【SCR04春PMI問3解説】令和04年春午後1問3(情報処理安全確保支援士試験)
このNoteでは「セキスペR04春午後1問3」の解説をします。
各問題にて「どう正解に至るか」解説と別解
身の回りを日頃からセキュリティ観察して欲しい
今回の問題は別解がものすごく多いです。
記述式では別解は認めらえます。なぜなら私がPMII97点取ったときに明らかに模範解答と違う解答を書いていたから。
さらに対策テキストの知識だけでなく、日頃からIT・PC・スマホをただ使っているだけでなく、セキュリティ的な観点で観察しておくと、かなりアドバンテージが稼げる問題でした。
以上を詰め込んだので、ぜひ読んで頂けたら嬉しいです。
それでは始めましょう!
設問1 | 「同じ言葉」を探す
正答は、イ(アカウント作成)、ア(Qサービスへのログイン)。必ず正解してください。
身元確認:登録する氏名~が正しいことを証明確認すること
当人認証:認証の3要素の~その人が作業していることを示すこと
設問2(1) | クオリティのジレンマ
模範解答は例として2つ。
漏えいしている口座番号と暗証番号を悪用する方法
口座番号と暗証番号をだまして聞き出し、悪用する方法
どちらでも良いですし、色んな書き方があります。
私は難しく考えすぎてしまいました。
全然ヒントがないんですよね。「口座番号と暗証番号知ってればできるやん」として思えなかったです。
大事なのは「口座番号」「暗証番号」と悪用すること。「方法」が問われているので入手する手法も。「挙げ」は例示と捉えて良かったようです。
別解は色々ありそう。「覗き見た」「キーロガー」などを用いて悪用する旨で正解になりそうです。
とはいえそこじゃないですよね。
「何だよう!名前のついた攻撃手法だと思ったのに」「表1の仕様に基づく攻撃パターンだと思ったのに…」と、より高度な解答を求められていると私も思いました。
ずっと「口座番号と暗証番号さえあれば不正利用できるようなぁ」と思って悩みました。
とはいえ、しばしばこのような「なーんだ!」「くだらない」と思う模範解答があります。
昔炎上したことがあります。
平成23年春午後1問3設問2「貸与PCの安全な持ち運びに関する注意点を15文字以内で具体的に述べよ」。模範解答は「移動中は肌身離さず持つ」。
私も過去問演習で「鍵付きアタッシュケースに入れ~」とか「チェーンをつけて手首と~」などを考えて、解答みて(θωθ)となりました。
試験当時の案の定ネットをみたら炎上してました。「じゃぁパンツの中に入れるって解答でもOKだな!」と。
なかなか解答のヒントが見つからない時、思いつかないときは、意外とシンプルな解答、水増し解答をしてみても良いのかもしれませんね。
少し話が違いますが「クオリティのジレンマ」に似ています。
「女の人が好きなものを100挙げよ」という課題が出た時「花・イケメン・・・」と大分類で挙げても良いですが段々キツクなります。「チューリップ・バラ・パンジー・桜・・・」とまず花の具体名だけ、次にイケメンの名前を、とすると100いけそうですよね。
問題文をしっかり観察して、深読みしても分からない時は、時間も押しますしとりあえず不正解じゃなさそうな思いついたことを書いておきましょう。
設問2(2) | 分からないときこそシンプルに
正答は「写真」。
「こんなに単純で良いのかなぁ」と思いつつも賭けるしかないですね。
タチが悪いのは二番目に「容貌の画像」と書かれている事。とはいえ、本人確認書類でなんたら付きって写真しか思いつかないので賭けるしかないです。
一人暮らしをしていると、本人確認が必要な時がありますよね。
運転免許証が一番優秀。
パスポートも良いけど持ち歩きたくないし、学生証は写真あるけど住所ないから不十分で公共料金の請求書と合わせ技一本にするなど面倒な思いをされた方もいらっしゃるかと。
設問2(3) | FEの段階で電子証明書の理解は完璧に
正答は、d:ウ(秘密鍵)、e:イ(公開鍵)。必ず正解してください。
デジタル署名するのは送信者の「秘密鍵」ですし、署名を検証するのは送信者の「公開鍵」です。
APまで合格されたので不要とは思いますが、>デジタル署名の解説Note(IP, FE)
あと送信者の公開鍵を保証する電子証明書(デジタル証明書)も。
デジタル署名と同じで、認証局の秘密鍵で証明書発行して、認証局の公開鍵で検証です。
SCでよく出る「ルート証明書」まで必ず理解してください。>ルート証明書の解説Note
設問2(4) | 発行元に確認すること
模範解答は、
署名用電子証明書の有効性 を確認する
署名用電子証明書の失効の有無 を確認する
これは難しいです。
電子証明書なり公開鍵の有効性は、CRL(証明書失効リスト)なりOCSPで確認するのが普通だと思っていました。
ただ「電子証明書の発行元にわざわざ確認しにいくってことは…」と考えて、有効性に考え至るのでしょうか。私は「電子証明書の正当性」としました。
今後電子証明書絡みが出た時に「発行元に有効性(失効の有無)を問い合わせる」ことがあるんだなと、カードとして持っておきましょう。
CRLやOCSPなど認証局(RA, CA, VA)周りは、>PKI構成要素の解説Note へ
設問2(5) | 日頃のSNSやYoutube経験
模範解答は「そのランダムな数字を紙に書き、その紙と一緒に容貌や本人確認書類を撮影」。
これも難しいですね。
私も「これかなぁ」と思って「画像の近くにランダムの数字を手書きしたメモを置き撮影」と26文字。
別解もありそうですが、ちょっと思い当たらないです。NFTのように電子署名付きの画像とかかなぁ(あるとは思います)。
例えば、私の得点の写真。
自分で言うのも抵抗がありますが偽装可能ですよね。手書きじゃないので。
(原版を汚したくないって思いがありますが、別紙に名前や日付を書いて重ねれば良いですね。すみません。)
これらの経験から、最近のアプリならAIの画像認識で免許証と手書き数字を分離認識できるだろなぁ、と推測して解答しました。
このNoteの末尾に日頃から観察できるセキュリティ技術を少しだけ書いておきました。生活をセキュリティ的な視点で見つめ直してみてくださいね。
設問3(1) | 別解がたくさんありそう
模範解答は「スマートフォンを盗まれた場合」。
たぶん別解がたくさんあると思います。
紛失して悪意のある人に拾われた場合(17文字)
置き忘れて悪意のある人に拾われた場合(18文字)
離席中に悪意ある人に操作された場合(17文字)
「スマートフォンを紛失した場合」「スマートフォンを置き忘れた場合」はよくありそうな事象。でも他人に拾われるとは限らないんですよね。どちらも15文字ぐらいで5文字しか余裕がなく書けません。
スマートフォンを削って。「紛失して拾われた場合」「置き忘れて拾われた場合」。10文字なので良さそう。「悪意ある人に」と6文字を加えても20文字制限以内です。
あとあまりないかもですが「離席中に操作された場合」。
設問3(2) | 別解がたくさんありそう2
模範解答は「Qアプリの起動時に、PINコードで利用者を認証する機能」。
PINコードとは暗証番号のこと。
ログイン認証では利用者IDとパスワードだったので(表1より)、もう一度暗証番号で確認を取るとのこと。
「起動時」でなくても「決済や送金手続き前に」でも良いと思います。
「起動時」なら口座残高から全て守れそうですが、「決済や送金手続き前」は口座残高は見れるかもですが経済損失からは守れます。
「もう一度パスワードを入力される機能」でも良いです。ただ、スマホだとパスワードの方が暗証番号より入力が面倒ですね。
実際日常生活で見るパターンでは、決済や送金手続き前の入力が多いですね。
例えば楽天市場。ログインしていても購入履歴を見たり、購入手続きをするときに再度パスワードを要求していきます。
例えば楽天証券。ログインはIDとパスワード。株式などを売買する時に暗証番号を聞いてきます。
ただ、話の流れから気に食わない解答な印象です。
口座番号と暗証番号が盗まれたケースを扱った後に、PIN(暗証番号)を使った解答を答えさせるのか、と。
私の別解は「操作時にカード裏のセキュリティコードを入力する機能」です。
クレジットカードの裏には3桁ぐらいの数字が書かれています。セキュリティコードと言われ、確認する際に追加入力させられることがあります(JCB様のWebページ)。
15頁最後に「キャッシュカードの所持が確認されず、暗証番号で照合されるだけなので」とカード所持の確認の重要性も語られていました。
よってカードを所持しているから分かる裏面コードを解答しました。
ただ、単独のキャッシュカードの裏面に記載があるかが微妙。クレジットカードとキャッシュカードが1枚のカードになっているタイプなら必ず載っています。
でも多分正解にしてくれるかなぁと思います。
設問2(5)の補強 | 日頃からITに触れるのはアドバンテージ
Youtubeの動画、メルカリの写真で、手描きのユーザIDと一緒に撮影した画像を見たことないでしょうか。
また最近。講座解説や利用者登録で、スマフォのカメラで撮って送ったこともないでしょうか。
SCやNWは「机上の資格」である面は否めません。しかし実際に近いログを分析したり、日頃からITに触れニュースを見ているなど、実務者的な問題も出題されます。
日頃からアプリやパソコン、クラウドサービスやAIに触れることは大事です。
例えばリスクベース認証。いつもと違う端末やネットワークからログインしたら確認手順が発生した経験はありませんか?
例えばワンタイムパスワードやマトリクス認証。インターネットやスマホアプリで口座操作をした時に経験はありませんか?
私はNWの時に「格安SIM(MVNO)を調べて契約してて良かったぁ」と思ったことがあります。試験で「SIMカードか!」と閃いたんです。
まとめ
お疲れ様でした!
まずは補強で扱った3点が身の回りになかったかなぁ、と振り返ってみてください。
リスクベース認証:googleへのログイン
ワンタイムパスワード:銀行のアプリ
マトリクス認証:銀行のアプリ
今回の身分証が必要な手続きも是非体験して欲しいですね。一人暮らしの方、社会人の方は、新しく銀行口座や証券口座を開設する時もあるでしょうね。
ぜひ「情報セキュリティスペシャリスト」合格してくださいね。
\私の3ヶ月の学習履歴/
p.s. 普段は >> 専門学校とIT就職のブログ << をやってます。
でわでわ(・ω・▼)ノシ
いいなと思ったら応援しよう!
