この記事は約37分で読めます。
筆者プロフィール: ソフトウェアエンジニア。「知った気にならない。いつまでも学び続ける」を信条に、業務と個人開発の両輪で技術を磨いています。AI 駆動開発で複数の個人開発アプリを構築・運用中。
👉 ポートフォリオ: 筆者ホームページ
生成AIに「中学生にもわかりやすいように解説して!」と頼んだら、とても読みやすい記事ができました。情報処理安全確保支援士試験の不正解・未回答の問題を、やさしい解説付きでまとめています。
学習の背景
2026年秋の 情報処理安全確保支援士 試験合格を目指して、現在学習中です。本記事は、学習過程で遭遇した過去問の中から、つまずいた問題・未回答だった問題を整理し、生成AIに「中学生にもわかりやすく」解説してもらった内容をまとめたものです。
学習全体の進め方・学習記録・他分野の解説記事は、以下のまとめ記事で随時更新しています。
問1: 令和5年秋期 問4(セキュリティ)
問題文: XMLデジタル署名の特徴として,適切なものはどれか。
選択肢:
- ア: XML文書中の任意のエレメントに対してデタッチ署名(Detached Signature)を作成し,同じXML文書に含めることができる。
- イ: エンベローピング署名(Enveloping Signature)では一つの署名対象に複数の署名を付与する。
- ウ: 署名の書式として,CMS(Cryptographic Message Syntax)を用いる。
- エ: デジタル署名では,署名対象と署名アルゴリズムをASN.1によって記述する。
正解: ア
やさしい解説:
XMLデジタル署名とは、XML(データを整理して書くためのルール)で書かれた文書に「この文書は本物ですよ」という電子的なハンコを押す仕組みです。
XMLデジタル署名には3つの種類があります:
- デタッチ署名(Detached Signature):署名と署名対象が別々に存在する方式。同じXML文書の中の好きな部分だけに署名をつけられます。これが正解のアです。
- エンベローピング署名(Enveloping Signature):署名の中にデータを包み込む方式。「一つの対象に複数の署名」という説明(イ)は間違いです。
- エンベロープド署名(Enveloped Signature):データの中に署名を入れる方式。
ウが間違いなのは、XMLデジタル署名はXML形式で記述するもので、CMS(別の署名形式)は使わないからです。エが間違いなのは、ASN.1(データの書き方の一つ)ではなくXMLで記述するからです。
たとえると、デタッチ署名は「手紙の好きなページだけに付箋でハンコを貼れる」ようなイメージです。
問2: 令和5年春期 問10(セキュリティ)
問題文: WAFにおけるフォールスポジティブに該当するものはどれか。
選択肢:
- ア: HTMLの特殊文字"<"を検出したときに通信を遮断するようにWAFを設定した場合,"<"などの数式を含んだ正当なHTTPリクエストが送信されたとき,WAFが攻撃として検知し,遮断する。
- イ: HTTPリクエストのうち,RFCなどに仕様が明確に定義されておらず,Webアプリケーションソフトウェアの開発者が独自の仕様で追加したフィールドについてはWAFが検査しないという仕様を悪用して,攻撃の命令を埋め込んだHTTPリクエストが送信されたとき,WAFが遮断しない。
- ウ: HTTPリクエストのパラメータ中に許可しない文字列を検出したときに通信を遮断するようにWAFを設定した場合,許可しない文字列をパラメータ中に含んだ不正なHTTPリクエストが送信されたとき,WAFが攻撃として検知し,遮断する。
- エ: 悪意のある通信を正常な通信と見せかけ,HTTPリクエストを分割して送信されたとき,WAFが遮断しない。
正解: ア
やさしい解説:
WAF(ワフ:Web Application Firewall)は、Webサイトを攻撃から守る「門番」のようなものです。
フォールスポジティブ(偽陽性)とは「本当は安全なのに、間違って危険だと判断してしまうこと」です。
たとえると、空港の金属探知機がベルトのバックルに反応して「武器だ!」と警報を鳴らすようなものです。
正解のアでは、数学の式に使う「<」(小なり記号)を含んだ正当なリクエストなのに、WAFが「これは攻撃だ!」と誤判断して遮断してしまっています。これがまさにフォールスポジティブです。
他の選択肢について:
- イとエはフォールスネガティブ(偽陰性)で、「本当は危険なのに見逃してしまう」ケースです。
- ウはトゥルーポジティブ(真陽性)で、「本当に危険なものを正しく検知した」ケースです。
問3: 平成29年秋期 問9(セキュリティ)
問題文: ステートフルインスペクション方式のファイアウォールの特徴はどれか。
選択肢:
- ア: Webクライアントとサーバ間に配置されリバースプロキシとして機能し,通信内容の不正検査を行う方式
- イ: アプリケーションプロトコルごとにプロキシソフトウェアを用意する方式であり,クライアントからの通信を目的のサーバに中継する際に,通信に不正なデータがないかどうかを検査する
- ウ: 特定アプリケーションプロトコルのゲートウェイソフトウェアを使用し,クライアントコネクション要求を受け付けて目的サーバに改めてコネクション要求することでアクセス制御する方式
- エ: パケットフィルタリングを拡張した方式であり,過去に通過したパケットから通信セッションを認識し,受け付けたパケットを通信セッションの状態に照らし合わせて通過させるか遮断するかを判断する
正解: エ
やさしい解説:
ステートフルインスペクション(Stateful Inspection=状態を把握した検査)は、ファイアウォール(ネットワークの門番)の方式の一つです。
普通のパケットフィルタリング(通信データの検査)は、一つ一つのパケット(通信データの断片)を個別にチェックします。これは「道を歩いている人を一人ずつ身分証で確認する」ようなものです。
一方、ステートフルインスペクションは、通信の「流れ」を記憶して判断します。たとえると「Aさんが中に入って、今Bさんと会議中だから、Bさんからの返事のパケットは通してOK」というように、前後の文脈を理解して判断できます。
他の選択肢について:
- アはWAF(Web Application Firewall)の説明です。
- イはアプリケーションゲートウェイ型ファイアウォールの説明です。
- ウはサーキットレベルゲートウェイ型の説明です。
問4: 平成25年春期 問7(セキュリティ)
問題文: 無線LAN環境に複数台のPC,複数台のアクセスポイント及び利用者認証情報を管理する1台のサーバがある。利用者認証とアクセス制御にIEEE802.1XとRADIUSを利用する場合の特徴はどれか。
選択肢:
- ア: PCにはIEEE802.1Xのサプリカントを実装し,RADIUSクライアントの機能をもたせる。
- イ: アクセスポイントにはIEEE802.1Xのオーセンティケータを実装し,RADIUSクライアントの機能をもたせる。
- ウ: アクセスポイントにはIEEE802.1Xのサプリカントを実装し,RADIUSサーバの機能をもたせる。
- エ: サーバにはIEEE802.1Xのオーセンティケータを実装し,RADIUSサーバの機能をもたせる。
正解: イ
やさしい解説:
IEEE 802.1X(認証の仕組み)とRADIUS(認証サーバの仕組み)を使った無線LANの認証について、登場人物を整理しましょう。
3つの役割:
- **サプリカント(Supplicant=申請者)**→ PC(「入れてください!」とお願いする人)
- **オーセンティケータ(Authenticator=認証者)**→ アクセスポイント(「身分証を見せて」と門番をする人)
- 認証サーバ → RADIUSサーバ(「この人は本物です」と確認する管理人)
たとえると、ディスコの入場にたとえられます:
- お客さん(PC=サプリカント)が入口に来る
- ドアマン(アクセスポイント=オーセンティケータ+RADIUSクライアント)がIDを受け取る
- ドアマンが奥の管理室(RADIUSサーバ)に電話して「この人、会員ですか?」と確認する
アクセスポイントは、IEEE 802.1Xでは「オーセンティケータ」の役割、RADIUSでは「クライアント」の役割を持ちます。だからイが正解です。
問5: 平成28年秋期 問1(セキュリティ)
問題文: RADIUSやDIAMETERが提供するAAAフレームワークの構成要素は,認証(Authentication)及び認可(Authorization)の他にどれか。
選択肢:
- ア: Accounting
- イ: Activation
- ウ: Audit
- エ: Augmented Reality
正解: ア
やさしい解説:
AAAフレームワークとは、ネットワークのセキュリティを管理する3つの機能のことです。
AAAの3つの「A」は:
- Authentication(認証):「あなたは誰?」を確認すること。たとえると、学校の入り口で生徒証を見せること。
- Authorization(認可):「あなたは何をしていい?」を決めること。たとえると、図書室は使えるけど職員室は入れない、というルール。
- Accounting(課金/記録):「あなたは何をした?」を記録すること。たとえると、図書室で借りた本の記録。
正解はア(Accounting)です。「アカウンティング」は「課金」という意味もありますが、ここでは「利用記録を残すこと」の意味です。
他の選択肢について:
- イのActivation(有効化)はAAAとは無関係です。
- ウのAudit(監査)はセキュリティ用語ですが、AAAの構成要素ではありません。
- エのAugmented Reality(拡張現実)はポケモンGOのような技術で、全く関係ありません。
問6: 令和5年春期 問3(セキュリティ)
問題文: シングルサインオンの実装方式の一つであるSAML認証の流れとして,適切なものはどれか。
選択肢:
- ア: IdP(Identity Provider)が利用者認証を行い,認証成功後に発行されるアサーションをSP(Service Provider)が検証し,問題がなければクライアントがSPにアクセスする。
- イ: Webサーバに導入されたエージェントが認証サーバと連携して利用者認証を行い,クライアントは認証成功後に利用者に発行されるcookieを使用してSPにアクセスする。
- ウ: 認証サーバはKerberosプロトコルを使って利用者認証を行い,クライアントは認証成功後に発行されるチケットを使用してSPにアクセスする。
- エ: リバースプロキシで利用者認証が行われ,クライアントは認証成功後にリバースプロキシ経由でSPにアクセスする。
正解: ア
やさしい解説:
シングルサインオン(SSO)とは、一度ログインすれば複数のサービスを使えるようにする仕組みです。SAMLはそのやり方の一つです。
たとえるなら、遊園地で入口(IdP)で身分証を見せてリストバンドをもらい、各アトラクション(SP)ではリストバンドを見せるだけで乗れる仕組みです。アサーションとは「この人は本人確認済みですよ」という証明書(リストバンド)のことです。
イはエージェント方式(cookieを使う方法)、ウはKerberos方式(チケットを使う方法)、エはリバースプロキシ方式の説明で、どれもSAMLとは異なるSSOの方式です。
問7: 平成26年秋期 問15(セキュリティ)
問題文: スパムメールへの対策であるDKIM(DomainKeys Identified Mail)の説明はどれか。
選択肢:
- ア: 送信側メールサーバでデジタル署名を電子メールのヘッダーに付与して,受信側メールサーバで検証する。
- イ: 送信側メールサーバで利用者が認証されたとき,電子メールの送信が許可される。
- ウ: 電子メールのヘッダーや配送経路の情報から得られる送信元情報を用いて,メール送信元のIPアドレスを検証する。
- エ: ネットワーク機器で,内部ネットワークから外部のメールサーバのTCPポート25番への直接の通信を禁止する。
正解: ア
やさしい解説:
DKIMは前の問題(問127)と同じテーマです。送信側のメールサーバがメールに「電子印鑑」(デジタル署名)を押し、受信側がその印鑑が本物かどうかを確認することで、なりすましメールを見破る仕組みです。
迷惑メールの多くは送信元を偽装(なりすまし)しています。DKIMを使えば、「この@example.comからのメールは本物だ」と確認できるので、偽物のメールを見分けやすくなります。
イはSMTP-AUTH、ウはSPF、エはOP25Bの説明です。メールのセキュリティ対策にはいろいろな種類があるので、それぞれの違いを覚えておくことが大切です。
問8: 平成22年秋期 問16(セキュリティ)
問題文: WAF(Web Application Firewall)のブラックリスト又はホワイトリストの説明のうち,適切なものはどれか。
選択肢:
- ア: ブラックリストは,脆弱性のあるサイトのIPアドレスを登録したものであり,該当する通信を遮断する。
- イ: ブラックリストは,問題のある通信データパターンを定義したものであり,該当する通信を遮断するか又は無害化する。
- ウ: ホワイトリストは,脆弱性のないサイトのFQDNを登録したものであり,該当する通信を遮断する。
- エ: ホワイトリストは,問題のある送信データをどのように無害化するかを定義したものであり,該当するデータを無害化する。
正解: イ
やさしい解説:
WAF(ワフ)は、Webサイトを攻撃から守るための「門番」のような仕組みです。WAFのブラックリストとは、「こういうデータパターンは危険だからブロックする」という危険リストのことです。
たとえるなら、お店の入口に「こういう行動をする人は入店お断り」というリストが貼ってあるようなものです。SQLインジェクション(データベースを不正操作する攻撃)やXSS(悪意のあるスクリプトを埋め込む攻撃)などの攻撃パターンを登録しておき、そのパターンに合致する通信を遮断または無害化します。
アは「サイトのIPアドレス」と書いていますがWAFはデータの中身を見るもの。ウはホワイトリストなのに「遮断する」と書いてあるのが間違い。エはホワイトリストの説明として不適切です。
問9: 平成25年秋期 問12(セキュリティ)
問題文: 送信元を詐称した電子メールを拒否するために,SPF(Sender Policy Framework)の仕組みにおいて受信側が行うことはどれか。
選択肢:
- ア: Resent-Sender:,Resent-From:,Sender:,From: などのメールヘッダーの送信者メールアドレスを基に送信メールアカウントを検証する。
- イ: SMTPが利用するポート番号25の通信を拒否する。
- ウ: SMTP通信中にやり取りされるMAIL FROMコマンドで与えられた送信ドメインと送信サーバのIPアドレスの適合性を検証する。
- エ: 電子メールに付加されたデジタル署名を検証する。
正解: ウ
やさしい解説:
SPFは、メールの「差出人詐称」を見破る仕組みです。たとえば、手紙の差出人に「東京都の田中さん」と書いてあるのに、消印が「大阪」だったらおかしいですよね。SPFはそれと同じチェックをします。
メールを送るとき、「私は○○.comから送っています」という情報が含まれます。受信側のメールサーバは、DNS(インターネットの電話帳のようなもの)に「○○.comのメールを送ってよいサーバのIPアドレス(住所)はどれですか?」と問い合わせます。実際に送ってきたサーバの住所がリストに載っていなければ、なりすましメールだと判断できます。
- ア(間違い): ヘッダー情報の検証はSPFの仕組みではありません。
- イ(間違い): ポート25を全部拒否したらメール自体が届かなくなってしまいます。
- ウ(正解): MAIL FROMのドメインと実際の送信サーバのIPアドレスを照合するのがSPFです。
- エ(間違い): デジタル署名の検証はDKIMという別の仕組みです。
問10: 令和3年春期 問11(セキュリティ)
問題文: セキュリティ対策として,CASB(Cloud Access Security Broker)を利用した際の効果はどれか。
選択肢:
- ア: クラウドサービスプロバイダが、運用しているクラウドサービスに対してDDoS攻撃対策を行うことによって、クラウドサービスの可用性低下を緩和できる。
- イ: クラウドサービスプロバイダが、クラウドサービスを運用している施設に対して入退室管理を行うことによって、クラウドサービス運用環境への物理的な不正アクセスを防止できる。
- ウ: クラウドサービス利用組織の管理者が、組織で利用しているクラウドサービスに対して脆弱性診断を行うことによって、脆弱性を特定できる。
- エ: クラウドサービス利用組織の管理者が、組織の利用者が利用している全てのクラウドサービスの利用状況の可視化を行うことによって、許可を得ずにクラウドサービスを利用している者を特定できる。
正解: エ
やさしい解説:
CASB(キャスビー)は、会社の人たちがどんなクラウドサービス(インターネット上のサービス)を使っているかを「見える化」して管理するツールです。
たとえるなら、学校の先生が生徒たちのスマホアプリの使用状況をチェックできるシステムのようなものです。先生が許可していないアプリを使っている生徒を見つけることができます。
会社では、社員が勝手にDropboxやGoogleドライブなどを使う「シャドーIT」(会社が把握していないIT利用)が問題になっています。CASBを使えば、誰がどのクラウドサービスを使っているかが一目でわかり、許可なく使っている人を特定できます。
- ア(間違い): DDoS攻撃対策はCASBの機能ではありません。
- イ(間違い): 入退室管理は物理的なセキュリティでCASBとは無関係です。
- ウ(間違い): 脆弱性診断はCASBの主な目的ではありません。
- エ(正解): クラウドサービスの利用状況を可視化し、無許可利用を発見できます。
問11: 平成27年春期 問4(セキュリティ)
問題文: VA(Validation Authority)の役割はどれか。
選択肢:
- ア: デジタル証明書の失効状態についての問合せに応答する。
- イ: デジタル証明書を作成するためにデジタル署名する。
- ウ: 認証局に代わって属性証明書を発行する。
- エ: 本人確認を行い,デジタル証明書の発行を指示する。
正解: ア
やさしい解説:
VA(証明書有効性検証局)は、デジタル証明書(インターネット上の「身分証明書」のようなもの)がまだ有効かどうかを確認する機関です。図書館のカードにたとえると、VAは「このカードはまだ使えますか?期限切れや停止になっていませんか?」という問い合わせに答える窓口のようなものです。
- イが間違いの理由: 証明書を作るのはCA(認証局)の仕事です。
- ウが間違いの理由: 属性証明書を発行するのはAA(属性認証局)です。
- エが間違いの理由: 本人確認をして証明書の発行を指示するのはRA(登録局)です。
問12: 令和元年秋期 問4(セキュリティ)
問題文: XMLデジタル署名の特徴として,適切なものはどれか。
選択肢:
- ア: XML文書中の任意のエレメントに対してデタッチ署名(Detached Signature)を付けることができる。
- イ: エンベローピング署名(Enveloping Signature)では一つの署名対象に必ず複数の署名を付ける。
- ウ: 署名形式として,CMS(Cryptographic Message Syntax)を用いる。
- エ: 署名対象と署名アルゴリズムをASN.1によって記述する。
正解: ア
やさしい解説:
XMLデジタル署名とは、XML文書(データをタグで囲んで整理した文書形式)に「この部分は改ざんされていません」という電子的なハンコを付ける仕組みです。デタッチ署名(分離署名)は、署名と署名対象が別々になっている方式で、文書の好きな部分だけに署名できるのが特徴です。手紙にたとえると、封筒と手紙を別々にして、手紙の特定のページだけに「確認済み」の印鑑を押せるようなものです。
- イが間違いの理由: エンベローピング署名は1つの署名対象に1つの署名です。複数ではありません。
- ウが間違いの理由: XMLデジタル署名はCMSではなく、XMLDSigという独自の形式を使います。
- エが間違いの理由: ASN.1ではなく、XML形式(URI形式)で記述します。
問13: 令和5年秋期 問7(セキュリティ)
問題文: インターネットバンキングでのMITB攻撃による不正送金について、対策として用いられるトランザクション署名の説明はどれか。
選択肢:
- ア: 携帯端末からの送金取引の場合、金融機関から利用者の登録メールアドレスに送金用のワンタイムパスワードを送信する。
- イ: 特定認証業務の認定を受けた認証局が署名したデジタル証明書をインターネットバンキングでの利用者認証に用いることによって、ログインパスワードが漏えいした際の不正ログインを防止する。
- ウ: 利用者が送金取引時に、送金操作を行うPCとは別のデバイスに振込先口座番号などの取引情報を入力して表示された値をインターネットバンキングに送信する。
- エ: ログイン時に、送金操作を行うPCとは別のデバイスによって、一定時間だけ有効なログイン用のワンタイムパスワードを算出し、インターネットバンキングに送信する。
正解: ウ
やさしい解説:
トランザクション署名は、MITB攻撃(ブラウザの中に入り込んで送金情報を書き換える攻撃)を防ぐための仕組みです。パソコンとは別のデバイス(専用の小さな機器)に、振込先の口座番号や金額を入力すると、その取引内容に基づいた特別なコードが表示されます。このコードをインターネットバンキングに入力することで、取引内容が途中で改ざんされていないことを確認できます。
たとえるなら、手紙の内容を別の電話で確認してから送るようなものです。手紙を途中で誰かが書き換えても、電話での確認内容と食い違うので気づけます。
- アが間違いの理由: メールでのワンタイムパスワードは、取引内容の改ざん検知ではなく本人確認のためのものです。
- イが間違いの理由: デジタル証明書によるログイン認証は、ログイン後の取引改ざんには対応できません。
- エが間違いの理由: ワンタイムパスワードはログイン認証の強化であり、取引内容の検証はできません。
問14: 令和6年秋期 問10(セキュリティ)
問題文: 電子メールの受信者側のメールサーバでの送信ドメイン認証が失敗したときの処理方針を,送信側のドメイン管理者が指定するための仕組みはどれか。
選択肢:
- ア: DKIM
- イ: DMARC
- ウ: SMTP-AUTH
- エ: SPF
正解: イ
やさしい解説:
DMARC(ディーマーク)は、メールの送信者のなりすましを防ぐ仕組みです。SPF(送信元IPアドレスの確認)やDKIM(電子署名による確認)で認証に失敗したメールをどう扱うかを、送信側のドメイン管理者が指定できます。たとえるなら、会社が「うちの名前を騙った手紙が届いたら、こう対処してください」という指示書を出すようなものです。
指定できる方針は3つあります:
-
None(何もしない=様子見)
-
Quarantine(隔離=迷惑メールフォルダに入れる)
-
Reject(拒否=受け取らない)
-
アが間違いの理由: DKIM(DomainKeys Identified Mail)はメールにデジタル署名を付けて改ざんを検知する仕組みで、失敗時の処理方針を指定するものではありません。
-
ウが間違いの理由: SMTP-AUTHはメール送信時のユーザー認証であり、ドメイン認証失敗時の処理方針とは関係ありません。
-
エが間違いの理由: SPF(Sender Policy Framework)は送信元IPアドレスを確認する仕組みで、処理方針の指定機能はありません。
問15: 平成25年秋期 問2(セキュリティ)
問題文: XMLデジタル署名の特徴はどれか。
選択肢:
- ア: XML文書中の、指定したエレメントに対して署名することができる。
- イ: エンベローピング署名(Enveloping Signature)では一つの署名対象に必ず複数の署名を付ける。
- ウ: 署名形式として、CMS(Cryptographic Message Syntax)を用いる。
- エ: 署名対象と署名アルゴリズムをASN.1によって記述する。
正解: ア
やさしい解説:
XMLデジタル署名は、XML文書(タグで構造化されたデータ形式)の一部または全体に電子的な署名(改ざん検知用のしるし)を付ける仕組みです。最大の特徴は、文書全体ではなく「指定した部分だけ」に署名できることです。たとえるなら、契約書の全ページではなく、金額が書かれた特定のページだけにハンコを押すことができるようなものです。
- イが間違いの理由: エンベローピング署名では、1つの署名対象に対して1つの署名を付けます。複数の署名は必須ではありません。
- ウが間違いの理由: XMLデジタル署名はCMSではなく、XMLDSigという独自のXMLベースの形式を使います。
- エが間違いの理由: ASN.1(抽象構文記法)ではなく、URI形式(Webアドレスのような書き方)で記述します。
問16: 平成27年秋期 問17(セキュリティ)
問題文: OAuth2.0において、WebサービスAの利用者Cが、WebサービスBにリソースDを所有している。利用者Cの承認の下、WebサービスAが、リソースDへの限定的なアクセス権限を取得するときのプロトコルOAuth2.0の動作はどれか。
選択肢:
- ア: WebサービスAが、アクセストークンを発行する。
- イ: WebサービスAが、利用者Cのデジタル証明書をWebサービスBに送信する。
- ウ: WebサービスBが、アクセストークンを発行する。
- エ: WebサービスBが、利用者Cのデジタル証明書をWebサービスAに送信する。
正解: ウ
やさしい解説:
OAuth2.0の仕組みでは、リソース(データ)を持っている側のサービス(WebサービスB)が、アクセストークン(一時的な通行証)を発行します。利用者Cが「WebサービスAに私のデータを見せてもいいよ」と許可すると、WebサービスBが「この通行証を持っている人にはデータを見せていいですよ」というアクセストークンをWebサービスAに渡します。
たとえるなら、あなたが友達に「私の部屋の荷物を取ってきて」と頼むとき、マンションの管理人(WebサービスB)が友達(WebサービスA)に「この入館証で入ってください」と一時的な入館証(アクセストークン)を発行するイメージです。
- アが間違いの理由: アクセストークンを発行するのはリソースを持つ側(WebサービスB)であり、利用する側(WebサービスA)ではありません。
- イが間違いの理由: OAuth2.0ではデジタル証明書の送信は行いません。
- エが間違いの理由: デジタル証明書の送信はOAuth2.0の仕組みには含まれません。
問17: 令和6年秋期 問16(セキュリティ)
問題文: 利用者Aが所有するリソースBが,WebサービスC上にある。OAuth2.0において,利用者Aの認可の下,WebサービスDからリソースBへの限定されたアクセスを可能にするときのプロトコルの動作はどれか。ここでWebサービスCは,認可サーバを兼ねているものとする。
選択肢:
- ア: WebサービスCが,アクセストークンを発行する。
- イ: WebサービスCが,利用者Aのデジタル証明書をWebサービスDに送信する。
- ウ: WebサービスDが,アクセストークンを発行する。
- エ: WebサービスDが,利用者Aのデジタル証明書をWebサービスCに送信する。
正解: ア
やさしい解説:
OAuth 2.0(オーオース)は、「あるサービスが別のサービスのデータにアクセスする許可を安全にもらう仕組み」です。
身近な例で説明します。あなた(利用者A)の写真がGoogleフォト(WebサービスC)にあります。写真印刷アプリ(WebサービスD)で印刷したいとき、Googleフォトのパスワードを印刷アプリに教えるのは危険ですよね。
OAuth 2.0では:
- あなたがGoogleフォトに「印刷アプリに写真を見せてもいいよ」と許可を出す
- Googleフォト(認可サーバ)がアクセストークン(一時的な許可証)を印刷アプリに渡す
- 印刷アプリはそのトークンを使って、あなたの写真だけにアクセスする
- ア(正解): 認可サーバであるWebサービスC(Googleフォト)がアクセストークンを発行します。
- イ: デジタル証明書のやり取りはOAuth 2.0の仕組みには含まれません。
- ウ: アクセストークンを発行するのはWebサービスD(印刷アプリ)ではなく、リソースを持つ側のC(認可サーバ)です。
- エ: OAuth 2.0ではデジタル証明書は使いません。
問18: 令和6年春期 問8(セキュリティ)
問題文: 組織のセキュリティインシデント管理の成熟度を評価するためにOpen CSIRT Foundationが開発したモデルはどれか。
選択肢:
- ア: CMMC
- イ: CMMI
- ウ: SAMM
- エ: SIM3
正解: エ
やさしい解説:
この問題は、セキュリティインシデント(セキュリティ上の事件・事故)への対応能力がどれくらい成熟しているかを測るモデルについてです。
「成熟度モデル」とは、組織の能力を段階的に評価する仕組みです。例えるなら、柔道の帯の色(白帯→緑帯→茶帯→黒帯)のように、「今あなたの組織はこのレベルですよ」と客観的に評価するものです。
- ア: CMMC(Cybersecurity Maturity Model Certification): アメリカ国防総省が定めたサイバーセキュリティの成熟度モデルで、防衛産業向けです。
- イ: CMMI(Capability Maturity Model Integration): ソフトウェア開発プロセスの成熟度モデルで、セキュリティインシデント専用ではありません。
- ウ: SAMM(Software Assurance Maturity Model): ソフトウェアセキュリティの成熟度モデルです。
- エ(正解): SIM3(Security Incident Management Maturity Model): Open CSIRT Foundation(CSIRTの国際的な団体)が開発した、セキュリティインシデント管理に特化した成熟度モデルです。
問19: 令和4年秋期 問10(セキュリティ)
問題文: セキュリティ対策として,CASB(Cloud Access Security Broker)を利用した際の効果はどれか。
選択肢:
- ア: クラウドサービスプロバイダが,運用しているクラウドサービスに対して,CASBを利用してDDoS攻撃対策を行うことによって,クラウドサービスの可用性低下を緩和できる。
- イ: クラウドサービスプロバイダが,クラウドサービスを運用している施設に対して,CASBを利用して入退室管理を行うことによって,クラウドサービス運用環境への物理的な不正アクセスを防止できる。
- ウ: クラウドサービス利用組織の管理者が,従業員が利用しているクラウドサービスに対して,CASBを利用して脆弱性診断を行うことによって,脆弱性を特定できる。
- エ: クラウドサービス利用組織の管理者が,従業員が利用しているクラウドサービスに対して,CASBを利用して利用状況の可視化を行うことによって,許可を得ずにクラウドサービスを利用している者を特定できる。
正解: エ
やさしい解説:
CASB(キャスビー)は、会社の従業員がどんなクラウドサービスを使っているかを監視・管理するための仕組みです。
会社にたとえると、CASBは「社員がどんなお店(クラウドサービス)に出入りしているかを見張る監視カメラ付きの門番」のようなものです。会社が許可していないクラウドサービス(シャドーIT)を使っている社員を見つけることができます。
- ア は間違い。CASBはDDoS攻撃対策の仕組みではありません。
- イ は間違い。CASBは物理的な入退室管理とは関係ありません。
- ウ は間違い。CASBは脆弱性診断ツールではありません。
- エ が正解。CASBは従業員のクラウドサービス利用状況を可視化(見える化)し、無許可利用者を特定できます。
問20: 平成22年秋期 問12(セキュリティ)
問題文: 送信元を詐称した電子メールを拒否するために、SPF(Sender Policy Framework)の仕組みにおいて受信側が行うことはどれか。
選択肢:
- ア: Resent-Sender:、Resent-From:、Sender:、From: などのメールヘッダー情報の送信者メールアドレスを基に送信メールアカウントを検証する。
- イ: SMTPが利用するポート番号25の通信を拒否する。
- ウ: SMTP通信中にやり取りされるMAIL FROMコマンドで与えられた送信ドメインと送信サーバのIPアドレスの適合性を検証する。
- エ: 付加されたデジタル署名を受信側が検証する。
正解: ウ
やさしい解説:
SPF(送信者ポリシーフレームワーク)は、「なりすましメール」を見破るための仕組みです。
たとえると、手紙の差出人が「A会社」と書いてあるけど、本当にA会社のポストから出された手紙かを確認するようなものです。
仕組みはこうです:
- メールを受信したサーバは、送信元ドメイン(例:example.com)のDNSを確認します。
- DNSには「example.comからのメールは、IPアドレスXXXのサーバからしか送らないよ」という情報(SPFレコード)が登録されています。
- 実際にメールを送ってきたサーバのIPアドレスとSPFレコードを照合し、一致しなければなりすましと判断します。
- ア は間違い。SPFはヘッダー情報ではなく、SMTP通信のMAIL FROMコマンドの情報を使います。
- イ は間違い。ポート25を拒否したらメール自体が受け取れなくなります。
- ウ が正解。MAIL FROMの送信ドメインと実際のサーバIPアドレスの一致を確認します。
- エ はDKIMの仕組みの説明です。SPFではデジタル署名は使いません。
問21: 令和6年秋期 問12(セキュリティ)
問題文: WAFにおけるフォールスポジティブに該当するものはどれか。
選択肢:
- ア: HTMLの特殊文字「<」を検出したときに通信を遮断するようにWAFを設定した場合、数式を入力するWebサイトに「<」を数式の一部として含んだHTTPリクエストが送信されたとき、WAFが攻撃として検知し、遮断する。
- イ: HTTPリクエストのうち、RFCなどに定義されておらず、Webアプリケーションソフトウェアの開発者が独自に追加したフィールドについてはWAFが検査しないという仕様を悪用して、攻撃の命令を埋め込んだHTTPリクエストが送信されたとき、WAFが遮断しない。
- ウ: HTTPリクエストのパラメータ中に許可しない文字列を検出したときに通信を遮断するようにWAFを設定した場合、許可しない文字列をパラメータ中に含んだ不正なHTTPリクエストが送信されたとき、WAFが攻撃として検知し、遮断する。
- エ: 悪意のある通信を正常な通信と見せかけ、HTTPリクエストを分割して送信されたとき、WAFが遮断しない。
正解: ア
やさしい解説:
WAF(Web Application Firewall)は、Webサイトを攻撃から守る「門番」です。フォールスポジティブ(誤検知)とは、「本当は安全なのに、危険だと間違えてブロックしてしまうこと」です。
たとえると、空港のセキュリティチェックで、ベルトの金具が鳴ってしまい、何も悪くないのに止められてしまうようなものです。
- ア が正解(フォールスポジティブ)。数式の「<」は攻撃ではないのに、WAFが「HTMLインジェクション攻撃だ!」と誤って判断してブロックしてしまう例です。
- イ はフォールスネガティブ(検知漏れ)。本当の攻撃を見逃してしまっている例です。
- ウ は正常な検知(トゥルーポジティブ)。不正なリクエストを正しくブロックしています。
- エ もフォールスネガティブ。攻撃を見逃してしまっている例です。
問22: 平成30年春期 問2(セキュリティ)
問題文: Webサーバのログを分析したところ、Webサーバへの攻撃と思われるHTTPリクエストヘッダーが記録されていた。次のHTTPリクエストヘッダーから推測できる、攻撃者が悪用しようとしている脆弱性はどれか。
GET /cgi-bin/submit.cgi?user=;cat /etc/passwd HTTP/1.1
選択肢:
- ア: HTTPヘッダーインジェクション
- イ: OSコマンドインジェクション
- ウ: SQLインジェクション
- エ: クロスサイトスクリプティング
正解: イ(OSコマンドインジェクション)
やさしい解説:
このHTTPリクエストを見ると、URLのパラメータに ;cat /etc/passwd という文字列が含まれています。
-
;(セミコロン)は、LinuxなどのOSで「コマンドの区切り」を意味します -
cat /etc/passwdは、ユーザーアカウント情報が書かれたファイルの中身を表示するコマンドです
つまり攻撃者は、Webアプリケーションの入力欄にOSのコマンド(命令)を紛れ込ませて、サーバ上で不正にコマンドを実行させようとしています。
たとえると、注文書の名前欄に「田中太郎、ついでに金庫の中身を見せて」と書いて、店員がそのまま実行してしまうようなものです。
- ア(HTTPヘッダーインジェクション) は、HTTPヘッダーに不正な内容を挿入する攻撃です。
- イ(OSコマンドインジェクション) が正解。OSコマンドを不正に実行させる攻撃です。
- ウ(SQLインジェクション) は、データベースへの問い合わせに不正なSQL文を混入する攻撃です。
- エ(クロスサイトスクリプティング) は、Webページに不正なスクリプトを埋め込む攻撃です。
問23: 平成30年春期 問3(セキュリティ)
問題文: XMLデジタル署名の特徴のうち,適切なものはどれか。
選択肢:
- ア: XML文書中の,任意のエレメントに対してデタッチ署名(Detached Signature)を付けることができる。
- イ: エンベローピング署名(Enveloping Signature)では一つの署名対象に必ず複数の署名を付ける。
- ウ: 署名形式として,CMS(Cryptographic Message Syntax)を用いる。
- エ: 署名対象と署名アルゴリズムをASN.1によって記述する。
正解: ア
やさしい解説:
XMLデジタル署名は、XML文書(データをタグで囲んで構造化した文書)に電子的な署名を付ける技術です。
XMLデジタル署名には3つの方式があります:
- デタッチ署名(Detached) = 署名を別の場所に置く方式。署名と署名対象が分離している。
- エンベローピング署名(Enveloping) = 署名の中にデータを包み込む方式。
- エンベロープド署名(Enveloped) = データの中に署名を埋め込む方式。
たとえると:
-
デタッチ署名 = 契約書とハンコを別々の封筒に入れる
-
エンベローピング署名 = ハンコの中に契約書を入れる(署名が外側)
-
エンベロープド署名 = 契約書の中にハンコを押す(データが外側)
-
ア が正解。デタッチ署名は署名対象を自由に指定でき、XML文書中の任意の要素に対して署名できます。
-
イ は間違い。エンベローピング署名で複数の署名が必須ということはありません。
-
ウ は間違い。CMSはS/MIMEなどで使われる形式で、XMLデジタル署名はXML形式で記述します。
-
エ は間違い。ASN.1はX.509証明書などで使われる記述形式で、XMLデジタル署名はXMLで記述します。
問24: 平成22年秋期 問2(セキュリティ)
問題文: 作成者によってデジタル署名された電子文書に,タイムスタンプ機関がタイムスタンプを付与した。この電子文書を公開する場合のタイムスタンプの効果のうち,適切なものはどれか。
選択肢:
- ア: タイムスタンプ付与時刻以降に,作成者が電子文書内容を他の文書へコピーして流用することを防止する。
- イ: タイムスタンプ付与時刻以降に,第三者が電子文書内容を他の文書へコピーして流用することを防止する。
- ウ: 電子文書がタイムスタンプ時刻以前に存在したことを示し,作成者が電子文書作成を否認することを防止する。
- エ: 電子文書がタイムスタンプ時刻以前に存在したことを示し,第三者が電子文書を改ざんすることを防止する。
正解: ウ
やさしい解説:
タイムスタンプとは、電子文書に「この文書は○年○月○日○時に確かに存在していましたよ」という証明を付けるものです。郵便物の消印をイメージしてください。消印があれば「この手紙はこの日に確かに投函された」と証明できますよね。
タイムスタンプの役割は2つあります:
- 存在証明 - その時刻にその文書が存在していたことを証明する
- 否認防止 - 作成者が「私はそんな文書を作っていない」と嘘をつくことを防ぐ
注意すべきは、タイムスタンプはコピーを「防止」する力はありません(アとイは間違い)。また、改ざんを「防止」するのではなく「検知」できるだけです(エも不正確)。正解のウが、タイムスタンプの正しい効果を説明しています。
問25: 平成31年春期 問18(セキュリティ)
問題文: 無線LANの隠れ端末問題の説明として,適切なものはどれか。
選択肢:
- ア: アクセスポイントがSSIDステルス機能を用いてビーコン信号を止めることによって,端末から利用可能なSSIDが分からなくなる問題
- イ: 端末がアクセスポイントとは通信できるが,他の端末のキャリアを検出できない状況にあり,送信フレームが衝突を起こしやすくなる問題
- ウ: 端末が別のアクセスポイントとアソシエーションを確立することによって,その端末が元のアクセスポイントからは見えなくなる問題
- エ: 複数の端末が同時にフレームを送信したとき,送信した端末が送信フレームの衝突を検出できない問題
正解: イ
やさしい解説:
隠れ端末問題を、教室のたとえで説明します。
無線LANでは、「誰かが話しているときは、他の人は話さないで待つ」というルール(CSMA/CA方式)で通信の衝突を防いでいます。これは教室で「誰かが発言中は手を挙げて待つ」ルールのようなものです。
しかし、教室の両端にいる生徒AとBがお互いの声が聞こえない場合を考えてください。二人とも先生(アクセスポイント)の声は聞こえますが、相手が話しているかどうかはわかりません。すると、二人が同時に話し始めてしまい、先生のところで声がぶつかってしまいます。これが「隠れ端末問題」です。
壁や距離などの遮蔽物のせいで、端末同士がお互いの通信を検知できない状態で起こります。
問26: 平成29年春期 問14(セキュリティ)
問題文: 特定の利用者が所有するリソースが,WebサービスA上にある。OAuth2.0において,その利用者の認可の下,WebサービスBからそのリソースへの限定されたアクセスを可能にするときのプロトコルの動作はどれか。
選択肢:
- ア: WebサービスAが,アクセストークンを発行する。
- イ: WebサービスAが,利用者のデジタル証明書をWebサービスBに送信する。
- ウ: WebサービスBが,アクセストークンを発行する。
- エ: WebサービスBが,利用者のデジタル証明書をWebサービスAに送信する。
正解: ア
やさしい解説:
OAuth2.0(オーオース2.0)は、あるサービスが別のサービスのデータに安全にアクセスするための仕組みです。
身近な例で説明します。写真管理アプリ(WebサービスA)に保存してある写真を、印刷サービス(WebサービスB)で印刷したいとします。このとき、印刷サービスに写真アプリのパスワードを教えるのは危険ですよね。
そこでOAuth2.0では:
- あなたが「印刷サービスに写真を見せてOK」と許可する
- 写真アプリ(WebサービスA)が「アクセストークン」(一時的な入場パスのようなもの)を発行する
- 印刷サービス(WebサービスB)はそのトークンを使って、限定的に写真にアクセスする
リソース(データ)を持っている側のWebサービスAがトークンを発行するので、アが正解です。パスワードそのものは一切渡さないので安全です。
問27: 平成27年春期 問15(セキュリティ)
問題文: DNSの再帰的な問合せを使ったサービス不能攻撃(DNS amp攻撃)の踏み台にされることを防止する対策はどれか。
選択肢:
- ア: DNSキャッシュサーバとコンテンツサーバに分離し,インターネット側からDNSキャッシュサーバに問合せできないようにする。
- イ: 問合せされたドメインに関する情報をWhoisデータベースで確認する。
- ウ: 一つのDNSレコードに複数のサーバのIPアドレスを割り当て,サーバへのアクセスを振り分けて分散させるように設定する。
- エ: 他のDNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性を,デジタル署名で確認するように設定する。
正解: ア
やさしい解説:
DNS amp攻撃(DNS増幅攻撃)は、DNSサーバを「踏み台」にして攻撃対象に大量のデータを送りつけるDDoS攻撃の一種です。
たとえるなら、いたずらっ子がピザ屋に「○○さんの家にピザ100枚届けて」と大量注文するようなものです。小さな注文(問合せ)で大きな配達(応答)が発生するので「増幅(amp)」攻撃と呼ばれます。
対策は、DNSサーバの役割を2つに分けることです:
- DNSキャッシュサーバ - 社内のPC向けの問合せに答える(社内専用)
- コンテンツサーバ - 外部からの問合せに自社ドメインの情報を答える
キャッシュサーバを外部からアクセスできないようにすれば、攻撃者がキャッシュサーバを踏み台にすることができなくなります。
問28: 平成28年秋期 問4(セキュリティ)
問題文: XMLデジタル署名の特徴のうち,適切なものはどれか。
選択肢:
- ア: XML文書中の,指定したエレメントに対してデタッチ署名することができる。
- イ: エンベローピング署名では一つの署名対象に必ず複数の署名を付ける。
- ウ: 署名形式として,CMS(Cryptographic Message Syntax)を用いる。
- エ: 署名対象と署名アルゴリズムをASN.1によって記述する。
正解: ア
やさしい解説:
XMLデジタル署名は、XML文書(データをタグで囲んで構造化した文書形式)に電子的なサインをする仕組みです。
普通のデジタル署名はファイル全体にサインしますが、XMLデジタル署名の特徴は「文書の一部分だけにサインできる」ことです。
署名の種類は3つあります:
- デタッチ署名 = 署名と文書が別々に存在する方式。手紙と署名カードを別の封筒に入れるイメージ。文書の特定の部分(エレメント)だけを対象にできます(アが正解)。
- エンベローピング署名 = 署名の中に文書を入れる方式。1対1で複数の署名は必須ではない(イは間違い)。
- エンベロープド署名 = 文書の中に署名を入れる方式。
ウのCMSはS/MIMEなどで使われる別の署名形式、エのASN.1はX.509証明書などで使われる記述方法で、XMLデジタル署名ではXML形式を使います。
問29: 平成24年春期 問12(セキュリティ)
問題文: 送信元を詐称した電子メールを拒否するために,SPF(Sender Policy Framework)の仕組みにおいて受信側が行うことはどれか。
選択肢:
- ア: メールヘッダー情報の送信者メールアドレスを基に送信メールアカウントを検証する。
- イ: SMTPが利用するポート番号25の通信を拒否する。
- ウ: SMTP通信中のMAIL FROMコマンドで与えられた送信ドメインと送信サーバのIPアドレスの適合性を検証する。
- エ: 付加されたデジタル署名を受信側が検証する。
正解: ウ
やさしい解説:
SPF(Sender Policy Framework)は、メールの送信元が偽物でないかチェックする仕組みです。
たとえるなら、手紙の差出人が「○○株式会社」と書いてあったとき、「この会社から手紙を出すときは、この郵便局を使うはずだ」と確認するようなものです。
具体的な流れ:
- メールを受信したサーバが、送信元ドメイン(例:example.com)のDNS情報を確認する
- DNS情報には「example.comからのメールは、IPアドレス○○から送られるはず」と書いてある(SPFレコード)
- 実際にメールを送ってきたサーバのIPアドレスとSPFレコードを照合する
- 一致しなければ、送信元が詐称されていると判断する
- アはヘッダーの確認だけでは送信元詐称を見破れない
- イはOP25B(送信元の対策であり受信側の対策ではない)
- エはDKIM(デジタル署名による別の認証方式)の説明
問30: 平成25年秋期 問14(セキュリティ)
問題文: DNSの再帰的な問合せを使ったサービス不能攻撃(DNS amp)の踏み台にされることを防止する対策はどれか。
選択肢:
- ア: キャッシュサーバとコンテンツサーバに分離し、インターネット側からキャッシュサーバに問合せできないようにする。
- イ: 問合せされたドメインに関する情報をWhoisデータベースで確認する。
- ウ: 一つのDNSレコードに複数のサーバのIPアドレスを割り当て、サーバへのアクセスを振り分けて分散させるように設定する。
- エ: 他のDNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性をデジタル署名で確認するように設定する。
正解: ア
やさしい解説:
DNS amp攻撃(DNS増幅攻撃)は、DNSサーバを「踏み台」にして、標的に大量のデータを送りつける攻撃です。
- アが正解の理由: DNS amp攻撃では、攻撃者がDNSキャッシュサーバに送信元を偽装した問い合わせを送り、その応答を標的に向けさせます。対策は、キャッシュサーバ(再帰的な問い合わせに応答するサーバ)をインターネットから直接アクセスできないようにすることです。たとえるなら、社内の電話帳係(キャッシュサーバ)を社内専用にして、外部からの問い合わせには応じないようにするイメージです。
- イが間違いの理由: Whoisデータベースでドメイン情報を確認しても、踏み台にされることは防げません。
- ウが間違いの理由: DNS負荷分散(DNSラウンドロビン)は、アクセスを分散する技術であり、踏み台対策にはなりません。
- エが間違いの理由: これはDNSSEC(DNSのデジタル署名による正当性検証)の説明で、DNSキャッシュポイズニング対策であり、踏み台対策ではありません。