※令和3年度秋期の情報処理安全確保支援士試験(SC)の解答は、本記事作成時点(2021年10月30日時点)で公開されていないため、筆者の解答例となります。そのため、解答が間違っている可能性があります。
※本記事は問題を解いた考え方と解答を記載していますので、事前に令和3年度秋期の情報処理安全確保支援士試験(SC)の午後二を解いてからご確認ください。
令和3年度秋期の情報処理安全確保支援士試験(SC)の午後問題
令和3年度秋期の情報処理安全確保支援士試験(SC)の午後問題は以下の5つあります。
それぞれの問題について、解説を記載しました。
情報処理安全確保支援士試験(問2 マルウェア感染への対処)
問2はマルウェア感染への対処に関する記載を通して、以下の内容に関する知識を問う問題でした。
設問1では、各担当者のセキュリティの役割分担とCRYPTREC暗号リストに関する問題です。
設問2では、ネットワークセキュリティに関する問題です。
設問3では、ネットワークセキュリティとマルウェアの動作関する問題です。
設問4では、インシデント発生時の対応に関する問題です。
情報処理安全確保支援士試験(問1の設問1の解答)
(1)
各担当者のセキュリティの役割分担に関する問題です。
経営層、システム管理者、従業員の役割分担の概要は以下の通りです。
以下の内容を踏まえて a、b、c、d を穴埋めしたら答えになります。
- 経営者は、リソース(人・もの・金)の観点からセキュリティ対策実施有無の最終判断をする。
- システム管理者は、情報セキュリティ対策のためのシステム管理を行います。
- 従業員(テレワーク勤務者)は、ルールに従って実施する。
また、各担当者が実施すべき内容については、IPAが公開している「中小企業の情報セキュリティ対策ガイドライン」の10ページや22ページをご確認ください。
【解答例】
a : ア 経営者
b : イ システム管理者
c : イ システム管理者
d : ウ テレワーク勤務者
(2)
暗号化の用語に関する問題です。
CRYPTREC暗号リスト(電子政府推奨暗号リスト)は、Wikipediaで以下のように説明されています。
CRYPTREC
CRYPTREC(くりぷとれっく、Cryptography Research and Evaluation Committees) とは、
電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討するプロジェクトである。
e には「CRYPTREC」又は「電子政府推奨」が答えになります。
【解答例】
e : CRYPTREC
情報処理安全確保支援士試験(問1の設問2の解答)
(1)
ネットワークに関する用語の知識問題です。
選択肢の用語の意味は以下の通りですので、「エ ローカルブレイクアウト」が答えです。
| 選択肢 | 用語の意味 |
|---|---|
| ア OpenFlow | ネットワークの通信機器を集中管理し、転送制御をしたりネットワーク構成を変更できる技術。 |
| イ Software-Defined Network | ソフトウェアを用いて仮想的なネットワークを作り上げる技術。 |
| ウ ゼロトラストネットワーク | 全て信頼できないことを前提に、ネットワークセキュリティ構築する考え方。 ゼロトラストネットワークと異なる考え方として、「境界防御」という考え方がある。 境界防御とは、ネットワーク上の外部と社内ネットワークとの境目を作って、社内ネットワークのセキュリティを守るという考え方です。 |
| エ ローカルブレイクアウト | 特定のクラウドサービス向けのトラフィックをンターネットとの接点を使わず、直接アクセスするネットワーク構成。 |
【解答】
エ ローカルブレイクアウト
(2)
ネットワークを変更後の障害に関する問題です。
新ネットワークに変更した後にBサービスへのアクセスができないため、その原因を調べます。
本文中の表1に「アクセス制限機能によって、アクセス元IPアドレスがUTMのグローバルIPアドレスの場合だけアクセスが許可」という記載がありますので、アクセス制御機能によって拒否されています。
【解答】
Bサービスへの通信はUTMのIPアドレスからのみ許可しているため
情報処理安全確保支援士試験(問1の設問3の解答)
(1)
IPアドレスによる遮断のセキュリティホールに関する問題です。
FQDNの正引きの結果を出力されたIPアドレスをC&Cサーバと判断して、ファイアウォールにて遮断しています。
FQDNの結果はDNSサーバのレコードの設定によって変わるため、C&CサーバのFQDNに対応したIPアドレスを変更したらファイアウォールにて遮断されなくなります。
【解答】
DNSのレコードの設定を変更して、FQDNに対応するIPアドレスを変更する。
(2)
各セキュリティ対策の機能に関する問題です。
本文中の以下の箇所にC&Cサーバへの通信はIPアドレスとFQDNの両方を用いて、通信される旨が記載されています。
本文中の表1に記載されている「FW機能」と「DNSシルクホール機能」の概要を確認します。
DNSシルクホーム機能はFQDNを用いた通信を保護しますが、IPアドレスを用いた通信は保護できないことが分かります。
そのため、IPアドレスを用いた通信を保護するために、UTMの「FW機能」も使用してアクセス制御する必要があります。
【解答】
C&CサーバはFQDNだけでなく、IPアドレスで指定しているものもあるため。
(3)
αログとβログ以外にイベントログに何が存在するかを確認するか問う問題です。
本文中の f の箇所の穴埋め問題です。
本文中の図8に全てのイベントログが削除されて、イベントログの消去を示すログが記録されていたという記載があります。
攻撃者が証拠を消すために、リモートからログを削除する場合があるようですので、αログとβログが消えている可能性があります。
【解答】
イベントログの削除を示すログ
(4)
マルウェアβのどのような場合に検知できないか問う問題です。
表2のマルウェアβの特徴を確認したところ、「遠隔操作機能」を実施した時のみイベントログが出力されますが、「待機機能」や「横展開機能」しか実行していないときはイベントログが出力されません。
【解答】
待機機能と横展開機能のみ実施している場合
(5)
連携サーバをDMZに移動した時のネットワークアクセス経路とUTMの機能に関する問題です。
以下の図1のネットワーク構成になっていますので、連携サーバをDMZに移動した場合、インターネットからのアクセスはUTMを経由することが分かります。
UTMの機能を確認したところ、IDS機能に通信をチェックしてシステム管理者に通知する旨の記載がありますので、その機能を使用すると不審なアクセスを早急に発見できます。
【解答】
UTMのIDS機能で不審な通信を検知した場合、システム管理者に通知されるため。
情報処理安全確保支援士試験(問1の設問4の解答)
(1)
連携サーバにファイルが置かれていた可能性がある最も早い日付に関する問題です。
以下の図8に調査結果が記載されていますので、上から順番に確認します。
- 4月1日のメールサービス(Bサービス)の設定変更のため、マルウェア感染されない
- 7月9日のメールサービス(Bサービス)への不正ログインのため、マルウェア感染されない
- 7月14日のマルウェア添付のメール送信のため、添付ファイルを開くとマルウェア感染する
【解答】
g : 7月14日
(2)
以下の表5の h の箇所の穴埋め問題です。
マルウェアの感染有無を調査する際の通信記録の確認条件を問われいますので、マルウェアからどのような通信が発生するか探します。
以下の箇所にC&CサーバのIPアドレスのリストに通信する旨の記載があります。
【解答】
C&CサーバのIPアドレスのリスト
(3)
感染拡大の調査対処を絞るための条件を問う問題です。
以下の表2の内容を確認すると、C&Cサーバに通信しているPCは既に攻撃者に操作されていますので、その通信記録の有無を確認することでより早急に対処する必要がある機器を特定できます。
【解答】
会員のPCやサーバからC&Cサーバにアクセスした通信記録
(4)
感染拡大対策として既に行っている対策を問う問題です。
既に行っているとのことですので、本文中で行った対策を探します。
以下の箇所に「化学コンの全会員に連携端末を一時的にネットワークから切り離し」という記載がありますので、その旨を回答します。
【解答】
連携端末を一時的にネットワークから切り離す
