情報処理安全確保支援士 令和5年度春期【過去問解説午後1問3】
syun032023年4月16日実施の情報処理安全確保支援士解答速報
毎年のことながら7~8割の正解率かと思います。間違いや不明点ございましたらコメントください。
| 更新履歴 | 更新日時 | 内容 |
|---|---|---|
| 初版 | 2023/4/17 00:56 | |
解答まとめ
| 設問1 | |
| (1) | ア、イ、ウ |
| (2) | Lサービスの送信元制限機能により通信が拒否されるため |
| 設問2 | |
| (1) | ア、ウ、イ |
| (2) | イ |
| 設問3 | |
| (1) | 本社プロキシサーバ経由からPコネクタ経由へ変更 |
| (2) | 営業所のUTMのIPアドレスを追加する |
| (3) | イ |
| (4) | 6,2 |
| (5) | 4, https://△△△-a.jp/, 研究開発部, 許可 3, 外部ストレージサービス, 全従業員, 禁止 |
他の解答・解説
情報処理安全確保支援士 令和5年度春期【過去問解説午後1問1】
情報処理安全確保支援士 令和5年度春期【過去問解説午後1問2】
情報処理安全確保支援士 令和5年度春期【過去問解説午後2問1】
情報処理安全確保支援士 令和5年度春期【過去問解説午後2問2】
- 1. 情報処理安全確保支援士問3 クラウドサービスの利用
- 1.1. 設問1 [Lサービスの動作確認]について答えよ。
- 1.1.1. (1)図2中のa~cに入れる適切な字句を.解答群の中から選び, 記号で答えよ。
- 1.1.2. (2)本文中の下線1について,利用できない理由を40字以内で具体的に答えよ。
- 1.2. 設問2 [在宅勤務導入における課題]について答えよ。
- 1.2.1. (1)表3中のd~fに入れる適切な字句を,解答群の中から選び, 記号で答えよ。
- 1.2.2. (2)表3中のgに入れる適切な字句を,解答群の中から選び、記号で答えよ。
- 1.3. 設問3 [ネットワーク構成の見直し] について答えよ。
- 1.3.1. (1)表4中の下線2について, 見直し前と見直し後のアクセス方法の違いを, 30字以内で答えよ。
- 1.3.2. (2)表4中の下線3について, Lサービスに追加する設定を 40 字以内で答えよ。
- 1.3.3. (3)表4中の下線4について, 選択する方式を, 表1 中の (ア), (イ)から選び, 記号で答えよ。
- 1.3.4. (4)表4中のh,iに入れる適切な数字を答えよ。
- 1.3.5. (5)表5中のあ,いに入れる適切な数字, j~oに入れる適切な字句を答えよ。
- 2. その他の解説
情報処理安全確保支援士
問3 クラウドサービスの利用
設問1 [Lサービスの動作確認]について答えよ。
(1)図2中のa~cに入れる適切な字句を.解答群の中から選び, 記号で答えよ。
解答
| a | ア |
| b | イ |
| c | ウ |
解説
図2で下記のことが分かります。
- aとbの間は「認証」に関する通信が発生
- bとcの間では「サービス」に関する通信が発生
認証応答しているのはaなのでこれがLサービスであることが分かります。
その後、サービス応答を返しているのがcであることを見ると、これがSaaS-aだと分かります。
(2)本文中の下線1について,利用できない理由を40字以内で具体的に答えよ。
解答
Lサービスの送信元制限機能により通信が拒否されるため
解説
表1に記載の通り。
Lサービスは送信元制限機能によりIPアドレスを制限しています。制限されたIPアドレス以外からの通信の場合は、拒否されるか多要素認証が必要になります。
しかし多要素認証は無効設定のため、結局接続が拒否されます。
設問2 [在宅勤務導入における課題]について答えよ。
(1)表3中のd~fに入れる適切な字句を,解答群の中から選び, 記号で答えよ。
解答
| d | ア |
| e | ウ |
| f | イ |
解説
PCにインストールする必要があるのは「ルート証明書」です。あとは文脈から穴埋めできると思います。
(2)表3中のgに入れる適切な字句を,解答群の中から選び、記号で答えよ。
解答
イ
解説
CASBとは
従業員のクラウドサービスの利用を監視し、適切なセキュリティ対策を行うためのソリューションがCASB(Cloud Access Security Broker)です。
設問3 [ネットワーク構成の見直し] について答えよ。
(1)表4中の下線2について, 見直し前と見直し後のアクセス方法の違いを, 30字以内で答えよ。
解答
本社プロキシサーバ経由からPコネクタ経由へ変更
解説
毎年登場するよくわからない問題
まず変更後のネットワーク構成でPコネクタになっている部分を確認します。営業所などはシンプルに追加になっていますが、本社ネットワークを見るとプロキシサーバの置き換えになっています。
Pコネクタがプロキシサーバの代わりとなるのであれば、営業所は営業所ないのPコネクタからインターネットへ通信すればいいわけですね。(書いていないけど)
(2)表4中の下線3について, Lサービスに追加する設定を 40 字以内で答えよ。
解答
営業所のUTMのIPアドレスを追加する
解説
Lサービスについての記述を表3で確認します。項番1に記載がありますね。
Lサービスの送信元制限機能には、Pサービスに接続してきた送信元のIPアドレスが通知される
変更後は営業所のPCからUTMのNAT経由でPサービスに接続するため、接続元として通知される営業所のUTMのIPアドレス追加が必要です。
ちなみに変更前は本社プロキシ経由でPサービスに接続していたため営業所のIPアドレスは設定されていないはずです。
変更前はSaaSなどへのアクセス制限のためにプロキシサーバがありましたが、変更後はPサービスに繋がればいいのでプロキシサーバが要らなくなったということでしょう。
(3)表4中の下線4について, 選択する方式を, 表1 中の (ア), (イ)から選び, 記号で答えよ。
解答
イ
解説
クライアント証明書については何も記述されていないのでこの方法は取れません。
社員にはスマートフォンが貸与されているようなのでこれを利用します。
個人的にはとても微妙な問題ですが、IPAが言いたいことはこんな感じかと思われます。
要件に従ってネットワーク構成を見直しました。Lサービスに接続できるのはR-PCや営業所のみです。
制限の使用しているのはIPアドレスのみです。 ← ポイント
要件は端末ごとの制限なので、端末を限定できる認証要素が必要になります。
例えば悪意のあるユーザがIPアドレスを偽装して接続を試みたとしましょう。
この場合、攻撃者がSMSに送信されたワンタイムパスワードを搾取可能である場合に攻撃者PCがLサービスに接続可能になります。(できるかは置いておいて。)
よって『セキュリティ』と『要件』を満たす回答はイになります。
(4)表4中のh,iに入れる適切な数字を答えよ。
解答
| h | 6 |
| i | 2 |
解説
表3に記述されている通りです。
(5)表5中のあ,いに入れる適切な数字, j~oに入れる適切な字句を答えよ。
解答
| あ | 4 |
| j | https://△△△-a.jp/ |
| k | 研究開発部 |
| l | 許可 |
| イ | 3 |
| m | 外部ストレージサービス |
| n | 全従業員 |
| o | 禁止 |
解説
SaaS-aを利用するユーザが誰なのかをまず確認する必要があります。これは図1の注記に記載されています。研究開発部です。
その他全従業員は外部ストレージサービスを禁止にするので、URLカテゴリ機能を利用して禁止にします。
3(2)は営業所のUTMではないのでしょうか?
コメントありがとうございます。改めて見ると確かにそうですね。UTMのNAT経由でインターネットに出ているということですね。
記載修正させて頂きました。
わたしも気になります。
3の(1)ですが、「本社を経由せず、営業所から直接通信するようにする」のような書き方では具体性にかけますかね?(--;)
プロキシサーバや、Pコネクタのような単語は必須でしょうか?
見解をお聞かせくださいm(_ _)m
具体性には欠けますね。Pコネクタという単語は欲しいところかと思います。
3(1) ですが
インターネットへのアクセス方法
という問題なので、本社経由から直接インターネットが正しいのではないでしょうか。
ご意見 頂きたいです
言わんとしていることは同じですので、どこまで具体的に記述するかの差かとは思います。
「具体的に答えよ」と問われていないので、どちらでも良いような気もします。
設問3(3)は
スマホによる多要素認証にした場合、
会社が貸与したR-PC以外からもアクセスできてしまうので
要件2から外れるはないでしょうか?
アクセスするのはあくまでR-PCです。「追加で」多要素認証を行うのがスマホとなります。
下記の流れですね。
PCでログイン ⇒ スマホにSMS飛んできてパスコードを見る ⇒ PCにパスコードを入力し認証
いつも参考にさせていただいています、ありがとうございます!
設問3 (5) k ですが正確には「研究開発部の従業員」かと思うのですがどうでしょうか?(細かすぎたらすみません)
あと設問3 (5) の解答の表ですがずれてしまっています。い:3 が正しいですが l:3 になってしまっています。
ずれてますね、、ありがとうとございます!
いつも参考にさせていただいております。
設問3の(3)ですが,公式の回答が(イ)となっていました。
問題を見直したのですが,(イ)となるような手がかりが分かりませんでした。
何故(イ)なのでしょうか?
コメントいただきありがとうございます。申し訳ございません、公式回答に更新できておりませんでしたね。。
解説部分を更新いたしましたのでご確認いただけますでしょうか。
従業員が私物のpcでアクセスできては困るのでしょうね。おそらく。