goo blog サービス終了のお知らせ 

日刊ドットコムマスター★

ドットコムマスターに合格するためのブログです。

第21回 第2部 第48問

2013-08-26 09:56:46 | 第4章

PCを買い取ってもらう際、情報漏洩を防ぐために施す対策として、もっとも適切なものを1つ選びなさい。

a. 個人情報などが入ったファイルを、ごみ箱フォルダに入れる。
b. OSを再インストールする。
c. 不正プログラム対策ソフトを新規インストールする。
d. HDDデータ消去専用のソフトを使い、HDD全体にランダムなデータを書き込む。
e. HDDにデフラグ(ディスク最適化)を実行しておく。



コムたろう「選択肢が5つある問題は難しいなぁ・・・。」


ドット先生「ははは。落ち着いて一つずつ考えていこうね!」


コムたろう「うん。まず『a』はまずいよね!?ゴミ箱にいれてもゴミ箱を覗けばまだファイルが見れる状態だもんね?」

ドット先生「そうだね。ゴミ箱を空にして初めてデータが消去されるから『a』は不適切だね。」
「じゃあ『b』はどうかな?」

コムたろう「OSを再インストールかぁ。OSだけ入れ替えても個人情報のファイルは残ってしまうような気がするなぁ。」

ドット先生「そうだね。OSと個人情報等が保管されている領域は別物なんだよ。」


コムたろう「次の『c』も不正プログラム対策ソフトのインストールをしても、PC内のデータは残ってしまうから不適切だよね?」

ドット先生「その通り!」


コムたろう「次は『d』かぁ。」
「データ消去専用ソフトを使うからこれは正解だと思うけどHDD全体にランダムなデータを書き込むってどういうことだろう?」

ドット先生「これはねHDDのデータの消去をするときにデータ消去専用ソフトが新たにデータを上書きしてしまうんだよ。」

コムたろう「どういうデータを上書きするの?」


ドット先生「ソフトにもよるけど数字の0とか1をランダムに上書きするんだよ。上書きしてしまえば復元はできないからね。」

コムたろう「どうして上書きする必要があるの?」


ドット先生「まず一つめの理由は、HDDのデータはゴミ箱を空にして削除しても、実は残ってるということ。」
「データの保管場所とかを記録した管理領域に削除した事が記録されるだけで、イメージ的にはねぇ・・・本の目次からは消えたけど実際の中身のページは残っているような状態になるんだ。」

コムたろう「え?じゃあ見ようと思えば見えちゃうの?」


ドット先生「それを見えるように復活させるのが、データ修復ソフトだね。」


コムたろう「へぇ~、なるほど~。」


ドット先生「そこで、復活できないようにランダムなデータで上書きするんだ!」


コムたろう「そういう事か~!」


ドット先生「だけどまだ安心しちゃいけないぞっ!2つ目の理由が残ってる。」
「実は残留磁気ってものがあってね。1~2回上書きした程度ではまだ微かに残った磁気の痕跡を読み取れちゃうんだよ。」

コムたろう「ええ~!?」


ドット先生「だから消去専用ソフトでは何回もランダムなデータで上書きすることで、残留磁気さえも読めないようにしちゃうんだ。」
「イメージ的には次の写真のような感じかな。」

21248

コムたろう「あ~、こんな事務用品見たことあるよ!」
「単色で塗りつぶすよりも、こっちの方が読み取りにくいんだよね!」

ドット先生「そういう事」


コムたろう「という事で、この選択肢『d』が正解なんだね!」


ドット先生「正解が分かったところで・・・最後の選択肢『e』のデフラグって、コムたろうくんは聞いたことあるかな?」

コムたろう「聞いたことあるけどよく分からないや~。」


ドット先生「たとえばHDD上にAAというデータがあったとして、新たにBBBというデータとCCCCというデータを追加したとしよう。」
「そうするとHDDのデータに保管されている順番はAABBBCCCCになるよね?」

コムたろう「うん。」


ドット先生「この内BBBのデータを削除したらどういう並びになるかな?」


コムたろう「えーっとAACCCCになるのかな?」


ドット先生「それがちがうんだよ~!BBBのスペースは空いたままだからAA CCCCが正解なんだ。」


コムたろう「そうなの!?」


ドット先生「そして新たにDDDDDというデータを追加したらどうなると思う?」


コムたろう「うーん。AAの後のスペースには入らないからAA CCCCDDDDDかな?」


ドット先生「ところがどっこい、AADDDCCCCDDになるんだよ。」
「まぁ、毎回必ずそうなるわけでもないけどね。」
「こういったデータがバラバラに保管されるのを断片化っていうんだ。英語ではフラグメンテーションだよ、ちなみにフラグメント(複数形でフラグメンツ)が破片とかそんな意味ね。」
「そして、このDDDDDのデータを読み込むときDが離れて保管されているから読み込みに若干時間がかかるんだ。」

コムたろう「へ~そうなんだ!?」


ドット先生「だからこの離れたD達をひとまとめにしたいよね?」


コムたろう「AADDDDDCCCにするってこと?」


ドット先生「そうだよ!こうすることによってDのデータを素早く読み込むことができるようになるんだ。」
「こういう断片化されたデータをまとめることをデフラグというんだ!」
「デフラグは、デ+フラグでここでのフラグはフラグメンテーションの略で、デってのは単語の頭に付いて否定の意味にする言葉だよ。」

コムたろう「デフラグって聞いたことはあったけど、そんな意味があったんだね~。なにかの旗かと思ってたけど違うんだ~。」
「またひとつ賢くなったよ!」

ドット先生「というわけで、デフラグをしてもHDDの中のデータの並びがきれいになるだけで、情報漏洩の防止にはなんら効果がないね。」

コムたろう「なるほど!よくわかりましたぁ。」







【 第21回 第2部 第48問 解答&解説 】
[解答]d.
[解説]
a. 不適切。ゴミ箱フォルダに入れただけでは読み取りが可能である。
b. 不適切。OSの再インストールだけでは、別領域に保存されたデータは残ったままである。
c. 不適切。不正プログラム対策ソフトをインストールしても、HDD内に保存されたデータは読み取り可能である。
d. 適切。HDDデータ消去専用のソフトを使うことで、他の人に読み取られる心配がなくなる。
e. 不適切。ディスクの最適化をしたとしてもデータが残っているので読み取り可能である。


第21回 第2部 第50問

2013-08-21 09:57:12 | 第4章

次の図のネットワーク環境で、クライアントからプロキシサーバを経由してWebサーバにアクセスした。
それぞれのネットワークを流れるIPパケットのヘッダ部分①、②にあてはまる正しいアドレスをそれぞれ1つずつ選びなさい。
21250

a. 192.168.1.101
b. 192.168.1.128
c. 198.51.100.12
d. 203.0.113.10

コムたろう「この問題いつも迷うんだよなぁ・・・宛て先がwebサーバーなのかそれともプロキシなのか・・・。」

ドット先生「クライアントからプロキシ経由でwebサーバーにアクセスする際にはまずプロキシを宛先にするんだよ。」

コムたろう「そうなんだ!?じゃあLAN側とWAN側はどっちを選べばいいの?」


ドット先生「これはねぇ毎回迷うとは思うんだけどLAN側を選択してね。」
「LANの内側に居るクライアントからはLAN側のアドレスが見えているからね。そっちを使うんだ。」

コムたろう「はーい。じゃあプロキシからwebサーバへの通信はどうなるのかな?」


ドット先生「送信元はプロキシのWAN側のアドレス、送信先はwebサーバのIPアドレスだよ。」
「今度はプロキシがwebサーバーから返事をもらう必要があるから、インターネット上に居るwebサーバーから見えるWAN側アドレスを送信元アドレスにするんだ。」

コムたろう「プロキシが無い場合の問題もあるけど、プロキシがある場合はクライアントとプロキシ間は宛先をプロキシのLAN側を選べば良いんだね!?」

ドット先生「そのとおりだよ。では理解度を確認するためにコムたろうくんに質問!」
「プロキシが無い場合の問題を想定すると①の答えはどうなるか分かるかな?」

コムたろう「えーっと、プロキシを経由しない場合は直接宛先はwebサーバかな?」


ドット先生「よくできました。こういう系統の問題はよく出題される傾向が高いからしっかり送信先、送信元を押さえておくように!」

コムたろう「はーいわかりましたぁ。」






【 第21回 第2部 第50問 解答&解説 】
[解答]①b.②c.
[解説]
①プロキシサーバー経由でのWebサーバーへのアクセスはプロキシサーバーに渡されるパケットのIPヘッダ部分の
宛先IPアドレスはファイアウォールの内側用(LAN側)IPアドレスが指定される。したがって、192.168.1.128(b.)となる。

②Webサーバへ渡されるパケットのIPヘッダ部分の送信元IPアドレスはファイアウォールのWAN側IPアドレスが設定される。
したがって、198.51.100.12(c.)となる。


第22回 第2部 第60問

2013-08-05 10:45:06 | 第4章

下図のようなCAPTCHA認証による効果が期待できないものを、下の選択肢から1つ選びなさい。

22260

a. コメントspamの防止
b. スニファリングによるパスワード漏洩の防止
c. プログラムによる自動ユーザ登録の防止
d. Web上でのアンケートヘの自動回答の防止

コムたろう「こういう図ってたまに見かけるけど、どんなときに使うの?」


ドット先生「たとえば、ブログのコメント欄にあきらかに場違いな宣伝とかみかけたことない?」


コムたろう「ああ!あるある。なんだこりゃ?って思うよねー。」


ドット先生「あれは業者がプログラムを使って自動であちこちに書き込んでいるんだよ。」


コムたろう「え!?そうなの?」


ドット先生「だから、書き込むときに人間がいないと書き込めないようにと考えられたものなんだ。」
「画像ってのは、コンピューターのプログラムにとっては色のついた点の集まりだから、文字として認識できないんだ。」

コムたろう「ふーん、そっか、コンピューターにとって文字っていうのは文字コードで表されるんだっけ。」

ドット先生「他にもフリーメールの申し込みの時にも使われているね。」


コムたろう「ははあ、悪い業者に千も二千もメールアカウントを作られたら大変だもんね。」
「ということは『a』『c』はあってるよね。」

ドット先生「あと、『d』もそうだね。」


コムたろう「ということは効果が期待できないのは『b』だね!」


ドット先生「そうだね。スニファリングはパケットの盗聴のことだからこれでは防げないね。」





【 第22回 第2部 第60問 解答&解説 】

[解答] b. 
[解説] 
 CAPTCHAは、人間でないと答えにくい質問を発して適切な答えが返った場合のみ処理を進める仕組みです。
コメントspamやトラックバックspamの防止、プログラムによる自動ユーザ登録の防止、Web上のアンケートへの自動回答防止などの有効です。

 スニファリングはネットワークに流れるパケットを盗聴することであり、CAPTCHA認証による効果は期待できません。(選択肢bが正解)


第21回 第2部 第5問

2013-07-24 09:50:12 | 第4章

普段利用している銀行を名乗る相手から下図のような添付ファイル付きのHTMLメールが送られてきた。
なりすましの可能性が疑われるときの対応として適切ではないものを2つ選びなさい

21255

a. メールに記載されているURLが正しいか確認するため、URLをクリックしてアクセスを試みる。
b. 銀行通帳に記載してあった電話番号に問い合わせる。
c. 添付ファイルに対してウイルスチェックを行う。
d. メールに対して返信で問い合わせのメールを送る。
e. メールを削除する。

ドット先生「コムたろうくん!こういうメールを受信したことはあるかな?」


コムたろう「あるよ!自分のは出会い系の料金払って下さいっていうメールだったけど身に覚えがなかったから無視しました。」

ドット先生「そうだね。基本的に身に覚えの無いメールはまず無視することが大切なんだよ。」
「たとえば、選択肢 a を実行すれば偽装したサイトに誘導されて、さらに騙されるような内容を表示される可能性があって危険だね。」

コムたろう「なるほど、それは危険だね。」


ドット先生「選択肢 d なんかもメールを送ってしまうと自分のメールアドレスが実際に生きているアドレスという事が相手にわかっちゃうし、さらになりすましメールのターゲットとしてロックオンされる可能性もあるんだよ。」

コムたろう「怖いなぁ。選択肢 b は・・・自分の契約している通帳に記載の番号に問い合わせれば大丈夫だよね。」

ドット先生「そうだね。実際の通帳に記載された電話番号なら間違いないね。」


コムたろう「 c のウイルスチェックはした方が良いかな?」


ドット先生「インターネットの世界で、特にこの手の怪しげなメールというのは添付ファイルにウィルスが付いている場合が多いからね。」
「選択肢 c のように開く前にセキュリティソフトでウィルスチェックをかけてウィルスに感染してないことを確認してから開くのが自分のPCを守る上で最低限しなきゃいけない作法だね。」

コムたろう「怪しいと思ったら e のように削除してしまうのも有りなんだよね!」


ドット先生「信用できない相手のメールと判断したら削除したり、相手が本当に正しい相手なのか判断したりとか、インターネットの世界では全て自己防衛が基本だね。」

コムたろう「自己防衛かぁ。そうだね、しっかり知識とスキルを身に付けて、自分のPCは自分で守らなきゃね!」





【 第21回 第2部 第55問 解答&解説 】
[解答]a.d.
[解説]
a. 適切でない。URLをクリックすることで、不正なサイトへ誘導されてしまう危険性がある。
b. 適切。メールに書かれている電話番号自体が信用がおけないため、通帳に書かれている電話番号に問い合わせることは適切な行為である。
c. 適切。添付ファイルの拡張子が.exeであり、実行形式のファイルである。このファイルを動作させるとウィルスに感染するなどの危険性があるため、実行前にウィルスチェックすることが望ましい。
d. 適切でない。返信メールを送ることで、実在するメールアドレスであることを相手に教えてしまう。不特定多数にメールを配信して実在するメールアドレスかどうかをチェックされているケースもあるため、無視することが望ましい。
e. 適切。身に覚えが無いものや疑わしいメールは添付ファイルを実行することなく、削除することが望ましい。


第21回 第2部 第58問

2013-07-23 09:51:06 | 第4章

下の図は、メールの流れを示したものである。
以下①~③のそれぞれを利用した際、メールが暗号化される区間として適切なものを1つずつ選びなさい。
なお、同じ選択肢を複数回使用してもよいものとする。

Photo





① S/MIME
② PGP
③ SMTPS/POPS

コムたろう「暗号化される区間ってたくさんあるんだね!?」


ドット先生「そうだね。まずはこの図を見てもらおうか。」



21258_02

コムたろう「これはわかりやすいね。S/MIMEやPGPは全ての区間が暗号化されるんだね!?」


ドット先生「そうだよ。メール本文を暗号化しちゃうからね!」
「SMTPS(送信時)やPOPS(受信時)はクライアントとサーバ間だけ暗号化されるんだよ。」

コムたろう「SMTPSとPOPSはそれぞれSMTPとPOPとはどういう関係なんだろう?」
「名前が似てるからややこしいんだよね。」

ドット先生「~Sはね、~overSSLの略なんだ。つまり、SMTPSなら送信の時、POPSなら受信の時にSSLを使うってことね。」

コムたろう「SSLって通信を暗号化するヤツだっけ。」
「それぞれ、送信・受信の時だけは安全ってことかー。」

コムたろう「さっきの図を見ると、S/MIMEもPGPも全体が暗号化されるみたいけど、S/MIMEとPGPの違いって何かあるの?」

ドット先生「いずれも電子証明書というものを使うんだけど、その電子証明書が一般的に信頼できる機関から発行されているものなのかそれともメール送受信する双方の信頼によってやりとりするかの違いなんだよ。」

コムたろう「んー具体的に教えて。」


ドット先生「じゃあまずS/MIMEの方から解説するね。」
「S/MIMEは電子証明書というものを信頼できる機関から取得してからメールを送信する方法になるんだ。」

コムたろう「ちょっと待って!電子証明書ってなんだっけ?」


ドット先生「電子証明書は紙文書における印やサイン(署名)に相当するものだよ。」
「受け取った側はその電子証明書を見て相手が信用できるかどうか判断するんだ。」

コムたろう「そういえば前にも聞いたような・・・信頼できる相手かどうかってどうやって判断するのかな?」

ドット先生「信用できるかどうかは受け取った後の電子証明書を見て信頼できる機関から本当に発行されているかどうか自分で確認する必要があるんだ。」

コムたろう「そうなんだぁ。じゃあS/MIMEの方が信頼できるからみんなS/MIMEでやりとりすればいいよね?」

ドット先生「そうだね。ただS/MIMEの電子証明書を取得するには認証局からの電子証明書発行が必要で導入まで少し時間がかかるし、送信者と受信者の双方が認証局から電子証明書を取得しなければいけないという感じで、導入には少し手間がかかるんだ。」

コムたろう「良い事だけじゃないんだね。」


ドット先生「それに比べPGPは認証局からの電子証明書発行は不要で導入が容易で、証明書が信頼できるかの判断は証明書に書いてある相手が自分の信頼できる相手か判断すれば良いだけ。」
「ただし、信頼関係が無い不特定多数とやりとりするにはなりすましなどのリスクがある。」

コムたろう「こっちは手軽だけど、その分相手を選ぶ必要があるんだね。」

【 第21回 第2部 第58問 解答&解説 】
[解答]①-e.②-e.③-d.
[解説]
① S/MIMEは送信側クライアントから受信側クライアントまでのすべての区間で暗号化される
② PGPは送信側クライアントから受信側クライアントまでのすべての区間で暗号化される
③ SMTPS/POPSはISPのメールサーバ間は暗号化されない