【登録セキスペ合格】令和5年秋午後問4の解説(情報処理安全確保支援士試験)
このNoteでは「セキスペR5秋午後問4」の解説をします。
最新問題なので、試験1ヶ月前後からの演習をお薦めします。それまでは旧セキスペの午後1問題を解き倒してください。
>SCR05春PMI問2解説Note
>SCR05春PMI問3解説Note
>SCR04秋PMI問2解説Note
>SCR04秋PMI問3解説Note
>SCR04春PMI問2解説Note
>SCR04春PMI問3解説Note
今回の問題は解き始めるまで時間がかかる構成でした。以下に表を読み飛ばすがか重要です。また「採点者大変じゃね?」と思うぐらい自由回答もあり、かなり戸惑いました。
このNoteは、私が独学97点合格した経験と、IT専門学校での授業のノウハウで書いています。合格のお手伝いに少しでもなったら嬉しいです。
それでは始めましょう!
この問題を選ぶか
私は「問2はネットワークなので解く」「問1はプログラムなので解かない」と心に決めているので、この問4か問3かで選びます。
この問4の設問1は、表4に到達せねば解けません。解き始めるまでに7頁読む必要があります。とはいえ、図表なため、実際に読む文章は2頁もありません。表を読み飛ばす練習ができていれば選ぶこともできます。
問3の方が解き始めは2頁目早いです。ただ下線⑩まであってゲッソリしています。>*SCR05秋PM問3の解説(準備中)
私はおそらく問3を少し解いてみて、どうしても解けなさそうなら問4の検討をすると思います。選び直しになるので残り時間に注意が必要ですね。
なお。この問4。設問2がものすごい地雷なんですが、問題選びの時点では見抜けません。仕方がないです。浮足立つと負けるので、足を地面に着けて落ち着いて対応しましょう。
この問題の読み方
最初に設問1を見ます。表4, 5の空欄埋め。表4は7頁目。解き始めるまでかなりかかるので、省力化が大事です。
なるべく表をスキップ。流れを把握するぐらいの力加減。詳細は解く時に読みます。項目名だけとか、1行目だけとはを読む程度。
例えば表1。IDやPWDの設定、ログファイルなどが書かれているなぁ。気になるなら、仕様の1文目だけ読むのもアリ。
図2。この問題独自のサーバが多く、読みの段階では得られる情報はなさそうです。プロキシサーバはDMZにある、ぐらいしかチェックしようがないですね。>12種類のサーバの配置まとめNote
表2。各機器の設定やセキュリティ対策が書かれているなぁ、ぐらい。気になるなら、各カテゴリで1~2個読んでも良いです。1~2行程度なので。詳細は解く時に読みます。
図3。SG出身の方は慣れていますね。リスク・優先順位の決め方、リスク値の計算方法の手順が書かれている感じ。ざっくり流し読みして、「大中小」「高中低」の判断基準が載っているから、あとで計算させるんだな、ぐらいに思っておきます。
表3。「大中小」「高中低」を判断させた後に、「ABC」から選ばせるためだな、程度。
表4になりました。一気に29頁のア~ウへ飛んで大丈夫です。気になるなら、幾つかを読んでも構いません。全部読むことはしないでください。どうせ覚えきれません。時間の無駄です。
おそらく、解き終わっても表4全て見ることはないと、この時点で思います。内容が多すぎるので、必要な個所だけを読む形でしょう。
29頁到達したら、ア~ウは解けそうです。エは30頁表5なので、後回しにします。新しい情報が必要かもしれませんから。
その前に28頁で「あ」に遭遇しましたが、設問2を見ると「あ」~「き」までをまとめて解く感じだったのでスルーしました。
この読み飛ばす力加減。あまりに把握しなさすぎると、結局読み直しになります。概要を把握するぐらいの力加減。
過去問演習で表を読み飛ばす練習をして、失点と得点の具合からバランス感覚を養うしかありません。最初は不安になると思いますが、読み飛ばしをしないと時間が足りません。
設問1 | 線引きが難しい
ア:10, 11, 12, 13
イ:大
ウ:C
エ:G百貨店で、Sサービスへログイン可能なIPアドレスをW社プロキシだけに設定する。
表4から、W社従業員によるSサービスのIDとPWDの持ち出し、W社外からのログイン、Z情報のW社外PCへの保存でした。
ア(セキュリティ状況)は表2から探します。
従業員の不正行為なので、1~7の危機対策はスルー、8の物理的もスルー。9~の人的と12~nのアカウント管理から選びます。
9:不正行為は標的型攻撃とは無関係なので。訓練しても不正行為に影響はありません
10:該当。「IDとPWをウ組む、秘密情報の取り扱い方法」を破ってるので。
11:該当。「不正行為」なので。
12:該当。PWが発行され周知されている状況なので。
13:該当。ノートに書いても良い、から社外へ持ち出される状況なので。
迷ったのは1。スルーしたとはいえ。IDとPWの話なので。でもPWが充分長いことと不正行為は直接関係ありません。長いからノートに書いてOK(13)になっていますが、仮にPWが短くても不正行為はできます。むしろ簡単に。
今回は、人による不正行為に絞ったものを選ぶコンセプトでした。
とはいえ、1と書いてしまったも、仕方がないとしましょう。
線引きが難しくなって、あれもこれもと迷ったら、まずは必要最低限なものから選んでいきましょう。現実ではオマケした方が良いことも、試験では蛇足失点になってしまうことはよくあります。
設問3を先に解いて良い
設問1を解いた後、表4ではすぐa, bに到達するので設問3を解きます。
設問2は後回しでOK。
なお、解説も設問2は最後にさせてください。自由回答で模範解答が3例もあるので、解説・別解や分析が長くなりましたので。
設問3a | なぜ11が該当しないのか分からない
a:5, 10, 12
すみません。なぜ11(不正行為)が入らないのか分かりません。
aについて。「リスク番号1-2と同じ」とあるので、表4の1-2を見ると、W社従業員によるIDとPWの持ち出し、社外第三者にメール送信、とのこと。
情報セキュリティの状況は表2。
1~7だと、メールが絡んだ項目5。安直に「メールだし」でも良いと思います。
私は「特定のキーワードを含むメール送信のブロック」で防止できる気がして判断しました。
とはいえPWは毎月更新されるため、メールSaaSに毎月ブロックする文字列(PW)を登録する必要がありますし、SaaSにPWを保存するってのもなかなかコワイですが、そもそも配送お管理課員全員に周知(12)してる時点でコワサが元々ありますね。
8の物理はスルー。
設問1と同様に9~11、12~13は考えます。
9:標的攻撃は無関係
10:該当。「IDとPWを含む、秘密情報の取扱方法」に抵触するため
11:「不正行為」に抵触すると思うのですが、模範解答では該当しないとのこと。すみません分かりませんでした。
12:該当。「PWを全員に周知」しているので、不正従業員はPWを知り得たため
13:今回の不正は、社内からメール送信なので、ノートや付箋へのメモを要しないため。
設問3b | 12を入れるかキワドイ判断
b:2, 3, 4
すみません。個人的には12(PWの周知)を入れたいです。正解が際どい印象。
bについて。表4にて、配送管理用PCにキーロガーが仕込まれ、IDとPWが窃取され、W社外からSサービスにログインされZ情報が漏えい。
情報セキュリティの状況は表2。
1:キーロガーで読み取るので、PWの困難さは関係なし。
2:該当。キーロガーはマルウェアなので。
3:該当。キーロガーが仕込められたのは、サーバの脆弱性を突かれ踏み台にされたため
4:該当。W社PCからSサービスへの通信はFWで許可しているため。
5~7:キーロガーと無関係な機器設定のため
8の物理はスルー。
9~11はスルー。キーロガーが仕込まれたのはサーバが原因であり、人間の不正が絡んでいないため。
問題は12。全員に周知されたPWを入力したところを、キーロガーに窃取されたので入れても良いかなと思っています。ただキーロガーが仕込まれたことには無関係ではあります。難しい。。。
13はスルー。
設問2のフリーダムさに驚いた
設問2にはびっくりしましたよね。
「状況設定に沿う範囲で、あなたの知見に基づき、答えよ」って。
「あ」のある表4の通り、「W社外の第三者」による「W社へのサイバー攻撃」だったら何でも良さそうです。
2-1(フィッシングメール)と2-2(脆弱性による不正操作)とは、違うものが良さそうです。
時間だけ注意してください。あれこれ難しく考えてしまう方は、本当に簡単なものを考えて、ひとまず「あ」~「き」の穴埋めをしましょう。
もう1問をまだ解いてなければそっちに行き、もう解いたなら少し腰を据えて考えてもOKです。>*SCの時間配分(準備中)
私は「え?フリーすぎない?」「めっちゃ採点大変でしょう」と、かなり戸惑いました。
とりあえず「問題文では、ランサムウェアの被害をキッカケにアセスメント始めたから、ランサムウェアにしとくか」と、とりあえず埋めました。
しばらく時間を置いてから、さらにブラッシュアップしました。
設問2の模範解答1 | マルウェア&標的メール
あ:G百貨店からW社への連絡を装った電子メールに未知のマルウェアを添付して、配送管理課員宛てに送付する
い:配送管理課員が、添付ファイルを開き、配送管理用PCが未知のマルウェアに感染した結果、IDとPWを周知するメールが読み取られ、SサービスのIDとPWが窃取される。そのIDとPWが利用されてW社外からSサービスにログインされて、Z情報が漏えいする
う:2, 3, 5, 6, 9, 12
え:大
お:高(メールは日常的に使うため)
か:A
き:配送管理用PCにEDRを導入し、不審な動作が起きていないかを監視する
マルウェアをメール添付する手口。
「メールを読み取るマルウェア」があるんだな、と学びになりました。またEDRは、最近のセキュリティ問題で流行っているのでどんどん使ってよい言葉です。
クラウド関連のSIEMやCASBも必ず知っておいてください。使える奥義です。>SIEMやCASBの解説Note
該当するセキュリティ状況の解釈は以下。
私には6が分かりませんでした。すみません。
2:マルウェアが絡むため
3:メールが読み取られたのは、メールソフトの脆弱性によるため(なかなか難しそう)
5:メールが絡むため
6:なんでプロキシが絡む?
9:メールが標的型なため
12:PW周知メールが読み取られるため
設問2の模範解答2 | マルウェア&水飲み場攻撃
あ:配送管理課員がよく閲覧するWebサイトにおいて、脆弱性を悪用するなどして、配送管理課員が閲覧した時に、未知のマルウェアを別のWebサイトからダウンロードさせるようにWebページを改ざんする
い:配送管理課員が、改ざんされたWebページを閲覧した結果、マルウェアをダウンロードしてPCがマルウェアに感染する。マルウェアがキー入力を監視して、配送管理課員がSサービスにアクセスした際にIDとPWが窃取される。そのIDとPWが利用されて、W社外からSサービスにログインされ、Z情報がW社外のPCなどに保存される
う:2, 3, 6
え:大
お:低(従業員よく見るサイトですが、Web改ざんの確率は低いと見積もっているんでしょう)
か:C
き:プロキシサーバのURLフィルタリング機能の設定を変更して、配送管理用PCからアクセスできるURLを必要なものだけにする
クロスサイトスクリプティング(XSS)によって、マルウェア感染させる手口。日常的によく見るサイトなので、水飲み場攻撃でもありますね。
2:マルウェアが絡むため
3:脆弱性を悪用したため。スクリプトを実行するWebブラウザ、キーロガーを実行するOS。
6:マルウェアダウンロードサイトをブロックするため
設問2の模範解答3 | マルウェア&XSS
あ:W社からアクセスすると未知のマルウェアをダウンロードする仕組みのWebページを用意した上で、そのURLリンクを記載した電子メールを、G百貨店からW社への連絡を装って送信する
い:配送管理課員が、電子メール内のURLリンクをクリックすると、配信管理用PCが未知のマルウェアに感染する。PC内に残っていたZ情報を一括出力したファイルが、マルウェアによって攻撃者の用意したサーバに送信され、Z情報が漏えいする
う:2, 3, 5, 6, 9, 10
え:大
お:高(メールは日常的であるため)
か:A
き:全てのPCとサーバに、振る舞い検知型又はアノマリ検知型のマルウェア対策ソフトを導入する
2:マルウェアが絡むため
3:マルウェアの実行そのものが脆弱性利用であるため
5:メールが絡むため
6:URLクリックが絡むため
9:メールが標的型攻撃なため
10:PC内にZ情報が残っていたため
設問2の私の解答 | ランサムウェア&標的型メール
あ:業務関係者を装ったメールに、ランサムウェアが見積書に見立てて添付し、攻撃者が送信する。
い:配送管理用PCでメールおよび添付ファイルが開かれ、ランサムウェアに感染する。Sサービスのサーバも、脆弱性を利用され、ネットワーク経由で感染し、Z情報が暗号化され使用できなくなる
う:2, 3, 5, 9
え:大(大にしておいて文句ないでしょう)
お:高(日常的にメール使うため、しかも標的型)
か:A
き:従業員に対して、標的型メールに対する抜き打ち訓練を行う(項番9の強化)。
私は、ゼロから考えるのは大変なので、問題文からヒントを少しもらいました。設問文にも「本文中の設定に沿って」ですからね。
24頁に「ランサムウェア」の社会的問題をキッカケにリスクアセスメントを始めた旨があったので、ぜひランサムウェアを入れねばと。
被害は「中」や「小」を考える方が大変。「大」にしたいので、Z情報を暗号化させました。採点者から見ても「中なの?小なの?大やろ!」とツッコムことはあっても「大?中や小じゃね?」とは思われないと考えました。
確率も「高」にしたかったです。これも「中」「低」を考える方が大変。業務向けのメールで、添付ファイルあったら、そりゃ開く社員さんいますよね。
管理策(対策)も何でも良いのですが、マルウェア対策ソフトをどうのこうのとか。ずっと引っかかっていた「標的型攻撃に関する周知は行っているが、訓練は実施していない」を使いました。
ネットワーク経由で感染する機能があるランサムウェアが実在するのか、知りません。でも「そんな機能のソフトはない」なんて断定できませんよね。むしろなければ「攻撃者は造るはず」とすら思います。
ノーヒント問題への対応
ノーヒント問題は、想像や妄想で答えるしかありません。高度試験では終盤に1~2問は出てきます。
必ず書くべきことを決め、拘らなくて良いことはすっぱり切ります。
セキュリティで被害を「大」、確率を「高」にして、文句を言う人なんていないです。ゼロからアイディア出すなんて時間かかるので、問題文からランサムウェアと標的型メールを持ってきました。問題文に書いてあることを書いて不正解!にする採点者もいないでしょう。
今回の模範解答を奥義として覚えておきましょう。
もし今後、解答に困るノーヒント問題が出てきたとき、「以前、模範解答になったのを不正解にできるもんならやってみろ!」と書けば良いのです。
最後に知っておいて欲しい流行語を挙げておきますね。
ゼロトラスト:従来の境界防御(FW)ではなく、情報への全アクセスを信頼せずに疑う
SIEM:各機器のログを収集・分析し管理者に通知
CASB:各社員のクラウド利用の可視化
EDR:端末を監視し異常や不審な動きがあれば、ネットワーク切断・プロセス終了
DLP:機密情報を自動的に特定し、送信や出力などを検知しブロック
これは全てAPレベルです。>応用情報技術者試験R6春問1セキュリティNote
ぜひ「情報セキュリティスペシャリスト」に合格してくださいね。
\私の3ヶ月の学習履歴/
p.s. 普段は >> 専門学校とIT就職のブログ << をやってます。
でわでわ(・ω・▼)ノシ
いいなと思ったら応援しよう!
