【解答速報】令和3年 午後1 情報処理安全確保支援士(解説付き)

皆様試験お疲れさまでした。
今年度の試験もなかなか苦戦する問題が多かった印象です。
中でも、問3 WoLの題材については全くの想定外でした。
わからないまま選んでいたら焦っていただろうと思います。

上位資格複数保持者として、自身の知識の確認の意味も込めて解答速報を作成いたしました。
不明な点もあり、間違いあるかもしれませんが
お気づきの点ありましたら、コメントお願いいたします。
目次

問1 認証システムの開発

OAuthのセキュリティ対策についての題材

設問1

(1)本文中の下線①について、S社の課題に即した利点を30字以内で具体的に述べよ

解答

多要素認証が利用できる

解説

「前回の脆弱性診断で、認証方式を多要素認証にする方がよい」とアドバイスを受けていたが、その対処が課題となっていた。今回の改修でその課題解消を目指している。

(2)本文中の下線①について、可用性の観点での欠点を30字以内で述べよ

解答

Tサービス利用不可の場合にログインできなくなる

解説

これを可用性の欠点と呼ぶかは微妙な気がしますが、、ちょっとわかりません。

(3)本文中のa~cに入れる適切な字句を解答群から選び、記号で答えよ

解答

a
b
c

解説

注記に記載の通り、Sサービスの利用を開始するためにはアカウント名(T-ID)を利用する。そのため、SサービスがTサービスのリソース(=アカウント名)へアクセスすることが必要となる。

(4)本文中のaに入れる適切な字句を、図2中の(あ)~(こ)から選び、記号で答えよ。

解答

解説

利用者に対し、「認証、権限付与の確認」をしている『え』が正解。ここで図3に記載の権限を付与することを許可している。

設問2

(1)図4中のd,eに入れる適切な字句を解答群から選び、記号で答えよ

解答

d
e

解説

OAuthのCSRF攻撃です。
攻撃者が利用者とSサービスの間に入り込み中継することで、利用者からはSサービスの利用が開始されたように見える。ここで、問題は『攻撃者の用意したアカウントが利用者のTサービスと紐付けられる』ことである。
このため、攻撃者は利用者のアカウントに不正アクセスしファイルを参照することが可能になる。
攻撃者が間に入っている事以外は図2と同じなので、図2を参照しながら解答すれば問題ない。
OAuthのCSRF攻撃

(2)本文中の下線②について、ファイルのアップロードとファイルのダウンロードは、それぞれTサービスの誰のアカウントによって行われるか。それぞれ6字以内で答えよ

解答

アップロード攻撃者
ダウンロード攻撃者

解説

利用者は『攻撃者のアカウントでログインしていることに気付かず、ファイルをアップロードする』ことで攻撃が成功します。

(3)本文中のβ、γに入れる適切な字句を図2中の(あ)~(こ)から選び、記号で答えよ

解答

β
γ

解説

stateパラメタは「認可コードを送るタイミング」「認可コードを受けるタイミング」でそれぞれ送信されます。

設問3

(1)本文中の下線③について、必要最低限の権限を図3中の(ア)~(エ)から一つ選び、記号で答えよ

解答

解説

図2に記載の通り、Sサービス利用時はTサービスのアカウント名が必要。それ以外の情報については用途の記載がないため、必要なのは『Tサービスのアカウント名』のみ

(2)本文中の下線④に該当するS会員を、35字以内で述べよ

解答

TサービスとのSNS連携でSサービスの利用を開始した会員

解説

TサービスとのSNS連携後はS認証モジュールを利用していない。そのためにTサービスとの連携が停止すると認証することができない

設問4 本文中に下線⑤について、Sサービスは、Tサービスと連携して、どのように利用者認証を実現しているか。実現の方法を50字以内で具体的に述べよ。

解答

初回ログイン時にTサービスから連携されたT-IDを利用して認証する

解説

図2注記にもある通り、SサービスはTサービスから連携されたT-IDを利用して、認証を行います。

問2 ネットワークのセキュリティ対策

DNSのセキュリティ対策についての題材

設問1

(1)本文中の下線①について、A社の公開Webサーバへの影響を30字以内で述べよ

解答

公開Webサーバ上のサイトにアクセスできなくなる

解説

表1 注記2に記載の通り、公開Webサーバの名前解決は外部DNSサーバにて行っている。外部DNSにアクセスできなくなると、名前解決ができず公開Webサーバ上のリソースに到達できなくなる。

(2)本文中の下線②の攻撃の名称を20字以内で答えよ

解答

DNSアンプ攻撃

解説

(3)表3中のa,bに入れる適切な字句を解答群の中から選び、記号で答えよ

解答

a
b

解説

DNS-Fはフルリゾルバ機能として、インターネット上のDNSサーバへ問い合わせを行う。DNS-Kは権威サーバとして、インターネットからの問い合わせを受け付ける。

(4)本文中のcに入れるDNSリソースレコードのタイプ名を6字以内で答えよ

解答

A

(5)本文中のdに入れる適切な字句を15字以内で答えよ

解答

一定の範囲内でランダムな値に変更

解説

MXレコードの対するキャッシュポイズニング攻撃への対策。ポート番号を固定せずランダムな値にすることで、応答パケットの偽装をしづらくさせます。

(6)本文中のeに入れる適切な技術の名称を英字10字以内で答えよ

解答

DNSSEC

解説

受け取ったDNS応答が「本当に正しい」ものかどうかを検証することで、DNSのセキュリティを向上させるための拡張機能

(7)本文中のf,gに入れる適切な字句と解答群の中から選び、記号で答えよ

解答

f
g

解説

DoTで暗号化するのは、クライアント↔キャッシュDNSサーバ間になります。選択肢の中から選ぶと、「クライアント=スタブリゾルバ」「キャッシュサーバ=フルサービスリゾルバ」が該当します。

設問2

(1)本文中の下線③を実施する事によって停電できるリスクを30字以内で具体的に述べよ

解答

DNS-Kに障害が発生し、名前解決できなくなるリスク

解説

冗長化構成にすることにより、プライマリのサーバに障害発生が発生した場合もセカンダリ側で名前解決できるように準備します。

(2)図2中のh,jに入れる適切な字句を解答群の中から選び、記号で答えよ

解答

h
i

解説

(3)表4中のj~mに入れる適切な字句を”許可”又は”拒否”のいずれかで答えよ

解答

j拒否
k許可
l拒否
m拒否

解説

プライマリDNSからセカンダリDNSへのゾーン転送のみを『許可』しますが、ゾーン転送要求するのはセカンダリ側からのみなので、kのみ許可します。

(4)表5中のn~pに入れる適切な字句を解答群の中から選び、記号で答えよ

解答

n ⇒ オ
o
p

解説

問3 セキュリティ運用 WoL

設問1 図2中のaに入れる適切な字句を20字以内で具体的に答えよ

解答

PCの動作に影響を与えないか

解説

セキュリティパッチを入れたことにより、PCの動作に影響を与えないかを確認します。

設問2 本文中の下線①のL2SWを、図1中のL2SW1~L2SW4から選び、答えよ

解答

L2SW1

解説

表1のFWに記載の通り、インターネットとの通信を許可しているのはDMZだけです。そのため、DMZ上のL2SW1のみにパケット収集装置を接続する

設問3

(1)本文中のbに入れる適切な字句を解答群の中から選び、記号で答えよ

解答

解説

WoL(Wake-On-LAN)でのPC起動方法の説明です。

WoLについて

(2)本文中のcに入れる適切な字句を解答群の中から選び、記号で答えよ

解答

(3)本文中の下線②に示す設定内容変更を、30字以内で具体的に述べよ

解答

L2SW4から他のLANへのWoL起動パケットの通信を許可する

解説

事前に検証したのは①のルートで、起動できなかったのは②のルートになります。

WoLの通信経路

②のルートについては、L3SWを経由することになります。WoLで起動する際には、ブロードキャストアドレスで通信しますが、L3SWはこの通信を許可しておらず「Direct-Broadcast」許可の設定変更が必要だという設問かと思われます。

設問4

(1)図5中の下線③について、(2)の活動及び(4)の活動に必要な情報を、それぞれ10字以内で答えよ

解答

(2)IPアドレス
(4)MACアドレス

解説

(2)本文中の下線④の方法を、55字以内で具体的に述べよ

解答

エージェントに大量のPINGコマンドを検知設定し、EDR管理サーバとの通信以外を全て遮断する

解説

マルウェアの感染が疑われた端末は隔離する必要がある。表1のエージェント部分に隔離に関する機能の記述があるため、この機能を利用する

【解答速報】令和3年 午後1 情報処理安全確保支援士(解説付き)”へ8件のコメント

  1. 受験者 より:

    参考にさせてもらってます
    問3の設問3の(3)ですが、具体的にどのようにL3SWの設定を変更すればWoLのパケットを許可できますでしょうか
    自分は同VLANを通るようにすると回答してしまいました

    1. syun03 より:

      受験者様

      コメントありがとうございます。
      問3の設問3の(3)の内容ですが
      「Direct-Broadcast」の通信を許可することで、資産管理サーバからPC-Yへのルートで
      パケットを送信できるようになる、ということかと思っております。
      解説を少し追記致しました。

  2. 匿名 より:

    問2の設問2の(2)ですがhがカだと思っておりました
    セカンダリのDNSはX社のホスティングサービス上であり、ドメインはx-sha.co.jpだったからです

    1. syun03 より:

      ご指摘の通りですね。ありがとうございます。
      修正致しました。

  3. 午後2の2の回答予想みんな出してくれない より:

    問2の設問2の(4)の回答に表示されているもの
    nmoですがnopのお間違いかと

    問3の設問3の(3)の解説の絵ですが、
    利用者LANではなく検証LANではないでしょうか。

    1. syun03 より:

      ご指摘の通りです。ありがとうございます。
      突貫工事はダメですね。

  4. 自信あったけど、けっこう間違えてる(´・ω・`) より:

    問2の設問2の(4)
    公開Webサーバにも逆引きをさせたいところですが、メールサーバの方が重要かと思います。

    1. syun03 より:

      ご指摘ありがとうございます。修正致しました!
      多分これで一通り修正完了できたと思います。

コメントを残す

メールアドレスが公開されることはありません。

CAPTCHA