【過去問解説】情報処理安全確保支援士 令和5年度秋季【午後 問2】
syun032023年10月8日実施の情報処理安全確保支援士解答速報
毎年のことながら7~8割の正解率かと思います。間違いや不明点ございましたらコメントください。
| 更新履歴 | 更新日時 | 内容 |
|---|---|---|
| 初版 | 10月8日 22:58 | |
目次
- 1. 問2 セキュリティ対策の見直し
- 1.1. 設問1 [社外の攻撃者によるファイルの持出しについてのセキュリティ対策の確認]について答えよ。
- 1.1.1. (1)本文中のa,bに入れる適切な字句を答えよ。
- 1.1.2. (2)図2中のc,dに入れる適切な字句を,それぞれ40字以内で答えよ。
- 1.1.3. (3)本文中の下線1について, エラーメッセージが表示される直前までのWebブラウザの動きを, 60字以内で答えよ。
- 1.2. 設問2 [従業員によるファイルの持出しについてのセキュリティ対策の確認]について答えよ。
- 1.2.1. (1)本文中の下線2について, M 社外からファイルをダウンロード可能にするためのファイル共有機能の悪用方法を, 40字以内で具体的に答えよ。
- 1.2.2. (2)本文中のeに入れる適切な字句を答えよ。
- 1.3. 設問3 [方法1と方法2についての対策の検討]について答えよ。
- 1.3.1. (1)本文中の下線3について、認証サーバがEAPで使うUDP上のプロトコルを答えよ。
- 1.3.2. (2)本文中のfに入れる適切な字句を答えよ。
- 1.3.3. (3)本文中のgに入れる適切な字句を,20字以内で答えよ。
- 1.3.4. (4)本文中の下線4について,その理由を,40字以内で答えよ。
- 1.3.5. (5)本文中の下線5について,変更内容を,70字以内で答えよ。
- 1.3.6. (6)本文中のhに入れる適切な字句を答えよ。
- 1.3.7. (7)本文中の下線6について,表3及び表4の削除すべき項番を,それぞれ全て答えよ。
問2 セキュリティ対策の見直し
設問1 [社外の攻撃者によるファイルの持出しについてのセキュリティ対策の確認]について答えよ。
(1)本文中のa,bに入れる適切な字句を答えよ。
解答
| a | 利用者ID |
| b | パスワード |
解説
問題文そのまま。
(2)図2中のc,dに入れる適切な字句を,それぞれ40字以内で答えよ。
解答
| c | サーバ証明書のドメインと一致しない |
| d | サーバ証明書が信頼された発行元でない |
解説
サーバ証明書のエラーについてはこちらのサイトが参考になります。
(3)本文中の下線1について, エラーメッセージが表示される直前までのWebブラウザの動きを, 60字以内で答えよ。
解答
解説
HSTSとは、WebサーバがHTTPヘッダの中で指定する項目の一つで、Webブラウザに対して以降は常にHTTPSによる通信を行うよう指示するものです。
よって「リダイレクト」と一言でも書いたら間違いです。
設問2 [従業員によるファイルの持出しについてのセキュリティ対策の確認]について答えよ。
(1)本文中の下線2について, M 社外からファイルをダウンロード可能にするためのファイル共有機能の悪用方法を, 40字以内で具体的に答えよ。
解答
従業員自身の私用メールアドレスを外部の共有者のメールアドレスとして申請する
解説
宛先のメールアドレスに対するチェックは行われていないので、誰のメールアドレスでも利用が可能です。
(2)本文中のeに入れる適切な字句を答えよ。
解答
MACアドレス
解説
無線LANにはMACアドレスフィルタリングが設定されています。ただ、MACアドレスは簡単に偽装できますので個人所有PCに社用PCのMACアドレスを設定することも可能です。
設問3 [方法1と方法2についての対策の検討]について答えよ。
(1)本文中の下線3について、認証サーバがEAPで使うUDP上のプロトコルを答えよ。
解答
RADIUS
(2)本文中のfに入れる適切な字句を答えよ。
解答
秘密鍵
(3)本文中のgに入れる適切な字句を,20字以内で答えよ。
解答
暗号化し持ち出されないように
解説
(4)本文中の下線4について,その理由を,40字以内で答えよ。
解答
ストレージデバイスが取り出されたりしても、データの機密性を保つことができるため
解説
(5)本文中の下線5について,変更内容を,70字以内で答えよ。
解答
表4項番1のFWフィルタリング設定においてNATを無効化する
解説
「a1.b1.c1.d1以外のIPアドレスに変換する」という回答のほうが正しいか??
インターネットへのアクセスを制限するためにNATを無効化というのも確かに無理はある解答なので。普通はFWのルーティング設定で制限しますからね。
70字以内というあまり見ない文字数制限なので、もっと大きな何かを見落としている気もする。
(6)本文中のhに入れる適切な字句を答えよ。
解答
DNS
解説
(7)本文中の下線6について,表3及び表4の削除すべき項番を,それぞれ全て答えよ。
解答
| 表3 | 1 |
| 表4 | 1, 4 |
(3)1は、RADIUS
ありがとうございます!修正いたしました。
3.(5)nat(napt)しないとインターネットと通信できない
サブネットが/29なので、a1.b1.c1.d1以外のIPアドレスに変換するが正解かと
素直に考えるとそうですよね。深読みしすぎたかもしれません。
インターネット接続させないためにNATを無効にするという対応も無理があるなと思っておりました。
naptの問題、とても悩みますよね…
来客端末用のLANは会議室のプロジェクター接続用と読み取り、napt無効化と回答してしまいました。
来客端末用LANに関して、naptを無効化したとしても業務用PCは従業員用LANに接続すればインターネットに接続できるので、naptを無効化すればいいや!と考えて回答しました。
設問2の(1)を外部の共有者になりすまして不正に外部共有リンクを送らせる的なことを書いてしまった…
これまずいですかね…
コメントいただきありがとうございます。
「送らせる」のではなく「自分が送る」ことがポイントになるので、題意に沿っていない気はします。
自分もNAT無効化で回答したのですが、「a1.b1.c1.d1以外のIPアドレスに変換する」の方が正しい気がします。
FWの設定表下のNATの補足文に「外部のアドレスはa1.b1.c1.d1に設定している」とあるので、IPアドレスの設定はNATの設定範囲内ということ、+その後の文で、「来客持ち込み用端末は、M社のネットワークを経由せずに~インターネットへ接続する」とあるので、インターネット接続できる前提にしないといけないと思います。
>「来客持ち込み用端末は、M社のネットワークを経由せずに~インターネットへ接続する」とあるので
確かにこの記載はあるんですよね。
ここまで読んで「きっとインターネット接続する必要があるんだ!」と推測させるなんて、何の試験かわかりませんね。まあいつものことなんですが、、
設問2(2)ですが、NICという回答は許容されますでしょうか?
許容されるかはIPAの判断次第ですが、難しいのではないかと思います。
ご回答頂きましてありがとうございます。
TPMの問題、自分も暗号化するという回答をしたのですが、どうなのでしょうか?TAC、iTECの解答は違うものでした。御教示ください。
コメントいただきありがとうございます。
こちらの解答は「暗号化」がメインではなく『持ち出せないこと』がポイントですので意図としてはTAC、iTECと同じ解答ですね。
記載はもう少し工夫したほうがよかったかもしれません。
試験開催後の早速の記事、非常に参考になり大変有難いです。
問2(3)について
「httpでの接続を試みるとWEBサーバ側がhttpsでの接続を強制する」と回答しました。
Webブラウザの動きを問われているので、満点は貰えないと思うのですが
部分点が貰えるかどうか気になります。
IPAの判断次第ですが、部分点の与え方について公開されている基準があったりしますでしょうか。
残念ながら部分点の考え方は公表されておりません。点数配分も公表されておりませんのでIPA次第になります。
ただ、HSTSのポイントは「ブラウザ側でHTTPS通信を強制する」ことなのでサーバまで通信は行いません。
お返事有り難う御座います。
HSTSとは、WebサーバがHTTPヘッダの中で指定する項目の一つで、Webブラウザに対して以降は常にHTTPSによる通信を行うよう指示するものなので、サーバとの通信は行われます。
私の回答は、文章構成としてWebサーバが主語になるような文章になってましたので、
題意を良く汲み取ると、「httpでの接続を試みるとWEBサーバ側からhttpsでの接続を指示されて、WebブラウザはhttpsでWebサーバに接続する」のようにWebブラウザを主語とした文章にすると良かったかもしれません。
HSTSについて、以下のサイトも参考になりました。
https://zenn.dev/harusame0616/articles/b285a061e0c1f9#2.-hsts(http-strict-transfer-security)-%E3%81%A8%E3%81%AF
過去の午後問では、最初のHTTPでの通信に伴うリスクに関する題意の問題があったように思います。