【登録セキスペ】令和3年秋午後1問2の解説(情報処理安全確保支援士試験)
このNoteでは「セキスペ令和3年秋午後1問2」の解説をします。
離任者の権限管理がメインテーマ。よく出題されます。
設問も無茶ぶりはなく、問題文から探したり、計算問題も用語問題も基礎レベル、過去問で頻繁に見た解答も流用できました。
総じて、過去問演習で幅広い基礎固めができていれば高得点が狙える問題でした。もし点数が取れていなかったら、どうやって正解を書くべきだったかの経緯を確認してみてくださいね。午後力が高まりますから。
私はSCPMIIを97点で独学合格し、IT専門学校で授業しています。このNoteには、授業で教えていること以上の情報を詰め込みました。
一所懸命に作ったので、信頼して下さったら嬉しいです。
それでは始めましょう!
設問1a | これかなぁこれしかで踏み込む
模範解答は「Pパスワードの変更」
初見正解はできます。
ただし「これかな」と思うぐらいの自信度。「序盤なので、難しい解答でもないはずなので」と考えて踏み込むしか。
誘導が下手な問題だなと思いました(私の見落としだったら、すみません)。
8頁にて。ファイルが保存される「ファイルサーバ」「クラウドストレージサービス」では、プロジェクト単位でディレクトリを分けてアクセス管理をしている旨が書かれています。
プロジェクト離任者が出た場合、離任者のアクセス権を削除すれば対応できます。ファイルのパスワードを変えなくても、そもそもファイルが入手できない、と考えたのでパスワードの変更に自信が持てませんでした。
また、離任前にPCなどにファイルをコピーした場合、サーバ上のファイルのパスワードを変えても意味がありません。旧パスワードで開けますから。
もしWソフトがネットワーク接続を前提で、入力パスワードをサーバへ確認を取る形態だったら、パスワードを変更するのは分かります。その方がPCに保存したファイルも保護できますし理想的だなと。
しかし、Wソフトのパスワード保護についての記述はありません。そして、次の設問1bの解答で、PCにファイルをコピーすれば離任後も閲覧できる旨が示されてます。ネットワーク経由でパスワードを確認する機能はなさそうです。
以上より、ディレクトリのアクセス制御ができているから、全ファイルのパスワードを変更する手間まで要るのかな、と考えて「パスワード変更だろうな」と思いつつも、なかなか自信を持った解答ができませんでした。
空欄にはしないので、思い当たったことで、問題文に書かれていることを書きましょう。
設問1b | 今後も使える解答カード1
模範解答は「PCにコピー」
「R社の規則に反して【空欄b】した~」なので、規則を問題文から探しましょう。
8頁にたっくさんありますね。要約すると3点。
Wソフトを使って暗号化する
ファイルサーバに保管「だけ」に保管する
R社と協力会社T社の秘密協定
利用者が違反するとしたら暗号化とファイルの保管の2点。
離任後はサーバ(のプロジェクトディレクトリ)にはアクセスできないでしょうから、ローカル(PC)に保存するが解答になります。
セキュリティは結局、人の不正は完全には防げません。
最悪、画面を撮影したり、メモされたりしたら漏えいはします。●●攻撃みたいなテクニカルだけじゃなく、泥臭いやり方も視野に入れると何かしら解答できますよ。
なお想像ですが、暗号化はWソフトが自動でやってくれる気がしたので、暗号化せずに保存って規則違反はできない仕組みかも。
設問2(1) | Linux知識と併せて
アカウント:ア, イ
操作:プロジェクト離任者の利用者アカウントをグループから削除する。
初見正解できます。
下線①「(IRM-Lでは)簡単な操作でプロジェクト離任者による~参照を禁止できる」から、IRM-Lの参照(閲覧)をどうアクセス管理しているかを調べます。
図1。4に「参照」があります。2より、グループを作成し、グループ単位に権限を付与するシステムですね。
では、2のアカウント。3種類(利用者, グループ管理者, IRM管理者)があります。
グループ管理者:利用者を「自」グループに参加させたり削除したり
IRM管理者:全体の設定。「(全てのグループについて)グループ管理者アカウントと同等の権限をもつ」。
以上より、グループ管理者が自グループなら設定でき、IRM管理者なら全グループへ設定できると分かります。
作文は、問題文を流用しましょう。
図1の2より「利用者アカウントを~グループから削除」が使えます。模範解答では「利用者アカウント」を明確にするために、「プロジェクト離任者の」を加えています。
作文では「プロジェクト離任者」「グループ削除」の2つは必須。「利用者アカウント」も必須ですが、もし抜けててもギリOKかなと。今後は以上3つが揃っている解答が書けるようになって下さいね。
さらに補強。
権限を付与するLinuxコマンドは「chmod」。利用者単位でもグループ単位でも設定できます。
旧SC終盤(令和)には、午後1にLinux系問題が常連してきたので、新SCでも出てくるようになると、私は考えています。まとめておいたので、対策をお願いしますね。>セキスペで出たLinux基礎Note
設問2(2)
正答は「(ii)」
必ず正解してください。
図1の5(ii)に「利用者アカウントがファイルに対する権限を持っている場合」とあります。離任者の権限をはく奪すれば、権限がないので、(ii)の権限確認で弾かれます。
補強 | ファイルの暗号保護と復号を図解
まず、IRMサーバとクライアントをインストールした時の動作。
お互いに鍵ペアを作って準備完了。サーバ公開鍵は後で送っても良いですが、毎回同じのを使うので、最初に渡しておくみたいですね。
ファイル保護の手順。
クライアントが、ファイルを暗号化する「コンテンツ鍵」を生成して、サーバ公開鍵で暗号化。コンテンツ鍵はサーバ秘密鍵でしか復号できません。
ファイルへの権限は、クライアントが設定します。自分で作成したファイルですから、設定してOKです。
暗号化済みファイルのハッシュ値を送るのは、次に復号するファイルを特定するためです。全然無関係のファイルのコンテンツ鍵を送るわけにはいきませんから。
では、ファイルを復号する時。
暗号化済みファイルをサーバからダウンロードした後の話。
クライアントは、暗号化済みファイルからハッシュ値を作り送ります。サーバは、送られてきたハッシュ値と、保管していたハッシュ値を比較して、ファイルを特定します。
利用者IDとファイル権限(前図の「権限の設定値」)を見て、復号すべきか判断します。
ファイルを復号する鍵を送ります。
暗号化済みコンテンツ鍵は、サーバしか復号できません。クライアントが復号できるように、暗号化し直してます。
暗号化済みのコンテンツ鍵と、暗号化済みのファイルが揃ったので、復号作業を進めます。
複雑に見えたと思いますが、図解で少しでも理解が進んだら嬉しいです。
ポイントは、どちらが何の鍵を持っているか。秘密鍵は自分しか持ちませんし、公開鍵は他人に渡す用。通信経路で秘密にしたいないら、受信者の公開鍵で暗号化して送る。これらはIパスやFEの基礎知識のままです。>【Iパス】公開鍵と秘密の鍵Note
設問2(3)c | 計算問題を捨てない
正答は「60」
必ず正解してください。
計算が苦手かもですが、SCは高度資格。捨て問にするわけにはいきません。用語問題は知らなければ失点確実ですが、計算問題は四則演算で頑張れるので。
文字種64個、長さ10文字なので、全パターン数は64を10回掛けっ算します。つまり、64の10乗。
$$
64^{10}=(2^{6})^{10}=2^{60}
$$
指数計算は「Aのn乗とは、Aをn回掛け算する」だけで、全て求まります。基本情報技術者対策としてまとめました>【FE】指数計算は1つだけ覚えれば全て解ける!Note
設問2(3)d | 情報を全て使うわけではない
正答は「196」
難しい問題でした。提示した情報全てを使うわけでない点が、タチ悪いですよね。
図2を見ます。
Wソフト
鍵を当てれば復号できる。計算量は2の256乗。
鍵を作るパスワードを当てれば、鍵を作って復号できる。計算量は2の60乗(設問2(2)c)
以上より、パスワードを当てる方が手間が少ない
IRM-L
鍵を当てれば復号できる。計算量は2の256乗。
鍵を暗号化する鍵(IRM公開鍵)を当てても無意味。暗号化された鍵を復号するのはIRM秘密鍵。そもそも公開鍵なので手軽に入手できますし。
以上より、コンテンツ鍵を特定するしかない
Wソフトは2の60乗、IRM-Lで使うコンテンツ鍵は2の256乗なので、256-60=196乗。>【FE】指数計算は1つだけ覚えれば全て解ける!Note
ややこしい話でしたね。
設問2(4)e
正答は「辞書」攻撃。
初見正解できます。
「長さが10文字」でも「推測が容易なパスワード」なので、名前とか意味ある単語が思い当たります。
セキスペに出たあらゆる攻撃手段をまとめたので、ブクマ及び試験直前での復習に役立ててくれたら嬉しいです。パスワードクラックは勿論、DoS攻撃やマルウェアまで全て集めた決定版。>セキスペにでた73個の攻撃Note
設問2(5)f | 今後も使える解答カード2
正答は「多要素認証」
問題文の話の流れからは想像しにくい解答でしたね。平成20年代によく解答になったイメージが強いです。久々。
IDとパスワードさえ知っていれば管理者アカウントにログインできるのが問題なので、パスワード以外の認証も取り入れましょう、という話。
親切な問題だと、IRMの仕様・機能が書かれていることが多いです。たぶんPMIは頁数が限られているし、メインテーマが暗号鍵だったからと思います。PMIIなら使わない機能まで載せてくれますよ。
別解
「2要素認証」は正解です。「2段階認証」「多段階認証」は、正解寄りとは思います。ただ、段階認証を思いついたなら、要素認証も思いついて欲しいところでしょうか。
多分ですが、別解が認められると思います。問題文に認証機能が具体的に書かれていないので、筋が通れば大丈夫かと。文字数も10文字ですから、幅を持たせているように思えます。
2つ例を挙げて見ます。
トークン
USBに指していることで認証させたり、ワンタイムパスワードを発行させたり。そもそも多要素認証の1つですし。クライアント証明書
正当な端末である証明。管理者PCに予めインストールしておく必要あり。
特にクライアント証明書は、セキスペ御用達。アクセス元を絞りたいときの解答に困ったら使ってみてくださいね。
設問3 | 今後も使える解答カード3
模範解答は「利用者がファイルを開いたとき、画面をキャプチャし、攻撃者に送信する動作」
初見正解はキビシイです。ただ、よく解答で見ます。
今後にすごく使える解答なので、カードとして持って置いてくださいね。無茶ぶりノーヒントと感じたかもですが、実は王道。今までの過去問で何度も出ています。
例えば、シンクライアント(今ならVDI)にして、端末をアプリやデータを保存しなくても、結局はスクショされれば終わりです。
究極には、画面をスマホなどで物理的に撮影したり、人間がメモすれば終わりですよね。
「画面をキャプチャする」「画面を撮影する」は、解答カードとして持って置いてくださいね。困ったら使いましょう。「過去問の模範解答を×にできるもんなら、やってみろ!」と。
まとめ
お疲れ様でした!
離任者の権限管理は、よくある問題でした。
今回問われませんでしたが、離任者の権限変更を「月末に処理する」などはダメな例。離任してから月末まで、離任者がアクセスできちゃいますから。権限変更は迅速に行います。昔の過去問で見ました。
あとは、ローカルにファイルをコピー、画面をキャプチャや撮影されたら、セキュリティ対策しても無駄なのも分かりましたね。セキュリティできない例としてよく出てきます。
解いて思い返せばの話ですが、初見ではなかなか思いつかないけど、過去問で出てきたので復習してれば思いつくし、今回失点しても今後も使える解答カードをゲットできた、実りがある問題だったかなと。
ぜひ「情報セキュリティスペシャリスト」合格してくださいね。でわでわ。
\私の3ヶ月の学習履歴/
いいなと思ったら応援しよう!
