【解答】平成18年度テクニカルエンジニア情報セキュリティ午後U
問1
設問1
(1)a−責務の分離 b−列 c−行
(2)
・データベース管理作業,システム管理作業などの単位で,作業実施に必要な権限を,異なる
管理作業実施者に分離して与える。
・一つのシステム管理業務を異なる担当者で分担実施することによって,相互監視,相互抑制
が働くようにする。
・一つのシステム管理業務の実行を一人の担当者で完結させず,別の担当者による確認や上位権限保有者による承認が必要な体制にする。
(3)事業部ごとに表を作成し,利用者には業務上必要な表を含む利用者ビューだけを利用可能とする。
設問2
(1)d−任意 e−情報フロー f−社外秘 g−強制
(2)・取扱レベル ・権限クラス ・カテゴリ
設問3
(1)h−クラス4 i−B 製品開発 j−クラス5k−クラス3 l−F 製品開発
(2)
理由…業務遂行単位よりも広い範囲に情報資産を帰属させることになるから
問題…事業部内の者で,取扱レベルが一致していると,業務遂行に関係しないほかの機密情報資産も参照が可能となってしまう。
(3)
処理@…オペレータが,B 製品開発プロジェクトの“製品仕様書”を管理文書サーバから機密情報管理サーバに移す。
処理A…システム管理者が,B 製品開発プロジェクトの“製品仕様書”に(社外秘,B 製品開発)とラベルを設定する。
(4)
問題…“処理記述”に対する参照権限がないのでアクセスできない。
解決策…
・Q 氏のアクセス区分のラベルを(クラス5:F 製品開発)に変更する。
・Q 氏にアクセス区分が(クラス5:F 製品開発)のラベルを追加する。
*----------------------------------------------------------------------------
問2
設問1
(1)“送信者のPC”と“Web のメールサーバ”の間の伝送路を除いた箇所から二つ挙げ,適切に記述していること
(2)SSL を利用してメール送信者のパスワードを認証することで,メール送信者の確認がWeb のメールサーバで行えることについて,適切に説明していること
設問2
(1)a−ディジタル署名 b−送信者 c−暗号化 d−秘密鍵 e−公開鍵 f−BASE64 g−6 h−24 i−3 j−1.3
(2)
・メールのヘッダ部は暗号化されないため
・ヘッダ部は暗号化されず平文で送られるため
・メールのヘッダ部は平文で送信されるため
(3)J 社の調達担当者の電子証明書の内容を確認することについて,適切に説明していること
設問3
(1)開発担当者のパスワードを定期的に更新可能なことについて,適切に説明していること
(2)
自社に割り当てられていないディレクトリをアクセスする方法:ファイル指定文字列に対して,相対指定したディレクトリ名を含めることについて,適切に説明していること
任意のファイルをアクセスする方法:ファイル指定文字列に対して,文字列の終端文字を含めることについて,適切に説明していること
(3)ファイル指定文字列に対して,ダウンロードされるファイルのファイル名で使用される文字以
外を含まないことを確認することについて,適切に説明していること
設問4
(1)Web サーバからダウンロードするファイルが暗号化されていないため,伝送路における情報漏えい防止策が必要なことについて,適切に説明していること
(2)ダウンロードする開発担当者は,部品メーカの営業担当者が任意に選択するため,J 社が特定できないことについて,適切に説明していること
(3)確認すべきこと…Web サーバの電子証明書の内容を確認することについて,適切に説明していること
目的…J 社のWeb サーバがなりすまされることによる,ファイル指定文字列やパスワードの第三者への漏えいを防ぐことについて,適切に説明していること
|
|
スポンサードリンク
スポンサードリンク
|