R2-3

R2年03問 解答×2 リテンション率は、長期にわたり自社のプロダクトやサービスを使用し続けるユーザーの割合です。 一般的なリテンション率の算出方法は、次のとおりです。
特定期間の最後におけるアクティブユーザー数 ÷ 特定期間の始めのアクティブユーザー数

R2-8

R2年08問 解答×2 永続性も保証されている

代表的なKVSとして、memchaed・Redisなどがあります。

memchaed

・メモリにデータを保存して、データベースの負担を減らすKVS
・サーバ上のメモリにデータを格納するので、応答性に優れているが揮発性のKVS

Redis

・Redisもメモリ上にデータを格納するので、高速の読み書きが可能でありながら、一定期間ごとにスナップショットをとり再起動時にメモリ上に展開することにより永続性ももつ
・文字列・BLOB・リスト・ハッシュなど、幅広い種類のデータが扱える事からデータストラクチャ・ストアと呼ばれる

R2-9

R2答× 年09問 解複数のサイトを公開できる

20年ほど前に開発された、21世紀ITの基盤を支える一つの技術を指しています。それがApacheというWebサーバーソフトウェアです。W3Techsによれば、2017年4月時点で全世界の約50%のシェアを占め、最も利用されています。インターネット上で企業や官公庁の公式サイトで情報を入手したり、動画やSNSを利用したりする場合には、必ずWebサーバーソフトウェアのお世話になります。そのうち半数でApacheが稼働しています。一般的には、知られざる事実ではないでしょうか。

apache R2-10

R2年10問 解答× 2 MFA:Multi-Factor Authentication 知識情報二加え、所持情報か生体情報が必須 多要素認証によるセキュリティ向上  パスワード認証の限界が叫ばれる中、近年、セキュリティ向上の一環として多くのクラウドサービスでは多要素認証(MFA:Multi-Factor Authentication)が実装されています。

多要素認証とは、認証の3要素である「知識情報」、「所持情報」、「生体情報」のうち、2つ以上を組み合わせて認証することを指します

MFA R2-12

R2年12問 解答◯1 ディレクトリトラバーサルとは、Webサーバーの非公開ファイルにアクセスを行う攻撃手法。
ディレクトリトラバーサルの呼称は、閲覧可能な公開ファイルが存在するディレクトリから、
非公開ファイルのあるディレクトリ階層に「横断する(トラバーサル)」かのように移動して不正にファイルを
閲覧することに由来します。

ディレクトリトラバーサルとは本来、アクセスして欲しくないファイルやディレクトリの位置を、相対パス指定などでプログラムに表示させて、不正なアクセスをする攻撃手法です。 ほぼ全てのサーバーはディレクトリによる構造があり、プログラムやコード内でもURLを参照したり、位置を指定することで可動する仕組みとなっており、正しく動作することを悪用した防ぎにくい攻撃であると言えます。

R2-19

R2年19問 解答 3 モジュール(追加機能)のことを Multi Processing Module , 略して MPM

Apache サービスを起動すると、httpd プロセスが複数生成されます。 各プロセスはクライアントからの http リクエストを受け付け、処理を行いクライアントへレスポンスを返します。
プロセスを複数生成することで同時にリクエストを処理することができるようになります。これを実現するモジュール(追加機能)のことを Multi Processing Module , 略して MPM と呼びます。
MPM には 3 つの方式が存在します。prefork / worker / event driven (イベント駆動) です。

R2年23問 解答 3 3のみアクセスされたファイル名が入っている

ブラウザでWebサイトにアクセスすると、サーバー上で稼働しているApacheがHTMLコンテンツをブラウザに返しますが、それと同時にアクセス記録を残します。 その記録が残されるファイルがログファイルです。この記録を調べることで、「本当にサーバーにHTTPアクセスがあったかどうか」「リクエストに対して正常に応答できているか」などの情報が分かります。

log R2-27

R2年27問 解答 4 1777 スティッキービット(英: Sticky bit)は、UNIX/Linuxシステム上のファイルやディレクトリに対応して設定されるフラグで、もともとは高速化のためにプロセス終了後もメモリに保持するために実行ファイルに設定するものだったが、現在は所有者のみが削除可能なファイルやディレクトリを作成するためにディレクトリに設定するフラグである。 

スティッキービットはchmodコマンドでセットでき、八進数なら 1000、シンボルなら t を使ってセットする(s は setuid ビットとして使われている)。例えば、ディレクトリ /usr/local/tmp にセットする場合 chmod +t /usr/local/tmp などと入力する。あるいは、一般的な tmp のパーミッションを確実に設定したい場合は chmod 1777 /usr/local/tmp とする。

R2-41

R2年41問 解答4 継続的インテグレーション

R2-42

R2年42問 解答 2 3Dセキュア

3Dセキュアとは、インターネット上でクレジットカード決済をより安全に行うために、VISA、Mastercard、JCB、AMEXが推奨する本人認証サービスです。 各ブランド毎に名称は異なりますが、総称して「3Dセキュア」と呼ばれています。

3DSec R01-06

R1年06問 解答×2 マスター/スレーブ方式 【master-slave】 複数の機器や装置、ソフトウェア、システムなどが連携して動作する際に、一つが管理・制御する側、残りが制御される側、という役割分担を行う方式。制御する側を「マスター」、される側を「スレーブ」という。

R01-09

R1年06問 解答×2 永続性は保証される

R1-28

R1年28問 解答 3 APT( Advanced Persistent Threat )攻撃 特定の人物を標的に定めて、その人物に対して様々な形のサイバー攻撃や詐欺、騙しを継続的かつ執拗に行う攻撃手法

R01-49

R1年49問 解答 3 セッションハイジャックとは、セッションID(利用者を識別するための情報)の発行や管理に不備があり、攻撃者にログイン中の正規の利用者のセッションIDやCookieをなんらかの方法で不正に取得され、セッションを乗っ取るサイバー攻撃のことを指します。セッションハイジャックをされると、サーバ内への侵入や機密情報の搾取、不正出金、クレジットカードの不正利用などの被害に遭う可能性があります。

H30-3P-17

H30年17問 解答 3 Apacheの設定
ハンドシェイクとは
SSL/TLS通信でサーバーを認証し、「公開鍵」と「秘密鍵」を使って「共通鍵」を共有する過程を「ハンドシェイク」と呼びます。 SSL/TLSセッションは、常に「ハンドシェイク」から始まります。 「ハンドシェイク」は、平文のメッセージ交換から始まり、https通信を確立するために欠くことのできないプロセスです。 SSLサーバ証明書を検証し、通信しているサーバーが真に意図したサーバーであるかの検証を行います。 サーバーがクライアントを認証する場合は、クライアント証明書を利用してクライアント認証が行われる場合もあります。 サーバーが認証されると、プリマスタ シークレットの交換、セッション キーの共有の手順に進みます。 このセッション キーが「共通鍵」となります。

H29-03

H29年03問 解答◯1 広告配信技術や仕組み

RTBは、広告主と媒体の利害を一致するべく開発された取引形態です。 広告主は「広告費を安く抑えて大量トラフィックを確保したい、広告効果を最大化したい」と考える一方、媒体は「広告枠を高く売りたい」と考えています。このように相反する思惑のバランスを取りながら、現実的な取引を行うのがRTBなのです。
RTBの仕組
RTBとは、1インプレッションに対してリアルタイムで入札を行う仕組みで、DSPとSSPで使用されています。広告主はDSPを、媒体はSSPを使い広告枠を取り引きします。 SSPとは、Supply Side Platform(サプライサイドプラットフォーム)の略で、媒体の広告枠販売や広告収益最大化を支援するツールです。DSPと「対」となり、RTB取引を実現しています。 DSPやSSPは、セグメントされたオーディエンスデータに対して効率的にアプローチするべく、1枠ごと(1インプレッションごと)に入札競争を行います。”アプローチしたいターゲットを狙うため”のリアルタイム入札なので、常に「RTB」と「オーディエンスターゲティング」とセットで考える必要があります。

H29-04 

H29年03問 解答◯1 スケールアウトとリバースプロキシ

リバースプロキシとは?
一般的にはリバース(reverse)は逆や反対、プロキシ(proxy)は代理や代理人の意味があります。もともとは直接つながっているところに、あらたに置かれる「仲介」がプロキシのイメージです。その設置を、逆の発想で活用したのがリバースプロキシの技術です。インターネット上で行き交うデータの量と質は、常に一定ではありません。例えば、突然爆発的にWebサイトへのアクセスが増加することがあります。とても大事なデータがあり、大元のWebサーバーを守るために厳重に管理したいときもあるでしょう。アクセス集中時でも、負荷分散により稼働が安定ApacheやNginxなどのWebサーバーを適切に設定することにより、複数のWebサーバーへの負荷を分散させることができるようになります。Webサーバーだけでは、アクセス集中によって機能が停止する場合でも、安定したサービスを提供できます。

H29-07 

H29年07問 解答×2 ページビューではない

顧客維持率の計算式 1顧客維持率 X = ((E - N) / S) * 100 2
期間終了時の総顧客数(E)をベースにする
2から期間中に増えた新規顧客数(N)を引く
3の結果を期間開始時の既存顧客数(S)で割る
4の結果に100を掛ける
これで顧客維持率が求められます。たとえば、期間開始時に100人の顧客がいて(S)、期間中に10人増え(N)、期間終了時に100人だった(E)場合、顧客維持率は、((100 - 10) / 90) * 100 = 90%となります。

H29-21

H29年21問 解答 1 標的型攻撃

特定の相手に対するサイバー攻撃「標的型攻撃」の増加が問題になっています。
中には、企業への恐喝など不正な金銭要求を目的とするケースもあり、標的型攻撃への対策が急務となっています。特に、昨今注目されているのが、下記の標的型攻撃となります。
●バケツリレー攻撃:ネットワーク犯罪の手法のひとつ。データの送信者と受信者の間で、第三者がデータを盗聴したり、偽造したりすること。中間一致攻撃とも呼ぶ。
●DoS・DDoS攻撃:サーバに負荷をかけたり、サーバ上のサービスを停止させる攻撃
●標的型メール攻撃:特定のターゲットに対して、なりすましメールを送り続ける攻撃
●Webサイト改ざん:不正アクセスでWebサイトやアクセスログなどを書き換える攻撃
●水飲み場型攻撃:標的がよく利用するサイトを改ざんして利用者にウィルスを仕込む攻撃

H29-30

H29年30問 解答 2 IDの連番発行はNG

H29-31

H29年31問 解答 3 オンプレミス(自社運用)

オンプレミスとは
プレミス(premise)は「構内」「店内」の意味。オンプレミスは、サーバーやソフトウェアなどの情報システムを、使用者が管理している施設の構内に機器を設置して運用することを指す。「オンプレ」と略されることもあるほか、「自社運用」とも呼ばれる。
オンプレミスは自社で構築するため、システムを柔軟にカスタマイズしやすく、自社システムと連携しやすいというメリットがある。また、セキュリティ面でも自社のネットワーク内でシステムを動かすため、第三者が入りにくく、安全性が高いこともメリットの1つに数えられる。その反面、すべてを自社で用意するため初期コストがかかる上、構築にも時間がかかるというデメリットもある。またネットワークの障害など、トラブルが起きたときも自社で対応しなければならないところにも留意すべきだろう。
2000年代半ば以降、クラウドサービスが浸透するにつれ、オンプレミスからクラウドへ移行する傾向が強くなった。そもそもクラウドとは、サーバーやシステムを自社に置かず、ネットワーク経由でサービスを使う形態のことである。サーバーなどのインフラ環境があらかじめ拡張可能な仮想環境で提供されるため、利用者は必要な分だけ利用料金を支払うだけとなり、コストを抑えられることが、クラウドに移行する傾向を強めた大きな理由であった。
しかし、最近ではカスタム性の高さなどからオンプレミスの良さも見直されて、クラウドとオンプレミスのいいところを相互に取り入れる「ハイブリッドクラウド」が注目されるようになっている。

H29-45

H29年45問 解答 3 Apach MPM
MPMの種類

worker
マルチプロセス、マルチスレッドに対応。
各プロセスに対し決められた数のスレッドを用意する。 スレッド動作はリソースあたりの処理能力がプロセス動作よりも高くなり、一般的に性能を向上させる。

prefork(デフォルト)
あらかじめhttpd子プロセスをいくつか生成してクライアントからの要求を処理する。 マルチスレッドではなく、マルチプロセスでのみ動作する。

perchild(Apache 2.2で廃止)
マルチプロセス、マルチスレッドに対応。 プロセスそれぞれに個別のユーザIDを割り当てることで可溶性を高めることが出来る。 開発途中だったが、Apache 2.2で廃止

event(Apache 2.2より)
スケーラビリティに優れたMPM Worker MPMのようなマルチスレッド処理が可能 Keep-Aliveリクエスト処理に、コネクションを処理するスレッドとは別のスレッドを割り当てることが可能。 上記の理由で、大規模な用途にも対応可能。 Apache 2.2 までのevent MPMは評価用で安定して利用できなかったが、Apache 2.4で改善されている。

H28-1P-02

H28年02問 解答×2 ページビューではない

H28-2P-10

H28年10問 解答×2 ディレクトリ・トラバーサル攻撃
ディレクトリトラバーサル対策としておススメなのが「WAF」の導入です。WAFには色々なものがありますが、その中でもクラウド型WAFであれば、コストや手間も少なくセキュリティ対策することができます。クラウド型のWAFは導入ハードルが極めて低いので、これからWebセキュリティ対策を行う企業様には有力な選択肢となります。

H28-2P-12

H28年12問 解答×2 バックアップ

H28-7P-28

H28年28問 解答 2 RAID

RAIDには仕組みの違いによりRAID0からRAID6までのレベルが定義されています。 実際に使用されているのは、主に「RAID0(ストライピング)」、「RAID1(ミラーリング)」、「RAID5」、「RAID6」の4種類となります。

RAID0(ストライピング) 必要HDD数:2台~ 特徴:耐障害性は全く無いが、読み書き速度が上がる。
RAID1(ミラーリング) 必要HDD数:2台~ 特徴:耐障害性に優れているが、ディスク容量が50%以下になる。
RAID2 必要HDD数:5台~ 特徴:全RAIDレベルの中で最高の耐障害性だが、読み書き効率が悪い。
RAID3 必要HDD数:3台~ 特徴:パリティを利用することでRAID2の様な速度面での性能低下がない。
RAID4 必要HDD数:3台~ 特徴:RAID3のデータ分割をブロック単位で行うことにより高速化。
RAID5 必要HDD数:3台~ 特徴:耐障害性の向上と高速化、大容量化の全てを実現できるRAIDレベル。

H28-8P-30

H28年30問 解答 3 ウェブサーバのパーミッション

パーミッションとは、ファイルやディレクトリに対するアクセス権のことです。 複数のユーザーが1台のパソコンを共有する場合、自分のファイルを他人に不正に操作されないようにするためのアクセス権(パーミッション)を設定することができます。 アクセス権を正しく設定することで、大切なファイルを守ることができます。

Linux 等の /tmp/ は、誰でも書き込める場所です。パーミッションは、777 ……ですが、実は 0777 ではなく 1777 です。普通に 777 にすると「drwxrwxrwx」となりますが、「drwxrwxrwt」となっています。この状態が「Sticky bit のたった状態」です。こうすることで、 /tmp/ 以下は、誰でもファイルを作成できます /tmp/ 以下のファイルのパーミッションを 666 とかにしておくと、作ったファイルに誰でも書き込めます /tmp/ 以下のファイルを消したり名前を変えたりするのは、パーミッションにかかわらず、ファイルを作った人だけが可能です 普通の「777」だとファイルを消すのも誰でもできてしまいますが、「1777」にする (chmod o+t) ことで、ファイルの持ち主以外が勝手に消す事はできなくなります。

H28-13P-47

H28年47問 解答 2 継続的インテグレーション

H28-13P-48 

H28年48問 解答 4 Apach MPM
worker:マルチプロセスとマルチスレッドの2種
prefork:マルチプロセスのみ 

H28-14P-49 

H28年49問 解答 3 3Dセキュア

3dcec