※令和3年度春期の情報処理安全確保支援士試験(SC)の解答は、本記事作成時点(2021年5月1日時点)で公開されていないため、筆者の解答例となります。そのため、解答が間違っている可能性があります。
※本記事は問題を解いた考え方と解答を記載していますので、事前に令和3年度春期の情報処理安全確保支援士試験(SC)の午後一を解いてからご確認ください。
令和3年度春期の情報処理安全確保支援士試験(SC)の午後問題
令和3年度春期の情報処理安全確保支援士試験(SC)の午後問題は以下の3つあります。
それぞれの問題について、解説を記載しました。
情報処理安全確保支援士試験(問2 ネットワークのセキュリティ)
問2はネットワークのセキュリティに関する記載を通して、以下の内容に関する知識を問う問題でした。
(a) ファイアウォールの設定
(b) DNSサーバの機能とセキュリティの脅威
情報処理安全確保支援士試験(問2の設問1の解答)
(1)
外部DNSサーバが停止すると、公開WebサーバのFQDNの名前解決ができません。そのため、公開WebサーバのIPアドレスを指定した場合はアクセスできますが、FQDNを指定した場合はアクセスできません。
【解答例】
公開Webサーバの名前解決を利用したアクセスができない。
(2)
DNSリフレクター攻撃(DNSアンプ攻撃)を知っているか知識を問う問題です。
そのため、「DNSリフレクター攻撃」か「DNSアンプ攻撃」のどちらかを解答したらいいです。
【解答例】
DNSリフレクター攻撃
(3)
DNSリフレクタへの対策として、外部DNSサーバを権威サーバ(DNS-K)とフルサービスリゾルバ(DNS-F)に分けました。
インターネットからフルキャッシュリゾルバ機能に含めているコンテンツ機能のDNSサーバ(DNS-F)にアクセスできなければ、DNSリフレクタの攻撃はできないため、以下のように変更します。
【設定変更前】
| 項番 | 送信元 | 宛先 | サービス | 動作 |
|---|---|---|---|---|
| 5 | 外部DNSサーバ | インターネット | DNS | 許可 |
| 6 | インターネット | 外部DNSサーバ | DNS | 許可 |
【設定変更後】
| 項番 | 送信元 | 宛先 | サービス | 動作 |
|---|---|---|---|---|
| 5 | DNS-F | インターネット | DNS | 許可 |
| 6 | インターネット | DNS-K | DNS | 許可 |
【解答例】
(a):ア DNS-F
(b):イ DNS-K
(4)
DNSのレコードに関する知識を問う問題です。IPv4アドレスとホスト名を対応付けるのはAレコードです。
【解答例】
(c):A
(5)
DNSキャッシュポイズニングの対策に関する知識を問う問題です。
送信元ポート番号をランダムな値にすると、DNSキャッシュポイズニングがされにくくなります。
【解答例】
(d):ランダムな値に変化
(6)
DNSのディジタル署名を利用して、DNS権威サーバからの応答に含まれる電子署名をDNSキャッシュサーバ側で検証する技術をDNSSECといいます。
【解答例】
(e):DNSSEC
(7)
DoTは「スタブリゾルバ」と「フルリゾルバ」間の通信を暗号化します。今回の問題文と用語を合わせると、以下の内容となります。
【解答例】
(f):オ スタブリゾルバ
(g):カ フルサービスリゾルバ
情報処理安全確保支援士試験(問2の設問2の解答)
(1) クラウドのホスティングサービスのDNSサーバ(DNS-S)を利用した場合、サービスの停止や終了してしまう可能性があります。そのため、社内で管理してる権威サーバ(DNS-K)をプライマリにしています。
【解答例】
クラウドのサービスが停止して名前解決できないリスク
(2)
(h)について
NSレコードはDNSサーバを指定するレコードです。既に社内の権威DNSの「dns-k.a-sha.co.jp」は登録されていますので、クラウドのDNSサーバを指定します。本文中に「ドメイン名:x-sha.co.jp」と「ホスト名:dns-s」との記載がありますので、これらを合わせたものを設定します。
(i)について
MXレコードはメールサーバを指定します。メールサーバは社内にあるのでドメイン名は「a-sha.co.jp」で、ホスト名は「mail」です。
上記の内容は以下の赤線の部分に記載されています。
【解答例】
(h):カ dns-s.x-sha.co.jp
(i):ク mail.a-sha.co.jp
(3)
ゾーン転送はセカンダリDNSサーバ(今回はDNS-S)からプライマリDNSサーバ(今回はDNS-K)に対して通信してデータ同期を許可します。
それ以外は許可する必要がないので、拒否となります。
【解答例】
(j):拒否
(k):許可
(l):拒否
(m):拒否
(4)
全てのDNSサーバをクラウド上に移行しているため、項番6のようにインターネットからDNSサーバに対する通信を許可する必要はなくなります。また、項番5でDNSの問い合わせを社内のDNSサーバが代理で行っていましたが、DNSの問い合わせが必要な機器はプライマリの権威DNSサーバ(DNS-HK)に通信する必要があります。DNSの問い合わせが必要な機器はWebアクセスを代理している「プロキシサーバ」とメール送信している「メールサーバ」のみです。
【設定変更前】
| 項番 | 送信元 | 宛先 | サービス | 動作 |
|---|---|---|---|---|
| 5 | DNS-F | インターネット | DNS | 許可 |
| 6 | インターネット | DNS-K | DNS | 許可 |
【設定変更後】
| 項番 | 送信元 | 宛先 | サービス | 動作 |
|---|---|---|---|---|
| 5 | プロキシサーバ | DNS-HF | DNS | 許可 |
| 6 | メールサーバ | DNS-HF | DNS | 許可 |
【解答例】
(n):オ プロキシサーバ
(o):ア DNS-HF
(p):カ メールサーバ
