情報処理技術者試験 レベル4 情報処理安全確保支援士試験
の令和3年度秋、午後2問題(全25問)を隔日3問ずつ解い
ていきます。問題の解き方や考え方を理解し、暗記していきま
しょう。
なお、問題の引用ルールはIPAに準じています。
問7
FIPS PUB 140-3の記述内容はどれか。
ア 暗号モジュールのセキュリティ要求事項
イ 情報セキュリティマネジメントシステムの要求事項
ウ ディジタル証明書や証明書失効リストの技術仕様
エ 無線LANセキュリティの技術仕様
問8
X.509におけるCRL(Certificate Revocation List)に関する記
述のうち、適切なものはどれか。
ア PKIの利用者のWebブラウザは、認証局の公開鍵がWebブ
ラウザに組み込まれていれば、CRLを参照しなくてもよい。
イ RFC 5280では、認証局は、発行したディジタル証明書の
うち失効したものについては、シリアル番号を失効後1年間
CRLに記載するよう義務付けている。
ウ 認証局は、発行した全てのディジタル証明書の有効期限を
CRLに記載する。
エ 認証局は、有効期限内のディジタル証明書のシリアル番号
をCRLに登録することがある。
問9
JIS Q 27002:2014には記載されていないが、JIS Q 27017:2016
において記載されている管理策はどれか。
ア クラウドサービス固有の情報セキュリティ管理策
イ 事業継続マネジメントシステムにおける管理策
ウ 情報セキュリティガバナンスにおける管理策
エ 制御システム固有のサイバーセキュリティ管理策
(正解)
アエア
(本日のクリティカルフレーズ)
・問題に潜む、解答を導くフレーズを赤字で示しています。
こうきたら、こう返すフレーズですので、要暗記です。
・紫字は解説となっています
問7
FIPS PUB 140-3の記述内容はどれか。
ア 暗号モジュールのセキュリティ要求事項
政府などに調達する製品はこのレベルじゃなきゃダメよ!
っていうのを要件定義しています。
イ 情報セキュリティマネジメントシステムの要求事項
ウ ディジタル証明書や証明書失効リストの技術仕様
エ 無線LANセキュリティの技術仕様
問8
X.509におけるCRL(Certificate Revocation List)に関する記
述のうち、適切なものはどれか。
ア PKIの利用者のWebブラウザは、認証局の公開鍵がWebブ
ラウザに組み込まれていれば、CRLを参照しなくてもよい。
イ RFC 5280では、認証局は、発行したディジタル証明書の
うち失効したものについては、シリアル番号を失効後1年間
CRLに記載するよう義務付けている。
ウ 認証局は、発行した全てのディジタル証明書の有効期限を
CRLに記載する。
エ 認証局は、有効期限内のディジタル証明書のシリアル番号
をCRLに登録することがある。
有効期限内に失効したデジタル証明書のシリアル番号を記入す
るのがCRLでございます。
問9
JIS Q 27002:2014には記載されていないが、JIS Q 27017:2016
において記載されている管理策はどれか。
情報セキュリティ管理の規範・・・・まではわかっても、新バー
ジョンとの違いってよくわからんですよね。
実は・・・クラウドサービスの記載が新しいんです。
ア クラウドサービス固有の情報セキュリティ管理策
イ 事業継続マネジメントシステムにおける管理策
ウ 情報セキュリティガバナンスにおける管理策
エ 制御システム固有のサイバーセキュリティ管理策