応用情報技術者試験の令和6年度 春季試験 午後 問1:セキュリティの解説を行ってきます。
出題テーマ:ゼロトラスト
出題テーマは『ゼロトラスト』です。
従来のルータやFWを利用した境界型防御からゼロトラスト環境への移行が出題されていました。
ゼロトラストと言っても内容は多岐に渡り、その中でも出題されたのはSIEM、EDRと言ったこれまで午前問題や午後問題で問われてきた内容でした。
過去問対策をしっかりと行っていれば高得点を狙うことができた問題かと思います。
設問1
下線①として、『ルータとFWを利用した境界型防御によるセキュリティ対策では、防御しきれない攻撃がある。』とあります。
境界型防御はルータやFWなどを用いて、インターネット(社外)と社内LANというように境界を分けます。
社内LANは信頼できインターネット側は信頼ができないので、インターネット(社外)から社内への通信は通さないというようにルータやFWなどに設定を行います。
ということで、境界型防御で防御できる攻撃は『イ:パケットフィルタリングのポリシーで許可していない通信による、内部ネットワークへの侵入』と考えることができます。
設問2 (1)
知識の問題です。
【a】の部分として、『R課長は、境界型防御の環境に代えて、いかなる通信も信頼しないという【a】の考え方に基づくリモート環境を構築することにした。』とあります。
境界型防御の弱点は社内に侵入を許してしまった場合に、防御することができないということが挙げられます。
社内からインターネットへの通信は許可していることが多いため、マルウェアに感染したPCから攻撃者が用意した外部のサーバなどの通信は許可されてしまいます。
また、社内から社内のようにFWやルータを経由しない通信も防御できませんので、マルウェアに感染したPCが他のPCへ感染拡大することに対しても何も行えません。
このように社外は当然ですが社内からの攻撃も考えられるため、境界型防御ではなく境界を設定しない『ゼロトラスト(6文字)』という考え方が近年主流となってきています。
設問2 (2)
下線②として、『課題となっている作業を不要にするために、クラウドサービスはSaaS型を利用する。』とあります。
課題としては『Q社の現状のセキュリティ対策に関する課題』を見ますと、『セキュリティパッチが提供されているかの調査及び適用してよいかの判断に時間が掛かることがある。』とあります。
SaaS型のサービスを利用することで、セキュリティなどへの対応はこちらでなく提供側の責任範囲となりますので、現状抱えている課題から開放されることになります。
ということで解答例は、『セキュリティパッチの調査と適用に時間がかかること(24文字)』と考えることができます。
設問3 (1)
下線部③として、『貸与PCからWebサイトを閲覧する際は、プロキシを経由する。』とあります。
プロキシサーバの役割として、『業務上必要なサイトのURL情報を基に、URLフィルタリングを行うソフトウェアをプロキシサーバに導入して、業務上不要なサイトへの接続を禁止している。』とあります。
また構築方針として、『貸与PCから業務上不要なサイトへの接続は禁止とする。』とあります。
よって解答例としては、『業務上不要なサイトへの接続禁止(15文字)』と考えることができます。
設問3 (2)
下線部④として、『SIEM(Security Information and Event Management)』とあります。
SEIMはセキュリティ機器などのログを収集し、そのログを分析する技術(製品)のことで、近年様々な企業で導入が進んできています。
分析をリアルタイムに行っていますので、攻撃を受けたことやマルウェアの感染などの検知を可能にします。
問題文中にわざわざ書いてあります『Q社の現状のセキュリティ対策に関する課題』を見ますと、『セキュリティインシデントの発生を、迅速に検知する仕組みがない。』とあります。
同じく問題文中にわざわざ書いてあります『リモート環境の構築方針』を見ますと、『セキュリティインシデントの発生を迅速に検知する仕組みを導入する。』とあります。
これらはまさにSIEMのことを指しています。
ということで解答例は、『セキュリティインシデントの発生を迅速に検知するため(25文字)』と考えることができます。
設問3 (3)
下線⑤として、『紛失時の情報漏えいリスクを低減する対策をとる。』とあります。
選択肢を見ますと、『ア:貸与PCのストレージ全体を暗号化する。』とあります。
ストレージ(HDDやSSD)が暗号化されていれば、PCからストレージを物理的に取り出して第三者がアクセスしようとしても暗号化されているため閲覧することができませんので、紛失時の対策として適切であると考えることができます。
続いて『イ:貸与PCのモニターにのぞき見フィルムを貼付する。』とあります。
のぞき見フィルムは、正面から画面を見れば普通に見ることができますが、斜めから見ると黒く見えて画面が覗けないようになっているフィルムです。
あまりよくはありませんがカフェなど社外でPCを利用する際に、周りの方からPCの画面をのぞかれないことには有効ですが、紛失時の対策としては適切ではありません。
最後に『ウ:リモートロック及びリモートワイプ機能を導入する。』
リモートロックは遠隔でロックをかけて操作を行えないようにすることで、リモートワイプは遠隔でデータを削除することですので、紛失時の対策として適切であると考えることができます。
この機能はスマートフォンにも搭載されているので、もしかしたら使ったことがあるという方もいらっしゃるかとは思います。
ということで解答は『ア、ウ』となります。
設問4(1)
下線⑥として、『EDR(Endpoint Detection and Response)ソフトを導入する。』とあります。
EDRはエンドポイントとあるようにPCやサーバなどのログなどを監視し、不審な動作などを検知や対処を行うことも可能となっています。
EDRはあくまで監視と検知が目的なので、マルウェアの感染をブロックするという機能は持ち合わせていません。
ということで、『イ:登録された振る舞いを行うマルウェアの侵入を防御する。』、『エ:パターン情報に登録されているマルウェアの侵入を防御する。』といったことはできません。
似たような言葉ではありますが、従来のウイルス対策ソフトのことを指すEPP(Endpoint Protection Platfrom)のこれらの説明となっています。
『ウ:登録した機密情報の外部へのデータ送信をブロックする』はFWやルータなどのフィルタリングルールで設定すべき内容です。
残った『ア:貸与PCをネットワークから遮断し、不審なプロセスを終了する。』というのがEDRソフトの動作となります。
設問4(2)
【b】の部分として、『知識情報であるIDとパスワードによる認証に加えて、所持情報である従業員のスマートフォンにインストールしたアプリケーションソフトウェアに送信されるワンタイムパスワードを組み合わせて認証を行う、【b】を採用する。』とあります。
IDとパスワードは本人が覚えているかどうかですので、知識情報に分類されます。
スマートフォンを本人が所持していないとワンタイムパスワードを受け取ることができませんので、ワンタイムパスワードは所持情報に分類されます。
このように異なる性質の情報を用いて認証を行うことを『多要素認証 or 2要素認証(5文字)』と呼びます。
ちなみに知識情報、所持情報の他によく出題されるものとして指紋や目の虹彩などが生体情報があります。
さらにちなみにとして、第1パスワードと第2パスワードのように同じ種類の情報を使用して2回認証を行うことは多要素認証(2要素認証)とは言わず、多段階認証(2段階認証)と呼ばれることにご注意ください。
公式解答例との比較・予想配点
出題テーマは『ゼロトラスト』でした。
SIEMやEDRなどの過去にも出題された内容のものですので、過去問対策が行えていれば解くことができた内容だと思います。
記述式の問題もそこそこ出題されましたが、基本的には本文中の文章をそのまま使用することができましたので、読解力があれば回答することができたかと思います。
今回過去問を初めて解いたという方で仮に上手く解けなくても残念がらず、過去問対策を行えば本番も解くことができるんだというプラス思考でいてください。
難易度としては『やや易しい~普通』だったかと思います。
配点 |
|||
| 設問1 | イ | イ | 2点 |
| 設問2 (1) | ゼロトラスト(6文字) | ゼロトラスト | 2点 |
| 設問2 (2) | セキュリティパッチの調査と適用に時間がかかること(24文字) | セキュリティパッチの調査及び適用の判断 | 4点 |
| 設問3 (1) | 業務上不要なサイトへの接続禁止(15文字) | URLフィルタリング 業務上不要なサイトへの接続禁止 |
3点 |
| 設問3 (2) | セキュリティインシデントの発生を迅速に検知するため(25文字) | セキュリティインシデントの発生を迅速に検知するため | 3点 |
| 設問3 (3) | ア、ウ | ア、ウ | 2点 |
| 設問4 (1) | ア | ア | 2点 |
| 設問4 (2) | 多要素認証 or 2要素認証 | 多要素認証 or 2要素認証 多段階認証 or 2段階認証 |
2点 |
引用元
問題および解答例に関しては、『独立行政法人 情報処理推進機構(IPA)』より引用しています。
YouTube解説動画
公開まで少々お待ち下さい。
応用情報技術者試験解説
その他の年度、問題は『こちら』にてまとめています。
