情報処理安全確保支援士 過去問解説【平成３１年 午後１】

高度試験の午後問題を解説しているサイトが少ないので、作成しました。

日本の技術者の皆様のスキルアップの一助となれば幸いです。

情報処理安全確保支援士　平成３１年午後１　問１　WEBサイトのセキュリティ

設問１

（１）本文中のaに入れる字句を答えよ

解答

Same-Origin

（２）本文中のb～dに入れる適切な字句を解答群の中から選び、記号で答えよ

解答

b	イ
c	キ
d	ク

解説

Same-Originポリシーに関する出題です。WEBサイトへのアクセス時に必要な項目を選択します。

（３）本文中の下線①について、具体的な操作内容を、20文字以内で答えよ。

解答

WebサイトBへのログイン

解説

図１の2),4)に記載の通り、会員情報取得はWebサイトBにログインしている状態であることを前提としているため

設問２

本文中のeに入れる適切な記号を、（ⅲ）～（ⅵ）の中から選び、答えよ。

解答

（ⅴ）

解説

CORSを利用した際にcookie情報がどのタイミングで共有されるかを問う問題

細かい仕様を知らずとも、下記2点で絞れる

1. リクエスト時にcookieが送信される
2. プリフライトリクエストは「許可を得るための通信」なので、このタイミングで情報を共有することはない

設問３

（１）表１中のfに入れる適切なURLを答えよ

解答

https://site-a.m-sha.co.jp

解説

図５に当てはめれば、解答にたどり着ける。

Access-Control-Allow-Originヘッダフィールドには、許可するWebサイトのオリジンが返却されるため、今回対象としているWebサイトAのオリジンがレスポンスされる

（２）表１中のgに入れる適切な字句を、30文字以内で答えよ

解答

売れ筋商品情報配信の申し込みページのオリジン

解説

ブラウザ側で、どのオリジンに対して許可がされたのかを判断する。

No4のレスポンスでは、「売れ筋商品情報配信の申し込みページのオリジン」から「WebサイトB」に許可を求めているので

ブラウザが表示しているページが「売れ筋商品情報配信の申し込みページのオリジン」である必要がある。

（３）本文中のh,iに入れる適切な字句をそれぞれ20字以内で、本文中のjに入れる適切な字句を5字以内で答えよ

解答

h	Originヘッダフィールドの値
i	許可するオリジンのリスト
j	一致

解説

D課長は、複数のオリジンに対応するために、許可するオリジンのリストを作成する必要があると述べている。

CORSでオリジンが１つからリスト形式になった場合の一致確認の方法を記述するだけである。

情報処理安全確保支援士　平成３１年午後１　問２　クラウドサービスのセキュリティ

設問１

（１）図２中の下線①について、攻撃者が用意した無線LANアクセスポイントには何が設定されていたと考えられるか。設定を30字以内で述べよ

解答

ホテルWi-Fiと同じSSIDと事前共有鍵

解説

無線LANに関する頻出問題

SSIDは自由に設定できることを悪用し、実在するSSIDと同じ設定を行うことにより、利用者を欺き無線LANに接続させる手法

（２）図2中のa,bに入れる適切な字句を、本文、図１又は図２中の字句を用いて答えよ

解答

a	メールサービスP
b	攻撃者が用意したWebサーバ

解説

従業員SさんはメールサーバPにアクセスしたタイミングで何らかの情報を搾取されたものと思われる。

攻撃者は、自身で用意したWebサーバに接続させるために、メールサーバPのドメインを攻撃者が用意したＷｅｂサーバに転送するようＤＮＳに設定を行っている。

（３）図２中の下線にについて、この時、サーバ証明書が信頼できない旨のエラーが表示されなかったのはなぜか。メールサーバPにHSTSが実装されていないことを踏まえ、理由を20字以内で述べよ

解答

HTTPで接続が開始されたため

解説

図１に記載されている「WebブラウザのアドレスバーにFQDNを入力」「メールサーバPでHSTSは実装されていない」という内容から、HTTPで接続が開始されたことが推測される。

HTTPの場合はサーバ証明書の認証が行われないため、証明書エラーは表示されない

設問２

（１）本文中の下線③について、偽サイトにおいてどのような処理が行われればメールサービスPへの不正アクセスが成立するか。行われる処理を35字以内で述べよ

解答

OTPの入力を要求し、OTPを認証サーバXに中継する処理

解説

フィッシングサイトへの対策についての設問です。ID管理サービスを利用しても『ID管理サービスのフィッシングサイト』に引っかかってしまうと、同様に情報が搾取されてしまいます。

（２）図５及び図６中のc～fに入れる適切な字句を、解答群の中から選び、記号で答えよ

解答

c	ウ
d	ア
e	エ
f	イ

解説

パスワードレス方式を知らずとも解ける試験対策的な解説をします。

まずeに着目します。

「利用者IDとドメインの組に対する情報」としてはcの辺りで、公開鍵Kと秘密鍵Kが登録されております。

「署名を生成」するという情報からeを秘密鍵Kと推測　⇒　dはeで署名したLを検証しているので、公開鍵K

残りの選択肢から、署名を生成しているcが秘密鍵A　⇒　署名の検証しているdは公開鍵A

（３）本文中の下線④について、理由を図５又は図６中の字句を用いて、40字以内で述べよ

解答

認証サーバXでオリジンbとオリジンsの一致を確認しているから

解説

ここは自信をもって解説ができません、、すいません

情報処理安全確保支援士　平成３１年午後１　問３　ＩoＴ機器の開発

設問１

解答

エ

設問２

（１）本文中の下線②について、対策と認証トークンに追加する必要がある情報を15字以内で答えよ

解答

ゲームプログラムID

解説

購入していないゲームも利用できてしまう原因は、「認証トークンのなかにゲームプログラムに関する情報がないため」なので、ゲームプログラムIDを追加する必要があります。

（２）本文中の下線③について、その原因となるゲームサーバの仕様を30字以内で述べよ

解答

ゲームサーバに認証サーバと同じ共通鍵を保存する

解説

問題文中に「共通鍵はゲームシステムV全体で一つ」と記述されているため、この鍵情報がわかってしまうと

認証トークンを自由に生成することが可能となってしまう。

（３）本文中の下線④について、その原因となる認証トークンの仕様を、20字以内で述べよ。また、不正に生成した認証トークンで利用できるゲームプログラムの範囲を、35字以内で述べよ

解答

仕様	MACの生成に共通鍵を使用する
範囲	自身が管理するゲームサーバで動作する全ゲームプログラム

解説

共通鍵がわかれば、認証トークンの発行が可能となってしまいます。また、認証トークンのみで制御しているため、ゲームプログラムごとに共有鍵を分けても、該当のゲームプログラムにはすべてアクセス可能となります。

（４）本文中のa～cに入れる適切な字句を解答群の中から選び、記号で答えよ

解答

a	オ
b	エ
c	カ

解説

一般的な公開鍵暗号方式です

認証サーバ側で秘密鍵にて署名し、利用者側（ゲームサーバ）が公開鍵にて検証を行います。

（５）本文中の下線⑤について、どのようにするとクライアント証明書と鍵CをPCなどから使用可能にしてしまうことができるか。攻撃者が使用前に行う必要があることを、25字以内で具体的に述べよ。

解答

SSDを取り出し、PCなどにつなげる

解説

鍵が保存されているのがSSDなどのストレージだとすると、それをPCに接続すれば読み込めてしまい

不正に利用されてしまいます。

（６）本文中の下線⑥について、この性質を何というか。10字以内で答えよ。

解答

耐タンパ性

解説

知らなければ今回はあきらめましょう！次回同じ問題に遭遇したときにしっかり解答できるようにはしておきましょう。

設問３

本文中の下線⑦について、保護するための適切な方法を本文中の用語を使って、25字以内で具体的に述べよ

解答

ハッシュ値リストをTPMに保存する

解説

Nさんが鍵Cの保存方法を説明しているので（下線⑥付近）、そのまま使います。

解説は以上となります。

情報処理安全確保支援士　過去問解説その他記事