【過去問解説】令和2年 午後1 情報処理安全確保支援士(解説付き)

IPAから解答でましたので、自己採点をしてみました。

結果

90%の正解率

でした。

全問正解とまではいきませんが、まずまずな数値で満足しています。

今後も自身のスキルアップのために、挑戦していきたいと思います。

(間違っていた部分の回答は修正済みです。)

IPAの公式サイトには過去問解説はありませんので、解答を見てもわからない部分などは

当サイトにて解説を確認頂き、理解を深めて頂ければ幸いです。

目次

問1 スマートフォンを用いた決済に関して

設問1

(1)どのような手段で成りすまし決済ができるのか。想定される手段を30字以内で具体的に述べよ。また、その攻撃が成功してしまう決済アプリにおける問題を25字以内で具体的に述べよ。

解答

想定される手段:他人の会員番号をバーコードとして提示する

決済アプリにおける問題:会員番号のみを利用しているため

解説

「流出したログインIDを使う」なども解答として考えられるが

Xさんは、対策として「メッセージ認証」を用いるように変更しています。これは、『バーコードのみでは、一度流出するとずっと使い続けることができる』という問題点の解決と受け取れます。

(2)図3中のaに入れる適切な字句を、30字以内で述べよ

解答

HMAC値αとHMAC値βが一致することを確認する

解説

ハッシュ値の検証方法は「同じ情報・秘密鍵を用いて、同じHASH値が取得できること」です。

ハッシュ関数のおさらいはwikipediaで確認

設問2

(1)本文中の下線1について、攻撃者はどの設定項目の内容をどのように変更するか。変更する設定項目を表5の中から選び、記号で答えよ。また、変更後の設定内容を25字以内で述べよ

解答

い:攻撃者が用意したDNSサーバのIPアドレス

解説

攻撃者が悪意のあるDNSを用意すれば、利用者がサイトを参照する際に、利用者に気付かれずに悪意のあるサイトへ誘導することができます。

(2)図4中のb~dに入れる適切な字句を、b,dについては解答群の中から記号で、cについては5字以内で、それぞれ答えよ。

b
cFQDN
d

設問3

(1)本文中の下線2について、Nシステムのどのような挙動を利用してスクリーニングを実行したと考えられるか。利用したと考えられる挙動を40字以内で具体的に述べよ。

解答

会員登録時にメールアドレスの登録有無を判断し、エラー表示される。

【IPA解答】メールアドレスが登録されているかどうかで表示が異なる挙動。

解説

会員登録画面でメールアドレスが登録済みであることが攻撃者にわかってしまい、リストが作成される。

(2)本文中の下線3について、表3中の修正すべき処理を記号で答えよ。また、どのように修正すべきか。修正後の処理を、25字以内で述べよ。

解答

2-b2-aと同じメッセージ表示にする。

解説

「メールアドレス登録有無によって画面表示が異なる」という点を解消する必要がある。

問2 電子メールのセキュリティ対策

設問1

(1)表1中のaに入れる適切なプロトコル名を、英字5字以内で答えよ。

解答

LDAP

(2)本文中のbに入れる適切なプロトコル名を、英字5字以内で答えよ。

解答

OCSP

設問2

(1)本文中の下線1の理由を、35字以内で述べよ

解答

メールサーバ上ではメールアは暗号化されていないため

(2)本文中のcに入れる適切な字句を、10字以内で答えよ。

解答

メールサーバ

(3)本文中の下線2について、復号できなくなるのはどのような場合か。25字以内で述べよ。

解答

復号に必要な秘密鍵を削除したとき

設問3 本文中のg~gに入れる字句を、d,fは、それぞれ10字以内で、e,gはそれぞれ5字以内で答えよ。

解答

dディジタル署名
e検証
fメーリングリストの登録メンバ
gメーリングリスト

問3 Webシステムのセキュリティ診断

設問1

(1)本文中の下線1について、その理由を述べよ。

解答

N-IPSで遮断されてしまう攻撃についても診断が行えるため

解説

N-IPSは脅威レベルが高い通信を遮断してしまう。これでは正しい脆弱性試験ができないため、無効にする必要がある。

(2)本文中の下線2について、どのような設定変更をすべきか。設定内容の内容を30字以内で述べよ。

解答

診断PCに設定して固定IPアドレスをホワイトリストに登録する

解説

N-IPSの設定を無効化するには、「設定を変更する」か「ホワイトリストに登録」する必要がある。表1のN-IPSの項を参照

(3)本文中及び表2中のaに入れる診断PCの接続箇所を、図1中の接続点(a)~(f)の記号で答えよ。

解答

(a)

解説

本番Webサーバへのポートスキャンを遮断されないようにするため、本番Webサーバと同じセグメントから接続する。

本番Webサーバに内部から接続できるのはaのみ。

設問2

(1)本文中のbに入れる適切な字句を、15字以内で具体的に答えよ。

解答

診断用の利用者ID

解説

P.16に「診断後は診断前の状態に戻すこと」「診断のため、利用者IDとポイントを付与する」という2点の記載がある。

(2)本文中の下線3について、何をどのように変更すべきか。Pシステムの通信量に着目し、変更する項目を表2から選び答えよ。また、変更する内容を20字以内に述べよ。

解答

日時0時~8時の間で実施する

解説

影響を最小化するためには、利用者が少ない時間帯を選択する

(3)本文中の下線4について、どの機器に対して、どのように設定を変更すべきか。機器は図1中から選び、変更後の設定は55字以内で具体的に述べよ。

解答

本番DBサーバホスト型IPSに診断PCのIPアドレスをホワイトリスト登録し、侵入検知を無効にする

解説

(4)本文中のc,dに入れる適切な字句を、図1中から選び答えよ。また、本文中のeに入れる適切な字句は、許可又は拒否のいずれか。

解答

cDB-LAN(本番DBサーバ)
dDB管理PC
e許可

解説

警告灯が点灯したのは、「届いてはいけない通信が本番DBサーバまで届き、IPSで検知された」ため。再発防止策としては、本番DBに届く前に正しくない通信は遮断する必要がある。

そのため、FW2ではDB-LANへ通信されることを許されているDB管理PCのみ通信できるようにする。

いかがでしたでしょうか。過去問についてご質問ございましたら、コメント頂ければ対応させて頂きます。

個別指導が必要な場合や論文添削も承っておりますので、詳しくはこちらまで↓

【過去問解説】令和2年 午後1 情報処理安全確保支援士(解説付き)”へ6件のコメント

  1. 青山 より:

    コメント失礼致します。
    現在、過去問に関して勉強中ですが、
    令和2年の問1に対して少し疑問があります。
    図2,3の内容では、改ざん対策はできそうですが
    なりすましが対応できるかどうか疑問です。
    本文で説明されていない部分があるかもしれませんが、
    会員番号が判れば、その都度QRコードが作成できても、再びなりすましが
    可能と思えるのですが如何でしょうか?

    1. syun03 より:

      青山様

      コメントありがとうございます。
      令和2年の問1の「なりすまし」対策ですが、図2に記載の通り
      「会員番号」「乱数」「時刻」を基にHAMC値αを生成しておりますので
      「会員番号」に他人の物を入力すると、生成されるHMAC値が変わりますのでQRコード検証で不一致となります。

      もしもQRコード作成時の「会員番号」が『決済アプリ側から』送信しているのであればなりすましの余地がありますが
      問題文上にはそれは明示されておりませんので、図2がなりすまし対策となっております。

  2. 青山 より:

    返信ありがとうございます。
    会員番号を知り得た場合、決済アプリから生成できるとも
    理解できますので、問題文は少し説明や補足が足りないと
    思いますが如何でしょうか?

    1. syun03 より:

      情報処理試験全般に言える事ですが
      「問題文にない情報は前提としない」ことは、試験を受けるうえで意識が必要ですね。
      過去問などを繰り返して慣れていくものかと思います。

  3. コメント失礼致します。
    今年初めて受験するため、過去問を解きながら解説サイトを探しているところ辿りつくことができました。
    非常に参考になる解説をしていただきありがとうございます。
    1つ質問があります。
    問1 設問1の(1)に対してです。
    他社のバーコードを撮影し利用する。と記入したのですが
    この回答は的を得てるものでしょうか。
    お手隙の際、ご返信お願いします。

    1. syun03 より:

      コメントありがとうございます。
      記載頂いた内容でも問題ないと思います。
      バーコードだけでなりすましできてしまう状態なので、手段は色々あると思います。

コメントを残す

メールアドレスが公開されることはありません。

CAPTCHA