Take's Software Engineer Blog

TOEIC200点&プロマネな私が社内公募を経て、ソフトエンジニア&英語部門へ異動して奮闘していく話をしていきます

情報処理安全確保支援士試験 平成29年度 秋期 午後1 問3 1

https://www.sc-siken.com/pdf/02_aki/pm1_2.pdf

以下のおすすめ問題の解説となります。

良書。

問3 SSL/TLSを用いたサーバの設定と運用に関する次の記述を読んで、設問1〜3に答えよ。

 C社は、衣服のデザイン、製造及び販売を行う中枢の衣料品製造会社である。近年は、C社の複数の販売チャネルのうち、ECモールに出店したオンラインショップでの販売量が増えており、C社の社名も比較的知られるようになった。C社では、事業を更に拡大するために、新たに独自のドメイン名を取得し、C社専用の販売サイト(以下、ECサイトという)を立ち上げることにした。

 ECサイトの構築、運用及び管理は、C社のシステム部が担当することになった。システム部は開発会社の協力を得て構築を進め、当初の計画どおり運用が開始された。

〔社外からの通報〕

 運用開始から3か月が経過した頃、C社の問合せ窓口に、ECサイトで利用されている一部のサーバ証明書に対応する秘密鍵が、サーバ証明書と一緒に、あるWebサイト(以下、Qサイトという)に掲示されているという通報があった。そこで、システム部のM部長は、ECサイトの管理を担当するBさんに、 セキュリティ専門会社であるE社の支援を得て本件を調査し必要な措置を講じるよう指示した。

 E社のセキュリティコンサルタントであるH氏のアドバイスを受けてBさんが確かめたところ、Qサイトに掲示された秘密鍵は自社のものと一致していた。Bさんは鍵が危たい化したと判断した。

 次は、H氏とBさんの会話である。

H氏:サーバ証明書に対応する秘密鍵が公開された影響について、順に説明していきましょう。サーバ証明書認証局サービス事業者から発行されます。サーバ証明書には、サーバのFQDNと公開鍵が記載されます。サーバ証明書の作成とその検証には公開鍵暗号方式を利用した(a:)技術を利用します。サーバ証明書SSL/TLSで利用されます。SSL/TLSは複数の暗号技術を用います。データの送受信時は、暗号化と復号のために(b:)を利用します。また、データの送信者と受信者が(b:)で使用する鍵を共有するために、公開鍵暗号方式を用いて(c:)を行います。現在、世の中で発行されているサーバ証明書には複数の種類があり、代表的なものはドメイン認証証明書と(d:)です。サーバ証明書の種類によって、認証局サービス事業者が発行時に行う審査の内容が異なります。

a:ディジタル署名技術 b:公開鍵 c:鍵交換 d:EV証明書

サーバ証明書の作成とその検証には公開鍵暗号方式を利用した(a:)技術を利用します。サーバ証明書SSL/TLSで利用されます

aに入るのは、サーバ証明書の作成とその検証方法です。SSL/TLSの流れを把握すれば解答できる内容となります

①について、DNSキャッシュポイズニング攻撃は偽のECサイトと組み合わせた不正の中でどのような役割を果たすか。40字以内で具体的に述べよ

正規のアドレスにアクセスした際に偽のWebサイトに誘導することができる

 

②について、擬似乱数生成器が生成する乱数列に求められる性質(4択)

疑似乱数生成期に求められる性質は予期できないこと

div #breadcrumb div{ display: inline;font-size:13px;}