令和2年度 情報処理安全確保支援士試験 午後の解答メモ

その他
その他
スポンサーリンク

昨日(2020年10月18日)IPAが実施している情報処理安全確保支援士試験を受けてきました。新型コロナウイルス感染予防のためか試験会場が広く、受験者間の距離を保つためにテーブルが広々使えたのが印象的でした。午後試験の解答例の公開は2ヶ月先になりますので、午後1試験の問2と問3、午後2試験の問2で自分が書いた解答をメモしておきました。

午前試験

午前試験の解答は、試験当日に公式の解答例が公開されています。

令和2年度10月試験 問題冊子・解答例・採点講評・配点割合(PDF)

午前2の問17「IP25B」にひっかかったのは私だけではないはずです、、、問題文はしっかり読みましょう。

午後1問2

電子メールの S/MIME に関する問題です。解答欄が少ないので選択しました。

設問1
(1)LDAP

(2)OCSP

OCSP か OCPS で10分くらい悩みました、、、たぶん合ってます。

設問2
(1)メールサーバ上のメールボックスに格納されたメールは暗号化されないから

(2)ドメイン

(3)S/MIME証明書の有効期限が切れた場合

設問3
 d デジタル署名
 e 検証
 f 登録メンバ
 g ML

午後1問3

本番環境への脆弱性診断に関する問題です。問3は午後1試験にしては問題文が長く読むのが大変でした。問2がかなりシンプルでしたのでバランスを取ったのかもしれませんね。

設問1
(1)N-IPSの脅威通信判定で拒否される通信も脆弱性診断の対象になるから

(2)N-IPSのホワイトリストに診断PCのIPアドレスを登録する

(3)e

表1で「FW2:管理PCセグメントから、本番Webサーバ(中略)への通信を許可し、」とあるので e が正解かと思いますが、Uさんの言う「想定する脅威」が診断2と同じ「攻撃者がなんらかの方法で”管理LAN”に侵入」であるとすれば、管理LANの枠内にある b でもよいような気がします。

設問2
(1)診断用の利用者ID

「診断用に書き込んだデータ」だと思ったのですが、「診断前の状態に戻せないようなデータ更新が発生するような診断は実施しない」の旨が問題本文(P16)と表2の2箇所も書いてあるので、データではなく「診断用の利用者ID」にしました。深読みしすぎたかもしれません。

(2)
変更する項目:日時
変更する内容:診断を行う時間帯を0時〜8時に変更する

(3)
機器:本番DBサーバ
変更後の設定:本番DBサーバに導入されているホスト型IPSのホワイトリストに、診断PCのIPアドレスを登録する

変更後の設定は、おそらく間違いです。
図2ホスト型IPSの概要に「2.侵入検知設定:ホストとの通信を監視して、脅威と判定した通信を拒否し(略)」とあり、通信が拒否されると警告灯が点灯するので、PF診断でポートスキャンをかけたとたんに警告灯が点灯しまくるでしょう。
侵入検知設定を無効にするという手もありますが、T主任がこれは NIP-S についてですが「無効にすると、PF診断実施時に本物の攻撃を防げない(略)」と言っているので、本番DBサーバの侵入検知設定についても無効にするのはT主任が許してくれないでしょう。
となると「ホスト型IPSのホワイトリストに、診断PCのIPアドレスを登録し、通信を拒否しても警告灯を点灯させない」とするのが正解かもしれません。

(4)
 c 本番DBサーバ
 d DB管理PC
 e 許可 

午後2問2

新型コロナウイルス感染拡大の影響で一気に利用が広まったテレワーク環境の問題です。

設問1
(1)イ

(2)不正にログインした第三者のスマホでQRコードを読み込む

「OTPアプリの初期設定前に第三者に不正アクセスされてOTPアプリを初期設定される」ということを書きたかったのですが、うまくまとめられませんでした、、、

(3)
 a ウ
 b エ
 c イ
 d ア
 e カ
 f オ

なにかのセミナーで見た OpenID Connect の資料を思い出しながらなんとか解答しました。あやしいです。

設問2 ノートPCに表示されているVDの画面をカメラ等で撮映する

漢字を間違えました、、撮映× → 撮影○

設問3
(1)VDの画面のスクリーンキャプチャを外部のサーバに送信する

(2)ア ウ エ

設問4 キャスビー等で各クラウドサービスのログを分析して、脆弱性の無いことを確認する

各クラウドサービスからせっかくログを取得しているのに設問ではなにも触れられていないので、使い所はここだと思います。ただ「キャスビー(CASB)」は余計だった気がします。

設問5 OTPアプリによるログイン時の2要素認証

ワンタイムパスワードをフィッシングサイトに入力してしまうこともあるので、正解は「クライアント証明書によるデバイス認証」の方だと思います。

設問6
(1)パスワードを推測

これは正直わかりませんでしたので、適当に解答しました。

(2)推測されやすいPINコードを設定してしまう問題

(3)クライアント証明書によりデバイス認証を必要とする仕組み

DaaS-Vのアクセスと同等のセキュリティにするには、IDaaS-Yによる2要素認証も必要なので、間違いだと思います。

おわりに

試験おつかれさまでした。合格発表は 12/25(金)正午予定です、みなさんの合格をお祈りします!

コメント

タイトルとURLをコピーしました