情報セキュリティ・キーワード 2016 ⑦ セキュリティプロトコル編

インターネットプロトコルのうち、セキュリティ強化されたプロトコルを中心に、４階層に分類して取り上げます。

DoD モデルでは、４階層からなるインターネットプロトコル群からネットワークを構築します。インターネットの歴史に深く関係しているアメリカ合衆国国防総省 （United States Department of Defense）の略称が、DoD です。また、TCP/IP モデルともいわれます。

TCP/IP のプロトコルは、OSI 参照モデルの７階層と対応して分類されることも多くあります。

• １．セキュリティプロトコル
• １－１．アプリケーション層
• １－２．トランスポート層
• １－３．ネットワーク層
• １－４．データリンク層

• ２．VPN
• ３．VLAN
• ４．情報処理技術試験の過去問題

１．セキュリティプロトコル

１－１．アプリケーション層

SSH （Secure Shell）は、暗号や認証の技術を利用して、リモートコンピュータと通信するためのプロトコルです。パスワードなどの認証部分を含むすべてのネットワーク上の通信が暗号化されます。

SSH ポートフォワーディング （SSH Port Forwarding）は、ローカルコンピュータの特定のポート番号に対して送られる通信内容を、SSH 接続により暗号化された通信路で、リモートコンピュータの特定のポート番号へ転送します。

SFTP （SSH File Transfer Protocol）は、SSH 接続により暗号化された通信路で、ファイルを送受信するプロトルです。

FTPS （FTP over SSL/TLS）は、SSL/TLS プロトコル上で FTP 通信を行うことてす。

HTTPS （HTTP over SSL/TLS）は、SSL/TLS プロトコル上で HTTP 通信を行うことてす。

Cookie の secure 属性は、HTTPS のページで使用する Cookie の発行時に secure 属性 をつけることにより、HTTP のコンテンツ宛には送られません。

DNSSEC （Domain Name System SECurity extensions）は、ドメイン登録情報にデジタル署名を付加することで、正当な管理者によって生成された応答レコードであること、また応答レコードが改ざんされていないことを保証します。DNS キャッシュポイズニング攻撃に対して有効です。

SAML （Security Assertion Markup Language）は、標準化団体 OASIS（Organization for the Advancement of Structured Information Standard）によって策定された、異なるインターネットドメイン間でユーザー認証を行うための XML をベースにした標準規格です。複数のクラウドサービスや Web アプリケーションへのシングルサインオンを実現します。また、ユーザーの属性情報なども付与することができます。ユーザーごとにクラウドサービス内で利用できる機能についての認可も行えます。

SMTPS （SMTP over SSL）は、SSL/TLS プロトコル上で SMTP 通信を行うことてす。

SMTP STARTTLS は、SMTPS が最初から暗号化して通信を行うのに対し、STARTTLS はセッション開始時は平文で始まり、クライアントから STARTTLS コマンドを送信した時点で暗号化のためのネゴシエーションを行います。

S/MIME （Secure Multipurpose Internet Mail Extensions）は、メールで添付ファイルを扱う規格 MIME（Multipurpose Internet Mail Extension）を拡張して、本文を暗号化して添付ファイルとして送信することも、ディジタル署名を添付することもできる規格です。PKCS（Public-Key Cryptography Standards）#7 暗号メッセージ構文標準 (CMS) をもとに開発されました。

S/MIME による暗号化は、あらかじめ送信者が受信者の公開鍵を入手します。これを暗号鍵として本文を暗号化し、メールに添付して送信します。受信者は秘密鍵で復号します。

ディジタル署名の添付は、本文からハッシュ関数で算出されたハッシュ値を送信者の秘密鍵により暗号化して、メールに添付して本文と共に送信します。受信者は送信者の公開鍵で復号します。受信者は受信した本文をもとにハッシュ関数を使用してハッシュ値を算出します。受信者は復号されたハッシュ値と、算出されたハッシュ値を比較します。

暗号化と署名は同時に用いることも、必要に応じて片方のみ用いることもできます。

SASL （Simple Authentication and Security Layer）は、コネクションベースのプロトコルに認証機能と、オプションで暗号化機能を提供します。SMTP AUTH などで使われます。認証方式の PLAIN は、認証情報を平文で送信します。認証方式の CRAM-MD5 は、チャレンジ・レスポンス型認証を用い、メッセージダイジェストの作成には MD5 を使います。

SET （Secure Electric Transactions）は、インターネット上で安全にクレジットカードによる決済を実現するための規格です。

１－２．トランスポート層

SSL （Secure Sockets Layer）は、TCP プロトコル上での暗号化と認証の仕組みです。SSL は、公開鍵証明書による通信相手の認証（一般的にはサーバの認証）と、共通鍵暗号による通信の暗号化、ハッシュ関数による改ざん検知などの機能を提供します。

TLS （Transport Layer Security）は、SSL をもとに策定されました。SSL 3.0 の次のバージョンが TLS 1.0 という関係にあります。ただ、SSL という名称が既に広く定着していたため、実際には TLS を指していても SSL と表記したり、SSL/TLS などのように両者を併記したりすることも多くあります。SSL 3.0 よりも TLS 1.0 の方が、TLS 1.0 よりも 1.1 や 1.2 の方が、より強固な暗号アルゴリズムをサポートしている上、さまざまな攻撃手法への対策も盛り込まれています。

１－３．ネットワーク層

IPsec （IP Security Protocol）は、IP パケットに暗号化や認証、電子署名の機能を付加するセキュリティプロトコルです。

トンラスポートモード は、データを暗号化し、それに IP ヘッダを付加して、受信相手に送信します。

トンネルモード は、ゲートウェイで IP ヘッダを含めて暗号化を行い、それを受信先のゲートウェイがまず復号し、IP ヘッダをチェックして、受信先に転送します。受信先の IP ヘッダまでが暗号化されるため、受信先も隠すことができます。

ESP （Encapsulating Security Payload）は、ペイロード部を暗号化します。暗号化された通信内容に SPI とシーケンス番号フィールド、そして認証データという３つの付加情報が付け加えられた構造です。

AH （Authentication Header）は、完全性の保証と認証のための仕組みです。AH ではデータの暗号化はせず、SPI、シーケンス番号、そして認証データのみをパックして通常の IP パケットの中に加えます。

SA （Security Association）は、IKE（Internet Key Exchange）という標準手順によって、暗号化方式の決定や鍵の交換、相互の認証が行われます。SA は定期的に更新され、認証と暗号鍵の再発行・再交換が行われます。

IKE （Internet Key Exchange）は、自動で SA の合意をとることが可能な鍵交換プロトコルです。

ISAKMP （Internet Security Association and Management Protocol）は、IPsec で利用される SA 確立のためのプロトコルです。実際の通信に先立ってパラメータ（認証方法と暗号化鍵の交換方法）の交換を行います。

Oakley （Oakley Key Determination Protocol）は、鍵交換手順は公開鍵暗号を用いた鍵交換手順のアルゴリズムとパラメータのセットをいくつか定めたものです。

ISAKMP/Oakley は、ISAKMP プロトコルの上で Oakley 鍵交換手順を実装したものです。IKE のもととなっています。

１－４．データリンク層

PPTP （Point to Point Tunneling Protocol）は、PPP を拡張したトンネリング・プロトコルです。PPTP 自体は認証や暗号化の機能を有していませんので、他のセキュリティプロトコルと組み合わせて使用されます。通信は、送信と受信を１つのトンネルで実現します。

L2TP （Layer 2 Tunneling Protocol）は、仮想的にトンネルを生成して、PPP 接続を確立します。PPTP と L2F が統合されて標準化されました。L2TP 自体は暗号化の機能を持たず、IPsec と併用されることが多くあります（L2TP/IPsec）。

２．VPN

VPN （Virtual Private Network）は、利用者間で、公衆回線を経由してインターネット接続や閉域網に仮想的な通信トンネルを構成したプライベートネットワークのことです。

VPN で利用されるプロトコルには、SSH、SSL/TLS、IPsec、PPTP、L2TP、L2F、MPLS などがあります。

VPN には、インターネットを介して VPN を構成する インターネット VPN と、ISP が提供する閉域 IP 網を利用する IP-VPN の２つが主流です。

MPLS （Multi-Protocol Label Switching）は、 フレームやパケットの前方にラベルと呼ばれるタグを使用したパケット転送技術のことです。第３層（ネットワーク層）のプロトコルと、第２層（データリンク層）の諸技術との緊密な連携により、高度な通信品質制御（QoS）や、ネットワーク構成に依存しないプライベートネットワーク（IP-VPN）の構築などが可能となります。

３．VLAN

VLAN （Virtual LAN）では、仮想的に LAN ネットワークを分割することで、直接通信できる範囲を限定できます。たとえば、１台の L2 スイッチ（Layer 2 Switch）で仮想的に複数の LAN に分割します。

L2 スイッチの アクセスポート は、１つの VLAN だけに所属するポートです。L2 スイッチは、同一の VLAN のアクセスポート間のみでイーサネットフレームを転送します。

スタティック VLAN （ポート VLAN、ポートベース VLAN）は、アクセスポートに管理者が手動で VLAN を割り当てる方法です。

ダイナミック VLAN は、接続するデバイスによって、ポートに割り当てる VLAN を決定します。接続するデバイスの MAC アドレスにより決定する MAC ベース VLAN、IP アドレスにより決定するサブネットベース VLAN、ユーザ名などの情報に基づいて決定するユーザベース VLAN（認証 VLAN）などがあります。

認証 VLAN は、IEEE 802.1x などの認証方式を組み合わせて利用するもので、クライアントがアクセスしてきた段階でまず認証を行い、認証に成功したら、ユーザーごとに設定されたポリシーを適用します。

L2 スイッチの トランクポート は、複数の VLAN に所属するポートです。主にスイッチ同士を接続する際に使用するポートです。２台のスイッチに設定した VLAN がまたがっている場合、トランクポートでは１本の物理リンクで複数の VLAN トラフィックを伝送します。

タグ VLAN （ IEEE 802.1Q ）は、複数のスイッチにまたがる VLAN の実現を可能とするため、VLAN ごとに VLAN ID（12ビット）を設定します。IEEE802.1Q は、VLAN の実装を標準化し、異なる機種のスイッチ同士でもタグ VLAN が実現できるよう定められています。タグ VLAN は、IEEE802.1Q 対応のスイッチで、イーサネットフレームのヘッダに VLAN ID を含むタグを挿入し、削除します。

ルータ（トランク対応ルータ）による VLAN 間ルーティングは、L2 スイッチとルータをトランクポートで接続します。ルータは基本的に１つのポートで１つのネットワークに接続しますが、複数の VLAN がある場合でも、トランクポートに接続することでルータの１つのポートで利用することができます。

L3 スイッチ （Layer 3 Switch）は VLAN 間ルーティングのルータ機能と L2 スイッチを１つのハードウェアとしてまとめたものです。L3 スイッチでは、L2機能 スイッチ機能で VLAN でネットワークを分割できます。そして、ルータ機能で VLAN 同士を L3スイッチの内部で相互に接続して VLAN 間ルーティングを行うことができます。

４．情報処理技術試験の過去問題

試験問題の全文は、https://www.jitec.ipa.go.jp/1_04hanni_sukiru/_index_mondai.html をご覧ください。

平成27年度秋期SC試験午前Ⅱ問題
問11 VLAN 機能をもった 1 台のレイヤ 3 スイッチに複数の PC を接続している。スイッチのポートをグループ化して複数のセグメントに分けると, セグメントを分けない場合に比ベて, どのようなセキュリティ上の効果が得られるか。

• ア スイッチが, PC から送出される ICMP パケットを全て遮断するので, PC 間のマルウェア感染のリスクを低減できる。
• イ スイッチが, PC からのブロードキャストパケットの到達範囲を制限するので, アドレス情報の不要な流出のリスクを低減できる。
• ウ スイッチが, PC の MAC アドレスから接続可否を判別するので, PC の不正接続のリスクを低減できる。:
• エ スイッチが, 物理ポ一トごとに, 決まった IP アドレスの PC 接続だけを許可するので, PC の不正接続のリスクを低減できる。

正解 イ

平成27年度秋期SC試験午前Ⅱ問題
問13 Web サーバが HTTPS 通信の応答で Cookie に Secure 属性を設定したときのブラウザの処理はどれか。

• ア ブラウザは, Cookie の “Secure=" に続いて指定された時間を参照し, 指定された時間を過ぎている場合にその Cookie を削除する。
• イ ブラウザは, Cookie の “Secure=” に続いて指定されたホスト名を参照し, 指定されたホス トにその Cookie を送信する。
• ウ ブラウザは, Cookie の “Secure” を参照し, HTTPS 通信時だけその Cookie を送信する。
• エ ブラウザは, Cookieの “Secure” を参照し, ブラウザの終了時にその Cookie を削除する。

正解 ウ

平成27年度春期SC試験午前Ⅱ問題
問 9 IPsec に関する記述のうち, 適切なものはどれか。

• ア IKE は IPsec の鍵交換のためのプロトコルであり, ボート番号 80 が使用される。
• イ 暗号化アルゴリズムとして, HMAC-SHA1 が使用される。
• ウ トンネルモードを使用すると, エンドツーエンドの通信で用いる IP のへッダまで含めて暗号化される。
• エ ホスト A とホスト B との間で IPsec による通信を行う場合, 認証や暗号化アルゴリズムを両者で決めるために ESP へッダではなく AH ヘッダを使用する。

正解 ウ

平成27年度春期SC試験午前Ⅱ問題
問10 NTP を使った増幅型の DDoS 攻撃に対して, NTP サーバが踏み台にされることを防止する対策として, 適切なものはどれか。

• ア NTP サーバの設定変更によって, NTP サーバの状態確認機能 (monlist) を無効にする。
• イ NTP サーバの設定変更によって, 自ネットワーク外の NTP サーバへの時刻問合せができないようにする。
• ウ ファイアウォールの設定変吏によって, NTPサーバが存在する自ネットワークのブロードキャストアドレス宛てのパケットを拒否する。
• エ ファイアウォールの設定変更によって, 自ネットワーク外からの, NTP 以外の UDP サーピスへのアクセスを拒否する。

正解 ア

平成27年度春期SC試験午前Ⅱ問題
問14 DNSSEC で実現できることはどれか。

• ア DNS キャッシュサーパからの応答中のリソースレコードが, 権威 DNS サーバで管理されているものであり, 改ざんされていないことの検証
• イ 権威 DNS サーバと DNS キャッシュサーバとの通信を暗号化することによる, ゾーン情報の漏えいの防止
• ウ 長音 “ー” と漢数字 “一" などの似た文字をドメイン名に用いて, 正規サイトのように見せかける攻撃の防止
• エ 利用者の URL の打ち間違いを悪用して, 偽サイトに誘導する攻撃の検知

正解 ア

平成26年度秋期SC試験午前Ⅱ問題
問 9 DNS キャッシュサーバに対して外部から行われるキャッシュポイズニング攻撃ヘの対策のうち, 適切なものはどれか。

• ア 外部ネットワークからの再帰的な問合せに応答できるように, コンテンツサーバにキャッシュサーパを兼ねさせる。
• イ 再帰的な問合せに対しては, 内部ネットワークからのものだけに応答するように設定する。
• ウ 再帰的な問合せを行う際の送信元のポート番号を固定する。
• エ 再帰的な問合せを行う際のトランザクション ID を固定する。

正解 イ

平成24年度秋期SC試験午前Ⅱ問題 問11
平成26年度秋期SC試験午前Ⅱ問題
問10 標準化団体 OASIS が, Web サイト間で認証, 属性及び認可の情報を安全に交換するために策定したフレームワークはどれか。

• ア SAML
• イ SOAP
• ウ XKMS
• エ XML Signature

正解 ア

平成26年度秋期SC試験午前Ⅱ問題
問11 暗号化や認証機能をもち, 遠隔にあるコンピュータを操作する機能をもったものはどれか。

• ア IPsec
• イ L2TP
• ウ RADIUS
• エ SSH

正解 エ

平成22年度秋期SC試験午前Ⅱ問題 問19
平成24年度秋期SC試験午前Ⅱ問題 問18
平成26年度秋期SC試験午前Ⅱ問題
問18 DNSSECに関する記述として, 適切なものはどれか。

• ア DNS サーバへの DoS 攻撃を防止できる。 イ IPsec による暗号化通信が前提となっている。 ウ 代表的な DNS サーバの実装である BIND の代替として使用する。 エ ディジタル署名によって DNS 応答の正当性を確認できる。

正解 エ

平成26年度春期SC試験午前Ⅱ問題
問10 Web サーバが HTTPS 通信の応答で cookie に Secure 属性を設定したときのプラウザの処理はどれか。

• ア ブラウザは, cookie の “Secure=” に続いて指定された時間を参照し, 指定された時間を過ぎている場合にその cookie を削除する。
• イ ブラウザは, cookie の “Secure=" に続いて指定されたホスト名を参照し, 指定されたホストにその cookie を送信する。
• ウ ブラウザは, cookie の “Secure" を参照し, HTTPS 通信時だけその cookie を送信する。
• エ ブラウザは, cookie の “Secure" を参照し, ブラウザの終了時にその cookie を削除する。

正解 ウ

平成26年度春期共通試験午前Ⅰ問題
問16 SSH の説明はどれか。

• ア MIME を拡張した電子メールの暗号化とディジタル署名に関する標準
• イ オンラインショッピングで安全にクレジット決済を行うための仕様
• ウ 対称暗号技術と非対称暗号技術を併用した電子メールの暗号化, 復号の機能をもつ電子メールソフト
• エ リモートロダインやリモー卜ファイルコピーのセキュリティを強化したツール及ぴプロトコル

正解 エ

平成24年度春期SC試験午前Ⅱ問題 問14
平成25年度秋期SC試験午前Ⅱ問題 問14
平成27年度春期SC試験午前Ⅱ問題
問15 DNS の再帰的な問合せを使ったサービス不能攻撃 (DNS amp 攻撃) の踏み台にされることを防止する対策はどれか。

• ア DNS キャッシュサーパとコンテンツサーバに分離し, インターネット側から DNS キャッシュサーバに問合せできないようにする。
• イ 問合せがあったドメインに関する情報を Whois データベースで確認する。
• ウ 一つの DNS レコードに複数のサーバの IP アドレスを割り当て, サーバヘのアクセスを振り分けて分散させるように設定する。
• エ 他の DNS サーバから送られてくる IP アドレスとホスト名の対応情報の信頼性を, ディジタル署名で確認するように設定する。

正解 ア

平成23年度秋期SC試験午前Ⅱ問題 問 1
平成25年度春期SC試験午前Ⅱ問題
問 2 DNSSEC (DNS Secudty Extensions) の機能はどれか。

• ア DNS キャッシュサーバの設定によって再帰的な問合せの受付範囲が最大になるようにする。
• イ DNS サーバから受け取るリソースレコードに対するディジタル署名を利用して, リソースレコードの送信者の正当性とデータの完全性を検証する。
• ウ ISP などのセカンダリ DNS サーバを利用して DNS コンテンツサーバを二重化することで名前解決の可用性を高める。
• エ 共通鍵暗号技術とハッシュ関数を利用したセキュアな方法で, DNS 更新要求が許可されているエンドポイントを特定し認証する。

正解 イ

平成25年度春期共通試験午前Ⅰ問題
問12 HTTPS 通信において, 暗号化とサーバ認証に使用されるものはどれか。

• ア Cookie
• イ S/MIME
• ウ SSL/TLS
• エ ダイジェスト認証

正解 ウ

平成24年度秋期SC試験午前Ⅱ問題
問14 SSLに関する記述のうち, 適切なものはどれか。

• ア SSL で使用する Web サーバのディジタル証明書には IP ア ドレスの組込みが必須なので, Web サーバの IPアドレスを変更する場合は, ディジタル証明書を再度取得する必要がある。
• イ SSL で使用する個人認証用のディジタル証明書は, IC カードなどに格納できるので, 格納場所を特定の PC に限定する必要はない。
• ウ SSL は Web サーバを経由した特定の利用者間の通信のために開発されたプロトコルであり, Web サーバ提供者への事前の利用者登録が不可欠である。
• エ 日本国内では, SSL で使用する共通鍵の長さは, 128 ビット未満に制限されている。

正解 イ

平成23年度特別共通試験午前Ⅰ問題 問12
平成24年度秋期共通試験午前Ⅰ問題
問12 SSLによるクライアントと Web サーバ間の通信手順 (1)～(5) において, a, bに入る適切な語句の組合せはどれか。ここで, 記述した手順は, 一部簡略化している。

• (1) クライアントからの SSL による接続要求に対し, Web サーバはサーバ証明書をクライアントに送付する。
• (2) クライアントは, 保持している [ a ] を用いてこのサーバ証明書の正当性を確認する。
• (3) クライアントは, 共通鍵生成用のデータを作成し, サーバ証明書に添付された [ b ] を用いてこの共通鍵生成用データを暗号化し, Web サーバに送付する。
• (4) 暗号化された共通鍵生成用データを受け取った Web サーバは, 自らの秘密鍵を用いてこれを復号する。
• (5) クライアントと Web サーバの両者は, 同一の共通鍵生成用データによって共通鍵を作成し, これ以降の両者間の通信は この共通鍵による暗号化通信を行う。

＼	a	b
ア	クライアントの公開鍵	Webサーパの秘密鍵
イ	クライアントの秘密鍵	Webサーパの公開鍵
ウ	認証局の公開鍵	Webサーパの公開鍵
エ	認証局の公開鍵	Webサーパの秘密鍵

正解 ウ

平成24年度春期共通試験午前Ⅰ問題
問15 サイト運営者に不特定の利用者が電子メールで機密データを送信するに当たって, 機密性を確保できる仕組みのうち, 適切なものはどれか。

• ア サイト運営者はサイト内の SSL で保護された Web ページに共通鍵を公開し, 利用者は電子メールで送信するデー夕をその共通鍵で暗号化する。
• イ サイト運営者はサイト内の SSL で保護された Web ページにサイト運営者の公開鍵を公開し, 利用者は電子メールで送信するデータをその公開鍵で暗号化する。
• ウ サイト運営者はサイト内の SSL で保護された Web ページに利用者の公開鍵を公開し, 利用者は電子メールで送信するデータをその公開鍵に対応する秘密鍵で暗号化する。
• エ サイ卜運営者はサイト内の認証局で利用者の公開鍵を公開し, 利用者は電子メールで送信するデータをその公開鍵に対応する秘密鍵で暗号化する。

正解 イ

平成21年度春期SC試験午前Ⅱ問題 問 2
平成23年度秋期SC試験午前Ⅱ問題
問 4 SSL を使用して通信を暗号化する場合, SSL-VPN 装置に必要な条件はどれか。

• ア SSL-VPN 装置は FQDN 又は IP アドレスを含むディ ジタル証明書を組み込む必要がある。
• イ SSL-VPN 装置は, 装置メーカが用意した機種固有のディジタル証明書を組み込む必要がある。
• ウ SSL-VPN 装置は, 装置メーカから提供される認証局を利用する必要がある。
• エ 同一ドメイン内で複数拠点に SSL-VPN 装置を設置する場合は, 同一のディジタル証明書を利用する必要がある。

正解 ア

平成22年度春期SC試験午前Ⅱ問題 問 8
平成23年度秋期SC試験午前Ⅱ問題
問 8 DNS サーバに格納されるネッ卜ワーク情報のうち, 第三者に公開する必要のない情報が攻撃に利用されることを防止するための, プライマリ DNS サーバの設定はどれか。

• ア SOA レコードのシリアル番号を更新する。
• イ 外部の DNS サーバにリソースレコードがキャッシュされる時間を短く設定する。
• ウ ゾーン転送を許可する DNS サーバを限定する。
• エ ラウンドロビン設定を行う。

正解 ウ

平成23年度秋期SC試験午前Ⅱ問題
問15 IPsecの AH に関する説明のうち, 適切なものはどれか。

• ア IP パケットを暗号化する対象部分によって, トランスポートモード, トンネルモードの方式がある。
• イ 暗号化アルゴリズムや暗号化鍵のライフ夕イムが設定される管理テープルで, 期間を過ぎると新しいデー夕に更新される。
• ウ 暗号化アルゴリズムを決定し, 暗号化鍵を動的に生成する鍵交換プロトコルで, 暗号化通信を行う。
• エ データの暗号化は行わず, SPL, シーケンス番号, 認証データを用い, 完全性の確保と認証を行う。

正解 エ

平成23年度秋期共通試験午前Ⅰ問題
問13 電子メールの内容の機密性を高めるために用いられるプロトコルはどれか。

• ア IMAP4
• イ POP3
• ウ SMTP
• エ S/MIME

正解 エ

平成21年度春期SC試験午前Ⅱ問題 問10
平成23年度特別SC試験午前Ⅱ問題
問11 通信の暗号化に関する記述のうち, 適切なものはどれか。

• ア IPsec のトランスポートモードでは, ゲートウェイ間の通信経路上だけではなく, 送信ホストと受信ホストとの間の全経路上でメッセージが暗号化される。
• イ LDAP クライアントが LDAP サーパに接続するとき, その通信内容は暗号化することができない。
• ウ S/MIME で暗号化した電子メールは, 受信側のメールサーバ内に格納されている間は, メール管理者が平文として見ることができる。
• エ SSL を使用すると, 暗号化された HTML 文書はブラウザでキャッシュの有無が設定できず, ディスク内に必ず保存される。

正解 ア

平成22年度春期SC試験午前Ⅱ問題
問16 セキュリティプロトコル SSL/TLS の機能はどれか。

• ア FTP などの様々なアプリケーションに利用されて, アプリケーション層とトランスポート層 (TCP) との間で暗号化する。
• イ MIME をベースとして, 電子署名とメッセージの暗号化によって電子メールのセキュリティを強化する。
• ウ PPTP と L2F が統合された仕様で, PPP をトンネリングする。
• エ 特定のアプリケ一ションの通信だけではなく, あらゆる IP パケットを IP 層で暗号化する。

正解 ア

平成22年度春期SC試験午前Ⅱ問題
問17 IPsecに関する記述のうち, 適切なものはどれか。

• ア IKE は IPsec の鍵交換のためのプロ卜コルであり, ポート番号 80 が使用される。
• イ 鍵交換プロトコルとして, HMAC-MD5 が使用される。
• ウ トンネルモ一ドを使用すると, 元のへッダまで含めて暗号化される。
• エ ホス卜 A とホス ト B との間で IPsec による通信を行う場合, 認証や暗号化アルゴリズムを両者で決めるために ESP へッダではなく AH へッダを使用する。

正解 ウ

平成21年度秋期SC試験午前Ⅱ問題
問13 レイヤ 2 スイッチや無線 LAN アクセスポイントで接統を許可する仕組みはどれか。

• ア DHCP
• イ Web シングルサインオン
• ウ 認証 VLAN
• エ パーソナルファイアウォール

正解 ウ