学問・資格

2005年9月27日 (火)

情報セキュリティ検定試験

情報セキュリティ検定試験というのがあるらしい。
http://www.joho-gakushu.or.jp/info/security.html

過去の問題例なんてのがホームページ上にあるから、
そのまま社内で使えそうかなぁ?なんて思いながら試してみた。

最も適切な語句を(ア~エ)より選びなさい。

(ア:トロイの木馬 イ:DoS攻撃 ウ:改ざん エ:なりすまし)は、不正に情報を盗み出すなどの目的で、室内に侵入するため清掃員や運送業者を装う行為である。

はぁ? 

答え・・・該当無し。。。
と思い、ISMS取得の作業を一緒にした人に聞いてみたところ、
該当無しで一致。

この問題の正解は「エ」らしいんやけど、ありえん_| ̄|○

ついでに、もう1つ。

Web利用にあたり、利用側の情報が不用意に相手側に流出しないよう、
(ア:プロキシ イ、ファイアウォール ウ、IPマスカレード エ、Webサイトフィルタリング)を利用して、外部に接続するということも対策のひとつである。

利用側の何の情報を守りたいかによって、答え変わります、ハイ。
正解は「ア」らしいんやけど。

でも、「不用意に」ってのがなぁ・・・。
「ア」で流出を防ぐ情報って、そもそも "不用意" で流出するようなもの?
REMOTE_ADDR を内緒にしたいって事か?
なら、「ウ」でもいいような気が…。

不用意に流出なら、フィッシング系の事かな?って気もしないでもない。
なら、「エ」も有効な気がする。
「イ」でブロックするのもアリ。

っていうか、外部って何から見て外部?
どんな環境を想定してるんだか・・・。
これだけ見て、「おー、プロキシ使えばいいのかー」って第三者が提供するプロキシ使ったら、プロキシ屋さんには情報漏れ漏れになるし、自前であげてたら意味が無い気がするし…。
しかも、インターネットとイントラネットの境界部分でゲートウェイとしてプロキシたてた場合、中途半端な設定だと FORWARDED_FOR 消し忘れとかの可能性もあるなぁ。

う~ん、10/30の試験、挑戦してみるべきだろうか・・・
あっ、もちろん、ネタ集めの為に(^-^;

| | コメント (0) | トラックバック (0)