スタートページWeb教材目次選択肢試験目次

su06 情報セキュリティアドミニストレータ
平成18年度


問1

ページング方式の仮想記憶におけるページサイズに関する記述のうち,適切なものはどれか。
 ア 仮想アドレス空間ごとに異なるが,一つの仮想アドレス空間内では同一である。
 イ コンピュータのアーキテクチャによって取り得るサイズが定められている。
 ウ その時点で最適なサイズに,動的に変更される。
 エ プログラムが1ページに収まるようにするために,プログラムごとに異なる。

【解答】

正解:イ

仮想記憶にはCPUにメモリ管理ユニット(MMU)を内蔵して実現。
それに合致したOSも必要
すなわち,コンピュータのアーキテクチャにより固定
現在のコンピュータのほとんどは4KB。
参照:「仮想記憶方式」(hs-kasou-kioku

問2

ハッシュ表の理論的な探索時間を示すグラフはどれか。ここで,シノニムは発生しないものとする。

【解答】

正解:エ

ハッシュ表を探索するのは,ハッシュ関数で計算した値を用いる。
それで,表の大きさには無関係。

問3[sd03-05]

問4

次のネットワーク図の数値は,二つの地点の間に同時に設定できる論理回線の多重度を示している。このうち,多重度を1だけ大きくすることによって,XY間に設定できる最大論理回線数を増やせる区間はどれか。

ア AB  イ BF  ウ ED  エ FE

【解答】

正解:イ

「入力回線数>出力回線数」→出力回線数の増加をすればよい。
AB:A地点の入力回線数=3(XA)
   出力回線数=2(AB)+1(AD)=3
   入力回線数-出力回線数=2-3=0
BF:B地点=[3(XB)+2(AB)+1(CB)]-[2(BE)+2(BF)]=4
ED:E地点=[2(BE)+4(FE)]-[2(ED)+4(EG)+3(EY)]=-3
FE:F地点=[2(BF)+3(CF)]-[4(FE)+2(FG)]=-1
このうち,入力回線数>出力回線数なのはB地点→イ

問5

データマイニングツールに関する記述として,最も適切なものはどれか。

【解答】

正解:ウ

マイニング→探鉱→気づかなかった法則の発見→ウが正解
→参照:「データマイニング」(kj3-datamining-x
ア・エは一般的なデータウェアハウス →参照:「データウェアハウスの定義」(kj3-dwh-teigi
ウはOLAPツール →参照:「OLAPと多次元データベース」(kj3-dwh-mddb

問6

データベースのメタデータについて説明したものはどれか。
 ア 集合をメンバ(インスタンス)として扱う「べき集合」
 イ 属性が持つことのできる値の範囲
 ウ データ管理者が管理し,DBMSには登録しない情報
 エ データの定義情報を記述したデータ

【解答】

正解:エ

アは×。べき(冪,巾)集合とは,集合の部分集合全体のつくる集合のこと
 例:S={a,b,c}のとき,
  べき集合P(S) = { {}, {a}, {b}, {c}, {a,b}, {b,c}, {c,a}, {a,b,c} }
イは×。これは型(タイプ)のこと
ウは×。例えば利用上の注意事項など
エは○。「メタ」とは,「超」「汎」などの意味

問7

CMMIの目的はどれか。

【解答】

正解:ウ

アは×。CASEなどの開発環境
イは×。ISO/IEC 12207 ソフトウェアのライフサイクル
→参照:「ISO/IEC 12207(JIS X0160)と共通フレーム2007」 (std-iso12207-kyotu-frame)
ウは○。→参照:「CMM/CMMI」 (std-cmm), 「成熟度モデル」 (std-seijukudo)
エは×。→参照:「ISO/IEC 9126(JIS X 0129)」 (std-iso9126)、 「SLA/SLM」 (std-sla)

問8

UMLで用いる図のうち,オブジェクト間で送受信するメッセージによる相互作用が表せるものはどれか。
 ア コンポーネント図 イ シーケンス図 ウ ステートチャート図 エ ユースケース図

【解答】

正解:イ

問9

図において,「営業状況を報告してください」という同じ指示(メッセージ)に対して,営業課長と営業担当者は異なる報告(サービス)を行っている。オブジェクト指向で,このような特性を表す用語はどれか。

ア カプセル化  イ 継承  ウ 抽象化  エ ポリモーフイズム

【解答】

正解:エ

カプセル化:データとメソッドを一体化する
継承:スーパークラスの定義をサブクラスに継承する
抽象化:汎化のこと?
ポリモーフイズム:多相性ともいう。同じメッセージに対して異なる処理
参照:「オブジェクト指向データベース」 (db-oodb)

問10

フールプルーフに該当するものはどれか。
 ア 更新の対象となるデータをコピーして保存する。
 イ 入力したデータの取消し操作を行うことができるようにする。
 ウ メニュー画面上の使用権限のない選択肢は、選択できないようにする。
 エ 利用者の操作内容をログとして保存する。

【解答】

正解:ウ

フールプルーフ=「バカ(不注意)防止」→ウ
参照:「フェイルセーフなど」

問11[fe092-51]

正解:エ


参照:「PERTの解法」 (or-pt-pert)

問12[sd04-17]

問13

SLAを説明したものはどれか。
 ア ITサービスマネジメントのベストプラクティスを集めたフレームワーク
 イ 開発から保守までのソフトウェアライフサイクルプロセス
 ウ サービスの品質に関する利用者と提供者間の合意
 エ 品質マネジメントシステムに関する国際規格

【解答】

正解:ウ

アは×。ITIL ISO/IEC 20000
→参照:「ITサービスマネジメントとITIL」(std-itil)、 「ISO/IEC 20000(JIS Q 20000)とITIL」(std-iso20000-itil
イは×。SLSP(共通フレーム)ISO/IEC 12207(JIS X 0160)
→参照:「共通フレーム2007」(std-kyotu-frame)、 「ISO/IEC 12207(JIS X0160)と共通フレーム2007」(std-iso12207-kyotu-frame
ウは○。SLA(サービスレベルアグリーメント)
→参照:「SLA/SLM」(std-sla
エは×。ISO9001

問14

TCP/IPネットワークにおけるARPの説明として,適切なものはどれか。
 ア IPアドレスからMACアドレスを得るためのプロトコル
 イ IPアドレスからホスト名(ドメイン名)を得るためのプロトコル
 ウ MACアドレスからIPアドレスを得るためのプロトコル
 エ ホスト名(ドメイン名)からlPアドレスを得るためのプロトコル

【解答】

正解:ア

アはARP,ウはRARP →参照:「IPアドレスと経路制御の概念」(nw-routing-gainen)
イはDNSの正引き,エは逆引き →参照:「DNSの概念」(nw-dns-gainen)

問15

TCP/IPのクラスBのIPアドレスをもつ一つのネットワークに,割り当てることができるホストアドレス数はどれか。
 ア 1,022   イ 4,094   ウ 32,766   エ 65,534

【解答】

正解:エ

クラスB→ホストアドレス部のビット数が16ビット
 →アドレス数は216=65,536
 →ネットワークアドレスと,ブロードキャストアドレスの2個を引く
参照:「IPアドレス」 (nw-ipaddress)

問16

サブネットマスクが255.255.252.0のとき,IPアドレス172.30.123.45のホストが属するサブネットワークのアドレスはどれか。
 ア 172.30.3.0   イ 172.30.120.0   ウ 172.30.123.0   エ 172.30.252.0

【解答】

正解:イ

サブネットワークアドレス=IPアドレスのホストアドレス部をすべて0
255.255.252.0  → 11111111 11111111 11111100 00000000
172.30.123.45  → 10101100 00011110 01111011 00101101
サブネットワーク→ 10101100 00011110 01111000 00000000 → 172.30.120.0
参照:「IPアドレス」 (nw-ipaddress)

問17

TCP/IP環境において,複数のコンピュータで時刻同期をとるためのプロトコルはどれか。
 ア LCP   イ NCP   ウ NTP   エ RTP

【解答】

正解:ウ

LCP(Link Control Protocol):PPP接続開始時にリンク認証のネゴシエーション
NCP(Network Control Protcol):LCP確立後,通信プロトコルのネゴシエーション
NTP(Network Time Protocol):コンピュータの内部時計をネットワークを介して正しく調整
RTP(Real-time Transport Protocol):音声や映像をストリーミング伝送・再生 →参照:「トランスポート層とTCP/UDP」 (nw-tcp)

問18

WANを介して二つのノードをダイヤルアップ接続するときに使用されるプロトコルで,リンク制御やエラー処理機能をもつものはどれか。
 ア FTP   イ PPP   ウ SLIP   エ UDP

【解答】

正解:イ

FTP(File Transfer Protocol):ファイル転送。ダウンロード/アップロード →参照:「アプリケーションプロトコル」 (nw-application)
PPP(Point to Point Protocol):ダイアルアップ接続 ⇔ PPPoE
SLIP(Serial Line Internet Protocol):同上。昔のプロトコル
UDP(User Datagram Protocol):高速転送,低信頼性→ストリーミング ⇔ TCP
→参照:「トランスポート層とTCP/UDP」 (nw-tcp)

問19[su04-16]

問20

動画符号化の国際規格であるMPEG-1に関する記述として,最も適切なものはどれか。
 ア CD-ROMなどを蓄積メディアとして想定した動画像圧縮符号化の規格である。
 イ DVD-Videoやディジタル衛星放送で使用される高品質の動画像圧縮符号化の規格である。
 ウ 携帯端末などに用いられる低速回線用の動画像圧縮符号化の規格である。
 エ 複数のJPEG画像の連続表示で動画を実現するための規格である。

【解答】

正解:ア

アは○。
イは×。MPEG-2
ウは×。MPEG-4
エは×。Motion JPEG
参照:「マルチメディアと拡張子」(hs-multi

問21

米国NISTが採用したAES(Advanced Encryption Standard)における鍵長の条件はどれか。
 ア 128,192,256ビットから選択する。
 イ 256ビット未満で任意に指定する。
 ウ 暗号化処理単位のブロック長より32ピット大きくする。
 エ 暗号化処理単位のブロック長より32ビット小さくする。

【解答】

正解:ア

NIST(National Institute of Standards and Technology:米標準技術局)
AESはDESに替わる米国政府の次世代共通鍵暗号方式
・鍵長は128/192/256bit
・シンプルな構造だがトリプルDESより強固
・暗号化/復号化処理を高速に実行
Windows XPのファイル暗号化機能にも採用
参照:「共通鍵暗号方式(秘密鍵暗号方式)」 (sec-angou-kyoutu)

問22

100人の送受信者が共通鍵暗号方式で,それぞれ秘密に通信を行うときに必要な共通鍵の総数は幾つか。
 ア 200   イ 4,950   ウ 9,900   エ 10,000

【解答】

正解:イ

共通鍵の「総数」はペアの鍵を1つと数える。
n人の場合の組み合わせ=n(n-1)/2

問23

公開鍵暗号方式の用法によって,送信者が間違いなく本人であることを受信者が確認できる鍵の組合せはどれか。
 ア 送信者は自分の公開鍵で暗号化し,受信者は自分の秘密鍵で復号する。
 イ 送信者は自分の秘密鍵で暗号化し,受信者は送信者の公開鍵で復号する。
 ウ 送信者は受信者の公開鍵で暗号化し,受信者は自分の秘密鍵で復号する。
 エ 送信者は受信者の秘密鍵で暗号化し,受信者は自分の公開鍵で復号する。

【解答】

正解:イ

アは×。送信者公開鍵と受信者秘密鍵は無関係
イは○。送信者秘密鍵を持つのは送信者だけ
ウは×。受信者公開鍵は不特定多数が所有
エは×。受信者秘密鍵は受信者しか知らない
参照:「電子署名と公開鍵暗号方式」 (sec-denshi-syomei)

問24[su02-22]

問25[su03-25]

問26

コンピュータウィルスの検出,機能の解明,又は種類の特定をする手法について,適切な記述はどれか。

【解答】

正解:イ

アは×。暗号化されているのでパターンマッチングできない
イは○。逆アセンブルとは,機械語のプログラムを変換してソースプログラムを得ること
    これによりロジックがわかる
ウは×。動作させたのでは困る。ウイルス名はワクチン作成者が命名
エは×。ワームは独立したプログラムの(広義の)ウイルス

問27

メッセージの改ざんを検出するためのメッセージ認証符号MACについて説明したものはどれか。
 ア 送信者と受信者の共通鍵を元に,メッセージにハッシュ関数を適用して生成したもの
 イ メッセージにハッシュ関数を適用して得たデータを送信者の秘密鍵で暗号化したもの
 ウ メッセージを一定のビット数のブロックに分割し,各ブロックのデータを数値として加算した総和の値から,一定の計算をして求めたもの
 エ メッセージを構成する各バイトに含まれる「1」のビットの個数が奇数になるように,最下位ビットの値を調整したもの

【解答】

正解:イ

MAC(Message Authentication Code)はメッセージをハッシュ関数で変換して生成した,一定のビット数の情報のこと。ハッシュ値という。
ウはデータベースのインデクスで用いるハッシュ値
エはデータの誤り制御
参照:「ハイブリッド暗号方式」

問28

クロスサイトスクリプティングによる攻撃へのセキュリティ対策はどれか。
 ア OSのセキュリティパッチを適用することによって,Webサーバへの侵入を防止する。
 イ Webアプリケーションで,クライアントに入力データを再表示する場合,情報内のスクリプトを無効にする処理を行う。
 ウ WebサーバにSNMPプログラムを常駐稼働させることによって,攻撃を検知する。
 エ 許容範囲を超えた大きさのデータの書込みを禁止し,Webサーバへの侵入を防止する。

【解答】

正解:イ

参照:「クロスサイト・スクリプティング」 (sec-crosssite-scripting)を参照
防止手段はイの通り。タグを含むメッセージの禁止など
アはMicrosoft Updateなど
ウはIDSのこと
エはオーバーフロー脆弱性

問29

テンペスト技術の説明とその対策として,適切なものはどれか。

【解答】

正解:ア

アは○。設問文の通り
イは×。一般的なメール改ざん手口
ウは×。パターンマッチング
エは×。WEP

問30

セキュリティ上,脆(ぜい)弱性のあるホストやシステムをあえて公開し,受けた攻撃の内容を観察するためのものはどれか。
 ア IDS  イ インシデントレスポンス  ウ スパイウェア  エ ハニーポット

【解答】

正解:エ

IDS(Intrusion Detection System)
コンピュータやネットワークに対する不正行為を検出し、通知するためのシステム
インシデントレスポンス
インシデント(コンピュータセキュリティに関連した事故や事件)が発生した場合の適切な対応
スパイウェア
→参照:「ウイルスの種類」 (sec-virus-shurui)
ハニーポット
蜜壺の意味。おとりのサイトのこと

問31

S/MIMEで実現できるものはどれか。
 ア SSLを利用して電子メールを暗号化する。
 イ 共通鍵で電子メールの送信者を認証する。
 ウ 受信側がS/MIMEに対応していなくても,暗証キーを入力して復号する。
 エ 電子メールの改ざんを検出する。

【解答】

正解:エ

アは×。本人確認の方式が異なる
  S/MIMEではクライアントの「ユーザー証明書」
  SSLではサーバの「サーバ証明書」が本人確認
イは×。公開鍵暗号方式のRSAを用いる
ウは×。受信者側もS/MIMEに対応している必要がある
エは○。メッセージの暗号化と、電子署名を行う機能を持つ

問32

TLSについて説明したものはどれか。

【解答】

正解:イ

アは×。電子認証で認証者が認証請求者を本人確認する手段
イは○。TLS(Transport Layer Security)の名称から自明
   SSLの後継バージョン。
ウは×。VPN(Virtual Private Network)
エは×。PPTP (Point-to-Point Tunneling Protocol)

問33

通信の暗号化に関する記述のうち,適切なものはどれか。

【解答】

正解:ア

アは○。 →参照「ネットワークセキュリティ技術」 (nw-sec-gijutsu)
イは×。LDAP(Lightweight Directory Access Protocol)ディレクトリにアクセスするためのプロトコル。SSL/TLSの暗号化通信を用いている。
ウは×。他の暗号方式と同様に正規の受信者だけ
エは×。ブラウザからキャッシュ情報削除ができる

問34[sd03-29][su03-30]

問35

企業内情報ネットワークやサーバへの外部からのアクセスにおいて,通常の経路以外で,侵入者が不正な行為に利用するために設置するものはどれか。
 ア VoIPゲートウェイ イ ストリクトルーティング ウ バックドア エ フォレンジクス

【解答】

正解:ウ

VoIPゲートウェイ
IPネットワークと一般の電話機をつなぐ際、音声情報等を変換する役割をもつ機器のこと
ストリクトルーティング
インターネットでパケットが通過するすべてのルータを厳密に指定すること
バックドア
設問文の通り
フォレンジクス
サーバやパソコンのログなどを保存・検証し、コンピュータシステムの利用状況を証拠として活用する技術

問36

ISMSにおけるリスク分析の方法の一つであるベースラインアプローチはどれか。

【解答】

正解:ア

ISO/IEC TR 13335 の「第3部:ITセキュリティマネジメントのための手法」では,4つのリスクアセスメントの戦略(アプローチ)を示している。
ア:ベースラインアプローチ
エ:非形式的アプローチ
イ:詳細リスク分析
ウ:組み合わせアプローチ

問37

TR X 0036-1:2001(ITセキュリティマネジメントのガイドライン-第1部:ITセキュリティの概念及びモデル)では,情報資産に対する脅威の例を表のように分類している。表のbに入るものはどれか。

脅威の分類脅威の例
盗聴,情報の改ざん
誤り及び手落ち,物理的な事故
地震,落雷

ア 意図的    イ 環境    ウ 偶発的    エ 人間

【解答】

正解:ア

TR X 0036-1:2001 は知らなくても,「情報システム安全対策基準」からも類推される。
参照:「情報システム安全対策基準の主旨」 (std-anzen-kijun-gaiyou)

問38

システム開発と取引のための共通フレーム(SLCP-JCF98)の目的はどれか。
(旧版の共通フレームを対象にしていますが、本問は新版でも有効です)

【解答】

正解:イ

アは×。企画プロセスはISO/IECのSLCPにもある
イは○。共通フレーム→共通のものさし(参照: 「共通フレーム」
ウは×。 ソフトウェア管理ガイドライン(経済産業省)など
エは×。 情報システム・モデル取引・契約書(経済産業省)など

問39

米国で運用されたTCSECや欧州政府調達用のITSECを統合して,標準化が進められたcc(Common Criteria)の内容はどれか。
ア 暗号アルゴリズムの標準
イ 情報技術に関するセキュリティの評価基準
ウ 情報セキュリティ管理の実施基準
エ セキュリティ管理のプロトコルの標準

【解答】

正解:イ

ISO/IEC15408。情報関連製品・システムのセキュリティ機能に関する機能要件と,製品化過程での保証要件を網羅し,要件を満たしていること確認する評価基準がある。
「情報セキュリティ管理の実施基準」はJIS Q 27001

問40[su03-36]

問41[ad051-57]

問42

PPMの各領域をプロダクトライフサイクル上の各時期に当てはめたとき,領域Aに分類される製品はどの時期に対応しているか。

ア 衰退期   イ 成熟期    ウ 成長期   エ 導入期

【解答】

正解:ウ

Aは「花形商品」→成長期
Bは「金のなる木」→成熟期
Cは「問題児」→導入期・成長期
Dは「負け犬」→衰退期(または導入期)
参照:「PPM」 (kj1-ppm)

問43[sd04-33]

問44

問題解決能力の育成方法で,日常起こるマネジメント上の問題を多数提示して,一定時間内に判断し処理させる手法はどれか。
 ア KJ法  イ インバスケット ウ ケーススタディ エ ロールプレイ

【解答】

正解:イ

KJ法:各人の意見をカードに記述し,グループ化・図解して全体意見にまとめる
インバスケット:設問文の通り
ケーススタディ:事例研究。具体的な問題を設定し検討して理論化する
ロールプレイ:役割演技法。実際の仕事上の役割を演じることで体得する訓練法

問45

エンタープライズアーキテクチャを説明したものはどれか。

【解答】

正解:イ

アは×。手法の名称不詳 BTO(Business Technology Optimization)?
イは○。 →参照:「EAの概要」 (std-ea-gaiyou)
ウは×。バランス・スコアカード →参照:「バランススコアカード」 (kj1-bsc)
エは×。CMM →参照:「CMM/CMMI」 (std-cmm)

問46[sd04-35]

問47[ad031-75]

問48[ad042-76]

問49

インタラクティブ送信における著作権に関する記述のうち,適切なものはどれか。

【解答】

正解:イ

インタラクティブ送信→自動公衆送信
Web上に載せたものは出版と同じ
参照:「著作権の体系」 (std-chosakuken-taikei)

問50

著作権法に関する記述のうち,適切なものはどれか。
 ア データベースを保護の対象としていない。
 イ プログラム言語や規約を保護の対象としていない。
 ウ プログラムのアイディアを保護している。
 エ プログラムの複製行為をすべて禁止している。

【解答】

正解:イ

アは×。データベースは保護対象
イは○。プログラム言語,規約,解法は保護対象としていない
ウは×。特許法の対象になることがある
エは×。必要と認められる限度において複製は可
参照:「プログラムと著作権」 (std-chosakuken-program)

問51

プロジェクトマネージャのP氏は,A社から受託予定のソフトウェア開発を行うために,X社から一時的な要員派遣を受けることを検討している。労働者派遣法に照らして適切なものはどれか。

【解答】

正解:エ

アは×。派遣契約では業務完成条件は不可 ⇔ 請負
イ・ウは×。労働者の特定行為の禁止(派遣就業開始前の面接、履歴書の送付等)
エは○。
紹介予定派遣
  労働者派遣事業と職業紹介事業の双方の許可・届出をした者が
  派遣労働者・派遣先の間の雇用関係の成立の斡旋(職業紹介)を行うこと
  この場合は特定行為が可能
参照:「労働者派遣法」 (std-hakenhou)

問52

メーカのA社は,A社が設計しB社がコーディングしたソフトウェアをROMに組み込み,そのROMを部品とした製品Xを製造し,販売会社であるC社に卸している。C社は,この製品Xに「製造元A社」と表示し,一般消費者に販売した。ある消費者が購入した製品Xを使用したところ,ROMに組み込まれたソフトウェアの欠陥によってけがをした。原因はソフトウェアの設計ミスであった。製造物責任法(PL法)上,製造物責任を問われる企業はどれか。
 ア A   イ AとB  ウ AとC   エ AとBとC

【解答】

正解:ア

製造物責任法では,製造者(A)の責任を定めている

問53

情報システムの監査証跡に関する記述のうち,適切なものはどれか。
 ア アクセスログやオペレーションログは,効率性のコントロールに関する監査証跡になる。
 イ 監査証跡は,必要に応じて妥当な時間内で閲覧できることが要求されるので,紙に記録する。
 ウ 処理過程をすべて記録しておくことは経済性を損なうおそれがあるので,必要十分な監査証跡を決定することが大切である。
 エ 利用者ニーズの調査結果や費用対効果分析表は,信頼性のコントロールに関する監査証跡になる。

【解答】

正解:ウ

アは×。安全性のコントロール
イは×。デジタル情報でもよい
ウは○。「必要十分」が重要
エは×。効率性のコントロール

問54

監査対象である開発プロジェクトは開発期間12か月,開発費用3,000万円であり,予想される期待効果は,稼働開始後1年間は1,000万円,2年目からは月間200万円が見込まれる。また,システムの運用費用は毎月100万円である。
 このプロジェクトの単純回収期間法による投資回収期間は,稼働開始を基点として何年何か月になるか。ただし,開発期間12か月で稼働開始できたものとする。
 ア 2年8か月  イ 3年8か月  ウ 4年8か月  エ 回収不能

【解答】

正解:イ

      収入  支出   利益   利益累積
0年目       3,000  -3,000   -3,000
1年目  1,000  1,200   -200   -3,200
2年目  2,400  1,200   1,200   -2,000
3年目  2,400  1,200   1,200    -800
4年目  2,400  1,200   1,200    400 ここまでに回収

問55

システム開発を外部委託した場合の品質管理の妥当性を確認するための監査項目はどれか。

【解答】

正解:ウ

すべて妥当ではあるが,「品質管理」に留意
アは×。セキュリティ管理である
イは×。SLAは必要だが,損害賠償責任条項の必然性はない
ウは○。問題点ごとに解決履歴を明確にすべき
エは×。納期管理である


本シリーズの目次へ