問題1
パスワードの補足として追加される文字列を含まないパスワードの共通部分となる文字列は何と呼ばれるか?
コアパスワードが正解です
Coreは「核」という意味があるので、パスワードの基盤となる部分となることであると推定できます。
また、問題文中の「追加する文字列」はソルトと呼ばれており、コアパスワードの対となる大事な概念です。
パスワードを(コアパスワード)+(ソルト)の形で作成し、それをハッシュ関数という特殊な計算式によって暗号化した値(ハッシュ値)にすることで、よりパスワードが流出しにくくなります。
また、ワンタイムパスワードは利用者がなりすましをしていないか確認するために、一時的に使用するパスワードのことです。
問題2
コアパスワードに付ける文字列
ソルトが正解です
ソルトは本来の具材に少し加えるということが、パスワードを少しずつ変えることに似ていることからこのように名づけられました。
また、(共通するパスワード)+(ソルト)という形でパスワード管理すると複数のパスワードを管理しやすくなります。
また、他の選択肢に補足を加えると以下の通りです。
- ・ソ-ス……プログラムが書かれてあるファイルの別名
- ・ワイン……Linux系のOSでWindowsアプリを実行するためのエミュレータ
問題3
一度のユーザ認証で関連した複数のサービスにもアクセスできるようになること
シングルサインオンが正解です
シングル-サインオンとは一回ユーザー認証をすることで、複数のサービスを利用することができる状態になること(Sign-on)です。
例はたくさんありますが、googleのサービス(メール+ドライブ)を想像するとイメージしやすいです。
ブラウザキャッシュはwebサイトの読み込みを早くするために、サイトのデータの一部を保存する仕組みです。
問題4
一時的なパスワードを入力するもののうち、セキュリティト-クンが必要になるもの
ワンタイムパスワードが正解です
「トークン」はtokenという「証拠、引換券」という意味の単語が元になっています。IT上でいろいろな意味で使われていますが、その中でもセキュリティトークンは使い捨てのパスワードをその都度発行する機器のようなイメージです。
チャレンジレスポンス方式も一時的なパスワードであることは共通してはいますが、あちらは固定のパスワードであるので、使用するのにセキュリティトークンが不要とされています。
問題5
暗号化の技術を用いて、なりすましや改ざんがないことを確認する技術
デジタル署名が正解です
デジタル署名の理屈は、署名の作成者が暗号化を行った後に署名と復号のための鍵とセットにして提出物を渡します。
このとき、暗号化された物を用いて全く同じ署名を作ることは困難であることから、鍵を用いて正しく復号できれば改ざん、なりすましがないことを確認できます。
問題6
離席する際にはPCにロックをかけること
クリアスクリーンが正解です
PC(特に社内のPC)には機密情報がたくさん含まれているので、使用者が知らないうちに操作されることを防ぐ必要があります。PCはスリープを待たずとも自分でロックすることができ、WindowsPCの場合は「Windowsボタン+Lボタン」を同時押しをすることで画面のロックをすることができます。
ちなみに、ロックアウトはパスワードの誤入力を繰り返すことでIDが使えなくなる現象です。
問題7
マルウェアが侵入できたコンピュータを制御するための機器はどれか
C&Cサーバが正解です
C&CサーバはCommand&Controleの略称です。
C&Cサーバにコマンドを入力することでボットネットと呼ばれるマルウェアが侵入できたタ-ゲットとなるコンピュータ群をリモコンのごとくコントロールして動かす仕組みになっています。
問題8
CRLで具体的に登録されるものに当てはまらないものはどれか
秘密鍵が正解です
CRLで具体的に登録されるものはシリアル番号,失効日時の二つです。秘密鍵は誤答のパターンとして出てくることが多いので引っかからないようにしましょう。
問題9
シングルサインオンの実装方法として不適切なものはどれか
フォワードプロキシが正解です
シングル-サインオンとは一回ユーザー認証をすることで、複数のサービスを利用することができる状態になること(Sign-on)です。
シングルサインオンの実装方法はクッキー、リバースプロキシ、Security Assertion Markup Languageの3つです。
フォワードプロキシとリバースプロキシのどちらが対象になるのかはややこしいので私の理解のイメージを追記しておきます。フォワードプロキシは利用者とインターネット回線の間にいる代理サーバ、リバースプロキシはインターネットとwebサーバの間にいる代理サーバとなっています。
一つのサインオン(ログイン)で複数のサービスを使う状況を考えると、webサービスをしている一つの(会社)URLの中から複数のサービスをしているようなイメージであり、url共通のパスワード認証はwebサーバのデータに登録しているはずなのでよりwebサーバに近いリバースプロキシがよりシングルサインオンに適切であるといえます。
問題10
楕円曲線暗号の暗号の種類
公開鍵暗号が正解です
楕円曲線暗号は楕円曲線の離散対数問題を解くのが難しいことを用いた公開鍵暗号化の方法です。
情報技術者試験によく出題される暗号の種類は以下の通りです。
- RSA……公開鍵
- 楕円曲線……公開鍵
- AES……共通鍵
なお、セッション鍵暗号とは、公開鍵暗号と共通鍵暗号を組み合わせたもののことをいいます。
問題11
RSAの暗号の種類
公開鍵暗号が正解です
RSAは大きな桁の素因数分解が困難であることを利用したPC上の公開鍵暗号の一つです。
暗号化の方法は複数あり、情報技術者試験によく出題される暗号の種類は以下の通りです。
- RSA……公開鍵
- 楕円曲線……公開鍵
- AES……共通鍵
なお、セッション鍵暗号は公開鍵と共通鍵を合わせたもののことをいいます
問題12
AESの暗号の種類
共通鍵暗号が正解です
Advanced Encryption Standardの略称とされています。そして、
Advanced(アドバンスド)は「一歩進んだ」、 Encription(エンクリプション)は「暗号」、 Standard(スタンダード)は「基本」という意味の英単語にそれぞれ該当します。
情報技術者試験によく出題される暗号の種類は3つであり、全てあげると以下の通りです。
- RSA……公開鍵
- 楕円曲線……公開鍵
- AES……共通鍵
なお、セッション鍵暗号とは、公開鍵暗号と共通鍵暗号を合わせたもののことをいいます。