【登録セキスペ】令和3年春午後1問1の解説(情報処理安全確保支援士試験)
このNoteでは「セキスペ令和3年春午後1問1」の解説をします。
サービスへの認証(登録, ログイン)がテーマでした。セキスペでは、SSO(シングルサインオン)や、自社サーバをクラウド化した時に、認証情報をどこにおき、どのように認証手続きをするかが問題になります。
今回はSSO寄り。他社サービスで認証を通せば、自社サービスも認証する形態。
オーソドックスな問題だけで7割はいける問題でした。
一方で、なりすまし攻撃と対策は新しい学びでした。「こんな手があるんだな」と是非自分の理解に加えて、今後の発想につなげていきたいですね。
このNoteには、私がが学生時代にSCPMIIを97点で独学合格し、IT専門学校で授業してきた経験で作成しています。少しでも信用してくれた嬉しいです。
それでは始めましょう!
設問1(1) | 設問文の言葉を問題文から探す
模範解答は「多要素認証の実装をSサービス側に用意しなくて良い」。
必ず正解してください。
ぱっと分からなかったら、設問文が「S社の課題に即した」なので、S社の課題が何か、読みましょう。>長文問題を解く6つのコツNote
2頁「その対処が課題であった」の前、「多要素認証にする」と分かります。
あとはS認証と、Tサービスとの連携の違いを調べます。
Sサービス:多要素認証が課題
TサービスとID連携:「S認証モジュールを用いないS会員の登録と多要素認証の実現を目指す」
以上より、多要素認証を導入するには、Sサービスを改修するか、TサービスとID連携するか。Tサービスの線でいくなら、Sサービスの改修は不要なので、模範解答に辿り着きます。
私の解答は「S認証モジュールの改修なしに多要素認証を実現できる利点」27文字。「課題に即して」なので明確に「多要素認証」と書き、「利点」を問うているので文末を「利点」にしました。
ただし「改修後も当面は既存のS会員の認証のために、S認証モジュールも継続して稼働させる」より、多要素認証の課題は完全解決していません。既存会員と新規会員のセキュリティの差が、どんなインシデントを起こしてくるかな、と注意して▼印をしました。>長文を読む6つのコツ(3種類のマーキング)
設問1(2) | 模範解答は言い過ぎでは?
模範解答は「Tサービスの障害時にSサービスを利用できない」。
正解できます。設問文の「可用性の観点での欠点」なので、何かが使えなくなるリスクなんだろうな、と推測できますね。
もしTサービスが停止してしまったら、Sサービスへの多要素認証が出来ません。
私の解答は「Tサービスが停止すると、Sサービスの多要素認証ができなくなる」30文字。Tサービスが停止、多要素認証ができない、があれば良いかなと。
とはいえ、模範解答の「利用できない(ログインできない)」は言い過ぎかなと感じました。会員全員が利用できない、わけではないので。少なくとも既存S会員はS認証モジュールからログインするので使えます。
Tサービス経由で多要素認証ができない時に、多要素認証なしで対応するのかが、問題文には書かれていません。
もし、多要素認証なしでログインできる緊急時対応をしていた場合、できなくなるのは、TサービスのID連携を使った新規会員「登録」だけかなとも。
別解はあり得るかも。「Tサービスが停止していると、Sサービスの新規登録ができない」29文字。
2頁目「ID連携では~新規登録のS会員だけを対象」より、改修後の会員登録はTサービス連携必須。よってTサービス停止時に、新規登録は絶対にできません。
利用(ログイン)ができる/できないかには、敢えて触れません。不正解になるリスクは少しありますが、あたかも「(全員が)利用できない」とも書けません。
設問1(3) | 分からない複数空欄は、同じ解答で点数半分を確実にゲット
a:ア(Sサービス)
b:イ(Tサービス)
c:ウ(利用者)
正解できます。強いて言えば、bとcが利用者なのかTサービスなのか迷うかも。
話の流れは、SサービスがTサービスから利用者アカウント名などを入手したいって話ですね。
「図3に示す権限を【a】に与える」から、【a】がSサービス。SサービスはTサービスから情報(アカウント名)を入手する権限が欲しいです。
「【b】が提供するリソース」は、Tサービス。利用者が提供するリソースとは言わないですし。また「【c】が与えることを拒否」で、了承するか拒否するかの判断は利用者がするでしょうから。
どうしても【b】【c】で迷ったなら、両方ともTサービスにしておくのがお薦めです。勘で2つ当てる/外れるよりも、確実に1つ当てる方が良いかなと。
「点数が半分になって勿体ない」「これが当たれば合格だったのに」と思うかもしれません。しかし、勘で2つとも当てないと合格できない状況になってる方が問題です。「とりあえず片方貰っとくか」「片方外しても合格できる」状況にまで学習を高めてくださいね。
設問1(4) | 図表の言葉との対応を確認
正答は(え)の「認証、権限付与の確認」。
【α】は、与える権限を何にしようかの確認通信なので、(え)の「権限付与の確認」しかないです。
確認のために、一応他の線も考えはします(とはいえ、今回、まったく他の解で迷わないですが)。
正解一発でも消去法でも解が同じなら、心強いですよね。
設問2(1) | 通信は要求と返答のペア
d:ウ(認可コード)
e:ア(アクセストークンの要求)
必ず正解してください。図2と見比べるだけです。
まず【e】は、アクセストークンを受信する前の通信なので、「アクセストークンの要求」。
図2で認可コードの受信・送信と、アクセストークン要求・受信の間には処理がありません。むしろSサービスへの認可コードの送信がないので、【d】は認可コード。
ITの通信は必ず「要求」と「返答」で成り立っています。
コードが送られてくるなら、その前に要求しています。コードを要求すれば、コードが送られてくるか、認証などの前手順が始まってから最後にコードが送られます。
頼んでもない情報が送られてくることはない、と考えてOKです。
設問2(2) | 逆なりすましの発想
アップロード:攻撃者(のアカウント)
ダウンロード:攻撃者(のアカウント)
難しいかは、人に依るかも。私には難しかったです。間違えちゃった。。。
模範解答では、攻撃者のアカウントでログインして得た認可コードを使って、利用者にアップロードさせています。利用者が知らずにとはいえ、攻撃者になりすまししてるなんて斬新ですね。
攻撃者のアカウントでアップロードしたので、攻撃者は好きな時にダウンロードできます。
なお、利用者のアカウントの線も考えます。
Tサービス認証が多要素なので、難しいかな。問題文に詳細はないですが、多要素認証がメールやSNSメッセージで認証番号を送って入力させるだと、攻撃者は情報を入手するのは困難ですから。
ただ、ファイルのアップロード時に、攻撃者のアカウントでログインしてる(いつもと違うアカウントじゃね?)と気づかないもんなのかなぁと疑問もあります。
「似たメールアドレス」など、利用者が異常に気付く場合もあり得るのは、個人的には納得できないです。>ネスペ令和元年秋午後1問1(後日公開*)
設問2(3)
β:(い)「認可の要求」を、S→利用者に出したとき
γ:(か)「認可コード」が、利用者→Sに送られたとき
文章の主語述語に注意すれば絞れます。知らなくても正解できる、ずるいやり方。
話の流れは、なりすましを防ぐこと。
「Sサービスは~【β】を送信する際に~」と図2を見て、Sサービスが送信しているのは、(い)(き)(こ)。終盤の(き)や(こ)で、なりすまし確認なんて今更なので、【β】は(い)。
「Sサービスは【γ】を受信する際に」から、図2を見て(あ)(か)(く)(こ)。(あ)は(い)前なので×。(く)や(こ)は今更ですし、なりすまし防止は利用者との通信で行うので、【γ】は(か)
要は、なりすましを検知できるように特殊な番号を最初に配布しておく。今後も目星になるので、知っておくと良いセンスです。
設問3(1) | マーキングが効く実感
正答は(エ)の「利用者のアカウント名、電子メールアドレスなどの登録情報を取得する権限」。
正解してください。
図3はTサービスに対してできること。「いいね」はTサービス内のコンテンツに対してでき、Sサービス内の「いいね」とは無関係なのに注意。
図2から、Tサービスからはアクセストークンやアカウント名の取得をしています。図3をみると「(エ)利用者のアカウント名~」があるので(エ)で確定。
他は不要なのかも確認。
ア:Tサービス内のコンテンツに「いいね」
イ:Tサービス内の投稿に返信
ウ:Tサービスに代理で投稿
なお、問題文を読んだ時に「図3の権限って不要なの多くね?」と、怪しんで▼印をつけておきましょう。>長文問題を解く6つのコツNote
設問3(2) | 模範解答の言い回しに疑問
模範解答は「S認証モジュールに利用者IDとパスワードを登録していないS会員」。
正解できます。設問1(1)の▼印が効きましたね。
S会員には2種類。改修前に登録した会員、改修後に登録した会員がいます。
下線④前「TサービスとのID連携を一時的に停止し、S認証モジュールだけで認証する」ときは、
既存のS会員:もともとTサービスを経由しないので、S認証モジュールから認証可能。
連携後のS会員:Tサービス経由するので、認証できない。
では作文。
▼印をしてたなら、2頁目「S認証モジュールを用いないS会員の登録と多要素認証の実現」から、「S認証モジュールを用いないS会員」26文字。悪くないんですが、なんか理解してるアピールが足りない気も。
「TサービスとのID連携の導入後に新規登録したS会員」25文字。正解にしてくれると考えます。改修前後に注目して「一部」会員具合が伝わるので。
模範解答は「S認証モジュールに利用者IDとパスワードを登録していないS会員」と、改修前に登録した会員(既存会員)ではない、と逆説的な書き方をしています。
正解で良いのですが、書き方が気になりました。まるで、Tサービス経由で登録した会員も、後からSサービスにIDとパスワードを登録できるような含みを感じます。
設問4 | 問い方が悪い気がする
模範解答は「Tサービスで認証されたS会員のT-IDが、Sサービス内に登録されていることを確認する」。
どう答えれば良いか分からなかったですね。問い方が悪い気がします。
要は、Tサービスの認証結果を信頼している旨を書けば、まずはOK。
私の解答は「Tサービスの多要素認証の認証結果を信頼している」23文字。制限50文字に対して半分なので、もっと具体的な手順なのかなぁと思いますが、次の問題へ行きます。
模範解答を分析します。
「Tサービスで認証されたS会員のT-IDが、Sサービス内に登録されていることを確認する」は、図2の注記を基にしてます。
図2の注記「利用の初回に、~Tサービスから取得したアカウント名(以下、T-IDという)をSサービス内に登録する」「2回目以降~、初回に登録あれたT-IDを確認する」。
以上より提示されたT-IDと、Sサービスに登録しておいたT-IDが同じかを確認して、認証しています。
初見解答はキビシイですね。「今までに使っていない情報あったかな」と見返しても、気づくかは怪しい。
最後の問題で文字数の多い、時間も気になるので、ほどほどに書いて次へ向かうのが良いかなと。
私なら、ひとまず解答を書いて。これまでの手応えが良ければ、時間を前倒ししてでも他の問題に取り掛かります。そして試験の余り時間に再度考えます。
まとめ
お疲れ様でした!
下図の「○」を外してなければ、午後力の基礎は充分育ってます。
一方△は今後取れるようになっておきたい所。時間をおいて2回目の解きで定着具合を確認してみてくださいね。
ぜひ「情報セキュリティスペシャリスト」合格してくださいね。でわでわ。
\私の3ヶ月の学習履歴/
*後日更新予定:
OAuth(Noteあり)
Authorization Code Grant(新規調査)
いいなと思ったら応援しよう!
