テクニカルエンジニア(情報セキュリティ)試験 |
 |
|
Webアプリケーションのセキュリティに関する記述として、適切なものはどれか。
-
ア クエリストリングを用いてセッション管理を行う場合は、HTTPのダイジェスト認証後に発行したセッションIDを用いることによって、セッションハイジャックを防止できる。
イ クッキー情報の漏えい対策として、セッション終了時にWebサーバからマイナスの有効期限をセットしたクッキーを送信して、リモートクライアントのクッキーを削除することが有効である。
ウ クロスサイトスクリプティング対策として、Webサーバがブラウザから受信したHTTPメッセージをもとにHTMLソースを生成する際に、コマンドインジェクションを行うことが有効である。
エ セッションIDはhiddenフィールドに埋め込むことによって機密性を確保できるので、セッションIDの漏えいによるセッションハイジャックを防止できる。
|
IPsecに関する記述として、適切なものはどれか。
-
ア AHプロトコルは、IPパケットの暗号化と認証機能を提供する。
イ IPCompは、かぎ交換の折衝機能を提供する。
ウ ISAKMP-SAの確立では、メインモードの方がアグレッシブモードよりも通信回数が多い。
エ トンネルモードでは、TCPヘッダとTCPペイロードを暗号化する。
|
ポートスキャンに関する記述として、適切なものはどれか。
-
ア NULLスキャンはFINパケットを送信して、閉じているポートをチェックする。
イ SYNスキャンは送信確認応答でTCPヘッダのRSTフラグに1をセットして、TCPコネクションを確立せずに開いているポートをチェックする。
ウ オープンスキャンはTCPヘッダのすべてのフラグを0にセットして、閉じているポートをチェックする。
エ ステルススキャンはターゲットホストとTCPコネクションを確立して、開いているポートをチェックする。
|
|
正解:イ
クッキーはHTTPのヘッダフィールドを用いてWebサーバとクライアント間で相互転送する情報で、HTTP通信のセッション管理を実現する手段として利用される。クッキーには有効期限情報が含まれ、有効期限がマイナス値のクッキーを受信したブラウザはクッキーを削除するので、漏えい対策に有効で、(イ)が適切である。
ア:HTTPのダイジェスト認証でユーザを認証しても、その後のセッション過程においてクエリストリング中のセッションIDでセッション管理を行う場合、実存するセッションIDを埋め込んだHTTPリクエストを送信する攻撃によってセッションハイジャックのリスクがある。
ウ:クロスサイトスクリプティング対策として、生成するHTMLソース中の有害な文字を変換するサニタイジングが有効である。コマンドインジェクションは、サーバへの転送データ中に不正なコマンドを挿入するなどの攻撃手法である。
エ:HTTPのトラフィックをキャプチャすることによって、hiddenフィールドの情報を取得することができるので、セッションIDの機密性は確保されていない。
|
正解:ウ
IPsecではIKE(Internet Key Exchange)によるかぎ交換などを安全に行うために、セキュリティを確保したコネクションのISAKMP-SAを確立する。ISAKMP-SAの確立には、メインモードとアグレッシブモードの2種類がある。メインモードは6回のメッセージ交換、アグレッシブモードは3回のメッセージ交換を行う。よって、(ウ)が適切である。
ア:AHプロトコルには暗号化の機能はない。ESPプロトコルはパケットの暗号化と認証機能を提供する。
イ:かぎ交換の折衝機能はIKEが提供する。IPCompはパケットの圧縮機能を提供する。
エ:TCPヘッダとTCPペイロードすなわちIPペイロードを暗号化するのはトランスポートモードである。トンネルモードではIPヘッダとIPペイロードを暗号化する。
|
正解:イ
ポートスキャンは攻撃可能なホストを抽出するために、インターネットから接続可能なポートを調査する作業である。SYNスキャンは送信確認応答でTCPヘッダのRSTフラグに1をセットすることで、TCPコネクションを確立せずに開いているポートをチェックする方法である。サーバ側には接続確立のログが残らないステルススキャンに分類される。よって、(イ)が適切である。
ア:FINスキャンに関する記述である。
ウ:NULLスキャンに関する記述である。
エ:TCPスキャンに関する記述である。TCPスキャンはTCPコネクションを確立するので、ステルススキャンではなく、オープンスキャンに分類される。
提供:独立行政法人 情報処理推進機構(IPA)
企画:アイティメディア営業局
制作:アイティメディア営業局
掲載内容有効期限:2006年1月20日
|
||
| 通学講座 | ||
| テクニカルエンジニア情報セキュリティ(超直前対策)1日間コース | ||
| 提供:株式会社アイテック | ||
| 価格:1万4700円(消費税込み) | ||
| 日数:1日 | ||
| 場所:イトーピア永代研修センター | ||
| テクニカルエンジニア 情報セキュリティ 公開模擬テスト(採点付) | ||
| 提供:株式会社アイテック | ||
| 価格:8400円(消費税込み) | ||
| 日数:1日 | ||
| 場所: | (東京)都内大学 | |
| (大阪)天満研修センター[大阪市北区] | ||
| (名古屋)ナディアパークセミナールーム | ||
| テクニカルエンジニア(情報セキュリティ)公開模試(採点付き) | ||
| 提供:TAC株式会社 | ||
| 会場受験:2006年3月12日(日) | ||
| 場所:東京都内 | ||
| 自宅受験:2006年2月下旬送付開始予定 | ||
| 価格:8000円(消費税込み) | ||
| 通信教育 | ||
| テクニカルエンジニア情報セキュリティ短期コース | ||
| 提供:株式会社アイテック | ||
| 価格:3万1290円(消費税込み) | ||
| 受講期間:3カ月 | ||
| テクニカルエンジニア(情報セキュリティ)本科生 | ||
| 提供:TAC株式会社 | ||
| 価格:3万5000円(消費税込み) | ||
| 受講期間:2006年4月末日まで | ||
| テクニカルエンジニア(情報セキュリティ)上級コース (基本テキスト付) | ||
| 提供:TAC株式会社 | ||
| 価格:2万6000円(消費税込み) | ||
| 受講期間:2006年4月末日まで | ||
| 書籍 | ||
| テクニカルエンジニア情報セキュリティ 予想問題集 | ||
| 提供:株式会社アイテック | ||
| 価格:3360円(消費税込み) | ||
| 発売:12月下旬 | ||
| ISBN:4-87268-505-9 | ||
| テクニカルエンジニア 情報セキュリティ ハンドブック | ||
| 提供:株式会社リックテレコム | ||
| 価格:2100円(消費税込み) | ||
| ISBN:4-89797-639-1 | ||
| テクニカルエンジニア 情報セキュリティ午前 精選予想600台 試験問題集 | ||
| 提供:東京電気大学出版局 | ||
| 価格:2520円(消費税込み) | ||
| ISBN:4501540206 | ||
| テクニカルエンジニア 情報セキュリティ 基本テキスト | ||
| 提供:TAC出版 | ||
| 価格:3150円(消費税込み) | ||
| 発売:12月中旬 | ||
| ISBN:4-8132-1835-0 | ||
| テクニカルエンジニア情報セキュリティ 午後問題突破作戦 | ||
| 提供:TAC出版 | ||
| 価格:3150(消費税込み) | ||
| 発売:1月中旬 | ||
| 【受験案内】 |
申し込み方法・試験区分によって受付期間が異なります。
(1)郵便局窓口受付:平成18年1月16日(月)〜2月13日(月)
(2)インターネット受付:平成18年1月16日(月)午前10時〜2月21日(火)午後8時
■試験実施日
平成18年4月16日(日)
■受験料
5100円(税込み)
■実施試験区分
・システム監査技術者試験(AU)
・テクニカルエンジニア(データベース)試験(DB)
・テクニカルエンジニア(システム管理)試験(SM)
・テクニカルエンジニア(エンベデッドシステム)試験(ES)
・【新試験】テクニカルエンジニア(情報セキュリティ)試験(SV)
・ソフトウェア開発技術者試験(SW)
・初級システムアドミニストレータ試験(AD)
・基本情報技術者試験(FE)
詳しくは、情報処理技術者試験センターのWebサイトをご参照ください。
| 【試験地一覧】 |
|
