情報処理安全確保支援士の令和7年度 秋季試験 午後問題 問3の解説を行っていきます。
令和5年度 秋季試験より、試験構成が変更となっています。
これまで午後Ⅰ・午後Ⅱという2つの試験が行われていましたが、午後問題という1つの試験のみの実施に変更になっています。
試験構成の変更や受験者への影響については『こちら』にまとめていますので、まだ確認されていない方は試験前までにご覧ください。
令和8年度試験より従来の紙ベースの試験(PBT方式)からコンピュータを用いてテストセンターなどで行われるCBT方式へ移行されることが発表されています。
『こちら』にまとめていますので、まだ確認されていない方は試験前までにご確認ください。
CBT化に伴い令和8年度試験から春季試験は前期試験、秋季試験は後期試験に名称が変更となっています。
開催時期もこれまでとは異なっていますので、詳細については『こちら』にまとめていますのでご確認ください。
設問1 (1)
知識の問題です。
【a】の部分として、『【a】:応答にデジタル署名を付与する。』とあります。
解答は『a:DNSSEC』となります。
設問1 (2)
知識の問題です。
まずは【b】について考えていきます。
【b】の部分として、『【b】:HTTPSを用いてDNS通信する。』とあります。
解答は『b:DoH(DNS over HTTPS)』です。
続いて【c】について考えていきます。
【c】の部分として、『DoT:【c】を用いてDNS通信を暗号化する。』とあります。
解答は『c:TLS』です。
DoTはDNS over TLSの略称です。
DoHとDoTの違いの一つとして、ポート番号の違いが挙げられます。
DoH:443、DoT:853とポート番号が異なっています。
DoHはHTTPSトラフィックにDNSの情報が紛れ込むかたちになるので、DNS通信として識別しにくいという特徴があります。
DoTは中身は暗号化されていますが、DNS通信であることがわかりますので、FWなどで制御しやすいという特徴があります。
設問2
図3および表5から図4に当てはまる情報を考えていきます。
図3の項番1に『操作担当者が、Web画面で、振込先の金融機関名及び店名を選択する。』とありますので、『(1):振込先の金融機関名及び店名を選択』と考えることができます。
(2)では偽のサーバを経由して、『攻撃者口座の金融機関名及び店名』がY-IBのWebサイトに送られています。
図3の項番2では『担当者が”次へ”ボタンをクリックした後、Web画面で、振込先の口座種別及び口座番号を入力する。』とありますので、『(3)、(4):この口座種別及び口座番号を入力する画面』が返答されていると考えることができます。
さらに、『(5):振込先の口座種別及び口座番号』が入り、『(6):攻撃者口座種別及び口座番号』が送られています。
図3の項番3では『担当者が”次へ”ボタンをクリックした後、Web画面に振込先の口座名義人が表示される。振込先の金融機関又は操作した時刻によっては表示されないことがある。』とあります。
このため、『(7):攻撃者口座の口座名義人』が返答され、それを『(8):(7)の各文字を空白に置き換えた文字列』のように変更して返答します。
先程読みましたが、口座名義人が表示されないことは仕様としてあるようです。
図3の項番4では『振込担当者が、Web画面で、振込金額を入力する。』とありますので、『(9):振込金額』と考えられ、『(10):攻撃者による書き換え後の振込金額』と書き換えられて送信されます。
図3の項番5では『操作担当者が”次へ”ボタンをクリックした後、数字入力トークンに振込先の口座番号を入力する。』とあります。
『(11)、(12):数字入力トークンに振込先の口座番号の入力画面』のような返答があり、『(13):イ 攻撃者による書き換え前の口座番号』を手順に従って入力を行います。
『(14)、(15):認証番号』が送信しますが、『(16):図5のポップアップ画面』が返答されます。
図5の数字の部分には『攻撃者の口座番号』が記載されているものと考えられ、ポップアップに従ってしまうと『(17):ア 攻撃者の口座番号』を入力してしまいます。
『(18):認証番号』が返答され、(19)、(20)で送信をすると攻撃者への振込が成立してしまうという流れです。
ということで解答は『d:イ』、『e:ア』となります。
設問3
下線①として、『図6の項番8については、Kサービス設定サイトへのアクセスはP社内だけからできるよう制限する。』とあります。
図6の項番8に『契約企業向けに用意された設定画面(以下、Kサービス設定サイトという)へのアクセスを許可する接続元IPアドレスを設定することができる。』とあります。
図1を見るとP社内からはM-FWを経由してインターネットにアクセスしていることがわかります。
そして、表3に『M-FWのインターネット側インタフェース:a1.b1.c1.d1』と記載があります。
このM-FWのインターネット側インタフェースのグローバルIPアドレス(a1.b1.c1.d1)をKサービス設定サイトへのアクセスを許可する接続元IPアドレスに登録すればよいと考えることができます。
よって解答例は『Kサービス設定サイトへのアクセスを許可する接続元IPアドレスにM-FWのインターネット側インタフェースのグローバルIPであるa1.b1.c1.d1を設定すること』と考えることができます。
設問4 (1)
【f】の部分として、『各取引サービスについて、次の依頼を取引先に行う。』とあります。
図8の項番5には『5.図6の項番4を利用する。』とあり、図6の項番4には『4.Kサービス経由でのインターネットアクセス時の送信元IPアドレスとして、契約者専用のKサービス用固定グローバルIPアドレスを指定することができる。』とあります。
重要な部分として、『取引先から指定されたWebサービス(以下、取引先サービスという)を利用することがある。取引先サービスは複数あり、各取引先サービスで接続元IPアドレス制限を行っている。各取引先サービスでは、M-FWのグローバルIPアドレスからの接続は許可されている。』とあります
つまり、Kサービス導入前はP社内からアクセスしていたため、M-FWのインターネット側インタフェースのグローバルIPアドレスであるa1.b1.c1.d1が各取引先サービスに登録されていたと考えられます。
Kサービス導入にあたり、Kサービス経由つまりは接続元IPアドレスがKサービス用固定グローバルIPアドレスとなりますので、こちらを登録してもらう必要があります。
ということで解答例は、『Kサービス用固定グローバルIPアドレスを接続元IPアドレスとして各取引先サービスに登録してもらうこと』と考えられます。
設問4 (2)
下線②として、『(2)について、問題を指摘し、許可する宛先の追加を指示した。Fさんは、追加する宛先をT主任に報告し』とあります。
(2)とは、『(2):M-FWのファイアウォール機能では社内からのHTTP通信を禁止とし、HTTPS通信の宛先はKサービスだけを許可する。』とあります。
重要な部分として、『P社出勤時も経理係のIBの利用及び情報システム係の情報システムの管理を除き』とあり、これらのサービスはKサービス経由でのアクセスから除外する必要があります。
IBに関しては、『経理係ではY-IBからZ-IBに変更することにした。』とありますので、Z-IBは対象となります。
続いて、情報システム係の情報システムの管理に必要なサービスについて考えていきます。
こちらに関しては、新規社有PCを導入した場合のキッティング時のことを想定していると考えられます。
Kサービスを利用するにあたり、設定のためにPCからアクセスする必要があるサイト・サービスを図7の手順から考えていきます。
図7の項番1には『1.利用者が認証基盤サービスにアカウントをもっていない場合、情報システム係が認証基盤サービスでアカウントの作成を行う。』と記載がありますので、Vサービス内の認証基盤サービスは対象であると考えることができます。
続いて、項番4に『4.利用者はP社内から社有PCを使ってKサービス設定サイトにアクセスし、Kソフトのダウンロード及びインストールを行う。』とあります。
このため、Kサービス設定サイトは対象であると考えることができます。
図7の項番5にて、『5.利用者はKサービス経由で、図2を行う。』とあるように、Kサービスへ接続を行っています。
図6の項番3にて『3.Kサービス接続時に、接続元PCのOSのバージョン、OSの脆弱性修正プログラム適用状況、マルウェア定義ファイルのバージョン(以下、三つを併せてPC情報という)をチェックし、接続の可否を判断できる。』とあり、図8に『4.図6の項番3については、表1の項番1(2)を満たしていないPCからの接続を拒否するように設定する。』とあります。
表1の項番1(2)には『利用者は脆弱性修正プログラムがリリースされたら、OSのアップデート機能を用いて、2週間以内に適用する。』とあります。
Kサービスに接続するためにはOSの脆弱性修正プログラムを適用している必要があり、アップデートの方法(アクセス先)について考えていきます。
図2に『OSベンダーのOSアップデート配布サイト』と記載があり、こちらのサイトでアップデートを行っていると考えることができます。
項番5以降ではKサービスに接続を行っていますので、以降の手順時はKサービス経由となるため、今回の対象に含める必要はないと考えることができます。
まとめると宛先は、Z-IB、Vサービス内の認証基盤サービス、Kサービス設定サイト、OSベンダーのOSアップデート配布サイトの4つとなります。
そして、これらのHTTPS通信をKサービス経由でないようにするため、解答例は『Z-IB、Vサービス内の認証基盤サービス、Kサービス設定サイト、OSベンダーのOSアップデート配布サイトへのHTTPS通信』と考えることができます。
設問5 (1)
【g】の部分として、『先行利用の利用者アカウントについては、【g】』とあります。
重要な部分として、『先行利用では、利用中に社有スマホが故障し、認証できないという問題が発生した。そこで、H部長とも相談し、社有スマホの故障時でもKサービスが利用できるように、MFA設定画面で次の二つを行った。』、『管理者のアカウントで、認証方式を表2の認証方式3に変更する。』とあります。
表2に『認証方式1:利用者ごとにあらかじめ登録した1件の電話番号へのSMS通知による認証、認証方式2:利用者ごとにあらかじめ登録した1台のスマホでの認証アプリを用いた認証、認証方法3:認証の都度、利用者が認証方式1又は2のいずれかを選択』、『P社では認証方式2を設定している。』とあるように、P社はこれまで社有スマホ内の認証アプリを用いて認証を行ってきましたが、社有スマホが故障してしまったら記載のあるように認証を行うことができません。
そこで認証方式3に変更することで、認証方式1のSMS通知による認証も選択可能にしたというわけです。
SMSの通知先を所有スマホ以外にする必要がありますが、それは表1に『緊急時に利用する個人所有のスマホ』とあるように個人所有のスマホ宛の電話番号を登録して、こちらにSMS通知を行って認証をするしかないと考えられます。
ということで解答例は『認証方式1の電話番号に個人所有のスマホの電話番号を登録する』と考えることができます。
設問5 (2)
下線③として、『社有PCのOSの移行が滞っていることから、情報システム係がKサービスを活用して移行を促進させる施策を考えた。』とあります。
Kサービスを用いてバージョンXをまだ利用しているユーザの特定は可能で、『Kサービス接続時に、接続元PCのOSバージョン、OSの脆弱性修正プログラム適用状況、マルウェア定義ファイルのバージョン(以下、三つ併せてPC情報という)をチェックし、接続の可否を判断できる。アカウント名、PCのシリアル番号、PC情報及び接続可否はログに記録される。』とあるようにKサービスに接続される際に出力されたログを用いて特定は可能です。
重要な部分として、『バージョンXから、バージョンYへのOSの移行中である。移行は、各部の情報セキュリティ推進者の管理の下、6か月以内に完了させることになっている。』とあります。
あとはひらめきの問題とはなりますが、会社員の方であればオンライン研修などがまだ完了していない場合、エクセルなどで未完了者が一覧化され、課会やチーム会などで上長から早めに受けるようにと研修の受講を促されることがあります。
こちらと近しい方法をとればよいと考えることができます。
重要な部分としても触れましたが、情報システム係が直接移行していないユーザに連絡をするのではなく、各部の情報セキュリティ推進者の管理の下で行われるため、この情報セキュリティ推進者経由で連絡をしてもらう必要があります。
ということで解答例は『Kサービス接続時に出力されるログからバージョンXを利用している従業員を特定し一覧化する。それを各部の情報セキュリティ推進者に渡し、バージョンYへの移行を促してもらうこと』と考えることができます。
公式解答例との比較
私の解答と公式解答を比較してみました。
満点ではないにせよ、少なくとも7割~8割程度は取れているかと思います。
予想配点はあくまで予想ですので参考程度でお願いします。
出題テーマは『インターネットバンキングの利用とリモートワーク環境の導入』で、知識の問題を除いて特定の技術の内容というよりは問題文をよく読めば解答することができる問題だったと思います。
読解力が問われますし、問題文をいったりきたりして全体的に読み込む必要があったと思います。
総じて難易度は普通だったかと思います。
配点 |
|||
| 設問1 (1) | DNSSEC | DNSSEC | |
| 設問1 (2) | b:DoH c:TLS |
b:DoH c:TLS |
|
| 設問2 | d:イ e:ア |
d:イ e:ア |
|
| 設問3 | Kサービス設定サイトへのアクセスを許可する接続元IPアドレスに、a1.b1.c1.d1を設定すること | Kサービス設定サイトへのアクセスが許可される接続元IPアドレスをa1.b1.c1.d1に制限する。 | |
| 設問4 (1) | P社専用のKサービス用固定グローバルIPアドレスを接続元IPアドレスとして各取引先サービスに登録してもらう | 各取引先サービスへの接続を許可するIPアドレスとして、P社専用のKサービス用固定グローバルIPを登録してもらう | |
| 設問4 (2) | Z-IB、認証基盤サービス、Kサービス設定サイト、OSベンダーのOSアップデート配布サイトへのHTTPS通信 | Z-IB、OSベンダーのOSアップデート配布サイト、認証基盤サービス及びKサービス設定サイトへのHTTPSサービス | 設問5 (1) | 認証方式1の電話番号に個人所有のスマホの電話番号を登録する | 認証方式1の電話番号として、個人所有スマホの電話番号を登録する | 設問5 (2) | Kサービス接続時に出力されるログからバージョンXを利用している従業員およびそのPCを特定し一覧化する。それを各部の情報セキュリティ推進者に渡し、バージョンYへの移行を促してもらうこと。 | Kサービス接続時のログからOSがバージョンXの社有PCを抽出し、アカウント名から利用者を特定後、利用者の所属する部の情報セキュリティ推進者に報告し、バージョンYへの移行を促してもらう。 |
引用元
問題および解答例に関しては、『独立行政法人 情報処理推進機構(IPA)』より引用しています。
YouTube解説動画
鋭意作成中につき少々お待ちください。
情報処理安全確保支援士の問題解説
その他の年度、問題解説は『以下のページ』にまとめております。
