情報処理安全確保支援士 過去問解説【令和2年 午後2】
午後1に続き、午後2の解答も作成いたしました。
題材として「テレワーク環境」についての出題があり、まさに近年の情勢を踏まえた出題といえます。
各企業で導入が進んでおりますが、セキュリティ面での対応策が不十分であったりすると企業経営に影響を与えるようなトラブルにもなりかねません。
情報処理安全確保支援士を目指すうえでは、意識しておくべき内容ですね。
ご質問・ご意見ございましたら、コメントまで。
- 1. 問1 百貨店におけるWebサイトの統合
- 1.1. 設問1 表2中のa,bに入れる適切な字句を答えよ。
- 1.2. 設問2 [個人情報の取扱い]について、旧A社と旧B社の合併によるC社への事業継承に伴って取得した個人情報の取扱いに関し、個人情報保護法に定められている禁止事項は何か。70字以内で述べよ。
- 1.3. 設問3
- 1.3.1. (1)本文中のc,d,f,gに入れる適切な字句を、解答群の中から選び、記号で答えよ。
- 1.3.2. (3)本文中のiに入れる適切な処理内容を50字以内で具体的に述べよ。
- 1.4. 設問4
- 1.4.1. (1)本文中のjに入れる適切な内容を40字以内で述べよ。
- 1.4.2. (2)本文中のkに入れる適切な内容を40字以内で述べよ
- 1.4.3. (3)本文中の下線1について、さらに大きな被害とは何か。具体的な被害を二つ挙げ、それぞれ30字以内で述べよ。
- 1.5. 設問5
- 1.5.1. (1)利用者の操作によって、図7のとおりに画面が遷移した場合、(い)(う)の画面は、図6の(1)~(4)のどの時点で表示されるか。それぞれ(1)~(4)の記号で答えよ。
- 1.5.2. (2)利用者の操作によって、図7の通りに画面が遷移した場合、(あ)(い)(う)の各画面では、どのサーバから送られたHTMLを表示するか。それぞれ解答用紙の"SP","IdP"のいずれかを〇印で囲んで示せ
- 2. 問2 クラウドサービスを活用したテレワーク環境
- 2.1. 設問1
- 2.1.1. (1)本文中の下線1について、QRコードに含まれる、OTPアプリがOTPの生成に使用する情報を、解答群の中から選び、記号で答えよ。
- 2.1.2. (2)本文中の下線2について、E社のネットワークからのアクセスだけに制限しなかった場合、OTPについてどのような問題が起きると考えられるか。起きると考えられる問題を30字以内で述べよ。
- 2.1.3. (3)図2及び図3中のa~fに入れる適切な通信メッセージ又は処理を、解答群の中から選び、ア~カの記号で答えよ。
- 2.2. 設問2 本文中の下線3について、ノートPCを介して持ち出す方法を30字以内で具体的に述べよ。
- 2.3. 設問3
- 2.3.1. (1)本文中の下線4について、マルウェアが社内情報を取得する方法を35字以内で具体的に述べよ。
- 2.3.2. (2)本文中の下線5について、T環境内のアクセスも必要最小限にする場合、許可するアクセス先を解答群の中から全て選び、記号で答えよ。
- 2.4. 設問4 本文中の下線6について、どのような方法か。35字以内で述べよ。
- 2.5. 設問5 本文中の下線7について、該当する対策を本文中の用語を用いて35字以内で述べよ。
- 2.6. 設問6
- 2.6.1. (1)本文中のgに入れる適切な字句を、20字以内で述べよ。
- 2.6.2. (2)本文中の下線8について、利用者に設定させるとどのような問題が起きると考えられるか。起きると考えられる問題を25字以内で具体的に述べよ。
- 2.6.3. (3)本文中の下線9について、DaaS-Vへのアクセスと同等のセキュリティを実現するためには、FWのVPN機能にどのような仕組みが必要か。必要な仕組みを30字以内で具体的に述べよ。
- 3. 情報処理安全確保支援士 過去問解説その他記事
情報処理安全確保支援士 令和2年午後2 問1 百貨店におけるWebサイトの統合
設問1 表2中のa,bに入れる適切な字句を答えよ。
解答
a | LDAP-P、LDAP-Q、LDAP-R |
b | LDAP |
解説
P.4に記載の通り、サイトPのアカウントへサイトQのアカウントを紐付けるために、Web-PからLDAP-P,LDAP-Q,LDAP-Rに対して認証を行う。
設問2 [個人情報の取扱い]について、旧A社と旧B社の合併によるC社への事業継承に伴って取得した個人情報の取扱いに関し、個人情報保護法に定められている禁止事項は何か。70字以内で述べよ。
解答
本人に通知・公表した利用目的の範囲外で利用することは禁止されており、利用目的が変わる場合は新たに明確な操作での承諾が必要
解説
個人情報保護法に関する出題です。
「事業の承継後も、譲渡される前の利用目的の範囲内で利用しなければならない」ことは明記されているため、今回のケースのように『クロス分析などの手法を用いて購買傾向を分析する』など、利用目的の範囲から逸脱した利用方法をする場合は改めて明確な操作での承諾(オプトイン)が必要です。
事業譲渡の場合は、「利用目的の範囲内」であれば再度許諾を取る必要はありません。
個人情報保護法については、一読しておくことをお勧めいたします。
設問3
(1)本文中のc,d,f,gに入れる適切な字句を、解答群の中から選び、記号で答えよ。
解答
c | ウ |
d | ア |
f | ケ |
g | イ |
解説
ユーザ情報はまず図4の101行目で呼び出されたAccountLinkに格納されます。利用者IDは「childID」に格納されています。
誤った利用者IDを入力した状態でも、このまま図4の処理が進み103行目からのfor文に入ります。この中で呼び出されるのが105行目の「checkChild()」になります。
checkChildは図3の18行目から記述がありますが、このcheckChild()の中でExceptionが発生すると図4の110行目でchatchされ、一定時間待ちます。その後、再度for文の処理が走りますが、このfor文は3回しかループしないことになっていますので、4回目のExceptionではループを抜けてしまいます。
さらに、図4の113行目のchildChekedの値ですが、これは図3の19行目でも使っており、ここでtrueに上書きされてしまっています。
そのため、上記条件では誤った利用者IDを入力しても紐付けが完了してしまいます。
(2)本文中のe,hに入れる適切な字句を図3又はず図4中の行番号を、解答群の中から選び、記号で答えよ。
解答
e | ウ |
h | キ |
解説
e:Exceptionをcatchするには、try構文の中で例外が発生する必要がある。選択肢の中でtry構文の中の行番号はウのみ
h:コメントアウトに記載のある通り、紐付けを実行するのは117行目
(3)本文中のiに入れる適切な処理内容を50字以内で具体的に述べよ。
解答
32行目で例外を返す前に、childChekedの値をfalseに更新する。
解説
例外を投げる前に、「認証失敗」ステータスに更新することで意図しない処理抜けを防ぐ。
例外の代わりにエラーコードを返すことでも対応はできるが、せっかくの「一定時間待って再度処理する」というリトライ処理が意味を成さなくなるので恐らくNG
設問4
(1)本文中のjに入れる適切な内容を40字以内で述べよ。
解答
本人以外のメールアドレスにパスワードが送信できてしまう
解説
インシデントの報告にある通り。総当たりで会員番号と誕生日を突破すれば、任意のメールアドレスにメール送信ができ、パスワードが取得できてしまう。
(2)本文中のkに入れる適切な内容を40字以内で述べよ
解答
パスワードリセットURLは登録済みメールアドレスにのみ送付する
解説
任意のメールアドレスに送信できてしまうことが課題である。場合によってはユーザビリティが下がるかもしれないが、セキュリティを保つためには必要な機能
(3)本文中の下線1について、さらに大きな被害とは何か。具体的な被害を二つ挙げ、それぞれ30字以内で述べよ。
登録済みのクレジットカードを利用したサイトQでの商品購入 |
サイトPでのポイント交換 |
設問5
(1)利用者の操作によって、図7のとおりに画面が遷移した場合、(い)(う)の画面は、図6の(1)~(4)のどの時点で表示されるか。それぞれ(1)~(4)の記号で答えよ。
解答
(い) | (2) |
(う) | (4) |
解説
(2)利用者の操作によって、図7の通りに画面が遷移した場合、(あ)(い)(う)の各画面では、どのサーバから送られたHTMLを表示するか。それぞれ解答用紙の"SP","IdP"のいずれかを〇印で囲んで示せ
解答
(あ) | SP |
(い) | IdP |
(う) | SP |
解説
(あ)はサイトQなのでSPからのHTMLが表示される。サイトSのIDでのログイン時はIdPでのHTMLが表示されることとなる。
(3)利用者の操作によって、図8の(え)(お)(か)(き)(く)(け)の順に画面が遷移した場合、(え)(か)(き)(く)の各画面では、どのサーバから送られたHTMLを表示するか。それぞれ解答用紙の"SP","IdP"のいずれか〇印を囲んで示せ。
(え) | SP |
(か) | IdP |
(き) | IdP |
(く) | SP |
情報処理安全確保支援士 令和2年午後2 問2 クラウドサービスを活用したテレワーク環境
設問1
(1)本文中の下線1について、QRコードに含まれる、OTPアプリがOTPの生成に使用する情報を、解答群の中から選び、記号で答えよ。
解答
イ
解説
時間の情報をOTP生成時に利用しているが、タイムスタンプでは1秒ごとにパスコードが変わってしまう。他に利用している情報はイのシェアードシークレット(共通鍵)
(2)本文中の下線2について、E社のネットワークからのアクセスだけに制限しなかった場合、OTPについてどのような問題が起きると考えられるか。起きると考えられる問題を30字以内で述べよ。
解答
QRコードが搾取され、OTPが不正に生成される
解説
外部からのパスワードリスト攻撃などによって、初期設定用QRコードが搾取されると、そのQRコードを利用してOTPが生成されてしまう。
そのため、初期設定用のQRコード生成は社内ネットワーク内などセキュアな環境でのみ許可をする必要がある。
(3)図2及び図3中のa~fに入れる適切な通信メッセージ又は処理を、解答群の中から選び、ア~カの記号で答えよ。
解答
a | ウ |
b | エ |
c | イ |
d | ア |
e | カ |
f | オ |
設問2 本文中の下線3について、ノートPCを介して持ち出す方法を30字以内で具体的に述べよ。
解答
スマートフォンなどで画面を撮影し、情報を持ち出す
解説
「VDの閲覧、キーボード及びマウスによる操作、マイク及びスピーカーによる会話」しかできない状態で情報を持ち出す必要がある。可能性があるのは「VDの閲覧」のみ。方法は様々あると思われる。
設問3
(1)本文中の下線4について、マルウェアが社内情報を取得する方法を35字以内で具体的に述べよ。
解答
画面イメージをキャプチャし、外部へ送信する
解説
(2)本文中の下線5について、T環境内のアクセスも必要最小限にする場合、許可するアクセス先を解答群の中から全て選び、記号で答えよ。
解答
ア、ウ、エ
解説
「ノートPCから」のアクセスは最小限にする。ノートPCはIDaaS-Yで認証しDaaS-Vに接続してからVD経由で各サービスを利用する。そのため各サービスへの接続は許可しない。
また、クライアント証明書などの取得にはMDM-Wを利用する。
設問4 本文中の下線6について、どのような方法か。35字以内で述べよ。
解答
セキュリティ対策について、第三者による監査報告書を確認する
設問5 本文中の下線7について、該当する対策を本文中の用語を用いて35字以内で述べよ。
解答
2要素認証に加え、クライアント証明書によるデバイス認証
解説
DaaS-Vのフィッシングサイトで搾取される情報は「利用者ID」 利用者IDでT環境に接続する際のセキュリティ対策は「スマホアプリによる二要素認証」と「クライアント証明書によるデバイス認証」
設問6
(1)本文中のgに入れる適切な字句を、20字以内で述べよ。
解答
パスワードを推測しログインする
解説
ディスクが暗号化されていても、OSの認証を突破されればディスク上のデータは復号して閲覧することができるため
(2)本文中の下線8について、利用者に設定させるとどのような問題が起きると考えられるか。起きると考えられる問題を25字以内で具体的に述べよ。
解答
容易に推測可能な文字列が登録される
解説
認証情報の登録をユーザに委ねる際のリスクとして、上位に挙げられるのがこちら
(3)本文中の下線9について、DaaS-Vへのアクセスと同等のセキュリティを実現するためには、FWのVPN機能にどのような仕組みが必要か。必要な仕組みを30字以内で具体的に述べよ。
解答
クライアント証明書によるデバイス認証を構築する
<設問2について質問>
問題中の下線部③のあとに、「簡単には技術的対策はできないので」と記載されているので、擬似術的対策はがんばれば可能という解釈になりますよね。仮に「スマートフォンなどで画面を撮影し、情報を持ち出す」が正解だとしたら、どのようにリモート環境下において技術的対策をすることができますか?
M様
コメント頂きありがとうございます。
「簡単には技術的対策はできないので」については、そこまで深い意味があるとは考えておりませんが、世の中には「表示PCの端末情報を透かしで表示する」などのセキュリティソフトもあるようです
参考
https://www.daj.jp/company/release/2017/0119_01/