情報セキュリティ アドミニストレータ(セキュアド)過去出題問題
 平成13年 午後1 問3
 解説

最終更新日 2006/05/02
webmaster@tomnetwork.net

Tomのネットワーク勉強ノート
Homeに戻る
(Tomのネットワーク勉強ノート) 
サイトマップ
iTAC テクニカルエンジニア
(ネットワーク)塾講義ノート 
過去問題(午後)
  テクニカルエンジニア (ネットワーク) 
  情報セキュリティ アドミニストレータ 
  テクニカルエンジニア
(情報セキュリティ)(午前・午後)
  基本情報技術者(午前・午後)
ネットワーク関連試験対策ノート
情報セキュリティ関連験対策ノート
情報処理用語辞書
自宅で出来るネットワーク簡易実習 
私の勉強法 
情報処理試験勉強に役立った本たち
更新履歴 
リンク集  
プロフィール 
国内旅行の下調べ
---Tomのトラベルオンラインリンク
(新幹線、時刻表、金券ショップ、
格安航空券など)
   
  mail
ショッピング

    Powered By 楽天市場

 

スポンサー:
Yahoo!トラベル
ホテルリステル猪苗代
株式会社東栄住宅
競馬サーチ.com
ニフティ株式会社
ホームトレイン
有限会社ルーティ
キーマンズネット
楽天仕事市場 infoseek キャリア
e-learnインターネット通信講座
アークホテルネット
ブルックス
モビット

 他

 

 
Tomのネットワーク勉強ノート
 過去問(午後)
   情報セキュリティ アドミニストレータ過去問(午後)
     情報セキュリティ アドミニストレータ過去問 平成13年 午後1 問3 解説

設問1

【 a 】〜【 e 】に入れる適切な字句を、それぞれ8字以内で答えよ。

【 a 】【 b 】
>A社は、取引に先立ち、製品情報や製品設計図に関する【 a 】条項
>及び設計図面の【 b 】権を、あらかじめ契約書として取り決めておく
>必要に迫られ、対応した。


なぜ、この契約書として、取り決めておく必要があったのでしょう?
それは、一つ前の文章にあります。

>A社の製品情報が漏れたり、取引先と共同で作成し修正した製品設計図が、
>取引先経由で他社に流用されたりする事態が発生した。


その問題点に対する対策です。
漏えい防止のために、”機密保持”条項または、”守秘義務”条項、
他社に流用されるのを防止する為に”著作”権を契約書に記載しておく必要があります。
【 a 】の場合、文脈から”機密保持”、守秘義務”どちらでもいいと思います。

【 c 】
>インターネットのもつ匿名性を悪用されたり、IDを盗用されたりするために発生する
>【 c 】による詐取のリスクはあります。


匿名性の悪用、ID盗用により発生するもの・・・なりすましですね。

【 d 】
暗号技術を利用した【 d 】の仕組みを使って、相手企業の確認。
なりすまし対策です。
なりすましを防止するために、デジタル署名があります。
デジタル署名では、平文を送信者の個人鍵で暗号化された暗号文、
それをさらにハッシュ関数を通したメッセージダイジェストを送信します。
そして、受信者は暗号文を送信者の公開鍵で復号化し、それにハッシュ関数を
通した、メッセージダイジェストと、送信者から送られてきたメッセージ
ダイジェストを照合して、相手がなりすましていないことを証明、認証します。
[ 平文 ]  
  ↓送信者の個人鍵で暗号化
   -----[ 暗号文 ] ---------------> [ 暗号文 ]
  ↓           送信者の公開鍵で復号化↓
  ↓                              
 [ 平文 ]
  ↓ハッシュ関数             ハッシュ関数↓
  ↓                                ↓
[メッセージ                        [メッセージ
ダイジェスト]                       ダイジェスト]
  +-----------> 照合し相手を証明、認証<-+

【 e 】
>相手先からA社の発注した品物が納期を過ぎても入荷してこないというトラブル
の原因として、
>発注した相手企業の【 e 】書が一部悪用
されたことが挙げられ、そのために、
>その企業の【 e 】書の利用が停止
してます。

電子商取引を行う場合、自分の身分をそれぞれ第3者機関(認証局;CA)
に証明してもらいます。その時に発行される”電子証明書”を使用して、
お互いを信じて通信を行います。

(Tomの解答例)
a守秘義務
b著作
cなりすまし
d認証、デジタル署名
e電子証明

設問2 

情報セキュリティ対策基準に関する次の問いに答えよ。

(1)現在の基準では、"発注システム"の考慮がなされていなかった。"発注シス
  テム"の特徴から、基準で最も不適合を起こしている箇所の項目番号を挙げ、
  その理由を20字以内で述べよ。

何を問われているかにチェック!
現在の基準で"発注システム"の考慮がなされていなかった箇所を挙げ、その理由を書け
です。

"発注システム"をキーワードに特徴をピックアップしてみましょう。
(a)自社商品の生産に必要な主要原料を、限られた取引相手先から年間契約に基づき購入するシステム
(b)A社の情報システムの一部としでA社に設置
(c)取引先各社は、各社に設置した専用端末と公衆電話網で接続
(d)接続のために発信者番号の確認機能が付いたモデムを設置、特定の相手先以外の着信を拒否

これをベースに基準を見てみましょう。
>7.ネットワーク接続及び運用
>@ ネットワーク接続
>当社情報システムに対する情報機器の接続は、その管理のため、会社施設内での接続に限定する。


これと、(c)が不適合ですね。

(Tomの解答例)
項目番号:7-(1)
理由:公衆電話網からの接続を考慮していない点(19)


(2)"新調達システム"を導入する上で、上記の(1)以外でA社の基準に変更が
  必要な箇所の項目番号を挙げ、変更に盛り込むべき内容を35字以内で述べよ。

今度は、"新調達システム"をキーワードに特徴をピックアップしてみましょう。
(a)購買調達部門から事務機器や梱包材、用紙類などの間接材取引もシステム化したい
  という追加要望に実現したシステム
(b)マーケットプレイスに参加を前提にしたシステム
(c)暗号技術を利用したデジタル署名の仕組みを使って、相手企業の確認、電子証明書の発行
(d)該当する間接材を電子的に調達できる仕組み(以下、マーケットプレイスという)による
  購買調達サービスを利用

(c)により、秘密鍵の管理が新規に重要になってきます。
これは基準に盛り込まれているでしょうか?
それは6-(1)に盛り込まれています。

あと、(d)で新しいサービスを導入しようとしています。このシステム、サーバなどはどこの管理下
なのでしょう?
当社の管理下でしょうか?別に統合する管理システムがありそうです。
これにより、6-Aの、
>A 対象情報システム範囲
>当社の業務に供し当社管理下にあるすべての情報システムを対象とする。


これに、マーケットプレイスシステムも追加すべきでしょう。

(Tomの解答例)
項目番号:6-(2)
盛り込む内容:対象情報システム範囲にマーケットプレイスシステムも追加する。(30)


設問3 

"新調達システム"で発生した本文中の下線のトラブルの対策として、ITU-T
X.509に定められた、あるデータを確認する方法が考えられる。対策として、A
社が確認すべきものは何か。6字以内で答えよ。また、このトラブルを防止する
ために、その運用上注意すべきことは何か。15字以内で述べよ。

X.509とは何でしょうか?
SunのHPに紹介されていますので、ご参照ください。

X.509では、証明書の中に、下記が盛り込まれています。
バージョン
シリアル番号
署名アルゴリズム識別子
発行者名 
有効期間 
主体名

この中で、それまで順調に取引していた相手先からA社の発注した品物が納期を過ぎても
入荷してこないというトラブルが発生しうる項目はどれでしょう?

有効期限が切れて、認証が出来なくなったことが原因だと考えられます。

また、証明書の取り消しリスト (CRL)と書いても間違いではないと思います。
というか、こちらの方がいいかもしれないです。

(Tomの解答例)
確認すべきもの:有効期限(4)
運用上注意すべきこと:期限切れでないか常に確認する。(14)

(別解)
確認すべきもの:CRL(3)
運用上注意すべきこと:発注前に必ず確認すること(12)


設問4

設問3の対策だけでは、納期を過ぎても入荷されないというトラブルを完全に
防ぐことはできない。それはなぜか。40字以内で具体的に述べよ。ただし、情
報システムでは正常に発注処理が行われたものとし、事故や犯罪によって引き起
こされたトラブルは対象外とする。

何を問われているかにチェック!
トラブルを完全に防ぐことの出来ない理由を具体的に問われています。

この取引は、電子証明書によって正当性を証明して行っています。
しかし、電子証明書は取引情報の正当性を証明しても取引の内容の正当性までは証明していません。
悪い人が、証明書発行をお願いしても、身元がはっきりすれば発行してくれるわけです。

これが基本の解答でしょう。

さらに考えてみましょう。
電子証明書によって正当性を証明します。証明するのは第三者の認証機関(CA)です。
この認証機関がベリサイン社のような信頼置ける機関ならいいのですが、
すべての認証機関が信頼置けるとは限りません。ルートCAに認証されなくても運営は可能です。
もし、信頼置けないところの認証機関で電子証明書を発行していたら?
もし、認証機関の秘密鍵が盗まれて、証明書を悪用されたら?
こちらも、原因の一つだと思います。(ボクはこっちを書きました)

(Tomの解答例)
電子証明書は,企業の存在だけを証明し,経営の適切さまでは確認できないため。(37)
(別解)
電子証明書が正当でも、認証する機関が信頼を置けない可能性があるため(33)

PR:秋の情報処理試験対策書が続々登場!
『テクニカルエンジニア(ネットワーク)』
『情報セキュリティアドミニストレータ』
 
cbook24.comさんで購入可能。(送料無料!48時間以内)

Tomのネットワーク勉強ノート
 過去問(午後)
   情報セキュリティ アドミニストレータ過去問(午後)
     情報セキュリティ アドミニストレータ過去問 平成13年 午後1 問3 解説
    資格試験関連書
『ネットワークスペシャリスト』
 
セキュリティ・ウイルス対策関連書

秋に向けて!

送料無料!