こんにちは、mokakoです。
今回は情報処理安全確保支援士試験の令和3年度 春期 午後Ⅱ 問2を解説していきたいと思います!
※この解説ブログでは、あくまでも私自身が解いた備忘録となりますので、間違いなどを発見された場合はどうぞ教えていただけますと幸いです。
下記より問題文と解答を引用しております。
問題
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2021r03_1/2021r03h_sc_pm2_qs.pdf
解答
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2021r03_1/2021r03h_sc_pm2_ans.pdf出典:令和3年度 春期 情報処理安全確保支援士試験 午後Ⅱ 問2
では早速解説してまいります!
設問1
(1)オ
解説
上位2オクテットが169.254に設定されているのは、リンクローカルアドレスになります。
リンクローカルアドレスとは、DHCPが存在しないとき、端末自身のOSによって割り振られるアドレスです。自ネットワーク内での通信しかできません。範囲は169.254.0.0~169.254.255.255です。
今回の問題の例だとIPアドレスが枯渇し、DHCPがIPアドレスを割り振ることができなかったため、OSによって割り振られました。ネットワーク外との通信はできません。
その他の選択肢については、下記の通りになります。
ア グローバルアドレス
一言で言ってしまうと、一つのネットワークの代表となるアドレスです。内部から外部へ通信するときの送信元、または外部から内部へ通信する際にまず外部の送信先が宛先に指定します。
範囲:範囲は飛び飛びで不明です。すみません…覚える必要はないと思います。
イ プライベートアドレス
グローバルIPアドレスの逆で、その名の通り、一つ一つの端末のアドレスです。規模によってクラスに分かれています。
範囲:クラスA(大規模)10.0.0.0 ~ 10.255.255.255
クラスB()172.16.0.0 ~ 172.31.255.255
クラスC()192.168.0.0 ~ 192.168.255.255
ウ ブロードキャストアドレス
あるネットワーク上にあるすべての端末に送信する場合のアドレスです。
範囲:IPアドレスの場合は、そのネットワーク上のIPアドレスのホスト部をすべて1にしたもの
MACアドレスの場合は、FF:FF:FF:FF:FF:FFとなります。
エ マルチキャストアドレス
ブロードキャストアドレスは全ての端末でしたが、全てではなく複数端末と通信する場合のアドレスです。
範囲:224.0.0.0 ~ 239.255.255.255
カ ループバックアドレス
自分自身と送受信する際のアドレスです。自分の中にあるアプリケーションなどと通信したい時に利用します。
範囲:127.0.0.1
(2)多くの個人所有機器をC社内LANに接続することによって、IPアドレスが枯渇するという問題が引き起こされた。
解説
社内LANでの個人所有機器の利用が原因で引き起こされた問題を答えます。今回確認されたリンクローカルアドレスはDHCPが正常に動作していない場合に見られるアドレスです。
問題になりそうな記述あったかな?と考えると、p15の14行目、個人所有機器のC社内LANへの接続は統制しておらず、多くの従業員が個人所有機器をAPに接続しているという記述、ここが怪しそうです。
さらにp15の3行目に注目すると、APに接続する機器に192.168.1.20〜192.168.1.240のIPアドレスを割り振っていると記述されています。つまり220端末分のIPアドレスしか設定できません。C社の従業員は150名なので、一人二台接続するとIPアドレスは枯渇してしまいます。
したがって原因は多くの従業員が個人所有機器をAPに接続していること。問題は、p15の[1つ目のトラブル]3行目、朝は問題がなかったという記述からもIPアドレスの枯渇が発生したということが分かります。
(3)稼働させたまま行う方法:L2SWにミラーポートを設定し、そのポートにLANモニタを接続してDHCP OFFERの数を確認する。
停止させて行う方法:DHCPによるIPアドレスの配布がないことを確認する。
解説
まず、DHCPサーバから使って良いIPアドレスを取得する仕組みを説明します。
※かなりざっくりしています。。今後、調査出来次第、DHCPの解説ブログを作成すると思いますので、よろしくお願いいたします。
(ⅰ)クライアントがブロードキャスト通信を行いDHCPサーバを探す
(ⅱ)DHCPサーバを見つけたらIPアドレスを割り振ってもらう
という流れがあります。クライアントがブロードキャスト通信を行なうので、偽のサーバがある場合は正規のDHCPサーバ、偽のDHCPサーバの両方とやりとりを行うということを念頭に置いておきます。
稼働させたまま行う場合は、ネットワーク上には偽のDHCPサーバと正規のDHCPサーバの2台が存在することになります。ミラーポートにLANモニタを接続して、監視したいポートを設定すると当該ポートに入ってくる通信もしくは出て行く通信を監視することができます。
また、DHCP OFFERは(ⅱ)にて割り振ってもらったIPアドレスがDHCPサーバからクライアントに渡される際のメッセージなので、複数台いる場合はクライアント1台に対し、複数のDHCP OFFERメッセージが流れます。
停止させて行う場合は、ネットワーク上には偽のDHCPサーバのみ存在することになります。そのため、IPアドレスの配布が行われた場合、偽のDHCPサーバが稼働していることが分かります。稼働させたまま行う場合は、IPアドレスの配布が行われても、どの正規のDHCPサーバが配布した可能性があるので、この方法は使えません。
設問2
企画部の部員がアクセスできるチャットエリアで共有されている情報
解説
下線④にて、最大でどの程度の被害となり得るかという記述があるので、ここでは攻撃者がサービスR内でアクセスできる範囲の情報がすべて漏えいしたと仮定して、調査すべきことを考えます。チャットエリアで共有された情報を調査することで、どの程度の影響があるか調べることができます。
設問3
(1)a. C-PC b. AP
解説
IEEE802.1Xとは、ユーザ認証技術の一つで、クライアントが有線もしくは無線でアクセスポイントを経由し、認証されることで、ネットワークへの参加が可能になります。ここでの登場人物はクライアント、アクセスポイント、認証サーバです。
この3つの名称と役割をまとめると、
サプリカント:認証を受けるクライアント
認証装置(オーセンティケータ):認証サーバとサプリカントの仲介を行うアクセスポイント
認証サーバ:実際に認証を行うサーバ
となります。今回認証を受けるクライアントに当てはまるのはC-PC、仲介を行うアクセスポイントはAPとなるので、答えのようになります。
(2)c. エ
解説
DHCPのIPアドレスが振られるタイミングを詳しく知らなかったので調べました。DHCPの仕組みは下記の通りです。
クライアントがブロードキャスト通信を行いDHCPサーバを探す
→DHCPサーバを見つけたらIPアドレスを割り振ってもらい、教えてもらう
最初にブロードキャスト通信を行なっているので、IPアドレスを取得するには、前提としてネットワーク上にいる必要があります。そのため、ここではネットワークに入ることができてから、すなわちすべて認証が終わってからの エ “6. ” より後に が答えとなります。
設問4
(1)・インターネットを使って情報収集する義務
・事業部や企画部の顧問への提案や企画の立案
解説
今までにどのような場合にSaaSやインターネットを利用していたのかを考えると解ける問題です。
p15の9行目に注目すると、事業部及び企画部では、顧客への提案や企画の立案時にインターネット上にある多くの情報を収集、取捨選択、加工する必要性があるという旨の記述があります。これらは、アクセスが許可されている、契約したSaaS、企業情報検索、出張先への経路検索及びC社の情報システムには含まれませんので、上記以外へのアクセスを遮断すると利用できなくなってしまいます。
(2)2
解説
表3を一つずつ見ていくと、
番号1(利用者IDによるフィルタリング機能):利用者ごとのアクセス制限
番号2(URLフィルタリング機能):URLごとのアクセス制限
番号3(可視化機能):ログ収集
番号4(保管時の自動暗号化機能):データの安全な保管
となります。要件4は、業務での情報収集は妨げないように、SaaS及びインターネットへのアクセスを制限することです。設問4の(1)でも取り上げられたように必要な情報収集や顧客への立案は行えるようにしたいので、細かくアクセスできるサイトを設定したいです。そのため、ここでは番号2が妥当な答えとなります。
最近はホワイトリストと呼ばれるアクセス可能なページを指定するという方式が流行りなので覚えておきましょう!主にプロキシサーバの機能として書かれていることが多く、ホワイトリストの逆のブラックリスト(アクセス不可能なページを指定する)という方式も一緒に問題に登場することが多いので、併せて覚えておくと良いです!
(3)1
解説
要件5は総務Gが契約したSaaSにに対し、総務Gが管理するアカウントでのみアクセスできるようにして、それ以外は拒否したいというものです。一つ前の(2)の解説を参照しますが、番号1では利用者ごと、すなわちアカウントごとのアクセス制限ができるので答えは番号1になります。
(3)記号:ウ
方法:TLSクライアント認証による検証
解説
図3を見ると5.で利用者からサービスQへ認証要求を行い、6.で相互認証を行なっています。そのため、見知らぬ機器からのサービス要求はここで遮断されます。
またここでは、サービスQはサービス提供を行うサーバ、利用者はサービスを受けるクライアントとなっているので、クライアントである利用者からサービス要求を受けた際、TLSを用いたクライアント認証を行うことで、総務Gが管理している機器かどうかを検証することができます。
設問5
(1)・ISAE3402/SSAE16
・ISMS認証
解説
あるサービスを利用する際(業務を受託する場合など)、サービス提供側(受託先)が自身の内部統制を保証する仕組みがあります。クラウドサービスでもクラウドサービスプロバイダーに業務を受託していると言えるので、下線⑦の作業が重要です。規格の例としてISAE3402とSSAE16、認証の例としてISMS認証が挙げられています。
(2)d. 4
解説
要件7は業務で利用するSaaSからの情報漏えいを防ぐための対策です。こちらも設問4の(2)の解説を参照しますが、データの安全な保管に当てはまるので、番号4が答えとなります。
設問6
(1)秘密鍵を書き出しできないように設定する。
解説
要件2は業務での個人所有機器の利用を禁止する、です。これは従業員によって無効にされる、つまり、従業員の何らかの行動により個人所有機器を利用されてしまうことです。要件2はクライアント認証を行うことで実現しますが、個人所有機器にてクライアント認証が突破されてしまうと、このセキュリティ設定は無効になってしまいます。
p19の表2下の3行目に注目すると、ディジタル証明書だけで認証することもでき、という記述があります。ディジタル証明書でのクライアント認証とは、
(ⅰ)クライアントが、元データをハッシュ化したものを自身の秘密鍵で暗号化したデジタル署名(分かりづらくすみません)と元データをサーバに送る
(ⅱ)サーバが、送られてきたディジタル署名をクライアントの公開鍵で複合したものと元データをハッシュ化したものを比較する
ここでクライアントの秘密鍵はC-PC内に格納してありますが、この情報を外部の機器に流出させるとクライアント認証が成立してしまい、ログインができてしまいます。したがって、書き出せないようにしておくことで、秘密鍵の流出を防ぎます。
(2)管理者が、Pソフトを、一般利用者権限では変更できないように設定する。
解説
どのようなソフトウェアを、と言っていますが、問題文に明記されていたソフトウェアはPソフトだけなのでPソフトということはすぐに推測できます。さらに、要件4,5は、サービスQとサービスNを組み合わせて実現されていますが、サービスNはPソフトを使用するので、ここからも対象となるソフトウェアはPソフトであると推測できます。
要件4,5を実現するためには、Pソフトが正常に動作していることが必要不可欠です。言い換えるとPソフトに対し何らかの変更がされ不具合が起きてしまうと、要件4,5は崩れてしまいます。
ここでp20の5行目以降に注目します。6行目に管理者は、一般利用者権限に対する操作制限ができるという旨の記述があるので、制限を行うことで、勝手にPソフトを無効にされることを防ぎます。
コメント