スタートページWeb教材目次選択肢試験目次

su07 情報セキュリティアドミニストレータ
平成19年度


問1[su05-01]

問2[sd07-08]

マルチプログラムの多重度の設定を過度に小さくした場合に発生する現象として、適切なものはどれか。
 ア CPUの使用率が上がる。
 イ 各プロセスの処理時間が長くなる。
 ウ 主記憶の使用率が下がる。
 エ ページフォールトの発生回数が多くなる。

【解答】

正解:ウ

02 「過度に小さく」→極端には、同時に1つのプログラム(プロセス)だけ
アは×。IO待ちの間、CPUは遊んでいる→ウが○
仮想記憶にあるものは、自分のプログラムに関するものだけ
エは×。ページングの回数が少ない→処理時間は短くなる。イも×。

問3

CPUと磁気ディスクで構成されるシステムで、表に示すジョブA、Bを実行する。この二つのジョブが実行を終了するまでのCPUの使用率と磁気ディスク装置の使用率との組合せのうち、適切なものはどれか。ここで、ジョブA、Bはシステムの動作開始時点ではいずれも実行可能状態であり、A、Bの順で実行される。CPU及び磁気ディスク装置は、ともに一つの要求だけを発生順に処理する。ジョブA、Bとも、CPUの処理を終了した後、磁気ディスクの処理を実行する。

     ジョブ CPU   磁気ディスク装置
         の処理時間 の処理時間
      A    3分     7分
      B   12分    10分

   CPUの使用率 磁気ディスク装置の使用率
 ア   0.47      0.53
 イ   0.60      0.68
 ウ   0.79      0.89
 エ   0.88      1.00

【解答】

正解:イ

次の表を作成すればよい。
  時間   1234567890123456789012345
       ---------+---------+----- 稼働時間
  CPU  AAABBBBBBBBBBBB            15分
  ディスク    AAAAAAA     BBBBBBBBBB  17分
                               ↑
CPU使用率 =15/25=0.60              終了=25分
ディしく使用率=17/25=0.58

問4

故障発生率が1.0×10-6回/秒である機器1,000台が稼働している。200時間経過後に、故障していない機器の平均台数に最も近いものはどれか。
 必要であれば、故障発生率をλ回/秒、稼働時間をt秒とする次の指数関数のグラフから値を読み取って、計算に利用してよい。

ア 50   イ 500   ウ 950   エ 995

【解答】

正解:イ

λ=1.0×10-6[回/秒]、 t=200[時間]=0.72×10[秒]から、
λt=0.72
グラフからF(t)=0.5・・・1台の機器が故障していない確率
1000台のうち故障していない機器は
1000×0.5=500[台]

問5

複数の利用者がWebブラウザを用いて、コンテンツを追加したり、編集・削除したりできるWebコンテンツの管理システムを何というか。
 ア RDF   イ RSS   ウ Wiki   エ ブログ

【解答】

正解:ウ

アは×。RDFはアドビ社が開発した文書記録方式
イは×。RSSは、Webページの更新を広報する機能
  あるいは、それを閲覧する機能
エは×。ブログはファイル単位でコメント、トラックバックできるが、
  一つのコンテンツを他人が加工することはできない。
ウは○。Wikiは一つのコンテンツを複数人が、Webブラウザから編集できる→例:Wikipedia

問6[sd05-07][sd07-09]

問7[sd02-13][su07-11]

問8[sd07-12]

オブジェクト指向において図のように階層クラスを定義する場合、クラス間の関係の説明として、適切なものはどれか。

【解答】

正解:イ

アは×。インヘリタンス(継承)
ウは×。自動車もバスもオブジェクト
イは○。
エは×。特化は汎化の逆。スーパークラス定義外を定義してサブクラスに
参照:「オブジェクト指向DB」(db-oodb

問9[sd04-15][sd07-13]

問10[su05-11][su07-16]

問11[sd07-17]

EVM(Earned Value Management)は、プロジェクト全体のスケジュールの遅れやコストの超過を可視化する進捗管理手法である。図のAが示すものはどれか。

ア 進捗の遅れ日数    イ 進捗の遅れを金額で表した値
 ウ 実質的な削減金額   エ 実質的な超過金額

【解答】

正解:イ

EVM(Earned Value Management):プロジェクト進捗状況の予測手法
英語:プランド(計画をした)計画値
   アーンド(稼いだ)実績値
  →計画と実績の差
Aの特徴:現在、尺度は金額
参照:「EVMの概要」(std-evm-gaiyou

問12[sd07-19]

ネットワーク構成の管理に関する記述のうち、適切なものはどれか。

【解答】

正解:ア

アは○。常に現状と一致させることが重要
イは×。本末転倒
ウは×。これではいつも停止になる
エは×。調べるのが大変になる

問13[sd07-21]

ITサービスマーケティングのフレームワークであるITIL(Information Technology Infrastructure Library)におけるITサービス継続性管理の目的はどれか。

【解答】

正解:ア

アは○。継続性管理
イ~エは×。可用性管理
参照:「ITサービスマネジメントとITIL」(std-itil

問14

TCP/IPネットワークにおいて、TCPを使用するアプリケーションはどれか。
 ア DHCP   イ FTP   ウ ICMP   エ NTP

【解答】

正解:イ

  • DHCP:IPアドレス設定の自動化・一元管理。ネットワーク層→参照:「ネットワーク層とIP」(nw-ip
  • FTP:ファイルの転送。TCPを使用→参照:「アプリケーションプロトコル」(nw-tcp
  • ICMP:障害が発生したときに通知をする。ネットワーク層→参照:「ネットワーク層とIP」(nw-ip
  • NTP:パソコンの内部時計をネットワークで調整。UDPを使用→参照:「トランスポート層とTCP/UDP」(nw-tcp

問15

電源オフ時にIPアドレスを保持することができない装置が、電源オン時に自装置のMACアドレスから自動的に割り当てられているIPアドレスを知るために用いるデータリンク層のプロトコルで、ブロードキャストを利用するものはどれか。
 ア ARP   イ DHCP   ウ DNS   エ RARP

【解答】

正解:エ

  • ARP:IPアドレスを与えてMACアドレスを知る→参照:「ネットワーク層とIP」(nw-ip
  • RARP:ARPの逆。MACアドレスからIPアドレスを知る。このとき、ブロードキャストを利用
  • DNS:ドメイン名からIPアドレスを知る→参照:「DNSの概念」(nw-dns-gainen
  • DHCP:IPアドレス設定の自動化・一元管理→参照:「ネットワーク層とIP」(nw-ip

問16

UDPのヘッダフィールドにはないが、TCPののヘッダフィールドには含まれる情報はどれか。
 ア 宛先ポート番号  イ シーケンス番号  ウ 送信先ポート番号  エ チェックサム

【解答】

正解:イ

UDPは接続したらチェックなしで転送
TCPはパケットの欠落・重複などをチェックする→シーケンス番号が必要
参照:「トランスポート層とTCP/UDP」(nw-tcp

問17

ネットワークに接続されているホストのIPアドレスが 212.62.31.90 で、サブネットクラスが 255.255.255.224 のとき、ホストアドレスはどれか。
 ア 10   イ 26   ウ 90   エ 212

【解答】

正解:イ

サブネットマスク   11111111 11111111 11111111 11100000
ホストのIPアドレス 10010100 00111110 00011111 10111010→26

参照:「IPアドレス」(nw-ipaddress

問18

メールサーバ上のメールボックスで管理することによって、次の二つの特徴をもつものはどれか。
(1)発信者やタイトルを確認してからメールをダウンロードするかどうかを決めることができる。
(2)文字列などでメールサーバ上のメールボックス内のメッセージの検索ができる。
 ア APOP  イ IMAP4  ウ POP3  エ SMTP

【解答】

正解:イ

APOP:受信プロトコル。パスワードを暗号化
IMAP4:受信プロトコル。1、2の特徴をもつ
POP3:受信プロトコル。メールの個数と番号だけ
SMTP:送信・転送プロトコル
参照:「電子メールが届く仕組み」(nw-mail-gainen

問19

TCP,UDPのポート番号を識別し、プライベートIPアドレスとグローバルIPアドレスとの対応関係を管理することによって、プライベートIPアドレスを使用するLANの複数の端末が、一つのグローバルIPアドレスを共有してインターネットにアクセスする仕組みはどれか。
 ア IPスプーフィング  イ IPマルチキャスト  ウ NAPT  エ NTP3

【解答】

正解:ウ

IPスプーフィング:発信者が偽IPアドレスでなりすまし
IPマルチキャスト:複数の相手に同じデータを一斉送信
NAPT(マスカレード):問題文の通り
NTP3:インターネットからパソコンの時刻合わせ

問20

図のようなネットワーク構成のシステムにおいて,同じメッセージ長のデータをホストコンピュータとの間で送受信した場合のターンアラウンドタイムは,端末Aでは450ミリ秒,端末Bでは700ミリ秒であった。上り,下りのメッセージ長は同じ長さで,ホストコンピュータでの処理時間は端末A,端末Bのどちらから利用しても同じとするとき,端末Bからホストコンピュータへの片道の伝送時間は何ミリ秒か。ここで,ターンアラウンドタイムは,端末がデータを回線に送信し始めてから応答データを受信し終わるまでの時間とし,伝送時間は回線速度だけに依存するものとする。

ア 100  イ 150  ウ 200  エ 250

【解答】

正解:エ

ホストコンピュータでの処理時間をtミリ秒とすると,
端末A:t+2×b/2=450
端末B:t+2×b=700
→b=250[ミリ秒]

問21

CSMA/CD方式に関する記述のうち,適切なものはどれか。

【解答】

正解:ア

アは○。CSMA/CD→衝突時に待つ→スループットが下がる
イは×。検出しても衝突は発生
ウは×。スイッチングハブはCSMA/CD方式ではない
エは×。オクテットの整数倍に調整
イ~エは高レベルであるが、アは基本事項
参照:「CSMA/CD」(nw-csma-cd

問22[≒sd04-25]

所有者と公開鍵の対応付けをするのに必要な方式、システム、プロトコル及びポリシの集合によって実現できるものはどれか。
 ア IPsec  イ PKI  ウ ゼロ知識証明  エ ハイブリッド暗号

【解答】

正解:イ

  • PKI(Public Key Infrastructure):公開鍵暗号方式を利用する基盤
  • IPsec:IPパケットを暗号化して送信するプロトコル→参照:「ネットワークセキュリティ技術」(nw-sec-gijutsu
  • ゼロ知識証明:自分だけが知っている秘密情報を持っているということを、秘密情報自体は送受信することなく他人に証明すること。公開鍵暗号、デジタル署名などがその例
  • ハイブリッド暗号:共通鍵暗号方式と公開鍵暗号方式の利点を組み合わせた方式。実際の暗号通信はこの方式が用いられる。→参照:「ハイブリッド暗号方式」(sec-angou-hybrid

問23

ウイルスの検出手法であるビヘイビア法を説明したものはどれか。

【解答】

正解:エ

アは×。パターンマッチング法。最も一般的なウイルス検査
イ・ウは×。免疫ともいう。このファイルが更新していなければ検査しない
エは○。ビヘイビア法:検査対象のプログラムを実際に動かしてその動きを監視し,ウイルスを見つけ出す手法
参照:「ウイルス対策ソフトの仕組み」

問24

不正利用を防止するためにメールサーバ(SMTPサーバ)で行う設定はどれか。
 ア ゾーン転送のアクセス元を制御する。
 イ 第三者中継を禁止する。
 ウ ディレクトリに存在するファイル名の表示を禁止する。
 エ 特定のディレクトリ以外でのCGIプログラムの実行を禁止する。

【解答】

正解:イ

アは×。ゾーン転送とはDNSサーバで解決できないとき、上位のサーバに問い合わせ、該当するゾーン情報を転送してもらうこと
イは○。第三者中継とは、多くのスパムメールが行っている方法で、メール送信者がその本人とは無関係の第三者のメールサーバを不正に中継し、身元を偽ってメールを送信すること
ウ・エは×。Webサーバの機能

問25

テンペスト(TEMPEST)攻撃を説明したものはどれか。
 ア 故意に暗号化演算を誤動作させて正しい処理結果との差異を解析する。
 イ 処理時間の差異を計測し解析する。
 ウ 処理中に機器から放射される電磁波を観測し解析する。
 エ チップ内の信号線などに直接探針を当て,処理中のデータを観測し解析する。

【解答】

正解:ウ

ディスプレイなどの機器から放射される電磁波を傍受し,内容を観察する技術

問26[sd07-26]

認証局(CA)に登録されている通信相手の公開鍵を使用して行えることはどれか。
 ア CAから証明書の発行を受ける。
 イ 受信した暗号文を復号する。
 ウ ディジタル署名を検証する。
 エ メッセージにディジタル署名をする。

【解答】

正解:ウ

アは×。証明書の発行は通信相手が受けている→参照「電子署名の認証」(sec-syomei-ninsyo
イは×。自分の秘密鍵で復号→参照「公開鍵暗号方式」(sec-syomei-ninsyo
ウは○。ディジタル署名を公開鍵で復号して,ハッシュ値を取り出し、改ざんされていないことを確認する。→参照「ハイブリッド暗号方式」(sec-angou-hybrid
エは×。自分の秘密鍵→参照「電子署名と公開鍵暗号方式」(sec-denshi-syomei

問27

IPスプーフィング(spoofing)攻撃による,自ネットワークのホストへの侵入を防止するのに有効な対策はどれか。

【解答】

正解:エ

IPスプーフィングとは、偽のIPアドレスを用いて、受信者が信頼している送信元になりすますこと。自社のIPアドレスなら信頼が高い。しかし、外部から入ってくるはずがない。→エが効果的
ア・イは、許可していない機能を用いるのを阻止する手段
ウでは不十分。むしろインターネット接続可能なIPアドレスを騙るはず

問28

フィールド1に入力された値が変数$jouken1に,フィールド2に入力された値が変数$jouken2に代入され,次のSQLL文によって表TABLE_Aを検索して結果を表示するWebアプリケーションがある。

 SELECT * FROM TABLE_A
   WHERE jouken1='$jouken1' AND jouken2='jouken2'

悪意のある利用者が,SQLインジェクションによってTABLE_Aの全レコードの削除を試みるとき,それぞれのフィールドに入力する文字列はどれか。

 フィールド1フィールド2
 ア*'DELETE FROM TABLE_A WHERE 'A'='A
 イ*DELETE FROM TABLE_A WHERE 'A'='A'
 ウ(何も入力しない)';DELETE FROM TABLE_A WHERE 'A'='A
 エ(何も入力しない)DELETE FROM TABLE_A WHERE 'A'='A'

【解答】

正解:ウ

ウは SELECT * FROM TABLE_A; DELETE FROM TABLE_A WHERE 'A'='A'
となるので、TABLE_Aのデータが削除されてしまう。
SQLインジェクションとは、SQLに不正な命令を与えることにより攻撃をする方法
参照:「SQLインジェクション」(sec-sql-injection

問29

DMZ上のコンピュータがインターネットからのpingに応答しないようにファイアウォールのセキュリティルールを定める。“通過禁止”に設定するものはどれか。
 ア ICMP イ TCP及びUDPのポート番号53 ウ TCPのポート番号21 エ UDPのポート番号123

【解答】

正解:ア

pingとは、特定のホストがネットワークに接続しているか,そこまで到達できるかどうかをチェックするコマンド。ICMPパケットを送り,そのエコーを表示させる。→アが○
参照:「ネットワークセキュリティ技術」(nw-sec-gijutsu
ポート番号21はftp、23はtelnet→「ウエルノーン・ポート番号」(nw-well-known

問30[sd07-27]

迷惑メールのメールヘッダから送信元又は中継元のISP又は組織を特定する手掛かりのうち,最も信頼できるものはどれか。
Return-Path:<ユーザ名@ホスト・ドメイン名(1)>
Received:from ホスト・ドメイン名(2) (ホスト・ドメイン名(3) [IPアドレス])
 by 受信メールサーバ名 with SMTP id …
From:<ユーザ名@ホスト・ドメイン名(4)>

【解答】

正解:ウ

他人になりすましてSMTPを用いることは可能→ア・イは×
エは勝手に記述できる
ウは、送信元又は中継元のDNSサーバの内容を不正に書き換えない限り、信用できる。

問31

ESPプロトコル(IPsec)のトンネルモードのパケットで暗号化される範囲を示したものはどれか。 ヘッダ
A:トンネル用
IPヘッダ
B:ESP C:元のIP
ヘッダ
D:TCP
ヘッダ
E:データ
 
F:ESP
トレーラ
G:ESP
認証データ

 ア B:ESPヘッダ、C:元のヘッダ、D:TCPヘッダ、E:データ
 イ C:元のIPヘッダ、D:TCPヘッダ、E:データ、F:ESPトレーラ
 ウ C:元のIPヘッダ、D:TCPヘッダ、E:データ
 エ D:TCPヘッダ、E:データ、F:ESPトレーラ

【解答】

正解:イ

IPヘッダ以降を暗号化→参照:「ネットワークセキュリティ技術」(nw-sec-gijutsu

問32[su04-29][sd07-29]

問33

コンピュータフォレンジクス(Computer Forensics)を説明したものはどれか。

【解答】

正解:ウ

アは×。すかし技術
イは×。ペネトレーション(擬似攻撃)
ウは○。
エは×。ソーシャルエンジニアリング

問34

情報システムのリスク分析に関する記述のうち,適切なものはどれか。

【解答】

正解:ウ

アは×。投機的リスク=場合によっては有利になる不確実性、純粋リスクとは不利になる不確実性
イは×。損害予防コストは対策費用であり算入しない
ウは○。潜在リスクの識別が重要
エは×。損害額×発生確率

問35[su05-35]

問36[ad072-54]

問37

JIS Q9001(ISO 9001)で内部監査について規定していることはどれか。

【解答】

正解:イ

アは×。定期的にも確認
イは○。これが定義
ウは×。システム監査技術者はシステムが対象。JIS Q9001とは直接の関係はない
エは×。内部監査は任意監査。審査登録には無関係

問38[sd07-32]

ISMSプロセスのPDCAモデルにおいて,PLANで実施するものはどれか。
 ア 運用状況の管理
 イ 改善策の実施
 ウ 実施状況に対するレビュー
 エ 情報資産のリスクアセスメント

【解答】

正解:エ

PLAN→計画(実施以前)
アはDo、イはAction、ウはCheck
参照:「ISMSとPDCAサイクル」(sec-isms-pdca

問39[ad072-58]

問40[sd07-34]

「連続する同一の文字コード(1バイトコードとする)の長さから1を減じたものを1バイトのバイナリで表し,その後に当該文字コードを配置する」というデータ圧縮方式がある。例えば,圧縮前に16進表示で,
 41 41 41 41 41 42 43 43 43 43 43 43
であった12バイトの文字コードの列は,圧縮後に,
 04 41 00 42 05 43
という6バイトで表され,この場合の圧縮率は50%(6バイト÷12バイト×100)となるものとする。このとき,当該方式に関する記述のうち,適切なものはどれか。

【解答】

正解:ウ

アは×。
 最良の場合:41 41 41 41 41 41 41 41 41 41 → 09 41 (2バイト)
 最悪の場合:41 42 41 42 41 42 41 42 41 42 → 00 41 00 42 ~00 41 00 42 (20バイト)
  最良/最悪=1/10
イは×。アの最悪の場合→圧縮前に2倍
ウは○。すべて41のとき、圧縮後は FF 41 の2バイトになる。2/256=0.78%>0.7%
エは×。問題文の第1回圧縮 04 41 00 42 05 43 をさらに圧縮するとかえって増加

問41[ad072-61]

問42[sd07-37]

市場で競合する二つの銘柄A,B間の推移確率行列は,表のとおりである。例えば,Aを購買した人が次回にBを購買する確率は,20%である。AとBの市場シェアが,それぞれ50%であるとき,全員が2回購買した後の市場シェアはどうなるか。

 ア Aのシェアは10%上がり,Bのシェアは10%下がる。
 イ Aのシェアは10%下がり,Bのシェアは10%上がる。
 ウ Aのシェアは14%上がり,Bのシェアは14%下がる。
 エ Aのシェアは14%下がり,Bのシェアは14%上がる。

【解答】

正解:ウ

1回目
  A=0.4+0.2=0.6
  B=0.1+0.3=0.4
2回目
  A→A:0.6×0.8=0.48
  B→A:0.4×0.4=0.16
    A:0.48+0.16=0.64=64%→14%上がる
  A→B:0.6×0.2=0.12
  B→B:0.4×0.6=0.24
    B:0.12+0.24=0.36=36%→14%下がる

問43[sd02-32][sd07-38]

問44[sd07-39]

ITガバナンスを説明したものはどれか。

【解答】

正解:イ

アは×。ITIL→参照「ITサービスマネジメントとITIL」(std-itil
イは○。ITガバナンスとは、設問ウのとおり→参照:「CIO」(kj1-cio)、「ITガバナンスとCOBIT」(std-cobit
ウは×。RFP→参照「RFPの重要性」(kj2-rfp-juyou
エは×。SLA→参照「SLA/SLM」(std-sla

問45[sd07-51]

ディジタルデバイドを説明したものはどれか。

【解答】

正解:エ

アは×。情報弱者ともいわれる。このような人が多数存在する状況がデジタルデバイド
イは×。アクセシビリティ(バリアフリー):高齢者、障害者
ウは×。ユーザビリティ:健常者も含む「使いやすさ」
エは○。デジタルデバイド(情報格差):社会的、経済的、地域的格差

問46[sd07-52]

プログラム開発における職務上の著作について,著作権法で規定されているものはどれか。
 ア 就業規則などに特段の取決めがない限り,権利は法人に帰属する。
 イ 担当した従業員に権利は帰属するが,法人は無償でそのプログラムを使用することができる。
 ウ 担当した従業員に権利は帰属するが,法人へ譲渡することができる。
 エ 法人が権利を取得する場合は,担当した従業員に対し相応の対価を支払う必要がある。

【解答】

正解:ア

参照:「著作権の帰属」(std-chosakuken-kizoku

問47[su02-44][ad072-78][sd07-53]

問48[su03-44][ad072-79][sd07-54]

問49[sd07-55]

個人情報保護法が対象としている個人情報はどれか。
 ア 企業が管理している顧客に関する情報に限られる。
 イ 個人が秘密にしているプライバシに関する情報に限られる。
 ウ 生存している個人に関する情報に限られる。
 エ 日本国籍の個人に関する情報に限られる。

【解答】

正解:ウ

参照:「個人情報保護法」(std-kojinjouhouhogo

問50

刑法の電子計算機使用詐欺罪が適用される違法行為はどれか。

【解答】

正解:ウ

アは×。ねずみ講防止法(無限連鎖講の防止に関する法律)
イは×。特定商取引法(特定商取引に関する法律)
ウは○。刑法・電子計算機使用詐欺罪
エは×。刑法・電子計算機損壊等業務妨害罪

問51

情報システムの安全性のコントロールに関係する監査証跡はどれか。
 ア CPUの性能評価レポート
 イ アクセスログ
 ウ ソフトウェア導入の費用対効果分析表
 エ 単体テストの結果報告書

【解答】

正解:イ

安全性→脅威から守る→イ

問52

「ISMS認証基準」の詳細管理策を基に設定した,ノート型PCに対する物理的安全対策の妥当性を確かめるための監査手続はどれか。

【解答】

正解:ア

アは○。物理的対策
イは×。人的対策
ウは×。論理的対策
エは×。管理的対策
参照:「情報セキュリティ対策の種類」(sec-taisaku-kubun

問53

提案依頼書(RFP)によるベンダ選定手続に関するシステム監査の結果,指摘事項となるものはどれか。
 ア RFPに,システム化要求事項のほか,あるべき業務モデルも添付していた。
 イ RFP発行後,問合せをしてきたITベンダに対して追加資料を提供していた。
 ウ 提案を希望するITベンダを集めて,RFP説明会を実施していた。
 エ 予算額の範囲を,RFPに明示していた。

【解答】

正解:イ

ベンダ選定手続→公平性の原則→イが×

問54

「情報セキュリティ監査基準」に基づく監査の対象に関する記述のうち,適切なものはどれか。

【解答】

正解:イ

監査対象は情報資産
情報資産全体が対象
参照:「情報セキュリティ監査制度の概要」(std-security-kijun-gaiyou

問55

JIS Q9001(ISO 9001)の内部監査とシステム監査の関係はどれか。

【解答】

正解:エ

アは×。システム監査対象はソフトウェアだけではない
イは×。経営者への報告
ウは×。プロジェクトは品質だけではない。
エは○。


本シリーズの目次へ