見出し画像

【FE科目B対策】基本情報技術者H29秋セキュリティの解説

せんない


※以下は、>>【FE科目B対策】基本情報技術者R01秋セキュリティの解説<< と同じ文章です。リピータの読者さんは目次まで飛ばして大丈夫です

基本情報技術者試験の科目Bは、大きく変わって、セキュリティとアルゴリズムだけになりました。

問題は小問形式になり正直易しくなりましたが、問題は、科目Bの過去問は非公開なこと。

まずは無料公開されている昔の午後問題(現:科目B)で無料で対策を始める方が多いでしょう。

私が勤めているIT専門学校でも、資格対策授業に大きな変化はありません。まずは、午後問題を解いて力を付けます。

どうせ応用情報技術者では午後問題に直面しますから、無駄になりませんからね。

このNoteでは、授業での解説をベースに書きました。書籍の解説とは違って、一緒に読んで解いていきますし、解くためのコツや学ぶべき追加知識も書いています。

「短い解説では良く分からなかった」「正解だけでなく、どう解いていくかが知りたい」方には、特に学習効果が期待できます。

ぜひ少しでも参考にして頂ければ、嬉しいです。


過去問は自分で持っておいてくださいね。
>>公式の問題pdfへのリンク<<
>>公式の解答pdfへのリンク<<





解説 | 「如何にも午後問題だな」の印象


問題文は、序盤は軽く流し、中盤から本腰。知らない技術を知っていく流れです。

公開鍵暗号方式・ディジタル署名を基礎に、サーバ認証・公開鍵認証などの手順を「その場」で理解して解いていきます。

また午後問題でよく出る「MITM(中間者)攻撃」「最後の問題のノーヒントに見えちゃう対策」が登場。応用情報技術者や情報安全確保支援士(セキュスペ)にもつながる学習ポイントです。


できれば、>>公開鍵の解説Note<<>>ディジタル署名の解説Note<< ぐらいの知識を持ってから解くと学習効果が上がります。



読み:図1前の文章 | 学びやヒントのない文


特段学びはありません。

「SSHの話ね」程度でOKです。

もし筆記解答の試験なら「ログインセッション」を使うんだろうなぁぐらいですが、基本情報技術者は選択式なので大丈夫です。


読み:図1 | 学びやヒントのない図


特に学びはありません。

「3つの手順があるのね」程度。

ここまではかなり力を抜いて良いですね。


読み:5ページ | 下線や穴埋めも見えるので本腰を


ここから、SSHの3つの手順のうち2つの詳細が書かれます。下線①や②、穴埋めaも見えてますし、本腰を入れ始めます。

5ページ目の「安全な通信経路の確立の概要」は、暗号通信を確立すること。

手順2と3の「合意」って言葉にびっくりするかもですが、クライアントとサーバで「これを使おうね」と合意することです。

手順2であれば「~暗号を使いましょうね」、手順3であれば「あなたの番号はこれを使いましょうね」ということ。

読み進めると下線①と遭遇するので、解きに入っても良いですが、5ページ目も「安全な通信経路の確立の概要」もあと少しなので、私は読み切ることにしました。


「共通鍵はまだ何とかなりますが、ディジタル署名やサーバ認証がなぁ。。。」とちょっとハードル感じちゃう方もいらっしゃるでしょうね。言葉も仕組みも難しいですからね。

公開鍵やディジタル署名はITパスポート最難関なので、捨て問にした方もいらっしゃるでしょうが、基本情報技術者では理解必須です。

>>公開鍵の解説Note<<>>ディジタル署名の解説Note<< で基礎固めをお願いします。ディジタル署名までで良いです。サーバ証明書やクライアント証明書は完璧にしなくてもまだ何とかなりますし、問題演習で慣れていきますから。


解き:設問1a | 後にヒントがある場合


「穴埋めa」の後に「ディジタル署名が正しいかどうかを検証する」とあります。

サーバ認証とは、「あなたがアクセスしてるのは正しいサーバですよ」というディジタル署名です。サーバが秘密鍵で作り、クライアントが公開鍵で検証します。この際、サーバが秘密鍵と公開鍵の鍵ペアを作ります。

よって、正解はエ。検証するのは「サーバの公開鍵(サーバが作った公開鍵という意味)」です。

以上3点が学習ポイント。

  • 大抵は下線や穴埋めの「前」にヒントがあるけど、直「後」にもある

  • サーバ証明書は「本物のサーバですよ!」を証明するディジタル署名

  • 「●●の公開鍵」は、●●が作った鍵ペア(秘密鍵・公開鍵)のうち、公開鍵。送られるのは公開鍵。秘密鍵は絶対に送らない鍵。

>>公開鍵の解説Note<<


設問1b | 読みが追いついてないので、読みに戻る


まだ、5ページまでしか読んでないため、「穴埋めb」に到達してないので、今は解かないでおきます。


解き:設問2 | 午後問によく出るMITM攻撃


下線①の「クライアントがサーバ認証」とは「クライアントが、自分がアクセスしているサーバが正しいかを確認する」ことです。

各選択肢を考えていきます。

  • ア:DoS攻撃:サーバに大量に「もしもし」と話しかけまくる攻撃

  • イ:SQLインジェクション:検索するシステムを悪用してデータベースから不正にデータを抜き出す攻撃

  • ウ:クロスサイトスクリプティング(XSS):掲示板などWebページの内容が書き換えられるシステムを悪用して、スクリプト(プログラム)を埋め込んで、閲覧者のWebブラウザで実行させ、他サイトへの誘導などをする攻撃

  • エ:総当たり攻撃(ブルートフォース攻撃):パスワードクラックの一種で、あらゆる文字列を試す攻撃

  • オ:中間者攻撃:クライアントとサーバの間に立って、通信を盗聴して改ざんして送り直す攻撃。マン・イン・ザ・ミドルアタック(MITM)とも云う

この中でサーバになりすましている攻撃は、「オ:中間者攻撃」だけです。

なお、中間者攻撃は基本情報技術者の科目Bや、上位資格の午後問題によく出題されます。困ったら勘で答えても良いぐらい。

また、全て重要な攻撃手法でした。


解き:設問3 | 共通鍵/公開鍵方式の知識だけで解けた


共通鍵と公開鍵の違いは理解しておきましょう。

ここから先は

3,051字
この記事のみ ¥ 100

ログイン

この記事が参加している募集

スキしてみて

523,187件

学習方法・問題特集のNoteは全て無料提供を続けます▼ もしご覧になったNoteが有益だったり、私の志に共感されたりしましたら、サポート頂けますと励みになります▼ もちろんコメントでも結構です(・ω・▼)ノシ