本記事では情報処理安全確保支援士の午後I(記述)対策として、
令和3年問1で出題された過去問の解説をします。
問題
過去問の問題文、出題要旨、採点講評は試験センターからダウンロード可能です。
問題文全文
出題趣旨(試験センターより)
問題特性
| 出題年度 | 令和3年秋 | 問題 | 午後I・問1 | |
| 出題形式 | 記述式 | 設問数 | 10 | |
| 問題文ページ数 | 5ページ | 設問タイプ別 内訳 |
記述(20字以上) | 4 |
| 設問文ページ数 | 1ページ | 記述(20字未満) | 2 | |
| 総合難易度 | 中 | 単語抜き出し | 4 | |
| 総評(筆者) | セキュリティインシデントの再発防止がテーマ。FWルールの読解、SSHサーバ設定の改善に関する知識があれば十分合格圏内の得点ができるものと思われる。時系列を整理して解答させる問題(設問2(2))があったのが特徴的。 | |||
近年の頻出テーマであるセキュリティインシデントからの
出題です。
昨今主流になりつつあるリモートワークを題材に、
業務環境へのアクセス経路に対するセキュリティ、
インシデント、改善策について問われます。
あると有利です。
解法
設問1 〔顧客管理サーバの保守方法〕について
(1) SSH接続する際のエラーメッセージから想定される状況
| 設問タイプ | 記述(20字以内) | 対策 | 知識 |
| 難易度 | 難 | 配点(筆者予想) | 5 |
| 正答 |
・接続先が保守用中継サーバではない ・中間者攻撃を受けている |
||
SSHアクセスに関する知識が必要であり、
平常運用時にも意識されることが少ない領域であるためか、
試験センターからの採点講評でも正答率は低と公表されています。
空欄 a の場所は〔顧客管理サーバの保守方法〕です。
SSH接続での運用を経験したことがあれば、
初めてSSHで接続する際に
Are you sure you want to continue connecting (yes/no)?
という警告メッセージが表示されることについて
記憶のある方もいるのではないでしょうか?
SSH接続におけるフィンガープリント(直訳:指紋)は、
接続先サーバを特定する情報です。
攻撃者としては接続先サーバになりすまして、
接続を待ち受け秘匿情報を窃取したり、
セッションをハイジャックしたりします。
もしもSSH接続する際に接続先確認に関する警告メッセージが
表示されるということは、
接続しようとしているサーバの情報(フィンガープリント)が変わったか、
なりすまされている可能性がある、ということです。
回答としては、接続先サーバが正しくないことや、
フィンガープリントが防御しようとしている中間者攻撃を
答えれば正答となるでしょう。
正答:
・接続先が保守用中継サーバでない(15字)
・中間者攻撃を受けている(11字)
どのような対処が考えられるかは以下サイトが参考になります。
実際の運用においてもサーバを入れ替えた結果フィンガープリントが
変わり、SSH接続時にエラーが出るのはよくあることです。
ただ、フィンガープリントはなりすましを検知するための
チェック機構ですので、本来の目的を忘れないようにしたいものです。
(2) 一般利用者権限を与える理由
| 設問タイプ | 記述(25字以内) | 対策 | 読み方を覚える |
| 難易度 | 易 | 配点(筆者予想) | 6 |
| 正答 | 操作ログの改ざんや削除を防止するため | ||
ログに関するファイルを脅威から防御するという視点で
読み進めれば自ずと正答できる問題と思います。
下線部①は保守用中継サーバの利用者IDに一般利用者の権限を与える
という内容です。
保守用中継サーバと顧客管理サーバを対比させて説明しているので
両者の関係も頭に入れておく必要があります。
保守員は顧客管理サーバ上で作業を行うので、
顧客管理サーバ上では特権利用者の権限を与えられています。
保守用中継サーバ上では一般利用者の権限に限定されているので、
その目的を回答すれば出題の意図に合いそうです。
一般に、「権限は最低限に」がセキュリティの基本ですから、
その姿勢で読めば自然と解答のヒントとなる箇所が見えてくると
思います。
設問文には「操作ログ」という言葉を用いてという指定があるので
ログの部分も読み進めます。
操作ログに関する部分は緑線を引きましたが、
- 保守用中継サーバでのコマンド実行及びその結果
- 顧客管理サーバでのコマンド実行及びその結果
が保守用中継サーバに記録されるとあります。
もしも保守用中継サーバ上で一般利用者の権限ではなく
特権利用者の権限を保有していると、これらの記録の
隠蔽や悪意ある修正、誤った削除の危機にさらされることになります。
正答としては次のようになります。
正答:操作ログの改ざんや削除を防止するため(18字)
(3) FWのフィルタリングルールの穴埋め
b
| 設問タイプ | 抜き出し | 対策 | 知識 |
| 難易度 | 易 | 配点(筆者予想) | 4 |
| 正答 | 保守用PC-A | ||
c
| 設問タイプ | 抜き出し | 対策 | 知識 |
| 難易度 | 中 | 配点(筆者予想) | 4 |
| 正答 | インターネット | ||
ファイアウォールの設定に慣れた方やネットワークスペシャリストを
保有している方には易しい問題です。
そうでなくてもネットワーク図とフィルタリングの表を
突き合わせて整理すれば正答にたどり着くことができます。
上図にはひとまず1. 2. 5. 6. に関するフィルタリングルールの方向を
矢印で記載しました。
問題となっているのはフィルタリングルールの 3. と 4. なので
空欄以外の部分を見ると、これらはどちらも
保守用中継サーバを宛先にSSHで接続する際のルールである
ということが読み取れます。
保守用中継サーバにアクセスするのは保守用PCだけなので、
ルールの3.が許可であることからアクセス可能であるPCを、
ルールの4.が拒否であることからアクセスしてはいけないものが
空欄に入ることになります。
まずルールの3.ですが保守用PCはA,B,Cの3台ありどれが入るかを
考えます。
保守用PC-Aは固定のプライベートIPアドレスが付与されている
という記載があるため、フィルタリングルールに定義するのに
適切です。
一方保守用PC-Bと保守用PC-Cは固定のグローバルIPアドレスは
付与されないので、フィルタリングルールに定義するのに
不適切であると考えられます。
典型的で流通量の多いファイアウォールは、レイヤ3、4の情報で
フィルタリングルールを定義するのが一般的です。
端末を特定する意図の場合、IPアドレスを固定できるかは
重要な条件です。
正答:(空欄 b )保守用PC-A
次に空欄 c ですが前問に比べヒントが少ないので
難易度は中と評価しました。
ルール4.も保守用中継サーバにSSH接続するルールについての
定義ですが、動作は「拒否」としています。
さらに注1の部分(緑線で記載)を読むと、保守PC-Bと保守PC-Cの
アクセスの際だけ「許可」に変更すると読み取れます。
つまりこのルールは保守PC-Bと保守PC-Cに関する通信に
合致するものであると考えられるので、
これらはインターネット経由でアクセスしてくることを考えると、
空欄の中身は「インターネット」ということになります。
保守PC-Bと保守PC-Cに関するルールが他に定義されている
可能性もありそうですが、上記表の注記2には、
「項番7~14にはSSHに関するルールはない」とあるので、
その可能性はないということが分かります。
こうしてみると注記2もヒントであることが分かります。
正答:(空欄 c )インターネット
設問2 〔セキュリティインシデントの発生と対応〕について
(1) FWログに記録されるフィルタリングルール
| 設問タイプ | 抜き出し | 対策 | 知識 |
| 難易度 | 易 | 配点(筆者予想) | 4 |
| 正答 | 6 | ||
この問題も設問1(3)と同様ファイアウォールのフィルタリングルール表の
見方が分かれば易しい問題です。
まずは下線部②を確認します。
「試みていたことがわかった」という記載から、
通信は成立せず失敗していたことが読み取れます。
よってFWログは「拒否」となっているフィルタリングルールで
記録されたことが分かります。
拒否ルールは4か6か16なので、この中から選択します。
ルール4は設問1(3)の結果からインターネットからのアクセスですので、
下線②とは通信の方向が逆です。
ルール6とルール15はどちらも下線②の条件を満たしますが、
こうした場合は注記1の通り、項番が小さい順に評価し
最初に合致したルールが適用されることから、ルール6が正答となります。
一般的なFWはこの動作を採用しており、
条件が複数合致する場合は最初のルールを適用する動きのことを
ファーストラインマッチと言います。
正答:6
(2) 第三者がSSH接続可能だった期間
| 設問タイプ | 抜き出し | 対策 | 解き方を理解する |
| 難易度 | 中 | 配点(筆者予想) | 5 |
| 正答 | 6月14日の7時0分から6月14日の9時30分まで | ||
セキュリティインシデント発覚に対する事実確認に
関する設問で、登録セキスぺの振る舞いとして実践的な
問題です。
まずは事実確認した内容を読み込みます。
時系列を整理したものが次の図です。
問題文に登場するS氏も第三者がop1のパスワードを推測して
不正アクセスした可能性が高いと判断しています。
設問には「第三者がSSH接続可能だった期間」を問われているので、
保守PC-Cによる作業申請時間、すなわちFWルールが許可になる時間が
正答となります。
op1での認証が成功した7時40分からという時間も気になりますが、
「SSH接続可能だった期間」という設問に沿って
正答は以下の通りです。
正答:6月14日の7時0分から6月14日の9時30分まで
設問3 について
設問3については有料とはなりますが、
以下の note の記事をご購入いただき、
末尾よりご確認をお願いします。
総評
解答一覧
| 設問 | 正答 | 配点 (筆者 予想) |
設問タイプ | 難 易 度 |
対策 | ||
| 設 問 1 |
(1) | ・接続先が保守用中継サーバではない ・中間者攻撃を受けている |
5 | 記述(20字以内) | 難 | 知識 | |
| (2) | 操作ログの改ざんや削除を防止するため | 6 | 記述(25字以内) | 易 | 読み方を覚える | ||
| (3) | b | 保守用PC-A | 4 | 抜き出し | 易 | 知識 | |
| c | インターネット | 4 | 抜き出し | 中 | 知識 | ||
| 設 問 2 |
(1) | 6 | 4 | 抜き出し | 易 | 知識 | |
| (2) | 6月14日の7時0分から6月14日の9時30分まで | 5 | 抜き出し | 中 | 解き方を理解する | ||
| 設 問 3 |
(1) | ・保守員以外が不正に秘密鍵を利用できないようにするため ・秘密鍵が盗まれても悪用できないようにするため ・保守用PCの紛失時に拾得者が秘密鍵をできないようにするため |
7 | 記述(30字以内) | 難 | 知識 | |
| (2) | パスワード認証 | 5 | 記述(10字以内) | 易 | 知識 | ||
| (3) | 秘密鍵 | 4 | 記述(5字以内) | 中 | 知識 | ||
| (4) | 送信元IPアドレスを固定にする | 6 | 記述(20字以内) | 中 | 知識 | ||
採点講評(試験センターより)
問題特性(再掲)
| 出題年度 | 令和3年秋 | 問題 | 午後I・問1 | |
| 出題形式 | 記述式 | 設問数 | 10 | |
| 問題文ページ数 | 5ページ | 設問タイプ別 内訳 |
記述(20字以上) | 4 |
| 設問文ページ数 | 1ページ | 記述(20字未満) | 2 | |
| 総合難易度 | 中 | 単語抜き出し | 4 | |
| 総評(筆者) | セキュリティインシデントの再発防止がテーマ。FWルールの読解、SSHサーバ設定の改善に関する知識があれば十分合格圏内の得点ができるものと思われる。時系列を整理して解答させる問題(設問2(2))があったのが特徴的。 | |||
いかがでしたでしょうか?
個人的には登録セキスぺを保持するS氏が登場し、
インシデントに対する状況確認、影響把握、改善提案を
行っている様子が実務上の振る舞いも彷彿とさせ印象的でした。
本記事は当ブログで情報処理安全確保支援士の
記述式の初の解説記事です。
今後、過去問の徹底解説記事を充実して参ります。
ではそれまで。
