【登録セキスペ】令和2年秋午後1問3の解説(情報処理安全確保支援士試験)
このNoteでは「セキスペ令和2年秋午後1問3」の解説をします。
今回は、問題文からヒント/答えをきっちり探せば、高得点を稼げる問題でした。問題文から探し出すスキルは、午後力の基礎なので、是非習得してくださいね。
少しだけ難しめなのは、IPSの多段階設定。異常な通信を遮断するか検知に留めるかのモード、送信元の通信を全て通すホワイトリスト設定、通信内容の脅威を判定する機能。これらが単一でなく組み合わさる点に注意が必要でした。
このNoteには、私がSCを97点で独学合格し、IT専門学校で授業した経験を詰め込みました。
一所懸命に作ったので、信頼して下さったら嬉しいです。
それでは始めましょう!
設問1(1)
模範解答は「N-IPSが遮断されていたPF診断の通信が通過するから」
必ず正解してください。
本番Webサーバで未対策の脆弱性を突いた通信が、いつもはN-IPSで遮断していたのに、N-IPSを判定無効に設定すると到達してしまいますから。
外せないのは、「N-IPSで遮断されていた通信のが通る」旨。PF診断の通信と明記しなくても、多分正解にしてくれるかと。
設問1(2) | 解く時に図表を詳しく読む
模範解答は「ホワイトリストに診断PCのIPアドレスを登録する」
N-IPSの設定なので、表1を見て、設定できることを挙げます。
ホワイトリスト
脅威通信判定
(遮断モードと検知モード)
模範解答のようにホワイトリストを使えば、脅威判定されません。
「検知モードに設定変更する」は、たぶんダメ寄り。
診断PCからの通信を脅威検知したら「あ、診断PCねハイハイ」ですが、攻撃者からだと攻撃が成立してしまうので危険です。
ホワイトリスト機能がない機器なら、「検知モードにして検知したら逐一確認する」で良いとは思います。今回は敢えて検知モードを選ぶ理由はないです。
なお私は17頁下線②に到達するまでに、15~16頁の表1・図2~4をほとんど読んでません。どんなことが載っていそうかだけ確認してスキップしています。どうせ解く時に読み返すので。
図は真っ先に見て、表は軽くスキップするテクニックは午後2で特に有効になります。午後1は時間との勝負。読み直しは無駄です。
慣れると午後1程度なら表スキップしなくても良いのですが、今回の問題は表が多かったのでスキップテクニックを使いました。
長文問題を読む/解くテクニックはまとめたので、ぜひ読んでくださいね。
>長文問題を読む6つのテクニック
>長文問題を解く6つのテクニック
設問1(3) | 何のための(b)~(f)なんだ
正答は(a)
迷ったかなと思います。話の流れが分かりにくい。
話の根幹は16頁「本番Webサーバがインターネットから攻撃される脅威を想定した時の、PF診断」。
何があってもインターネット側からの通信なので、(a)しかない、というのが筋、なんでしょう。
「じゃぁ(b)~(f)は何のためにあるんじゃい!」ですが、最後の18頁に本番DBサーバへの診断で使います。とはいえ、(a)しかないのに嫌な聞き方するなぁって思いますね。
考察 | 腑に落ちない言い回し
少し右往左往させてください。スキップしてもOK。
話に流れに混乱した方は、一緒にグチグチしましょう。
T主任がわざわざ「内部のネットワークから」と言うので、「別経路で管理LANに入って、本番Webに入るんだろうか」と、私は思ってしまいました。
そもそも分からないのは、T主任が「インターネットからのPF診断の通信経路を考慮すると、~、内部のネットワークからのPF診断も実施すべきだ」。
なぜ「通信経路を考慮→内部ネットワークでも診断が必要」なのか。まったく理由が書かれていません。
さっぱり理由が分かりませんでした。複数の解説サイト様も拝見したのですが、全く触れてなかったので、私のがオカシイのかなぁ。
図4に「インターネット又は内部のネットワークに接続する」とあるので、内部のネットワークなら(a)でしょ、という筋もありますが。だったらシンプルに「内部ネットワークからテストするならどこから?」という話で良いと思ってしまいます。
文章のちょっとした引っ掛かりがヒントになるのが大抵なんですが、今回みたいに逆に混乱しちゃうこともあるんですね。
設問2(1)b | テスト用IDかデータ
正答は「診断用の利用者ID」
正解はできます。他にもテスト後に後始末することはありそうですけど。
問題文から「テストのために変更したこと」を洗い出せば良き。慣れてると「削除」から、「テスト用利用者IDか、テスト用のデータだよな」と当たりもつけられます。
では、全部洗い出してみますね。
図3:「ネットワーク構成、システム構成、設定及びデータを変更した場合は」:コンセプト
16頁:「診断用の利用者IDを作成する」:これかな?
16頁:「利用者IDに診断用ポイント付与」:DBの変更、利用者IDを削除したら芋づるで削除かな?
16頁:「診断前の状態に戻せないようなデータの更新~しない」:DBの変更は許容していて、元に戻す作業発生も許容してる
17頁下線②:「N-IPSの設定を変更」:ホワイトリスト登録
17頁:「診断PCを図1中の接続点aに接続」
以上より、診断用IDを削除、診断用IDに付与したポイントあたり。セキュリティ的な観点から診断用IDと判断。
「診断用の利用者ID」は通常は不要なので、うっかり残ってて不正ログインされたら最悪ですからね。日頃使わないので、考え落とし・隙になります。
設問2(2) | ヒントが遠い序盤にあるパターン
項目:日時
内容:診断時間を0時~8時の間にする
必ず正解して下さい。
私は、表2を見た時点で、「日中(9~17時)に診断するって」と違和感があって▼マークをしておきました。
SCでは「アブナイなぁ」と思ったら、▼マーキングしてください。ヒント探しの時短になりますから>長文問題を解くテク6(3)
ヒントは14頁(1頁目)。「通信量の比率は、0時~8時が2%~」。
ヒントが問題序盤にあって、解く頃には忘れているのはよくあります。下線部や空欄から遡ってもヒントが見つからない時、思い切って最初に注目してみてください。
とはいえ、今回は優しいですよ。設問文で「項目を表2から選び答えよ」と、表2中に正解があると教えてくれてます。
ノーヒントでも正解できるように、問題文を読むときにツッコミやマーキングをしながら解いて下さいね。だんだん「それ危なくね?」「何でわざわざ情報書いてるんだろう」と違和感も持てるようになりますよ。>長文問題を読む6つのコツ(3:怪しい点に▼マーク)
なお、必要な作業時間も一応確認はしておきます。
表2に「9時~17時(うち、診断時間は1日当たり連続した5時間程度)」。0~8時は8時間あるで、5時間の作業時間は確保できますね。
なお「0~8時に作業するってブラックじゃね?」と思ってアレンジするのは、試験では止めましょう。問題文に書いてある数値・方針で解答してくださいね。
設問2(3) | 2段構えに注意
機器:本番DBサーバ
設定:ホスト型IPSのホワイトリスト設定に、診断PCのIPアドレスを登録し、侵入検知設定を無効にする
機器は必ず正解してください。設定は2段構えに気づかなかったら、しっかり復習して次は油断なく狩りましょう。
下線④前に「警告灯」。問題文を探すと、図2ホスト型IPSに「警告灯」あり。ホスト型IPSがは、表1の本番DBサーバにあり。よって機器は「本番DBサーバ」
次は、(本番DBサーバに搭載した)ホスト型IPSの設定変更なので、図2を見ると2種類。
ホワイトリスト設定:許可スルーする通信
侵入検知設定:有効か無効のみ
しかも二段構え。「ホワイトリスト設定による判定が行われ、許可された通信は、侵入検知判定による判定を受ける」。しかもどちらか1つで拒否されたら警告灯が点灯。
よって2つとも通す必要があるので、
「ホワイトリストに診断PCを追加」
「侵入検知を無効」に設定
設問文では「どの機器」と書かれているので、
「本番DBサーバ」、
実際設定するのは「ホスト型IPS」。
以上、4語を必ず入れて作文します。
設問2(4) | 全て拒否・必要なだけ許可
c:本番DBサーバ
d:DB管理PC
e:許可
「c:本番DBサーバ」宛ての通信については、「d:DB管理PC」からの通信だけを「e:許可」することにした。
ちょっと難しいかもですが、落ち着けば正解できます。失点するのは勿体ないです。
問題となったのは、Web管理PCから本番DBサーバへのアクセスがあったから。FW2での対策は、2通りありますね。
Web管理PC→本番DBサーバを禁止
でも、Web管理PC以外からのアクセスを防げない
例えば、内部不正者がPCをL2SWに接続するなどDB管理PC→本番DBサーバだけを許可
「必要なものだけを許可、他全て拒否」は、FW設定の基本的な考え方
以上のように考えます。
まとめ
お疲れ様でした!
IPSの設定が多段である以外は、問題文から探す・FW設定の基礎だったので、高得点が狙える問題でした。
もし初見6割を切っていたら、基礎が足りてません。今までの過去問を解かなくて良いので、「見て復習」してください。どこに注目してどう答えるのか「経緯(パス)」の確認を。
ぜひ高得点が稼げるようになって、合格につなげてくださいね。それでは、他の解説でまたお会いしましょう。でわでわ。
\私の3ヶ月の学習履歴/
いいなと思ったら応援しよう!
