情報処理安全確保支援士>午後II試験の段

情報処理安全確保支援士>午後II試験の段

–以下、おすすめ–

▶︎前回記事(午前I 試験の頻出をまとめた表を掲載) :情報処理安全確保支援士>午前I 試験とは
▶︎前回記事(午前II 試験の頻出をまとめた表を掲載):情報処理安全確保支援士、勉強始めます
▶前回記事(午後I 試験の頻出をまとめた表を掲載):情報処理安全確保支援士 “必読リンク集”
▶IPA(情報処理安全確保支援士):公式サイト

–以下、本文–

午後II試験は小論文と午後I試験の中間です

皆様、情報処理安全確保支援士について、
午前I、午前II、午後I試験を解いてみた感想はいかがでしょうか。
システムエンジニアでも知らなかったことや、
情報処理安全確保支援士のカバー範囲が広くて苦労されたことも多かったのではないでしょうか。

午後II試験は、120分で出題数2問のうち、1問を回答するというものです。
IPAの試験は、全般的に余裕をもって時間が設けられているため、時間切れとの戦いではなく、
事前の試験勉強量、知識・経験数、午後II試験まで来ると運も多少は関与するでしょう。
試験の合格に問わず、午前I試験の合格で、今後二年間午前I試験は免除されるため、
初めて受けてみて落ちてしまっても、次に備えて前を向きましょう!

午後II試験五年分の問題を解いてみた!

■午後II試験を解く中で、馴染みのない用語を知っておくと知識問題に昇華できます。
■頻出問題がどれかの分析はできていませんが、表にキーポイントを記載しているので、
 参考にしていただければ幸いです。

1.2021 春問1インシデント対応体制の整備パスワードリスト攻撃外部から入手したIDとパスワードの組みのリストを
つかってログイン試行する攻撃
2021 春問1インシデント対応体制の整備パスワードリスト攻撃に対策するために安全なPWの設定方法他のサービスで利用したPWと別のものを設定すること
2021 春問1インシデント対応体制の整備ログインが普段と異なる環境から行われたときの判別方法・IPアドレスからわかる地理的位置について過去のログインのものとの違いを確認する
・WebブラウザのCookieを利用し過去にログインした端末かを判定する
2021 春問1インシデント対応体制の整備ログ分析の際に整えておくことログの解析時間を揃えるため、タイムゾーンを統一する(基本的には日本時間)
2021 春問1インシデント対応体制の整備社内システムが社内LANと分離されていても、社内LANにマルウェアが侵入した場合、社内サーバにマルウェアが侵入するリスクが有るケースマルウェアに感染したUSBメモリを介して、
管理用PC に侵入し、さらに社内サーバに侵入する
2021 春問1インシデント対応体制の整備マルウェア攻撃時のNW設定の変更攻撃の接続元IPアドレスを管理者権限の持つフォルダの中に置く
2021 春問1インシデント対応体制の整備SSH接続およびHTTP接続を使った攻撃から保護する措置FWにおいて、インターネットからのインバウンド通信について、許可したものだけ通信できるようにする
2021 春問1インシデント対応体制の整備脆弱性管理プロセスで気にしておくこと・複数の脆弱性が同時に悪用される可能性の観点
・対応を見送った脆弱性の影響の観点
2.2021 春問2クラウドセキュリティ上位2オクテットが169.254に設定されたIPアドレスリンクローカルアドレス
2021 春問2クラウドセキュリティ社内LANでの個人所有機器の利用で障害が発生するケース多くの個人所有機器を社内LANに接続することによって、IPアドレスが枯渇するとき
2021 春問2クラウドセキュリティL2SWにミラーポートを設定し、粗ポートにLANモニタを接続して、DHCP OFFERの数を確認するDHCPサーバを稼働させたまま行う調査
2021 春問2クラウドセキュリティDHCPによるIPアドレスの配布がないことを確認するDHCPサーバを停止させてから行う調査
2021 春問2クラウドセキュリティサプリカントネットワーク上の利用者や端末の認証において、認証を要求する側(クライアント側)の機器やソフトウェアのこと
2021 春問2クラウドセキュリティサプリカントで暗号鍵を配布される前に行うこと認証要求→方式通知の受領→EAPメッセージのやり取り→認証成功→暗号を生成するための情報→暗号鍵の配布→DHCPサーバからIPアドレスの割当
2021 春問2クラウドセキュリティSaaSによるサービス要求が遮断されるタイミング認証要求から、認証を行うまでの間
2021 春問2クラウドセキュリティ自分たちが管理していない機器か調べる方法TLSクライアントによる認証の有無
2021 春問2クラウドセキュリティSaaSまたはSaaS事業者が準拠しているセキュリティ規格ISAE3402/SSAE16、ISMS認証
2021 春問2クラウドセキュリティ業務での個人所有機器の利用を禁止する要件に対し、そのセキュリティ設定が従業員によって無効にされない方法秘密鍵を書き出しできないように設定する
3.2020春問1Webサイトの統合二社が合併し、事業承継に伴って取得した個人情報の取り扱いに関し、個人情報保護法に定められている禁止事項本人の同意を得ないで、承継前における当該個人情報利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない
4.2020春問2クラウドサービスを活用したテレワーク環境OT Pアプリの初期設定用のQRコードを表示する機能にアクセスし、そのQRコードをOTPアプリで読み込むときに、OTPアプリがOTP生成に使用する情報シェアードシークレット(=共有秘密鍵)
2020春問2クラウドサービスを活用したテレワーク環境自社の利用者IDでOTPアプリにログインするときに、自社ネットワークからのアクセスだけに制限する理由第三者のOTPアプリで不正にOTPを生成できてしまうから
2020春問2クラウドサービスを活用したテレワーク環境簡単に技術的対策できず、利用規定で禁止にするしかない、テレワーク時の社内情報の持ち出し例社内情報を表示させ、画面をカメラで撮影する
2020春問2クラウドサービスを活用したテレワーク環境マルウェアがテレワーク時に社内情報を取得して持ち出すリスク社内情報を表示した画面のスクリーンショットを撮る方法
2020春問2クラウドサービスを活用したテレワーク環境クラウドサービス提供者が基盤に対し、脆弱性検査を行うことを許可していない場合の脆弱性検査の方法セキュリティ対策についての第三者による監査報告書で確認する
2020春問2クラウドサービスを活用したテレワーク環境紛失したノートPCを第三者に取得されたときに、ディスク復号されるされる可能性パスワードの推測によりログインできてしまうケース
2020春問2クラウドサービスを活用したテレワーク環境PINコードは利用者に設定させない方がいい理由容易に推測可能なPINコードを設定するため
2020春問2クラウドサービスを活用したテレワーク環境FWのVPN機能で同等のセキュリティを実現するために必要な仕組みクライアント証明書によるデバイス認証を行う仕組み
5.2019秋問1ソフトウェア開発におけるセキュリティ対策cronの設定が書き換えられるとき、ポート6379/tcpへのパケットを破棄するルールの追加と破棄しないときのできごと破棄するルール追加時:感染したマルウェアが動作する
破棄するルールを追加しないとき:同じ脆弱性を悪用され、別のマルウェアに再度感染し、元々感染していたマルウェアの動作が阻害される
2019秋問1ソフトウェア開発におけるセキュリティ対策ルートキットがマルウェアの活動を隠蔽するときに起こる例Linuxにおけるプロセス監視ツールであるtopコマンドは、プロセスIDが123の場合、ライブラリ関数を通してディレクトリ/proc/123内のファイルにアクセスすることによって、ライブラリ関数が書き換えられると、topコマンドの出力に一部のプログラムのプロセスなどが表示されなくなる
2019秋問1ソフトウェア開発におけるセキュリティ対策暗号資産の採掘用プログラムをダウンロードし、実行する機能を持つマルウェアの対策SSH、HTTP、HTTPSについて、サーバから外部へのアクセスを禁止する
2019秋問1ソフトウェア開発におけるセキュリティ対策他のサーバ上で稼働するアプリケーションに侵入を試みる機能を持つマルウェアの対策サーバへのアクセスを利用が想定されるIPアドレスだけに限定する
サービスで利用するポート番号をデフォルト以外の値にする
2019秋問1ソフトウェア開発におけるセキュリティ対策サーバのFWルールを変更する機能を持つマルウェアの対策アプリ及びミドルウェアを管理者権限以外の必要最小限の権限で稼働させる
2019秋問1ソフトウェア開発におけるセキュリティ対策ルートキットをダウンロードし、インストールする機能を持つマルウェアの対策SSH、HTTP、HTTPSについて、サーバから外部へのアクセスを禁止する
アプリ及びミドルウェアを管理者権限以外の必要最小限の権限で稼働させる
2019秋問1ソフトウェア開発におけるセキュリティ対策稼働の痕跡が含まれるログファイルを削除する機能を持つマルウェアの対策アプリ及びミドルウェアを管理者権限以外の必要最小限の権限で稼働させる
2019秋問1ソフトウェア開発におけるセキュリティ対策マルウェア対策・グローバルアドレスの送信元に限定する
・ポート番号をデフォルトと別のものにする
・感染後にcurlコマンドによってファイルダウンロードしたことを想定して、80/tcp,443/tcpを含め、外部へのアクセスを禁止する
2019秋問1ソフトウェア開発におけるセキュリティ対策アプリを必要最小限の権限にして稼働させることによるメリットiptablesによるサーバのFWルールを変更する機能を持つマルウェアの動きを防止する
2019秋問1ソフトウェア開発におけるセキュリティ対策設計プロセスでセキュリティ対策の漏れを防ぐために、参考になりそうなセキュリティ対策の標準CIS Benchmarks
OWASP ASVS
2019秋問1ソフトウェア開発におけるセキュリティ対策選択生情報に関して、収集する情報を必要十分な範囲に絞るため、情報収集に先立って必要な措置・システムを構成する実行環境のバージョン情報を把握して、その情報を最新にしておくこと
・脆弱性情報が報告された際、社内でCVSSによる脆弱性アセスメントを実施し、脆弱性修正プログラム適用を要するときは、検証環境でパッチを適用し、回帰テストを行った上で、本番環境に適用する
2019秋問1ソフトウェア開発におけるセキュリティ対策コンテナ技術・サーバでコンテナエンジンを一つ稼働させておけば、コンテナエンジンの上で、アプリごとに別のコンテナを稼働させることが可能。
・他のコンテナへの影響なく、コンテナごとにサービスの提供や停止ができ、コンテナエンジンの上で稼働するコンテナは複製が容易なので、同じ開発環境をいくつも用意してアプリ開発が可能
・構成情報については、変更の履歴を確認でき、運用プロセスでのシステム変更の管理につながる
・リリースする際の確認のため、本番環境と同じ実行環境を用意して、アプリが動作するか確認できる
6.2019秋問2工場のセキュリティUser-Agentヘッダフィールドの値からはマルウェアによる通信であると判定するのが難しいケースUser-Agentヘッダフィールドの値が自社で利用しているWebブラウザを示すケース
2019秋問2工場のセキュリティマルウェアに感染後にFWによって遮断すべきものマルウェアを含むファイルを配布していたWebサイト
2019秋問2工場のセキュリティAPT攻撃の典型的なステップ:武器化ターゲット組織に合わせた遠隔操作機能を持つマルウェアの作成と、正常に偽装した囮ファイルの作成
2019秋問2工場のセキュリティAPT攻撃の典型的なステップ:インストールターゲット組織の機器にマルウェアのインストール
当該機器にバックドアを設置することで、長期にわたり侵入を継続できるようにする
2019秋問2工場のセキュリティAPT攻撃の典型的なステップ:コマンドとコントロールマルウェアはインターネット上に設置された攻撃者のサーバと通信して、攻撃者の指示を受け取り、それにしたがって動作する
2019秋問2工場のセキュリティデータダイオード方式FA端末から業務などのサーバにデータを安全に転送するための仕組みで、方方向だけデータを転送する機能を持つネットワーク機器であるデータダイオードを利用する方式
2019秋問2工場のセキュリティデータダイオード方式のセキュリティ上の効果攻撃者の操作指示がFA端末に伝えられない
2019秋問2工場のセキュリティCVSS環境値入手した脆弱性情報について、その時点での自社にとっての深刻度を評価する
2019秋問2工場のセキュリティ深刻度評価の結果に基づいて考えられる措置当該脆弱性に対応したパッチを適用
是雨雀生のあるソフトウェア利用の禁止
2019秋問2工場のセキュリティ自社ネットワーク接続に関するセキュリティ規定・各部門は適切に管理・維持するための措置を定める
・各部門は接続するための申請を行う前に、リスクアセスメントを実施する
・システム部門が上記の作業を行う際に支援する
7.2019春1マルウェア感染と対策マルウェア感染した時にFWのログを調べる理由C&Cサーバに向けての情報の発信の確証を得るため
2019春1マルウェア感染と対策マルウェア感染した時にプロキシサーバのログを調べる理由C&Cサーバとの間でHTTPS通信と思われるセッションが確立していたことを確認するため
2019春1マルウェア感染と対策ファイル単位でなくセクタ単位で全セクタを調査対象とする理由削除されファイルの内容の確認と、空きセクタの情報からファイルを復元するため
2019春1マルウェア感染と対策MACアドレスによる接続制御していても攻撃される理由MACアドレスが平文の状態で送信されるから
2019春1マルウェア感染と対策攻撃者が自分の無線LAN端末を相手の端末と接続可能にする方法端末の無線LANポートのMACアドレスを、相手の端末に登録済みのMACアドレスに変更する
2019春1マルウェア感染と対策同一の平文ブロックが繰り返して現れている上でのTCP/IPパケットの特徴IPヘッダ部及びTCPヘッダ部は同一のバイト列であることが多いこと
2019春1マルウェア感染と対策TCP/IPパケット全体をECBモードで暗号化した場合の特徴同一の暗号ブロックが繰り返して現れることになり、暗号の解読が容易になる
2019春1マルウェア感染と対策TCP/IPパケット全体をCTRモードで暗号化した場合の特徴暗号ブロックは平文ブロックとカウンタ値を暗号化した値のため、平文ブロックが攻撃者によって推測された場合、カウンタ値を暗号化した値は簡単に算出できる。
初期カウンタ値の再利用の強制によって、同一のカウンタ値を暗号化した値を使用して異なるパケットの暗号文を作成してしまう可能性がある
2019春1マルウェア感染と対策HTTPS通信の場合、実質的にブラックリストに登録できるものURLのホスト部とポート番号部
※パス部はできない
2019春1マルウェア感染と対策マルウェアが窃取した情報を社外に送信する方法・攻撃者が用意したC&CサーバのHTTPS通信のセッションを確立しておく
・攻撃者が用意したW-APに接続し、情報を送信する
内部メールサーバを利用して攻撃者にメール送信する
2019春1マルウェア感染と対策HTTPS複合機能における通信の種類・信頼するCAのデジタル証明書
・外部Webサーバごとにサーバ証明書を用意する
・FWの製造元によって安全性が確認されたCAがデジタル証明書を発行する
8.2019春2情報セキュリティ対策の強化営業秘密管理指針をもとにした営業秘密に関する管理規則秘密管理性:営業秘密を含むすべてのページに社内秘密情報であることを記載し、閲覧を必要な人のみ制限する
有用性:自社開発の技術情報を営業秘密とする
非公知性:営業秘密は一般的に知られた状態にならないように刊行物に掲載しない
2019春2情報セキュリティ対策の強化オープンリレー迷惑メールの踏み台として内部メールサーバが利用される
2019春2情報セキュリティ対策の強化オープンリゾルバ対策プロキシサーバのIPアドレスからの名前解決だけを許可数る
2019春2情報セキュリティ対策の強化時刻同期機能国立研究開発法人情報通信研究機構がインターネット公開しているNTPサーバと時刻同期を行う
2019春2情報セキュリティ対策の強化AESCRYPTRECが選定した、電子政府における調達のために参照すべき暗号リストでも推奨されている共通鍵暗号
2019春2情報セキュリティ対策の強化CRYPTREC暗号技術の適切な実装方法や運用方法の調査および検討を行う国内のプロジェクト
2019春2情報セキュリティ対策の強化サーバのログの調査で操作者を特定するのは不十分な理由なりすましによるアクセスの場合、操作した人とログに記録された利用者IDを持つ利用者と異なるから
2019春2情報セキュリティ対策の強化不正ログインの際に対処すべきことパスワードを変更する
2019春2情報セキュリティ対策の強化マルウェア感染の後に対策ソフトでフルスキャンする理由マルウェアを含む圧縮ファイルを保存しているDPCの有無を調べるため
2019春2情報セキュリティ対策の強化平常時に圧縮ファイルはフルスキャンしなくてもいい理由圧縮ファイルを展開すると、展開したファイルに対してリアルタイムスキャンが実行されるから
2019春2情報セキュリティ対策の強化サーバへのアクセスを制限する方法アクセスを許可するIPアドレスだけを登録しておく
2019春2情報セキュリティ対策の強化パスワードに対する運用方法の見直し案初期パスワードは利用者ごとに異なるランダムな文字列にする
2019春2情報セキュリティ対策の強化集中管理の仕組みマルウェア定義ファイルを配信し、配信状況を管理する機能
マルウェアの検知を管理者に通知する機能
脆弱性修正プログラムを配信し、配信状況を管理する機能
9.2018秋問1クラウド環境におけるセキュリティ対策GDPR各国及び各地域の個人情報保護に関する法規制
2018秋問1クラウド環境におけるセキュリティ対策SAML2.0プロトコルSAMLは一度のログインで複数のサービスへの同時ログインを可能にするシステム(=シングルサインオン)に組み込まれている認証プロトコル
2018秋問1クラウド環境におけるセキュリティ対策SPNEGO(Simple Protected GsSAPI Negotiation Mechanism)プロトコル統合Windows認証で提供される方式の一つ(※)
ブラウザを介したKerberosベースの認証メカニズム
Microsoft Active Directoryへ参加済みのユーザは追加の認証なく連携サービスにログインできる
※もう一つはフォーム認証
2018秋問1クラウド環境におけるセキュリティ対策Iaasと社内ネットワークの接続において、FWのNAT機能を用いる理由システムの機器に割り当てているIPアドレスがIaaSで予約されているプライベートアドレスと重複する可能性があるため
2018秋問1クラウド環境におけるセキュリティ対策SaaSの利用者認証後の通信経路①認証サーバが発行したトークン要求⇨リダイレクト(認証サーバへのアクセスに必要なVPNクライアントの起動)⇨接続要求⇨クライアント証明書の要求
2018秋問1クラウド環境におけるセキュリティ対策SaaSの利用者認証後の通信経路②⇨クライアント証明書の発行⇨リダイレクト(クライアント証明書の検討)⇨接続OK(IPアドレス割り当て)⇨トークン発行要求⇨利用者IDおよびパスワードの入力要求⇨利用者ID及びパスワードの検証要求
2018秋問1クラウド環境におけるセキュリティ対策SaaSの利用者認証後の通信経路③⇨検証OK⇨パッチ適用お状況及びセキュリティ設定の確認要求⇨確認結果⇨リダイレクト(確認結果の検証)⇨トークンの発行⇨アクセス要求(認証サーバが発行したトークン)
2018秋問1クラウド環境におけるセキュリティ対策フレームワークインプリメンテーションティアティア1:部分的である(Partial)
ティア2:リスク情報を活用している(Risk Informed)
ティア3:繰り返し適用可能である(Repeatable)
ティア4: 適応している(Adaptive)
10.2018秋問2セキュリティインシデントへの対応インシデント対応のための体制整備・侵入検知
・脆弱性や脅威についてのアドバイザリの配信
・教育と意識向上
・社内外での情報共有の推進
2018秋問2セキュリティインシデントへの対応インシデント対応ポリシマネジメント層の責任表明
インシデントと関連用語の定義
インシデントについての優先順位付または深刻度評価
2018秋問2セキュリティインシデントへの対応1.取得するログについての要件ログを取得する機器
取得するログの種類
2018秋問2セキュリティインシデントへの対応2.取得したログについての要件保存期間について
バックアップの作成について
アクセス制御について
2018秋問2セキュリティインシデントへの対応3.その他ログについての要件各機器が出力するログに記録する時刻情報のタイムゾーンを統一するという要件
2018秋問2セキュリティインシデントへの対応取得した通常時プロファイルの利用方法ネットワークトラフィック量と比較して異常を検知する
2018秋問2セキュリティインシデントへの対応マルウェア感染したファイルをダウンロードさせるサイトにアクセスしたPCを特定する方法プロキシサーバのログからアクセス先がそのサイトであるエントリを抽出し、エントリから感染したIPアドレスを得る
2018秋問2セキュリティインシデントへの対応マルウェアが特定のサイトにアクセスし、頻繁に同じサイトにアクセスを繰り返しているときに想定される活動HTTPリクエストによる活動:C&Cサーバへのコマンド要求または応答
HTTPレスポンスによる活動:C&Cサーバからのコマンド受信
2018秋問2セキュリティインシデントへの対応感染したPCをネットワークからすぐに遮断する時の調査の観点から見たデメリットPCのネットワークインタフェースや通信の状態についての情報が失われること
2018秋問2セキュリティインシデントへの対応感染したPCをネットワークからすぐに遮断する前に行っておくことメモリダンプを取得する
2018秋問2セキュリティインシデントへの対応感染したPCの他に気にすべきことプロキシサーバのログから他にマルウェア感染したファイルをダウンロードさせるサイトにアクセスした機器はないかの確認
2018秋問2セキュリティインシデントへの対応フォレンジックツール証拠保全、データ解析、関連情報の抽出、報告までの一連の⾏為を行うツール
2018秋問2セキュリティインシデントへの対応フォレンジックツールを用いてファイル検索するときに必要なもの攻撃者が作成したファイルのファイルサイズとハッシュ値
2018秋問2セキュリティインシデントへの対応プロキシサーバまたはFWが取得できる情報のうち、記録と併せて見ることでファイル送信の有無を判断するのに役立つ情報プロキシサーバがインターネットに送信したデータのサイズ
2018秋問2セキュリティインシデントへの対応マルウェアに感染した時のインシデントのタイムライン例マルウェア感染したファイルをダウンロードさせるサイトにアクセス⇨実行ファイルをダウンロード⇨マルウェアを実行⇨C&Cサーバと繋がっているサイトに頻繁にアクセスされ、コマンド要求される⇨攻撃者がPCへのログインに成功⇨漏洩が疑われるファイルのコピーと感染したファイルをローカルディスクに保存
2018秋問2セキュリティインシデントへの対応インシデント対応能力の不足(手探りで解決を図ろうとしている場合)インシデント対応の手順書を作成する

資格勉強カテゴリの最新記事