情報処理安全確保支援士 過去問解説【平成31年 午後1】
高度試験の午後問題を解説しているサイトが少ないので、作成しました。
日本の技術者の皆様のスキルアップの一助となれば幸いです。
- 1. 問1 WEBサイトのセキュリティ
- 1.1. 設問1
- 1.1.1. (1)本文中のaに入れる字句を答えよ
- 1.1.2. (2)本文中のb~dに入れる適切な字句を解答群の中から選び、記号で答えよ
- 1.1.3. (3)本文中の下線①について、具体的な操作内容を、20文字以内で答えよ。
- 1.2. 設問2
- 1.2.1. 本文中のeに入れる適切な記号を、(ⅲ)~(ⅵ)の中から選び、答えよ。
- 1.3. 設問3
- 1.3.1. (1)表1中のfに入れる適切なURLを答えよ
- 1.3.2. (2)表1中のgに入れる適切な字句を、30文字以内で答えよ
- 1.3.3. (3)本文中のh,iに入れる適切な字句をそれぞれ20字以内で、本文中のjに入れる適切な字句を5字以内で答えよ
- 2. 問2 クラウドサービスのセキュリティ
- 2.1. 設問1
- 2.1.1. (1)図2中の下線①について、攻撃者が用意した無線LANアクセスポイントには何が設定されていたと考えられるか。設定を30字以内で述べよ
- 2.1.2. (2)図2中のa,bに入れる適切な字句を、本文、図1又は図2中の字句を用いて答えよ
- 2.1.3. (3)図2中の下線にについて、この時、サーバ証明書が信頼できない旨のエラーが表示されなかったのはなぜか。メールサーバPにHSTSが実装されていないことを踏まえ、理由を20字以内で述べよ
- 2.2. 設問2
- 2.2.1. (1)本文中の下線③について、偽サイトにおいてどのような処理が行われればメールサービスPへの不正アクセスが成立するか。行われる処理を35字以内で述べよ
- 2.2.2. (2)図5及び図6中のc~fに入れる適切な字句を、解答群の中から選び、記号で答えよ
- 2.2.3. (3)本文中の下線④について、理由を図5又は図6中の字句を用いて、40字以内で述べよ
- 3. 問3 IoT機器の開発
- 3.1. 設問1
- 3.2. 設問2
- 3.2.1. (1)本文中の下線②について、対策と認証トークンに追加する必要がある情報を15字以内で答えよ
- 3.2.2. (2)本文中の下線③について、その原因となるゲームサーバの仕様を30字以内で述べよ
- 3.2.3. (3)本文中の下線④について、その原因となる認証トークンの仕様を、20字以内で述べよ。また、不正に生成した認証トークンで利用できるゲームプログラムの範囲を、35字以内で述べよ
- 3.2.4. (4)本文中のa~cに入れる適切な字句を解答群の中から選び、記号で答えよ
- 3.2.5. (5)本文中の下線⑤について、どのようにするとクライアント証明書と鍵CをPCなどから使用可能にしてしまうことができるか。攻撃者が使用前に行う必要があることを、25字以内で具体的に述べよ。
- 3.2.6. (6)本文中の下線⑥について、この性質を何というか。10字以内で答えよ。
- 3.3. 設問3
- 3.3.1. 本文中の下線⑦について、保護するための適切な方法を本文中の用語を使って、25字以内で具体的に述べよ
- 4. 情報処理安全確保支援士 過去問解説その他記事
情報処理安全確保支援士 平成31年午後1 問1 WEBサイトのセキュリティ
設問1
(1)本文中のaに入れる字句を答えよ
解答
Same-Origin
(2)本文中のb~dに入れる適切な字句を解答群の中から選び、記号で答えよ
解答
b | イ |
c | キ |
d | ク |
解説
Same-Originポリシーに関する出題です。WEBサイトへのアクセス時に必要な項目を選択します。
(3)本文中の下線①について、具体的な操作内容を、20文字以内で答えよ。
解答
WebサイトBへのログイン
解説
図1の2),4)に記載の通り、会員情報取得はWebサイトBにログインしている状態であることを前提としているため
設問2
本文中のeに入れる適切な記号を、(ⅲ)~(ⅵ)の中から選び、答えよ。
解答
(ⅴ)
解説
CORSを利用した際にcookie情報がどのタイミングで共有されるかを問う問題
細かい仕様を知らずとも、下記2点で絞れる
- リクエスト時にcookieが送信される
- プリフライトリクエストは「許可を得るための通信」なので、このタイミングで情報を共有することはない
設問3
(1)表1中のfに入れる適切なURLを答えよ
解答
解説
図5に当てはめれば、解答にたどり着ける。
Access-Control-Allow-Originヘッダフィールドには、許可するWebサイトのオリジンが返却されるため、今回対象としているWebサイトAのオリジンがレスポンスされる
(2)表1中のgに入れる適切な字句を、30文字以内で答えよ
解答
売れ筋商品情報配信の申し込みページのオリジン
解説
ブラウザ側で、どのオリジンに対して許可がされたのかを判断する。
No4のレスポンスでは、「売れ筋商品情報配信の申し込みページのオリジン」から「WebサイトB」に許可を求めているので
ブラウザが表示しているページが「売れ筋商品情報配信の申し込みページのオリジン」である必要がある。
(3)本文中のh,iに入れる適切な字句をそれぞれ20字以内で、本文中のjに入れる適切な字句を5字以内で答えよ
解答
h | Originヘッダフィールドの値 |
i | 許可するオリジンのリスト |
j | 一致 |
解説
D課長は、複数のオリジンに対応するために、許可するオリジンのリストを作成する必要があると述べている。
CORSでオリジンが1つからリスト形式になった場合の一致確認の方法を記述するだけである。
情報処理安全確保支援士 平成31年午後1 問2 クラウドサービスのセキュリティ
設問1
(1)図2中の下線①について、攻撃者が用意した無線LANアクセスポイントには何が設定されていたと考えられるか。設定を30字以内で述べよ
解答
ホテルWi-Fiと同じSSIDと事前共有鍵
解説
無線LANに関する頻出問題
SSIDは自由に設定できることを悪用し、実在するSSIDと同じ設定を行うことにより、利用者を欺き無線LANに接続させる手法
(2)図2中のa,bに入れる適切な字句を、本文、図1又は図2中の字句を用いて答えよ
解答
a | メールサービスP |
b | 攻撃者が用意したWebサーバ |
解説
従業員SさんはメールサーバPにアクセスしたタイミングで何らかの情報を搾取されたものと思われる。
攻撃者は、自身で用意したWebサーバに接続させるために、メールサーバPのドメインを攻撃者が用意したWebサーバに転送するようDNSに設定を行っている。
(3)図2中の下線にについて、この時、サーバ証明書が信頼できない旨のエラーが表示されなかったのはなぜか。メールサーバPにHSTSが実装されていないことを踏まえ、理由を20字以内で述べよ
解答
HTTPで接続が開始されたため
解説
図1に記載されている「WebブラウザのアドレスバーにFQDNを入力」「メールサーバPでHSTSは実装されていない」という内容から、HTTPで接続が開始されたことが推測される。
HTTPの場合はサーバ証明書の認証が行われないため、証明書エラーは表示されない
設問2
(1)本文中の下線③について、偽サイトにおいてどのような処理が行われればメールサービスPへの不正アクセスが成立するか。行われる処理を35字以内で述べよ
解答
OTPの入力を要求し、OTPを認証サーバXに中継する処理
解説
フィッシングサイトへの対策についての設問です。ID管理サービスを利用しても『ID管理サービスのフィッシングサイト』に引っかかってしまうと、同様に情報が搾取されてしまいます。
(2)図5及び図6中のc~fに入れる適切な字句を、解答群の中から選び、記号で答えよ
解答
c | ウ |
d | ア |
e | エ |
f | イ |
解説
パスワードレス方式を知らずとも解ける試験対策的な解説をします。
まずeに着目します。
「利用者IDとドメインの組に対する情報」としてはcの辺りで、公開鍵Kと秘密鍵Kが登録されております。
「署名を生成」するという情報からeを秘密鍵Kと推測 ⇒ dはeで署名したLを検証しているので、公開鍵K
残りの選択肢から、署名を生成しているcが秘密鍵A ⇒ 署名の検証しているdは公開鍵A
(3)本文中の下線④について、理由を図5又は図6中の字句を用いて、40字以内で述べよ
解答
認証サーバXでオリジンbとオリジンsの一致を確認しているから
解説
ここは自信をもって解説ができません、、すいません
情報処理安全確保支援士 平成31年午後1 問3 IoT機器の開発
設問1
解答
エ
設問2
(1)本文中の下線②について、対策と認証トークンに追加する必要がある情報を15字以内で答えよ
解答
ゲームプログラムID
解説
購入していないゲームも利用できてしまう原因は、「認証トークンのなかにゲームプログラムに関する情報がないため」なので、ゲームプログラムIDを追加する必要があります。
(2)本文中の下線③について、その原因となるゲームサーバの仕様を30字以内で述べよ
解答
ゲームサーバに認証サーバと同じ共通鍵を保存する
解説
問題文中に「共通鍵はゲームシステムV全体で一つ」と記述されているため、この鍵情報がわかってしまうと
認証トークンを自由に生成することが可能となってしまう。
(3)本文中の下線④について、その原因となる認証トークンの仕様を、20字以内で述べよ。また、不正に生成した認証トークンで利用できるゲームプログラムの範囲を、35字以内で述べよ
解答
仕様 | MACの生成に共通鍵を使用する |
範囲 | 自身が管理するゲームサーバで動作する全ゲームプログラム |
解説
共通鍵がわかれば、認証トークンの発行が可能となってしまいます。また、認証トークンのみで制御しているため、ゲームプログラムごとに共有鍵を分けても、該当のゲームプログラムにはすべてアクセス可能となります。
(4)本文中のa~cに入れる適切な字句を解答群の中から選び、記号で答えよ
解答
a | オ |
b | エ |
c | カ |
解説
一般的な公開鍵暗号方式です
認証サーバ側で秘密鍵にて署名し、利用者側(ゲームサーバ)が公開鍵にて検証を行います。
(5)本文中の下線⑤について、どのようにするとクライアント証明書と鍵CをPCなどから使用可能にしてしまうことができるか。攻撃者が使用前に行う必要があることを、25字以内で具体的に述べよ。
解答
SSDを取り出し、PCなどにつなげる
解説
鍵が保存されているのがSSDなどのストレージだとすると、それをPCに接続すれば読み込めてしまい
不正に利用されてしまいます。
(6)本文中の下線⑥について、この性質を何というか。10字以内で答えよ。
解答
耐タンパ性
解説
知らなければ今回はあきらめましょう!次回同じ問題に遭遇したときにしっかり解答できるようにはしておきましょう。
設問3
本文中の下線⑦について、保護するための適切な方法を本文中の用語を使って、25字以内で具体的に述べよ
解答
ハッシュ値リストをTPMに保存する
解説
Nさんが鍵Cの保存方法を説明しているので(下線⑥付近)、そのまま使います。
解説は以上となります。