午前 問題 part 1 情報セキュリティ 知識 学習目標 1 . 情報セキュリティに関して , 技術関連の 専門知識とセキュリティマネジメントに関 する知識を修得する。 2 . 技術関連として , 情報資産 , リスクの考 え方 , 認証・アクセス制御 , 暗号技術 , シ ステムセキュリティ対策 , ネットワークセ キュリティ対策 , アプリケーションセキュ リティ対策 , 物理的セキュリティ対策 , 情 報漏えい対策に関する知識を修得する。 3 . 情報セキュリティマネジメントに関して , 情報セキュリティマネジメント体制 , リス クマネジメント , インシデント対応 , 業務 継続計画 , プライバシ保護 , 情報セキュリ ティに関する制度・基準 , 人的セキュリテ ィ , 情報収集に関する知識を理解する。
、いぃ - “・出題範囲と取組み方編 0 : : 竃 : 1 ー 2 試験時間と出題形式 テクニカルエンジニア ( 情報セキュリティ ) の試験時間と出題形式は次のとお りです。 午前 午後 I 午後Ⅱ 9 : 30 ~ 11 : 10 12 : 10 ~ 13 : 40 14 : 10 ~ 16 : 10 試験時間 ( 100 分 ) ( 90 分 ) ( 120 分 ) 出題形式多肢選択式 ( 四肢択一 ) 己述式 論述式 ( 事例解析 ) 出題数と 55 問出題 55 問解答 4 間出題 3 問解答 2 問出題 1 問解答 解答数 図表 2 - 2 テクニカルエンジニア ( 情報セキュリティ ) 試験 1 ー 3 出題範囲 い ) テクニカルエンジニア ( 情報セキュリティ ) の午前の試験 午前の試験では , 受験者の能力がテクニカルエンジニア ( 情報セキュリティ ) の役割と業務において " 期待する技術水準 " に達しているかどうかを , 知識が問 われることで評価されます。 「情報処理技術者試験出題範囲」には , 午前の試験の出題範囲として , 図表 2-3 の一覧表が示されています。 テクニカルエンジニア ( 情報セキュリティ ) には , 「コンピュータシステム」 「システムの開発と運用」 , 「ネットワーク技術」 , 「データベース技術」 , 「セ キュリティと標準化」の 5 分野が該当し , 「ネットワーク技術」と「セキュリテ ィと標準化」がⅢレベル , その他がⅡレベルの内容で試験の範囲とされています。 本書の巻末の付録に , 具体的な分野ごとの出題範囲を収録しているので , 参考に してください。 一三ロ
午前 問題 第 部 part 3 情報システムの セキュリティ機能の 設計・開発 学習目標 らのレビューについて理解する。 5. 開発対象システムにおける , 情報セキュリティ面か する。 支援 , 運用担当者の教育・訓練及び支援について理解 ステムの本番移行 , 開発対象システムの受け人れ検査 4. セキュリティ機能の本番移行に関して , 開発対象シ の更新について理解する。 リティ機能の実装 , システムテストの支援 , 関連文書 3. セキュリティ機能の実装とテストに関して , セキュ ュリティ実装テスト仕様の作成について理解する。 装方式の決定と評価 , セキュリティ実装の設計 , セキ 2. セキュリティ機能の設計に関して , セキュリティ実 キュリティ面からのレビューについて理解する。 実装とテスト , セキュリティ機能の本番移行 , 情報セ して , セキュリティ機能の設計 , セキュリティ機能の 1 . 情報システムのセキュリティ機能の設計・開発に関
午後 I 問題 part 2 情報セキュリティの 運用・管理 学習目標 203 善点を指摘できる。 て , 基本事項が理解でき , 事例の問題点や改 キュリティ教育 , 契約管理 , 要員管理につい ・ユーザセキュリティ管理 , 障害復旧計画 , セ を発見する技術を理解できる。 ーン分析から不正侵入などセキュリティ侵犯 ・ログ管理 , アラーム記録 , トラフィックパタ 立案・実施ができる。 ・セキュリティ侵犯に対する技術的な防止策の 的評価について理解できる。 など , リスクの識別 , リスクの定性的・定量 ・情報資産の評価 , 脅威の認識 , 脆弱性の分析 成を理解できる。 ・情報セキュリティポリシ策定の目的とその構
( 2 ) テクニカルエンジニア ( 情報セキュリティ ) の午後の試験 午後の試験では , 受験者の能力がテクニカルエンジニア ( 情報セキュリティ ) の役割と業務において " 期待する技術水準 " に達しているかどうかを , 技術の応 用能力および実務能力が問われることで評価されます。また , 具体的な試験範囲 としては , 次のとおりです。 1 情報セキュリティシステムの企画・設計・構築に関すること 情報システムの企画・設計・構築 , 物理的セキュリティ対策 , アプリケー ションセキュリティ対策 , データベースセキュリティ対策 , セキュアプログ ラミング , ネットワークセキュリティ対策 , システムセキュリティ対策など 2 情報セキュリティの運用・管理に関すること 情報セキュリティポリシ , リスク分析 , 業務継続計画 , セキュリティ運用・ 管理 , 脆弱性分析 , 誤使用分析 , ューザセキュリティ管理 , 障害復旧計画 , 情報セキュリティ教育 , システム監査 ( のセキュリティ側面 ) など 3 情報セキュリティ技術・関連法規に関すること アクセス管理技術 , ウイルス対策技術 , 暗号技術 , 認証技術 , セキュリテ ィ応用システム ( 署名 , 侵入検知システム , ファイアウォール , セキュアな 通信技術 (VPN など ) , 鍵管理技術 , PKI など ) , 攻撃手法 , 監査証跡のた めのログ管理技術 , 耐タンパ技術 , 情報セキュリティ関連法規 , 国内・国際 標準ガイドライン , 著作権法 , 個人情報保護 , 情報倫理など システム文書構成管理 , 配布と操作 , 人的管理 リティ管理など 開発ライフサイクル管理 , 4 開発の管理に関すること 手法 ( チーム内の不正を起こさせないような仕組み ) , 開発環境の情報セキュ 図表 2 -4 午後の出題範囲
問 1 ー 1 5 ロロロ ( H17 春 -AU 問 13 ) 社内のセキュリティポリシで , 利用者の事故に備えて秘密かぎを復元できるこ と , 及びセキュリティ管理者の不正防止のための仕組みを確立することが決めら れている。電子メールで公開かぎ暗号方式を使用し , かぎの生成はセキュリティ 部門が一括して行っている場合 , 秘密かぎの取扱いに関する記述のうち , 適切な ものはどれか。 ア 1 人のセキュリティ管理者が , 秘密かぎを暗号化して保管する。 イ暗号化された秘密かぎのそれぞれを分割し , 複数のセキュリティ管理者が 分担して保管する。 ウセキュリティ部門には , 秘密かぎを一切残さない。 ェ秘密かぎの一覧表を作成して , セキュリティ部門内に限り参照できるよう に保管する。 問 1 ー 1 6 ロロロ ア AES 問 1 -17 ロロロ 暗号方式のうち , 共通かぎ暗号方式はどれか。 イ ElGamaI ウ RSA ( H15 秋 -AN/PM/AE 問 31 ) ェ格円曲線暗号 ( H15 秋 -NW 問 47 ) 公開かぎ暗号方式によって , 〃人が相互に暗号を使って通信する場合 , 異なる かぎは全体で幾つ必要になるか。 ア〃十 1 82 イ 2 〃 2 ウ 工 log2 〃
出題範囲と取組み方編 の決定 , セキュリティ要件定義書の作成 , セキュリティ要件定義書の評価とレビ ューというタスクを通じて能力を発揮することになります。 ( 3 ) 期待する技術水準 テクニカルエンジニア ( 情報セキュリティ ) の。期待する技術水準 " はスキル 標準 ( スキル基準 ) に示されています。例えば , 「セキュリティ要件定義」という アクティビティの中の「セキュリティアーキテクチャの設計」というタスクには , 達成指標 , 要求される知識 , 要求される技能が次のとおり定義されています。 〔タスク〕セキュリティアーキテクチャの設計 達成指標 ・アーキテクチャの候補を 列挙し , 適切なシステム が行われていること ・セキュリティ要求事項 をハードウェア , ソフト ウェア , ネットワークの 業を行うこと ・セキュリティ実装方式 とセキュリティ要求事 項を割り振った結果を 文書化すること ・システム化の範囲を決定 していること ・信頼性設計を行っている に関する知識 ・実装方式および要求事項の文書化 ・信頼性設計に関する知識 ・ ISO/IEC 15408 に関する知識 用 ) ・セキュリティッール ( フリー , 商 ジニアリングなど ) 妨害攻撃 , 盗聴 , ソーシャルエン ・攻撃手法 ( なりすまし , サービス ・特権の最小化 ・アクセス制御 ・ログ監視技術 ェア , ワーム , アドウェア ) ・マルウェア ( ウイルス , スパイウ ・暗号システムの運用 ・ディジタル署名技術 ・バイオメトリックス ・暗号技術 , 認証技術 ・パスワード・アカウント管理 ワークの分割など ) ウォール , 侵入検知技術 , ネット ・ネットワーク保護技術 ( ファイア ・セキュリティに関する次の知識 それぞれに割り振る作・データベースに関する知識 ・運用管理 ・経路制御 ・トボロジ ・プロトコル アーキテクチャの選択・ネットワークに関する次の知識 ・ソフトウェアに関する知識 ・ハードウェアに関する知識 要求される知識 要求される技能 ・認証 , 暗号技術 , ディジタ ル署名技術などのセキュリ ティ技術を統一のとれた観 点で一つの情報システムに まとめ提案する能力 ・情報セキュリティ対策基準 から物理装置のセキュリテ ィに関するシステム要件を 導出する能力 ・リスク分析で行った IT 資 産の評価に従って , 適切な 物理的セキュリティを適用 する能力 ・物理的に重要な IT 資産が 隔離できるように情報シス テムを統合化する能力 ・セキュリティシステムの設 計要件からネットワークの 設計要件を導出する能力 ・セキュリティシステムを実 現するセキュリティ製品を 選択する能力 ・費用対効果を考慮して適切 なセキュリティ製品を選択 する能力 図表 2 - 5 期待する技術水準の例
医の出題範囲と取組み方編 2 . 出題予想 連する内容についても , 問題文の中で製品名を出さずに機能を説明するなど補足 ると予想されます。また , データベースや検疫などのまだ新しい技術の製品に関 午前 , 午後の試験を通じて , セキュリティ関連の新しい話題も含めて出題され ティの運用・管理 , 情報セキュリティ技術・関連法規からの出題となります。 午後の問題は , 情報セキュリティシステムの企画・設計・構築 , 情報セキュリ 用関連の問題が , 専門分野のセキュリティになると考えることができます。 ( システム管理 ) と同じなので , この試験で出題の中心になるシステム開発・運 た新しい試験です。午前の試験で出題される間題の範囲はテクニカルエンジニア テクニカルエンジニア ( 情報セキュリティ ) 試験は , 平成 18 年春から始まっ ・セキュリティと標準化 ( 20 問 , このうち標準化 4 問 ) ・データベース技術 ( 10 間 ) ・ネットワーク技術 ( 15 間 ) ・システムの開発と運用 ( 5 間 ) ・コンピュータシステム ( 5 問 ) で 55 問あり , 出題数の内訳は次のとおりです。 平成 19 年度テクニカルエンジニア ( 情報セキュリティ ) の午前問題は , 全体 2 ー 1 午前の出題予想 した上で出題されることが考えられます。 キュリティと標準化」がやや易化しました。この傾向からは基本的な IT 知識の と運用」がやや難 , 「ネットワーク技術」と「データベース」には変化がなく , 「セ たといえます。難易度については , 「コンピュータシステム」と「システムの開発 ータベース技術」が 1 間増加したので , データベース技術の比重が少し高くなっ 平成 18 年度の試験と比較すると , 「システムの開発と運用」が 1 問減少し , 「デ ュリティ監査などの項目も含まれていますので , 基本事項は理解が必要です。 ただし , 監査に関しては出題の対象外ですが , セキュリティ分野の中に情報セキ コンピュータ科学基礎 , 情報化と経営 , 監査は出題対象外になっています。 確実な理解力が要求されていると考えられます。 23
午後Ⅱ問題 765188K 問 1 【解答】 [ 設問 1 ] [ 設問 2 ] [ 設問 4 ] [ 設問 3 ] セキュリティ侵害 (a) イ (b) ウ (c) 工 (), b, c 順不同 ) (d) コ (e) シ (f) カ ( 1 ) #!/usr/local/bin/perl —T ( 2 ) 環境変数は汚染データとみなされるので内部的に設定しなおす必 要があるため。 (1) 攻撃者が送信元アドレスを変更した場合にアクセス制御できない ため。 ( 2 ) ウイルス対策ソフトを利用するとファイルのタイムスタンプが更 新されてしまうため。 データベースのバージョンや種類 , テープルのカラム名などの攻撃者に 有利な情報を秘匿するため。 [ 設問 5 ] 第三者によるベネトレーションテストやアプリケーションのコードチ ェック等の検査を実施する必要がある。 【解説】 [ 設問 I ] 空欄 a , b, c はセキュリティの三要素である「機密性」 , 「完全性」 , 「可用性」が人 る。よって ( 工 ) , ( ウ ) , ( イ ) を順不同で選択する。 ISMS の定義として JIPDEC ( 日本 情報処理開発協会 ) は , 「 ISMS とは , 個別の問題ごとの技術対策のほかに , 組織のマ ネジメントとして自らのリスク評価により , 必要なセキュリティレベルを定め , プラ ンを持ち , 資源配分してシステムを運用することである」 , また , 「組織が保護すべき 情報資産について , 機密性 , 完全性 , 可用性をバランス良く維持し改善することが ISMS の要求する主なコンセプトである」と設定している。したがって , セキュリテ ィ要件のヒアリングに関してもこの三要素に偏りのない要件の抽出が必要になる。 なお , 2005 年 10 月に発行された ISO/IEC27001 ( 情報技術 - セキュリティ技術 - 情 報セキュリティマネジメントシステム - 要求事項 ) に書かれた情報セキュリティの定義 では , 「情報セキュリティ (information security) : 情報の機密性 , 完全性及び可用性 を維持すること。さらに , 真正性 , 責任追跡性 , 否認防止性及び信頼性のような特性 を維持することを含めてもよい」 ( ISO / IEC27001 : 2005 3 用語及び定義より ) とな っており , これらの観点から網羅的な対策を行っていくことが重要になる。 空欄 d は OS やミドルウェアの持っ不正アクセスの原因となるぜい弱性のことであ り , セキュリティホールが人る。したがって , ( コ ) を選択する。セキュリティホール 490
午前第 6 部情報システムへの脅威と社会環境解答・解説 ウ : シェアウェアは , 試用や配布は自由であるが , 一定期間試用した後に継続して 使用したい場合には , 代金を支払うソフトウェアである。ソフトウェアそのもの の著作権は著作者にあり , シェアウェア自体を試用期間経過後も使用するのは違 法であるが , シェアウェアを使用して作成したデータについては問題ない。 問 6 一 33 ウ 771529K “情報セキュリティ監査制度 : 情報セキュリティ管理基準”は , 経済産業省か ら 2003 年 4 月に告示施行されている情報セキュリティ監査制度で規定された基 準の一つである。 ISO/IEC 17799 : 2000 い IS X 5080 : 2002 ) をもとにしている。 10 のマネジメント領域ごとに管理項目の目的とコントロール , サプコントロールが 示されている。「ソフトウェアの誤動作を報告する手順を確立すること」は人的セ キュリティのコントロールで , ( ウ ) が正しい。 ア : 物理的および環境的セキュリティに関するコントロールである。 イ : 組織のセキュリティに関するコントロールである。 ェ : アクセス制御に関するコントロールである。 問 6 ー 34 ウ ( H17 f'k-AN/PM/AE 間 55K ) 個人情報保護法は第 2 条に個人情報の定義が次のように記載されている。 この法律において「個人情報」とは , 生存する個人に関する情報であって , 当 該情報に含まれる氏名 , 生年月日その他の記述等によって特定の個人を識別する ことができるもの ( 他の情報と容易に照合することができ , それによって特定の 個人を識別することができることとなるものを含む ) をいう。 このように生存者の情報に限定されているので ( ウ ) が正解である。 ア : 民間企業に登録されている個人の情報もこの法律の対象となる。 イ : 特に秘密にしていない情報でも , 保護の対象となる。 工 : 国籍に関する規定はない。 問 6 ー 35 ウ 7 1 36 ( ) 7 K 情報セキュリティは情報資産の機密性 , 完全性 ( インテグリティ ) , 可用性を適 正な水準で保持することである。データベースが改ざんされたり破壊されたりす るなどして完全性 ( インテグリティ ) が損なわれた場合にはバックアップを用い て復旧を行う。したがって , ( ウ ) が適切である。 ア : SSL は Web サーバとプラウザ間で用いるセキュリテイプロトコルで , 相互の 認証のほかに暗号化通信の機能も提供するので通信の機密性も強化できる。 イ : ユーザに対するセキュリティ教育や啓蒙はセキュリティ管理者の重要な責務 である。 423