模擬試験(ドメイン5)

ドメイン5の試験です。

70%以上で合格になります。

Results

すばらしい!

まだ見ていないコンテンツがあるかも。

#1. コンピューターの経験がほとんどないが不正アクセスをしているとすれば、その犯人はどのような手法を講じていると考えられるか?最も近いものを選びなさい。

〇:ショルダーサーフィン攻撃

ショルダーサーフィンとは、攻撃者が他の人の肩越しに、その人のモニター上のアイテムやキーボードで何が入力されているかを見るブラウジング攻撃の一種です。 リストされている攻撃の中で、これはコンピュータシステムに関する知識を必要としない点で実行するのが最も簡単です。よって正解は、「ショルダーサーフィン攻撃」になります。

 

×:辞書攻撃

辞書攻撃とは、単語をパスワードにしているユーザを狙う不正ログインです。

 

×:サイドチャネル攻撃

サイドチャネル攻撃とは、物理的な情報からシステムデータを盗聴する攻撃です。

 

×:タイミング攻撃

タイミング攻撃とは、暗号を処理する機器に対して、様々な入力情報を与えて、処理時間の違いから暗号鍵などを推測する攻撃です。処理時間がかかっていれば、その分処理として正常に進んでいることを目安として推測できるなどが挙げられる。

#2. ワンタイムパスワードを生成する技術はどれでしょうか?ただし、サービスが自動的に行う、ワンタイム性のある文字列のやり取りは除外します。

〇:同期動的トークンデバイス

同期動的トークンデバイスは、認証処理のコア部分として時間またはカウンタを使用して認証サービスと同期します。同期が時間に基づいている場合、トークンデバイスと認証サービスはその内部クロック内で同じ時間を保持しなければなりません。トークンデバイスと秘密鍵の時間値は、ユーザーに表示されるワンタイムパスワードを生成するために使用されます。次に、ユーザーは認証サービスを実行しているサーバーに渡し、コンピュータにワンタイムパスワードとユーザIDを入力します。認証サービスはこの値を復号し、期待値と比較します。両者が一致した場合、ユーザーは認証され、コンピュータ及びリソースの使用を許可されています。よって正解は、「同期動的トークンデバイス」になります。

 

×:カウンターシングルトークン

そのような言葉はありません。

 

×:非同期動的トークン

非同期動的トークンとは、認証サーバとデバイス間で同期する情報を取りえないトークンです。多くの場合、チャレンジレスポンス認証という方法が利用されます。

 

×:必須トークン

そのような言葉はありません。

#3. PIN、パスワード、パスフレーズはすべてどの認証タイプですか?

タイプ1認証とはあなたが知っていることを認証情報として扱います。パスワード、パスフレーズ、PINなどによって達成され知識要素とも呼ばれます。

#4. サブジェクトに対してクリアランスとなるアクセス制御設定と、オブジェクトに対してラベルを定義することで両面から制御するアクセス制御はどれですか?

MAC(強制アクセス制御)とは、機密性が最も重要な場合によく使用されます。アクセスは、オブジェクトラベルとサブジェクトクリアランスによって決定されます。

#5. 侵入者がユーザーのパスワードを明らかにするブルートフォース攻撃を削減するための最良の方法は、次のうちどれですか?

〇:クリッピングレベルに達した後に、一定時間アカウントをロックアウトします。

ブルートフォース攻撃は継続的に、その後の不正アクセスの資格を取得するために使用できる事前定義された目標を達成するために、異なる入力をしようとする攻撃です。パスワードを発見するブルートフォース攻撃は、侵入者が正しいパスワードを明らかに文字のすべての可能な配列をしようとしていることを意味します。このような適当な文字列を打ち込み続ける試行に対しては、試行が失敗した後、自動的にアカウントが無効(またはロックアウトされた)するのは良い対策です。

 

×:クリッピングレベルを上げ、さらに余地を設けます。

クリッピングレベルは、ユーザーの活動と許容可能な誤差のベースラインを確立するために実装する必要があるため、間違っています。クリッピングレベルが満たされた後のアカウントにログインしようとするエンティティがロックアウトされるべきです。高いクリッピングレベルが警告またはロックアウトの間、攻撃者より多くの試みを与えます。クリッピングレベルを下げると良い対策になります。

 

×:失敗したログイン試行のしきい値が満たされた後に、管理者が手作業でアカウントをロックアウトする。

管理者が手作業でアカウントをロックアウトすることは現実的ではないので、間違っています。アカウントは自動的に失敗したログイン試行のしきい値が満たされた後、一定の時間のためにロックアウトされるべきです。

 

×:パスワードファイルを暗号化し、より弱いアルゴリズムを選択します。

パスワードおよび/またはパスワード・ファイルを暗号化し、より弱いアルゴリズムを使用すると、ブルートフォース攻撃の成功の可能性を増加させるため、正しくありません。

#6. セキュリティを維持するために監査が必要である。その中でもプロビジョニングが適切に行われていることを保証していきたい。プロビジョニングではないものはどれでしょうか。

〇:セキュリティドキュメントに対するレビューおよび評価すること。

プロビジョニングとは、アカウント情報の管理を指します。ドキュメントのレビューはプロビジョニングに含ません。よって正解は、「セキュリティドキュメントに対するレビューおよび評価すること。」になります。

 

×:従業員が会社を離れるとき、速やかにアカウントを無効にすること。

組織に所属しているユーザーとアカウント利用に関する適切なプロビジョニングです。

 

×:定期的な見直しを行い、最小権限の原則を守ること。

アカウントのアクセス権限に対する適切なプロビジョニングです。

 

×:不要になったアカウントは適宜削除すること。

必要最低限のアカウント情報の管理に対する適切なプロビジョニングです。

#7. SElinuxを設定した。どのアクセス制御に則っていることになるか。

〇:強制アクセス制御(MAC)

強制アクセス制御(MAC)とは、リソースをあらかじめレベル分けによってアクセス権限を強制させるアクセス制御です。データファイルに対するアクセス権にはいくつか種類があります。データファイルの使用者、データファイルを作成する所有者、どの所有者ならデータを作成できるかを決める管理者に分けられます。ここで、所有者であろうとも自分のデータファイルに誰がアクセスしてよいか決めれず、管理者しかアクセス権限変更できないのが、強制アクセス制御です。SELinux、TOMOYO Linux、Trusted BSD、Trusted Solaris はMACで使われる方式です。よって正解は、「強制アクセス制御(MAC)」になります。

 

×:任意アクセス制御(DAC)

任意アクセス制御(DAC、Discretionary Access Control)とは、アクセス対象の所有者であればアクセス権限を変えることができるアクセス制御方式です。UNIXやWindowsはDACで使われる方式です。

 

×:役割アクセス制御(RAC)

そのような言葉はありません。近いところでは、ロールベースアクセス制御としてアカウントを役割で分け、役割に対してアクセス制御をかけるものがあります。

 

×:随意アクセス制御(VAC)

そのような言葉はありません。

#8. レインボーテーブルへの効果的な対策はどれですか?

〇:サルト

レインボーテーブルとは、プレーンテキストと一致する暗号文の事前に作成されたリストであり、パスワードと一致するハッシュを持ちます。テーブルには数百万のペアを含めることができます。サルト(Salting)とは、パスワードまたはパスフレーズを「ハッシュ」する一方向関数への追加入力として使用されるランダムデータです。ソルトの主な機能は、辞書攻撃またはコンパイル済みのレインボーテーブル攻撃から防御することです。

 

×:ログイン試行制限

あらゆる不正ログイン方法に有効ですが、レインボーテーブルに対する直接的な、効果的な対策ではありません。

 

×:キーストレッチング

暗号化を目的に、パスワードをより長くランダムな文字列に置き換えることです。

 

×:ハッシュ化

パスワードハッシュとは、パスワードを安全に保管するために固定長の暗号(ハッシュ)文です。

#9. ビジネスの境界を越えて使用することができるアイデンティティ管理技術は何というでしょうか。

〇:フェデレーションアイデンティティ

フェデレーションアイデンティティは、ビジネスの境界を越えて使用することができ、ポータブルアイデンティティおよびそれに関連する技術です。これは、ユーザーが複数のITシステムや企業全体にわたって認証することができます。フェデレーションアイデンティティは、同期やディレクトリの情報を統合する必要がなく、2つ以上の位置でユーザーのそれ以外の場合明確なアイデンティティをリンクに基づいています。フェデレーションアイデンティティは、企業や消費者に分散されたリソースにアクセスするためのより便利な方法を提供し、電子商取引の重要なコンポーネントです。

 

×:ユーザー・プロビジョニング

ユーザー・プロビジョニングは、ユーザーアカウントの作成、保守、ユーザオブジェクトおよび属性の非アクティブ化を参照しているので、間違っています。

 

×:ディレクトリ

ほとんどの企業は、企業のネットワークリソースおよびユーザーに関する情報が含まれているディレクトリのいくつかのタイプを持っている一方で、一般的にこれらのディレクトリは異なる企業に広がるような利用はされません。確かに昨今ではオープンAPI化とクラウドにより、一つのディレクトリによってサービスを展開する動きもありますが、しかしディレクトリサービス自体にリソース共有の意味合いは含まれていません。

 

×:ウェブアクセス管理

Webアクセス管理(WAM)ソフトウェアは、Webベースの企業資産と対話するためのWebブラウザを使用している場合、ユーザーがアクセスできるかを制御するものであるため、正しくありません。

#10. エミリーは、ネットワークトラフィックを観察し認証サーバに送信されるパスワードを取得しています。彼女は将来の攻撃の一部としてパスワードを使用することを計画しています。この攻撃のタイプは何ですか?

〇:リプレイ攻撃

リプレイ攻撃は、侵入者が取得した情報を格納したときに発生し、後で不正にアクセスするためにそれを使用しています。この場合には、エミリーは、認証サーバにワイヤを介して送信されたパスワードを取得するために電子監視(スニッフィング)と呼ばれる技術を使用しています。彼女は後にネットワークリソースにアクセスするためにパスワードを使用しようとしているでしょう。パスワードが暗号化されている場合でも、有効な資格情報の再送信は、アクセスを得るのに十分である可能性もあります。

 

×:ブルートフォース攻撃

ブルートフォース攻撃は、多くの可能な文字、数字、記号の組み合わせを介して、サイクルがパスワードを発見するためのツールを用いて行われるため、正しくありません。

 

×:辞書攻撃

辞書攻撃は、単語の数千のファイルへのユーザーのパスワードの自動比較を含むので、間違っています。

 

×:ソーシャルエンジニアリング攻撃

ソーシャルエンジニアリング攻撃で、攻撃者が誤って彼女が特定のリソースにアクセスするために必要な権限を持っていることを個人を説得するため、間違っています。

#11. ジルは、集中データベース上の情報にアクセスする上で、異なる権限を持つユーザー・グループを必要とする全社売上プログラムを確立しています。セキュリティマネージャは、どのようなデータベースを確保する必要がありますか?

〇:より多くの細かなセキュリティコントロールを提供する。

この状況でデータベースを保護する最善のアプローチは、コントロールを向上させ、詳細なアクセス許可を割り当てることでしょう。これらの措置は、ユーザーがその権限を乱用し、情報の機密性が維持されることができないことを確実にするでしょう。権限の粒度は、ネットワーク管理者やセキュリティの専門家に彼らが保護で起訴されているリソースに対する追加の制御を与え、細かいレベルは個人に彼らが必要とするアクセスのだけ正確なレベルを与えることができるようになります。

 

×:各ユーザーの権限は、データベースにアクセスするたびに表示されるアクセス制御を実装する。

各ユーザーの権限を表示するアクセス制御を実装すると、データベースにアクセスするたびに一つの制御の例であるため、正しくありません。これは、情報の完全なデータベースへのユーザーアクセスを扱うの包括的な解決方法ではありません。これは、データベースのセキュリティ管理を向上させる例であってもよいですが、適所に限られる必要があります。

 

×:より高いセキュリティステータスにデータベースの分類ラベルを変更します。

データベース内の情報の分類レベルが以前にその機密性、完全性、可用性のレベルに基づいて決定されるべきです。この選択肢は、より高いレベルの権限を与えるという意味合いになりますが、問題文にセキュリティレベルが不適切である旨はありません。

 

×:セキュリティレベルを低くします。必要に応じて、すべてのユーザーが情報にアクセスできるようにします。

セキュリティレベルを低くするという回答は、好ましくありません。

#12. ハンナはWebアクセス管理(WAM)ソフトウェアをインストールするタスクを割り当てられています。 WAMが一般的に使用されている環境について、適切な説明は次のうちどれか?

Webアクセス管理(WAM)ソフトウェアは、Webブラウザを使用してWebベースの企業資産と対話するときに、ユーザーがアクセスできるものを制御します。電子商取引、オンラインバンキング、コンテンツ提供、Webサービスなどの利用が増加したためニーズが高まりました。Webアクセス制御管理プロセスの基本的なコンポーネントとアクティビティは次のとおりです。

  1. ユーザーがWebサーバーに資格情報を送信します。
  2. WebサーバーはWAMプラットフォームにユーザーの認証を要求します。 WAMはLDAPディレクトリに対して認証を行い、ポリシーデータベースから認証を取得します。
  3. リソース(オブジェクト)へのユーザーのアクセス要求します。
  4. Webサーバーは、オブジェクトアクセスが許可されていることを確認し、要求されたリソースへのアクセスを許可します。

WAMというややこしい用語が出てくると、自分の脳内の末端にあるかもしれないWAMの定義を探す旅が始まります。しかし、この問題の論点は定義を探すことではありません。WAMを単純に「自身のリソースへのアクセス管理」と解釈すれば、少なくとも外部エンティティに対する制御であることが導かれます。試験ではどうしても正当化確率の高い方にベットすることが迫られることがあります。

#13. アクセス制御マトリックスは、サブジェクトとオブジェクトとの間のアクセスを制御するために、多くのオペレーティングシステムやアプリケーションで使用されています。この列軸に分割したリストは一般には何と呼ばれていますか?

〇:アクセス制御リスト(ACL)

アクセス制御リスト(ACL)は、オブジェクトへのアクセス制御マトリックスから得ることができます。ACLは、複数のオペレーティングシステム、アプリケーション、およびルータの構成で使用されています。彼らは、特定のオブジェクトへのアクセスを許可されている項目のリストであり、それらは付与される許可のレベルを定義します。認可は、個人またはグループに指定することができます。そのため、ACLはオブジェクトにバインドし、被験者がそれにアクセスできるかを示し、および機能テーブルは、対象にバインドされ、被写体がアクセスできるオブジェクトかを示すされています。

 

×:機能テーブル

機能テーブルは、アクセス制御マトリックスの行に当たります。

 

×:制約インタフェース

制約インタフェースは、それらが特定の機能や情報を要求したり、特定のシステムリソースへのアクセスを持っていないようにすることによって、ユーザーのアクセス能力を制限するため、間違っています。

 

×:ロールベース

ロールベースのアクセス制御(RBAC)モデルは、サブジェクトの役割に応じて特定のオブジェクトに対するアクセス権を決定するためのコントロールです。間違っています。

#14. 登録デバイスからワンタイムパスワードを使用する場合、どの認証タイプを指していますか?

使い捨てパスワードとワンタイムパッドは、パスワードですがあなたが所有しているものから生成されるものであり、あなたが知っているものではありません。つまり、所持です。

#15. フォーマックは、モバイルアプリの開発を行う上で適切な認証をユーザに求める設計を検討している。2要素認証になっておらず、セキュリティ強化になっていないものはどれでしょうか。

〇:パスワード認証と秘密の質問

パスワードは記憶を使った認証方式です。秘密の質問も同じく記憶の認証方式であり、2要素の認証方式の組み合わせではありません。よって正解は、「パスワード認証と秘密の質問」となります。

 

×:パスワード認証と指紋認証

記憶認証情報×身体認証情報です。多要素認証となっています。

 

×:パスワード認証とトークン機を使ったワンタイムパスワード認証

記憶認証情報×所持認証情報です。多要素認証となっています。

 

×:パスワード認証とICカード認証

記憶認証情報×所持認証情報です。多要素認証となっています。

#16. ”password”という文字列をパスワードを設定した場合、どんな脅威の標的になるか。

〇:辞書攻撃

人間が覚えられる複雑さには限界があります。意識的に、すでに知っている単語や文字列をパスワードとして扱ってしまいます。そういった脆弱性に対して、既存の単語や文字列を基にパスワードを推測してクラッキングする行為を辞書攻撃と言います。よって正解は、「辞書攻撃」です。

 

×:典型文攻撃

そのような名前の攻撃はまだありません。

 

×:ブルートフォース攻撃

ブルートフォースとは、パスワードを無作為に当てようとする不正ログインです。

 

×:誕生日攻撃

誕生日攻撃とは、少なくとも一つ重なっている確率論により高まった暗号化の衝突を利用して不正ログインを効率的に行うことです。

#17. 時刻ベースでワンタイムパスワードを生成できる技術はどれでしょうか。

〇:時間ベース同期動的トークン

同期トークンデバイスは、認証処理のコア部分として時間またはカウンタを使用して認証サービスと同期します。同期が時間基づいている場合、トークンデバイスおよび認証サービスは、そのデバイスの内部クロック内で同じ時間を保持しなければなりません。トークンデバイスと秘密鍵の時間値は、ユーザーに表示されるワンタイムパスワードを生成するために使用されます。その次に、ユーザーは認証サービスを実行しているサーバーに渡し、コンピューターにこの値とユーザーIDを入力します。認証サービスはこの値を復号し、期待値と比較します。両者が一致した場合、ユーザーは認証され、コンピュータ及びリソースの使用を許可されています。

 

×:カウンターベース同期動的トークン

トークンデバイスと認証サービス使用カウンタ同期場合、それは時間に基づいていないため、正しくありません。カウンタ同期トークンデバイスを使用する場合、ユーザーはトークンデバイス上のボタンを押すことにより、ワンタイムパスワードの作成を開始します。これは、トークンデバイスと認証サービスで実行します。カウンター値はベースとなる秘密値とハッシュ化され、ユーザーに表示されます。ユーザーが認証されるユーザーIDと一緒に、この結果の値を入力します。タイムまたはカウンタベースのいずれかの同期では、トークンデバイスおよび認証サービスは、暗号化と復号に使用したのと同じ秘密鍵を共有する必要があります。

 

×:非同期トークン

非同期トークン生成方法を用いて、トークンデバイスがユーザを認証するためのチャレンジ/レスポンス方式を採用しているため、間違っています。

 

×:必須トークン

必須トークンのようなものが存在しないため、間違っています。

#18. アクセス制御を導入するシステムの設計思想として、分散するか統合するかに大きく分かれる。分散アクセス制御の利点の一つはどれでしょうか。

〇:リソースに近い場所でアクセス制御できること。

中央アクセス制御は、統一的なルール、運用負担の軽減など様々な利点があります。分散アクセス制御では、リソースに近い場所でアクセス制御できるため、リソースを独立して保護することができます。よって正解は、「リソースに近い場所でアクセス制御できること。」になります。

 

×:包括的な設計が可能であること。

分散アクセス制御では、認証・認可機能が分散しているため、包括的な設計とは言えません。

 

×:比較的コストが抑えられること。

コストが抑えられるかどうかは、この設計思想だけでは決められないでしょう。

 

×:様々な機器からのログで現状を把握しやすくなる。

中央アクセス制御でも分散アクセス制御でも様々な機器からのログの取得はできます。

#19. 従業員が離職したタイミングにおいて、実施すべきプロビジョニング処理はなんでしょうか。

〇:速やかに従業員専用のアカウントを利用停止すること。

プロビジョニングとは、システムで使用するアカウントを追加することです。反対にアカウントを削除することをデプロビジョニングと言います。従業員が離職したタイミングにおいて、従業員のアカウントを停止するべきです。元社員に対して組織のリソースへのアクセス権限を与えることは情報漏洩になります。よって正解は、「速やかに従業員専用のアカウントを利用停止すること。」になります。

 

×:従業員の貸し出しパソコンを回収すること。

プロビジョニングではありませんが、従業員が離職したタイミングで行うべきことではあります。

 

×:NDAを結ぶこと。

秘密保持契約(NDA, Non-Disclosure Agreement)とは、取引上で知った相手方の営業秘密などを、他人に開示することを禁止する契約のことです。プロビジョニングではありません。

 

×:従業員の個人連絡先を確保すること。

通常の会社であればそのようなプライベートな情報を離職時に集めようとはしません。プロビジョニングではありません。

#20. SAML(Security Assertion Markup Language)は、異なるセキュリティドメイン上のシステム間で認証および認可データを交換するXMLベースの標準です。 SAMLでは、認証がどのように行われたか、エンティティの属性、エンティティがアクセスする権限など、認証情報の共有が可能です。 次のうち正しいSAMLコンポーネントに関連付けられた定義はどれですか?

〇:SAMLアサーションは、IDフェデレーションと分散システムを可能にするために使用されます。

SAMLは、2つの当事者が1つのエンティティに関する認証情報を共有できるようにするモデルを提供します。 2つの当事者は、サービスプロバイダ(SP)とアイデンティティプロバイダ(IdP)と見なされます。 アイデンティティプロバイダは、サブジェクトが認証されているか、特定の属性を持っているかどうかなど、プリンシパルに関する情報をアサートします。 サービスプロバイダは、アイデンティティプロバイダが提供する情報を使用して、アイデンティティプロバイダのアサーションを信頼するかどうかなど、自身が提供するサービスに対するアクセスの決定を行います。 アイデンティティプロバイダの情報を信頼することにより、サービスプロバイダは、プリンシパルに再度認証を要求することなくサービスを提供することができます。このフレームワークにより、フェデレーションによる識別とドメイン間の分散認証が可能になります。

SAMLアサーションとは、アイデンティティプロバイダで認証処理後にサービスプロバイダに返却されるSAMLレスポンス内に含まれるプリンシパルに関する情報になります。よって正解は、「SAMLアサーションは、IDフェデレーションと分散システムを可能にするために使用されます。」になります。

 

×:SAMLによる権限が特定のサブジェクトを検証したことを示す2つのSAMLアサーション(認証、認可)が使用されます。

アイデンティティプロバイダは、2つのSAMLアサーションが返却しません。1つのリクエストにつき、1つのアサーションを返却します。

 

×:SAMLバインディング仕様では、TCPおよびUDPプロトコル内にSAMLメッセージを埋め込む方法について説明しています。

SAMLバインディングとは、 アイデンティティプロバイダとサービスプロバイダどのようにSAML情報を連携するかの方法になります。TCPおよびUDPプロトコル内という意味合いで分類はされていません。

 

×:SAMLプロファイルは、リフレッシュトークン発行のための定義が存在します。

リフレッシュトークンは、OAuth/OIDC系列での概念になります。

終了