情報処理安全確保支援士 2020年(令和2年)春～2023年(令和5年)春ピックアップ

ここでは情報処理安全確保支援士各問題リンクの2020年(令和2年)春～2023年(令和5年)春の解説の中から特にこれはというようなものをまとめていきます。

2020年(令和2年)

サーバ証明書のホスト名検証ではサーバ証明書のホスト名と接続先が一致しているかを見るため、CN記載のホスト名に接続先ホスト名が含まれているかを見る。SANがある場合はSANのみを確認するのでCNは確認しない。

ディレクトリアクセスに用いる389番ポートを用いるプロトコルはLDAP
サーバー証明書の失効を確認するプロトコルはOCSP

OTP(One Time Password)でサーバとクライアントで共有する秘密鍵をシェアードシークレットと呼ぶ。TOTPはこのシェアードシークレットと時刻をクライアントとサーバがそれぞれハッシュ関数で処理して比較する

2021年(令和3年)春

中間者攻撃によるDNS通信の盗聴や改ざんへの対策としてDNS over TLS(DoT)があり、スタブリゾルバとフルサービスリゾルバの間の通信を暗号化する。

【ドメイン】DNSレコード設定の各レコードの意味を教えてください。

Wake on LAN(WoL)は電源オフのPCに起動パケットを送るとPCが起動するもので、ブロードキャストアドレスとMACアドレス×16回を送る。

2021年(令和3年)秋

SSHはパスワード認証と公開鍵認証があり、公開鍵認証でも秘密鍵にパスフレーズをつけておくことで、秘密鍵が盗まれても悪用できなくなる。

マルウェア感染のおそれがあるPCへのデジタルフォレンジックスによる調査を行うためにはディスクイメージを保管しておく。

OpenFlow : ネットワーク機器を1つの制御装置で集中管理する。
Software-Defined Networking : SDN ネットワーク構成機器をソフトウェアで仮想化して一括制御する。
ゼロトラストネットワーク : 内部のユーザーやデバイスを安全で信頼できるものとはみなさず、インターネット利用時同様のセキュリティレベルで監視や対策を実施する。
ローカルブレイクアウト : 特定の通信についてはWANなどを経由せずに各拠点から直接接続するネットワーク構成

2022年(令和4年)春

POSTメソッドで送信したボディはアクセスログに残らないので、実行されたOSコマンドの内容はわからない。

マイナンバーカードは内部の秘密鍵でデータにデジタル署名を実施、サービス側で公開鍵を使って正当性を確認、地方公共団体情報システム機構に電子証明書が現在も有効かどうかをCRLかOCSPで確認する。

CDNはユーザとサーバ間にキャッシュサーバを置いて応答させる。負荷分散とDDoS攻撃対策になる。
HTTPのHostヘッダにFQDNが指定される。

Kerberos認証はST使用時に認証サーバを通らないので認証サーバで偽造STを止められない。
また、STはサーバ管理者アカウントのパスワードのハッシュ値が鍵で、復号にはオフライン総当たり攻撃ができるのでログイン回数制限は無駄

Open ID Connectとは?概要とメリットを解説!

2022年(令和4年)秋

DNSキャッシュポイズニングは通信プロトコルにUDPを使って名前解決要求を送信かつ攻撃者のDNS応答がDNSキャッシュサーバに到達できるかつ権威DNSサーバからの応答よりも早く到達すると成功する。

ストレッチングはハッシュ化を何度も繰り返して推測されにくくする処理

2023年(令和5年)春

FTPのモードはアクティブモードとパッシブモードがあり、アクティブモードはサーバ→クライアントで接続要求を行い、ポートはTCP/20。パッシブモードはクライアント→サーバで接続要求を行い、ポートはランダム

cokkieにHttpOnly属性があるとHTML内のスクリプトからcookieへのアクセスが禁止