雑記

情報処理安全確保支援士試験(SC)午後Ⅰ問題(平成29年度春)を解いてみた

更新日:

情報処理安全確保支援士試験(SC)の新設

本日もNUKO@LOGをご覧いただきありがとうございます。朝越ケンタ(@asagokenta)です。

情報処理安全確保支援士ってご存知ですか?IT系の業界では有名なIPA(独立行政法人 情報処理推進機構)が行っている所謂「情報処理技術者試験」に新しく出来た国家資格です。SAOのキリト君が告知してたので情報系企業、学生じゃない人も知ってる人は知ってるかもしれません。

「情報処理安全確保支援士」を名乗るには登録が必要で、更新有の資格なので維持するのにめっちゃ金かかるんだけど、「試験合格」の実績の為に受験する人もかなりいるはず。


ソードアート・オンライン×官民連携サイバーセキュリティ月間イベント サイバー攻撃を目撃せよ!  コラボ版パンフレット(A4両面)(PDF:3.1MB)

 

ぼくも受けてみたんだけど、午前問題の即日回答発表とは違い、午後問題の公式回答の発表は遅いらしくもやもやしてるのでぼくの回答、調べてみたそれっぽい回答を書いてみます。「ここの答えはこうだよ!」っていうご指摘があればコメント頂けると嬉しいです。あくまでも、一般受験者の回答なので必ずしも正しい答えではないので悪しからず。

 

午後Ⅰ問題

午後Ⅰ問題は、90分で3問中2問を回答する試験になっています。僕は午後問題を解くときはまず、解答欄を眺めて自分が得意そうな分野が出ていそうな方を重点的に見始めます。単純に3問全部解いてみて、回答率高そうなのを選べればいいんだけど感覚的には時間配分が結構きついはずです。なんで、最初に目星をつけてそちらに注力したほうが良いかなぁと思っています。

今回の問題は問1「セキュリティインシデント発生時の切り分けっぽい問題」。問2「Webサイト構築のセキュリティ対策っぽい問題」。問3「クラウドサービスを利用する際の構築時の話っぽい問題」でした。ぼくは実務でサーバは殆ど触らないのでhtmlの中身とかは全然知りません。よって問1、問3を回答することにしました。

 

問1

[aside type="boader"] 設問1.(1)a:カ / b:オ / c:エ[/aside]

まずは、AさんのPCでARPポイズニングしてた~って話。L2SWとかに対して「192.168.0.254はオレだよ!」「192.168.0.1はオレだよ!」ってひたすらアピールしてたと思われる。表2の盗聴されている時点のFWのARPテーブル(抜粋)を見ると「192.168.0.1」も「192.168.0.200」も同じ「xx:xx:xx:aa:aa:02」となっている。よってFWさんは汚染された情報を持っていて、「xx:xx:xx:aa:aa:02」がたぶんAさんPCだと思いました。

同様に、汚染されていると思われる管理用PCのARPテーブルもあらゆるIPアドレスのMACアドレスが汚染された情報になってると思われるのでAさんPCのMACアドレスである「xx:xx:xx:aa:aa:02」= 「カ」をaに入れました。しかし「aさんのPCのMACアドレス」は汚染する必要がないので正しいMACアドレスであるオ、エをそれぞれb,cに入れました。

 

[aside type="boader"] (2)d:5[/aside]

図3の6は「AさんのPC上で通信を盗聴して、管理用PCのIPアドレスを特定する」です。「管理用PCのIPアドレスを総当たりで推測した」のではなく、「AさんのPC上で盗聴」とした理由を問われています。「PCセグメントにあるあらゆるアドレス(端末)からサーバセグメントへのSSHを行う」が総当たりで調べることを指しそうなので、送信元が「PCセグメント」、宛先が「サーバセグメント」、サービスが「SSH」であるフィルタリングルールを確認。サービスが「全て」である5番が該当。

 

[aside type="boader"] (3)送信元:カ / 宛先:ケ / サービス:オ[/aside]

これはアホだったなぁー。サーバセグメントに属している候補が「LDAPサーバ(カ)」しかないので、宛先を「カ」。(2)の説明からそのまま送信元が「管理用PC(ケ)」でサービスを「SSH(キ)」が正解なような気がしています。全×な雰囲気。ぐぬぬぬ。ケカキ。

 

[aside type=“boader”]

設問2.攻撃名:(不明、なんかすごい適当なこと書いた気がする)

    対象の機器:管理用PC

[/aside]

色々調べてみると中間者攻撃、マンインザミドル攻撃が正解っぽい。対象はCMRサーバ。

 

[aside type="boader"] 設問3.(1)セグメントが異なり、管理用PCのパケットがPCセグメントに到達しない為[/aside]

FWでセグメントが分割されているので、ブロードキャストが到達しないというお話。

[aside type="boader"] (2)SYN:CA / SYN-ACK:AB[/aside]

TCPの3wayハンドシェイクはSYN(→)、SYN-ACK(←)、ACK(→)で成立します。問われているのはSYN、SYN-ACKの部分なので、コネクション開始のパケットとその応答です。「PCセグメントからサーバセグメントへの通信」を想定しているので、SYNはC→Aに行きます。サーバ管理セグメントが分離されているのでARPポイゾニングがうまくいかなくて正しい方向(サーバ管理セグメント)に到達してしまうような気がします。なのでA→B。と言いつつ、本心ではFWでドロップするんじゃないかと思ってたりもします。

問3

[aside type="boader"] 設問1.プロキシサーバへの接続元のIPアドレスがF社以外であるログイン記録[/aside]

これは余計なこと書いたかなぁ。プロキシサーバは社内からしかアクセス出来なさそう。クラウドサービはどこからでもアクセスできる設定(最初は)なので、社外からor社内のプロキシサーバからのアクセスということになる。設問はクラウドサービスのログの調査の件だから「クラウドサービスへの接続元のIPアドレスがF社以外のログイン記録」とか「プロキシサーバ以外のIPアドレス」って表現にすればよかった。部分点プリーズ…!

[aside type="boader"] 設問2.(1)a:ウ / b:エ / c:ア / d:イ[/aside]

これは処理内容を見ながら当てはめれば余裕かな?処理1だけ見ても「エンコード結果を、IdPのログイン画面のURLと組み合わせてリダイレクト先URLを生成する」とあるので、aはリダイレクト先のURLを作成する役、シーケンス図の(3)でログイン画面を要求されているcは「IdPのログイン画面」を要求されていると考えらえるので「IdP」。(4)ログイン画面応答からの(5)認証要求をしているのは利用者で良さそう。あとはIdPと認証のやり取りをするのはLDAPなのでdはLDAP。残りはSPですが、最後に(10)でサービス提供を行っている点からも間違いなさそう。

 

[aside type="boader"] (2)e:1 /f:4[/aside]

URLを生成しているのは処理1、IdPのディジタル証明書が必要になってるのは処理4。いずれも表1処理内容に記載の通りです。

 

[aside type="boader"] (3)g:ウ[/aside]

処理1でSAMLのリクエストは「IdPのログイン画面と組み合わせて、リダイレクト先URLを生成する」とあるので、URLに記載されている文字列だと思われます。該当するのはウの「クエリ文字列」でよいかと。

クエリ文字列とは、WebブラウザなどがWebサーバに送信するデータをURLの末尾に特定の形式で表記したもの。

 

[aside type="boader"] (4)h:IdP / i:改ざん[/aside]

処理3でディジタル署名されている点から、処理3を行っている「IdP」をhに、その確認の意味を込めてiに「改ざん」を入れてみました。

[aside type="boader"]

(5)

設問3.①交通費生産サービス

3:社内FQDNが設定されており、社外からのアクセスはFWにより接続拒否される為

②グループウェアサービス

1:接続元IPアドレスの制限により、社外からのアクセスは接続拒否される為

[/aside]

回答の説明の通り。

 

まとめ

午後Ⅱも書こうと思ったけど力尽きました。感覚的には6割は行けたかなぁ、ボーダーかなぁという感じ。マヂブブンテンプリーズ。ちなみにこの資格、登録に2万円、毎年のオンライン講習に2万円/年、集合研修に8万円/3年かかるっていう鬼畜資格。ただし、試験に合格すれば「合格した実績」は履歴書に書けるようなものらしいです。「情報処理安全確保支援士」を名乗るには登録が必要と。

なんだか、司法試験には受かったけど弁護士にはなりませんでした、的な雰囲気なのかな。ようわからないけど。

関連広告

-雑記
-

Copyright© NUKOLOG , 2018 All Rights Reserved Powered by AFFINGER5.