情報処理安全確保支援士2021年(令和3年)春午後2問2(2,880 文字)

問題冊子、解答例、採点講評はこれ

本文(設問1)

問題文(設問1)

解説(設問1)

(1)は上位2オクテットが169.254に設定されたIPアドレスを何と呼ぶか
グローバルアドレスは一意に割り当てられたIPアドレスで、上位2つじゃ一意じゃないので違います
プライベートアドレスはネットワーク内で割り振られるもので、ネットワーク内では一意なのでやはり違います
ブロードキャストアドレスはセグメント全体に出すもので、サブネットマスクがわからないので求まりはしませんが第4オクテットまで必要なので違います。
マルチキャストアドレスはブロードキャストよりは狭い相手に出すもので、クラスDの224.0.0.0以降なので違います
リンクローカルアドレスはDHCPがなかったり死んでるときに使われるものです。169.254.0.0～169.254.255.255になります。消去法で当てられたらよし
ループバックアドレスは自分自身を指すもので、127.0.0.1です
答え オ
(2)はC社内LANでの個人所有機器の利用が原因で問題が起きたというならその原因って何よという話。DHCPが管理するIPアドレスが192.168.1.20～192.168.1.240の221個で従業員が150人でPCは1台ずつ貸与済で個人所有機器の内部LAN統制はなく勝手につないでるとなれば普通に枯渇しますね。
答え 多くの個人所有機器をC社内LANに接続することによって、IPアドレスが枯渇するという問題が引き起こされた。
(3)はUTM以外のDHCPサーバの調査方法について、UTMのDHCPが稼働している場合としていない場合でそれぞれ回答。正直知らない
まず、停止中はPCを接続してIPアドレスが付与されるかを見ればよいです。偽DHCPがあればIPアドレスが割り当てられるので気づけます。
稼働中についてはまずDHCPの流れとしてPC→DHCPにDisocoverを送り、DHCP→PCにOfferを返す。その後PC→DHCPにRequestを送り、DHCP→PCにAcknowledgeが返ってIPアドレスが付与されるという流れですが、もし2台DHCPサーバがあればDiscover後のOffer返答が2つになります。なので2つであることを確認するためにキャプチャをしようという話につながります。
そしてそのキャプチャの方法としては答えの通りL2SWにミラーポートを設定してLANモニタを接続するというのが一般的なようです。
答え
稼働中 : L2SWにミラーポートを設定し、そのポートにLANモニタを接続してDHCP OFFERの数を確認する。
停止中 : DHCPによるIPアドレスの配布がないことを確認する。

本文(設問2)

問題文(設問2)

解説(設問2)

パスワードリスト攻撃で乗っ取られたアカウントに関してのアクセスログが取れないなら何を見るかという話。また幅広い感じですが、ただのチャットサービスのようなのでチャットサービスに書かれたチャットを見るくらいしかできませんし、それでいいと思います。
にしてもサングラスって2499円の奴でしょうか
答え 企画部の部員がアクセスできるチャットエリアで共有されている情報

本文(設問3)

問題文(設問3)

解説(設問3)

WPA2エンタープライズの話。まず認証要求を出すのは当然PCですからaはC-PCです。次に認証するのはというか直接PCとやり取りがあるのはAP(b)です。また、IPアドレスの割り当てタイミングは認証後なのでエになります。
答え
(1) a : C-PC, b : AP
(2) エ

本文(設問4)

問題文(設問4)

解説(設問4)

(1)はホワイトリストという形で契約済SaaS、企業情報検索、経路検索、Cシステムのみしかアクセスできないと何が困るか。P15/本文1左下でインターネット上の情報を収集加工して顧客提案や企画立案をするみたいなことが書いてあるのでこれです。
答え
インターネットを使って情報収集する業務
事業部や企画部の顧客への提案や企画の立案

(2)は業務利用SaaSは総務G契約済だけに制限し、不要なWebサイトへのアクセスは制限する方法について。URLフィルタリングそのものだし2ですね
答え 2
(3)は総務G契約済SaaSには総務G管理アカウントのみでアクセスし、C-PCから個人アカウントでのアクセスを禁じる方法について。IDフィルタリングがあるので1ですね。
答え 1

(4)は総務G管理機器じゃなければどこでシーケンスが切れるかと、どう判定するか。まず切れる場所は5～6(ウ)です。要求は誰でもできるけど認証されません。そしてその判定方法としては表2に接続元の認証がありますからこれを使います。そしてこの表2のサービスQについてはP18/本文4左上にクライアント認証をするとありますので、TLSクライアント認証で判定します。
答え ウ TLSクライアント認証による検証

本文(設問5)

問題文(設問5)

解説(設問5)

(1)は事業者のセキュリティ規格準拠を示す第三者認証は何か。いろいろありますがマネジメントシステムとしてISMSが有名かと思います。認証入れても30%しか字数制限充足しませんが。SSAE16は米国公認会計士協会の基準で、ISAE3402は国際会計士連盟の規格らしいです。なんでこんなところでUSCPAみたいなのが出てくるんだ
答え 
ISAE3402/SSAE16
ISMS認証

(2)は業務利用SaaSからの情報漏洩を防ぐ技術的対策。暗号化以外ないです。
答え 4

本文(設問6)

問題文(設問6)

解説(設問6)

(1)は要件2を満たしつつその設定を従業員に無効にさせないようにするにはどうするか。WPA2エンタープライズを採用したので、この認証を通さないようにするにはどうすればいいのかという話となります。このためには秘密鍵をエクスポートできない状態で配布するのが効果的だそうです。(参考サイト参照)
答え 秘密鍵を書き出しできないように設定する
(2)は要件4,5を維持するためのソフトウェアの設定は何か。普通に管理者権限でしか変えられないようにしたOKです。
(1)はLAN側の設定を変えるという話ではなく技術的にアクセスできないようにするにはどうするかという話なので管理者権限の話をしてもダメです。
答え 管理者が、Pソフトを、一般利用者権限では変更できないように設定する。

終わりに

6割行くか行かないか まあ当日見てたら稼動中DHCPの話の時点で問1に行ってたと思います。

主な参考サイト

ローカルループバックアドレス「127.0.0.1」「::1」「localhost」とは?
リンクローカルアドレスとは何?【ネットワーク用語】
【図解】初心者にも分かるDHCPの仕組み (シーケンス、UDPを使う理由、実装例、設定例)
NEC、クラウド向けに「ISAE3402」と「SSAE16」に準拠した内部統制保証報告書を取得
EAP-TLS : Computer Certification