情報処理安全確保支援士の令和2年度 10月試験 午後Ⅱ 問2問題の解説を行っていきます。
ネットワークスペシャリスト・情報処理安全確保支援士に最短・最速で合格する方法についてはこちら
通常は春季と秋季の年2回開催ですが、某ウイルスの影響で春季試験が10月に延期されての開催となりました。
ネットワークスペシャリストなど秋季試験は11月に開催予定でしたが、会場の確保の観点などから中止となり、令和3年度の春季試験にずれる形となりました。
このため、令和2年度は年1回しか開催されていませんので、春季・秋季という名称ではなく10月試験という名称が使用されています。
ちなみに私はこの回で情報処理安全確保支援士に合格しましたので、何かと思い入れのある回となっています。
私が受験した際に解答した内容についての記事も記載しています。
出題テーマ:テレワーク環境構築
出題テーマとしては『テレワーク環境構築』です。
この年に某ウイルスの感染拡大が始まり、テレワークという働き方が広まりましたので時事状況と非常にマッチしているテーマです。
一言にテレワーク環境構築といってもDaaS環境や各種クラウドサービスへアクセスするにあたっての認証や処理についての内容が多く出題されています。
知識が必要となる問題は少なかったので、文章のヒントから論理的に考えることで解答することができる国語の問題と言えることができます。
ただし、いつもと違うポイントとしては、前の問題の解答が、次の問題を解答する際のヒントになっているように、各問題がリンクしていました。
一つ解答することができれば、その次の問題も解答することができるので楽と考えることもできますし、逆に言えば、解答を間違えると次の問題も間違える可能性があるので怖いと考えることもできます。
問題全体を通して見直しが重要だと感じる問題でした。
設問1 (1)
少し知識が必要となる問題です。
ワンタイムパスワードの初期登録段階のQRコード内に含まれる情報としては秘密鍵が含まれます。
なので、『イ:シェアードシークレット』つまりは共有秘密鍵が正解となります。
知識があると即答することができますが、消去法で考えると少しは選択肢を絞れるかと思います。
ア:Cookie
CookieはHTTPにおいてユーザの特定やセッション管理などに用いられるものです。
Amazonや楽天で商品をカートに追加し、一度サイトから離れて再度アクセスした際に、カートに商品が入った状態で買い物を再開することができるのは、このCookieが使用されているからです。
ワンタイムパスワードの初期登録とHTTPにおいてのセッション管理としては関係のないことですので、正解ではないと判断することができます。
ウ:シリアル番号
ネット銀行へログインする際に用いられるようなワンタイムパスワードのデバイスでしたら、デバイスのシリアル番号を使用しますが、今回用いるのはアプリですのでシリアル番号は不要です。
また、なんのシリアル番号を指しているのかもわかりません。
エ:タイムスタンプ
これは間違いやすいのですが、ワンタイムパスワードの生成に用いられるべきものであり、ワンタイムパスワードの初期登録段階で用いられるものではありません。
私もこの試験を受験した際には間違えました。。
オ:ディジタル証明書
ディジタル証明書の中身としては、公開鍵を認証局がディジタル署名したものです。
鍵という意味では解答の候補として挙げることができます。
秘密鍵ですので違うと判断することができますが、知識がないと消去するのが難しいです。
カ:フィンガプリント
フィンガプリントは指紋という意味で、メッセージや内容が改ざんされていないか判断する用途で利用されます。
QRコードでフィンガプリントを貰ったところでどうすればよいのでしょうか、なのでカではありません。
フィンガプリントという言葉を知らなければ消去するのが難しかったと思います。
全体的に知識がないと解答することができない問題でした。
消去法を使用すればある程度は解答を絞ることができますが、解答を1つに絞るためには知識がどうしても必要となります。
情報処理安全確保支援士試験において、予習でテーマを勉強する必要はないと思いますが、過去問の中に登場した単語はどういうものなのか復習・確認しておくとよいかと思います。
設問1 (2)
ワンタイムパスワードの初期登録を社外から行うことができれば、当然社外の人でもワンタイムパスワードを初期登録をすることが可能になってしまいます。
初期登録が行えれば、ワンタイムパスワードを発行することも可能となってしまいます。
よって解答例として、『社外の人でもOTPの初期登録、OTPの生成が行えること(27文字)』と解答することができます。
問題文中で使用されている表現は解答でも使用することができますので、解答の中でワンタイムパスワードのことを『OTP』と略しています。
問題文中にはワンタイムパスワードとしてか記載がない場合、勝手に『OTP』と解答の中で使用すると減点や間違いとして見なされますのでご注意ください。
設問1 (3)
この問題はパズルのように考えてあげれば解答することができます。
まずは四角が少ない図3を確認します。
dの直前の動作である『転送された認証応答』は会議ツールZ宛に送られています。
また直後の動作である『ログイン完了』は会議ツールZから送られています。
つまり、dに入るべき処理は、会議ツールZで始まり、会議ツールZで終わる、会議ツールZ上で行わる処理であるということがわかります。
選択肢から会議ツールZ上で行われている動作を探すと『ア:トークンを検証』が該当します。
この考えのもと、他の四角も埋めていきます。
図2を確認していきます。
四角は多いですが、dが『ア:トークンを検証』であることがわかりました。
四角aの直前の動作は『転送された認証応答』でSaaS-Xに送られていますので、四角aに入るべきはSaaS-X上で行われている動作であると考えることができます。
選択肢としては『ウ:トークン要求』もしくは『カ:ユーザ情報要求』ですが、dで『ア:トークンの検証』が行われていますので、まずはトークンに関することを行うべきですので、aは『ウ:トークン要求』が該当します。
四角bについて確認していきます。
四角bはトークンエンドポイントで行われる処理となり、選択肢としては『イ:トークン応答』か『エ:認可コードの検証』が該当します。
『イ:トークン応答』を選択してしまうと、次の処理はSaaS-X上で行われる処理となり、残る選択肢としては『カ:ユーザ情報要求』しかなく、選んだとしても、その次の処理が行わるポイントとしてはSaaS-X上ですので、辻褄が合わなくなってしまいます。
そこで、四角bには『エ:認可コードの検証』を選択し、四角cに『イ:トークン応答』を選択することで、四角dの『ア:トークン処理』につなげることができます。
そして、残った四角eには『カ:ユーザ情報要求』、四角fには『オ:ユーザ情報応答』を選択することで処理が行わるポイント・順番として辻褄が合うように解答することができます。
ということで解答としては、
a ウ:トークン要求
b エ:認可コードを検証
c イ:トークン返答
d ア:トークンを検証
e カ:ユーザ情報要求
f オ:ユーザ情報応答
となります。
設問2
下線部の後ろの文章に『簡単には技術的対策ができないので、利用規定で禁止することにした。』とあります。
つまり、PC上の何かしらのソフトウェアで対策行えないようなことですので、PC以外の何かを使用するのではと考えることができます。
T環境を使用するユーザに配られるものとして、『スマートフォン(以下、スマホという)及びノートPCを貸与する。』と記載があります。
スマホを使用して行えることを考えると、PCに社内情報を表示させ、それをスマホで画像や動画撮影することが考えられます。
この方法であれば技術的に対策することが難しく、利用規定で禁止するように倫理的に制限をかけるしかありません。
よって解答例としては、『PCに社内情報を表示し、その画面をスマホで撮影すること(27文字)』と解答することができます。
設問3 (1)
社内情報の閲覧を含む作業はノートPCではなく、DaaS-VのVD上で行われます。
つまり、ノートPCがマルウェアに感染しても、ノートPC上には持ち出さえるような重要な情報は何もないのです。
また、『VDとノートPCとの間でクリップボード及びディスクの共有を禁止するようにDaaS-Vを設定することにした。』とあるように、ノートPCとDaaS間のファイルの移動は行うことがきません。
マルウェアはノートPCに感染したところで社内情報をファイルとして持ち出すことはできないということです。
では、どうすればよいかというと、設問2で解答したようにノートPCの画面を撮影してそのデータを送ればよいのです。
ということで解答例としては『社内情報を表示しているPCの画面をキャプチャすること(26文字)』と解答することができます。
他の問題の解答がヒントになっている問題でした。
設問2を解答することができなければ、解答することが難しかったと思います。
設問3 (2)
ノートPCからT環境内のサービス宛に直接通信する必要があるものを選択すればよいです。
問題文をよく読み選択していきましょう。
ア:DaaS-V
T環境ではノートPC上で作業を行うのではなく、DaaS-VのVDにアクセスしその上で作業を行う必要がありますので、当然DaaS-Vへの通信は必要となります。
イ:EDR-U
EDR-Uの説明としては、『マルウェアに感染したVDのディスクイメージを取得するのに時間がかかったり、提供してもらえなかったりすることも考えられる。そこでDaaS-Vがオプションとして提供しているU社のクラウド型エンドポイント検知対応サービス(以下、EDR-U)を契約し、マルウェアの検知及び駆除並びに調査に必要な情報の常時収集をすることにした。』とあります。
つまりEDR-UはDaaS-VのVD上で動作するものであることがわかりますので、ノートPCから直接通信することは不要であると判断することができます。
ウ:IDaaS-Y
下の画像に『また、MDM-Wの認証はIDaaS-Yを利用することにした。』とありますし、DaaS-VなどT環境へアクセスする際にも用いますので、IDaaS-Yへの通信は必要であると判断することができます。
エ:MDM-W
問題文に『MDM-WhはノートPCの脆弱性修正プログラム及びマルウェア対策ソフトウェアのインストール並びにマルウェア定義ファイルの更新にも利用することにした。』と記載がありますので、ノートPCからMDM-Wへの通信は必要となります。
オ:SaaS-X、カ:会議ツールZ
図2および図3を確認するとVD上から通信を行っていますので、ノートPCから直接通信することは不要であると判断することができます。
また、これらのサービスはVD上で行うものとわかりますので、この点からもノートPCからの直接通信することは不要であると判断することができます。
よって解答としては『ア:DaaS-V』、『ウ:IDaaS-Y』、『エ:MDM-W』と解答することができます。
設問4
こちらは知識の問題となっています。
クラウドサービスの場合、ユーザ側が脆弱性検査や性能試験などを行うことを基本的に禁じていることが多いです。
脆弱性検査は攻撃と検知されるような通信行い、性能試験はサービス側に大量や大容量の通信を発生させサービス側に大きな負荷のかかることを行いますので、少なからずサービスに影響があります。
クラウドサービスですので、検査や試験を行っているユーザにだけ影響があるのではなく、サービスを使用しているユーザ全体に影響が及んでしまうため、禁止しています。
ユーザ側が行うことはできませんが、クラウドサービス提供側が第三者機関に依頼してセキュリティ監査サービスなどを使用します。
その監査結果であるセキュリティ監査報告書などを発行し、ユーザ側はそれを確認することでセキュリティ対策が施されているかなどを確認することができます。
よって解答例としては『第三者機関が発行したセキュリティ監査報告書を確認する方法(28文字)』と解答することができます。
設問5
DaaS-Vのログインの際には、ID/PWとワンタイムパスワード(OTP)による2要素認証を行っていますので、『ワンタイムパスワードを用いること』と回答された方はおしいです!
フィッシングサイトは実際のサイトのデザインやログイン方法を模倣して作成をします。
なので、攻撃者はDaaS-Vにログインをした際に、ログインの際にワンタイムパスワードを用いていることを知っているはずです。
であれば、フィッシングサイト上でもID/PW、ワンタイムパスワードを求めるように作成しているはずです。
そして、フィッシングサイト上で入力されたワンタイムパスワードをすぐに使用すれあば、攻撃者はワンタイムパスワードの有効期限内であれば本物のDaaS-Vへログインを行うことができます。
ということで、フィッシングサイトに対してはワンタイムパスワードを用いることだけでは不十分となります。
要件3への対応として、
『IDaaS-Yによる2要素認証に加えて、クライアント証明書によるデバイス認証をDaaS-Vで行うことにした。』と記載があります。
さすがのフィッシングサイトでもクライアント証明書を入手することはできません。
ID/PWとワンタイムパスワードを入力しても、クライアント証明書によるデバイス認証で失敗するので、DaaS-Vへアクセスすることはできません。
よって、『DaaS-V上で行っているクライアント認証によるデバイス認証(30文字)』と解答することができます。
私もこの回を受験した際はワンタイムパスワードを用いると回答し、見事に引っかかりました。。
設問6 (1)
OSに搭載されたディスク暗号化機能とはWindowsであれば標準でついているBitLockerなどが挙げられます。
暗号化されたディスクを復号化する方法としては、PCにログインをして暗号化機能を無効にすることが手っ取り早いです。
では、どうPCにログインをするかですが、問題文中にもある総当り攻撃(ブルートフォースアタック)や『Passw0rd』のようによく使われるパスワードを入力してみてログインできるかを試すことが考えられます。
ということで解答例としては『パスワードを総当り攻撃や推測されログイン(20文字)』と解答することができます。
少し知識が必要となる問題でしたが、私は新卒研修の一環で自分のPCをセットアップするという業務があり、ここでBitLockerを使用してディスクの暗号化を行いました。
当時は眠気と戦いながら、何の役に立つんだと思って受けていた研修がここになった役に立つとは思いもしませんでした。
設問6 (2)
PINコードとは数字を指します。
iPhoneのロック解除の際にFaceIDログインやToucheIDで失敗した際に使用するあれです。
6桁の数字を入力せよと言われたら、どんな数字を設定しますか。
おそらく『123456』や『000000』、自分の誕生日など安易に推測されるような簡単な数字にしてしまうかと思います。
これを防ぐ目的で、管理者がランダムに設定するとあります。
よって解答例としては、『安易に推測されるPINコードを設定してしまうこと(24文字)』と解答することができます。
セキュリティを高めると利便性が落ち、利便性を高めるとセキュリティが落ちるといわれています。
ユーザ側に設定を求めれば、利便性を重視しますので、安易に推測されるPINコードを設定してしまうのは当然の結果だと思います。
iPhoneでもランダムなパスワードを設定するのがベストではありますが、ランダムなパスワードですと覚えることや、『000000』のように同じ数字を連打するより指の動きが大きくなるのでログインすることが面倒になります。
なので、私のiPhoneもめちゃくちゃ簡単なパスワードを設定してしまっています。。
設問6 (3)
DaaS-Vで行っているセキュリティを確認していきます。
設問5で解答したように、DaaS-Vはクライアント証明書によるデバイス認証を行っています。
よって解答例としては、『クライアント証明書によるデバイス認証を行う仕組み(24文字)』と解答することができます。
設問5でワンタイムパスワードと回答していると、ここでもワンタイムパスワードと回答してしまっているかもしれません。
公式解答との比較・予想配点
私の解答と公式解答を比較してみました。
満点ではないにせよ、少なくとも7割~8割程度は取れているかと思いますので合格ラインには達していると思います。
予想配点はあくまで予想ですので参考程度でお願いします。
全体を通して、知識が必要となる問題はなく、文章中のヒントから論理的に考えて解答することができる国語の問題だったかと思います。
設問1(1)、設問4、設問6(1)は知識が必要となる問題でしたが、予想配点としては23点分で、残り77点ありますので十分合格を狙うことができます。
配点 |
|||
設問1 (1) | イ | イ | 5点 |
設問1 (2) | 社外の人でもOTPの初期登録、OTPの生成が行えること(27文字) | 第三者の OTP アプリで不正に OTP を生成される。 | 8点 |
設問1 (3) | a:ウ b:エ c:イ d:ア e:カ f:オ |
a:ウ b:エ c:イ d:ア e:カ f:オ |
各3点 |
設問2 | PCに社内情報を表示し、その画面をスマホで撮影すること(27文字) | 社内情報を表示した画面をカメラで撮影するという方法 | 8点 |
設問3 (1) | 社内情報を表示しているPCの画面をキャプチャすること(26文字) | 社内情報を表示した画面のスクリーンショットを取るという方法 | 10点 |
設問3 (2) | ア、ウ、エ | ア、ウ、エ | 5点 |
設問4 | 第三者機関が発行したセキュリティ監査報告書を確認する方法(28文字) | セキュリティ対策についての第三者による監査報告書で確認するという方法 | 10点 |
設問5 | DaaS-V上で行っているクライアント認証によるデバイス認証(30文字) | DaaS-V でのクライアント証明書によるデバイス認証 | 10点 |
設問6 (1) | パスワードを総当り攻撃や推測されログイン(18文字) | パスワードの推測によってログイン | 8点 |
設問6 (2) | 安易に推測されるPINコードを設定してしまうこと(24文字) | 容易に推測可能な PIN コードを設定する。 | 8点 |
設問6 (3) | クライアント証明書によるデバイス認証を行う仕組み(24文字) | クライアント証明書によるデバイス認証を行う仕組み | 8点 |
引用元
問題および解答例に関しては、独立行政法人 情報処理推進機構(IPA)より引用しています。