eviosJoe

ぐへへ

eviosJoe

ぐへへ

【2021年春期】情報処理安全確保支援士 午後I試験【問3】

【出題趣旨】  昨今、OSやアプリケーションプログラムの脆弱性を悪用するマルウェアや攻撃が増加しており、より迅速に脆弱性対応をすることが求められるようになってきている。対策の基本は、脆弱性修正プログラムを適用することである。しかし、大規模なシステムにおいては、脆弱性修正プログラムを適用することも、脆弱性修正プログラムを適用したときに副作用がないかを短期間に確認することも簡単ではない。  本問では、セキュリティ運用を題材に、組織に適した脆弱性修正プログラムの配信手順及び関連知

eviosJoe

    • 【2021年春期】情報処理安全確保支援士 午後I試験【問2】

      【出題趣旨】  昨今、DoS攻撃を始めとするサイバー攻撃は増加しており、DNSを含めたネットワークセキュリティの重要性が増している。一方で、DNSサーバには、まだ適切に対策が施されていないものも多く、サイバー攻撃を受けるケースが増えている。  本問では、ネットワークのセキュリティ対策を題材に、DNSのセキュリティ対策における基本的な知識、及びDNSを適切に設計する能力を問う。 問1(1) A社の外部DNSサーバがサービス停止になった場合、公開Webサーバへの影響を回答す

      eviosJoe

      • 【2021年春期】情報処理安全確保支援士 午後I試験【問1】

        【出題趣旨】  昨今、ソーシャルログインが普及してきており、その中でもOAuthを用いたものは様々なWebサービスで利用されている。Webサービスにおける認証機能の開発において、OAuthを理解し、セキュリティ上の考慮点を踏まえた設計を行うことが欠かせないものとなってきている。  本問では、認証システムの開発を題材に、OAuthを用いたソーシャルログインの実装、及びそのセキュリティに関する理解力を問う。 問1(1) Sサービスに多要素認証を導入せず、Tサービスとの連携の

        eviosJoe

        • 【2021年秋期】情報処理安全確保支援士 午後I試験【問3】

          【出題趣旨】  組織内のサーバは、インターネットから直接攻撃できないという理由から、DMZのサーバと比較し、情報セキュリティ対策が不十分なままになっていることがあるが、そのことによってセキュリティインシデントの被害が拡大することも少なくない。  本問では、組織内のPCのマルウェア感染をきっかけとした、情報漏えいの有無の調査並びにファイアウォール及びサーバ設定の見直しを題材に、調査能力及びサーバの設計能力を問う。 問1(1) マルウェア感染が疑われる場合の初動についてです

          eviosJoe

          【2021年秋期】情報処理安全確保支援士 午後I試験【問2】

          【出題趣旨】  昨今、利用者のミスによる情報漏えいのほか、内部からの意図的な持ち出しや外部からの攻撃者の侵入など、様々な要因で秘密情報が外部に漏えいするリスクが高まっている。  本問では、設計文書の管理における問題の調査及びIRM(Information Rights Management)の導入を題材に、情報漏えいリスクを特定し、適切に対策する能力について問う。 問1 模範解答は以下となります。 a = "パスワードの変更"      "再暗号化" b = "PCに

          eviosJoe

          【2021年秋期】情報処理安全確保支援士 午後I試験【問2】

          eviosJoe

          【2021年秋期】情報処理安全確保支援士 午後I試験【問1】

          【出題趣旨】  サイバー攻撃の被害拡大防止のためには、ID管理、ネットワークフィルタリング、ログ管理などの複数の対策で対処する必要がある。  本問では、リモート保守のセキュリティインシデント対応をきっかけとした、被害範囲の調査並びにSSHサーバ及びファイアウォール設定の見直しを題材に、ログ及び認証・認可といった複数の対策を組み合わせての設計能力について問う。 問1(1) *フィンガプリントは公開鍵のハッシュ値です。 SSH接続をした際にエラーとなるのは問題文中にもある

          eviosJoe

          【2021年秋期】情報処理安全確保支援士 午後I試験【問1】

          eviosJoe

          【2022年春期】情報処理安全確保支援士 午後I試験【問3】

          【出題趣旨】  近年、スマートフォンを用いた決裁において不正利用事件が多発している。IPAが公開している"情報セキュリティ10大脅威"の個人部門では"スマホ決裁の不正利用"が2020年度、2021年度で1位となっており、サービス提供者による対策が望まれている。  本問では、スマートフォン向けQRコード決裁サービス用プログラムの開発を題材として、不正利用が発生するリスクとサービス提供者での対策について、セキュリティの観点での対応力を問う。 問1 国語の問題ですね。 問題文

          eviosJoe

          【2022年春期】情報処理安全確保支援士 午後I試験【問3】

          eviosJoe

          【2022年春期】情報処理安全確保支援士 午後I試験【問2】

          【出題趣旨】  IoT機器の普及に伴い、利用者が専門知識なしに容易に機器を設置できるようになる中、開発者がセキュリティを考慮していなかったり、利用者が脆弱性修正プログラムを適用していなかったりするケースが増えている。  本問では、ルータやNASを題材として、IoT機器のインターネット接続に使われる技術、仕組みを理解するとともに、脆弱性を作り込んでしまうことの多いWeb機能について、セキュリティの観点から正しく実装する能力を問う。 問1(1) DNSレコードに関する問題で

          eviosJoe

          【2022年春期】情報処理安全確保支援士 午後I試験【問2】

          eviosJoe

          【2022年春期】情報処理安全確保支援士 午後I試験【問1】

          【出題趣旨】  システム開発においては、要件定義からテストまでの全てのプロセスでセキュリティ対策が必要であることは広く認識されている。一方で、アクセス制御における設計上の考慮不足や実装の不備による情報流出の被害事例が後を絶たない。たとえアクセス制御が単純なものであっても、問題が発生しているのが現実である。  本問では、情報共有用Webアプリケーションプログラム開発のセキュリティ対策を題材として、システム開発の設計、実装、テストの各プロセスにおける脆弱性の分析及び修正に関わる

          eviosJoe

          【2022年春期】情報処理安全確保支援士 午後I試験【問1】

          eviosJoe

          【2022年秋期】情報処理安全確保支援士 午後I試験【問3】

          【出題趣旨】  OSSを用いたソフトウェア開発が一般化している。一方、悪意あるプログラムや脆弱性をもつプログラムがOSSに混入する可能性が高まっている。事実、情報セキュリティ10大脅威2022の"組織"向け脅威にサプライチェーンの弱点を悪用した攻撃やゼロデイ攻撃がランクインしている。そこで、そのような事象の想定したインシデントハンドリングの体制及び手順を検討しておくことは重要である。  本問では、オンラインゲーム事業者でのセキュリティインシデント対応を題材に、インシデントハ

          eviosJoe

          【2022年秋期】情報処理安全確保支援士 午後I試験【問3】

          eviosJoe

          【2022年秋期】情報処理安全確保支援士 午後I試験【問2】

          【出題趣旨】  日々発見される新たな脆弱性に対し、運用者が脆弱性の影響を確認し、必要な対策を行うことは重要である。しかし、全ての脆弱性が攻撃者より早く発見され、運用者が必要な対策を行えるとは限らないので、攻撃者が未修正の脆弱性を悪用するリスクについても考慮しておく必要がある。  本問では、ソフトウェアの脆弱性に起因するセキュリティインシデントへの対応を題材に、攻撃者の痕跡を調査し、影響を把握する能力及びセキュリティ侵害を前提とした適切なアクセス制御を設計する能力を問う。

          eviosJoe

          【2022年秋期】情報処理安全確保支援士 午後I試験【問2】

          eviosJoe

          【2022年秋期】情報処理安全確保支援士 午後I試験【問1】

          【出題趣旨】  製品開発においては、設計・開発時に十分なセキュリティ対策を行うことが重要である。脆弱性単体では発生し得る被害が小さいように見えたとしても、他の脆弱性と組み合わせられることで、より大きな被害が発生することもある。  本問では、IoT製品の開発を題材に、開発者として脆弱性単体だけでなく、複数の脆弱性の組合せによって生じるリスクを特定する能力、及びアプリケーションプログラムのセキュリティ対策を策定する能力を問う。 問1(1) 知識の問題です。 DNSの応答を偽装

          eviosJoe

          【2022年秋期】情報処理安全確保支援士 午後I試験【問1】

          eviosJoe

          【2023年春期】情報処理安全確保支援士 午後I試験【問3】

          【出題趣旨】  昨今、オンプレミスシステムと比較した拡張性や運用性の高さから、クラウドサービスの導入が進んでいる。一方、クラウドサービスを安全に運用するためには、セキュリティ対策を十分に検討する必要がある。  本問では、クラウドサービスの導入を題材として、与えられて要件に基づいてネットワーク構成及びセキュリティを設計する能力を問う。 問1(1) まず、最終的にサービスの応答を受け取り、サービス応答をするのは"PCのWebブラウザ"です。サービス要求を受けるのは"SaaS-

          eviosJoe

          【2023年春期】情報処理安全確保支援士 午後I試験【問3】

          eviosJoe

          【2023年春期】情報処理安全確保支援士 午後I試験【問2】

          【出題趣旨】 Webアプリケーションプログラムのライブラリの脆弱性に起因する不正アクセスが依然として多い。  本問では、ライブラリの脆弱性に起因するセキュリティインシデントを題材として、不正アクセスの調査を行う上で必要となるログを分析する能力や攻撃の痕跡を調査する能力を問う。 問1 FTP(TCP:20,21)にはアクティブモードとパッシブモードがあります。 ◆アクティブモード クライアントの接続要求(Port:21)に対し、 サーバ側からクライアントに接続(Port:

          eviosJoe

          【2023年春期】情報処理安全確保支援士 午後I試験【問2】

          eviosJoe

          【2023年春期】情報処理安全確保支援士 午後I試験【問1】

          【出題趣旨】 Javaで実装されたWebアプリケーションプログラムに対して、ツールによるソースコードの静的解析やセキュリティ観点からのシステムテストの実施はセキュリティの不備を発見するのに有効である。  本問では、Webアプリケーションプログラム開発を題材として、静的解析やシステムテストで発見されたセキュリティ上の不具合への対処を踏まえたセキュアプログラミングに関する能力を問う。 ※※※※※ Javaの経験がない方は問答無用で選択肢から外してください ※※※※※ 問1(1

          eviosJoe

          【2023年春期】情報処理安全確保支援士 午後I試験【問1】

          eviosJoe

          【2023年秋期】情報処理安全確保支援士 午後試験【問1】

          【出題趣旨】 脆弱性を悪用されたインシデント発生時の対策立案においては、影響度の把握や適切な対策検討、及び優先度決定のため、どのような脆弱性がどのように悪用されたかを理解した上で対応を検討する必要がある。  本問では、Webアプリケーションの脆弱性を悪用されたことによるインシデント対応を題材に、HTMLやECMAScriptから悪用された脆弱性と問題点を読み解き、対策を立案する能力を問う。 問1(1) 正解はイ:格納型XSSです。 それぞれの特徴を確認してみましょう。

          eviosJoe

          【2023年秋期】情報処理安全確保支援士 午後試験【問1】

          eviosJoe