情報処理安全確保支援士の過去問を解いていて、
この年度に受験していたら受かったのに。。
なんて思うことがあるかと思います。
仕事などで経験したことがある分野が出題されれば、スムーズに回答することができ、高得点を狙うことができます。
ですが、経験したことがない分野が出題されてしまうと、回答に苦戦し点数も低くなってしまいます。
じゃあ全ての分野を経験しようとか対策しようとするのは現実的ではありません。
出題されるテーマが予想できればいいのにな。。
ということで今回は『令和4年度 秋季試験』で出題されるであろうテーマを予想していきます。
注意事項
しっかりと過去問対策をした上で本記事をご覧ください。
情報処理安全確保支援士の勉強法はこちら
あくまで予想であり、確実に出題されるわけではありません。
また、この分野だけ勉強すればよいというわけでもありません。
ご理解いただけた方のみご覧頂き、予想が外れたり、合否の結果などに関しては当ページでは一切の責任を負いませんのでご了承ください。
出題テーマの傾向
情報処理安全確保支援士の出題テーマに関しては、以下2点の傾向があると言われています。
- 実際にあったセキュリティインシデント
- 午前Ⅱで新たに出題されたキーワード
この2つの観点のもと予測を行っていきます。
1つ目の『実際にあったセキュリティインシデント』に関しては、TVなどのニュース、ネットニュースになるレベルのセキュリティインシデントが発生した場合にその原因や関連したテーマが出題されることがあります。
本記事では実際に起こったセキュリティインシデントとともにこちらをメインに扱っていきます。
2つ目の『午前Ⅱで新たに出題されたキーワード』に関しては、試験当日にならないとわかりませんが、午前Ⅱは6割程度は過去問から出題されますが、残り4割は新規の問題が出題されます。
この新規4割の問題の中から午後Ⅰ・Ⅱのテーマが出題される場合があります。
このため、午前Ⅱで新規出題された問題の中に知らない用語などがあれば、お昼休みのうちに概要だけでも掴んでおくと合格に近づけるかもしれません。
2022年4月~2022年9月に起こったセキュリティインシデント
春季試験が終了した2022年4月から試験直前の2022年9月までに実際に起こったセキュリティインシデントの中で、特に話題になったものをピックアップしました。
- 半田病院調査報告書
- 尼崎市USBメモリ紛失事案
- KDDI大規模障害
- 政府サイトへのDDoS攻撃
それでは個別に見ていきましょう。
半田病院調査報告書
令和3年10月31日の未明、つるぎ町立半田病院がサイバー攻撃を受け、電子カルテをはじめとする院内システムがランサムウェアと呼ばれる身代金要求型コンピュータウイルスに感染し、カルテが閲覧できなくなるなどの大きな被害が生じました。
引用元:https://www.handa-hospital.jp/topics/2022/0616/index.html
インシデントが発生したのは令和3年(2021年)ですので昨年のこととなりますが、調査結果の報告書が令和4年(2022年)の6月に公開されました。
報告書を読んでいますと、インシデントが発生してしまったのには4つの理由があると考えています。
- 保守契約と運用における責任分界点
- 各種OSのアップデートをしていない
- 閉域神話
- パスワードなどの運用ルール
以前は閉域回線内は安全という神話が成り立っていましたが、最近は閉域回線からクラウド化・ゼロトラスト化へ移行することがトレンドとなっています。
『令和4年度 春季試験 午後Ⅱ 問2』でも出題されましたが、『クラウド・ゼロトラストへの移行』に関する出題が予想されます。
『令和4年度 春季試験 午後Ⅱ 問2』ではKerberos認証、SAML認証、OAuth2.0が出題されましたし、『令和3年度 春季試験 午後Ⅰ 問1』でもOAuthについて出題されていることから、『認証関連』の出題が予想されます。
認証はそんなに種類があるわけではないので、既存の過去問でしっかりと対策を行うだけで十分かと思います。
このインシデントの根本自体はVPN装置のアップデートを怠っていたため、脆弱性を悪用されランサムウェアの感染に発展した可能性が高いとされています。
この点から『VPN関連』、『脆弱性診断や対応』という観点でも出題される可能性が高いと考えられます。
脆弱性診断については『令和2年度 10月試験 午後Ⅰ 問3』にて出題されています。
報告書自体は誰でも読むことができます。
読み物として面白いので、興味がある方は試験が終わった息抜きとして、ぜひ読んでみてください。
尼崎市USBメモリ紛失事案
この半年間におけるセキュリティ関連のニュースとして一番大きいニュースはこちらではないでしょうか。
概要としては、データ移管作業のため尼崎市民46万人の個人情報のデータをUSBに入れ、それを持ち出し、帰宅時に立ち寄った飲食店で紛失したとなっています。
データの持ち出しに関して許可は得ていなかったこと、重要な情報をもった状態で飲食店によること、再々委託であることからIT業界にはびこる多重下請け構造など、様々な突っ込みどころがあり、ネットを騒がせました。
この点から、具体的なキーワードではないのですが、『USBなどの外部ストレージの使用を禁止すること』や『クラウドストレージの利用』などに関する出題が予想されます。
KDDI大規模障害
セキュリティインシデントではありませんが、IT関連のニュースとして一番大きいニュースはこちらじゃないでしょうか。
概要としては、設定変更ミスを起因に約60時間におよんで通信障害が発生し、最終的には利用者へ補償を行うほどとなりました。
24時間以上障害が継続した場合には補償を行う方針であったため補償額、1時間毎に進捗を報告せよというような総務省の介入の仕方、社長の記者会見の素晴らしさが話題になったかと思います。
こちらからも具体的なキーワードではありませんが、『チームの発足・役割』、『情報のエスカレーション』に関する出題が予想されます。
特に対策は不要だとは思いますが、『令和3年度 秋季試験 午後Ⅱ 問2』の問1 (1)にて、各者の役割を問うような問題が出題されています。
多要素認証を破る攻撃
2022年7月にMicrosoftが多要素認証を破るフィッシング攻撃に関する注意喚起を行いました。
攻撃の流れとしては以下の通りです。
攻撃者は関係者などを装って、攻撃対象へ本物そっくりの偽サイトへログインするようにメールなどで案内します。
攻撃対象であるユーザがログインを試みてしまった場合、偽サイトは得たログイン情報をそっくりそのまま本物のサイトに横流しします。
すると、本物のサイトからはユーザに対してSMSでワンタイムパスワードが送られてきます。
ユーザは偽のサイトにワンタイムパスワードを入力すると、偽サイトは得たワンタイムパスワードをそっくりそのまま本物のサイトに横流しします。
こうすることで、攻撃者は多要素認証を破って本物のサイトにログインすることができてしまいます。
一番重要なのは偽サイトにアクセスしないことですので、少しでも不審なメールなどを受信した場合は、決してURLをクリックせずに情報システム部などの適切な部署に連絡するようにしましょう。
とりあえず多要素認証を設定しておけば安心という神話が成り立っていましたが、残念ながら多要素認証を破られてしまう可能性があるようです。
情報処理安全確保支援士において、もともと『2要素認証』や『多要素認証』という言葉はよく出題されます。
攻撃自体はシンプルなものとなりますが、多要素認証の神話が破られたとなれば、問題として出題される可能性はあると考えられます。
政府サイトへのDDoS攻撃
2022年9月政府サイト(e-GOV、eLTAXなど)やMixiなどをはじめとしたサイトに対し、DDoS攻撃が行われました(とされています)。
この点から、『DDoS攻撃』に関する出題が予想されます。
DDoS攻撃は結構出題されていますので、その対策として、FW・IPS・CDN・WAFなどがあげられます。
CDNは『令和4年度 春季試験 午後Ⅱ 問2』でも出題されました。
FWは『令和3年度 秋季試験 午後Ⅰ 問1』にて、FW・IPSは総合してUTMと呼ばれる場合もあり、『令和3年度 秋季試験 午後Ⅱ 問2』にて出題されています。
まとめ
2022年4月から2022年9月までに実際に起こったセキュリティインシデントの中で出題が予想されるものをまとめますと、以下の8点が予想されます。
- クラウド化・ゼロトラスト化
- >認証(SSO関連)
- 脆弱性
- VPN
- USBなどの外部ストレージへの対策
- チームの発足・役割、情報のエスカレーション
- 多要素認証(を破る攻撃)
- DDoS・DDoS対策(FW・IPS・CDN・WAF)
知らなかった単語や苦手にしている分野があれば、過去問や参考書などに目を通して試験までに復習しておくようにしましょう。
それでは、皆さまの合格を祈っております。
