2019年度春季情報処理安全確保支援士の試験をさらっと見た
前回に引き続きサラッと見ました。
少し仕事にも絡んでくるところだったので、前回よりも少し真面目に解いております。
午前II
17/25
| 問題番号 | 正誤 | 問題番号 | 正誤 | |
|---|---|---|---|---|
| 1 | × | 14 | ○ | |
| 2 | × | 15 | ○ | |
| 3 | ○ | 16 | ○ | |
| 4 | ○ | 17 | ○ | |
| 5 | ○ | 18 | × | |
| 6 | ○ | 19 | ○ | |
| 7 | ○ | 20 | × | |
| 8 | ○ | 21 | ○ | |
| 9 | × | 22 | ○ | |
| 10 | ○ | 23 | ○ | |
| 11 | ○ | 24 | × | |
| 12 | ○ | 25 | × | |
| 13 | × |
結果はギリギリ合格笑
試験勉強した上で望めば、ケアレスミスなくて済んだかもしれない。
以下は特に個人的に気になった設問。
問2 OCSPの役割を問う問題
OCSPとは、TCP/IPネットワークを通じてデジタル証明書(公開鍵証明書)の有効性を問い合わせる手順を定めたプロトコル(通信規約)。暗号化やデジタル署名に用いるX.509証明書が何らかの理由により有効期限前に失効している場合、そのことを速やかに知ることができる。
下記より引用 e-words.jp
こんなプロトコルすっかり忘れていた。でも、なんかCRL関連だったというのは思い出したのでウかエの2択までは絞り込めた。(絞り込んだうえで間違えた)
問5 仮想通貨におけるクリプトジャッキング
クリプトジャッキング(cryptojacking)とは、仮想通貨の「マイニング」(「採掘」の意)を不正に行うこと。マイニングとは、仮想通貨の取引に必要な計算に協力した対価として仮想通貨を獲得できる仕組みだ。
下記より引用 securityblog.jp
クリプトジャッキングという単語がわからなかった。なんとなく自分の中でイメージして回答したら当たっていた。ラッキー。
とはいえ、仮想通貨に関する問題が増えてきたなというイメージ。これからもこの傾向が続くのだろうか。
最新の参考書を買っていればここら辺の仮想通貨に関する単語とかも掲載されていそうですね(手元にあるの2017年度のものなので既に情報が古い・・・)
問10 CSRFの脆弱性の対策
IPAが好きな問題だなーという印象。ここら辺はIPAが出している安全なWebサイトの作り方とかAppGoatで勉強していれば、余裕なはず。 もちろん、Webアプリの脆弱性を勉強するなら、徳丸本もいいですよね。
問18 無線LANにおける隠れ端末問題
隠れ端末問題 (かくれたんまつもんだい、hidden node problem)とは、ネットワーク通信の分野において、ALOHAや、CSMA/CA、IEEE 802.11などのプロトコルで発生する有名な問題である。
下記より引用 ja.wikipedia.org
単語自体を知らなかった・・・
なんか意味合い的に、無線LANの無許可の利用についてかな?とか想像したけど、大きく外しましたね。悔しい。
午後I
個人的に選択するなら、問1か問2ですね。
問1
Webサイトのセキュリティに関する問題
今回は同一生成ポリシーに関する問題でしたね。
基本的にJSONP使うなり、CORSでサーバー側で設定するなりして、よりセキュアな方法で実装してあげるのがベター。
JSONPだとリクエストしている内容が個人情報とか外部に漏洩してはいけないようなものを提供していればアウトという認識。理由は、スクリプトの中身書き換えられて攻撃者に任意のリクエストを行えるようにしてしまうため。
だから、今回の問題のようにCORSをサーバー側で設定してあげる方が無難ですね。
問2
クラウドサービスに関する問題
そろそろくると思っていた、認証周りのお話が来ましたね。 OTPとかパスワードレスとかが話題に上がっておりました。 パスワード認証に関しては、もうそろそろ全体的に見直しがかかってほしいところですね・・・
あと公衆無線LANはできるだけ使わないようにしましょう。
問3
IoT製品に関する問題。 ゲームに関する問題というのがなかなか新しい気がしました。
TRMなどが出てきて、問2とはまた違った内容。 どちらかいうとハード面での知識も求められるような気がしました。
午後II
問1
マルウェアに関する問題。
マルウェアに感染した端末があり、外部に情報が流出しました。
それらをFWなどのネットワーク機器を用いてどのように検知することができたかや対策をどう練ればよかったかという問題ですかね。
マルウェアに対する対策に加えて無線LANに関する知識なども求められており、個人的には少し苦手な問題です。
問2
情報セキュリティ強化に関する問題
情報セキュリティのルールや運用ポリシーが紹介された上で、情報漏洩が発生してしまったのでそれの対策に関する問題のようですね。
マルウェアに感染して、外部に情報流出というのは問1と同じ流れだなと思いました。
まとめ
個人的な予測としては、サプライチェーン攻撃とか、働き方改革をネタにしたリモートワークを取り入れる時のセキュアな制度とか、ビジネスメール詐欺くるかなと思ったけど、来なかったですね。
まさかの公開鍵などを用いた認証が二回も出るというね。 この公開鍵周り勉強していない人だったら、詰んでたかもしれないですね。
