この記事では,令和5年度 秋期 情報処理安全確保支援士試験 午後問題 問2の解説(独自の見解)を行います.また,類題の出題状況や傾向,問題タイプなどの出題分析も掲載しています.
情報処理安全確保支援士試験に向けて勉強されている方の参考になれば幸いです.
本記事における出典:令和5年度 秋期 情報処理安全確保支援士試験 午後 問2
IPA(問題冊子・解答例・採点講評)のリンク
本記事内の解答例については,全てIPA公式からの引用になります.
設問1 〔社外の攻撃者によるファイル持ち出しへの対策〕
本問は,読解問題(抜き出し問題)と知識問題の融合でした.
(1) 本文中の空欄 a, b に入れる適切な字句
問題冊子11ページの下部 S氏の発言
S氏:それは考えられます.しかし,Bサービスにログインするには【 a 】と【 b 】が必要です.
解答例
a:利用者ID
b:パスワード (aとbは順不同)
解説
空欄 a, b に当てはまる字句を確かめるべく,問題冊子9ページの表1 構成要素の概要(抜粋)を見てみましょう.Bサービスについて,以下の記述があります.
(前略)
・従業員ごとに割り当てられた利用者IDとパスワードでログインし,利用する.
従って,空欄 a, b に当てはまる字句は,表1の語句をそのまま抜き出して,それぞれ 利用者ID,パスワードとなります.
(2) 図2中の空欄 c, d に入れる適切な字句(各40字以内)
・ 【 c 】
・ 【 d 】
・ このサーバ証明書は,失効している.
・ このサーバ証明書は,有効期限が切れている.図2 エラーメッセージの詳細(抜粋)
偽サイトに使用されたサーバ証明書に応じて,Webブラウザに表示されるエラー内容を問う問題です.
解答例
c:このサーバ証明書は,信頼された認証局から発行されたサーバ証明書ではない
d:このサーバ証明書に記載されているサーバ名は,接続先のサーバ名と異なる(cとdは順不同)
解説
まず,攻撃者(偽サイト)のサーバ証明書取得という点ですが,正規の認証局からの取得は困難でしょう.(真っ当な認証局が偽サイトに対して,サーバ証明書を発行するというのは考えづらいですよね.)
従って,どうしてもサーバ証明書を取得したい場合は,正規の認証局から取得した証明書に代わり,自己署名証明書(オレオレ証明書)等に依存せざるを得ないでしょう.つまり,体裁だけは何とか整えられたとしても,実体はハリボテの証明書しか入手できない訳です.
以上を踏まえると,エラー内容の1つ目は,「このサーバ証明書は,信頼された認証局から発行されたサーバ証明書ではない」と考えることができます.
続いて,2つ目のエラー内容を考えるにあたって着目したいのが,問題冊子11ページ下部にある以下の記述です.
Yさん:(前略)(以下,偽サイトという)を用意し,DNSを細工して 【a:利用者ID】と【b:パスワード】を盗む方法はどうでしょうか.
上記の記述から,攻撃手法としてはDNSキャッシュポイズニングを示唆しているものと思われます.DNSキャッシュポイズニングが行われた場合,利用者が正規のBサービスのURLにアクセスを試みたとしても,実際に誘導されるのは偽サイトになります.
従って,ブラウザのアドレスバーのURLと実際に接続されているURLに不一致が生じます.以上により,エラー内容の2つ目は「このサーバ証明書に記載されているサーバ名は,接続先のサーバ名と異なる」となります.
(3) エラーが表示されるまでのブラウザの動き
前問に関連して,利用者がHTTPSではなく,HTTPでアクセスした場合はどうなるのかという問題です.エラーメッセージが表示されるまでのWebブラウザの挙動を60字以内で解答します.
解答例
HTTPのアクセスをHTTPSのアクセスに置き換えてアクセスする.その後,偽サイトからサーバ証明書を受け取る.(56字)
解説
抑えるべきポイントとしては,HSTSが有効であるという点です.HSTSについては,以下の記事で詳しく解説しておりますので,併せてそちらもご覧いただけると幸いです.
HSTSの設定時の挙動であるHTTPをHTTPSに置き換えてアクセスし,さらに偽サイトからサーバ証明書を取得するところまでがエラーメッセージが表示されるまでのWebブラウザの挙動となります.
HSTS設定時の挙動(効果)を論述形式で答えさせる問題は,令和6年度秋期 情報処理安全確保支援士試験 午後 問4でも出題されました.問われ方(言い回し)や解答に若干の変化は見られるものの,本質的な部分(HSTSの特徴を答えさせる)においては,実質的に再出題と言えそうです.
設問2 〔従業員によるファイル持ち出しへの対策〕
(1)については,問題文から不正の手口を答えさせる読解・推理形式(マネジメント寄り)に近い問題,(2)については,知識問題(問題文からの読解で導くことも可能)です.
(1) ファイル共有機能
Bサービスのファイル共有機能について,上長が宛先のメールアドレスとファイルを確認出来ていない場合があるようです.それを踏まえると,従業員はファイル共有機能を悪用することで,M社外からBサービスにあるファイルを不正にダウンロードできる可能性があります.
その具体的な手口を40字以内で解答する問題です.
解答例
外部共有者のメールアドレスに自身の私用のメールアドレスを指定する.(34字)
解説
(上長が宛先のメールアドレスやファイルを確認しないことを期待して,)本来は,取引先のメールアドレス等を指定するはずの外部共有者メールアドレスに,(従業員)自身の私用のメールアドレスを指定するという手口です.
(2) eに入れる適切な字句
空欄eは,問題冊子13ページの上部にあります.
方法1:個人所有PCの無線LANインタフェースの【 e 】を業務PCの無線LANインタフェースの【 e 】に変更した上で,個人所有PCを従業員用無線LANに接続し,(後略)
解答例
MACアドレス
解説
空欄前後の文脈から,何となく解答の見当は付きそうですが,無線LANアクセスポイント(AP)の仕様を確認しておきましょう.
問題冊子9ページ 表1のAP-1~5には,以下の記述があります.
従業員用無線LANだけにMACアドレスフィルタリングが設定されており,事前に情報システム部で登録された業務PCだけが接続できる.
答え発見です.
無線LANアクセスポイントの接続端末制限として,MACアドレスフィルタリングを設定することは(技術的に)可能ですが,MACアドレスはクライアント側で容易に偽装できるため,実質的にはほとんど意味を成しません.
設問3 〔方法1と方法2についての対策の検討〕
知識問題と読解問題のハイブリッドです.
(1)認証サーバがEAPで使うUDP上のプロトコル
従業員用無線LANの認証方式としてEAP-TLSを選択し,③ 認証サーバを用意することにした.
解答例
RADIUS
解説
RADIUS(ラディウス)とは,Remote Authentication Dial In User Service(リモート認証ダイヤルインユーザサービス)の略であり,ネットワークに接続するユーザの認証を行うプロトコルです.
(2) 本文中の空欄 f に入れる適切な字句
問題冊子13ページ Yさんの発言について,空欄補充問題です.
Yさん:クライアント証明書は,CAサーバを新設して発行することにし,従業員が自身の業務PCにインストールするのではなく,ディレクトリサーバの機能で業務PCに格納します.
【 f 】は 【 g 】しておくために業務PCのTPMに格納し,保護します.
解答例
秘密鍵
解説
クライアント証明書には,通常クライアントの公開鍵と秘密鍵のペア(鍵ペア)が含まれます.この秘密鍵が漏えいすると,クライアント証明書が悪用され,証明書の正当な所有者以外によるなりすましのリスクが生じます.
従って,秘密鍵についてはTPMなどの安全性が高い場所に保管しておく必要があります.
(3) 本文中の空欄 g に入れる適切な字句
再び,Yさんの発言に関する空欄補充です.20字以内で解答します.
解答例
業務PCから取り出せないように(16字)
解説
問題冊子13ページにあるYさんとS氏の会話文より,従業員の個人所有PCを業務PCになりすます不正を懸念していることが分かります.
従って,クライアント証明書を用いた認証方式では,業務PCから秘密鍵を取り出し,個人所有PCに格納されることへの対策が必要になります.
TPMとは,耐タンパ性(外部からの不正読出し等への耐性)に優れたセキュリティチップのことです.午前Ⅱ・午後問題で重要なキーワードの1つです.
(4) 下線④についてその理由
S氏:④ その格納方法であれば問題ないと思います.
秘密鍵をTPMに格納するという方法であれば,問題ない理由を40字以内で解答します.
解答例
EAP-TLSに必要な認証情報は,業務PCにしか格納できないから(33字)
解説
前問の解説の流用にはなりますが,従業員の個人所有PCを業務PCになりすます不正対策として,耐タンパ性の高いTPMに保存するという方法です.これによって得られる効果(転じて,その格納方法であれば問題ない理由)を簡潔にまとめると,EAP-TLSに必要な認証情報は,業務PCにしか格納できないからということになります.
(5) FWのNAT設定の変更内容
方法2(個人所有PCを来客用無線LANに接続し,Bサービスからファイルをダウンロードし,個人所有PCごと持ち出す.)への対策については,次の二つの案を検討した.
・⑤ FWのNATの設定を変更する.
解答例
来客用無線LANからインターネットにアクセスする場合の送信元IPアドレスをa1.b1.c1.d1とは別のIPアドレスにする.(63字)
解説
問題冊子9ページにあるBサービスの仕様について,以下の記述があります.
・M社の従業員に割り当てられた利用者IDでは,a1.b1.c1.d1(グローバルIPアドレス)からだけ,Bサービスにログイン可能である.
そして,表4下の注釈には以下のような記述があります.
現在の設定では(NATが)有効の場合,送信元IPアドレスがa1.b1.c1.d1に変換される.
以上の根拠と下線⑤前後の文章より,「来客用無線LANからインターネットにアクセスする場合の送信元IPアドレスをa1.b1.c1.d1とは別のIPアドレスにする.」という解答を導くことができます.
