【SCR05秋PMI問2解説】令和05年午後1問2(情報安全確保支援士)
このNoteでは「セキスペR05秋午後問2」の解説をします。
最新問題なので、試験1ヶ月前後からの演習をお薦めします。それまでは旧セキスペの午後1問題を解き倒してください。
>SCR05春PMI問2解説Note
>SCR05春PMI問3解説Note
>SCR04秋PMI問2解説Note
>SCR04秋PMI問3解説Note
>SCR04春PMI問2解説Note
>SCR04春PMI問3解説Note
コツコツ積み上げると、意外と得点できる問題でした。
むしろ得点源。7~8割稼いで楽になりましょう。
読み方はいつもの通り。
最初の設問を解くまでに4頁ちょっと読むのが大変なので、省力・効率化をします。どうせ覚えきれないので脳容量も節約せねば。
読み返しが発生すると時間を大きく消費してしまいます。1問目解きに、なるべく早く、なるべく少ない脳容量で到達するのが重要になります。
1番目の設問を読む
->(1)(2)の4つの穴埋めを認識
->5頁目(橙)までなるべく早く読むと認識図を最初に見る
表はスキップする
ただし、概要を知るため項目名や1行目はOK設問を解く時に、必要に応じて必要な個所の図表を詳しく読む。
それでは、始めましょう!
設問1(1)a,b | 「同じ言葉」を探す
正答は「利用者ID」「パスワード」。必ず正解してください。
設問1(2)c,d | Webブラウザのメッセージ
模範解答は以下。1つめだけでは正解しておきましょう。
このサーバ証明書は、信頼された認証局から発行されたサーバ証明書ではない
このサーバ証明書に記載されているサーバ名は、接続先のサーバ名と異なる
1つめの「信頼された認証局ではない」から解説します。
電子証明書は認証局によって発行されます。認証局では、申請者の組織の実在性など審査して発行の可否を判断します。
自分で認証局(プライベートCA)を立てて電子証明書を発行もできます。
しかし、認証局の電子証明書は、上位の認証局の電子証明書で証明せねばなりません。検証は最上位の認証局(ルートCA)まで遡ります。
攻撃者はどうしてもどこかの認証局に申請せねば正規の電子証明書を作れません。でも攻撃者は申請したくないし、しても拒否か通報されますよね。
よって攻撃者が作成した電子証明書は、信頼された認証局から発行されていない状態になります。
「信頼された認証局から発行されたサーバ証明書ではない」旨が解答。
なお、攻撃者が正規の手続きで電子証明書を得た場合は、対策できません(過去問で「対策できない場合は?」と問われたことがあります)。
電子証明書の階層構造、ルートCAについては >ルート証明書の解説Note へ。
2つめの「サーバ証明書に記載されているサーバ名が違う」について。
サーバ証明書にはサーバの名前(コモンネーム)とFQDN(URLの一部)が記載されています。コモンネームは用語問題で出た実績があります(H23秋PMI問3, H28春PMI問3)。
残り2つの補足も。
サーバの有効期限はサーバ証明書に記載
サーバ証明書の失効状態は認証局に確認(CRL, OCSP)
以上をまとめた4件は、上原本にしっかり記載されています(7.7.2 p585周辺)。>上原本のレビューNote
設問1(3) | HSTSはAMII用語
模範解答は「HTTPのアクセスをHTTPSのアクセスに置き換えてアクセスする。その後、偽サイトからのサーバ証明書を受け取る」。
最初のHTTPSに切り替える旨だけでも書きましょう。
HSTSは新しい用語です。2012年にgoogle社が考案したHTTPヘッダに書かれる設定で、SCのAMIIに令和03年から出題されています。>HSTSの解説Note
設問2(1) | 不正方法を常に考え言語化する
模範解答は「外部共有者のメールアドレスに自信の私用メールアドレスを指定する」。必ず正解してください。
SCでは「どうやれば不正ができるか」をいつも考えて読み進めましょう。
私の解答は、「Bサービスで私的メールアドレスを入力し、上長承認申請をする」。29文字。11文字少ないですがまぁ良いでしょう。
模範解答の通り、メアドの入力で切っても大丈夫ですが、私は上長申請もして、上長が確認せず承認手続きをするところまで含めたかったので申請まで入れました。
設問2(2) | 論理的に考えるとそう解答せざるを得ない
正答は「MACアドレス」。
王道を崩しますが、勇気を持って正解してください。私は迷いに迷いまくって「どうしてもMACアドレスしかないなぁ」と解答しました。
SCで端末制限をするときは、MACアドレスフィルタリングとクライアント認証が王道中の王道解答でした。
よく「あらかじめ、接続する端末のMACアドレスを登録しておく」「あらかじめ、クライアント認証を導入しておく」が模範解答になったものです。
今回は、MACアドレスフィルタリングを否定する解答で、かなり迷いましたが、どう考えても否定するしかないと結論しました。
記述問題は勘で正解できません。知っている知識・技術から解答を作りましょう。私たちは全ての技術を知っているわけではありませんし、セキュリティに完璧はありません。経験的に受け入れられなくても、論理的に理があるなら受け入れるのも良いですね。
設問3(1) | 勘は知っている知識から解答する
正答は「RADIUS」。
勘で良いので「RADIUS」か「kerberos(ケロべロス)」か「TACACS」のどれかを書いてください。知っている知識で書けば正答できるので、知らない知識を勘で答えないで。
EAPについて。令和になる前は良くAMIIで出ていました。
EAPはサーバとクライアントの相互認証をする規格。4~5種類あるので、私はキーワードだけ覚えておきました。
EAP-TLS:特記なし(以下のベース的な解釈で)。
EAP-TTLS:様々な方法を選択できる
PEAP:EAP-TTLSと同じだが、クライアント認証はEAPのみ
EAP-MD5:クライアント認証のみ(有線LAN向け)
EAP-FAST:EAP-TTLSと同じだが、無認証モードあり
次に認証システム3種類の区別するキーワードだけ。
RADIUS:利用者からの認証要求を受けるアクセスサーバ、アカウント情報を管理し認証判断をする認証サーバで構成
TACACS/TACACS+:認証・認可・課金の3つの機能(AAA)で構成
Kerberos:MITが開発。管理領域(レムル)内でチケットによる認証をする
なお、昔はRADIUS周りでオーセンティケータ、サプリカントという用語もありましたが、最近の上原本から削除されています。たぶん他のプロトコルでも使われる汎用的な概念になったのでしょう。
RADIUSがEAPを用いるかは知らなくてOK。逆にTACACSやKerberosを積極的に選ぶ理由がないにで、「知らんけど代表的なRADIUSにしとこ」です。
SSOの場合はさらに選択肢が広がりました。>SSOの実現手法の解説Note
勘は知っている用語から答えるのを進めます。勘で当てるよりも知識からの方が当てやすいですから。もし知ってる用語で不正解なら納得します。逆に知らない用語を書いて、知ってる用語が正解だったら納得いきますか?
設問3(2)(3) | セキュリティの流行であり王道
正答は「秘密鍵」「業務PCから取り出せないように」。
どちらも正解してください。電子証明書の基礎、TPM及び耐タンパ性の基礎ですから。
電子証明書には鍵ペア(公開鍵と秘密鍵)を使いますよね。わざわざTPMに格納するのは秘密にしたいので、秘密鍵。
TPMは鍵ペア(公開鍵と秘密鍵)の生成や、秘密にしたい情報の記録(鍵・認証情報・パスワード・指紋・電子証明書など)ができるチップです。詳しくはIntel社のWebページで。
TPMはマザーボードなどに直付けされており、内部解析をしようとすると破壊される構造(耐タンパ性)をしています。>IoT関連用語の解説Note
私の解答は「外部に漏えいしないように」。12文字。穴埋めすると「しようないようにしておくために」と、まどろっこしい日本語ですがまぁまぁまぁと。
「耐タンパ性を確保」。8文字。私が採点者なら「耐タンパ性を知らずに勘で書いたのかなぁ」と思いつつ正解にしますが、文字制限が半分を切っているしちょっと危ないと思います。
自分の言葉が書く問題だったので難しかったかもですが、問題演習で練習していきましょう。
設問3(4) | 別解がたくさん書ける
模範解答は「EAP-TLSに必要な認証情報は、業務PCにしか格納できないから」。
私でも模範解答は書けないです。しかし別解は書けるので正解はできると思います。粘って正解・なんとか部分点をお祈りできるぐらいに仕上げましょう。
ヒントは問題文の「従業員が自身の業務PCにインストールするのではなく、ディレクトリサーバの機能で業務PCに格納します」。
従業員が別のPCにインストール、不正へ対策しているのかな、と解釈します。
よって「クライアント証明書を業務PCに間違いなくインストールできるから」。31文字。
もし、S氏「格納方法であれば問題ない」に注目するなら、「従業員が業務用PC以外にインストールするという不正を防げるから」。32文字。
模範解答を書けなかった…と落ち込む必要はありません。
問題演習では模範解答を書くのを目標にして良いです。しかし目標はあくまで目標。
模範解答は模範、よほどのプロか作問者でないと書けません。
問題演習では、模範解答を書くには問題文のどこに気づくべきだったか、予め知識が必要だったか、「解答に至る経路」を復習しましょう。
設問3(5) | ヒントが弱すぎる
模範解答は「来客用無線LANからインターネットにアクセスする場合の送信元IPアドレスをa1.b1.c1.d1とは別のIPアドレスにする」。
今までに読んだ文章量が多いので特定が難しいですよね。私でも本番では正解しそうにないです。失点止む無し。
方法2は、来客用無線LANに接続して、Bサイトにアクセス。来客者がインターネットに行くのは防げないのでどうするか、という話。
問われている「FWの設定」は、表3のVLAN、表4のフィルタリングルール。
表3のVLANの設定は、来客用(10)・従業員用(20)・サーバ用(30)でキレイ。
表4がいつものフィルタリングルールと記載が違いますね。入出力インタフェース(接続口)とNAT有効無効が異彩放ってます。
ここで「NATかな」と当たりをつけれれば良いですが、無茶ぶり気味ですね。
別の方向からも考えてみます。
DMZにプロキシがあれば、来客用無線LANからBサイトへのアクセスを禁止するもアリと思いましたが、来客者にファイルを渡せなくなるので不便になります。
元々プロキシの記述が問題にないので使えません。「どんな対策があり得るか」という問なら、問題文外の知識を使えます(最後の筆記によく出る問い方です)。
Bサービスを見ます。
Bサービスへのアクセスは、ログインだけ封じれば充分です。そして送信元グローバルIPアドレスで制限しています。
以上2点。
表4のFWの設定にNATがある
表1のBサービス設定でa1.b1c1.d1のみログイン許可している
以上より、NATの設定を変えて、来客用LANを利用した時の送信元IPアドレスをa1.b1.c1.d1以外のものに変換する、と考え至ります。
個人的にはヒントが足りないと思っています。メタ的には「注」を書いてある点ぐらい。高度試験では「注記がヒント」になるのは良くあるパターンですから。
とはいえ、どこかに「M社がグロバルIPアドレスを複数持っており」などの記述がないと、申請必要のグローバルIPアドレスの追加設定を解答に書く自信はないですね。
失点も仕方なしです。
設問3(6) | 最後の問題なのに簡単
正答は「DNS」サーバ。
Dサービスから貸与された無線LANルータ(Dルータ)の機能は以下。
DHCP機能、DNSキャッシュサーバ機能あり
SIMを搭載しDサービス経由(プロキシ)でインターネットに接続する
問題文の「DHCPサーバと【空欄h】サーバへの通信は、不要になる」と対応を考えると、DNSと分かります。
設問3(7) | 来客用無線LAN絡みの設定を全削除
正答は、表3の「1(VLAN10)」、表4の「1(送信元192.168.10.0のHTTP/HTTPS)、4(送信元192.168.10.0のDNS)」を削除。
来客用無線LANを廃止して、Dルータの別回線で接続します。
来客用無線LANが廃止なので、VLAN10の設定が不要。表3の1が不要。設問3(6)の通り、DHCPとDNSも不要。表4の1, 4が不要。
まとめ
お疲れ様でした!
設問3(4)(5)はヒントや誘導が足りなすぎるとは思いましたが、他は論理的に正解が狙える問題でした。
得点源にしておきたいです。
「必ず正解して欲しい問題」をしっかり正解し、「できれば正解して欲しい問題」に食らいつきましょう。文字数が多ければ、別解や部分点があるかもしれません。
分からないことを「闇雲の勘」で書くのではなく、分かっていること知っていることから「論理的な勘」で解答を作りましょう。
一番の課題点は「1問目を解き始めるまで4頁ちょい読む必要がある」こと。
読み返しが発生すると時間を大きく消費してしまいます。1問目解きに、なるべく早く、なるべく少ない脳容量で到達するのが重要になります。
ぜひ「情報セキュリティスペシャリスト」に合格してくださいね。
\私の3ヶ月の学習履歴/
p.s. 普段は >> 専門学校とIT就職のブログ << をやってます。
でわでわ(・ω・▼)ノシ
この記事が参加している募集
学習方法・問題特集のNoteは全て無料提供を続けます▼ もしご覧になったNoteが有益だったり、私の志に共感されたりしましたら、サポート頂けますと励みになります▼ もちろんコメントでも結構です(・ω・▼)ノシ