情報処理安全確保支援士2023年(令和5年)春午後1問3(2,063 文字)

イナ

2023年9月13日 08:01

問題冊子、解答例、採点講評はこれ

本文(設問1)

問題文(設問1)

解説(設問1)

(1)はおなじみSAML認証の穴埋めです。サービスを使いたい人がbなのでイです。認証を司るのはLサービスなのでaはア、残りのcがウですね。
SP-Initiated方式というのはInitiateが「始める」の意味でそのままですが、まずService Providerにアクセスし、「SAML認証貰ってこい」と怒られるのでIdPに貰いに行って、もう1度アクセスする方式です。
もう一つのIdP-Initiated方式はまずIdPにアクセスしてSAML認証をもらってからSPにアクセスしに行く方式です。
答え a : ア, b : イ, c : ウ
(2)は偽SaaS-aにアクセスしてIDパスワードを入力したとしても、社外からそのIDパスワードではLサービスを利用できないのはなぜか。表1注1)2)で本社UTMグローバルIP以外からのアクセスは拒否されていますのでそれは無理でしょうね。
答え 送信元制限機能で、本社のUTMからのアクセスだけを許可しているから

本文(設問2)

問題文(設問2)

解説(設問2)

(1)はHTTPS通信内容をマルウェアスキャンするために、Pサービスが送信元からのTLS通信を終端して復号して再暗号化をして送信先に送信するために[d]を発行する[e]を[f]としてPCにインストールするの穴埋め。あくまでTLS通信の終端がPサービスになるのでPC→Pサービスの通信を暗号化しようという話に収まります。そのためにはPCとPサービスで信頼関係を構築する必要があるので、PCにPサービスのサーバ証明書が発行する認証局の証明書を信頼されたルート証明書として登録する必要があります。
答え d : ア, e : ウ, f : イ
(2)はSaaS-a以外の外部ストレージサービスへのアクセスを禁止するため、中継する通信ログを基にクラウドサービス利用状況を可視化するが、これは何の機能の1つか。知識ですがイです。
CAPTCHAは(最近見ないけど)ログイン時に求められる歪んだ文字、CHAPはパスワードをハッシュ化して送ること、CVSSは脆弱性評価、クラウドWAFはWAFの一種ですね
答えイ

本文(設問3)

問題文(設問3)

解説(設問3)

(1)はPサービス導入にあたって営業所→インターネットのアクセス方法が変わるがどう変わるのか。元はインターネットのアクセスは本社プロキシを通ることになっていました(序文)。それがPサービス経由で接続するように変更になります。端的にこれだけなのでグダグダ悩まなくてよかった
答え プロキシサーバではなく、Pサービスを経由させる。
(2)はLサービスの送信元制限機能は有効としつつも営業所→Lサービスにアクセスするために追加する設定は何か。送信元制限機能で許可したIPからしか接続できないので、営業所のUTMのIPアドレスを登録する必要があります。
答え 送信元制限機能で、営業所のUTMのグローバルIPアドレスを設定する。

(3)はLサービス連携機能として貸し出したR-PC→Pサービス→SaaSのアクセスをLサービスのSaaS連携機能と多要素認証機能を用いるようにしつつ、Lサービスの送信元制限機能で設定したIP以外のアクセスに対する設定を変更、多要素認証機能を有効にして方式を選択するの方式は(ア)(イ)どちらか。表2によるとPCが本社or営業所のPCかR-PCに絞りたいということなので、クライアント認証でいいと思います。
答え (イ)

(4)はR-PC→本社サーバアクセスのために必要な機能とHTTPS通信のマルウェアスキャンに必要な機能はどれか。PC→本社サーバ社内へのアクセスなので6、マルウェアスキャンはそのまま2でしょう
答え d : 6, i : 2
(5)はSaaS-a以外の外部ストレージサービスへのアクセスを禁止、SaaS-の利用も必要最低限の人に絞るためには項番3,4を使うがその設定は何か。
SaaS-aのURLは図1注1)のhttps://△△△-a.jp/で、この子だけ許可したいのと、図1注記にあるようにSaaS-aは研究開発部員しか使わないので、
番号1は項番4でhttps://△△△-a.jp/を研究開発部の従業員IDに対して許可、
番号2は項番3で外部ストレージサービスを全てのIDに対して禁止します。
1と2を逆にして全滅した人も散見されたらしいです。FWの問題で一番下が全部禁止になっているのは見たことないかしら?
答えあ : 4, j : https://△△△-a.jp/, k : 研究開発部の従業員, l : 許可, い : 3, m : 外部ストレージサービス, n : 全て, o : 禁止

終わりに

まあ簡単で6割は取れるさ
総じて2023年(令和5年)春は難しかったと思います。応用情報受けるタイミングでよかった。まあ合格率はいつも通りですが

主な参考サイト

SAML認証の処理のフローを知りたい

この記事が気に入ったらサポートをしてみませんか？