令和元年度秋期 情報処理安全確保支援士試験 午後問題答案晒し+α

DAI7SHIN

 先日合格発表が行われた情報処理安全確保支援士試験(SC)について、年も明けて2020年になってしまいましたが、自身の復習の意味も込めて午後試験の自分の答案と公式解答とを並べて比較してみます。また、ちょこちょこ私個人の考え等についても書いていきます。
 (下記のとおりギリギリ通過のため、答案のクオリティはお察しください。また、問題文詳細等については省略します。IPA公表の問題冊子を必要に応じ確認してください)
※以降の「出題趣旨」、「概要」及び「解答」は独立行政法人情報処理推進機構(IPA)公表文書から引用・編集したものです。
©2019 独立行政法人情報処理推進機構

【私の成績】
過去:H29春FE合格、H30春AP合格、H31春SC不合格
午前Ⅰ:免除
午後Ⅱ:80点
午後Ⅰ:63点(問2,3選択)
午後Ⅱ:67点(問2選択)
※一応合格ですが下記のとおり選択肢問題を中心にかなり不正解となっており、記述問題を中心に点数調整が行われたのではないかと推測しています。

まえがき

 今回の試験の答案を書き下していく前に、私個人のSCの受験状況・勉強状況について少しずらずらと書きます。
 今回のSC受験はH31春に続いて2回目でした。その時は午後Ⅰが8割超えたものの午後Ⅱがあと数点足らず不合格(正確な点数は失念)。
 初回受験時は技術評論社の合格教本・過去問題集、秀和システムのポケットスタディで全体を勉強、過去問もH30秋~H26春まで10回分を解き、自分では万全の体制をとって受験しました。
 まぁ、気合い入れて頑張った時ほど実りを得られなかったときの落胆は激しいものでして、初回不合格時はもう今後受けるのやめようかなぁと考えたものでした。
 しかし、秋期試験の申込みが始まり、SNS上でも知人がちらほら各種試験に申し込みを行っている状況。午前Ⅰ免除のカードが使えるのも残りR1秋R2春の2回だけとなってしまっていたため、「まぁR2春もあるし落ちてもいいから受けるだけ受けとこう」という方針をとりました。
 紆余曲折あって晩夏の9月初めから再度勉強を開始。当面は「合格教本を再度読み込み→ノートに手書きでアウトプット、さらに一通り終わったら過去問10回分を再度解きなおす」というスケジュールを組んでいました。
 しかしながら、「落ちてもいいか」などと思ってしまっている勉強というものには身が入らないもので、スケジュールは少しずつ押していき教本のノート取りが一通り終わったのは試験本番10日前。流石に10日で10回分過去問をやる時間はありません。
 そこで、過去問演習については方針を変え、不合格だったH31春午後試験をじっくり解いてみる方針としました。
 あわせて過去問道場(情報処理安全確保支援士ドットコム)の学習履歴をリセットし、再度金トロフィー100%を目指すこととしました。こちらは紙とペンがなくても机に向かわなくても実行することが出来たため、割ときちんとこなせました。
 そんなこんなで試験当日。初回とは比べ物にならないほど緊張感がない状態で試験会場へ向かい、受験しました。

午後Ⅰ

午後Ⅰ問2
「出題趣旨」
 最近,攻撃対象組織ごとにマルウェアなどを用意する攻撃が増えている。そういった攻撃に対応するため,ISACなどの脅威インテリジェンスを共有する組織を活用し,インシデント対応を行うケースが増えている。本問では,脅威インテリジェンスの関連知識と脅威インテリジェンスを活用するインシデント対応力について問う。

設問1-(1)
(概要)
 マルウェアによる通信が遮断された理由を20字以内で述べよ
(答案)
 FWで許可されていない通信内容だから(18字)
(解答)
 プロキシ認証に失敗したから

設問1-(2)
(概要)
 パブリックDNSへの通信が記録されるのはどの機器のログか
(答案)
 (b) (FW)
(解答)
 (b)

設問1-(3)
(概要)
 マルウェアによる攻撃が成功した可能性が高いと判断可能な痕跡を二つ挙げ、それぞれ30字以内で述べよ
(答案)
 ・グローバルIPアドレスMとの通信に成功しているログ(25字)
 ・同じ一定サイズのデータ量の通信が複数回成功した痕跡(25字)
(解答)
 ・グローバルIPアドレスMへのHTTP通信成功のログ
 ・パブリックDNSサービスLへのDNS通信成功のログ

設問1-(4)
(概要)
 一連の調査完了後、他社がEDRなどで感染端末を検出する際に有効であり、ISACに伝えるべき情報は次のうちどれか(選択肢ア~キ)
(答案)
 ・ア(PCがマルウェアに感染した日時情報)
 ・イ(マルウェアがHTTP通信を試みたグローバルIPアドレスM)
(解答)
 ・イ
 ・ウ(マルウェアが配置されていたフォルダNのパス名)

設問2-(1)
(概要)
 ソフトウェアのディジタル署名の検証に利用する証明書を選べ(選択肢ア~エ)
(答案)
 ・イ(TLSクライアント証明書)
(解答)
 ・エ(コードサイニング証明書)

設問2-(2)
(概要)
 プロキシ認証情報の窃取に使用できない攻撃手法を選べ(選択肢ア~カ)
(答案)
 ・ア(Webブラウザのオートコンプリート情報の窃取)
(解答)
 ・ウ(ゴールデンチケットの窃取)

設問2-(3)
(概要)
 FWのフィルタリングルールについて、パブリックDNSを利用したマルウェアによるC&C通信対策のため変更すべき箇所と変更内容を述べよ
(答案)
 ・変更箇所:3
 (送信元:全て 宛先:インターネット サービス:DNS 動作:許可)
  変更内容
 (送信元:DMZ 宛先:インターネット サービス:DNS 動作:許可)
(解答)
 ・変更箇所:3
  変更内容
 (送信元:DMZ 宛先:インターネット サービス:DNS 動作:許可)

設問2-(4)
(概要)
 攻撃者が用意する攻撃用サーバ等についてb,c,dに入れる字句をそれぞれ10字以内で答えよ(穴埋め問題)
(答案)
 ・b:権威DNSサーバ
 ・c:フルサービスリゾルバ
 ・d:DNSクエリ
(解答)
 ・b:権威DNSサーバ
 ・c:外部DNSサーバ
 ・d:再帰的クエリ

設問2-(5)
(概要)
 マルウェアが大量の情報を持ち出す場合に現れる特徴を30字以内で述べよ(問題文中で「長いホスト名をもつDNSクエリの発生」が1つ示してある)
(答案)
 短時間で断続的に同一の送信元と宛先の間で大量の通信を実行(28字)
(解答)
 特定のドメインに対する多数のDNSクエリの発生

午後Ⅰ問2感想
 完答と言えるのは設問1-(2)と設問2ー(3)のみ。多肢選択問題はかなりの量外しており、記述問題もどことなくピントがあってなさそうな解答がほとんどで、自己採点はかなり甘めに見積もっても4割といったところでしょうか・・・。

午後Ⅰ問3
「出題趣旨」
 最近の標的型メール攻撃は巧妙になっており,セキュリティ製品を導入することや,不審な添付ファイルや不審なリンク先をクリックさせないなど,利用者へ注意喚起することでは,被害の完全な抑止は難しい。本問では,一般的なネットワーク構成におけるウイルス感染を題材として,ウイルスの関連知識とウイルス感染後のインシデント対応力について問う。

設問1-(1)
(概要)
 標的型攻撃を受けたと思われる不審PCの電源を入れたままにしておく目的を25字以内で述べよ
(答案)
 PC内のメモリやデータの内容が変化するのを防ぐため(25字)
(解答)
 メモリ上の情報が失われないようにするため

設問1-(2)
(概要)
 不審PCを利用者LANから切り離さない場合、マルウェアはどのような望ましくない活動をすると想定されるか。二つ挙げそれぞれ20字以内で述べよ
(答案)
 ・業務サーバ上の秘密情報を外部に送信する(19字)
 ・他の機器に感染を拡大しようとする(16字)
(解答)
 ・J社情報システムに感染を拡大する。
 ・インターネットに情報を送信する。

設問2
(概要)
 a~dの各コマンドについて、攻撃者の目的として適切なものを選択肢から選べ(選択肢ア~カ)
 a:ipconfig /all  b:systeminfo c:tasklist d:net view 
(答案)
 a→ア(L-PCからその時点で接続可能な端末の一覧を取得する)
 b→イ(L-PC内で悪用できる脆弱性を確認するために、
    OSのバージョンや脆弱性修正プログラムの適用状況を確認する)
 c→オ(実行中のプロセス一覧を取得し、マルウェアの解析環境でないか
    確認する)
 d→ウ(L-PCのIPアドレス、MACアドレスなどネットワークアダプタの
    詳細な情報を取得する)
(解答)
 a→ウ b→イ c→オ d→ア

設問3-(1)
(概要)
 他に感染したPCがないか確認するために、FWのログに何が含まれているかを確認する必要があるか25字以内で具体的に述べよ
(答案)
 送信元IPアドレスがL-PCである他機器あての通信(28字)
(解答)
 IPアドレスw1.x1.y1.z1との通信履歴

設問3-(2)
(概要)
 PCやサーバの状態によってはFWのログ確認ではマルウェア感染を検知できない場合がある。これはPCやサーバがどのような状態にある場合か。40字以内で述べよ
(答案)
 マルウェア感染後のL-PCとFWを経由しない経路で通信を行える状態に
 ある場合(38字)
(解答)
 感染したが,C&Cサーバと通信する前にネットワークから切り離された
 状態

設問3-(3)
(概要)
 マルウェアに感染しているPC又はサーバをRログを使って検知する方法を30字以内で具体的に述べよ
(答案)
 RログにマルウェアMのハッシュ値との一致箇所があるか確認する
(30字)
(解答)
 RログをマルウェアMのハッシュ値で検索する。

午後Ⅰ問3感想
 設問1-(1),(2)と設問3-(3)は完答とみて問題ないかと思います。問題なのは設問2。合格したとは言え、正直ネットワーク・セキュリティで割と基本的な各種コマンドをきちんと理解できていなかったのは反省点です。
 設問3-(1)は具体的に述べられていないので部分点がついて1点、下手したら0点かと思われます。設問3-(2)は「FWより内側の社内ネットワーク中で感染済みのL-PCからL2SW,L3SWのみを経由して利用者LAN→内部システムLANと感染が拡大し、感染はしたが外部C&Cサーバとはまだ通信前」という状況を想定して40字以内で記述したものですが、公式解答を見ると的が外れてますね・・・。でも全体として自己採点するとだいたい6割、配点や部分点によっては7割も窺えるか?といったところでしょうか。

午後Ⅰ全体感想
 正直なところ、よく通過できたなというのが全てです。問3はともかく問2があの出来で午後Ⅰ全体で63点になったというのは、後出しで相当な配点変更などがあったのではないかと考えてしまいます。
 単純に①後の設問ほど高得点、②多肢選択問題より記述問題が高得点と仮定し自己採点してみたところ、だいたい50点台前半になる計算となり、試験直後の各予備校解答公表時点では午後Ⅰでアウトだなーと思っていました。

午後Ⅱ

午後Ⅱ問2
「出題趣旨」
 産業用制御システムなどのOTのシステムとITのシステムは分離すべきと言われている。しかし,実際には,中規模,又は大規模な工場であっても,OT用とIT用のネットワークが分離されていないケースが多く見られる。本問では,OTとITが混在する環境の課題を示し,それぞれの目的を念頭に置きながら,課題解決のための案を検討する。インシデント対応,APT攻撃の概念モデル,ネットワーク分離,無線アクセス認証,セキュリティ規程など,幅広い分野についての実践的な知識と,目的・条件に合わせて様々な技術を組み合わせ,課題を解決する能力を問う。

設問1-(1)
(概要)
 ログに記載されたUser-Agentヘッダフィールドの値ではマルウェアによる通信と判断するのが難しいケースがある。そのケースを50字以内で述べよ
(答案)
 User-Agentヘッダフィールドの値が正常な通信と認識できる値に偽装されていた場合(44字)
(解答)
 User-Agentヘッダフィールドの値がA社で利用しているWebブラウザを示す値であるケース

設問1-(2)
(概要)
 CAD-Vの開発元により公開されるCAD-Vの脆弱性情報及びその対策となるものを選べ(選択肢ア~オ)
(答案)
 エ(パッチ)
(解答)
 

設問1-(3)
(概要)
 マルウェアに感染したPC-Sに対して行うべき対応を選べ(選択肢ア~オ)
(答案)
 ア(初期化)
(解答)
 

設問1-(4)
(概要)
 ランサムウェアTを配布していたWebサイトのほか、FWによって社内からのアクセスを遮断するべきものはなにか。10字以内で答えよ
(答案)
 正体不明の宛先
(解答)
 サイトU(ランサムウェアが自身が動作した環境や暗号化の状況を登録しに行くサイト)

設問2-(1)
(概要)
 表中のd~fに入れる字句を選べ(選択肢ア~ケ)
  d:攻撃者が標的型攻撃のマルウェアを作成するともに、侵入を
   成功させるために作成するファイル
 e:長期にわたり侵入を継続できるようにするためにマルウェアが設置
   するもの
 f:マルウェアが攻撃者のサーバと通信して受け取り、それに従って
   動作するもの
(答案)
  d:カ(ドキュメント)
 e:キ(バックドア)
 f:オ(攻撃者の指示)
(解答)
 d:カ、e:キ、f:オ

設問2-(2)
(概要)
 次に挙げる活動は表中のAPT攻撃の各ステップのうちどれにに該当するか。番号で答えよ
 表中のステップ:偵察、武器化、配送、エクスプロイト、インストール
         コマンドとコントロール、目的の実行
 活動1:SNSを調べ標的組織従業員の専門性や趣味嗜好情報を得る
 活動2:標的組織内のサーバにアクセスし秘密情報を盗む
 活動3:マルウェアを仕込んだUSBメモリを標的組織入り口付近に置く
(答案)
 活動1:1(偵察)
 活動2:7(目的の実行)
 活動3:3(配送)
(解答)
 活動1:1、活動2:7、活動3:3

設問3
(概要)
 本文中のg,hに入る字句をそれぞれ10字以内で述べよ
 本文:無線LANアクセスポイント(AP)の近くから、攻撃者が(g)する
    ことで(h)を入手し、この値を使用することで用意にAPに接続
    できてしまう
(答案)
 g:無線LAN通信を傍受(10字)
 h:機器のMACアドレス(10字)
(解答)
 g:電波を傍受
 h:MACアドレス

設問4-(1)
(概要)
 機器がAPT攻撃を受け、インストールまで成功したと仮定した場合、コマンドとコントロール以降のステップについて、データダイオード方式(1方向の通信しか許可しないデータダイオードを利用する方式)のセキュリティ上の効果は何か。25字以内で具体的に述べよ
(答案)
 マルウェアが攻撃者のサーバへ通信するのを防ぐ(22字)
(解答)
 攻撃者の操作指示がFA端末に伝えられない。

設問4-(2)
(概要)
 各改善案について、データ転送の即時性、セキュリティの2つの観点で評価した場合、i~kに入るものを選べ(選択肢ア~ウ)
 i:FW方式、j:中継用PC方式、k:データダイオード方式
 ア:○ ○、イ:○ △、ウ:△ ×
(答案)
 i:イ、j:ウ、k:ア
(解答)
 i:イ、j:ウ、k:ア

設問4-(3)
(概要)
 本文中の下線②③(業務上FA端末にUSBを接続する必要性があることが述べられている)について、FA端末のマルウェア感染リスク低下のために共通して接続前に行うべき措置を30字以内で具体的に述べよ
(答案)
 USBメモリ内の不審データの有無を独立したPCで検証する
(解答)
 USBメモリをマルウェア対策ソフトでスキャンする。

設問5-(1)
(概要)
 事務LAN用、センサNET用の認証サーバはどこに設置するのが適切か。それぞれ図1中の(あ)(い)、図5中の(う)~(か)から選べ
 (図省略)
(答案)
 事務LAN用:(あ)、センサNET用:(か)
(解答)
 事務LAN用:(い)、センサNET用:(か)

設問5-(2)
(概要)
 APへの不正接続を考慮した場合、図5のネットワーク構成は図4に比べプロジェクトWの目的の達成の面で優れている。図5が優れていると考えられる点とその理由を、FA端末から業務サーバにデータを安全に転送する仕組みを導入しなかった場合を想定し60字以内で具体的に述べよ(図省略)
(答案)
 F-NETが他のネットワークから独立しており、APへの不正接続があってもFA端末の脆弱性を利用される危険性が低くなるため(60字)
(解答)
 事務LANとセンサNETはF-NETと分離されており,APに不正接続してもFA端末を攻撃できないから

設問6ー(1)
(概要)
 表5中の下線④(深刻度評価のプロセスでその時点での自社にとっての深刻度を評価する値)について、この値を選択肢から選べ(選択肢:ア~オ)
(答案)
 エ(CVSS現状値)
(解答) 
 イ(CVSS環境値)

設問6ー(2)
(概要)
 表5中の下線⑤(深刻度評価の結果に従い適切と考えられる措置)について、業務サーバのソフトウェアにネットワーク経由での遠隔操作につながる可能性の高い脆弱性が見つかった場合に、A-NETへの被害を防ぐために適切と考えられる措置の例を二つ挙げ、それぞれ25字以内で具体的に述べよ
(答案)
 ・適用できるパッチの有無の調査と適用の実施(20字)
 ・A-NETとサーバLANの直接の接続の遮断(21字)
(解答) 
 ・当該脆弱性に対応したパッチを適用する。
 ・脆弱性をもつソフトウェアの利用を停止する。

設問7ー(1)
(概要)
 図4中の工場LAN、標準PC及びFA端末、並びに図5中の事務LAN、F-NET、センサNET、標準PC及びFA端末は、図2のセキュリティ規程に従うと、それぞれどの部門が管理を担うことになるか
 選択肢:ア α工場、イ 営業部、ウ 財務部、エ システム部、オ 総務部
(答案)
 順に、エ、エ、ア、エ、ア、ア、エ、ア
(解答) 
 順に、エ、エ、ア、エ、ア、ア、エ、ア

設問7ー(2)
(概要)
 本文中の下線⑥(各部門が機器や部門NETをA-NETに接続する際にシステム部に事前申請するべき事項)について、追加するべき事項を二つ挙げ、本文中の用語を用いて、それぞれ20字以内で具体的に述べよ
(答案)
 ・セキュリティを維持するための措置の状況(19字)
 ・接続機器で使用する業務用ソフトの一覧(18字)
(解答) 
 ・各部門が定めた管理・維持のための措置
 ・リスクアセスメントの結果

午後Ⅱ感想
 ネット上でも同様の意見を見かけましたが、過去数年分も含めて一番と言っていいほどの易問だったのではないかと思います
 答案については全体的に結構できていた方ではないでしょうか。多肢選択問題はほぼ完答できており、記述問題も概ね焦点は外していない解答ができていたのではないかと見ています。設問7-(2)は、本文中に記載のあるセキュリティ規程への追加事項を参考に解答したものですが、どのようなリスクアセスメントを行ったか?は書く必要がなく、単にリスクアセスメントの結果と答えるだけで良かったんですね。
 甘めの自己採点ではありますが、概ね7割後半~8割くらいの得点を見込んでいました。しかし、蓋をあけてみれば得点は67点。多肢選択問題はほぼ出来ていたことを考慮すると、記述問題は相当厳しい採点が行われ、部分点なしという設問もあったのではないかと想定しています。(もっとも、実態としては後述の対応だったのではないかと思っていますが・・・)

総括

 某匿名掲示板や情報処理安全確保支援士ドットコムの掲示板等で「午後Ⅰで加点のゲタが履かせられ、午後Ⅱは逆に減点の逆ゲタが履かせられたのではないか?」という書き込みをちらほら見かけました。
 基本的にそのような書き込みをしている方は不合格だった方のようでした。「自己採点では80点台だったのに50点台だった」「75点くらいだと思っていたら30点台だった」といった具合の声が見受けられました。
 自己採点というものはあくまで自分で行うもののため、記述式では100%正確な自己採点は不可能です。まして記述式は多肢選択問題以上に自分の解答を問題用紙に残す作業に時間がかかるため、記憶を頼りに自己採点を行うような事態になるとさらに精度は落ちます(この辺は大学入試センター試験への記述問題導入等でも問題視されていましたね)。
 上記の私の答案とIPA公式解答を見比べて頂いた方には、私の得点はどのくらいが妥当と思われるでしょうか。
 自分で言うのもなんですが、午後Ⅰを通過できたのは未だに疑問です
 一方で、今回の情報処理安全確保支援士試験の合格率は19.1%と非常に高いものでした。これは他の高度試験の合格率が概ね15%前後であることと比較してみても高い水準です(ただし、SCは他の高度試験より10倍くらいの応募者がいますが)。
 仮に大幅な得点調整・合格者数調整を行ったのであれば、これほどの水準の合格率に着地させたというのは疑問が残ります。応募者数・受験者数が確定した時点で、何人合格とすれば合格率が15%程度となるかを確定できるためです。
 ただ、前々から情報処理試験では合格率が一定水準となるようにある程度点数調整が行われているというのは実しやかに囁かれている話です。
 完全に個人的な推測・妄想の域を出ない考えになるのですが、合格者候補である午後Ⅰ通過者を一定数確保するべく午後Ⅰではある程度の点数調整が行われたのではないかと思われます。そこへ数年に1回と言えるレベルの当たり問題である午後Ⅱ問2がぶつかってしまった。その結果、自己採点と公式採点とで大幅に齟齬が生じている受験者がいる一方で、合格率は高水準となったのではないかと思います。
 一部では、過去のSCに合格はしているものの、登録のメリットがないため情報処理安全確保支援士としての登録は行わず、定期的にSCを再受験することで知識レベルを維持している層がいるのではないかとの意見も見受けられます。
 私自身では確認のしようがありませんが、もしこの仮定が事実だとすれば、今後ますます合格率だけは高水準となり、合格未経験者の実質合格率はどんどん下がってしまうのではないかと思われます(あくまで仮定を前提にした考察です)

まとめと今後

 今回ははっきり言って運良くギリギリ合格ラインに踏みとどまったという状況です。最初に書いたとおりの得点状況でも合格は合格であるため、一応情報処理安全確保支援士に登録する資格は有していることになります。
 しかし、①あまりにも自分自身で手応えがなかったこと、②現状登録のメリットがほぼないこと③維持費が高額であることなどから、当面登録申請を行うつもりはありません
 ①については、今後も個人的に情報収集と勉強を継続していくことで、SC合格者であるという建前に実体が追いつくように研鑽を積みたいと思います。
 ②については、現状では個人で持っていてもほぼメリットはなく、A社は100人、B社は200人居るといった具合でベンダ企業などで組織的に運用・活用することでメリットが生じるのではないかと思います。
 ただ、最近では情報処理安全確保支援士会という組織も発足し、諸先輩方がお互いの交流の場・情報交換の場を設けるなど、行動を開始されているようです
 ③についてはもう国の方針が変わらないとどうしようもないと思います。IT・ICTが大幅に浸透した現代において、セキュリティ面の観点から国家公認のプロフェッショナルを認定・育成し国家レベルでセキュリティを上げていこうというのはわかるのですが、正直3年で14万(+初回登録料数万)というのは、本気でプロフェッショナル増やす気あるんかなぁと思わざるを得ません(私の職場でも別に維持費を出してくれる制度なんかはないので、完全に自己満足の世界で登録・維持しなくてはなりません)。
 情報処理安全確保支援士登録等については、しばらく様子を見ることとして、私個人としての今後の目標ですが、次はDBかNWを目指してみたいと考えています。ただ、DBは直近でR2春試験と近すぎるため、着実にステップアップすることを考えると、NWに照準をあてR2秋試験にチャレンジしてみるのが良いかなぁと考えています。まぁ全ては未定ですが。

おわりに

 ここまでご覧いただき誠にありがとうございました。今回の試験に合格した方も、惜しくも不合格だった方も、今後受験を考えている方も、何か少しでも参考となる部分がありましたら、こんなにありがたいことはありません。
 IPA試験でもよし、ベンダ試験でもよし、何かソフトウェアを開発するでもよし、なんなら起業してしまうでもよし、各自マイルストーンを設定・踏破していき、頑張っていければと、この国の片隅の一人の情報処理技術に関心を持つ者として、各位の益々の活躍を祈念し、終わりとさせていただきます。
 乱筆乱文の中、最後の最後までご覧いただき、誠にありがとうございました。