する個人のアイデンティティを確認し、エンドユーザーに代わってCAに認証プロセスを開始し、証明書のライフサイクル管理機能を実行することができます。RAは、証明書を発行することはできませんが、ユーザとCAの間のブローカーとして機能することができます ユーザーが新しい証明書を必要とするとき、彼らはRAに要求を行い、RAはCAに行くために、要求を許可する前に、すべての必要な識別情報を検証します

 

×:RAは、証明書に署名します。

RAは、証明書に署名していないため正しくありません。CAは、証明書に署名します。RAは、利用者の識別情報を検証してから、CAに証明書の要求を送信します

 

×:ユーザーは、証明書に署名します。

ユーザーが証明書に署名していないため、正しくありません。PKI環境では、ユーザの証明書が作成され、CAによって署名されました CAはその公開鍵を保持するユーザー証明書を生成し、維持信頼できる第三者機関です。証明書は、デジタル証明書がその特定のCAによって作成されたことを他の人に自信を提供するために署名されています

#12. ケルクホフスの原理によれば、漏洩していけないものはどれか。

ケルクホフスの原理とは、暗号は秘密鍵以外の全てが知られても安全であるべきという考え方です。データを暗号化するときには、秘密鍵とその秘密鍵を使ってどのように暗号化するかを決めます。アウグスト・ケルクホフスさんは、どのように暗号化されているかを知られたとしても、秘密鍵さえばれなければ解読されないようにしろと言うのです。暗号化は、人類の戦いの歴史とともにあります。敵にばれずに作戦を味方に伝えることが大きな目的です。戦いの中では、スパイによってその設計書や暗号化装置を盗まれたりすることもあるでしょう。そのため、仕組みがどれだけ分かったとしても、鍵がなければ解かれないような暗号をしなければならないのです。よって正解は、「秘密鍵」になります。

#13. 次のうち、メモリマネージャーの役割ではないものはどれですか?

〇:未使用のコミットされたメモリを識別し、メモリが利用可能であることをオペレーティングシステムに知らせるアルゴリズムを実行する。

この回答は、メモリマネージャーではなくガベージコレクタの機能について説明しています。ガベージコレクタはメモリリークに対する対策です。アルゴリズムを実行して未使用のコミット済みメモリを特定し、オペレーティングシステムにそのメモリを「使用可能」とマークするように指示するソフトウェアです。異なるタイプのガベージコレクタは、異なるオペレーティングシステム、プログラミング言語、およびアルゴリズムで動作します。

4択問題では、明確な答えは知らなくとも解答できる場合があります。4択問題では正解が一つしかないために、回答をグループ分けすることで、「同じことを言っているため、どちらかだけが正解になるのはおかしい、よってどちらも間違いである」という減らし方ができます。

プロセスが適切にメモリを扱えるように制御する旨の回答が2つありますが、もしもメモリマネージャーにその機能がないとするとどちらも正解になってしまうため、そもそも選択肢から排除することができます。

 

×:プロセスが同じ共有メモリセグメントを使用する必要がある場合、複雑な制御を使用して整合性と機密性を保証します。

プロセスが同じ共有メモリセグメントを使用する必要がある場合、メモリマネージャーは複雑な制御を使用して整合性と機密性を確保します。これは、2つ以上のプロセスが潜在的に異なるアクセス権で同じセグメントへのアクセスを共有できるため、メモリとその中のデータを保護する上で重要です。また、メモリマネージャは、異なるレベルのアクセス権を持つ多くのユーザーが、1つのメモリセグメントで実行されている同じアプリケーションとやりとりすることを許可します。

 

×:プロセスに割り当てられたメモリセグメントとのみ対話するように、プロセスを制限する。

メモリマネージャーがプロセスの相互作用を、それらに割り当てられたメモリセグメントのみに限定する責任があります。この責任は保護カテゴリの下にあり、プロセスが許可されていないセグメントへのアクセスを妨げるのに役立ちます。メモリマネージャーの別の保護責任は、メモリセグメントへのアクセス制御を提供することである。

 

×:必要に応じてRAMからハードドライブに内容をスワップします。

必要に応じてRAMからハードドライブへの内容のスワップが再配置カテゴリに属する​​メモリマネージャーの役割であるため、正しくありません。 RAMとセカンダリストレージが結合されると、仮想メモリになります。システムは、ハードドライブスペースを使用してRAMメモリ空間を拡張します。別の再配置の責任としては、命令とメモリセグメントがメインメモリ内の別の場所に移動された場合に、アプリケーションのポインタを提供することです。

#14. 論理的なアクセス制御と同様に、監査ログは物理的なアクセス制御のためにも生成し、監視する必要があります。次の記述のうち、物理的なアクセスを監査に関する正しいものはどれですか?

〇:失敗したアクセス試行すべてがログに記録され、レビューされるべきである。

物理的アクセス制御システムは、監査証跡またはアクセス試行に関連するアクセスログを生成するためのソフトウェアおよび監査機能を使用することができます。アクセスの際の、アクセスが試行されたときのエントリポイントの日付と時刻、特にアクセスが試行されたときに使用されるユーザーID、および任意の失敗したアクセスの試行などは記録されているべきです。

 

×:失敗したアクセス試行が記録され、警備員のみが審査をする権利を有する。

誰かが実際にそれらをレビューしない限り、コンピュータによって生成される監査ログと同様にアクセスログは役に立ちません。警備員は、これらのログを確認する必要がありますが、セキュリティ専門家や施設管理者などが定期的にこれらのログを確認する必要があります。管理者は、施設へのエントリポイントの存在と所在を知っている必要があります。

 

×:成功したアクセス試行のみがログに記録され、レビューされるべきである。

失敗したアクセスの試みがログに記録され、検討されるべきであるので、間違っています。監査は、ネットワーク、コンピュータ、または場所へのエンティティのアクセスを拒否しているにもかかわらず、疑わしいアクティビティに対して警告することができるようにしています。

 

×:営業時間外で失敗したアクセス試行がログに記録され、レビューされるべきである。

すべての不正アクセスの試行に関係なく、ログに記録され見直されるべきであるので、間違っています。不正なアクセスはいつでも発生する可能性があります。

#15. 正しくは次のうちどれ公開鍵暗号方式と公開鍵インフラストラクチャとの違いについて説明しますか?

公開鍵暗号方式は、非対称暗号です。用語は互換的に使用されます。公開鍵暗号は、証明機関、登録機関、証明書、キー、プログラム、およびユーザーなど、さまざまな部分とから構成されている公開鍵基盤(PKI)、中の一枚です。インフラストラクチャは、ユーザを識別作成し、証明書を配布し、維持し、証明書を失効、配布し、暗号化キーを維持し、通信し、暗号化通信と認証の目的のために協力するために、すべての技術を可能にするピースが含まれています。

 

×:公開鍵インフラストラクチャが対称アルゴリズムを使用することである一方で、公開鍵暗号方式は、非対称アルゴリズムを使用することです。

PKIは、対称および非対称鍵アルゴリズムおよび方法のハイブリッドシステムを使用しているため、正しくありません。公開鍵暗号方式は、非対称アルゴリズムを使用することです。したがって、用語非対称暗号と公開鍵暗号方式は、交換可能であり、同じことを意味します。非対称アルゴリズムの例としては、RSA、楕円曲線暗号(ECC)、ディフィー・ヘルマン、エル・ガマルです。

 

×:公開鍵暗号方式は、公開鍵/秘密鍵のペアを作成するために使用され、公開鍵インフラストラクチャは、鍵交換及び協定を実行するために使用されます。

公開鍵暗号は、公開鍵/秘密鍵のペアを作成鍵交換や合意を実行し、デジタル署名を生成し、検証するために使用されている非対称アルゴリズムの使用であるため、正しくありません。公開鍵インフラストラクチャは、一方で、アルゴリズム、プロトコル、またはアプリケーションが対称および非対称暗号法に基づいて、インフラストラクチャではありません。

 

×:公開鍵インフラストラクチャは、機密性と完全性を提供しながら、公開鍵暗号は、認証と否認防止を提供します。

PKIは、直接それは、これらのセキュリティサービスを提供するアルゴリズムを使用することができ、認証、否認防止、機密性、および完全性を提供していないので、間違っています。PKIは、非対称、対称、およびハッシュアルゴリズムを使用しています。対称アルゴリズムは、機密性を提供、非対称アルゴリズムは、認証と否認防止を提供し、ハッシュアルゴリズムは、整合性を実現します。

#16. 上司のドキュメントを書き換えることにより、上司に誤った情報を流すことがないことを保証するためのアクセス制御の公理はどれでしょうか。

〇:スター完全性公理

Bibaモデルでは、完全性のあるモデルとは2つの公理を持つものと定義しています。シンプル完全性公理とは、部下のドキュメントが見ること、Read Downがないことです。スター完全性公理とは、上司のドキュメントを書き換えること、Write Upがないことです。シンプル完全性公理が守られないと、部下のドキュメントが見られ、下位にある機密レベルのない誤った情報を吸収しかねないのです。スター完全性公理が守られないと、上司のドキュメントを書き換えてしまい、それを見た上司に誤った情報を流すことになります。そのため、2つとも完全性を保つ条件になります。よって正解は、「スター完全性公理」になります。

 

×:シンプル完全性公理

シンプル完全性公理とは、Read Downに対する制約です。

 

×:強トランキリ公理

強トランキリティ属性とは、システム稼働中は権限変更しないことです。

 

×:弱トランキリ公理

弱トランキリティ属性とは、属性が矛盾するまで権限変更しないことです。

#17. 独自サーバーのネットワーク環境の維持費の増加を解消するため、クラウドベースのソリューションに移行したいと考えています。次のうち、選ぶべき典型的なクラウドベースソリューションの正しい定義とマッピングはどれでしょうか。

クラウドコンピューティングは、ネットワークやサーバ技術が集約され、仮想化され、その後、個々の顧客に特定のコンピューティング環境を提供するために分割することができる方法について説明し、一般的な用語です。この集中型の集約および集中制御は、オンデマンドのセルフサービス、複数のデバイス間での広範なアクセス、リソースプーリング、迅速な弾力性、およびサービスの計量機能をエンドユーザーに提供します。クラウドコンピューティング製品の異なる種類があります。クラウドプロバイダは全体的な実行環境として、そのようなオペレーティングシステム、データベース、及びウェブサーバのようなコンピューティングプラットフォームを提供したときにサービス(PaaSの)などのプラットフォームが整備されています。IaaS(サービス)などのインフラストラクチャである場合には、「生のITネットワーク、「PaaSのは、ITネットワークの上で動作するソフトウェア環境です。

×:クラウドプロバイダは、オペレーティングシステム、データベース、及びウェブサーバを含むコンピューティング・プラットフォームを提供したときにサービスとしてのインフラストラクチャが提供されます。

クラウド・プロバイダーは、オンデマンド配信方法で従来のデータセンターのインフラ環境を提供するときIaaS(サービス)などのインフラが整備されているので、間違っています。企業は、この提供されるインフラストラクチャ上に、独自のオペレーティングシステム、アプリケーション、およびソフトウェアを展開し、それらを維持する責任があります。IaaSクラウドソリューションは、多くの場合、ストレージ、ファイアウォール、VLAN(仮想LAN)、ロードバランシング、および他の伝統的なネットワーク機能などの追加のリソースが含まれています。

×:クラウドプロバイダは、従来のデータセンターと同様の基盤環境を提供したときにソフトウェアサービスが提供される。

サービスとしてのソフトウェア(SaaS型)は、クラウド・プロバイダーは、ユーザーが特定のアプリケーションソフト(CRM、電子メール、ゲーム)へのアクセスを提供したときに所定の位置にあるので、間違っています。プロバイダは、SaaSの流通と利用のために特別に作成したアプリケーションのコピーの指定された番号に顧客のネットワーク・ベースのアクセスを提供します。オファリングのこのタイプでは、クラウド・プロバイダーは、アプリケーションが内で実行インフラやプラットフォームを管理します。アプリケーションへのアクセスは、一般的に、オンデマンドおよび購読料モデルで販売されています。クラウド・プロバイダーは、インストールしたアプリケーションを維持し、エンドユーザーは、クラウドクライアントからリモートでソフトウェアにアクセスします。クラウドのエンドユーザーは、アプリケーションが実行されるクラウドインフラストラクチャとプラットフォームを管理しません。

 

×:クラウドプロバイダは、コンピューティング・プラットフォームの形態のソフトウェア環境を提供したときにサービスとしてのソフトウェアが提供されます。

サービスとしてのソフトウェア(SaaS型)は、クラウド・プロバイダーは、前述したように、ユーザーが特定のアプリケーションソフト(CRM、電子メール、ゲーム)へのアクセスを提供したときに所定の位置にあるので、間違っています。クラウドプロバイダを介して提供されるソフトウェアアプリケーションは、一般的に彼らは高い要求と実行時間を満たすためにスケーラブルであることを可能にするために仮想化されています。問題の会社は一般的に使用されるアプリケーションのためのビジネス要件を持っている場合は、SaaSは最善の解決策かもしれません。この種の状況では、各従業員は、必要なアプリケーションのインスタンスと対話するための資格情報を提供されることになる、とクラウド・プロバイダーは、「舞台裏」維持及び運用の責任のすべてを行うことになります。

#18. 仮想ストレージは、システムメモリ用のRAMと二次記憶装置を組み合わせています。次のうち仮想ストレージに関するセキュリティ上の懸念事項はどれですか?

〇複数のプロセスが同じリソースを使用している

システムは、RAMメモリ空間を拡張するために予約されているハードドライブスペース(スワップスペースと呼ばれる)を使用します。システムが揮発性メモリ空間をいっぱいになると、メモリからハードドライブにデータが書き込まれます。プログラムがこのデータへのアクセスを要求すると、ハードドライブからページフレームと呼ばれる特定の単位でメモリに戻されます。ハードディスクのページに保存されているデータにアクセスすると、物理ディスクの読み書きアクセスが必要になるため、メモリに保存されているデータにアクセスするより時間がかかります。仮想スワップ領域を使用するセキュリティ上の問題は、2つ以上のプロセスが同じリソースを使用し、データが破損または破損する可能性があることです。

 

×:クッキーがメモリ内に永続的に残ることを可能にする

仮想記憶域はCookieに関連していないため、正しくありません。仮想ストレージは、ハードドライブスペースを使用してRAMメモリスペースを拡張します。 Cookieは、主にWebブラウザで使用される小さなテキストファイルです。クッキーには、Webサイト、サイト設定、ショッピング履歴の資格情報を含めることができます。 Cookieは、Webサーバーベースのセッションを維持するためにも一般的に使用されます。

 

×:サイドチャネル攻撃が可能になる

サイドチャネル攻撃は物理的な攻撃であるため、正しくありません。この種の攻撃では、放棄された放射線、処理に要した時間、タスクを実行するために消費された電力などからメカニズム(スマートカードや暗号化プロセッサなど)がどのように機能するかに関する情報を収集します。情報を使用して、そのメカニズムをリバースエンジニアリングして、セキュリティタスクの実行方法を明らかにします。これは仮想ストレージに関連していません。

 

×:2つのプロセスがサービス拒否攻撃を実行できる

オペレーティングシステムがすべてのリソース間でメモリを共有する必要があるため、プロセス間でリソースを共有しているシステム内で最大の脅威は、あるプロセスが他のプロセスのリソースに悪影響を及ぼすことです。これはメモリの場合には、特に当てはまります。なぜならすべてのそれらが機密であるかどうかに関係なく、そこに命令が格納されるからです。2つのプロセスが連携してサービス拒否攻撃を行うことは可能ですが、これは仮想ストレージの使用の有無にかかわらず実行できる攻撃の1つに過ぎません。

#19. サブジェクトとオブジェクト間のアクセス権を安全に開発する方法を定義するセキュリティアーキテクチャモデルはどれですか?

〇:Graham-Denningモデル

Graham-Denningモデルは、サブジェクトとオブジェクト間のアクセス権がどのように定義され、開発され、統合されるかを扱っています。これは、特定のサブジェクトがオブジェクトに対して実行できるコマンドの観点から基本的な権利のセットを定義します。このモデルには、これらのタイプの機能を安全に行う方法に関する8つの基本保護権またはルールがあります。

 

×:Brewer-Nashモデル

ユーザーの以前の操作に応じて動的に変更できるアクセスコントロールを提供することを目的としているため、間違っています。主な目的は、ユーザーのアクセス試行による利益相反から保護することです。たとえば、大規模なマーケティング会社が2つの銀行のマーケティングプロモーションや資料を提供している場合、銀行Aのプロジェクトを担当する従業員は、マーケティング会社が他の銀行顧客である銀行Bの情報を見ることができないはずです。銀行が競争相手であるために利益相反が生じる可能性があります。マーケティング会社のプロジェクトAのプロジェクトマネージャーが、銀行Bの新しいマーケティングキャンペーンに関する情報を見ることができれば、より直接的な顧客を喜ばせるためにプロモーションよりも実行を試みる可能性があります。マーケティング会社は社内の従業員が無責任な行動をとることができてしまうと、評判が悪くなります。

 

×:Clark-Wilsonモデル

データの整合性を保護し、アプリケーション内で適切にフォーマットされたトランザクションが確実に行われるように、Clark-Wilsonモデルが実装されているため、間違っています。サブジェクトは、許可されたプログラムを通じてのみオブジェクトにアクセスできます。職務の分離が強制される。監査が必要です。 Clark-Wilsonモデルは、権限のないユーザーによる変更の防止、権限のないユーザーによる不適切な変更の防止、内部および外部の一貫性の維持という3つの完全性目標に対応しています。

 

×:Bell-LaPadulaモデル

米軍のシステムのセキュリティと分類された情報の漏洩に対する懸念に対応するために開発されたモデルであり、間違っています。モデルの主な目的は、機密情報が不正にアクセスされるのを防ぐことです。これは、アクセス制御の機密性の側面を強制するステートマシンモデルです。マトリックスとセキュリティレベルは、サブジェクトが異なるオブジェクトにアクセスできるかどうかを判断するために使用されます。主題のオブジェクトの分類と比較して、オブジェクト間のやりとりの仕方を制御するための特定の規則が適用されます。

#20. ジェフは新製品に暗号化技術を取り得たい。インターネット上に公開されている暗号化方法を検討しているようだ。どのような助言をするべきか。

暗号アルゴリズムは暗号する計算を指しているものであり、暗号アルゴリズムが公開されていたとしても解読には膨大な労力を割くことになっている。AESなどの現代の暗号を提供する暗号アルゴリズムは公開されている。逆に、自社開発をした場合、脆弱な暗号化を行う可能性があると同時に、大変なリソースを割くことになるためお勧めできない。

終了