情報セキュリティースペシャリスト の 5門
第1問
SQLインジェクション対策について,Webアプリケーションの実装における対策とWebアプリケーションの実装以外の対策として,ともに適切なものはどれか。
【実装対策】Webアプリケーション中でシェルを起動しない。
【実装以外】chroot環境でWebサーバを実行する。
【実装対策】セッションIDを乱数で生成する。
【実装以外】SSLによって通信内容を秘匿する。
【実装対策】バインド機構を利用する。
【実装以外】データベースのアカウントのもつデータベースアクセス権限を必要最小限にする。
【実装対策】パス名やファイル名をパラメタとして受け取らないようにする。
【実装以外】重要なファイルを公開領域に置かない。
情報セキュリティースペシャリスト の 5門
第2問
システム監査人が負う責任はどれか。
監査結果の外部への開示
監査対象システムの管理
監査報告会で指摘した問題点の改善
監査報告書に記載した監査意見
情報セキュリティースペシャリスト の 5門
第3問
ディレクトリトラバーサル攻撃はどれか。
攻撃者が,OSの操作コマンドを利用するアプリケーションに対して,OSのディレクトリ作成コマンドを渡して実行する。
攻撃者が,SQL文のリテラル部分の生成処理に問題があるアプリケーションに対して,任意のSQL文を渡して実行する。
攻撃者が,シングルサインオンを提供するディレクトリサービスに対して,不正に入手した認証情報を用いてログインし,複数のアプリケーションを不正使用する。
攻撃者が,ファイル名の入力を伴うアプリケーションに対して,上位のディレクトリを意味する文字列を使って,非公開のファイルにアクセスする。
情報セキュリティースペシャリスト の 5門
第4問
労働者派遣法に基づいた労働者の派遣において,労働者派遣契約の関係が存在するのはどの当事者の間か。
派遣先事業主と派遣労働者
派遣先責任者と派遣労働者
派遣元事業主と派遣先事業主
派遣元事業主と派遣労働者
情報セキュリティースペシャリスト の 5門
第5問
IT投資の評価手法のうち,バランススコアカードを用いた手法を説明したものはどれか。
IT投資の効果を正味現在価値などのキャッシュフローを用いて評価することによって,他の投資案件との整合性を確保する。
IT投資をその性質やリスクの共通性によってカテゴリに分類し,カテゴリ単位での投資割合を評価することによって,経営戦略とIT投資の整合性を確保する。
財務,顧客,内部業務プロセスなど複数の視点ごとに業績評価の指標を設定し,経営戦略との適合性を評価することによって,IT投資の効果を多面的に把握する。
初期投資の価値に加えて,後続のプロジェクトにおいて選択可能な収益やリスクの期待値を,金融市場で使われるオプション価格付け理論に基づいて評価する。
