┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓ ┃宿題メール ソフ開編                .&&&& **** %%%%. ┃ ┃                         &&&&&&******%%%%%% ┃ ┃from 斎藤末広 jwork@yscon.co.jp          '&┃&''*┃*''%┃%' ┃ ┗━━━━━━━━━━━━━━━━━━━━━━━━━━┻━━┻━━┻━━┛ ========================================================================  2005年7月7日分【宿題メール ソフトウェア開発技術者編】  この"宿題メール ソフ開編"は,10月にソフトウェア技術者試験を受験される方 向けに出しています。  "宿題メール(総合編)"を補完する関係です。  →宿題メールとは http://www.3721p.com/homework ======================================================================== 前回分の解答と解説 ------------------------------------------------------------------------ *[解説:ソフト開発午前問題その1]  ファイアウォールの方式に関する記述のうち,適切なものはどれか。  ア アプリケーションゲートウェイ方式では,アプリケーションのプロトコル   ごとにゲートウェイ機能の設定が必要である。  イ サーキットゲートウェイ方式では,コマンドの通過可否を制御する。  ウ トランスポートゲートウェイ方式では,アプリケーションのプロトコルに   依存するゲートウェイ機能を提供する。  エ パケットフィルタリング方式では,電子メールの中に含まれる単語による   フィルタリングが可能である。 ■キーワード■ ファイアウォール ■解答■   ソフトウェア開発技術者午前平成17年春問74   テクニカルエンジニア(システム管理)午前平成17年問48   システム監査技術者午前平成17年問18   同等:システム監査技術者午前平成15年問14  ア アプリケーションゲートウェイ方式では,アプリケーションのプロトコル   ごとにゲートウェイ機能の設定が必要である。 > アプリケーションゲートウェイ >  クライアントからは単なるアプリケーションと同じに見えるタイプ > のファイアウォールの形式。OSI階層モデルでいうと、セッション層や > プレゼンテーション層、アプリケーション層レベルでサービスを中継 > する。ProxyとかProxyサーバともいう。 >  たとえばWWW Proxyサーバでは、クライアントのWWWブラウザからは > 単なるWWWサーバに見えるが、Proxyサーバへ届いたHTTP要求は、そこ > からさらに外部にある目的のWWWサーバへと中継されている。これに > より、クライアント側では外部と直接接続することなく、セキュリティ > 的に安全にWWWを利用することができる。 >  アプリケーションゲートウェイでは、各アプリケーションプロトコル > ごとに個別のゲートウェイプログラムが必要となっている。 > アスキーデジタル用語辞典より > http://yougo.ascii24.com/gh/36/003666.html > > サーキットゲートウェイ >  これはトランスポート層のファイアウォールということになる。クラ > イアントから出されたTCP/UDPのコネクション要求をファイアウォール > 上のゲートウェイが受け、目的のホストに向けて改めてTCP/UDPのコネ > クション要求を出す。セッション状態を認識したうえでアクセス制御が > できる。ルールの設定が簡単というのも使う側にとっては便利である。 > ただしクライアントアプリケーションやユーザー操作の変更が必要な場 > 合があるので注意が必要だ。 > @ITより > http://www.atmarkit.co.jp/fsecurity/special/17fivemin/fivemin04.html > > トランスポートゲートウェイ > トランスポート層型ファイアウォールは、図 2に示すように、OSIモデル > におけるトランスポート層でアクセス制御を行う方式である。トランス > ポートゲートウェイとも呼ばれる。 >  トランスポート層型ファイアウォールは、データ中継をトランスポート > 層で行うとともに、中継を行う際にアクセス制御を実施する。アクセス制 > 御の対象は、IP アドレス、ポート番号である。 >  アプリケーションのプロトコル、データ構造を意識したアクセス制御は > 実施しない。 > http://www.ipa.go.jp/STC/ACCESS/DOC/kk960927.txt  どうもありがとうございました。 > アプリケーションゲートウェイ方式 > サーキットゲートウェイ方式 > パケットフィルタリング方式 > http://win.kororo.jp/archi/security/firewall.php > > トランスポートゲートウェイ方式 > http://dictionary.rbbtoday.com/Details/term553.html  どうもありがとうございました。 ------------------------------------------------------------------------ *[解説:ソフト開発午前問題その2]  電子的な方法を用いないで,緊急事態を装って組織内部の人間からパスワード や機密情報のありかを不正に聞き出して入手する行為は,どれに分類されるか。  ア ソーシャルエンジニアリング  イ トロイの木馬  ウ パスワードクラック  エ 踏み台攻撃 ■キーワード■ ソーシャルエンジニアリング ■解答■   ソフトウェア開発技術者午前平成17年春問75   テクニカルエンジニア(システム管理)午前平成17年問50   情報セキュリティアドミニストレータ午前平成15年問32  ア ソーシャルエンジニアリング > http://tinyurl.com/37xej @e-word > ソーシャルエンジニアリング[social engineering] > ネットワークの管理者や利用者などから、話術や盗み聞き、盗み見などの >「社会的 」な手段によって、パスワードなどのセキュリティ上重要な情報を入手 > すること。  どうもありがとうございました。 > http://www.atmarkit.co.jp/aig/02security/socialengineering.html  どうもありがとうございました。 ------------------------------------------------------------------------ *[解説:ソフト開発午後問題改題] (出題お休み) ------------------------------------------------------------------------ 過去のフォロー  (特になし) ======================================================================== ★★ 本日の宿題 ソフト開発編 ★★★★★★★★★★★★★★★★★★★★ ------------------------------------------------------------------------ *[宿題:ソフト開発午前問題その1]  財団法人日本情報処理開発協会のプライバシーマーク制度について説明したも のはどれか。  ア OECD のプライバシーガイドラインに準拠している公的機関及び民間事業   者を認定する制度  イ 個人情報を売買する事業者が一定の基準を満たしていることを認定する制度  ウ 個人情報を保有している事業者に個人情報保護措置の概要を登録させる制度  エ 事業者が個人情報の取扱いを適切に行うための体制などを整備しているこ   とを認定する制度 ------------------------------------------------------------------------ *[宿題:ソフト開発午前問題その2]  米国で運用された TCSEC や欧州政府調達用の ITSEC を統合して,標準化が進 められた CC(Common Criteria)の内容はどれか。  ア 情報技術に関するセキュリティの評価基準  イ 情報セキュリティ基礎技術の標準  ウ セキュリティ管理のプロトコルの標準  エ 通信サービスに関するセキュリティ機能の標準 ------------------------------------------------------------------------ *[宿題:ソフト開発午後問題改題] 平成17年春の午後問題を改題して出題 (出題お休み) ======================================================================== 下の部分を回答用紙として返信してください。返信されたものは,著作権放棄を したとみなします。 ------------------------------------------------------------------------ 宿題メール 裏版 回答用紙 ------------------------------------------------------------------------ SW ソフト開発午前問題その1   _ 考えたこと・調べたこと・質問 ------------------------------------------------------------------------ SW ソフト開発午前問題その2   _ 考えたこと・調べたこと・質問 ------------------------------------------------------------------------ SW ソフト開発午後問題改題    _ 考えたこと・調べたこと・質問 ------------------------------------------------------------------------ その他(宿題メール本編に掲載することがあります)