情報処理安全確保支援士 過去問解説【令和元年 午後2】

情報処理安全確保支援士 令和元年午後２　問１

設問１　

（１）図３中の下線１について、挿入されなかった場合、攻撃者の意図に反して、どのようなことが起こると想定できるか。75文字以内で具体的に述べよ。

解答

DBMS-Rにおける同じ脆弱性を悪用されて、別のマルウェアＸまたはほかのマルウェアに再度感染し、マルウェアＸの動作が阻害される

（２）本文中及びず４のα～γに入れる適切な字句を解答群の中から選び、記号で答えよ。

解説

普段Linuxを使っていれば回答可能だが、そうでないと恐らく回答は難しい。
分からない場合は潔く諦め、他の問題に時間を費やす。

解答

α	カ
β	ク
γ	ア

（３）本文中の下線２について、結論に至った根拠を100文字以内で述べよ。

解説

マルウェアXには、暗号資産の採掘プログラムによる採掘演算結果以外の情報を外部に送信する機能はなく、マルウェアX以外による遠隔コマンド実行及びSSHサービスへの接続がなかったから

設問２

（１）表２中の対策１～４は、図２中の３の（ア）～（オ）のどの機能への対策となるか。それぞれ該当する機能をすべて選び、記号で答えよ。

解答

1	イ
2	イ
3	ア、エ
4	ウ、エ、オ

解説

ア～オの機能が何をするのかをまず簡単に整理すると下記の通り
ア：外部通信
イ：侵入
ウ：設定変更
エ：外部通信、設定変更
オ：設定変更

これに対し、対策案は下記の通り
１：侵入への対策
２：侵入への対策
３：外部通信への対策
４：設定変更への対策
整理すると、回答の通り

（２）本文中及び表３中のあ～うに入れる適切な字句を答えよ。

解答

あ	22/tcp
い	6379/tcp
う	a2.b2.c2.d2

解説

サーバAにアクセス可能な通信は表1より4つ
80/tcp
443/tcp
6379/tcp
22/tcp
このうち「80」「443」はHTTP,HTTPS通信で利用されるため、それ以外の２つが正解
「い」はDBMS-Rのポートであるとそのあとに記載されているため、こちらが6379/tcpになる

（３）本文中のa,bに入れるコマンド名を本文中又は図中の字句を用いて答えよ。

解答

a	curl
b	iptables

解説

a

http通信でスクリプトをダウンロードするということはcurlです。頻出。
図3にもコマンド記載しておりますので、そのまま抜粋すれば正解

b

こちらも図3にもコマンド記載があるので、そのまま抜粋すれば正解

（４）本文中のえ～かに入れる適切な字句を解答群の中から選び、記号で答えよ。

解答

え	ハッシュ値
お	比較
か	変更

解説

え

「計算する」値なので、ハッシュ値と導き出す

お

ハッシュ値を取った理由は、一般的には比較を行うため

か

改ざんと類似の意味は変更のみ

設問３

（１）本文中の下線３について、該当する用語を解答群の中から全て選び、記号で答えよ。

解答

ア、ウ

解説

知らなければ回答は困難。考えてもわからないので、知らない場合は潔く諦め、他の設問に時間を使うこと

（２）本文中の下線４の必要な措置とは何か。60文字以内で述べよ。

解答

Ｓ社のシステムを構成する実行環境のバージョン情報を把握して、その情報を常に最新にしておくこと

解説

情報収集に先立ってやることは、「調査対象の明確化」です。
よって必要な対応は下記2点
・実行環境の情報を整理する
・バージョン情報を把握し、最新化しておく

（３）本文中のき、くに入れる適切な字句を解答群の中から選び、記号で答えよ。

き	ア
く	ウ

解説

き

脆弱性ありと判断されても、リスクが低い場合もあります。
そこで対応が必要な脆弱性かを判断するため、アセスメントを行います

く

プログラムに修正を加えたら、今まで実施した検証に影響を与えていないかを回帰テストする必要があります。

（４）図６中のけ、こに入れる適切な字句をそれぞれ5字以内で答えよ。

解答

け	レビュー
こ	第三者

解説

け

作業実行前の承認をするためには「レビュー」が必要です。

こ

ＩＴ業界に限らず、レビューは担当者の先入観を除外するために第三者にて行うことが望ましいとされています。

設問４ 本文中のc～hに入れる適切な字句を解答群の中から選び、記号で答えよ。

解答

c	オ
d	ア
e	エ
g	カ
f	キ
h	ウ

解説

コンテナについて細かく知識がなくとも、文脈から判断可能
複数の枠が用意されていう設問もありヒントが多いため、時間をかければ正解に近づける問題

情報処理安全確保支援士 令和元年午後２　問２

設問１

（１）図中の下線１について、ログに記録されたUser-Agentヘッダフィールドの値から、マルウェアによる通信であると判定するのが難しいケースがある。それはどのようなケースか。50文字以内で述べよ。

解答

User-Agentヘッダフィールドの値がＡ社で利用しているＷｅｂブラウザを示す値であるケース

解説

考えすぎると分からなくなる、セキュリティらしい癖のある問題です。
User-Agentヘッダは、通常であればブラウザなどの情報が含まれています。
今回のマルウェアはこのUser-Agentヘッダを利用しているので、感染前のようにブラウザの情報が含まれている場合でも、感染している「可能性がある」ため、マルウェアの通信と判定するのが難しい（正常な通信と判定するのも難しい）ということになります。

（２）図３中のaに入る適切な字句を、解答群の中から選び、記号で答えよ。

解答

a

エ

解説

文脈から判断

（３）図３中のbに入れる適切な字句を、解答群の中から記号で答えよ。

解答

b

ア

解説

マルウェア感染した端末の処置方法で一番安全なのは「初期化」です。初期化できれば問題ありませんが、どうしても初期化できない場合に駆除という選択肢も出てきます。今回は解答群に初期化しかありませんので、こちらを選択

（４）図３中のcに入れる適切な字句について、10文字以内で答えよ。

解答

c

サイトU

解説

本文中で登場した社外のサイトは２つ
・サイトＵ（マルウェアがアクセスした痕跡のあるサイト）
・ファイルＴを配布していたサイト
この両方をＦＷにて遮断する必要がある。

設問２

（１）表１中のd～fに入れる適切な字句を、解答群の中から選び、記号で答えよ。

解答

d	カ
e	キ
f	オ

解説

カ

文脈から「ファイル」と同義語の解答を選択

キ

「侵入を継続できる」というヒントからバックドアを選択

ク

C&Cサーバとの通信で行うことは、攻撃者からの指示を受信する事

（２）次に挙げる活動は、表１中のどのステップに該当するか。該当するステップを、それぞれ表１中の番号で答えよ。

解答

活動1	1
活動2	7
活動3	3

解説

活動１

ターゲットの情報を調べることは偵察に当たります。

活動２

ターゲットの秘密情報を盗むことがマルウェアの「目的」です。

活動３

マルウェアを届ける手段です

設問３ 本文中のg,hに入れる適切な字句を、それぞれ10字以内で答えよ。

解答

g	電波を傍受
h	MACアドレス

解説

ＭＡＣアドレス認証によって制限していると記載があるので、hはMACアドレスの情報と想像がつく。
では、MACアドレスをどのように入手するか。
APが無線ＬＡＮアクセスポイントという情報から、ネットワーク経由で入手できると分かる

設問４

（１）見直し案において、FA端末が表１のAPT攻撃を受け、表１中の番号５のステップまでが成功したと想定した場合、番号６以降のステップでのデータダイオード方式のセキュリティ上の効果は何か。25字以内で具体的に述べよ。

解答

攻撃者の操作指示がFA端末に伝えられない

解説

ダイオード方式の特徴は「片方向」であると文中の説明にもある。
どの方向を遮断しているかというと、A-NET→F-NETなので外部からの通信を遮断している。
このことから、C&Cサーバなど攻撃者からの指示が届かない効果が期待できると分かる

（２）表４中のi～kに入れる適切なものを、解答群の中から選び、記号で答えよ。解答は重複してはならない。

解答

i	イ
j	ウ
k	ア

解説

各接続方法について細かく説明されているため、説明文から判断可能

（３）本文中の下線２及び下線３について、FA端末のマルウェア感染のリスクを低下させるために共通して接続前に行うべき措置は何か。30文字以内で具体的に述べよ。

解答

USBメモリをマルウェア対策ソフトでスキャンする

解説

外部ネットワークとの接点はUSBメモリだけになったので、USBメモリに対して対策を行う

設問５

（１）事務LAN用、センサNET用の認証サーバはどこに設置するのが適切か。それぞれ図１中の（あ）（い）及び図５中の（う）～（か）から選び、記号で答えよ。

解答

事務局ＬＡＮ用	い
センサＮＥＴ用	か

解説

事務局用LAN：

認証サーバなのでＤＭＺに配置するのはリスクが高い。
サーバＬＡＮ側に配置する

センサNET用：

センサＮＥＴ用なので、センサネットのセグメントに配置する

（２）APへの不正接続を考慮した場合、図５のネットワーク構成は図４に比べ、プロジェクトWの目的の達成の面で優れている。図５が優れていると考えられる点及びその理由について、FA端末から業務サーバにデータを安全に転送するための仕組みを導入しなかった場合を想定し、60文字以内で具体的に述べよ。

解答

事務ＬＡＮとセンサＮＥＴはＦ－ＮＥＴと分離されており、ＡＰに不正接続してもＦＡ端末を攻撃できないから

解説

一番大事な違いは「Ｆ－ＮＥＴを物理的に分離したこと」です。これによりＡＰからＦＡ端末への通信は物理的に不可能になっています。
これがプロジェクトＷの目的の１つでもあります。

設問６

（1）表５中の下線４について、この値はどれか。解答群の中から選び、記号で答えよ。

解答

イ

解説

ＣＶＳＳ基準値：脆弱性そのものを特性を評価する値
ＣＶＳＳ現状値：攻撃コードの有無や対策情報など現状でのリスクを評価する値
ＣＶＳＳ環境値：最終的な脆弱性の深刻度を示す値
よって解答はイとなる

（２）表５中の下線５について、図５中の業務サーバのソフトウェアにネットワーク経由での遠隔操作につながる可能性がある深刻度の高い脆弱性が見つかった場合に、A-NETへの被害を防ぐために適切と考えられる措置の例を二つ上げ、それぞれ２５字以内に具体的に述べよ。

解答

当該脆弱性に対応したパッチを適用する。

脆弱性をもつソフトウェアの利用を停止する。

解説

「業務サーバ」ということで、サーバを停止したり切り離したりという対応では恐らくＮＧ
対象の脆弱性とソフトウェアは判明しているので、それぞれに対応するという回答を導き出す

設問７

（１）図４中の工場LAN,標準PC及びFA端末、並びに図５中の事務LAN,F-NET,センサNET,標準PC及びFA端末は、図２のセキュリティ規定に従うと、それぞれどの部門が管理を担うことになるか。適切な部門を解答群の中から選び、記号で答えよ。

解答

図４
工場ＬＡＮ	エ
標準ＰＣ	エ
ＦＡ端末	ア
図５
事務ＬＡＮ	エ
Ｆ－ＮＥＴ	ア
センサＮＥＴ	ア
標準ＰＣ	エ
ＦＡ端末	ア

解説

図２からまず下記を読み取る。
標準ＰＣ：システム部管理
A-NET：システム部管理
各部門のネットワーク：各部門管理
ＦＡ端末：標準ＰＡとは別管理。各部門管理

あとは事務ＬＡＮの管轄ですが、問題文中に下記記述がある。
図４　注記１：サーバＬＡＮ及び工場ＬＡＮはＡ－ＮＥＴの一部である
課題２の解決：事務ＬＡＮ用認証サーバはシステム部管理

この情報より、事務ＬＡＮはシステム部管理と判断する。

（２）本文中の下線６について、追加すべき事項を二つ挙げ、本文中の用語を用いて、それぞれ20字以内で具体的に述べよ。

解答

①	各部門が定めた管理・維持のための措置
②	リスクアセスメントの結果

解説

Ｃさんが追加で定めたセキュリティ規定が適切に運用されているか確認する必要がある。
チェックリストのようなものを追加するとイメージすると分かりやすい

情報処理安全確保支援士　過去問解説その他記事