【SC*過去問解説】令和元年度 秋期 午後Ⅱ 問2

IT

こんにちは、mokakoです。
今回は情報処理安全確保支援士試験の令和元年度 春期 午後Ⅱ 問2を解説していきたいと思います!

※この解説ブログでは、あくまでも私自身が解いた備忘録となりますので、間違いなどを発見された場合はどうぞ教えていただけますと幸いです。

下記より問題文と解答を引用しております。

問題
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2019h31_2/2019r01a_sc_pm2_qs.pdf
解答
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2019h31_2/2019r01a_sc_pm2_ans.pdf

出典:令和元年度 秋期 情報処理安全確保支援士試験 午後Ⅱ 問2


では早速解説してまいります!

設問1


(1)User-Agentヘッダフィールドの値がA社で利用しているWebブラウザを示す値であるケース

解説
User-Agentヘッダフィールドとは、直訳すると、”利用者の代理”で、意味からも推測できる様に一般的にはWebブラウザを指します。User-Agentヘッダフィールド、すなわちWebブラウザが普段から使っているものである場合、不審な通信であることを判定するのが困難になります。

(2)a. エ

解説
a はCAD-Vの脆弱性の対策であるので、エ パッチ が正解になります。
他の解答群についても見てみます。

ア 共通脆弱性識別子
これは脆弱性を識別する番号になりますので、不適切です。

イ コモンクライテリア
これは情報セキュリティに関する評価基準の規格なので、不適切です。

ウ ディジタル証明書
これは認証の際に使用するものなので、不適切です。

オ ファイル復号鍵
これは暗号化されたファイルを元に戻すための鍵なので、不適切です。



(3)b. ア

解説
ア 初期化 が正解になります。9.(1)〜(8)をもって本件の対処を終えるとあり、初期化は必須なので、答えをアと選択しても大丈夫ですが、念の為一つずつ消していきます。

イ 内蔵ストレージをUSBメモリにコピー
9.(4)にてPC-S上に必要なファイルはバックアップから復元する、という記述があります。内蔵ストレージ上のデータもバックアップをとっていたという明確な記述はありませんが、これよりは初期化の方が確実に実施した方が良いと思い、消しました。

ウ 内蔵ストレージを暗号化
これは主にPCなどを廃棄する際に情報漏えい防止の面から行いますが、今回は再びSさんが利用するので、行う必要はありません。

エ ネットワークから切断
これは行うとしたら初期段階で行う必要がありますが、図3の5.(3)にて条件Vを満たす場合にだけ感染拡大する、6.にて条件Vを全て満たす機器はないとの記述があるので、ネットワークを切り離す必要はありません。

オ メモリをダンプ
メモリをダンプするのはディジタルフォレンジックの面で調査に必要な証拠を残すためです。今回9.までに今回の事象の調査は終わっているので、ここでメモリをダンプする必要はありません。



(4)c. サイトU

解説
今回の事象でPC-Sがアクセスしたもの、すなわち今回の事象に関わった悪意のあるサイトについて考えると答えを導くことができます。

まず、Sさんは攻撃者が用意したメールに記載されていたURLから悪意のあるWebサイトに誘導され、ファイルTをダウンロードしてしまいました。こうしてマルウェアに感染した後、サイトUに通信を始めました。
そのため、ファイルTを配布していたWebサイトとサイトUへのアクセスを遮断する必要があります。


設問2


(1)d. カ e. キ f. オ

解説
d の前後の文章は、侵入を成功させるために、正常な d に偽装した”おとりファイル”を作成する場合もある、です。つまり、”おとりファイル”は正常な d に偽装しています。解答群だと カ ドキュメント になります。

e の前後の文章は、当該機器に e を設置することによって、長期にわたり侵入を継続、です。e を仕掛けることで、被害者に気づかれることなく、長期的に侵入できます。今回の解答群だと キ バックドア となります。

f の前後の文章は、マルウェアは、インターネット上に設置された攻撃者のサーバと通信して、f を受け取り、それにしたがって動作、です。攻撃サーバから f を受け、それに従っているので、今回の解答群では オ 攻撃者の指示 です。



(2)活動1. 1
 活動2. 7
 活動3. 3

解説
活動1は、ターゲットの情報を収集する攻撃のための準備と言えるので、表1の番号1、偵察に当てはまります。

活動2は、実際にターゲットの秘密情報を盗む、つまりメインの攻撃をしているので、表1の番号1の7、目的の実行に当てはまります。

活動3は、ターゲットに拾われるように目に止まりやすい場所にUSBを置いています。これはターゲットにUSBを拾わせ、中身を見た際にマルウェア感染させるためです。つまり、マルウェアをターゲットの元に届けようとしているので、表1の番号3、配送に当てはまります。



設問3


g. 電波を傍受
h. MACアドレス

解説
課題2より、APへの接続はMACアドレス認証によって制限している、とあります。言い換えると接続許可されている機器のMACアドレスさえ手に入れば偽装して接続できてしまいます。つまり、h はMACアドレスということが推測できます。

では次に、攻撃者が何をするとMACアドレスを入手できるのでしょうか。実は無線LANにおいてMACアドレスは暗号化されておらず、容易に取得することができてしまいます。そのため、g は電波を傍受するが正解になります。


設問4


(1)攻撃者の操作指示がFA端末に伝えられない。

解説
表1の番号1〜5のステップということは5のターゲット組織の機器へのマルウェアダウンロードまで成功した状態です。

データダイオード方式の一番の特徴は片方向だけデータを転送し、逆方向は全ての通信を遮断します。今回の事例では、F-NET側からA-NET側へのデータの転送を許可し、逆方向は全て遮断しています。つまり、FA端末側から攻撃者側への通信はできるが、攻撃者側からFA端末側への通信は全て遮断されるのです。

これを踏まえて表1を見ると番号6にて攻撃者から指示を受け取ることができないことに気づきます。したがって、攻撃者の指示がFA端末に伝えられないが答えになります。


(2)i. イ j. ウ k. ア

解説
FA端末から業務サーバへのデータ転送の仕組みについての評価を行います。
解答群から見ると考えやすいです。

まず、ウですが即時性が△、セキュリティが×になっています。ア、イの即時性が○であることを考慮すると、ウは中継用PC方式であると推測できます。

アとイはセキュリティが○か△かの違いです。FW方式とデータダイオード方式を比較した時、どちらのほうがよりセキュアかを考えます。これを考えるにあたってポイントになるのはA-NET側からF-NET側への通信です。データダイオード方式では一切通しませんが、FW方式では応答である場合は通します。そのため、よりセキュアなのはデータダイオードだと言えます。したがって、イがFW方式、アがデータダイオード方式です。

(3)USBメモリをマルウェア対策ソフトでスキャンする。

解説
よく出る問題です。USBメモリがマルウェアに感染していたら接続時に接続先のPCも感染してしまうので、必ずマルウェアスキャンを行い、問題がないことを確認してから接続します。

設問5


(1)事務LAN用 (い)
  センサNET用 (か)

解説
まず、事務LAN用の認証サーバの設置位置を考えます。[課題2の解決]内に事務LAN用は全社で共用とあるので、α工場内には設置しないことがわかります。そうなると(あ)か(い)となりますが、(あ)はDMZで外部から攻撃を受ける可能性があります。そのため、(い)が正解となります。

次にセンサNET用の認証サーバの設置位置を考えます。こちらはα工場が管理と書いてあり、α工場内に設置することが分かります。また、センサNET用なので、そのままセンサNET内の(か)が正解となります。



(2)事務LANとセンサNETはF-NETと分離されており、APに不正接続してもFA端末を攻撃できないから

解説
プロジェクトWとはサイバー攻撃によって生産設備の停止を防ぐことを目的としています。これを踏まえFA端末から業務サーバにデータを安全に転送するための仕組みを導入しなかった場合を想定し、解答します。

プロジェクトWの目的は生産設備の停止を防ぐことです。この時思い出したいのは生産設備にはFA端末が接続されていること。
図4と図5を比較した時に、図4では複数のFA端末が、他の端末やAPと同じネットワークにいる一方で、図5ではFA端末はF-NETの中にあり、その他の事務LANとセンサNETとは分離されています。しかもAPは事務LANとセンサNET内にあるのでAPに不正接続されてもFA端末まで到達することができません。

設問6


(1)イ

解説
まず、CVE(Common Vulnerabilities and Exposures)は共通脆弱性識別子、CWE(Common Weakness Enumeration)は共通脆弱性タイプ一覧で不適切です。

下線④はその時点で自社にとっての深刻度です。ここで正しいのはCVSS環境値です。私のイメージですが、脆弱性に対して評価する時、CVSS基本値は脆弱性自体についての評価値、CVSS現状値は現在の脆弱性の状態(対策や情報の信頼性など)についての評価値、CVSS環境値は自社の現状の環境を踏まえた脆弱性についての評価値になります。



(2)①②・当該脆弱性に対応したパッチを適用する。
    ・脆弱性をもつソフトウェアの利用を停止する。

解説
深刻度の高い脆弱性が見つかった場合にとるべき措置について考えます。措置としては、開発元による対策であるパッチが公開されている場合はパッチを当て公開されていない場合はそのソフトウェアの利用を停止する必要があります。

設問7


(1)図4
  工場LAN. エ 標準PC. エ FA端末. ア

  図5
 事務LAN. エ F-NET. ア センサNET. ア 標準PC. エ FA端末. ア

解説
図4、図5においてそれぞれのLAN及び端末がどの部門管理なのかを答えます。
図2のセキュリティ規定に従うと、とあるので、図2の中で管理について書かれている記述を整理すると下記のことが分かります。

システム部は標準PC及びA-NETを管理する
各部門は標準PC以外のその他機器(部門機器)の調達・利用、専用のネットワーク(部門NET)の構築・利用ができる(管理する)

図4について、注記1より工場LANはA-NETの一部なので、システム部。標準PCについてもシステム部。FA端末については注記1より部門機器なので、α工場になります。

図5については表2を参考にしながら考えます。事務LANはA-NETの一部なので、システム部。F-NETは部門NETなのでα工場。センサNETは部門NETなので、α工場。標準PCはシステム部。FA端末はα工場になります。



(2)①②・各部門が定めた管理・維持のための措置
    ・リスクアセスメントの結果

解説
各部門が、部門機器又は部門NETをA-NETに接続する場合にシステム部に提出する書面に追加で記す事項について考えます。
下線⑥の少し前の文章に注目すると、F氏は、追加する項目に合わせて〜、という記述があります。この追加する項目というのはp23の3,4行目の2点です。

この2点に合わせた事項を追加します。そのため、定めた管理・維持のための措置とリスクアセスメントを行った結果を追加します。


コメント