【SC*過去問解説】令和3年度 春期 午後Ⅰ 問3

IT

こんにちは、mokakoです。
今回は情報処理安全確保支援士試験の令和3年度 春期 午後Ⅰ 問3を解説していきたいと思います!

※この解説ブログでは、あくまでも私自身が解いた備忘録となりますので、間違いなどを発見された場合はどうぞ教えていただけますと幸いです。

下記より問題文と解答を引用しております。

問題
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2021r03_1/2021r03h_sc_pm1_qs.pdf
解答
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2021r03_1/2021r03h_sc_pm1_ans.pdf

出典:令和3年度 春期 情報処理安全確保支援士試験 午後Ⅰ 問3


では早速解説してまいります!

設問1


a. PCの動作に問題がないこと

解説
ベンダがパッチをリリースした場合、すぐに本番に適用すると既存のシステムが動作しなった場合大きな被害をもたらすので、まずは検証環境にて、既存のアプリケーションプログラムに影響を及ぼさないかテストをする必要があります。バージョンアップなどでも必要です。
そのため、図2の(2)では検証環境で2日間動作させてPCの動作に問題がないことを確認します。

設問2


L2SW1

解説
表1のFWの概要の最後の文を見ると、インターネットと通信をするのはDMZのみと記述があります。DMZ以外のLAN上に存在する端末は全てDMZ上のサーバを経由してインターネットと通信することを念頭に置いていると、DMZ上にあるL2SW1が答えであることが分かります。

設問3


(1)b. エ

解説
知識問題です。
WoL(Wake on Lan)は、ネットワーク経由でコンピュータの電源を入れる方法で、そのために送るパケットをマジックパケットと言います。

マジックパケットの最も一般的なものがこの設問で問われているもので、以下のような構成です。
16進数でいう「FF:FF:FF:FF:FF:FF」+「起動したいPCのMACアドレス」× 6
そのため、ここでは エ のFF:FF:FF:FF:FF:FFが入ります。

(2)c. イ

解説
(1)で解説した通り、ここでは イ のMACアドレスが入ります。



(3)起動パケットを他のセグメントに転送するように変更する。

解説
下線②ではL3SWの設定と変更する必要がある、と記述されているので、L3SWの設定によって検証LANに到達できていないことが分かります。図1を見ると、WoLの起動パケットを送信する資産管理サーバとPC-Yが属するのはそれぞれ内部システムLAN、検証LANとセグメントが異なっているので、L3SWでパケットフィルタリングが行われていると推測できます。そのため、当該パケットを他セグメントへも転送する設定を行う必要があります。

設問4

(1)(2)の活動に必要な情報:IPアドレス
(4)の活動に必要な情報:MACアドレス

解説
まず、下線③では、ARPテーブルから読み取ってと書いてあります。ARPはIPアドレスとMACアドレスを紐付けるテーブルです。そのため、ARPから読み取れる情報はIPアドレスとMACアドレスで、(2)、(4)の活動に必要な情報は、この2つの情報のいずれかであることが分かります。

(2)から見ていくと、(2)はpingコマンドを送信と書いてあります。pingは、ping+対象PCのIPアドレスで送信するので、必要なのはIPアドレスです。

次に(4)ですが、WoLを使ってPCを起動と書いてあります。設問3の(1)で解説した通り、WoLに必要なのは対象PCのMACアドレスなので、必要なのはMACアドレスです。

(2)エージェントによって、夜間にarpコマンドの実行を検知したら、当該PCをネットワークから隔離する。

解説
下線④を読んで、エージェントを使うのだと閃けるのが理想です。表1のエージェントのところに記載がありますが、以下の部分に注目です。

・PC上で起動する全てのプロセスを監視する。指定した時間帯に指定したコマンドが実行された場合、EDR管理サーバとの間の通信を除き、当該PCの全ての通信を遮断する機能をもつ。

出典:令和3年度 春期 情報処理安全確保支援士試験 午後Ⅰ 問3


下線④の導入済みのシステムとはエージェントのことです。夜間に指定したコマンドが実行されたら通信を遮断すれば、対策3が実現できそうです。

次に、何のコマンドを指定すれば良いかを考えます。ここではマルウェアRの挙動について書かれている図5を参照します。どのコマンドを指定すれば良いでしょうか…。
最初に解いた時、私はpingコマンドと解答してしまいましたが、答えはarpコマンドのようです。改めて考えてみると、マルウェア感染した直後、ARPテーブルから情報を読み取っていて、ARPテーブルを参照するためにはarpコマンドを送信する必要があります。なるべく早く遮断したほうが良いということなんですかね(すみません、真意は分かりませんでした…)、ここではarpコマンドを指定します。

コメント