模擬試験(ドメイン5)

ドメイン5の試験です。

70%以上で合格になります。

Results

すばらしい!

まだ見ていないコンテンツがあるかも。

#1. ジルは、集中データベース上の情報にアクセスする上で、異なる権限を持つユーザー・グループを必要とする全社売上プログラムを確立しています。セキュリティマネージャは、どのようなデータベースを確保する必要がありますか?

〇:データベースのセキュリティコントロールを増やし、より多くの細かさを提供しています。

この状況でデータベースを保護する最善のアプローチは、コントロールを向上させ、詳細なアクセス許可を割り当てることでしょう。これらの措置は、ユーザーがその権限を乱用し、情報の機密性が維持されることができないことを確実にするでしょう。権限の粒度は、ネットワーク管理者やセキュリティの専門家に彼らが保護で起訴されているリソースに対する追加の制御を与え、細かいレベルは個人に彼らが必要とするアクセスのだけ正確なレベルを与えることができるようになります。

 

×:各ユーザーの権限は、データベースにアクセスするたびに表示されるアクセス制御を実装します。

各ユーザーの権限を表示するアクセス制御を実装すると、彼らはデータベースにアクセスするたびに一つの制御の例であるため、正しくありません。これは、情報の完全なデータベースへのユーザーアクセスを扱うの全体的な方法ではありません。これは、データベースのセキュリティ管理を向上させる例であってもよいですが、適所に限られる必要があります。

 

×:より高いセキュリティステータスにデータベースの分類ラベルを変更します。

データベース内の情報の分類レベルが以前にその機密性、完全性、可用性のレベルに基づいて決定されるべきです。この選択肢は、より高いレベルの権限を与えましょうという意味合いになりますが、問題文にセキュリティレベルが不適切である旨はありません。

 

×:セキュリティを減らします。必要に応じて、すべてのユーザーが情報にアクセスできるようにします。

セキュリティを減らすという回答は、正しくありません。

#2. SElinuxを設定した。どのアクセス制御に則っていることになるか。

〇:強制アクセス制御(MAC)

強制アクセス制御(MAC)とは、リソースをあらかじめレベル分けによってアクセス権限を強制させるアクセス制御です。データファイルに対するアクセス権にはいくつか種類があります。データファイルの使用者、データファイルを作成する所有者、どの所有者ならデータを作成できるかを決める管理者に分けられます。ここで、所有者であろうとも自分のデータファイルに誰がアクセスしてよいか決めれず、管理者しかアクセス権限変更できないのが、強制アクセス制御です。SELinux、TOMOYO Linux、Trusted BSD、Trusted Solaris はMACで使われる方式です。よって正解は、「強制アクセス制御(MAC)」になります。

 

×:任意アクセス制御(DAC)

任意アクセス制御(DAC、Discretionary Access Control)とは、アクセス対象の所有者であればアクセス権限を変えることができるアクセス制御方式です。UNIXやWindowsはDACで使われる方式です。

 

×:役割アクセス制御(RAC)

そのような言葉はありません。近いところでは、ロールベースアクセス制御としてアカウントを役割で分け、役割に対してアクセス制御をかけるものがあります。

 

×:随意アクセス制御(VAC)

そのような言葉はありません。

#3. ヘルプデスク通話量は減少し、パスワードが侵害された場合に複数のリソースにアクセスが容易になるパスワード管理方法はどれでしょうか。

〇:別システム間でのパスワード同期

パスワード同期は、異なるシステムの異なるパスワードを維持する複雑さを軽減するように設計されています。 パスワード同期技術により、パスワードを他のシステムに対してリアルタイムに透過的に同期させることで、複数のシステム間で単一のパスワードを維持することができます。 これにより、ヘルプデスクの通話量が減ります。 しかし、このアプローチのデメリットの1つは、異なるリソースにアクセスするために1つのパスワードしか使用されていません。ハッカーはすべてのリソースへの不正アクセスを得るために1つの資格情報セットを把握すればよいことになります。よって正解は、「別システム間でのパスワード同期」になります。

 

×:管理者問い合わせによるパスワードのリセット

エンドユーザーから管理者に問い合わせる必要があるため、ヘルプデスク対応量を減らしているとは言えません。

 

×:セルフサービスによるエンドユーザー手動でのパスワードリセット

いわゆる、プロフィールページから自分自身でパスワードを変更する形です。

ヘルプデスク対応量を減少させることができる最も現実的な方法ですが、パスワードが侵害された場合に複数のリソースにアクセスが容易になるという条件に合いません。

 

×:問い合わせによるパスワードリセット

エンドユーザーから管理者に問い合わせる必要があるため、ヘルプデスク対応量を減らしているとは言えません。管理者が付こうが付くまいが問い合わせは問い合わせです。

#4. アクセス制御を導入するシステムの設計思想として、分散するか統合するかに大きく分かれる。分散アクセス制御の利点はどれでしょうか。

〇:リソースに近い場所でアクセス制御できること。

中央アクセス制御は、統一的なルール、運用負担の軽減など様々な利点があります。分散アクセス制御では、リソースに近い場所でアクセス制御できるため、リソースを独立して保護することができます。よって正解は、「リソースに近い場所でアクセス制御できること。」になります。

 

×:包括的な設計が可能であること。

分散アクセス制御では、認証・認可機能が分散しているため、包括的な設計とは言えません。

 

×:比較的コストが抑えられること。

コストが抑えられるかどうかは、この設計思想だけでは決められないでしょう。

 

×:様々な機器からのログで現状を把握しやすくなる。

中央アクセス制御でも分散アクセス制御でも様々な機器からのログの取得はできます。

#5. レインボーテーブルへの効果的な対策はどれですか?

〇:サルト

レインボーテーブルとは、プレーンテキストと一致する暗号文の事前に作成されたリストであり、パスワードと一致するハッシュを持ちます。テーブルには数百万のペアを含めることができます。サルト(Salting)とは、パスワードまたはパスフレーズを「ハッシュ」する一方向関数への追加入力として使用されるランダムデータです。ソルトの主な機能は、辞書攻撃またはコンパイル済みのレインボーテーブル攻撃から防御することです。

 

×:ログイン試行制限

あらゆる不正ログイン方法に有効ですが、レインボーテーブルに対する直接的な、効果的な対策ではありません。

 

×:キーストレッチング

暗号化を目的に、パスワードをより長くランダムな文字列に置き換えることです。

 

×:ハッシュ化

パスワードハッシュとは、パスワードを安全に保管するために固定長の暗号(ハッシュ)文です。

#6. 米国では、連邦政府機関は連邦情報処理標準(Federal Information Processing Standard:FIPS)201-2を遵守して、次のうちどれを保証する必要がありますか?

〇:公務員の身元が適切に確認されたこと

FIPS 201-2は、個人の身元確認(PIV)のための米国政府の基準を定め、保証の様々な要件を与えています。 政府職員や契約代理店による制限された情報へのアクセスは、そのクリアランスのレベルとそれを知る必要性に左右されますが、まず政府は、その個人が彼らが誰であるかを保証する必要があります。

 

×:公務員が割り当てられた作業のために適切に清算されていること

政府職員は、アクセス権が与えられた情報について適切に清算されなければならないため、そのようなアクセスの前に真の身分証明書が審査と確認のために利用可能でなければなりません。

 

×:公務員は、そのクリアランスレベルのデータへのアクセスのみが許可されている

政府職員は、知り合いになり、アクセスする必要のある情報にアクセスするだけで済むので、間違っています。 しかし、ここでも、これは、所有するクリアランスが有効であるという明確な保証レベルに基づいていなければなりません。

 

×:公務員がアクセスできるデータが適切に分類されていること

データの分類が個人情報の検証に直接関係していないため、正しくありません。

#7. 次のうちどれが集中アクセス制御プロトコルでしょうか。

〇:Diameter

Diameterは、RADIUSやTACACS などの機能性の同じ種類を提供だけでなく、今日の複雑で多様なネットワークの新たな需要を満たすために、より柔軟性と機能を提供する認証、認可、および監査(AAA)プロトコルです。一度、すべてのリモート通信はポイントツーポイントプロトコル(PPP)とシリアルラインインターネットプロトコル(SLIP)接続を介して行われ、ユーザーはパスワード認証プロトコル(PAP)またはチャレンジハンドシェイク認証プロトコル(CHAP)を介して自分自身を認証されました。技術ははるかに複雑になっており、これまで以上から選択する複数のデバイスおよびプロトコルがあります。Diameterプロトコルは、モバイルIP、PPP、ボイスオーバーIP(VoIP)の、および他のオーバーイーサネット、無線デバイス、スマートフォン、および他のデバイスがローミングプロトコルを使用してネットワークに自身を認証できるようにすることができます。

 

×:ウォッチドッグ

ウォッチドッグタイマは、一般に、そのようなプロセスが異常終了やハングなどのソフトウェア障害を検出するために使用されているので、間違っています。ウォッチドッグ機能は、サービスが応答しているかどうかを決定するために、「ハートビート」パケットを送出します。そうでない場合、処理を終了またはリセットすることができます。これらのパケットは、ソフトウェアのデッドロック、無限ループ、およびプロセスの優先順位付けの問題を防ぐのに役立ちます。この機能は、パケットが再送信され、問題が発生して接続が閉じられ、再び開かれるべきであるかどうかをする必要があるかどうかを決定するためにAAAプロトコルで用いることができるが、それはアクセス制御プロトコル自体ではありません。

 

×:RADIUS

リモート認証ダイヤルインユーザーサービス(RADIUS)は、ネットワークプロトコルであり、リモートユーザーのためのクライアント/サーバ認証、認可、および監査を提供するため、間違っています。

 

×:TACACS

ターミナルアクセスコントローラアクセス制御システムプラス(TACACS )は、基本的にはRADIUSと同じ機能を提供するため、正しくありません。

#8. 従業員が離職したタイミングにおいて、実施すべきプロビジョニング処理はなんでしょうか。

〇:速やかに従業員専用のアカウントを利用停止すること。

プロビジョニングとは、システムで使用するアカウントを追加することです。反対にアカウントを削除することをデプロビジョニングと言います。従業員が離職したタイミングにおいて、従業員のアカウントを停止するべきです。元社員に対して組織のリソースへのアクセス権限を与えることは情報漏洩になります。よって正解は、「速やかに従業員専用のアカウントを利用停止すること。」になります。

 

×:従業員の貸し出しパソコンを回収すること。

プロビジョニングではありませんが、従業員が離職したタイミングで行うべきことではあります。

 

×:NDAを結ぶこと。

秘密保持契約(NDA, Non-Disclosure Agreement)とは、取引上で知った相手方の営業秘密などを、他人に開示することを禁止する契約のことです。プロビジョニングではありません。

 

×:従業員の個人連絡先を確保すること。

通常の会社であればそのようなプライベートな情報を離職時に集めようとはしません。プロビジョニングではありません。

#9. サブジェクトに対してクリアランスとオブジェクトラベルを定義するアクセス制御はどれですか?

MAC(強制アクセス制御)とは、機密性が最も重要な場合によく使用されます。オブジェクトへのアクセスは、ラベルとクリアランスによって決定されます。これは、軍隊などの機密性が非常に重要な組織でよく使用されます。

#10. 機能テーブルは主にどの項目に基づいていたテーブルでしょうか?

〇:サブジェクト

機能テーブルは、特定のサブジェクトが特定のオブジェクトに関する所有するアクセス権を特定する。各サブジェクトが、読み込みや書き込みが実行などの機能(能力)についてマッピングされています。よって、選択肢の中で当てはまりそうなのはサブジェクトになります。

 

×:オブジェクト

オブジェクトが機能コンポーネントではなくアクセス制御リスト(ACL)にバインドされているため、正しくありません。

 

×:プロダクト

製品(プロダクト)は、サブジェクトやオブジェクト、もしくは機能テーブルを実装するための例にすぎませんので、間違っています。

 

×:アプリケーション

アプリケーションは、オブジェクトの具体例にすぎませんので、間違っています。

#11. フォーマックは、モバイルアプリの開発を行う上で適切な認証をユーザに求める設計を検討している。2要素認証になっておらず、セキュリティ強化になっていないものはどれでしょうか。

〇:パスワード認証と秘密の質問

パスワードは記憶を使った認証方式です。秘密の質問も同じく記憶の認証方式であり、2要素の認証方式の組み合わせではありません。よって正解は、「パスワード認証と秘密の質問」となります。

 

×:パスワード認証と指紋認証

記憶認証情報×身体認証情報です。多要素認証となっています。

 

×:パスワード認証とトークン機を使ったワンタイムパスワード認証

記憶認証情報×所持認証情報です。多要素認証となっています。

 

×:パスワード認証とICカード認証

記憶認証情報×所持認証情報です。多要素認証となっています。

#12. SAML(Security Assertion Markup Language)は、異なるセキュリティドメイン上のシステム間で認証および認可データを交換するXMLベースの標準です。 SAMLでは、認証がどのように行われたか、エンティティの属性、エンティティがアクセスする権限など、認証情報の共有が可能です。 次のうち正しいSAMLコンポーネントに関連付けられた定義はどれですか?

〇:SAMLアサーションは、IDフェデレーションと分散システムを可能にするために使用されます。

SAMLは、2つの当事者が1つのエンティティに関する認証情報を共有できるようにするモデルを提供します。 2つの当事者は、サービスプロバイダ(SP)とアイデンティティプロバイダ(IdP)と見なされます。 アイデンティティプロバイダは、サブジェクトが認証されているか、特定の属性を持っているかどうかなど、プリンシパルに関する情報をアサートします。 サービスプロバイダは、アイデンティティプロバイダが提供する情報を使用して、アイデンティティプロバイダのアサーションを信頼するかどうかなど、自身が提供するサービスに対するアクセスの決定を行います。 アイデンティティプロバイダの情報を信頼することにより、サービスプロバイダは、プリンシパルに再度認証を要求することなくサービスを提供することができます。このフレームワークにより、フェデレーションによる識別とドメイン間の分散認証が可能になります。

SAMLアサーションとは、アイデンティティプロバイダで認証処理後にサービスプロバイダに返却されるSAMLレスポンス内に含まれるプリンシパルに関する情報になります。よって正解は、「SAMLアサーションは、IDフェデレーションと分散システムを可能にするために使用されます。」になります。

 

×:SAMLによる権限が特定のサブジェクトを検証したことを示す2つのSAMLアサーション(認証、認可)が使用されます。

アイデンティティプロバイダは、2つのSAMLアサーションが返却しません。1つのリクエストにつき、1つのアサーションを返却します。

 

×:SAMLバインディング仕様では、TCPおよびUDPプロトコル内にSAMLメッセージを埋め込む方法について説明しています。

SAMLバインディングとは、 アイデンティティプロバイダとサービスプロバイダどのようにSAML情報を連携するかの方法になります。TCPおよびUDPプロトコル内という意味合いで分類はされていません。

 

×:SAMLプロファイルは、リフレッシュトークン発行のための定義が存在します。

リフレッシュトークンは、OAuth/OIDC系列での概念になります。

#13. ハンナはWebアクセス管理(WAM)ソフトウェアをインストールするタスクを割り当てられています。 WAMが一般的に使用されている環境について、適切な説明は何でしゅうか?

Webアクセス管理(WAM)ソフトウェアは、Webブラウザを使用してWebベースの企業資産と対話するときに、ユーザーがアクセスできるものを制御します。 このタイプのテクノロジは、継続的により堅牢になり、展開の増加を経験しています。 これは、電子商取引、オンラインバンキング、コンテンツ提供、Webサービスなどの利用が増加したためです。 Webアクセス制御管理プロセスの基本的なコンポーネントとアクティビティは次のとおりです。

  1. ユーザーがWebサーバーに資格情報を送信します。
  2. WebサーバーはWAMプラットフォームにユーザーの認証を要求します。 WAMはLDAPディレクトリに対して認証を行い、ポリシーデータベースから認証を取得します。
  3. リソース(オブジェクト)へのユーザーのアクセス要求します。
  4. Webサーバーは、オブジェクトアクセスが許可されていることを確認し、要求されたリソースへのアクセスを許可します。

WAMというややこしい用語が出てくると、自分の脳内の末端にあるかもしれないWAMの定義を探す旅が始まります。しかし、このような思考が始まると、X.500データベースのような難しい答えをあなたは望むようになるでしょう。しかし、知らなければ自分の理解のできる範囲に解釈し解答することが真っ当です。WAMをWebサーバーのアクセスを制御するソフトウェアという解釈になれば、「WAMの定義として正しいものはどれか?」というよりも「Webサーバーのアクセスを制御するソフトウェアは何をすると思うか?」という極々自然な質問にできます。とは言え、それでもWAMは特有の技術を使ったソリューションで聞きなれない技術を使っている可能性を織り込みたくなりますけどね。

#14. ワンタイムパスワードを使用する場合、どの認証タイプを指していますか?

使い捨てパスワードとワンタイムパッドは、パスワードですがあなたが所有しているものから生成されるものであり、あなたが知っているものではありません。つまり、所持です。

#15. セキュリティ対策は、ユーザーや攻撃者にとって透過的でなければなりません。透明性を記載していないものはどれですか?

残念なことに、セキュリティコンポーネントは通常、システムのパフォーマンスに影響を与えますが、ユーザーに気付かれません。 システムのパフォーマンスが著しく遅い場合、セキュリティ対策が施行されている可能性があります。 コントロールが透過的でなければならない理由は、ユーザーと侵入者がそれらを無効にしたりバイパスしたりすることを十分に知らないようにするためです。

透過性という言葉をセキュリティの領域において理解していることも重要ですが、問題を解くという意味合いでは、別の回答方法もあります。それがグループ分けです。4択問題において答えが一つしかないのであれば、同じ意味を持つ回答は正解にはなりません。よって、グループ分けすることで、唯一グループに属さない答えが正解になります。

そして、この問題でのポイントはユーザーが知っているかどうかです。他の選択肢を見ると、正規のユーザーであれ、攻撃者であれ外部の人間としてサーバー側の状況が伝わることを示しているのに対して、一つだけサーバー管理者側の認知になっています。

#16. ビジネスの境界を越えて使用することができるアイデンティティ管理技術でしょうか。

〇:フェデレーションアイデンティティ

フェデレーションアイデンティティは、ビジネスの境界を越えて使用することができ、ポータブルアイデンティティおよびそれに関連する資格です。これは、ユーザーが複数のITシステムや企業全体にわたって認証することができます。フェデレーションアイデンティティは、同期やディレクトリの情報を統合する必要がなく、2つ以上の位置でユーザーのそれ以外の場合明確なアイデンティティをリンクに基づいています。フェデレーテッド・アイデンティティは、企業や消費者に分散されたリソースにアクセスするためのより便利な方法を提供し、電子商取引の重要なコンポーネントです。

 

×:ユーザー・プロビジョニング

ユーザー・プロビジョニングは、作成、保守、ユーザオブジェクトおよび属性の非アクティブ化を参照しているので、間違っています。

 

×:ディレクトリ

ほとんどの企業は、企業のネットワークリソースおよびユーザーに関する情報が含まれているディレクトリのいくつかのタイプを持っている一方で、一般的にこれらのディレクトリは異なる企業に広がるような利用はされません。確かに昨今ではオープンAPI化とクラウドにより、一つのディレクトリによってサービスを展開する動きもありますが、しかしディレクトリサービス自体にリソース共有の意味合いは含まれていません。違う言い方をすれば、共有サービスとして使っているだけです。

 

×:ウェブアクセス管理

Webアクセス管理(WAM)ソフトウェアは、Webベースの企業資産と対話するためのWebブラウザを使用している場合、ユーザーがアクセスできるかを制御するため、正しくありません。

#17. セキュリティを維持するために監査が必要である。その中でもプロビジョニングが適切に行われていることを保証していきたい。プロビジョニングではないものはどれでしょうか。

〇:セキュリティドキュメントに対するレビューおよび評価すること。

プロビジョニングとは、アカウント情報の管理を指します。ドキュメントのレビューはプロビジョニングに含ません。よって正解は、「セキュリティドキュメントに対するレビューおよび評価すること。」になります。

 

×:従業員が会社を離れるとき、速やかにアカウントを無効にすること。

組織に所属しているユーザーとアカウント利用に関する適切なプロビジョニングです。

 

×:定期的な見直しを行い、最小権限の原則を守ること。

アカウントのアクセス権限に対する適切なプロビジョニングです。

 

×:不要になったアカウントは適宜削除すること。

必要最低限のアカウント情報の管理に対する適切なプロビジョニングです。

#18. PIN、パスワード、パスフレーズはすべてどの認証タイプですか?

タイプ1認証とはあなたが知っていることを認証情報として扱います。パスワード、パスフレーズ、PINなどによって達成され知識要素とも呼ばれます。

#19. エミリーは、ネットワークトラフィックを観察し、それらから認証サーバに送信されるパスワードを取得しています。彼女は将来の攻撃の一部としてパスワードを使用することを計画しています。これは攻撃のタイプは何ですか?

〇:リプレイ攻撃

リプレイ攻撃は、侵入者が取得した情報を格納したときに発生し、後で不正にアクセスするためにそれを使用しています。この場合には、エミリーは、認証サーバにワイヤを介して送信されたパスワードを取得するために電子監視(スニッフィング)と呼ばれる技術を使用しています。彼女は後にネットワークリソースにアクセスするためにパスワードを使用することができます。パスワードが暗号化されている場合でも、有効な資格情報の再送信は、アクセスを得るのに十分であることができます。

 

×:ブルートフォース攻撃

ブルートフォース攻撃は、多くの可能な文字、数字、記号の組み合わせを介して、サイクルがパスワードを発見するためのツールを用いて行われるため、正しくありません。

 

×:辞書攻撃

辞書攻撃は、単語の数千のファイルへのユーザーのパスワードの自動比較を含むので、間違っています。

 

×:ソーシャルエンジニアリング攻撃

ソーシャルエンジニアリング攻撃で、攻撃者が誤って彼女が特定のリソースにアクセスするために必要な権限を持っていることを個人を説得するため、間違っています。

#20. 時刻ベースでワンタイムパスワードを生成できる技術はどれでしょうか。

〇:時間ベース同期動的トークン

同期トークンデバイスは、認証処理のコア部分として時間またはカウンタを使用して認証サービスと同期します。同期が時間基づいている場合、トークンデバイスおよび認証サービスは、その内部クロック内で同じ時間を保持しなければなりません。トークンデバイスと秘密鍵の時間値は、ユーザーに表示されるワンタイムパスワードを生成するために使用されます。その次に、ユーザーは認証サービスを実行しているサーバーに渡し、コンピュータにこの値とユーザーIDを入力します。認証サービスはこの値を復号し、期待値と比較します。両者が一致した場合、ユーザーは認証され、コンピュータ及びリソースの使用を許可されています。

 

×:カウンターベース同期動的トークン

トークンデバイスと認証サービス使用カウンタ同期場合、それは時間に基づいていないため、正しくありません。カウンタ同期トークンデバイスを使用する場合、ユーザはトークンデバイス上のボタンを押すことにより、ワンタイムパスワードの作成を開始する必要があります。これは、次の認証値に進めるためのトークンデバイスと認証サービスを引き起こします。この値は、ベース秘密はハッシュされ、ユーザに表示されます。ユーザーが認証されるユーザーIDと一緒に、この結果の値を入力します。タイムまたはカウンタベースのいずれかの同期では、トークンデバイスおよび認証サービスは、暗号化と復号に使用したのと同じ秘密基地の鍵を共有する必要があります。

 

×:非同期トークン

非同期トークン生成方法を用いて、トークンデバイスがユーザを認証するためのチャレンジ/レスポンス方式を採用しているため、間違っています。この技術は、同期を使用する代わりに、認証プロセスにおける個別のステップを使用していません。

 

×:必須トークン

必須トークンのようなものが存在しないため、間違っています。これは、不正解の答えです。

終了