情報処理安全確保支援士2020年(令和2年)午後2問2(2,532 文字)

イナ

2023年8月26日 11:35

問題冊子、解答例、採点講評はこれ

本文(設問1)

問題文(設問1)

解説(設問1)

(1)はOTP(One Time Password)としてスマホアプリ形式(~~Google Authenticator~~)を選択するとして、PC→Webブラウザで認証用のIDaaS-Yにログインし、QRコードを表示、OTPアプリで読み込む流れの中で、OTPの生成に必要なのは何か。知識問題に近いですが、サーバとクライアントで共有する秘密鍵をシェアードシークレット(イ)と呼びます。
TOTPはクライアントがシェアードシークレットと時刻をハッシュ関数で処理し、送信するとサーバでもシェアードシークレットと時刻をハッシュ関数で処理して比較する仕組みなので、秘密鍵の事前共有が必要となります。
答えイ
(2)はIDaaS-YのOTPアプリ初期設定用QRコード表示機能へのアクセスはE社ネットワークからのアクセスのみに制限したのはなぜか。(IDパスワードもあるのでこれだけが漏れても不正アクセスはされないけれども)社外の人が同じOTPアプリでQRコードを読み込んで生成することができてしまうのは問題ですね。
答え 第三者のOTPアプリで不正にOTPを生成される。
(3)はSaaS-XとIDaaS-Y及びZとIDaaS-Yの認証連携の流れについて。まず図3の矢印を見るとわかりますがdはアです。となると図2のdがトークン検証ならe,fでトークンを要求する意味はないのでeがカでfがオになります。
すると残りのa,b,cは矢印を考えてaがウでbがエでcがイですね。矢印形式の問題は今年も出してほしい。
図2はOpen ID Connectと呼ばれるもので現在でもつかわれますが、図3のImplicitはもう使うなよというレベルのもののようです。
答え a : ウ, b : エ, c : イ, d : ア, e : カ, f : オ

本文(設問2)

問題文(設問2)

解説(設問2)

VD(仮想デスクトップ)にしつつクリップボードとディスク共有を禁止しても故意なら社内情報を持ち出すにはどうするか。画面には映るのだから携帯電話で撮影すれば解決です。こんなの規程で禁止してもねえ
答え 社内情報を表示した画面をカメラで撮影するという方法

本文(設問3)

問題文(設問3)

解説(設問3)

(1)は自由なWebアクセスが許可されたPCについて、VD利用中にマルウェアがどのように社内情報を取得するか。設問2と似てますがスクリーンショットを送ることは可能です。Win11でWindowsキー+Shiftキー+Sキーを押さなくても範囲指定のスクショが撮れるようになったのに気づかずしばらく3つキーを押してたのを思い出しました。
ちなみにIPA的にはスクショは「撮る」ではなく「取る」の模様。
答え 社内情報を表示した画面のスクリーンショットを取るという方法
(2)はノートPC→T環境へのアクセスのみとし、T環境内でもさらに必要最小限に絞る場合はどこを許可するか。T環境ではVDで業務を行うためにDaaS-Vを使いつつ、文書関連の業務と会議ツールZを使うという話だったので、
DaaS-V(ア)はVDで業務を行うために必要。EDR-Uはマルウェア検知駆除ツールで、ノートPCより環境そのものを見るものなので不要。
IDaaS-Y(ウ)とMDM-W(エ)は要件1対応でノートPCとの接続が必要、SaaS-Xはメールとスケジュール管理のための基盤用クラウドサービスで直接ノートPCとの通信は不要。会議ツールZも同様。
答えア, ウ, エ

本文(設問4)

問題文(設問4)

解説(設問4)

CSP(クラウドサービスプロバイダ)に脆弱性検査をやろうとしたら断わられたので別の方法で確認したい話。本番の攻撃ならセーフという話ではなく監査報告書を確認して良し悪しを判断します。助言型と保証型の二つがあるみたいな話が午前にもありましたね。
答え セキュリティ対策についての第三者による監査報告書で確認するという方法

本文(設問5)

問題文(設問5)

解説(設問5)

公衆無線LANに繋いでフィッシングサイトに誘導、利用者入力が詐取されてなお不正アクセスを防げるのはなぜか。要件3対応でクライアント認証を追加していたのがここで効いてきます。クライアント証明書によるデバイス認証を通らないとアクセスできないので、利用者入力情報だけを盗られても問題ありません。OTPかと思いましたが、OTPは30秒とか1分とかは同じ値なので、盗られた瞬間に入力されたら突破されます。
答え DaaS-Vでのクライアント証明書によるデバイス認証

本文(設問6)

問題文(設問6)

解説(設問6)

(1)はノートPCにOS搭載のディスク暗号化機能を使っても、ノートPCごと盗られるとディスクが復号される話。この文書の後に回数の話も出てることを踏まえると推測や総当たりでパスワードが割られてログインされると中身が見えるというのが答えのようです。
答え パスワードの推測によってログイン
(2)は6桁のPINコードをシステム管理者がランダムで設定するのではなくユーザーに任せるとどうなるか。ここのポイントは「システム管理者」ではなく「ランダム」で、ユーザー任意だと容易に推測できる6桁を指定するのを恐れています。
答え 容易に推測できるPINコードを設定する
(3)はノートPCをVPN経由でE社ネットワークに繋ぐ場合、FWのVPN機能にどのような仕組みが必要か。T環境を通らないことで薄くなるものはOTPじゃクライアント証明じゃで強化してきた認証の部分なので、ここを補強する必要があります。
答え クライアント証明書によるデバイス認証を行う仕組み

終わりに

6割は取れたと思う
そして今まで散々敵視してきた公衆無線LANに接続しに行くパターンもあるんだなと

主な参考サイト

無限ワンタイムパスワード認証方式
 一番分かりやすい OpenID Connect の説明
 OAuth 2.0 の Implicit grant 終了のお知らせ
 【情報処理安全確保支援士試験令和2年度秋期午後2 問2 No.3】
情報処理安全確保支援士 2020 秋解答

この記事が気に入ったらサポートをしてみませんか？