見出し画像

【解答例&解説】令和6年度 春期 情報処理安全確保支援士試験 午後 問1

まさ@情報処理技術者試験研究家

情報処理安全確保支援士試験の解答例とオリジナル解説を公開します。
あくまでも解答例ですので、正解はIPAのサイト(2024年7月2日正午公開)で確認してくださいね。
この記事の最終更新日は、2024年5月20日です。
皆さまの解答例、ご意見も参考にしたいので、コメントお待ちしております。


■解答例

設問1 a   ステートレス
設問2(1)b 500
設問2(2)データ JWTのヘッダの"alg"の値 15字
設問2(2)検証  適切なアルゴリズムであることを検証する 19字
設問2(3)  パラメータmidとJWTのペイロードの利用者IDが
        一致を確認する 32字
設問2(4)c サービスL
設問2(5)d 認証失敗がしきい値を超えた場合にアカウントを
        ロックする処理 29字
設問3(1)  index.htmlのダウンロードを検知する仕組み 25字
設問3(2)e header
設問3(2)f header
設問3(3)  ¥Wj|Jn|Nd|Di|I¥
設問3(4)利点 正常な通信の遮断を防ぐことかできる 17字
設問3(4)内容 検知発生時の即時対応手順と体制を明確に
         しておく 23字 

■解説

設問1 a

解答:ステートレス
解説:知識問題
セッション管理を行わないのは、「ステートレス」ですね。
逆にセッション管理を行うのは、「ステートフル」。

設問2(1)b

解答:500
解説:問題文のヒントから考える問題
文字列Xは、数字4桁(表2)0000から9999まで10,000種類。
1秒間に10回試行する(表3)
1回目試行は0.1秒
10,000回目試行は、1,000秒 10,000種類÷10回=1,000秒
平均時間は、(0.1秒+1,000秒)÷2=500.05秒=500秒

設問2(2)データ

解答:JWTのヘッダの"alg"の値 15字
解説:問題文のヒントから考える問題
対象の脆弱性は表3の項番1。

JSON Web Token(JWT)とは、JSONのトークン(認証情報)です。
JWTのヘッダの"alg"には、署名アルゴリズムを指定します。
"alg"には適切な署名アルゴリズムが設定されている必要があります。

設問2(2)検証

解答:適切なアルゴリズムであることを検証する 19字
解説:問題文のヒントから考える問題

JWTのヘッダの"alg"(署名アルゴリズム)に"none"を指定すると、署名検証を行わない指定となる。←コレが脆弱性。
署名検証が適切に行われるよう"alg"が適切なアルゴリズムであることを検証します。

設問2(3)

解答:パラメータmidとJWTのペイロードの利用者IDの一致を確認する 32字
解説:問題文のヒントから考える問題

対象の脆弱性は表3の2。

利用者APIのパラメータmidの利用者IDが正しいことを確認する処理が必要です。パラメータmidの利用者IDが正しいことを確認するためには、正しい情報と比較する必要がある。正しい情報はどこにあるか?
ヒントは、表2の注記。

「HTTPリクエストのヘッダに含まれる情報」とは?

HTTPリクエストには、JWTが含まれていることがわかる。
JWTには、正しい利用者IDが含まれている。

設問2(4)c

解答:サービスL
解説:問題文のヒントから考える問題

表5より、[c]は、送信される側、利用者を変更する処理を行う側であることがわかる。

表1と図3より、APIゲートウェイのサービスKから呼び出されて、処理をするのは、サービスLであることがわかる。

設問2(5)d

解答:認証失敗がしきい値を超えた場合にアカウントをロックする処理 29字
解説:問題文のヒントから考える問題

対象の脆弱性は、表3の項番4。

総当たり攻撃の対策を答える問題である。
ヒントは、表5の「そのしきい値は10とする。」

これらのヒントより、「認証失敗がしきい値を超えた場合にアカウントをロックする処理」と考える。

設問3(1)

解答:index.htmlのダウンロードを検知する仕組み 25字
解説:問題文のヒントから考える問題

下線③のある図7では、脆弱性VがSシステムに脆弱性Vに対する攻撃が成功するか検証しています。
ヒントは図8の注記2。

wgetは、とは指定した資源(ファイルやWebページ)をダウンロードするコマンドです。図8のコマンドが実行されて成功したことを確認するためには、index.htmlのダウンロードが行われたかを確認する必要があります。

設問3(2)e

解答:header
解説:問題文のヒントから考える問題

表6のパターンの場合は遮断している。この「検証対象」は何かを答える。

検証対象とパターンは、図5に記載されている。

表6を見るとパターンは「¥W」を使っているようである。
パターンの中の「jndi」「ldap」は、何か?問題文からヒントを探す。
ヒントは、図6の(2)。

「LDAPリクエスト」「JNDI Lookup」を行うコードをヘッダの値として指定している。

設問3(2)f

解答:header
解説:問題文のヒントから考える問題
設問3(2)e と同じ。

設問3(3)

解答:¥Wj|Jn|Nd|Di|I¥
解説:問題文のヒントから考える問題
下線④の前の文章より、大文字・小文字の入れ替えに対応している。

図5

設問3(4)利点

解答:正常な通信の遮断を防ぐことかできる 17字
解説:知識問題
Z氏が”遮断"ではなく"検知"にすることを助言したのはなぜか?
利点があるというよりも、運用開始後の混乱を防ぐためですね。
WAFに設定したWAFルールは、正しいのか検証する必要があります。
検証で発見しなければならないことは、正しい通信を遮断してしまうことが無いかです。

設問3(4)内容

解答:検知発生時の即時対応手順と体制を明確にしておく 23字
解説:知識問題
"検知"設定で運用する一定期間は、ホントに攻撃を受けていても”遮断"されずに"検知"だけになってしまいます。
被害を防ぐためには、"検知"があった時に、誰がどのような手順でどのような判断・作業を行うかの対応手順・体制を明確にしておく必要があります。

最後までお読みいただきありがとうございました。

■更新履歴

2024/4/21(日) 試験日
2024/5/20(月) 作成・公開



この記事が気に入ったらサポートをしてみませんか?