見出し画像

令和5年度 春期 情報処理安全確保支援士試験 午後Ⅱ 問2 解答例

令和5年度 春期 情報処理安全確保支援士試験を受験したので、解答例を公開します。
あくまでも解答例ですので、正解はIPAのサイト(2023年6月27日正午公開)で確認してくださいね。
皆さまの解答例、ご意見も参考にしたいので、コメントお待ちしております。

■解答例

設問1 a:〇 b:× c:× d:〇 e:〇 f:× g:〇 h:〇 i:〇 
設問2(1)j:ウ k:エ l:イ 
設問2(2)

"system":"4000",
"account":"11[1-9][0-9]",
"service":"オブジェクトストレージサービス",
"event":"オブジェクトの削除",
}
設問3(1)m:新日記サービス n:サービスT o:サービスT
設問3(2)p:(3) q:(7)
設問3(3)ウ、エ   (全て一致で正解)
設問4(1)(40字以内)
攻撃者は、アクセストークン要求のcodeパラメタの認可コードが設定できないため
設問4(2)(70字以内)
SHA-256で求めた検証コードのハッシュ値をbase64urlエンコードした値と、チャレンジコードが一致するか確認する。
設問5(1)(40字以内)
OSSリポジトリにアクセスしてファイルZを含む変更履歴をダウンロードする。
設問5(2)(50字以内)
開発者はアップロードのみできて、承認はできないように権限を変更する。
設問5(3)(40字以内)
Xトークンには、リポジトリWのソースコードのダウンロード権限のみ付与する。

■解説

設問1

解答 a:〇 b:× c:× d:〇 e:〇 f:× g:〇 h:〇 i:〇
解説:知識問題 
クラウド責任範囲の基礎知識ですね。

引用:アイティーエム https://www.itmanage.co.jp/column/saas-paas-iaas/

設問2(1)

解答 j:ウ k:エ l:イ
解説:問題文のヒントから考える問題
運用委託先のD社運用(表1に記載)に必要な最小権限を答える。
j(仮想マシンサービス):仮想マシンの一覧の閲覧だけが必要。
k(DBサービス):DBサービスに関する運用はない。
l(モニタリングサービス):性能監視に性能指標値の閲覧が必要。

設問2(2)

解答

"system":"4000",
"account":"11[1-9][0-9]",
"service":"オブジェクトストレージサービス",
"event":"オブジェクトの削除",
}
解説:問題文のヒントから考える問題
JSON形式を知らなくても、図1を真似して下線部①の内容を表現してみよう。
難しいのは、設問の「D社の利用者IDは,1110~1199とする。」を
表4の注記の [  ] の説明を利用して表現するところ。

設問3(1)

解答 m:新日記サービス n:サービスT o:サービスT
解説:問題文のヒントから考える問題
OAuth2.0とは認証プロトコルの1つです。
スマホで新しいサービスの利用を始めるときに、Twitterとかを使ってログイン(認証)するやつですね。
あなたが、「Twitterを使ってログインしていいですね」の表示に対して、「はい」と答えたときに、あなたが新しいサービスへのアクセスを許可するトークン(アクセストークン)を発行指示していることになります。
(参考)試験によく出るシーケンス図と同じような、図がTwitterのOAuth2.0フローとして公開されていました。

引用:Zenn https://zenn.dev/kg0r0/articles/8b1cfe654a1cee

設問3(2)

解答 p:(3) q:(7)
解説:問題文のヒントから考える問題
実際の送信データを知っている人は少ないでしょうから、図3と表8を見比べて答えを特定しよう。
サービスTとの連携のために「送信しているデータ」が問われているので、図3で該当しそうなのは、(3)か(7)か(9)が該当しそうと考える。
順番的にpは、GET(要求)でhttpとかURLとか書いているからブラウザから送信している(3)で、qはデータにtokenがあるから(7)アクセストークン要求だと判断する。

設問3(3)

解答 ウ、エ (全て一致で正解)
解説:知識問題
参考になりそうな図を参考までに。説明難しい。

※2023/5/3解説追加

ウのの「3DES」とイの「RC4」は危殆化しているため、「推奨していない暗号化技術」に該当します。
アとイの暗号化技術(暗号化アルゴリズム)「AES128」と「AES256」に着目して念のため確認します。

※2023/5/5解説訂正

「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)(CRYPTREC LS-0001-2022 )」(令和5年3月30日)を確認すると画像のように「AES128」は推奨として記載されています。では、「AES256」は「推奨していない暗号化技術」に該当するのか?迷うところです。

「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)(CRYPTREC LS-0001-2022 )」(令和5年3月30日)を確認すると画像のように「128ビットブロック暗号」「AES」は推奨として記載されています。「AES128」のこと?「AES256」も含まれるの?迷うところです。

引用:CRYPTREC https://www.cryptrec.go.jp/list/cryptrec-ls-0001-2022.pdf

結論からお伝えすると「AES128」も「AES256」も推奨に含まれます。
「AES128(鍵長が128ビット)」も「AES256(鍵長が256ビット)」も「128ビットブロック暗号」なのです。
ブロック長と鍵長をごっちゃにしないように注意が必要ですね。

引用:ITmedia https://atmarkit.itmedia.co.jp/ait/articles/0605/20/news011_2.html

また、問題の解き方としては、「AES256」は、現在WPA2の暗号化アルゴリズムとして採用されており、「AES128」よりも強度の高い暗号化アルゴリズムのため、推奨されていると判断してもよいでしょう。

「AES256」は、「AES128」の上位互換バージョンのため、(CRYPTREC暗号リスト)には、書いていないのでしょう。
したがって、正解は、ウとエになります。

参考のため、暗号スイートの例です。

引用:vm ware https://docs.vmware.com/jp/VMware-Cloud-Web-Security/services/VMware-Cloud-Web-Security-Configuration-Guide/GUID-12A771E5-76FF-4DCC-A064-C088045D2DCA.html

設問4(1)

解答(40字以内):
攻撃者は、アクセストークン要求のcodeパラメタの認可コードが設定できないため
解説:知識問題
アクセストークン要求についての設問なので、表8の番号q側を参照する。認証成功のためには、codeパラメタで設定している認可コードが必要である。認可コードとはアクセストークン発行に必要な情報であり、アクセストークン要求前に、事前に認可サーバから発行するものである。

設問4(2)

解答(70字以内):
SHA-256で求めた検証コードのハッシュ値をbase64urlエンコードした値と、チャレンジコードが一致するか確認する。
解説:知識問題
PKCE(Proof Key for Code Exchange by OAuth Public Clients)とは、認可コード漏えい防止のためのOAuth2.0の拡張仕様です。

設問5(1)

解答(40字以内)
OSSリポジトリにアクセスしてファイルZを含む変更履歴をダウンロードする。
解説:
表9の下の注記に要注意!「OSSリポジトリには、利用者認証を”不要”に設定している。~ソースコードと変更履歴のダウンロードは誰でも可能である。」こんな説明が有れば必ず解答に関係してくる!

設問5(2)

解答(50字以内)
開発者はアップロードのみできて、承認はできないように権限を変更する。
解説:問題文のヒントから考える問題
表9の「バージョン管理」の管理プロセス説明の、開発者がアップロードして、開発者がリスクが少ないと判断できて、開発者が承認できるルールはダメですね。

設問5(3)

解答(40字以内)
Xトークンには、リポジトリWのソースコードのダウンロード権限のみ付与する。
解説:問題文のヒントから考える問題
表9の「サービス連携」の管理プロセス説明の、XトークンにはリポジトリWの全ての権限が付与されているルールはダメですね。

■更新履歴

2023/4/16(日) 試験日
2023/5/2(火) 作成
2023/5/3(水) 設問3(3)の解説を追加

最後までお読みいただき、ありがとうございました。

この記事が気に入ったらサポートをしてみませんか?