【SC*過去問解説】令和3年度 秋期 午後Ⅰ 問1

IT

こんにちは、mokakoです。
今回は情報処理安全確保支援士試験の令和3年度 秋期 午後Ⅰ 問1を解説していきたいと思います!

※この解説ブログでは、あくまでも私自身が解いた備忘録となりますので、間違いなどを発見された場合はどうぞ教えていただけますと幸いです。

下記より問題文と解答を引用しております。

問題
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2021r03_2/2021r03a_sc_pm1_qs.pdf
解答
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2021r03_2/2021r03a_sc_pm1_ans.pdf

出典:令和3年度 秋期 情報処理安全確保支援士試験 午後Ⅰ 問1

では早速解説してまいります!

設問1

(1)a.接続先が保守用中継サーバではない

図2中の[a]に入る字句を答える問題です。

図2の「保守用中継サーバに初めてSSH接続する際の接続先確認方法」の項番4を見ると、確認メッセージが表示されているため、何かしらのサーバには接続できています。しかし、次の項番5で接続が切断されているので、フィンガプリントが変わった以外に、違うサーバにつなげてしまったことが想定できます。したがって解答のようになります。

(2)操作ログの改ざんや削除を防止するため

下線①「当該利用者IDには、一般利用者の権限を与える」という設定を行なった目的を”操作ログ”という字句を用いて25字以内で答える問題です。

操作ログに関して、図2のログの部分に記述を整理すると、

操作ログとは

  • 保守用中継サーバでのコマンド実行及びその結果
  • 顧客管理サーバでのコマンド実行及びその結果

アクセス方法

  • 特権利用者の権限が必要
    →一般利用者の権限では操作ログへのアクセスはできない

これらより、操作ログの改ざんや削除ができないことが分かります。

(3)b.保守PC-A c.インターネット

表1中の[b],[c]に入る字句を図1の言葉を使って答える問題です。

まず[b]も[c]も宛先:保守用中継サーバ接続方法:SSHであることに注目します。保守用中継サーバに接続するのは保守PCなので、これらの関連用語が入ると予想できます。

先に[c]を考えます。
送信元が[c]である項番4見てみると、動作が拒否となっています。注1)を見てみると、
「保守PC-B又は保守PC-Cからの保守作業の際は、事前申請に記載された作業時間帯だけ、J社のシステム管理者が”許可”に変更する。」とあります。では、「保守PC-B又は保守PC-C」と書けば良いのでしょうか。

ここが少し複雑なのですが、図2の15行目に「保守PC-B又は保守PC-Cをスマートフォンでテザリングし、インターネット経由で保守用中継サーバにSSH接続する」とあり、図1からも分かるように以下のように保守用中継サーバに接続しています。そのため、[c]にはインターネットが入ります。

出典:令和3年度 秋期 情報処理安全確保支援士試験 午後Ⅰ 問1 「図1 J社ネットワーク構成(抜粋)」

次に[b]ですが、送信元が[b]である項番3を見てみると動作が許可となっているので、J社のLAN上にあり、通常時に接続できる保守PC-Aが入ります。

設問2

(1)6

下線②「定期的にインターネット上のサーバに通信を試みていた」について、この通信がどのFWフィルタリングルールによって記録されたかを表1の項番で答える問題です。

下線②を前の文章から続けて読むと、「調査したところ、暗号資産を採掘するプログラムが保守用中継サーバで動作しており、定期的にインターネット上のサーバに通信を試みていた」というところから、

  • 保守用中継サーバ→インターネット

の通信が記録されていたことになります。表1を見てみると、宛先がインターネットとなっているのは、項番1と項番6です。保守用中継サーバはDMZ上にあるので、項番6が答えとなります。

(2)6月14日の7時0分から6月14日の9時30分まで

第三者が保守用中継サーバにSSH接続可能だった期間を答える問題です。

第三者が保守用中継サーバにSSH接続ができてしまう期間があります。それは、インターネットから保守用中継サーバの通信を許可しているとき、すなわち表1の項番4の動作を許可をしたときです。

設問1の(3)でも触れましたが、これが許可となるのは事前申請に記載された作業時間帯です。図3を見てみると、2行目「保守員2から、顧客管理サーバの保守を保守PC-Cを使って6月14日7時から9時30分に行うと事前申請が出されていた。事前申請に従って、J社のシステム管理者はFWの設定を変更した。」とあるので、答えは6月14日7時から9時30分となります。

設問3

(1)・保守員以外が不正に秘密鍵を利用できないようにするため ・秘密鍵が盗まれても悪用できないようにするため

下線③「鍵ペアの秘密鍵には、十分な強度のパスフレーズを設定する。」に関して、この目的を30字以内で答える問題です。

パスフレーズを設定することで、認証するには秘密鍵を持っていてかつパスフレーズを知っている必要があり、多要素認証ができます。そのため、ここでは解答のように不正に利用できないようにするためといったニュアンスが答えられていれば良いと思います。

(2)d.パスワード認証

図5中の[d]に入れる字句を10字以内で答える問題です。

[d]前後の文章を読むと、「SSHサーバの設定では、公開鍵認証を有効にするとともに、[d]を無効にする。」です。公開鍵認証を有効とするとともに何かを無効化します。

今回のインシデントの原因を考える
今回、インシデントが起きてしまったのは、図4の最後の行「op1に設定されているパスワードが、推測の容易な文字列であることが分かった。」という文から、パスワード認証で用いていたパスワードが推測されてしまったということが原因の一つであることが分かります。

原因を踏まえた対応
これを踏まえて、p6の2行目「パスワード認証から公開鍵認証に変更する」ことになりました。今回の事象を防ぐには、公開鍵認証を有効にするとともにパスワードを使った認証をできなくする必要があります。

したがって、無効にするのはパスワード認証であることが分かります。

(3)e.秘密鍵

[e]に入れる字句を5字以内で答える問題です。

[e]前後の文章を読むと、「万一、保守用中継サーバが不正アクセスされた場合を想定して、顧客管理サーバへのSSH接続に必要な[e]を利用されないように、保守用中継サーバに保存しない運用にしましょう。」とあります。
公開鍵認証の認証方法を思い出していただくと、公開鍵と秘密鍵のペアを使って認証をするため、[e]には公開鍵と秘密鍵のいずれかが入ります。

例としてAを認証される側、Bを認証する側とおいて仕組みを簡単に説明すると、

  1. Aは鍵ペアを生成
  2. AはBに公開鍵を配布
  3. Bは、認証対象配布された公開鍵とペアになる秘密鍵を持っている=Aと判断

今回、保守PCは保守用中継サーバに、保守用中継サーバは顧客管理サーバに認証をしてもらうことになります。通常通り、秘密鍵を認証される側に公開鍵を認証する側に格納し、保守用中継サーバに不正アクセスされた場合を想定すると、図のようになってしまう恐れがあります。

図. 保守用中継サーバに不正アクセスされた場合

このとき、秘密鍵を保守PCに保存しておけば、秘密鍵を利用されるのを防ぐことができます。そのため、[e]には秘密鍵が入ります。

(4)f.送信元IPアドレスを固定にする

[f]に入れる字句を20字以内で答える問題です。

[f]前後の文章を読むと、「[f]ことができれば、保守用中継サーバへのアクセスを表1の項番4のルールを変更することによって制限できる。」です。項番4のルールとは以下です。

  • インターネットから保守用中継サーバへのSSH接続を拒否(作業時間帯だけ許可)

また、二つ目の提言はSSHの接続元の制限で、「FWで接続元を制限することができれば」とあるので、項番4のインターネットの部分を制限することで二つ目の提言を実現することができます。このとき、インターネットではなく、保守PC-B又は保守PC-Cとすれば、接続元の制限をすることができます

今のままでは保守PC-Bと保守PC-Cはインターネット上にあり、特定することができませんが、[f]することでこれら2つのPCを特定することができます。一体どのようにすれば特定できるでしょうか。

ここで、図2の記述を思い出します。図2の12行目に「固定のグローバルIPアドレスは付与されない。」とあります。このようにわざわざ書かれている場合はとっても怪しいです…!!
固定のIPアドレスを付与することで、固定されたIPアドレスでフィルタリングルールを設定すれば保守PC-Bと保守PC-Cからのアクセスのみ許可することができます。したがって答えのようになります。

まとめ

今回は、情報処理安全確保支援士試験の令和3年度 秋期 午後Ⅰ 問1を解説しました。この記事が少しでも皆さんのお役に立てれば幸いです。

最後までお読みいただき、ありがとうございました!

コメント