【最終回】ITパスポート試験の過去問を解いてみた【第22回】
皆さんこんにちは!
駆け出しITエンジニアNoWayです!
本日でいよいよITパスポート試験の過去問勉強していきたいと思います。
なお、問題は以下ページ『令和元年度』を解いています。
https://www3.jitec.ipa.go.jp/JitesCbt/html/openinfo/questions.html
第96問
・販売管理システムに関する記述のうち,TCOに含まれる費用だけを全て挙げたものはどれ?
- 販売管理システムで扱う商品の仕入高
- 販売管理システムで扱う商品の配送費
- 販売管理システムのソフトウェア保守費
- 販売管理システムのハードウェア保守費
ア、1、2
イ、1、4
ウ、2、3
エ、3、4
→正解はエ
解説・まとめ
TCO(Total Cost of Ownership):ある設備・システムなどに関する、取得から廃棄までにかかる費用の総額。TCOは、初期投資額であるイニシャルコストと、維持管理費用であるランニングコストに大別できる。
- イニシャルコストの例
- ハードウェア購入・設置費用、パッケージソフトの購入費用・開発費、初期教育費 等
- ランニングコストの例
- 保守・サポート契約費、ライセンス料、運用人件費、消耗品費 等
・・・というわけで、各費用を見ていこう。
- 販売管理システムで扱う商品の仕入高 → イニシャルコスト・ランニングコストのどちらにも該当しない。
- 販売管理システムで扱う商品の配送費 → イニシャルコスト・ランニングコストのどちらにも該当しない。
- 販売管理システムのソフトウェア保守費 → コレはランニングコストに該当。
- 販売管理システムのハードウェア保守費 → コレもランニングコストに該当。
なので、3、4が当てはまるエが正解。
第97問
・情報セキュリティの三大要素である機密性,完全性及び可用性に関する記述のうち,最も適切なものはどれ?
ア、可用性を確保することは,利用者が不用意に情報漏えいをしてしまうリスクを下げることになる。
イ、完全性を確保する方法の例として,システムや設備を二重化して利用者がいつでも利用できるような環境を維持することがある。
ウ、機密性と可用性は互いに反する側面をもっているので,実際の運用では両者をバランスよく確保することが求められる。
エ、機密性を確保する方法の例として,データの滅失を防ぐためのバックアップや誤入力を防ぐための入力チェックがある。
→正解はウ
解説・まとめ
機密性 (Confidentiality):許可された正規のユーザだけが情報にアクセスできる特性
完全性 (Integrity):情報が完全で、改ざん・破壊されていない特性。
可用性 (Availability):ユーザが必要な時に必要なだけシステムやサービスを利用可能である特性。
アは機密性の確保のことについて言っている。違う。
イのシステムや設備を二重化して利用者がいつでも利用できるような環境を維持することで向上するのは、可用性。違う。
ウは、情報資産の利用を特定の者だけに制限すると、機密性は高まりますが必要なデータを利用できない者が出てくるので可用性は低下し、逆に誰もが自由に情報資産を利用できるようにすると、可用性は高まりますが機密性は低下するので正しい。
エのデータの滅失やデータの不整合を防止することによって高まるのは完全性。違う。
なので、ウが正解。
第98問
・攻撃者が他人のPCにランサムウェアを感染させる狙いはどれ?
ア、PC内の個人情報をネットワーク経由で入手する。
イ、PC内のファイルを使用不能にし,解除と引換えに金銭を得る。
ウ、PCのキーボードで入力された文字列を,ネットワーク経由で入手する。
エ、PCへの動作指示をネットワーク経由で送り,PCを不正に操作する。
→正解はイ
解説・まとめ
ランサム:西武の元助っ人外国人。
ランサムウェア:身代金を意味する ransom とソフトウェアの語尾に付ける ware を合わせた造語で、感染したコンピュータのデータを勝手に暗号化して、システムへのアクセスを制限されたユーザに対し元に戻すための復元プログラムを買うように迫るマルウェア。コンピュータのデータを人質にとり、金銭を要求する動作から「身代金要求型ウイルス」とも呼ばれる。
アは、スパイウェアの目的。違う。
ウは、キーロガーの目的。違う。
エは、ボットの目的。違う。
なので、イが正解。
第99問
・ワイルドカードに関する次の記述中のa,bに入る字は?
任意の1文字を表す”?”と,長さゼロ以上の任意の文字列を表す”*”を使った文字列の検索について考える。( a )では,”データ”を含む全ての文字列が該当する。また,( b )では,”データ”で終わる全ての文字列が該当する。
→正解は(a)が『*データ*』で、(b)が『*データ』。
解説・まとめ
・(a)について
“データ”を含む全ての文字列にマッチさせるには、”データ”の前後に長さゼロ以上の任意の文字列を表す”*”を付ける。こうすれば前後にどのような文字列が付いていても、全く付いていなくても”データ”さえ入っていれば該当する。「*データ*」は、単なる”データ”、”データベース”、”電子データ”、”旧データファイル”などの”データ”を含む文字列全てにマッチする。なお、「?データ*」は任意の1文字から始まり、2~4文字目がデータとなる文字列を表すので、”旧データファイル”にはマッチしますが、”データ”、”データベース”、”電子データ”にはマッチしない。
・(b)について
“データ”で終わる文字列にマッチさせるには、”データ”の前に”*”を付ける。「*データ」は、”データ”、”電子データ”、”新データ”などの末尾が”データ”である文字列にマッチする。なお、「?データ」は任意の1文字+データとなっている文字列を表すので、”新データ”にはマッチするが、”データ”、”電子データ”にはマッチしない。
第100問
・脆弱性のあるIoT機器が幾つかの企業に多数設置されていた。その機器の1台にマルウェアが感染し,他の多数のIoT機器にマルウェア感染が拡大した。ある日のある時刻に,マルウェアに感染した多数のIoT機器が特定のWebサイトへ一斉に大量のアクセスを行い,Webサイトのサービスを停止に追い込んだ。このWebサイトが受けた攻撃はどれ?
ア、DDoS攻撃
イ、クロスサイトスクリプティング
ウ、辞書攻撃
エ、ソーシャルエンジニアリング
→正解はア
解説・まとめ
DDoS攻撃(分散型DoS攻撃)は、特定のサイトやサーバに対し、日時を決めて、インターネット上の多数のコンピュータから同時に大量のパケットを送り付けることで標的のサーバやネットワークを過負荷状態する分散型のサービス停止攻撃。
アのDDos攻撃は、特定のサイトに対し、日時を決めて、複数台のPCから同時にDoS攻撃を仕掛ける行為。正しい。
イのクロスサイトスクリプティング(XSS)は、動的にWebページを生成するアプリケーションに対して、セキュリティ上の不備を突いた悪意のあるスクリプトを混入させることで、攻撃者が仕込んだ操作を実行させたり、別のサイトを介してユーザのクッキーや個人情報を盗んだりする攻撃こと。違う。
ウの辞書攻撃は、パスワードとして利用されそうな単語を網羅した辞書データを用いて、パスワード解読を試みる攻撃手法。違う。
エのソーシャルエンジニアリングは、技術的な方法を用いるのではなく、人の心理的な隙に付け込んでパスワードなどの秘密情報を不正に取得する方法の総称。違う。
なのでアが正解。
完走した感想
皆さん、学習お疲れ様でした。
22日分の長丁場、我ながらめっちゃ頑張りましたわ。
ですが、ここで悲報ですw
ここで勉強するよりもよっぽど効率的に勉強できるサイトがあったんです。。
それがこちら!
https://www.itpassportsiken.com/
ITパスポート試験ドットコムさんです!
ここで勉強すれば最短1週間で合格できるだけの情報量が詰まってます!
私もここを使って勉強を重ねた結果、見事合格を勝ち取ることができました!
なので、ITパスポートの資格をとりたいのであればITパスポート試験で勉強することを「おすすめします!
さ、次回以降はなんの特集をしよう。。
今のところ、次回はもう少し世間的に知名度の低いコレから出てくる技術の共有でもしようかなと考えています。ですが、まだ構想が固まりきっていないので、構想が固まり次第また記事をあげようと思います!
ではまた!