平成29年度秋期 情報処理安全確保支援士試験 午後の解答メモ

その他
その他
スポンサーリンク

昨日(2017年10月15日)IPAが実施している情報処理安全確保支援士試験を受けてきました。午前試験の公式解答例は即日公開されますが、午後試験の解答例の公開は2ヶ月先になるので試験後に正解が あーでもない こーでもない と議論するのがこの試験の楽しいところでもあり、合格しているか不安で悶々とするところでもあります(^^;) そこで今回は、午後1試験の問1と問3、午後2試験の問1で自分が書いた解答をメモしておきました。

午後1問1

ここ最近話題のランサムウエア対策の問題、他の問題より解答欄が多いのでやめようか迷いましたが身近な話題なので選択しました。

設問1 イ(更新日時)

エ(作成日時)と迷いましたがファイル名は変わっていないようなので、イにしました。

設問2
(1)a オ(RLO) b エ(Received)

(2)バックアップが終了した時刻

(3)
[営業用PCの設定] サーバ上の共有フォルダをPCのDドライブとして自動的に割り当てる設定
[ランサムウェアXの特徴] ネットワークドライブ上のファイルも暗号化の対象とする特徴

(4)サーバに保存されているファイルが暗号化される被害

設問3
(1)
c 可 d 可
e 可 f 不可
g 可 h 可

図2の2で「本社スタッフが(中略)出荷指示情報を登録する。」とあるので h は「可」にしましたが、出荷指示”ファイル“ではないので「不可」が正解だと思います。

(2)復号するための共通鍵が暗号化されているから

(3)暗号化に使用した共有鍵が当該PCのメモリから削除されてしまうから

設問4 バックアップデータも暗号化されてしまいファイルを復元できなくなる被害

午後1問3

SSL/TLS を用いたサーバの設定と運用に関する問題、解答とは無関係ですがOV証明書の存在意義について考えさせられました。

設問1
(1)a コ(ディジタル署名) b カ(共通鍵暗号) c オ(鍵交換) d イ(EV証明書)

(2)C社のECサイトの利用者を偽のECサイトにアクセスさせるための役割

(3)ア(一様分布ではない)

今考えると素直にエ(予測不可能である)が正解なような気がします。

設問2
(1)ア 利用 イ 失効

文字数が余るので不安ですが、これしかないかと思います。

(2)鍵が危たい化としたという事実 / 利用者にかかわる影響範囲

「具体的」な解答ではないので自信なしです、、、

(3)秘密鍵の生成

設問3
(1)SSL3.0プロトコルを無効にする

(2)ウ(DHE) オ(ECDHE)

(3)エ(取得した通信データの全てを復号されるおそれがある)

(4)過去に同じドメインを取得していた者にサーバ証明書を発行している可能性があるから

午後2問1

IoT システムのセキュリティ対策に関する問題、これも最近話題の IoT 機器をねらうマルウエア Mirai を題材にしています。(問題中にも「マルウェアM」として登場しています)

設問1
(1)開いているポートの確認

他の検査項目と表現を合わせるため上のように書きましたが、素直に「ポートスキャン」と書いたほうが良いような気がします。

(2)
[開いている場合] カ(SYN ACK 受信)
[閉じている場合] エ(RST ACK 受信)、ク(応答なし)

(3)インターネットと通信できること

この問はまったく分かりませんでした。適当な解答です、、、

(4)ポートが開く原因となるデバッグ用プログラムと起動スクリプトを削除したファームウェアをカメラIFを使って配信する

設問2
(1)c カ(中間者攻撃) d ア(DNSキャッシュポイズニング攻撃)

(2)HTTP over TLS

文字数制限がないので上のように書きましたが「HTTPS」でも正解だと思います。

(3)プライベート認証局が発行した証明書を信頼してしまうから

設問3
(1)鍵認証を使い管理用端末にのみ鍵を登録する

試験中はSSH公開鍵認証だろうと思い上のように書きましたが、「クライアント認証を使う」旨の解答の方がよかった気がします。

(2)A2,C1,C2,D1,D2

(3)パスワードを固定し毎回異なる利用者IDでログインを試行する手法

(4)毎回異なる利用者IDでログインを試行するためログイン制限にひっかからない

(5)ほかのWebサイトから漏えいした利用者情報に電話番号やメールアドレスが含まれている可能性があるから

(6)利用者番号を用いて追加認証を行う

(7)Webブラウザを使ってWebIFにログインしようとしている状況

(8)Webアプリケーションの脆弱性対策を行うこと

(9)新たな脆弱性の影響を受けるOSのバージョンやミドルウェアをすぐに確認できないから

あわてて書いたので要点が述べられていませんね、、部分点を期待します。

(10)
[共通鍵の生成] Zアプリ
[動画の暗号化] Zカメラ
[動画の復号]  Zアプリ
[共有方法] Bluetooth経由で共有する

Zカメラの暗号化負荷が気にになる所ですが、内部者に動画をみることができないようにするにはZクラウドに入る前に動画が暗号化されている必要があります。

おわりに

合格発表は年末の12/20正午です、みなさんの合格をお祈りします!

コメント

  1. MGL より:

    参考にさせていただきました。ありがとうございます。
    特に午後2問1の設問3の(10)は、同じ考えの人がいたんだ!と思って少し嬉しいです。ただ、私は[共通鍵の生成]はDBサーバと思いました。DBMSで中身が暗号化されるので、共通鍵をZシステム管理者にのぞかれる可能性が低いだろうという発想です。共有方法も同様です。
    設問3の(1)は確かに、電子証明書を使ったクライアント認証が良さそうですね。私はMACアドレスで制限…と書きましたが、今になってよく考えるとMACアドレスは詐称可能ですし。

    • >MGLさん
      コメントありがとうございます!
      参考になったみたいでなによりです。
      設問3の(1)はIPアドレス制限かとも思いましたが、図1の注記2に「管理用モバイル端末を自宅で使う」とあって、表5のA2で「利用認証に加えて、アクセス元の端末を制限」とくれば、クライアント認証になりそうですね。

タイトルとURLをコピーしました