【令和3年度 春期 午後Ⅰ】情報処理安全確保支援士 SC 過去問 解説メモ

試験間近。過去問追い込み中。整理用にメモ。

IPA午後Ⅰ回答

午後Ⅰ 問1

設問1
(1)多要素認証の実装をSサービス側に用意しなくてよい。

「前回の脆弱性診断では、Sサービスの認証モジュールの認証方式を、多要素認証にする方がよいとアドバイスを受けたが、その対処が課題だった」と書かれている。利点はID連携によって実装レスで多要素認証の恩恵を得られること。


(2)Tサービスの障害時にSサービスを利用できない。

可用性≒サービス継続の観点で、T社側の障害によるサービス停止はS社側でコントロールできない範囲であり、欠点となってしまう。


(3)a:ア Sサービス、b:イ Tサービス、c:ウ 利用者

認可を受ける側と認可を与える側の関係性を考える。


(4)α:え

 
設問2
(1)d:ウ 認可コード、e:ア アクセストークンの要求


(2)アップロード:攻撃者
   ダウンロード:攻撃者


(3)β:い 認可の要求、γ:か 認可コード

認可を要求したユーザと、認可の承認(リダイレクト)を行ったユーザが同一であることを確認する必要がある。

OAuth2.0 State の役割 - Qiita

 
設問3
(1)エ 利用者のアカウント名、電子メールアドレスなど登録情報を取得する権限

図2に「S会員登録希望者がログイン中のTサービスから取得したアカウント名T-IDをSサービス内に登録する」とある。


(2)S認証モジュールに利用者IDとパスワードを登録していないS会員

Tサービスのアカウントをもち、ID連携でSサービスに登録したユーザは認証ができずログインができなくなる。

 
設問4
Tサービスで認証されたS会員のT-IDが,Sサービス内に登録されていること
を確認する。

Tサービスで認証に成功したアカウントを、Sサービスのアカウントとどのように紐づけているか。
図2に「S会員登録希望者がログイン中のTサービスから取得したアカウント名T-IDをSサービス内に登録する」とある。

ID連携とは
https://wa3.i-3-i.info/word16715.html


 

午後Ⅰ 問2

設問1
(1)A 社公開 Web サーバの名前解決ができなくなる。

A社の権威DNSが落ちたら、A社Webサイトについて外部からの名前解決ができなくなる。


(2)DNSリフレクション攻撃

DNSリフレクション攻撃とは?仕組みや注意点、対策方法について徹底解説|サイバーセキュリティ.com


(3)a:ア DNS-F、b:イ DNS-K

外部からのDNSリクエストには、権威DNSサーバDNS-KでA社サーバに関するリクエストのみ名前解決する。
内部からのDNSリクエストには、フルサービスリゾルDNS-Fですべてのリクエストについて名前解決する。


(4)c:A

IPアドレスが登録されるのはAレコード。


(5)d:ランダム化

キャッシュポイズニング攻撃への対策は、ポート番号のランダム化。

インターネット10分講座:DNSキャッシュポイズニング - JPNIC


(6)e:DNSSEC


(7)f:オ スタブリゾルバ、g:カ フルサービスリゾル

TCP/IP - DNSとは その3

 
設問2
(1)権威DNSサーバがサービス停止になるリスク

障害やDoS攻撃などでプライマリの権威DNSがサービス停止となっても、セカンダリの権威DNSで名前解決できるため、可用性が向上する。


(2)h:カ dns-s.x-sha.cp.jp、i:ク mail.a-sha.co.jp

NS:Name Server
MX:Mail Exchanger


(3)j:拒否、k:許可、l:拒否、m:拒否

セカンダリDNSはプライマリにゾーン情報を要求できる必要がある。


(4)n:オ プロキシサーバ、o:ア DNS-HF、p:カ メールサーバ

外部からのA社Webサイトの名前解決はX社のホスティングサービスで行われるため、FWを経由しない。

内部からの名前解決は、X社のフルサービスリゾルDNS-HFにFWを経由してリクエストする必要がある。表1に「フルサービスリゾルバとしては、プロキシサーバとメールサーバが使用」と書かれている。


 

午後Ⅰ 問3

設問1
a:PC の動作に問題がないこと

他のアプリケーションへの影響を検証している。問題なければパッチの配信へ進める。
 
 
設問2
L2SW1

FWの概要に「インターネットとの通信を許可しているのはDMZだけ」とある。
外向けの通信があるDMZのL2SW1をみればよい。

 
設問3
(1)b:エ FF:FF:FF:FF:FF:FF


(2)c:イ MACアドレス

nWOL TIPS: DHCPでIPアドレスが変わるPCをWOL起動する

Wake-On-LAN入門:リモートでコンピュータの電源をオンにする(2/3 ページ) - @IT


(3)起動パケットを他のセグメントに転送するように変更する。

ブロードキャストはセグメントを超えられないため、WoLの起動要求のブロードキャストを利用者LANへ転送できるようにする。DHCPリレーエージェント機能のような設定をする。

 
設問4
(1)(2)の活動に必要な情報:IPアドレス
   (4)の活動に必要な情報:MACアドレス

pingではIPアドレスやホスト名を指定。
WoLではMACアドレスを指定。

なぜIPアドレスだけでなくMACアドレスも必要なの? ~IPアドレスとMACアドレスの違い~ | IPアドレッシング | ネットワークのおべんきょしませんか?


(2)エージェントによって,夜間にarpコマンドの実行を検知したら,当該PCをネットワークから隔離する。

「夜間の不審なふるまいをしたときに、当該PCをネットワークから隔離する対策を助言した」とある。
不審なふるまい=ARPコマンドの実行、その検知はすべてのPC上で起動するエージェントで行う。