【過去問解説】令和元年 午後2 情報処理安全確保支援士

目次

問1

設問1 

(1)図3中の下線1について、挿入されなかった場合、攻撃者の意図に反して、どのようなことが起こると想定できるか。75文字以内で具体的に述べよ。

解答

DBMS-Rにおける同じ脆弱性を悪用されて、別のマルウェアXまたはほかのマルウェアに再度感染し、マルウェアXの動作が阻害される

(2)本文中及びず4のα~γに入れる適切な字句を解答群の中から選び、記号で答えよ。

解説

普段Linuxを使っていれば回答可能だが、そうでないと恐らく回答は難しい。
分からない場合は潔く諦め、他の問題に時間を費やす。

解答

α
β
γ

(3)本文中の下線2について、結論に至った根拠を100文字以内で述べよ。

解説

マルウェアXには、暗号資産の採掘プログラムによる採掘演算結果以外の情報を外部に送信する機能はなく、マルウェアX以外による遠隔コマンド実行及びSSHサービスへの接続がなかったから

設問2

(1)表2中の対策1~4は、図2中の3の(ア)~(オ)のどの機能への対策となるか。それぞれ該当する機能をすべて選び、記号で答えよ。

解答

1
2
3 ア、エ
4 ウ、エ、オ

解説

ア~オの機能が何をするのかをまず簡単に整理すると下記の通り
ア:外部通信
イ:侵入
ウ:設定変更
エ:外部通信、設定変更
オ:設定変更

これに対し、対策案は下記の通り
1:侵入への対策
2:侵入への対策
3:外部通信への対策
4:設定変更への対策
整理すると、回答の通り

(2)本文中及び表3中のあ~うに入れる適切な字句を答えよ。

解答

22/tcp
6379/tcp
a2.b2.c2.d2

解説

サーバAにアクセス可能な通信は表1より4つ
80/tcp
443/tcp
6379/tcp
22/tcp
このうち「80」「443」はHTTP,HTTPS通信で利用されるため、それ以外の2つが正解
「い」はDBMS-Rのポートであるとそのあとに記載されているため、こちらが6379/tcpになる

(3)本文中のa,bに入れるコマンド名を本文中又は図中の字句を用いて答えよ。

解答

a curl
b iptables

解説

a

http通信でスクリプトをダウンロードするということはcurlです。頻出。
図3にもコマンド記載しておりますので、そのまま抜粋すれば正解

b

こちらも図3にもコマンド記載があるので、そのまま抜粋すれば正解

(4)本文中のえ~かに入れる適切な字句を解答群の中から選び、記号で答えよ。

解答

ハッシュ値
比較
変更

解説

「計算する」値なので、ハッシュ値と導き出す

ハッシュ値を取った理由は、一般的には比較を行うため

改ざんと類似の意味は変更のみ

設問3

(1)本文中の下線3について、該当する用語を解答群の中から全て選び、記号で答えよ。

解答

ア、ウ

解説

知らなければ回答は困難。考えてもわからないので、知らない場合は潔く諦め、他の設問に時間を使うこと

(2)本文中の下線4の必要な措置とは何か。60文字以内で述べよ。

解答

S社のシステムを構成する実行環境のバージョン情報を把握して、その情報を常に最新にしておくこと

解説

情報収集に先立ってやることは、「調査対象の明確化」です。
よって必要な対応は下記2点
・実行環境の情報を整理する
・バージョン情報を把握し、最新化しておく

(3)本文中のき、くに入れる適切な字句を解答群の中から選び、記号で答えよ。

解説

脆弱性ありと判断されても、リスクが低い場合もあります。
そこで対応が必要な脆弱性かを判断するため、アセスメントを行います

プログラムに修正を加えたら、今まで実施した検証に影響を与えていないかを回帰テストする必要があります。

(4)図6中のけ、こに入れる適切な字句をそれぞれ5字以内で答えよ。

解答

レビュー
第三者

解説

作業実行前の承認をするためには「レビュー」が必要です。

IT業界に限らず、レビューは担当者の先入観を除外するために第三者にて行うことが望ましいとされています。

設問4 本文中のc~hに入れる適切な字句を解答群の中から選び、記号で答えよ。

解答

c
d
e
g
f
h

解説

コンテナについて細かく知識がなくとも、文脈から判断可能
複数の枠が用意されていう設問もありヒントが多いため、時間をかければ正解に近づける問題

問2

設問1

(1)図中の下線1について、ログに記録されたUser-Agentヘッダフィールドの値から、マルウェアによる通信であると判定するのが難しいケースがある。それはどのようなケースか。50文字以内で述べよ。

解答

User-Agentヘッダフィールドの値がA社で利用しているWebブラウザを示す値であるケース

解説

考えすぎると分からなくなる、セキュリティらしい癖のある問題です。
User-Agentヘッダは、通常であればブラウザなどの情報が含まれています。
今回のマルウェアはこのUser-Agentヘッダを利用しているので、感染前のようにブラウザの情報が含まれている場合でも、感染している「可能性がある」ため、マルウェアの通信と判定するのが難しい(正常な通信と判定するのも難しい)ということになります。

(2)図3中のaに入る適切な字句を、解答群の中から選び、記号で答えよ。

解答

a

解説

文脈から判断

(3)図3中のbに入れる適切な字句を、解答群の中から記号で答えよ。

解答

b

解説

マルウェア感染した端末の処置方法で一番安全なのは「初期化」です。初期化できれば問題ありませんが、どうしても初期化できない場合に駆除という選択肢も出てきます。今回は解答群に初期化しかありませんので、こちらを選択

(4)図3中のcに入れる適切な字句について、10文字以内で答えよ。

解答

c サイトU

解説

本文中で登場した社外のサイトは2つ
・サイトU(マルウェアがアクセスした痕跡のあるサイト)
・ファイルTを配布していたサイト
この両方をFWにて遮断する必要がある。

設問2

(1)表1中のd~fに入れる適切な字句を、解答群の中から選び、記号で答えよ。

解答


d
e
f

解説

文脈から「ファイル」と同義語の解答を選択

「侵入を継続できる」というヒントからバックドアを選択

C&Cサーバとの通信で行うことは、攻撃者からの指示を受信する事

(2)次に挙げる活動は、表1中のどのステップに該当するか。該当するステップを、それぞれ表1中の番号で答えよ。

解答

活動1 1
活動2 7
活動3 3

解説

活動1

ターゲットの情報を調べることは偵察に当たります。

活動2

ターゲットの秘密情報を盗むことがマルウェアの「目的」です。

活動3

マルウェアを届ける手段です

設問3 本文中のg,hに入れる適切な字句を、それぞれ10字以内で答えよ。

解答

g 電波を傍受
h MACアドレス

解説

MACアドレス認証によって制限していると記載があるので、hはMACアドレスの情報と想像がつく。
では、MACアドレスをどのように入手するか。
APが無線LANアクセスポイントという情報から、ネットワーク経由で入手できると分かる

設問4

(1)見直し案において、FA端末が表1のAPT攻撃を受け、表1中の番号5のステップまでが成功したと想定した場合、番号6以降のステップでのデータダイオード方式のセキュリティ上の効果は何か。25字以内で具体的に述べよ。

解答

攻撃者の操作指示がFA端末に伝えられない

解説

ダイオード方式の特徴は「片方向」であると文中の説明にもある。
どの方向を遮断しているかというと、A-NET→F-NETなので外部からの通信を遮断している。
このことから、C&Cサーバなど攻撃者からの指示が届かない効果が期待できると分かる

(2)表4中のi~kに入れる適切なものを、解答群の中から選び、記号で答えよ。解答は重複してはならない。

解答

i
j
k

解説

各接続方法について細かく説明されているため、説明文から判断可能

(3)本文中の下線2及び下線3について、FA端末のマルウェア感染のリスクを低下させるために共通して接続前に行うべき措置は何か。30文字以内で具体的に述べよ。

解答

USBメモリをマルウェア対策ソフトでスキャンする

解説

外部ネットワークとの接点はUSBメモリだけになったので、USBメモリに対して対策を行う

設問5

(1)事務LAN用、センサNET用の認証サーバはどこに設置するのが適切か。それぞれ図1中の(あ)(い)及び図5中の(う)~(か)から選び、記号で答えよ。

解答

事務局LAN用
センサNET用

解説

事務局用LAN:

認証サーバなのでDMZに配置するのはリスクが高い。
サーバLAN側に配置する

センサNET用:

センサNET用なので、センサネットのセグメントに配置する

(2)APへの不正接続を考慮した場合、図5のネットワーク構成は図4に比べ、プロジェクトWの目的の達成の面で優れている。図5が優れていると考えられる点及びその理由について、FA端末から業務サーバにデータを安全に転送するための仕組みを導入しなかった場合を想定し、60文字以内で具体的に述べよ。

解答

事務LANとセンサNETはF-NETと分離されており、APに不正接続してもFA端末を攻撃できないから

解説

一番大事な違いは「F-NETを物理的に分離したこと」です。これによりAPからFA端末への通信は物理的に不可能になっています。
これがプロジェクトWの目的の1つでもあります。

設問6

(1)表5中の下線4について、この値はどれか。解答群の中から選び、記号で答えよ。

解答

解説

CVSS基準値:脆弱性そのものを特性を評価する値
CVSS現状値:攻撃コードの有無や対策情報など現状でのリスクを評価する値
CVSS環境値:最終的な脆弱性の深刻度を示す値
よって解答はイとなる

(2)表5中の下線5について、図5中の業務サーバのソフトウェアにネットワーク経由での遠隔操作につながる可能性がある深刻度の高い脆弱性が見つかった場合に、A-NETへの被害を防ぐために適切と考えられる措置の例を二つ上げ、それぞれ25字以内に具体的に述べよ。

解答

当該脆弱性に対応したパッチを適用する。
脆弱性をもつソフトウェアの利用を停止する。

解説

「業務サーバ」ということで、サーバを停止したり切り離したりという対応では恐らくNG
対象の脆弱性とソフトウェアは判明しているので、それぞれに対応するという回答を導き出す

設問7

(1)図4中の工場LAN,標準PC及びFA端末、並びに図5中の事務LAN,F-NET,センサNET,標準PC及びFA端末は、図2のセキュリティ規定に従うと、それぞれどの部門が管理を担うことになるか。適切な部門を解答群の中から選び、記号で答えよ。

解答

図4  
工場LAN
標準PC
FA端末
図5  
事務LAN
F-NET
センサNET
標準PC
FA端末

解説

図2からまず下記を読み取る。
標準PC:システム部管理
A-NET:システム部管理
各部門のネットワーク:各部門管理
FA端末:標準PAとは別管理。各部門管理

あとは事務LANの管轄ですが、問題文中に下記記述がある。
図4 注記1:サーバLAN及び工場LANはA-NETの一部である
課題2の解決:事務LAN用認証サーバはシステム部管理

この情報より、事務LANはシステム部管理と判断する。

(2)本文中の下線6について、追加すべき事項を二つ挙げ、本文中の用語を用いて、それぞれ20字以内で具体的に述べよ。

解答

各部門が定めた管理・維持のための措置
リスクアセスメントの結果

解説

Cさんが追加で定めたセキュリティ規定が適切に運用されているか確認する必要がある。
チェックリストのようなものを追加するとイメージすると分かりやすい

 

コメントを残す

メールアドレスが公開されることはありません。

CAPTCHA