情報処理安全確保支援士 過去問解説【令和2年 午後1】
syun03IPAから解答でましたので、自己採点をしてみました。
結果
90%の正解率
でした。
全問正解とまではいきませんが、まずまずな数値で満足しています。
今後も自身のスキルアップのために、挑戦していきたいと思います。
(間違っていた部分の回答は修正済みです。)
IPAの公式サイトには過去問解説はありませんので、解答を見てもわからない部分などは
当サイトにて解説を確認頂き、理解を深めて頂ければ幸いです。
- 1. 問1 スマートフォンを用いた決済に関して
- 1.1. 設問1
- 1.1.1. (1)どのような手段で成りすまし決済ができるのか。想定される手段を30字以内で具体的に述べよ。また、その攻撃が成功してしまう決済アプリにおける問題を25字以内で具体的に述べよ。
- 1.1.2. (2)図3中のaに入れる適切な字句を、30字以内で述べよ
- 1.2. 設問2
- 1.2.1. (1)本文中の下線1について、攻撃者はどの設定項目の内容をどのように変更するか。変更する設定項目を表5の中から選び、記号で答えよ。また、変更後の設定内容を25字以内で述べよ
- 1.3. 設問3
- 1.3.1. (1)本文中の下線2について、Nシステムのどのような挙動を利用してスクリーニングを実行したと考えられるか。利用したと考えられる挙動を40字以内で具体的に述べよ。
- 1.3.2. (2)本文中の下線3について、表3中の修正すべき処理を記号で答えよ。また、どのように修正すべきか。修正後の処理を、25字以内で述べよ。
- 2. 問2 電子メールのセキュリティ対策
- 2.1. 設問1
- 2.1.1. (1)表1中のaに入れる適切なプロトコル名を、英字5字以内で答えよ。
- 2.1.2. (2)本文中のbに入れる適切なプロトコル名を、英字5字以内で答えよ。
- 2.2. 設問2
- 2.2.1. (1)本文中の下線1の理由を、35字以内で述べよ
- 2.2.2. (2)本文中のcに入れる適切な字句を、10字以内で答えよ。
- 2.2.3. (3)本文中の下線2について、復号できなくなるのはどのような場合か。25字以内で述べよ。
- 2.3. 設問3 本文中のg~gに入れる字句を、d,fは、それぞれ10字以内で、e,gはそれぞれ5字以内で答えよ。
- 3. 問3 Webシステムのセキュリティ診断
- 3.1. 設問1
- 3.1.1. (1)本文中の下線1について、その理由を述べよ。
- 3.1.2. (2)本文中の下線2について、どのような設定変更をすべきか。設定内容の内容を30字以内で述べよ。
- 3.1.3. (3)本文中及び表2中のaに入れる診断PCの接続箇所を、図1中の接続点(a)~(f)の記号で答えよ。
- 3.2. 設問2
- 3.2.1. (1)本文中のbに入れる適切な字句を、15字以内で具体的に答えよ。
- 3.2.2. (2)本文中の下線3について、何をどのように変更すべきか。Pシステムの通信量に着目し、変更する項目を表2から選び答えよ。また、変更する内容を20字以内に述べよ。
- 3.2.3. (3)本文中の下線4について、どの機器に対して、どのように設定を変更すべきか。機器は図1中から選び、変更後の設定は55字以内で具体的に述べよ。
- 3.2.4. (4)本文中のc,dに入れる適切な字句を、図1中から選び答えよ。また、本文中のeに入れる適切な字句は、許可又は拒否のいずれか。
- 4. 情報処理安全確保支援士 過去問解説その他記事
情報処理安全確保支援士 令和2年午後1 問1 スマートフォンを用いた決済に関して
設問1
(1)どのような手段で成りすまし決済ができるのか。想定される手段を30字以内で具体的に述べよ。また、その攻撃が成功してしまう決済アプリにおける問題を25字以内で具体的に述べよ。
解答
想定される手段:他人の会員番号をバーコードとして提示する
決済アプリにおける問題:会員番号のみを利用しているため
解説
「流出したログインIDを使う」なども解答として考えられるが、Xさんは対策として「メッセージ認証」を用いるように変更しています。これは、『バーコードのみでは、一度流出するとずっと使い続けることができる』という問題点の解決と受け取れます。
(2)図3中のaに入れる適切な字句を、30字以内で述べよ
解答
HMAC値αとHMAC値βが一致することを確認する
解説
ハッシュ値の検証方法は「同じ情報・秘密鍵を用いて、同じHASH値が取得できること」です。
ハッシュ関数のおさらいはwikipediaで確認
設問2
(1)本文中の下線1について、攻撃者はどの設定項目の内容をどのように変更するか。変更する設定項目を表5の中から選び、記号で答えよ。また、変更後の設定内容を25字以内で述べよ
解答
い:攻撃者が用意したDNSサーバのIPアドレス
解説
攻撃者が悪意のあるDNSを用意すれば、利用者がサイトを参照する際に、利用者に気付かれずに悪意のあるサイトへ誘導することができます。
(2)図4中のb~dに入れる適切な字句を、b,dについては解答群の中から記号で、cについては5字以内で、それぞれ答えよ。
| b | オ |
| c | FQDN |
| d | イ |
設問3
(1)本文中の下線2について、Nシステムのどのような挙動を利用してスクリーニングを実行したと考えられるか。利用したと考えられる挙動を40字以内で具体的に述べよ。
解答
会員登録時にメールアドレスの登録有無を判断し、エラー表示される。
【IPA解答】メールアドレスが登録されているかどうかで表示が異なる挙動。
解説
会員登録画面でメールアドレスが登録済みであることが攻撃者にわかってしまい、リストが作成される。
(2)本文中の下線3について、表3中の修正すべき処理を記号で答えよ。また、どのように修正すべきか。修正後の処理を、25字以内で述べよ。
解答
| 2-b | 2-aと同じメッセージ表示にする。 |
解説
「メールアドレス登録有無によって画面表示が異なる」という点を解消する必要がある。
情報処理安全確保支援士 令和2年午後1 問2 電子メールのセキュリティ対策
設問1
(1)表1中のaに入れる適切なプロトコル名を、英字5字以内で答えよ。
解答
LDAP
(2)本文中のbに入れる適切なプロトコル名を、英字5字以内で答えよ。
解答
OCSP
設問2
(1)本文中の下線1の理由を、35字以内で述べよ
解答
メールサーバ上ではメールアは暗号化されていないため
(2)本文中のcに入れる適切な字句を、10字以内で答えよ。
解答
メールサーバ
(3)本文中の下線2について、復号できなくなるのはどのような場合か。25字以内で述べよ。
解答
復号に必要な秘密鍵を削除したとき
設問3 本文中のg~gに入れる字句を、d,fは、それぞれ10字以内で、e,gはそれぞれ5字以内で答えよ。
解答
| d | ディジタル署名 |
| e | 検証 |
| f | メーリングリストの登録メンバ |
| g | メーリングリスト |
情報処理安全確保支援士 令和2年午後1 問3 Webシステムのセキュリティ診断
設問1
(1)本文中の下線1について、その理由を述べよ。
解答
N-IPSで遮断されてしまう攻撃についても診断が行えるため
解説
N-IPSは脅威レベルが高い通信を遮断してしまう。これでは正しい脆弱性試験ができないため、無効にする必要がある。
(2)本文中の下線2について、どのような設定変更をすべきか。設定内容の内容を30字以内で述べよ。
解答
診断PCに設定して固定IPアドレスをホワイトリストに登録する
解説
N-IPSの設定を無効化するには、「設定を変更する」か「ホワイトリストに登録」する必要がある。表1のN-IPSの項を参照
(3)本文中及び表2中のaに入れる診断PCの接続箇所を、図1中の接続点(a)~(f)の記号で答えよ。
解答
(a)
解説
本番Webサーバへのポートスキャンを遮断されないようにするため、本番Webサーバと同じセグメントから接続する。
表2には「管理LANに侵入し~」と記載がございます。よって接続時点では管理LANには侵入していないことがわかります。さらに本番Webサーバに内部から接続できるのはaのみです。
設問2
(1)本文中のbに入れる適切な字句を、15字以内で具体的に答えよ。
解答
診断用の利用者ID
解説
P.16に「診断後は診断前の状態に戻すこと」「診断のため、利用者IDとポイントを付与する」という2点の記載がある。
(2)本文中の下線3について、何をどのように変更すべきか。Pシステムの通信量に着目し、変更する項目を表2から選び答えよ。また、変更する内容を20字以内に述べよ。
解答
| 日時 | 0時~8時の間で実施する |
解説
影響を最小化するためには、利用者が少ない時間帯を選択する
(3)本文中の下線4について、どの機器に対して、どのように設定を変更すべきか。機器は図1中から選び、変更後の設定は55字以内で具体的に述べよ。
解答
| 本番DBサーバ | ホスト型IPSに診断PCのIPアドレスをホワイトリスト登録し、侵入検知を無効にする |
解説
(4)本文中のc,dに入れる適切な字句を、図1中から選び答えよ。また、本文中のeに入れる適切な字句は、許可又は拒否のいずれか。
解答
| c | DB-LAN(本番DBサーバ) |
| d | DB管理PC |
| e | 許可 |
解説
警告灯が点灯したのは、「届いてはいけない通信が本番DBサーバまで届き、IPSで検知された」ため。再発防止策としては、本番DBに届く前に正しくない通信は遮断する必要がある。
そのため、FW2ではDB-LANへ通信されることを許されているDB管理PCのみ通信できるようにする。
いかがでしたでしょうか。過去問についてご質問ございましたら、コメント頂ければ対応させて頂きます。
情報処理安全確保支援士 過去問解説その他記事
【解答速報】情報処理安全確保支援士 令和6年度春季【午後 問4】
【解答速報】情報処理安全確保支援士 令和6年度春季【午後 問3】
【解答速報】情報処理安全確保支援士 令和6年度春季【午後 問2】
【解答速報】情報処理安全確保支援士 令和6年度春季【午後 問1】
【過去問解説】情報処理安全確保支援士 令和5年度秋季【午後 問4】
【過去問解説】情報処理安全確保支援士 令和5年度秋季【午後 問3】
個別指導が必要な場合や論文添削も承っておりますので、詳しくはこちらまで↓
コメント失礼致します。
現在、過去問に関して勉強中ですが、
令和2年の問1に対して少し疑問があります。
図2,3の内容では、改ざん対策はできそうですが
なりすましが対応できるかどうか疑問です。
本文で説明されていない部分があるかもしれませんが、
会員番号が判れば、その都度QRコードが作成できても、再びなりすましが
可能と思えるのですが如何でしょうか?
青山様
コメントありがとうございます。
令和2年の問1の「なりすまし」対策ですが、図2に記載の通り
「会員番号」「乱数」「時刻」を基にHAMC値αを生成しておりますので
「会員番号」に他人の物を入力すると、生成されるHMAC値が変わりますのでQRコード検証で不一致となります。
もしもQRコード作成時の「会員番号」が『決済アプリ側から』送信しているのであればなりすましの余地がありますが
問題文上にはそれは明示されておりませんので、図2がなりすまし対策となっております。
返信ありがとうございます。
会員番号を知り得た場合、決済アプリから生成できるとも
理解できますので、問題文は少し説明や補足が足りないと
思いますが如何でしょうか?
情報処理試験全般に言える事ですが
「問題文にない情報は前提としない」ことは、試験を受けるうえで意識が必要ですね。
過去問などを繰り返して慣れていくものかと思います。
コメント失礼致します。
今年初めて受験するため、過去問を解きながら解説サイトを探しているところ辿りつくことができました。
非常に参考になる解説をしていただきありがとうございます。
1つ質問があります。
問1 設問1の(1)に対してです。
他社のバーコードを撮影し利用する。と記入したのですが
この回答は的を得てるものでしょうか。
お手隙の際、ご返信お願いします。
コメントありがとうございます。
記載頂いた内容でも問題ないと思います。
バーコードだけでなりすましできてしまう状態なので、手段は色々あると思います。
いつも勉強させていただいております。
一点疑問を感じたのですが
問3の設問1の(3)は本番Webサーバに接続可能と言う点では、a、b、eが以下の理由で可能と考えたのですが
aと断定できる理由をご教示いただけないでしょうか
a、b:本番Webサーバまでの間にFWが無いため、通信を遮るものがないため
e:FW2にてフィルタリングされるが、管理PCセグメントからの通信は許可しているため、同様に接続可能
サンズ様
コメント頂きありがとうございます。「a」と断定できる理由ですが、表2を見ると「管理LANに侵入し~」と記載がございます。よって接続時点では管理LANには侵入していないことがわかります。この辺りは国語の問題ですね。
Syun03様
お早いご回答ありがとうございます
確かに管理LANに侵入する目的となると、DMZ上になるわけですね
的確なご回答ありがとうございます
今後とも参考にさせていただきます
問2 電子メールのセキュリティ対策のS/MIMEにおける質問になります。
問題文中では暗号化となりすましの対応としてS/MIMEを用いる流れになっておりますが、
暗号化への対応としては理解できるのですが、なりすましへの対応となっているかが理解できておりません。問題文中のR社認証局はR社メール受信者の公開鍵を証明するものであって送信者(委託先)のなりすましを確認できるものはないと考えています。
基本的な質問で申し訳ありませんがご教授お願いいたします。
ご質問に回答させて頂きます。
p.11に
と記載があるように、委託際にもS/MIME証明書を渡し委託先からのメールも暗号化してもらいます。
これが公開鍵で復号できれば真正性を確認できる、と理解しております。
ご返信ありがとうございます。あれから1月ほど勉強して多少は理解度もあがりました。
委託先にS/MIME証明書を渡す事でR社のなりすましは防げており、公開暗号化方式によって共通鍵を渡しあう⇒委託先は自身の秘密鍵で署名を付けて公開鍵と共にメールを共通鍵で暗号化してR社へ送る⇒R社は共通鍵で複合し送られてきた公開鍵で署名の検証を行うことで委託先のなりすましを防ぐことができる。こんな理解に至りました。
ご返信ありがとうございます。あれから1月ほど勉強して多少は理解度もあがりました。
委託先にS/MIME証明書を渡す事でR社のなりすましは防げており、公開暗号化方式によって共通鍵を渡しあう⇒委託先は自身の秘密鍵で署名を付けて公開鍵と共にメールを共通鍵で暗号化してR社へ送る⇒R社は共通鍵で複合し送られてきた公開鍵で署名の検証を行うことで委託先のなりすましを防ぐことができる。こんな理解に至りました。
すいませんレスを返したつもりが↓に新規でコメントしてしまいましたので↓のコメントの削除をお手数ですがよろしくお願いいたします。