情報処理安全確保支援士2023年(令和5年)秋午後問2(2,429 文字)

問題冊子、解答例、採点講評はこれ
無事に受かりましたが書いたからにはきちんと整備しておきます

本文(設問1)

問題文(設問1)

解説(設問1)

(1)は穴埋め。Bサービスにログインするために必要なものは何かという話で、表1のBサービスの概要を見ると「従業員ごとに割り当てられた利用者IDとパスワードでログインし」と書いてありますね。
答え a : 利用者ID, b : パスワード(順不同)
(2)はBサービスにはHTTPSで接続することになりますが、そのBサービスの偽サイトに使用されたサーバ証明書のエラーを2つ書く問題。知識問題ですが失効と有効期限切れ以外だと、「証明書のコモンネームとブラウザで入力してるFQDNの不一致」「SSLコンテンツと非SSLコンテンツが混在している」「SHA-1証明書を利用している場合」「SSLプロトコルが古いor合わない」「証明書の発行元が信頼できない」などがあります(主な参考サイト参照)。まあどれでもいい気がします
答え
c : このサーバ証明書は、信頼された認証局から発行されたサーバ証明書ではない
d : このサーバ証明書に記載されているサーバ名は、接続先のサーバ名と異なる
(3)はhttps://と間違って入力してBサービスにアクセスしようとしたときのWebブラウザの挙動を書く問題。HSTSが有効なので、HTTPでアクセスしようとしたWebブラウザはHSTSによりHTTPSでアクセスするよう指示を受け、HTTPSでアクセスします。リダイレクトとは呼ばない模様。
そしてアクセスした先の偽サイトからサーバ証明書を受け取ります。
答え  HTTPのアクセスをHTTPSのアクセスに置き換えてアクセスする。その後、偽サイトからサーバ証明書を受け取る。

本文(設問2)

問題文(設問2)

解説(設問2)

(1)は悪意を持った従業員がファイル共有機能を使ってファイルを持ち出す方法について。ファイル共有機能は共有したいファイルと相手のメアドを入力して上長承認を得たら使えるというものですが、上長はろくに内容を見てないらしいので、相手のメアドを従業員の個人メアドか何かにすれば簡単に持ち出せます。
答え 外部共有者のメールアドレスに自身の私用メールアドレスを指定する。

(2)は会議室に個人所有PCを持ち込んでBサービスからファイルを持ち出す方法についてで、個人所有PCの無線LANインターフェースの[e]を業務PCの無線LANインターフェースの[e]に変更するという話。
これは従業員PCになりすまして社内の無線LANにアクセスするという話で、表1のAP-1～5の概要を見ると「従業員用無線LANだけにMACアドレスフィルタリングが設定」とあるのでMACアドレスを変える必要があります。
答え MACアドレス

本文(設問3)

問題文(設問3)

解説(設問3)

(1)は個人所有PCを業務PCになりすまさせないということで、従業員用無線LANの認証方式をEAP-TLSにするが、その認証サーバがEAPで使うUDP上のプロトコルは何か。これも知識でRADIUSが正解
答え RADIUS
(2)(3)は再び個人所有PCのなりすまし防止でクライアント証明書の話。クライアント証明書とそれに対応する[f]の扱いについて、従業員が自身の業務PCにインストールするのではなく、ディレクトリサーバの機能で業務PCに格納かつ[f]は[g]しておくために業務PCのTPMに格納保護するの穴埋め。TPMと言われると鍵ペアと言いたくなるのが過去問やった感想ですが、ここは秘密鍵で耐タンパ性を確保します。ただ解答としては業務PCから取り出せないことが書けていればよかった模様。やさしいね
答え 
f : 秘密鍵
g : 業務PCから取り出せないように
(4)はこのディレクトリサーバでのクライアント証明書格納とTPMへの秘密鍵保管だと問題ない理由は何か。とにかく従業員になりすましができないようにしたいということを念頭に置くと、クライアント証明書とそれに対応する秘密鍵も取り出せないという望みを叶えたからOKが出たと考えるのが自然でしょう。
答え EAP-TLSに必要な認証情報は、業務PCにしか格納できないから。

(5)は個人所有PCを来客用無線LANにつないでBサービスに繋ぐことへの対策で、NATの設定を変更しようという話。NATはプライベートIPとグローバルIPを変換する物ですが、BサービスにアクセスできるのはM社IDだとa1.b1.c1.d1のみというので、個人所有PCをつないでM社IDでログインできないようにするにはa1.b1.c1.d1以外のグローバルIPアドレスを割り振る必要があります。
答え 来客用無線LANからインターネットにアクセスする場合の送信元IPアドレスをa1.b1.c1.d1とは別のIPアドレスにする。
(6)は来客持込端末は今まで社内の来客用無線LANに繋いでいたがそれを廃止するので、その際に不要になるサーバは何か。また表1ですがDHCPサーバ以外に来客持込端末が利用するのはDNSサーバです。
答え DNS

(7)は(6)の流れで廃止できる設定はどれか。といっても来客用無線LANは192.168.10.0/24なことを思えば表3では1、表4では1,4なことがわかります。
答え 
表3 : 1
表4 : 1, 4

終わりに

うんうん悩みつつ解いてたけど5割ちょっと取れた気がする
主に問3の真ん中くらいがうまくはまればいい感じかも

主な参考サイト

SSLの設定や内容に不備があるエラーについて
SSL設定時に表示されるエラーや警告の原因を徹底解明！～ブラウザエラー編～
アクセス時に警告表示されるウェブサイトは何が原因？～あなたのサイトは大丈夫？回避方法を解説します～
リダイレクトとHSTS
IEEE802.1x：EAPとEAPoL・RADIUS
バーチャルスマートカードとクライアント証明書