【解答例＆解説】令和6年度 秋期 情報処理安全確保支援士試験 午後 問１

情報処理安全確保支援士試験の、解答例とオリジナル解説を公開します。
あくまでも解答例ですので、正解はIPAのサイト（2024年12月24日正午公開）で確認してくださいね。
この記事の最終更新日は、2024年10月23日です。
皆さまの解答例、ご意見も参考にしたいので、コメントお待ちしております。

■解答例

設問１（１）a　PC-C
設問１（２）b　filesv
設問１（３）c　ad01¥user019
設問１（４）d　アカウント停止措置
設問１（５）全てのドメインユーザについて、URLフィルタリング
　　　　　　機能の管理者拒否リストに、https://△△△.com/
　　　　　　を設定する。
設問１（６）プロキシサービスの通信ログで、全てのL社内ホスト
　　　　　　を対象として、https://△△△.com/、
　　　　　　https://〇〇〇.com/、https://□□□.com/への通信記録
　　　　　　の有無を確認する。
設問１（７）全てのL社内ホストを対象に、タスク名installの
　　　　　　タスクが登録されていないか確認する
設問１（８）①L社内ホスト全てを対象に、installタスクが登録さ
　　　　　　　れた時に情シス部へアラートが通知される仕組み
設問１（８）②L社内ホスト全てを対象に、マルウェア対策ソフト
　　　　　　　が停止した時に情シス部へアラートが通知される
　　　　　　　仕組み
設問２　e　仮想環境の設定にて、仮想PCのRDP接続を禁止する。
設問２　f　FWの設定を行い、RDR形式ファイルのアップロードを
　　　　　 禁止する。

■解説

設問１（１）a

解答：PC-C
解説：問題文から抜粋問題

［ a ］上のファイルと［ b ］上のファイルがインターネット上に送信されている。したがって、PC-Aと同様にマルウェアに感染されたと考えられる［ a ］と［ b ］を表３から表５で探します。
［ a ］については、表３でPC-AからのRDP接続が許可されているPC-Cだとわかります。PC-C以外はRDP接続が失敗しています。

表３

設問１（２）b

解答：filesv
解説：問題文から抜粋問題
次に、マルウェアに感染されたと考えられる［ b ］を表３から表５で探します。PC-Aからファイルを参照されている filesv を見つけることができます。

表３

設問１（３）c

［ c ］には、ファイルにアクセスしたアカウントが入ります。表３から表５でアカウント情報があるのは、表３と表５です。
表５より、「ad01￥user019」が解答になります。

表５

設問１（４）d

解答：アカウント停止措置
解説：問題文のヒントから考える問題

暫定対策としてすべきことは、アカウント「ad01￥user019」を使えなくすることですね。「アカウント停止措置」などが解答になります。

設問１（５）

解答：全てのドメインユーザについて、URLフィルタリング
　　　機能の管理者拒否リストに、https://△△△.com/
　　　を設定する。
解説：問題文のヒントから考える問題

下線①について、ファイルの送信を防ぐためのプロキシサーバで行う設定内容が問われています。
この場合は、まずプロキシサーバの機能を確認します。表1ですね。表１のプロキシサーバの仕様説明のファイル送信を防ぐ機能としては、URLフィルタリング機能の管理者拒否リストがあります。

では次にどのURLへの送信を拒否するかを表５で確認します。
表５の通信ログの宛先は、次の４つがあります。
・https://〇〇search.com/
・https://△△△.com/
・https://〇〇〇.com/
・https://□□□.com/

次にマルウェアのファイル送信動作を知る必要があります。そのために、図４のマルウェア解析結果を確認します。

図４より△△△.comと通信を行いファイルアップロードの準備をしていることがわかります。また、ファイルのアップロードタイミングは、（ｄ）のタイミングであることがわかります。

これらの情報を確認した上で、下記のURLについて、管理者拒否リストへの登録対象とするか確認します。
・https://〇〇search.com/
・https://△△△.com/
・https://〇〇〇.com/
・https://□□□.com/

・https://〇〇search.com/
表３より、https://〇〇search.com/へのアクセスは、https://△△△.com/へのアクセスやウイルススキャンソフトの停止前（図４の(c)参照）よりも前に接続を試みているため、ファイル送信のための通信ではないと判断できます。管理者拒否リストへの登録対象外です。

表３

・https://△△△.com/
　https://△△△.com/へ通信を行いファイル送信準備を行っているため、管理者拒否リストへの登録対象です。

・https://〇〇〇.com/
　図４より、コネクトバック通信を行っているだけのため、管理者拒否リストへの登録対象外です。また、ベンダー拒否リストにも登録されています。

・https://□□□.com/
　図４より、コネクトバック通信を行っているだけのため、管理者拒否リストへの登録対象外です。
したがって、解答は次のようになります。「全てのドメインユーザについて、URLフィルタリング機能の管理者拒否リストに、https://△△△.com/を設定する。」

＜参考＞

設問１（６）

解答：プロキシサービスの通信ログで、全てのL社内ホストを対象
　　　として、https://△△△.com/、https://〇〇〇.com/、
　　　https://□□□.com/への通信記録の有無を確認する。
解説：知識問題

下線②について、PC-A,PC-C以外のL社内ホストがマルウェア感染していないかの確認方法が問われています。これは知識問題ですね。表５で確認した通信記録を全てのホストを対象に確認する必要があります。
「プロキシサービスの通信ログで、全てのL社内ホストを対象として、https://△△△.com/、https://〇〇〇.com/、https://□□□.com/への通信記録の有無を確認する。」などが解答になります。

設問１（７）

解答：全てのL社内ホストを対象に、タスク名installのタスクが
　　　登録されていないか確認する
解説：問題文のヒントから考える問題

まず最初に、Yさんの考えた「マルウェアが今後活動する可能性があるL社内ホスト」とは、どのような状態のことを指しているのか確認します。
感染しているけれど、まだ活動していない状態とは？

Yさんの考えた「マルウェアが今後活動する可能性があるL社内ホスト」とは、図４より、i.ps1でinstallタスクが登録されているけれどまだ実行されていない（対象PCがログオンされていない）状態だとだと考えられます。この状態を確認するためには、「全てのL社内ホストを対象に、タスク名installのタスクが登録されていないか確認する」必要があります。

設問１（８）①

設問１（８）②

解答①：L社内ホスト全てを対象に、installタスクが登録された時
　　　　に情シス部へアラートが通知される仕組み
解答②：L社内ホスト全てを対象に、マルウェア対策ソフトが
　　　　停止した時に情シス部へアラートが通知される仕組み
解説：問題文のヒントから考える問題
図４のマルウェアの活動を自動的に検出する仕組みが問われています。図４のマルウェアの活動としては下記の動作があります。
・installタスクの登録
・installタスクの実行
・マルウェア対策ソフトを停止する
・ファイルをアップロードする
これらのことより、「installタスク登録の検出」と「マルウェア対策ソフト停止の検出」が解答として考えられます。
以下のような解答となります。
「L社内ホスト全てを対象に、installタスクが登録された時に情シス部へアラートが通知される仕組み」「L社内ホスト全てを対象に、マルウェア対策ソフトが停止した時に情シス部へアラートが通知される仕組み」

設問２　e

解答：仮想環境の設定にて、仮想PCのRDP接続を禁止する。
解説：問題文のヒントから考える問題

表６

「PC-Aからマルウェア感染を広げた」ことを防ぐ技術的対策が問われています。表３より、マルウェア感染はRDP接続で行われていることがわかります。そのため、RDP接続を禁止することが技術的対策となります。

表３

解答を書くために、L社のPC環境を表１で確認します。

これらのことより「仮想環境の設定にて、仮想PCのRDP接続を禁止する。」などが解答となります。

設問２　f　

解答：FWの設定を行い、RDR形式ファイルのアップロードを禁止する。
解説：

「q.ps1がファイルを不正に持ち出した」ことを防ぐ技術的対策が問われています。表６にタイトルを見ると「目的実行までの活動を阻止するための技術的対策」ですので、データの暗号化などは含まれないと考えられます。
送信を阻止する方法？
送信を阻止する方法といえば、ファイアウォール（FW）ですが、この問題にFWの機能説明はありません。？
プロキシサービスでの制御が考えられるが、プロキシサービスでファイルの送信防止は設問１(5)の暫定対策に登場している。？

図４

図４のファイルアップロード部分のキーワードを使用して解答を作成します。
〇〇の設定を行い、RDR形式ファイルのアップロードを禁止する。
〇〇部分が問題文から見つからないため、FWの設定で解答することにします。したがって「FWの設定を行い、RDR形式ファイルのアップロードを禁止する。」などが解答になります。

最後までお読みいただきありがとうございました。
ご意見、ご質問、間違いの指摘などあれば、遠慮なくコメントお願いします。皆さんのコメントをお待ちしております。
少しでも皆さんの勉強の参考になれば幸いです。
～ 仲間がいれば、勉強は楽しい！～

■更新履歴

2024/10/13(日)　試験日
2024/10/23(水)　作成・公開