情報処理安全確保支援士 過去問解説【令和3年春季 午後2】
syun03午後2の解答速報です
問1は比較的難易度は低めという印象です。しっかりと問題文を読んで内容を理解しながら解けば、答えにはたどり着けると思います。
問2はちょっと難しかったです。
過去問はIPAのサイトをご覧ください
(2021/6/27追記)
IPAの解答を持って、一部正式解答に修正致しました。
9割近くは無事正解しておりましたので、直したのはごく一部のみです。
情報処理安全確保支援士試験 過去問解説
【解答速報】情報処理安全確保支援士 令和6年度春季【午後 問4】
【解答速報】情報処理安全確保支援士 令和6年度春季【午後 問3】
【解答速報】情報処理安全確保支援士 令和6年度春季【午後 問2】
- 1. 問1 インシデントの発生と対応
- 1.1. 設問1
- 1.1.1. (1)図5中の下線①で示したパスワードリスト攻撃とは、一般にどのような攻撃か。45字以内で具体的に述べよ。
- 1.1.2. (2)図5中の下線②について、パスワードの安全な設定方法とは何か。35字以内で具体的に述べよ。
- 1.1.3. (3)図5中の下線③について、ログインが普段と異なる環境から行われたことを判定する技術的手法を、45字以内で具体的に述べよ
- 1.1.4. (4)図5中のaに入れる適切な字句を8字以内で答えよ
- 1.1.5. (5)図5中のbに入れる適切な数値を答えよ
- 1.2. 設問2 表1中の下線④について、社内LANから店舗PCを経由せずにどのようにマルウェアが侵入するとされるか。侵入方法を50字内で具体的に述べよ。
- 1.3. 設問3
- 1.3.1. (1)表2中のcに入れる適切な字句を、解答群の中から選び、記号で答えよ
- 1.3.2. (2)図7中のd~fに入れる適切な字句を、解答群の中から選び、記号で答えよ
- 1.4. 設問4
- 1.4.1. (1)本文中の下線⑤について、図9中の接続元IPアドレスのうち、不正ログインを行ったと推測される接続元IPアドレスは幾つか。個数を答えよ。
- 1.4.2. (2)図10中の下線⑥について、脆弱性Mだけを悪用しても"/etc/shadow"ファイルを参照できない理由を、"/etc/shadow"ファイルの性質も含めて、70字以内で述べよ
- 1.4.3. (3)図10中の下線⑦について、攻撃者が行った設定変更の内容を、45字以内で具体的に述べよ
- 1.4.4. (4)図10中の下線⑧について、F2ファイルには、幾つのIPアドレスをスキャンした結果が格納されていると考えられるか。図9中の値及び図10中の値を用いて答えよ。
- 1.4.5. (5)本文中の下線⑩について、措置を75字以内で具体的に述べよ
- 1.5. 設問5 本文中の下線⑩について、悪用される可能性を評価する際に加えるべき観点、又は影響を評価する際に加えるべき観点を、今回の事例に踏まえて30字以内で述べよ
- 2. 問2 クラウドセキュリティ
- 2.1. 設問1
- 2.1.1. (1)本文中の下線①は何と呼ばれているか。解答群の中から選び、記号で答えよ。
- 2.1.2. (2)本文中の下線②について、C社内LANでの個人所有機器のどのような利用状況によって、どのような問題がひきおこされたか。60字以内で具体的に述べよ。
- 2.1.3. (3)本文中の下線③について、UTM以外にDHCPサーバが稼働しているかどうかをどのように調査するのか。UTMのDCHPサーバを稼働させたまま行う方法と停止させて行う方法を、それぞれ55字以内で具体的に述べよ
- 2.2. 設問2 本文中の下線④について、アクセスログ以外に何を調査するべきか。調査するべきものを40字以内で具体的に述べよ
- 2.3. 設問3
- 2.3.1. (1)本文中のa,bに入れる適切な字句を、図1中の用語で答えよ
- 2.3.2. (2)本文中のcに入れる適切な字句を解答群の中から選び、記号で答えよ
- 2.4. 設問4
- 2.4.1. (1)本文中の下線⑤で示した、C社における支障が出る業務とは何か、一つ挙げ25字以内で述べよ。
- 2.4.2. (2)要件4は、表3中のどの機能で実現できるか。表3中の番号で一つ答えよ
- 2.4.3. (3)要件5は、表3中のどの機能で実現できるか。表3中の番号で一つ答えよ
- 2.4.4. (4)本文中の下線⑥について、図3中のどの段階で遮断されるかを、解答群から選び、記号で答えよ。また、総務Gが管理していない機器かどうかはどのような方法で判定するか。判定の方法を30字以内で具体的に述べよ。
- 2.5. 設問5
- 2.5.1. (1)本文中の下線⑦について、規格又は認証の例を20字以内で答えよ
- 2.5.2. (2)本文中のdに入れる適切な番号を、表3中の番号で一つ答えよ
- 2.6. 設問6
- 2.6.1. (1)本文中の下線⑧について、要件2を満たし、セキュリティ設定が従業員によって無効にされないためには、どのようなに設定する必要があるか。30字以内で述べよ
- 2.6.2. (2)本文中の下線⑧について、要件4及び5を満たし、それを維持するためには、どのようなソフトウェアをどのように設定する必要があるか。40字以内で述べよ
情報処理安全確保支援士 令和3年午後2 問1 インシデントの発生と対応
設問1
(1)図5中の下線①で示したパスワードリスト攻撃とは、一般にどのような攻撃か。45字以内で具体的に述べよ。
解答
他サイト等で流出したログインIDとパスワードの組を利用し、不正ログインを試みる攻撃
(2)図5中の下線②について、パスワードの安全な設定方法とは何か。35字以内で具体的に述べよ。
解答
他サイトで利用しているパスワードを設定しない
(3)図5中の下線③について、ログインが普段と異なる環境から行われたことを判定する技術的手法を、45字以内で具体的に述べよ
解答
ユーザエージェントや接続元IPアドレスなどが普段と異なることを判定する
(IPA解答例)
- IPアドレスからわかる地理的位置について、過去のログインのものと違いを確認する
- WebブラウザのCookieを利用し、過去にログインした端末かを判定する
解説
「リスクベース認証」という言葉も入れた方がいいかもしれません。ただし、もしかすると「リスクベース認証」だけでは得点にはならないかもしれません。この辺りが『具体的に述べよ』と問われる設問の難しいところ。
(4)図5中のaに入れる適切な字句を8字以内で答えよ
解答
タイムゾーン
(5)図5中のbに入れる適切な数値を答えよ
解答
9
設問2 表1中の下線④について、社内LANから店舗PCを経由せずにどのようにマルウェアが侵入するとされるか。侵入方法を50字内で具体的に述べよ。
解答
データの受け渡し時に利用するUSBメモリを媒介とし、マルウェアに感染する
解説
問題文より、店舗管理システムと社内LANの間で何らかの情報の受け渡しがあるものと考える。その観点で注意深く読むと、図2 注記2に「店舗管理システムと社内LANとの間でのデータの受け渡しが必要な場合はUSBメモリを用いる」との記載がある。 頻出問題
設問3
(1)表2中のcに入れる適切な字句を、解答群の中から選び、記号で答えよ
解答
オ
解説
基本方針の策定には、経営層も参画している情報セキュリティ委員会にて行う
(2)図7中のd~fに入れる適切な字句を、解答群の中から選び、記号で答えよ
解答
| d | イ |
| e | カ |
| f | ウ |
解説
インシデント対応ガイドのP.34に記載があります。
設問4
(1)本文中の下線⑤について、図9中の接続元IPアドレスのうち、不正ログインを行ったと推測される接続元IPアドレスは幾つか。個数を答えよ。
解答
5
解説
R1サーバに不正ログインするにはSSH接続する必要があるため、SSHの個数を数える。そのうち、接続元が不明なIPアドレスを割り出す。各社のグローバルIPアドレスは図2の注記4に記載されている。
x2.y2.z2.130:V社 x2.y2.z2.129:V社 x1.y1.z1.100:不明 x2.y2.z2.60 :不明 x1.y1.z1.240:不明 x2.y2.z2.58 :不明 a2.b2.c2.d2 :不明(攻撃が成功したと思われるIPアドレス)
(2)図10中の下線⑥について、脆弱性Mだけを悪用しても"/etc/shadow"ファイルを参照できない理由を、"/etc/shadow"ファイルの性質も含めて、70字以内で述べよ
解答
R1サーバへの接続元は/etc/hosts.allowファイル格納に設定されているが、このファイルの変更には管理者権限が必要なため
(IPA解答)
脆弱性Mを悪用しても一般利用者権限での操作であるが、"/etc/shadow"ファイルの閲覧には管理者権限が必要であるから
(3)図10中の下線⑦について、攻撃者が行った設定変更の内容を、45字以内で具体的に述べよ
解答
/etc/hosts.allowに攻撃者の接続元情報を追加する
解説
R1への接続元はhosts.allowで管理されている。N社とV社からの接続はこのファイルにより許可されているため、ここに攻撃者の情報を追加することにより、インターネット経由でのR1サーバへのアクセスが可能となる。
(4)図10中の下線⑧について、F2ファイルには、幾つのIPアドレスをスキャンした結果が格納されていると考えられるか。図9中の値及び図10中の値を用いて答えよ。
解答
24
解説
「出力結果は固定長であった」という情報から、1IPアドレス辺りのバイト数は一定であることが分かる。F1ファイルは8IPで320kバイトであるため、1IPにつき40kバイトとなる。
F2ファイルはa2.b2.c2.d2へアップロードされたと思われ、ファイルサイズは960kバイトとされている。 よって940/40 = 24IPとなる。
(5)本文中の下線⑩について、措置を75字以内で具体的に述べよ
解答
WAF仕組みを導入し、不正なアクセスを遮断できるようにする。
(IPA解答)FW2において、インターネットからのインバウンド通信はN社とV社からの通信だけを許可する。
解説
あまり自信はないです。「~は現在利用していない」を活用する系の問題という直感 R1サーバの接続元をFW2で制限するという方法もありかと思いますが、SSH,HTTPに限った話でもない気もする。
(2021/6/27更新)
シンプルにFWで遮断せよということでした。
設問5 本文中の下線⑩について、悪用される可能性を評価する際に加えるべき観点、又は影響を評価する際に加えるべき観点を、今回の事例に踏まえて30字以内で述べよ
解答
複数の脆弱性を用いて攻撃される可能性
解説
今回の攻撃は、個々の脆弱性についての評価は問題ありませんが「脆弱性Lと脆弱性Mを併用した場合の影響」の観点が漏れておりました。
情報処理安全確保支援士 令和3年午後2 問2 クラウドセキュリティ
設問1
(1)本文中の下線①は何と呼ばれているか。解答群の中から選び、記号で答えよ。
解答
オ
解説
同じIPアドレスがネットワーク内に割り振られた状態で、そのIPアドレスでネットワークに接続しようとした際に割り振られるのが169.254.XX.XXというIPアドレスです。
(2)本文中の下線②について、C社内LANでの個人所有機器のどのような利用状況によって、どのような問題がひきおこされたか。60字以内で具体的に述べよ。
解答
自動で無線LANに接続するように設定されていたため、IPアドレスが枯渇して新規にIPアドレスが発番されなくなった
解説
従業員数とDHCPのIPアドレス範囲を考えると、IPアドレス枯渇の可能性が一番高いと考えました。
(3)本文中の下線③について、UTM以外にDHCPサーバが稼働しているかどうかをどのように調査するのか。UTMのDCHPサーバを稼働させたまま行う方法と停止させて行う方法を、それぞれ55字以内で具体的に述べよ
解答
| DHCPサーバを稼働させた状態 | (IPA解答)L2SWにミラーポートを設定し、そのポートにLANモニタを接続してDHCP OFFERの数を確認する |
| DHCPサーバを停止させた状態 | (IPA解答)DHCPによるIPアドレスの配布がないことを確認する |
設問2 本文中の下線④について、アクセスログ以外に何を調査するべきか。調査するべきものを40字以内で具体的に述べよ
解答
サービスRに登録され、閲覧された可能性のあるデータ
(IPA解答)企画部の部員がアクセスできるチャットエリアで共有されている情報
解説
データに閲覧されたログはわからないのですが、「閲覧される可能性のあったデータ」の全体像は調査可能です。閲覧される可能性のあるデータがすべて重要なものでなければ、リスクは少ないと判断できます。
(2021/6/27更新)
『具体的に述べよ』なので、調査するべき具体的な箇所を解答する必要があったようです。
設問3
(1)本文中のa,bに入れる適切な字句を、図1中の用語で答えよ
解答
| a | C-PC |
| b | AP |
解説
サプリカント=認証要求する側、認証装置=認証を行う機器。名称は要件1に記載されています。
(2)本文中のcに入れる適切な字句を解答群の中から選び、記号で答えよ
解答
エ
設問4
(1)本文中の下線⑤で示した、C社における支障が出る業務とは何か、一つ挙げ25字以内で述べよ。
解答
顧客への企画提案時にインターネット上の情報を収集する業務
(2)要件4は、表3中のどの機能で実現できるか。表3中の番号で一つ答えよ
解答
2
解説
接続先のWEBサイトを制限する=フィルタリング機能
(3)要件5は、表3中のどの機能で実現できるか。表3中の番号で一つ答えよ
解答
1
解説
アカウントに関する記述は1のみ
(4)本文中の下線⑥について、図3中のどの段階で遮断されるかを、解答群から選び、記号で答えよ。また、総務Gが管理していない機器かどうかはどのような方法で判定するか。判定の方法を30字以内で具体的に述べよ。
解答
ウ
機器に登録されているディジタル証明書で認証する
解説
認証はサービスQで行っているため、サービスQに認証要求をした後に切断される。
設問5
(1)本文中の下線⑦について、規格又は認証の例を20字以内で答えよ
解答
ISMSクラウドセキュリティ認証
解説
知らなければあきらめる。下記説明文書の抜粋です。
通常のISMS(JIS Q 27001)認証に加えて、クラウドサービス固有の管理策(ISO/IEC 27017)が 適切に導入、実施されていることを認証するものです。 企業や一般ユーザが、安心してクラウドサービスを利用できることを目的としています。
ISMS適合性評価制度
(2)本文中のdに入れる適切な番号を、表3中の番号で一つ答えよ
解答
| d | 4 |
解説
「暗号化して情報を保存」することが対策になる。
ケースとしては、DBの情報をそのまま抜き出された場合など。暗号化していれば重要な情報を守ることが出来る。 暗号化していても情報漏洩を防げないケースとして、「アプリケーションから正しくDBアクセスする」場合があるが 『サービスNを経由しない不正アクセス』という前提があるので、この解答で問題なし
設問6
(1)本文中の下線⑧について、要件2を満たし、セキュリティ設定が従業員によって無効にされないためには、どのようなに設定する必要があるか。30字以内で述べよ
解答
ディジタル証明書とクレデンシャルが持ち出せないように設定を行う
解説
要件2はサービスQで認証を行っており、ディジタル証明書による機器認証を行っている。 このディジタル証明書が持ち出され、個人所有端末にインストールされてしまうと、サービスQにアクセスできる状態になってしまう。 そこで、ディジタル証明書の持ち出しを防ぐ必要がある。
(2)本文中の下線⑧について、要件4及び5を満たし、それを維持するためには、どのようなソフトウェアをどのように設定する必要があるか。40字以内で述べよ
解答
一般利用者権限でPソフトの動作の停止などをできないように設定する
解説
要件4及び5というキーワードで問題文を眺めると、P.20冒頭に記述が見つかる
要件4及び5を満たすためには、サービスNの導入がよさそう
↓
導入のためにはPソフトの導入が必要
↓
一般利用者権限では、Pソフトの動作停止やアンインストールができないように設定することもできる(まだしてない)
設問4(1)
x2.y2.z2.60
も不明ではないでしょうか。
よって「5」だと思います。
ご指摘ありがとうございます。1個漏れておりましたね。
解答は「5」になるかと思います。
(a)は、UTCだとそのあとの「が日本標準時であり」と文脈が合わないので、「タイムゾーン」では?
ご指摘の通りですね。よく見ておりませんでした。ありがとうございます。
解答も修正させて頂きました。
問2設問6(1)
問題文に
「ドメインコントローラは導入しておらず〜ローカルログインする」
と書かれていたので、
「ドメインコントローラを導入しローカルログインを無効化する」と回答したのですが、回答速報とかすってもいないのでどうですかね。
設問1(3)
DHCPDISCOVERを間違えてDHCPオファーって書いてしまいました。もったいない。
コメント頂きありがとうございます。
「ドメインコントローラを導入する」ことが、そのまま要件2を満たすことには繋がらないので
解答としては不十分かと思います。