情報処理安全確保支援士 過去問解説【令和２年 午後1】

“情報処理安全確保支援士 過去問解説【令和２年 午後1】” に対して13件のコメントがあります。

1. 青山 より:

   2021年4月7日 12:07 PM

   コメント失礼致します。
   現在、過去問に関して勉強中ですが、
   令和２年の問１に対して少し疑問があります。
   図２，３の内容では、改ざん対策はできそうですが
   なりすましが対応できるかどうか疑問です。
   本文で説明されていない部分があるかもしれませんが、
   会員番号が判れば、その都度ＱＲコードが作成できても、再びなりすましが
   可能と思えるのですが如何でしょうか？

   返信
   1. syun03 より:

      2021年4月7日 11:45 PM

      青山様

      コメントありがとうございます。
      令和２年の問１の「なりすまし」対策ですが、図２に記載の通り
      「会員番号」「乱数」「時刻」を基にHAMC値αを生成しておりますので
      「会員番号」に他人の物を入力すると、生成されるHMAC値が変わりますのでQRコード検証で不一致となります。

      もしもQRコード作成時の「会員番号」が『決済アプリ側から』送信しているのであればなりすましの余地がありますが
      問題文上にはそれは明示されておりませんので、図２がなりすまし対策となっております。

      返信
2. 青山 より:

   2021年4月8日 1:16 PM

   返信ありがとうございます。
   会員番号を知り得た場合、決済アプリから生成できるとも
   理解できますので、問題文は少し説明や補足が足りないと
   思いますが如何でしょうか？

   返信
   1. syun03 より:

      2021年4月8日 9:44 PM

      情報処理試験全般に言える事ですが
      「問題文にない情報は前提としない」ことは、試験を受けるうえで意識が必要ですね。
      過去問などを繰り返して慣れていくものかと思います。

      返信
3. するがモンキー より:

   2021年4月9日 2:03 PM

   コメント失礼致します。
   今年初めて受験するため、過去問を解きながら解説サイトを探しているところ辿りつくことができました。
   非常に参考になる解説をしていただきありがとうございます。
   １つ質問があります。
   問１　設問１の（１）に対してです。
   他社のバーコードを撮影し利用する。と記入したのですが
   この回答は的を得てるものでしょうか。
   お手隙の際、ご返信お願いします。

   返信
   1. syun03 より:

      2021年4月9日 4:14 PM

      コメントありがとうございます。
      記載頂いた内容でも問題ないと思います。
      バーコードだけでなりすましできてしまう状態なので、手段は色々あると思います。

      返信
4. サンズ より:

   2022年3月13日 6:31 PM

   いつも勉強させていただいております。

   一点疑問を感じたのですが
   問3の設問1の(3)は本番Webサーバに接続可能と言う点では、a、b、eが以下の理由で可能と考えたのですが
   aと断定できる理由をご教示いただけないでしょうか

   a、b:本番Webサーバまでの間にFWが無いため、通信を遮るものがないため
   e:FW2にてフィルタリングされるが、管理PCセグメントからの通信は許可しているため、同様に接続可能

   返信
   1. syun03 より:

      2022年3月13日 10:48 PM

      サンズ様
      コメント頂きありがとうございます。「a」と断定できる理由ですが、表２を見ると「管理LANに侵入し～」と記載がございます。よって接続時点では管理LANには侵入していないことがわかります。この辺りは国語の問題ですね。

      返信
5. サンズ より:

   2022年3月15日 4:13 PM

   Syun03様

   お早いご回答ありがとうございます
   確かに管理LANに侵入する目的となると、DMZ上になるわけですね

   的確なご回答ありがとうございます
   今後とも参考にさせていただきます

   返信
6. かなしみの初心者 より:

   2023年2月25日 12:56 PM

   問２　電子メールのセキュリティ対策のS/MIMEにおける質問になります。
   問題文中では暗号化となりすましの対応としてＳ/MIMEを用いる流れになっておりますが、
   暗号化への対応としては理解できるのですが、なりすましへの対応となっているかが理解できておりません。問題文中のR社認証局はR社メール受信者の公開鍵を証明するものであって送信者（委託先）のなりすましを確認できるものはないと考えています。
   基本的な質問で申し訳ありませんがご教授お願いいたします。

   返信
   1. syun03 より:

      2023年2月26日 3:42 PM

      ご質問に回答させて頂きます。

      p.11に

      (イ)委託先に事前にS/MIME証明書を渡す必要があり、その方法を決める必要がある。

      と記載があるように、委託際にもS/MIME証明書を渡し委託先からのメールも暗号化してもらいます。
      これが公開鍵で復号できれば真正性を確認できる、と理解しております。

      返信
7. 匿名 より:

   2023年4月1日 3:02 AM

   ご返信ありがとうございます。あれから１月ほど勉強して多少は理解度もあがりました。
   委託先にS/MIME証明書を渡す事でR社のなりすましは防げており、公開暗号化方式によって共通鍵を渡しあう⇒委託先は自身の秘密鍵で署名を付けて公開鍵と共にメールを共通鍵で暗号化してR社へ送る⇒R社は共通鍵で複合し送られてきた公開鍵で署名の検証を行うことで委託先のなりすましを防ぐことができる。こんな理解に至りました。

   返信
8. かなしみの初心者 より:

   2023年4月1日 3:04 AM

   ご返信ありがとうございます。あれから１月ほど勉強して多少は理解度もあがりました。
   委託先にS/MIME証明書を渡す事でR社のなりすましは防げており、公開暗号化方式によって共通鍵を渡しあう⇒委託先は自身の秘密鍵で署名を付けて公開鍵と共にメールを共通鍵で暗号化してR社へ送る⇒R社は共通鍵で複合し送られてきた公開鍵で署名の検証を行うことで委託先のなりすましを防ぐことができる。こんな理解に至りました。

   すいませんレスを返したつもりが↓に新規でコメントしてしまいましたので↓のコメントの削除をお手数ですがよろしくお願いいたします。

   返信