【過去問解説】情報処理安全確保支援士 令和5年度秋季【午後 問4】
syun032023年10月8日実施の情報処理安全確保支援士解答速報
自由記述に見せかけた難問。一通り解答記載しましたが、解説追記しながら見直します。
「情報処理安全確保支援士として」という意味では良問ですが、今回の試験のなかでは鬼門な気がします。
自由記述に見えて、解答が限定されるように問題文が構成されている気がするんだよな、、
| 更新履歴 | 更新日時 | 内容 |
|---|---|---|
| 初版 | 10月9日 12:00 | |
問4 リスクアセスメント
設問1 表4及び表5中のア~エに入れる適切な字句を答えよ。
解答
| ア | 11 |
| イ | 大 |
| ウ | C |
| エ | W社が利用するアカウントの接続元IPアドレスをW社のみに設定する |
解説
設問で問われているリスクは表4の「W社従業員が故意にID, PWを持ち出した」場合のリスク対策です。
情報セキュリティの状況
これに対する情報セキュリティ状況は「人的セキュリティ対策」に記載されている『倫理観』についてです。
12の「月1でPWを変更する」ことも関連していそうですが、題意と違う気がするので外しています。
被害の大きさ
ほかのリスク番号に対する被害の大きさの記述を参考にします。
基準としては下記と見て取れます
- 不正ログインを許したら被害「大」
- 一部の情報が流出したら被害「中」
設問のケースは不正ログインを許すことになるので、被害「大」になります。
管理策
Sサービスに対する対策として対応できそうなのは表1の内容のみです。
検討策の表と比較すると、すでに項番「1」と「5」を利用した対策は取られています。
残りの項番のうち、「2」と「6」は設定変更はできず内容としても問題なさそうです。残りは「3」と「4」ですね。
この設問は「W社外からSサービスにログインされる」ことがリスクとして挙げられていますので、W社外からのアクセスを制限します。
Sサービスに対してW社外からのアクセスが必要であるという記述はありませんので、業務影響もありません。
設問2
(1)表4中のあに入れる適切な字句を, 本文に示した状況設定に沿う範囲で, あなたの知見に基づき, 答えよ。
解答
(10/9更新)
未知のマルウェアをメールに添付し配送管理課員に送信する(ゼロデイ攻撃)W社従業員が利用するサイトにW社からアクセスした際にのみ動作する攻撃プログラムを仕込む(水飲み場攻撃)- 未知のマルウェアを仕込んだメールを添付し配送管理会員に送信する。社内の人間を装って添付ファイルを実行するように促す
解説
ヒントっぽい内容は本文にちりばめられていますが、完全な自由記述ではないですね。
トラッシングなども考えましたが、ソーシャルエンジニアリングは別分類になっているのでNGです。
まずは「本文に示した状況設定」とやらを整理します。
| セキュリティ施策 | できること | できないこと |
|---|---|---|
| PC及びサーバのPWは十分に長く推測困難 | ブルートフォース攻撃対策 パスワードリスト攻撃対策 | |
| PCとサーバにパターンマッチング型マルウェア対策ソフト導入済み | 既知のマルウェアに対応可 | 未知のマルウェアに対する対策 |
| W社からインターネットへの通信はプロキシサーバから必要な通信だけを許可 | 社内からの不正な通信を遮断 | |
| URLフィルタリング機能はアダルトとギャンブルカテゴリのみ禁止 | 不審なサイトへのアクセス制御 | |
| メールSaaSのセキュリティオプション パターンマッチング型マルウェア対策 | 既知のマルウェアに対応可 | 未知のマルウェアに対する対策 |
| メールSaaSのセキュリティオプション 迷惑メールのブロックは無効 | 標的型メールやフィッシングメールの遮断 | |
| メールSaaSのセキュリティオプション 特定のキーワードを含むメールの送信ブロックは無効 | パスワード文字列を含むメール送信のブロック | |
| 取外し可能媒体への書込み禁止 | 情報の持ち出し対策 | USBなどからのマルウェア感染対策 |
| 本社事務所に対する物セキュリティ対策 | ICカードにより従業員以外立ち入り不可 | 事務所内のショルダーハックなど |
| その他本文に示した状況設定 | 注意すること |
|---|---|
| 標的型攻撃に対する訓練は未実施 | インシデント発生時の初動対応 |
| PWを書いた付箋が机上に貼ってあった | トラッシング |
いろいろとヒントが散りばめられています。
この状況設定を踏まえたうえで「あ」に当てはまる解答を行います。
「あ」の記載場所は「W社外の第三者が」「ソーシャルエンジニアリング以外のサイバー攻撃で」何らかの事象を発生させたケースに限定されています。これによりショルダーハックやトラッシングは候補から外れます。
加えて「すでに問題文中に記載されている内容を解答にしない」ことにも注意が必要です。
これを意識しないとIPAからの講評で「題意を理解していない」と言われますのでご注意。
これでフィッシングメールについての解答も候補から外れます。
さらにUSBについてはUSBからのマルウェア感染の可能性はありますが、これが問題になるのは「ネットワーク上隔離された端末にUSBを指して感染させた」場合です。そうでない場合にはUSBだけ意識してもあまり意味はありません。
よって残るのは下記など。
- 未知のマルウェアに対する対策
- 標的型メール
- 不審なサイトへのアクセス
このなかで「未知のマルウェア」「標的型メール」を使ってスピアフィッシング攻撃を意図していると推測します。
また、ランサムウェアに関する記述だと一連の設問自体が「二重の脅迫」について述べているので、題意に沿っていない気がします。
(2)解答したあの内容に基づき, 表4及び表5中のい~きに入れる適切な字句を答えよ。
解答
| い | 未知のマルウェアに感染したPCからID,PWが記載された受信メールを読まれ搾取される。W社外のPCなどに送信される。 |
| う | 2, 9, 10 |
| え | 大 |
| お | 低 |
| か | C |
| き | ・振る舞い検知型のマルウェア対策ソフトを導入する ・標的型攻撃の訓練を実施する |
解説
表5は「総合評価がA~C」のリスクに関する対策になるため、総合評価がC以上になるリスクを記載する必要があります。
設問3 表4中のa,bに入れる適切な字句について, 表2中から該当する項番を全て選び, 数字で答えよ。
解答
| a | 5, 10, 12 |
| b | 2, 3, 4, 6 |
解説
表4が非常に見づらいのですが、aはリスク番号1-5についてのアセスメント結果です。
(追記)
1ページ前の表を見落としていました。aは5も解答になります。
勉強を深めるきっかけになり本記事の掲載は本当に有り難いです。
設問3 表4中のaについて
解答にある11は、倫理意識についてのセキュリティ状況なので
誤送信(悪意のない間違いメール)リスクに対するセキュリティの状況とは違う気がします。
フールプルーフのセキュリティ対策と
不正行為リスクのセキュリティ対策は
別々だと思いますので。
ご指摘ありがとうございます。問題文を読み間違えておりました。
「リスク番号1-2と同じ」と記載されているのは経緯のみでしたね。故意のメール送信は解答に含まれませんので修正させていただきます。
修正を確認致しました。いつも有り難う御座います。
解説ありがとうございます。
試験自体は受けていないのですが、勉強として解いているところです。
出題の毛色が大分変わりましたね…
気付きがありました。
-----
・解説について
『表5は「総合評価がA~C」のリスクに関する対策になるため、総合評価がC以上になるリスクを記載する必要があります。』
→
30ページの5行目あたりに、『リスク番号1-1及び2-4については、総合評価にかかわらず、管理策を検討すること』と書いてありますね。
評価が何になっても記載できるように、という、ある意味条件をつけたのだと思います。
自由記述に関して、Sサービスへのパスワードクラッキングとかは的外れの回答だったでしょうか??