徹底解説 本試験問題シリーズの刊行にあたって
情報処理技術者試験では,共通キャリア・スキルフレームワークをモデル
として,各試験に対応するレベルを満たしているかどうかを判定するもので,
高度情報処理技術者試験(以下,高度試験という)は,午前Ⅰ,午前Ⅱ,午
後Ⅰ,午後Ⅱというように分かれて実施されます。
午前Ⅰ試験は,高度試験と共通の問題が出題され,幅広い知識が要求され
ます。続く午前Ⅱ試験では試験区分ごとに異なる専門分野を中心に出題され
ます。これらの試験では,全体に基礎的な知識が多く出題されており,試験
対策で身に付けた知識がそのまま結果として反映されやすいといえます。
一方,午後Ⅰ,Ⅱ試験は,もっている知識を応用し,決められた時間内で
記述する能力が要求されます。出題されている問題を読んで,解答に必要な
知識を組み合わせて,どのように活用・応用していくかを見通せる力を身に
付ける必要があります。このために,午前試験で学習する知識を断片的なも
のではなく,事例と結び付けたり,体系的な知識・技術として理解したりす
ることが大切になります。
情報処理技術者試験では,過去の情報処理技術者試験で出題された問題や,
一部が修正されて出題されることも多く,特に午前試験では半数以上がこの
ような問題です。また,午後の試験でも,問題内容は変わっても過去に出題
された設問内容の主旨を引き継いだ問題も多いため,過去の試験問題を解く
ことは重要で,そのための演習用問題集として,本書は最適です。
この本試験問題シリーズでは,受験をする際に,最近の出題傾向を理解す
るために重要な 3 期分の本試験問題とその詳細な解答解説を収録しました。
問題を解いた後は,必ず解説を読んで出題内容と関連事項を理解してくださ
い。解説は答えを確認するだけでなく,苦手分野の復習教材として活用でき
るようにまとめてあります。また,巻末にある午前問題出題分析から,出題
頻度の高い分野や難易度が分かるようになっており,平成 25 年 4 月に改訂
された出題範囲の変更内容にも対応させています。更に,平成 25 年 10 月
29 日にセキュリティ問題の出題方針に変更があり,午前Ⅰ,午前Ⅱ試験の両
方で出題数が増加されることになりました(セキュリティ分野が含まれてい
なかった午前Ⅱ試験にも出題範囲として加わった)。巻末の出題分析を有効に
利用していただき,セキュリティ関連の問題を特に学習してください。
合格を目指す皆様が,この本試験問題シリーズを十分に活用し,栄冠を勝
ち取られますよう,心よりお祈り申し上げます。
2013 年 12 月
アイテック教育研究開発部
3.出題範囲と試験の概要
3-1
情報セキュリティスペシャリストの対象者像
情報セキュリティスペシャリストの対象者像は,次のように規定されています。
業務と役割,期待する技術水準,レベル対応も示されています。
対象者像
高度 IT 人材として確立した専門分野をもち,情報システムの企画・要件
定義・開発・運用・保守において,情報セキュリティポリシに準拠してセ
キュリティ機能の実現を支援し,又は情報システム基盤を整備し,情報セ
キュリティ技術の専門家として情報セキュリティ管理を支援する者
業務と
役割
セキュリティ機能の企画・要件定義・開発・運用・保守を推進又は支援
する業務,若しくはセキュアな情報システム基盤を整備する業務に従事
し,次の役割を主導的に果たすとともに,下位者を指導する。
① 情報システムの脅威・脆弱性を分析,評価し,これらを適切に回
避,防止するセキュリティ機能の企画・要件定義・開発を推進又は
支援する。
② 情報システム又はセキュリティ機能の開発プロジェクトにおい
て,情報システムへの脅威を分析し,プロジェクト管理を適切に支
援する。
③ セキュリティ侵犯への対処やセキュリティパッチの適用作業など
情報システム運用プロセスにおけるセキュリティ管理作業を技術的
な側面から支援する。
④ 情報セキュリティポリシの作成,利用者教育などに関して,情報
セキュリティ管理部門を支援する。
情報セキュリティ技術の専門家として,他の専門家と協力しながら情報
セキュリティ技術を適用して,セキュアな情報システムを企画・要件定
義・開発・運用・保守するため,次の知識・実践能力が要求される。
① 情報システム又は情報システム基盤のリスク分析を行い,情報セ
キュリティポリシに準拠して具体的な情報セキュリティ要件を抽出
できる。
② 情報セキュリティ対策のうち,技術的な対策について基本的な技
術と複数の特定の領域における応用技術をもち,これらの技術を対
象システムに適用するとともに,その効果を評価できる。
期待する
③ 情報セキュリティ対策のうち,物理的・管理的な対策について基
技術水準
本的な知識と適用場面に関する技術をもつとともに,情報セキュリ
ティマネジメントの基本的な考え方を理解し,これを適用するケー
スについて具体的な知識をもち,評価できる。
④ 情報技術のうち,ネットワーク,データベース,システム開発環
境について基本的な知識をもち,情報システムの機密性,責任追跡
性などを確保するために必要な暗号,認証,フィルタリング,ロギ
ングなどの要素技術を選択できる。
⑤ 情報システム開発における工程管理,品質管理について基本的な
知識と具体的な適用事例の知識,経験をもつ。
⑥ 情報セキュリティポリシに関する基本的な知識をもち,ポリシ策定,
22
試験制度解説編
4.平成 26 年度春期の試験に向けて
4-1
情報セキュリティスペシャリスト試験について
インターネットの利用が,日常生活に利便をもたらした半面,ウイルス感染を
はじめとし,数多くのセキュリティ問題が指摘され,実際の被害なども発生して
います。例えば,アプリケーションの多くが Web ベースのソフトウェアに移行し
ており,Web サーバなどの脆弱性をねらった攻撃が大きな問題になっています。
こうしたセキュリティ問題に対し,適切に対応していくには,セキュリティ全般
に関する技術知識が広く求められ,情報セキュリティ技術者に対する社会の期待
も大きくなっています。この情報セキュリティ技術者としての実力を証明する公
的な資格が,情報セキュリティスペシャリスト試験です。この資格は,ぜひ取得
しておきたいものです。
参考までに,平成 24 年度秋期から平成 25 年度秋期までの受験者数,合格者数
などの推移を図表 13 に示します。なお,合格率については,平成 21 年度秋期の
合格率(18.5%)をピークに,その後,徐々に低下していましたが,平成 22 年
度秋期試験以来,久々に 14%台の合格率になりました。情報セキュリティスペシ
ャリスト試験で合格を目指すには,午後試験をクリアする必要がありますので,
受験対策を十分に行って試験に臨むことが大切です。
年
応募者数
受験者数
合格者数
平成 24 年度秋期
28,188(-5.3%)
19,381(68.8%)
2,700(13.9%)
平成 25 年度春期
28,930 (2.6%)
19,013(65.7%)
2,490(13.1%)
平成 25 年度秋期
27,522(-4.9%)
17,892(65.0%)
2,657(14.9%)
(
度
)内は,それぞれ対前期比増減率,受験率,合格率を示す。
図表 13
4-2
(1)
応募者数・受験者数・合格者数の推移
出題予想
午前Ⅰ試験,午前Ⅱ試験
平成 24 年度秋期から平成 25 年度秋期までの 3 期にわたる試験から判断する
と,午前試験については,次のようにいえます。まず,午前Ⅰ(共通知識)と午
前Ⅱ(専門知識)を比較すると,午前Ⅰの出題範囲が広範囲にわたることなどか
25
平成 25 年度秋期 午前Ⅰ問題 解答・解説
●平成 25 年度秋期
問1
ア
桁落ちによる誤差の説明 (H25 秋-高度 午前Ⅰ問 1)
桁落ちによる誤差とは,値のほぼ等しい二つの数値の差を求めたときに,有効
桁数が減ることによって発生する誤差なので,
(ア)の説明が適切である。例えば,
有効桁数が 8 桁である 150 =12.247449, 151 =12.288206 について,減算を
行うと, 151 - 150 =0.040757 となり,実際の有効桁数は 8 桁から 5 桁に減
ってしまう。
有効桁数が減ることと,誤差が生じることとの関係が理解しにくいので補足す
る。有効桁数とは,0 でない先頭の数字からの桁数なので,減算の結果である
0.040757 を有効桁数 8 桁で表記すると,0.040757000 となる。このときの末尾 3
桁“000”は,正しい値ではなく,表記のために付された値なので,誤差を含ん
でいる。
桁対策としては,計算式を変形して,絶対値のほぼ等しい同符号の二つの数値
の減算をできるだけなくすようにする。
151 - 150 =
=
(
151 - 150 )(
(
151 + 150 )
151 + 150 )
1
151 + 150
=1/24.535655=0.040757013
計算結果も有効桁数 8 桁となり,桁落ちを防ぐことができる。また,この結果
から,桁落ちした 0.040757000 には誤差が含まれていることが確認できる。
イ:丸め誤差の説明である。
ウ:情報落ちの説明である。対策としては,複数個の数値の加減算では,絶対値
の小さい順に数値を並べ替えてから加減算を行うようにする。
エ:打切り誤差の説明である。
問2
イ
ハッシュ表によるデータの衝突条件 (H25 秋-高度 午前Ⅰ問 2)
異なるキー値からハッシュ関数で求められる値(ハッシュ値という)が等
しいとき,衝突が起きたという。つまり,キーa と b が衝突する条件とは,キ
H25 秋-77
●平成 25 年度秋期
問1
エ
RLO を利用した手口 (H25 秋-SC 午前Ⅱ問 1)
RLO(Right-to-Left Override)は Unicode の制御文字の一つで,文字の表示
順を右から左へ読むように変換するものである。例えば,ファイル名が
sample_fdp.exe という実行形式の不正なプログラムがあるとする。OS の機能を
利用してファイル名のアンダバーの後ろに制御文字の RLO を挿入すれば,アン
ダバー以降の文字の表示順が逆になり,ファイル名の拡張子が sample_exe.pdf
と表示される。このため,ファイルの利用者には,拡張子が pdf に見えるが,実
体は実行形式の sample_fdp.exe なので,それをクリックすると不正なプログラ
ムが実行されてしまう。したがって,
(エ)が正しい。なお,このような RLO を
利用する拡張子の偽装攻撃への対策としては,OS の機能によって制御文字の
RLO を含むファイルは実行しないという設定にしておくことが有効である。
その他の記述が示すものは,次のとおりである。
ア:偽りのセキュリティ警告を利用した手口の説明である。
イ:セキュリティ対策として利用するハニーポットの説明である。
ウ:SNMP(Simple Network Management Protocol)の trap に関する説明であ
る。SNMP はネットワークを管理するためのプロトコルで,管理用コンピュー
タで SNMP マネージャを動作させ,監視対象のネットワーク機器で SNMP エ
ージェントを動作させる。MIB(Management Information Base)は,ネット
ワーク機器がもつ情報で,監視項目や取得した監視項目の値,trap を発行する
条件のしきい値などを格納したデータベースである。
問2
ア
XML ディジタル署名の特徴 (H25 秋-SC 午前Ⅱ問 2)
XML ディジタル署名は,XML データの送信者の真正性確認と改ざん検出を目
的とする,XML データに対するディジタル署名で,XML 文書中の指定したエレ
メントに対して署名することができる。したがって,
(ア)が正しい。なお,エレ
メント(要素)とは,開始タグと要素の内容と終了タグからなるデータの単位で
ある。例えば,「<title>本試験問題</title>」が一つのエレメントである。また,
XML ディジタル署名は,W3C(World Wide Web Consortium)と IETF(Internet
Engineering Task Force)で標準化が進められている。
その他の記述には,次のような誤りがある。
イ:エンベローピング署名は,XML ディジタル署名の形式の一つで,署名エレ
H25 秋-94
●平成 25 年度秋期
問1
Web システムのクロスサイトスクリプティング対策
【解答例】
[設問1]
(1) パターン 1:②
パターン 2:②
(H25 秋-SC 午後Ⅰ問 1)
パターン 3:②
パターン 4:③
(2) a :4
(3) b :18
(4) “http://”又は“https://”で始まる URL だけを許可する。
[設問2]
(1) c :17
(2) e :②
d:24(c,d は順不同)
(3) f :GET パラメタ及び POST パラメタ
(4) g :escapeHTML
(5) h:26
(6) i :④
(7) j :out.print("document.form1.loc.value");
【解説】
本問は,プログラム言語として Java を用いたセキュアプログラミングの問題であ
る。IPA が公表している“安全なウェブサイトの作り方”と“ウェブ健康診断仕様”
を題材として,両資料の紐付けや検査パターンの不足の考察,プログラムの脆弱性の
指摘,ソースコードの修正方法などの問題が出題されている。クロスサイトスクリプ
ティング(XSS)対策の考え方を理解し,同分野の過去問題を演習していれば取り組
みやすいといえる。なお,平成 25 年度秋期試験から午後Ⅰ問題の出題数が 3 問に減
少し,その中から 2 問を選択するので,ほかの問題の出題内容との関係からセキュア
プログラミングに関する問題を選択せざるを得ない場合もある。このため,情報セキ
ュリティスペシャリスト試験を受験するに当たっては,Java,C++,ECMCScript の
ほか,HTML を理解できるだけの知識を身に付けておくとよい。
[設問1]
(1) この設問は,表 2 の検出パターン 1~4 が,それぞれ表 1 の②~⑥のどの実施項
目の不備を検出できるものかを答える問題である。
検出パターン 1 は,「'>"><hr>」という検査文字列を GET パラメタ及び POST
パラメタに入力したときに,入力確認画面あるいはエラー画面を出力する HTTP レ
H25 秋-106
●平成 25 年度秋期
問1
マルウェア感染への対策
【解答例】
[設問1]
(H25 秋-SC 午後Ⅱ問 1)
(1) 行動①:不審と判断したファイルを削除した。
行動②:OS 上で稼働するアプリケーションの自動起動設定を変更
した。
理由:調査に必要な証跡が消えてしまう可能性があるから。
(2) 未検出のマルウェアが動作している可能性があるから。
[設問2]
(1) マルウェア感染前後における OS の状態の差分を確認するため。
(2) 8
(3) a :80
レスポンス:エ
(4) b :HTTP レスポンス
[設問3]
(1) c :9 月 25 日 14:10
(2) d:ア
f:ウ
(3) e :xx:xx:xx:aa:bb:22
(4) 192.168.1.1,192.168.1.3~192.168.1.253
[設問4]
(1) JRE の最新バージョンにおけるシステム B の正常動作を確認する
こと
(2) User-Agent ヘッダの内容に文字列“Java”が含まれるリクエスト
をフィルタリングする。
(3) プロキシで利用者の認証を有効にする。
(4) 設定を行う PC:N さんの PC
禁止する通信:インバウンド通信
【解説】
本問は,マルウェア感染によるインシデント発生時における行動の問題点,その調
査において留意すべき事項,メールヘッダの読み方,ログの調査,LAN における通信
の盗聴,ソフトウェアをアップデートした際の対応方法,HTTP ヘッダによるフィル
タリング方法,プロキシ経由の通信を制御する方法など,様々な観点からの問題が出
題されている。問題の記述内容に従い,論理的に整合性を取りながら考えていく設問
が多いので,安易に解答を作成しないようにしたい。特に,設問 3 (4)は,パケットの
送信元 IP アドレスの範囲が問われているので,なぜ解答例のような解答が導き出さ
H25 秋-122
・問題番号順
平成 25 年度秋期 高度午前Ⅰ(共通知識)試験
問
出-6
問 題 タ イ ト ル
正解 分野 大 中 小 難易度
1
桁落ちによる誤差の説明
ア
T
1
1
1
2
2
ハッシュ表によるデータの衝突条件
イ
T
1
2
2
3
3
整列アルゴリズムのデータ入替え回数
ウ
T
1
2
2
2
4
平均アクセス時間を表す式
イ
T
2
3
2
2
5
フェールセーフの考え方
ア
T
2
4
2
2
6
装置単体の稼働率を上回るシステム
イ
T
2
4
2
3
7
記憶領域を再び利用可能にする機能
ア
T
2
5
1
2
8
DRAM の特徴
ウ
T
2
6
1
2
9
ストアドプロシージャ
ウ
T
3
9
1
3
10 第 3 正規形に変換する手順
イ
T
3
9
2
3
11 可変長サブネットマスク
エ
T
3 10 1
3
12 トランスポート層に位置するプロトコル
エ
T
3 10 3
2
13 ハッシュ値のディジタル署名
エ
T
3 11 1
2
14 ISMS 適合性評価制度の情報セキュリティ基本方針
ウ
T
3 11 2
3
15 クロスサイトスクリプティングの手口
ア
T
3 11 4
3
16 E-R 図の解釈
ア
T
4 12 3
4
17 分岐網羅かつ条件網羅を満たすテストデータの組
エ
T
4 12 5
4
18 プロジェクト作業配分モデルによる日数見積り
イ
M
5 14 6
4
19 PMBOK の転嫁に該当するリスク対応例
ウ
M
5 14 8
3
20 ミッションクリティカルシステムの意味
ウ
M
6 15 4
3
21 起票された受注伝票に関する監査手続
ウ
M
6 16 1
3
22 システム開発計画の策定におけるコントロール
ウ
M
6 16 1
3
23 IT ポートフォリオの説明
エ
S
7 17 1
3
24 業務のあるべき姿を表す論理モデル
イ
S
7 17 2
3
25 意見を収束させる手法
エ
S
8 19 2
3
26 プロモーションに対応する 4C の構成要素
ウ
S
8 19 2
3
27 プロダクトイノベーションの例
エ
S
8 20 1
3
28 EDI
エ
S
8 21 3
3
29 定額法による減価償却での固定資産売却損の計算
ア
S
9 22 3
3
30 Web ページの著作権
エ
S
9 23 1
3
・午前の出題範囲順
平成 24 年度秋期,平成 25 年度春期,平成 25 年度秋期
高度午前Ⅰ(共通知識)試験……高度
情報セキュリティスペシャリスト 午前Ⅱ試験……SC
期
問
問 題 タ イ ト ル
正解 分野 大 中 小 難易度
24 秋高度 1
集合演算
ア
T
1
1
1
2
25 秋高度 1
桁落ちによる誤差の説明
ア
T
1
1
1
2
24 秋高度 2
ビットの誤りの検査
エ
T
1
1
3
3
25 春高度 1
ハミング符号
ア
T
1
1
4
3
24 秋高度 3
スタックを実現するために最低限必要な構成要素
ア
T
1
2
1
2
25 春高度 2
関数の再帰的な定義
ウ
T
1
2
2
2
25 秋高度 3
整列アルゴリズムのデータ入替え回数
ウ
T
1
2
2
2
25 秋高度 2
ハッシュ表によるデータの衝突条件
イ
T
1
2
2
3
25 春高度 3
流れ図に示す処理の動作
ウ
T
1
2
2
4
24 秋高度 4
演算器をハードウェアによって動的に割り当てる方式
ウ
T
2
3
1
3
25 秋高度 4
平均アクセス時間を表す式
イ
T
2
3
2
2
24 秋高度 5
ライトスルー方式とライトバック方式
イ
T
2
3
2
3
25 春高度 4
キャッシュのライトバック方式を使用する目的
エ
T
2
3
2
3
25 秋高度 5
フェールセーフの考え方
ア
T
2
4
2
2
24 秋高度 6
回線網の稼働率の計算
イ
T
2
4
2
3
25 春高度 6
システムの信頼性向上技術
エ
T
2
4
2
3
25 秋高度 6
装置単体の稼働率を上回るシステム
イ
T
2
4
2
3
25 春高度 5
密結合マルチプロセッサと主記憶の関係
ア
T
2
4
2
4
25 秋高度 7
記憶領域を再び利用可能にする機能
ア
T
2
5
1
2
24 秋高度 7
プログラム実行時の主記憶管理
イ
T
2
5
1
3
24 秋高度 8
仮想記憶を用いたフラグメンテーションの問題の解決理由
ア
T
2
5
1
3
25 春高度 7
値呼出しと参照呼出し
イ
T
2
5
1
3
25 秋高度 8
DRAM の特徴
ウ
T
2
6
1
2
25 春高度 8
RFID のパッシブ方式 RF タグの説明
ア
T
2
6
1
3
25 春高度 9
PCM の処理
イ
T
3
8
1
3
24 秋高度 9
ストアドプロシージャの利点
ア
T
3
9
1
3
25 春高度 10 ストアドプロシージャを利用したときの利点
ア
T
3
9
1
3
ウ
T
3
9
1
3
25 秋高度 9
出-8
ストアドプロシージャ
(3) 午後Ⅰ,午後Ⅱ問題
予想配点表
■平成 24 年度秋期 情報セキュリティスペシャリスト試験
午後Ⅰの問題(問 1~問 4 から 2 問選択)
問番号
設問
1
2
問1
3
4
1
問2
2
設問内容
a,b
2
問3
3
問4
3
出-24
満点
50
(1)c,e
(2)
(3)d
(1)f
(2)g
3
8
4
12
6
5
5
6
8
8
12
6
5
5
(1)
(2)a
(3)
1
1
1
6
6
4
6
6
4
(1)
(2)
(3)
1
1
1
6
6
8
6
6
8
(4)b
1
1
6
8
6
8
a,b
(1)c,d
(2)e
(1)
システムの名称
(2)
設置場所,監視すべき事象
3
3
5
6
3
4
8
8
6
6
5
6
3
8
8
8
50
(3)
(4)
2
2
1
1
1
2
1
1
(1)a
(2)
(3)
(1)b,c,d
(2)
機器①,②
(3)
設定内容①,②
1
1
1
1
3
1
2
2
8
3
4
6
3
6
2
5
8
3
4
6
9
6
4
10
50
合計
100
1
2
配点
2
1
2
1
1
1
1
3
1
小問数 小問点
50
■執
筆
長谷 和幸
長嶋
仁
武 優一
(株)アイテック 教育研究開発部 主席研究員
長嶋技術士事務所
アイテック教育研究開発部
石川 英樹
吉沢 正文
山本 森樹
小口 達夫
山本 明生
2014 春 徹底解説情報セキュリティスペシャリスト本試験問題
編著■アイテック教育研究開発部
制作■山浦 菜穂子
戸波 奈緒
DTP・印刷■株式会社ワコープラネット
発行日
発行人
発行所
2014 年 2 月 20 日 第 1 版 第 1 刷
土元 克則
株式会社アイテック 情報処理技術者教育センター
〒103-0015 東京都中央区日本橋箱崎町 17-9 箱崎升喜ビル
電話 03-5652-6065
http://www.itec.co.jp/
本書を無断複写複製(コピー)すると著作者・発行者の権利侵害になります。
落丁本・乱丁本はお取り替えいたします。
© 2014 ITEC Inc. 701475-10WP
ISBN 978-4-87268-963-1 C3004 ¥3400E
© Copyright 2024 ExpyDoc
