【SC＊過去問解説】令和3年度秋期午後Ⅰ 問3

こんにちは、mokakoです。
今回は情報処理安全確保支援士試験の令和3年度秋期午後Ⅰ 問3を解説していきたいと思います！

※この解説ブログでは、あくまでも私自身が解いた備忘録となりますので、間違いなどを発見された場合はどうぞ教えていただけますと幸いです。

下記より問題文と解答を引用しております。

問題
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2021r03_2/2021r03a_sc_pm1_qs.pdf
解答
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2021r03_2/2021r03a_sc_pm1_ans.pdf
出典：令和3年度春期情報処理安全確保支援士試験午後Ⅰ 問3

では早速解説してまいります！

Contents

設問1
設問2
- (1)①項番:3 送信元:総務部、営業部 ②項番:4 送信元:技術部LAN
- (2)d.V社配布サイトのURL e.全て
設問3
- (1)登録した実行ファイルがバージョンアップされた場合
- (2)登録した実行ファイルのマクロとして実行されるマルウェア
まとめ

設問1

(1)LANから切り離す。

本文中の下線①「マルウェア感染拡大防止のためのPC-Gの初動対応」について、15字以内で答える問題です。

PCがマルウェアに感染した場合、まずはLANから切り離すことが重要です。「マルウェア感染拡大防止のための」という記述があることからもこの答えが適切です。

(2)ディスクイメージ

本文中の下線②「必要な情報」について、10字以内で答える問題です。

デジタルフォレンジックスとは、何かしらの攻撃を受けた時や犯罪に巻き込まれた時にデータやログで証拠を明らかにするための手法のことです。ディスクイメージを取得しておくことで、現在のハードディスクの中身を丸ごと映し取ることができます。

※私はメモリダンプだと思ってしまいましたが、図3の(1)でもPC-Gは一度シャットダウンしてしまっているので意味がないのですかね？分かる方いらっしゃったらぜひ教えていただけないでしょうか…TT

(3)a.最新のマルウェア定義ファイルを保存したDVD-Rの使用 b.マルウェア定義ファイルの更新 c.マルウェア対策ソフトの画面の操作

本文中の[a]に入れる字句を35字以内で、本文及び図2中の[b]に入れる字句を20字以内で、図2中の[c]に入れる字句を25字以内で答える問題です。

前後の文章を読んでみると、「PC-Gで[a]という方法を使って[b]した後に、フルスキャンを実施するようEさんに指示した。」とあります。[b]した後にフルスキャンを実施とあるので、ここはマルウェア対策ソフトの話をしていると推測できます。フルスキャンの前に必要なことといえば、マルウェア定義ファイルの更新です。p15の表1の下にマルウェア対策ソフトについての記述があります。

マルウェア定義ファイルを更新する方法は二つあります。

マルウェア対策ソフトの画面の操作（インターネット経由する）
別のPCを用いてマルウェア定義ファイルをV社配布サイトから手動でダウンロードし、そのファイルを保存したDVD-Rを用いる（インターネットを経由しない）

PC-Gは初動対応でLANから切り離されているので、インターネット上にあるV社配布サイトへはアクセスできません。そのため、[a]にはインターネットを経由しないDVD-Rを使用した二つ目の方法が入ります。

次に[c]ですが、Q社の社員全体に対し貸与しているPCのマルウェア定義ファイルの最新化を指示しています。全員がDVD-Rを使っていては時間がかかってしまうので、インターネット経由で取得できる一つ目の方法が入ります。

(4)Q社内の全てのPC及びサーバからのアクセス

本文中の下線③「プロキシサーバのアクセスログに関して調査すべき範囲の漏れをカバーするための追加調査」について、追加調査の範囲を25字以内で答える問題です。

図3の(4)「プロキシサーバのアクセスログの調査」から現時点での調査範囲を見てみると、

アクセス元IPアドレス：PC-G
期間：12月9日17時から3ヶ月前まで

と整理することができます。アクセス元IPアドレスをPC-Gに絞っていることに注目です。12月9日17時にQ社全体でマルウェアは検出されませんでしたが、どこかのタイミングで削除された可能性などもあるので、プロキシサーバでCリストへのアクセスをQ社全体のPCに関して調査する必要があります。したがって解答のようになります。

設問2

(1)①項番:3 送信元:総務部、営業部 ②項番:4 送信元:技術部LAN

本文中の下線④「FWのフィルタリングルールのうちの二つのルールについて、送信元を変更する。」について、変更する二つのルールの項番と、それぞれの変更後のルールにおける送信元の内容を答える問題です。

下線④の一つ前の文章に「Fサーバ1の利用者を総務部員及び営業部員に、Fサーバ2の利用者を技術部員にそれぞれ振り分けて」とあります。表2を見ると、宛先がFサーバ1なのは項番3、宛先がFサーバ2なのは項番4になっているので、先ほどの記述を参考にそれぞれ送信先を限定すればOKです。

(2)d.V社配布サイトのURL e.全て

表3中の[d]、[e]に入れる適切な設定内容を答える問題です。

サーバLANとインターネット間の通信を制限するため、表1でも触れていたUFリストを定義するようです。表一の3つ目の中点に注目すると、

許可リスト→拒否リスト→V社拒否リスト

の順に適用されることが分かります。また、その下4つ目の中点は、

許可リストに”全て”と記載：全てのURLへのアクセスが許可
拒否リストに”全て”と記載：許可リストで許可したURL以外のURLへのアクセスが拒否

と整理できます。拒否リストに”全て”と記載することでホワイトリストのように利用することができます。今回は、p15の表1の下8行目に、「Fサーバ1及びFサーバ2がインターネットと通信するのは、マルウェア定義ファイルの更新時だけである。」と記述があり、つまりV社配布サイト以外にはアクセスすることがないということになります。

したがって、許可リスト[d]にV社配布サイトのURL、拒否リスト[e]に全てと記載することで、V社配布サイトのみ許可、それ以外は全て拒否というルールにすることができます。

設問3

(1)登録した実行ファイルがバージョンアップされた場合

本文中の下線⑤「ハッシュ値の登録変更が必要になる場合がある。」について、どのような場合かを30字以内で答える問題です。

登録した実行ファイルのみ実行を許可するソフトウェアに関し、ハッシュ値の登録変更が必要になるケースです。何らかの理由ですでに登録された実行ファイルのハッシュ値が変更になる場合なので、そのソフトウェアのバージョンアップ時などが考えられます。

(2)登録した実行ファイルのマクロとして実行されるマルウェア

本文中の下線⑥「ある種のマルウェアでは実行を禁止できない。」について、どのようなマルウェアかを35字以内で答える問題です。

正規の実行ファイルのマクロとして埋め込まれるマルウェアが存在するみたいです。私は思いつかなかったです…。

まとめ

今回は、情報処理安全確保支援士試験の令和3年度秋期午後Ⅰ 問3を解説しました。この記事が少しでも皆さんのお役に立てれば幸いです。

最後までお読みいただき、ありがとうございました！