【過去問解説】平成31年 午後1 情報処理安全確保支援士(解説付き)

高度試験の午後問題を解説しているサイトが少ないので、作成しました。

日本の技術者の皆様のスキルアップの一助となれば幸いです。

目次

問1 WEBサイトのセキュリティ

設問1

(1)本文中のaに入れる字句を答えよ

解答

Same-Origin

(2)本文中のb~dに入れる適切な字句を解答群の中から選び、記号で答えよ

解答

b
c
d

解説

Same-Originポリシーに関する出題です。WEBサイトへのアクセス時に必要な項目を選択します。

(3)本文中の下線①について、具体的な操作内容を、20文字以内で答えよ。

解答

WebサイトBへのログイン

解説

図1の2),4)に記載の通り、会員情報取得はWebサイトBにログインしている状態であることを前提としているため

設問2

本文中のeに入れる適切な記号を、(ⅲ)~(ⅵ)の中から選び、答えよ。

解答

(ⅴ)

解説

CORSを利用した際にcookie情報がどのタイミングで共有されるかを問う問題

細かい仕様を知らずとも、下記2点で絞れる

  1. リクエスト時にcookieが送信される
  2. プリフライトリクエストは「許可を得るための通信」なので、このタイミングで情報を共有することはない

設問3

(1)表1中のfに入れる適切なURLを答えよ

解答

https://site-a.m-sha.co.jp

解説

図5に当てはめれば、解答にたどり着ける。

Access-Control-Allow-Originヘッダフィールドには、許可するWebサイトのオリジンが返却されるため、今回対象としているWebサイトAのオリジンがレスポンスされる

(2)表1中のgに入れる適切な字句を、30文字以内で答えよ

解答

売れ筋商品情報配信の申し込みページのオリジン

解説

ブラウザ側で、どのオリジンに対して許可がされたのかを判断する。

No4のレスポンスでは、「売れ筋商品情報配信の申し込みページのオリジン」から「WebサイトB」に許可を求めているので

ブラウザが表示しているページが「売れ筋商品情報配信の申し込みページのオリジン」である必要がある。

(3)本文中のh,iに入れる適切な字句をそれぞれ20字以内で、本文中のjに入れる適切な字句を5字以内で答えよ

解答

hOriginヘッダフィールドの値
i許可するオリジンのリスト
j一致

解説

D課長は、複数のオリジンに対応するために、許可するオリジンのリストを作成する必要があると述べている。

CORSでオリジンが1つからリスト形式になった場合の一致確認の方法を記述するだけである。

問2 クラウドサービスのセキュリティ

設問1

(1)図2中の下線①について、攻撃者が用意した無線LANアクセスポイントには何が設定されていたと考えられるか。設定を30字以内で述べよ

解答

ホテルWi-Fiと同じSSIDと事前共有鍵

解説

無線LANに関する頻出問題

SSIDは自由に設定できることを悪用し、実在するSSIDと同じ設定を行うことにより、利用者を欺き無線LANに接続させる手法

(2)図2中のa,bに入れる適切な字句を、本文、図1又は図2中の字句を用いて答えよ

解答

aメールサービスP
b攻撃者が用意したWebサーバ

解説

従業員SさんはメールサーバPにアクセスしたタイミングで何らかの情報を搾取されたものと思われる。

攻撃者は、自身で用意したWebサーバに接続させるために、メールサーバPのドメインを攻撃者が用意したWebサーバに転送するようDNSに設定を行っている。

(3)図2中の下線にについて、この時、サーバ証明書が信頼できない旨のエラーが表示されなかったのはなぜか。メールサーバPにHSTSが実装されていないことを踏まえ、理由を20字以内で述べよ

解答

HTTPで接続が開始されたため

解説

図1に記載されている「WebブラウザのアドレスバーにFQDNを入力」「メールサーバPでHSTSは実装されていない」という内容から、HTTPで接続が開始されたことが推測される。

HTTPの場合はサーバ証明書の認証が行われないため、証明書エラーは表示されない

設問2

(1)本文中の下線③について、偽サイトにおいてどのような処理が行われればメールサービスPへの不正アクセスが成立するか。行われる処理を35字以内で述べよ

解答

OTPの入力を要求し、OTPを認証サーバXに中継する処理

解説

フィッシングサイトへの対策についての設問です。ID管理サービスを利用しても『ID管理サービスのフィッシングサイト』に引っかかってしまうと、同様に情報が搾取されてしまいます。

(2)図5及び図6中のc~fに入れる適切な字句を、解答群の中から選び、記号で答えよ

解答

c
d
e
f

解説

パスワードレス方式を知らずとも解ける試験対策的な解説をします。

まずeに着目します。

「利用者IDとドメインの組に対する情報」としてはcの辺りで、公開鍵Kと秘密鍵Kが登録されております。

「署名を生成」するという情報からeを秘密鍵Kと推測 ⇒ dはeで署名したLを検証しているので、公開鍵K

残りの選択肢から、署名を生成しているcが秘密鍵A ⇒ 署名の検証しているdは公開鍵A

(3)本文中の下線④について、理由を図5又は図6中の字句を用いて、40字以内で述べよ

解答

認証サーバXでオリジンbとオリジンsの一致を確認しているから

解説

ここは自信をもって解説ができません、、すいません

問3 IoT機器の開発

設問1

解答

設問2

(1)本文中の下線②について、対策と認証トークンに追加する必要がある情報を15字以内で答えよ

解答

ゲームプログラムID

解説

購入していないゲームも利用できてしまう原因は、「認証トークンのなかにゲームプログラムに関する情報がないため」なので、ゲームプログラムIDを追加する必要があります。

(2)本文中の下線③について、その原因となるゲームサーバの仕様を30字以内で述べよ

解答

ゲームサーバに認証サーバと同じ共通鍵を保存する

解説

問題文中に「共通鍵はゲームシステムV全体で一つ」と記述されているため、この鍵情報がわかってしまうと

認証トークンを自由に生成することが可能となってしまう。

(3)本文中の下線④について、その原因となる認証トークンの仕様を、20字以内で述べよ。また、不正に生成した認証トークンで利用できるゲームプログラムの範囲を、35字以内で述べよ

解答

仕様MACの生成に共通鍵を使用する
範囲自身が管理するゲームサーバで動作する全ゲームプログラム

解説

共通鍵がわかれば、認証トークンの発行が可能となってしまいます。また、認証トークンのみで制御しているため、ゲームプログラムごとに共有鍵を分けても、該当のゲームプログラムにはすべてアクセス可能となります。

(4)本文中のa~cに入れる適切な字句を解答群の中から選び、記号で答えよ

解答

a
b
c

解説

一般的な公開鍵暗号方式です

認証サーバ側で秘密鍵にて署名し、利用者側(ゲームサーバ)が公開鍵にて検証を行います。

(5)本文中の下線⑤について、どのようにするとクライアント証明書と鍵CをPCなどから使用可能にしてしまうことができるか。攻撃者が使用前に行う必要があることを、25字以内で具体的に述べよ。

解答

SSDを取り出し、PCなどにつなげる

解説

鍵が保存されているのがSSDなどのストレージだとすると、それをPCに接続すれば読み込めてしまい

不正に利用されてしまいます。

(6)本文中の下線⑥について、この性質を何というか。10字以内で答えよ。

解答

耐タンパ性

解説

知らなければあきらめましょう

設問3

本文中の下線⑦について、保護するための適切な方法を本文中の用語を使って、25字以内で具体的に述べよ

解答

ハッシュ値リストをTPMに保存する

解説

Nさんが鍵Cの保存方法を説明しているので(下線⑥付近)、そのまま使います。

 

解説は以上となります。

 

コメントを残す

メールアドレスが公開されることはありません。

CAPTCHA