【登録セキスペ】令和6年春午後問2の解説(情報処理安全確保支援士試験)
このNoteでは「セキスペR6春午後問2」の解説をします。
最新問題なので、試験1ヶ月前後からの演習をお薦めします。それまでは旧セキスペの午後1問題を解き倒してください。
>SCR05春PMI問2解説Note
>SCR05春PMI問3解説Note
>SCR04秋PMI問2解説Note
>SCR04秋PMI問3解説Note
>SCR04春PMI問2解説Note
>SCR04春PMI問3解説Note
やはりネットワーク系の問題は。解き易く高得点が狙えるな、という印象でした。私の場合はネットワークで合格点以上を稼いで、もう1問が合格点を万が一下回ってもフォローできるようにしたいです。
今回はファイアウォールの設定や通信経路の理解はしない問題なので少し不安でした。しかし各機器の設定の見直しは王道的な印象でした。
私はネットワーク系問題が崩れると合格も難しくなってくるので、過去問でしっかりと鍛えて、本試では確実に点数を積み重ねていきたいす。
このNoteは、私が独学97点合格した経験と、IT専門学校での授業のノウハウで書いています。合格のお手伝いに少しでもなったら嬉しいです。
それでは始めましょう!
設問1(1) | 段階的に作文する
模範解答は、「公開Webサーバ、取引先向けWebサーバを攻撃対象に、HTTP GETリクエストを繰り返し送る」
表4-4のHTTP GET Flood攻撃は、HTTPで接続するサーバに行われます。よって、公開Webサーバと取引先向けWebサーバ。
設問文に「H社での攻撃対象を示して」なので、「公開Webサーバと取引先向けWebサーバを攻撃対象に」と作文できます。
あとは「HTTP GET リクエスト」を作って、表4-1のUDP Floodの「大量に送り付ける」を使ってみます。
「公開Webサーバと取引先向けWebサーバを攻撃対象に、HTTP GETリクエストを大量に送り付ける」49文字。特に文字制限ないようなのでOKでしょう。
HTTP GET 「リクエスト」が出てこなかった場合は、「HTTPのGETメソッドによる要求」とか「問い合わせ」とかで良いでしょう。
設問1(2) | 生体認証で学んだ書き方の王道
模範解答は、「正常な通信を異常として検知してしまう」。
閾値とは判断の基準値のこと。例えば基準値より高ければ以上、低ければ正常と判断するなど。
閾値が高すぎる/低すぎることによる弊害は、生体認証でも良くありますよね。FARとFRRの話。閾値を低くすると他人を本人と判断してしまい(FAR)、高くすると本人ですら他人と判断される(FRR)話。>生体認証の解説Note
今回のIPSでは、DDoS攻撃による大量パケットを防ぎたい話。通信量が多すぎれば異常と判断したいです。
よって、下線①「しきい値が低すぎる」と、ちょっと通信を多く送っただけで「ダメです!」と拒否されます。
私の解答は「正常な通信を異常と判定してしまう」16文字。この解答は書き慣れといてください。
設問1(3)ab | 2つのDNSサーバ
正答は、b:DNS-K、c:DNS-F。
この対応は、最初に図1を見た時点で気づいていました。
図1のネットワーク図には2つツッコミ所があります。
DNSサーバが1つ。外部DNS(DMZ)と内部DNS(社内LAN)に分けるのが理想。しかも注意書きで「権威DNS」と「名前解決を行うフルサービスリゾルバ」を兼ねるとわざわざ書いてます。
メールサーバが1つ。外部メールサーバ(DMZ)と内部メールサーバ(社内LAN)に分けるのが理想。
サーバの配置については、>12サーバの配置まとめNote をどうぞ。ネットワーク図を見ただけで、問題点を一発で見つけます。
DNSサーバは2つの機能があります。
権威サーバ:管理下にあるサーバのIPアドレスを教えてあげる。外部にも内部にも答えます。よってDMZに配置。例えば「貴社のWebサーバのIPアドレスは?」に答えます。
フルサービスリゾルバ:インターネットにアクセスするときにIPアドレスを教えてあげます。知らなかった時(キャッシュにない時)は、調べに行きます(再帰的問い合わせ)。内部のPCのみに対応します。外部のPCに対応するとDNSリフレクション攻撃に悪用されてしまいます。キャッシュサーバとも言われます。
まとめると、権威サーバはDMZ、フルサービスリゾルバ(キャッシュサーバ)は社内LANに配置。
bについて。問題文より「インターネットから社内へのDNS」なので、社のWebサーバなどを答える権威サーバ(DNS-K)。
cについて。問題文より「社内からインターネットへのDNS通信」は、インターネットのDNSサーバに問い合わせをしてIPアドレスを調べにいく通信なので、フルサービスリゾルバ(DNS-F)。
他にもSCではDNSSECプロトコルもしばしば話題になります。>DNSSECの解説Note
設問2(1)de | フィッシングによるログインは良く出題される
模範解答は、
d:攻撃者が、正規のVPNダイアログに利用者IDとパスワードを入力すると、正規利用者のスマートフォンにセキュリティコードが送信される
e:正規利用者が受信したセキュリティコードを、罠のWebサイトに入力すると、攻撃者がそれを読み取り、正規のセキュリティコード入力画面に入力することで認証される
VPNダイアログには、IDとパスワード、そしてセキュリティコードを入力しなければログイン成功しません。
よって、攻撃者が偽サイトでセキュリティコードも入手して、VPNダイアログに追加入力する旨を書けば良いです。
私の解答は以下の通り。dとeの区切りはずれても正答になると思います。
d:攻撃者が偽サイトで窃取したIDとパスワードを、すぐにVPNダイアログに入力し、VPN-Hから利用者にセキュリティコードが送信され、利用者に偽サイトに追加入力させる
e:偽サイトで窃取したセキュリティコードをVPNダイアログに追加入力する
設問2(2) | 身近な注意喚起文を参考に
模範解答は、「認証情報の入力は、受信したメール内のURLリンクをクリックして起動した画面に行わず、VPNダイアログにだけ行う」。
問題文にヒントがないので、勝手に書いて良いです。
私の解答は「VPN-HからログインダイアログにアクセスするURLを付記した通知メールは送ることはない旨の注意喚起を周知する」文字数制限がないので良いでしょう
これはフィッシング詐欺における銀行などからの注意喚起で見たメールが思い当たったので作文した解答。
銀行を装ったメールに、偽サイトへのURLが載っていて、利用者にクリックさせて偽サイトにIDとパスワードを入力させる手口がありますから。
設問3(1) | どうすれば正しい通信だと思われるか
模範解答は、「盗聴したパケットと同じ順番に通信要求を送信する」。
私の解答は「送信先ポート番号から正しい順番を知ってから通信要求する」26文字。
設定Pは、問題文より「あらかじめ設定されている順番にポートに通信要求した場合だけ所定のポートへの接続を許可するという設定」でした。
よってパケットを盗聴して、送信先ポート番号を見れば、どんな順番なのか分かると考えました。正解でしょう。
設問3(2) | 対策できる本質は何なのか
模範解答は、「SPAパケットはユニークであり、同じパケットを再利用すると破棄されるから」。
ノーヒントというか書き方にすごく困りますね。
設問文に「突破されないのはなぜか」は、表6の「破棄される」のお陰です。
破棄される理由は、
項番1:ワンタイムパスワードを検証して、ダメなら破棄
項番2:ランダムデータを検証して、ダメなら破棄
項番3:先行フィールドのハッシュ値を検証して、ダメなら破棄
1のワンタイムパスワードと、2のランダムデータは、とても攻撃者には作れそうにありません。
3のハッシュ値はできそうですが、どのハッシュ関数を使うかを特定しないと当面できないです。
つまり真似できない。仕組みを知っていないで箱をコピペしても通らない。ゼロから作れない。そんな本質です。
私の解答は「SPAの検証が成功するパケットを、攻撃者がゼロから生成困難だから」32文字。
少し弱い感じがしますし、理解してなくても書ける感じがします。でも「本番だったらこれぐらいが限界かなぁ」と思います。あとはお祈りします。
設問4(1) | わざわざ無効にしてるなら、有効にするはず
模範解答は3つ提示されています。
たぶん一番良い解答は、2番目のクラウド型FWかな。今問題になっているのは、通信帯域とFWの負荷なので。
DDoS対策機能を優位するCDNサービス
クラウド型ファイアウォールサービス
ISPが提供するDDoS防御サービス
ノーヒント問題で、こちらが勝手に想像して書いて良いです。
下線⑤の意図は、DDoS攻撃の大量通信をどう耐えるか・遮断するかということ。
私の解答は、ちょっとキビシイのですが「クラウドによるWebサーバとDNSサーバ」20文字。そもそも自社回線に不安があるなら、全部クラウドにして外部に投げちゃえという意図です。
問題文を読んでいる時に、表1UTMと表2VPN-Hの機能で、わざわざ「無効」にしてるので、いつか有効にするだろうな、と思っていました。
でも表1のIPS, WAF、表2の多要素認証機能も有効にしたので、使っていない機能はありません。なので「ノーヒント問題だな」と判断しました。
設問4(2) | 接続端末の絞り込みは何度も何度も出題されてる
模範解答は3つ提示されています。
一番良い解答は1番目「取引専用PC」絡みです。
取引専用PC以外からの通信は取引先向けWebサーバに到達しないから
UTMの設定変更によって、ボットネットからの通信が遮断されるから
UTMの設定変更に伴って、外部からの接続対象サーバではなくなったから
取引専用PCを設けるので、取引専用PC以外から取引先向けWebサーバにはアクセスさせる必要はなくなりました。
私の解答は「取引向けWebサーバへのアクセスが取引専用PCに限定されるから」31文字。
まとめ
お疲れ様でした!
攻撃手法も作文も過去問演習をしっかりしていれば、「ああやったなこれ」「こんな解答だったな」と、初見ながらすんなり答えられる問題ばかりでした。
注意喚起も色んな別解があり得ますし、日頃のメールを見てれば答えられました。
ぜひ「情報セキュリティスペシャリスト」に合格してくださいね。
\私の3ヶ月の学習履歴/
p.s. 普段は >> 専門学校とIT就職のブログ << をやってます。
でわでわ(・ω・▼)ノシ
この記事が参加している募集
学習方法・問題特集のNoteは全て無料提供を続けます▼ もしご覧になったNoteが有益だったり、私の志に共感されたりしましたら、サポート頂けますと励みになります▼ もちろんコメントでも結構です(・ω・▼)ノシ