The Journey to Stars〜未知への探求〜

好奇心の赴くままに。学んだことを中心に書いています。

<セキュリティ#48>アジャイル開発で覚えておくべき単語

f:id:yamaiririy:20210729171554p:plain

情報処理安全確保支援士(セキスペ )には

アジャイル開発関連の言葉を問う問題も出るのですが、

なかなかまとまっていないので^^;

 

午後問題でセキュアコーディングやアプリ開発を選択しなくても覚えるべき

アジャイル開発に関する単語をまとめました。

 

XP(Extreme Programming)

1999年ケント・ベック氏が開発したアジャイル開発の手法

コミュニケーション、シンプリシティ、フィードバック、勇気、リスペクトの5つを原則とする。

 

スクラム

アジャイル開発の手法の1つで、

チームで短期間の開発を繰り返すことで成果物を作成するフレームワークのこと。

ラグビーのフォーメーションが語源になっている。

 

イテレーション

アジャイル開発の開発工程の1単位のこと。XPで使われる。

1つのイテレーションは1-2週間で行われることが多い。

 

スプリント

スクラムのチームが1つの作業を行う際の開発単位。

イテレーションとほぼ同じ意味で使われる。

 

レトロスペクティブ

スクラム手法でイテレーションの最後に行われる振り返りのこと。

うまくいった作業や改善点を整理し、次のスプリントに活かせるように改善計画を作成する。

 

タスクボード

タスクや情報を区画を分けて整理し、管理する手法のこと。

ホワイトボードにや壁に、付箋で書いた物を貼って管理することが多い。

 

朝会・デイリースクラム

毎朝情報共有を行うために行われる15分ほどの短いミーティング。

developers.gnavi.co.jp

 

ニコニコカレンダー

組織・チームの気持ちを見える化するツール。

毎日自分の気持ちをカレンダーに記して見える化する。

 

参考リンク

IPA アジャイル開発の進め方

<セキュリティ#47>技術者でなくても抑えておくべきコマンド

f:id:yamaiririy:20210729171554p:plain

技術者、SEでなくても

情報処理安全確保支援士のために覚えるべきコマンドをまとめました。

 

cron

LinuxのOSにおいて、ジョブをいつ行うか設定するためのコマンド

 

セキスペ (情報処理安全確保支援士)出題:令和元年秋期⬇︎

f:id:yamaiririy:20211001015850p:plain

出典:令和元年 秋期 情報処理安全確保支援士 午後二 問1

 

curl

・様々な通信プロトコルを使い、ネットワーク上の指定された場所からファイルをダウンロードしたり、アップロードするためのコマンド

 

セキスペ (情報処理安全確保支援士)出題:令和元年秋期⬇︎

f:id:yamaiririy:20211001015850p:plain

出典:令和元年 秋期 情報処理安全確保支援士 午後二 問1

 

dir

・ファイルやフォルダの一覧を表示するコマンド

 

ipconfig

WindowsでIPネットワークの設定情報を表示するコマンド

 

netstat

・ネットワークの通信状態を調べるコマンド

 

セキスペ (情報処理安全確保支援士)出題:平成28年秋期⬇︎

f:id:yamaiririy:20210925095448p:plain

出典:平成28年度 秋期 情報処理安全確保支援士 午後一 問1

 

参考リンク⬇︎

xtech.nikkei.com

 

netview

・ネットワーク上のコンピュータを表示するコマンド

systeminfo

・システムの構成情報を表示するコマンド

 

tasklist

・実行中のプロセスを表示するコマンド

 

top

・サーバで実行されているコマンドを確認することのできるコマンド

 

セキスペ (情報処理安全確保支援士)出題:令和元年秋期⬇︎

f:id:yamaiririy:20211001015422p:plain

出典:令和元年 秋期 情報処理安全確保支援士 午後二 問1

 

 

<セキュリティ#46>STIXとTAXIIの違いって?

f:id:yamaiririy:20210729171554p:plain

 

今日は脅威情報を表す単語で似ている、

STIXTAXIIについてその違いをまとめてみました。

 

 

STIXとは?

 

正式名称、Structured Threat Information eXpression、

略してSTIXは、

サイバー攻撃情報を表すためのフォーマット仕様

の国際標準規格です。

 

IPAのHPでは、

STIXは、米国政府が推進しているサイバー攻撃対策において、検知に有効なサイバー攻撃を特徴付ける指標(indicator)などを取り込んだサイバー攻撃活動に関連する項目を記述するための技術仕様です。

脅威情報構造化記述形式STIX概説:IPA 独立行政法人 情報処理推進機構

と紹介されています。

 

平成30年秋期の情報処理安全確保支援士試験でも問題として出題されています。

 

f:id:yamaiririy:20210923224308p:plain

出典:平成30年度 秋期 情報処理安全確保支援士 午後一 問2

 

TAXIIとは?

正式名称、Trusted Automated eXchange of Indicator Information、

略してTAXIIは、

STIXなどで記述された情報をどのように転送するのか

の国際標準規格です。

 

IPAのHPでは、

検知指標情報自動交換手順TAXII(Trusted Automated eXchange of Indicator Information)(*1)は、脅威情報構造化記述形式であるSTIX(*2)などで記述されたサイバー攻撃活動に関連する脅威情報を交換するために開発されました。

検知指標情報自動交換手順TAXII概説:IPA 独立行政法人 情報処理推進機構

と紹介されています。

 

 

まとめ

STIXとTAXIIは共に、

サイバー攻撃に関する情報を迅速に共有するために開発された国際標準規格

でした。

 

情報処理安全確保支援士試験で

「STIXとは何か?」

と問われることはまだないですが、

今後選択肢の中にも登場しそうですね。

 

<セキュリティ>情報処理安全確保支援士〜午後二オリジナル一問一答(平成25年〜平成27年)

f:id:yamaiririy:20210814161115p:plain

 

 

こんにちはririです。

セキスペ の勉強中なのですが、せっかくなら

午後問題の間違えたところを一問一答形式で保存しておきたい・・・

と思いメモしておきます。(随時更新予定)

 

注意:

・問題は過去問そのものではなく、一部変更しています。その点ご留意下さい。

・問題から一部抜粋しているため、以下の問題文だけでは答えがわからない場合があります。

・問題番号は試験通りではありません。

 

 

平成25年春問2:技術情報の管理

Q1

メール転送時のウイルススキャンを外部メールサーバではなく内部メールサーバで行うのはどのような理由か。

 

A1

従業員間で送受信するメールによるウイルスの感染の可能性を防ぐため。

 

 

Q2

アーカイブサーバからPCにダウンロードしたメールの添付ファイルにアクセスした時にウイルスが検知される可能性があるのはなぜか。

 

 

 

A2

暗号化されていたためにウイルス駆除できていなかった添付ファイルが、復号される場合があるから。

 

 

Q3

電子文書にタイムスタンプをつけることにした。

以下の<e>と<f>を埋めよ。

f:id:yamaiririy:20210915190954p:plain

出典:平成25年度 春期 情報処理安全確保支援士 午後二 問2

 

A3

e-タイムスタンプの時刻に存在したこと

f-タイムスタンプの時刻以降に改ざんされていないこと

 

Q4

アーカイブスタンプを付与するとき、どのような点に留意する必要があるか。

f:id:yamaiririy:20210915191225p:plain

出典:平成25年度 春期 情報処理安全確保支援士 午後二 問2

 

 

A4

アーカイブスタンプが有効期間内に改ざんされない強度があること

 

 

平成25年秋問1:マルウェア感染とその対策

Q1

マルウェアに感染した時に、不審と思われるファイルを削除したり

OSの設定を変えるとその後のマルウェアの調査を困難にする可能性がある。

その理由を30字以内で述べよ。

 

 

A1

調査に必要な証跡が消えてしまう可能性があるから。

 

Q2

被害の拡大を懸念してマルウェアに感染したPCのLANケーブルを抜くように指示した理由を述べよ。

ウイルス対策ソフトVではマルウェアが駆除された旨の表示が出ている)

 

 

A2

未検出のマルウェアが動作している可能性があるから。

 

Q3

マルウェアに感染したPCの解析においてバックアップの取得有無を確認したのはなぜか。

 

A3

マルウェア前後におけるOSの状態の差分を確認するため

 

 

Q4

以下の<a>を埋めよ。

f:id:yamaiririy:20210915200043p:plain

出典:平成25年度 秋期 情報処理安全確保支援士 午後二 問1

 

A4

80

※アクセス先がHTTPのため

 

 

Q5

JREを最新バージョンにする時、アップデート前にしなければいけない準備はどのようなものがあるか。

f:id:yamaiririy:20210915200654p:plain

出典:平成25年度 秋期 情報処理安全確保支援士 午後二 問1

 

A5

JREの最新バージョンにおけるシステムBの正常稼働を確認すること

 

 

Q6

マルウェアからC&Cサーバへの通信をプロキシサーバで止めるにはどのような対策が有効か。

 

A6

プロキシで利用者の認証を有効にする。

 

 

Q7

C&Cサーバと思われるサイトにHTTPで接続を試みたが、

当該サーバは稼働していないようだった。

どのような反応からそのように判断したのか?

 

 

A7

レスポンスなし

※サーバが稼働していれば、何らかのHTTPステータスコード

返答があるはずだが、レスポンスがないため、

サーバは稼働していないと判断した。

 

HTTPステータスコードについての参考問題⬇︎

www.sg-siken.com

 

平成25年秋問2:スマートフォンを利用したリモートアクセス環境

Q1

モバイルPCとスマートフォンVPNのアカウントを共有している時、

スマートフォンの紛失に伴ってVPNのアカウントを停止するとどのような問題が起きるか。またその対処方法を述べよ。

 

A1

問題点ーVPNアカウントを停止すると、モバイルPCから社内ネットワークに接続できなくなる。

対処方法ースマートフォンで利用するVPNアカウントを、モバイルPCで利用するものと別に作成する。

 

 

Q2

携帯電話網を介したデータ通信を用いて、スマートフォンおよび外部記憶媒体に保存したサービスがある時、このサービスでデータが消去できないのは、

スマートフォンがどのような状態の時か。

 

 

A2

携帯電話網を介さずにインターネットに接続されている状態。

 

 

平成26年 春問1:クレジットカードの情報の安全な管理

Q1

L社のセキュリティポリシでは、ワイヤレスアクセスポイントの設置を許可していない。

しかしPCI DSSの要件に基づき、四半期に一度は調査を行うことにした。

セキュリティ上の問題につながる事象を一つ40字以内で述べよ。

 

 

A1

セキュリティポリシに反してワイヤレスアクセスポイントが設置されること。

 

 

平成26年 春問2:金属加工業社におけるデータ管理

Q1

Webサーバがマルウェアに感染した際にシャットダウンしないのはなぜか。

 

A1

ファイルが書き換えられる可能性があるから。

 

 

Q2

リモートコンピュータ間でファイル転送やOSのログインを安全に行うことのできるプログラムである<a>をFTPの代わりに用いることにした。

<a>を埋めよ。

 

 

A2

a-SSH

FTPは通信内容が暗号化されない

 

 

Q3

以下のHTTPS通信機能を有効にするとき、何課の業務に影響があるか。

またその内容を述べよ。

f:id:yamaiririy:20210915221159p:plain

出典:平成26年度 春期 情報処理安全確保支援士 午後二 問2

f:id:yamaiririy:20210915221336p:plain

出典:平成26年度 春期 情報処理安全確保支援士 午後二 問2

 

 

A3

影響を受ける課:経理

内容:

ブラウザのアドレスバーに表示されるWebサイトの運営社名を確認できなくなる。

 

もし、表4に記載されているプロキシサーバのHTTPS通信対応機能を利用した場合、U銀行サーバ⇄経理課PCで確立されていたHTTPS通信が、U銀行サーバ⇄プロキシサーバとプロキシサーバ⇄経理課PCのようにプロキシサーバが接続元と接続先に対して各々独立したHTTPS通信を確立する事になります。
この時、経理課PCのブラウザのアドレスバーにはプロキシサーバが表示されることになり上記下線部の業務に支障が出る事になります

情報処理安全確保支援士 過去問解説 ブログ: [平成26年度春] 午後2 問2 解説②

 

 

 

Q4

以下の<h>を埋めよ

f:id:yamaiririy:20210915221731p:plain

出典:平成26年度 春期 情報処理安全確保支援士 午後二 問2

 

 

A4

クライアント

クライアント証明書を通関証として用いることにより、あらかじめ証明書がインストールされたデバイスからのみアクセスを許可するセキュアなシステム運用が可能です。 

クライアント証明書とは?|GMOグローバルサイン【公式】

 

Q5

ウイルスの活動によるPCからインターネットへの通信のうち、止めることはできるがログを分析しても検出できない通信とはどのようなものか。

 

 

A5

プロキシサーバを経由しないインターネット上のサーバへの通信

 

平成26年 秋問2:利用者ID管理システム及び認証システムの設計

Q1

利用者が他の地域のシンクライアントサーバにアクセスした場合に発生すると考えられる問題を述べよ。

 

 

A1

ネットワーク遅延が大きいことから、仮想デスクトップの操作に対するレスポンスが悪化する。

 

平成27年春問1:ウイルス対策

Q1

以下の<c>を埋めよ。

f:id:yamaiririy:20210915234215p:plain

出典:平成27年度 春期 情報処理安全確保支援士 午後二 問1

 

A1

エンベロープ

 

 

Q2

初期設定(脆弱性修正プログラムの適用とウイルス定義ファイルの更新)を行うPCのみを接続するNWを作りFWでネットワークの制御をしている。

このネットワークから接続するサイトをどのように制限すれば良いか。

 

 

A2

脆弱性修正プログラム及びウイルス定義ファイルを提供するサイトに制限する。

 

Q3

広報グループのメールアドレスに送付されたメールにマルウェアXに感染した添付ファイルが添付されており、GさんのPCがマルウェアXに感染してしまった。

GさんのPCからはマルウェアXは削除できたが、調査対象はGさんだけだったので追加の調査と対応が必要だと上司に指摘された。

調査内容と対処内容を答えよ。

 

A3

Gさん以外の広報グループのメンバに届いたメールを調査し、マルウェアXを含むメールを削除した。

 

Q4

新たにWebフォームを公開Webサーバに導入することにした。

連絡用メールアドレスと問い合わせ内容に何を入力すれば悪用することができるか。

f:id:yamaiririy:20211003160343p:plain

出典:平成27年 春期 情報処理安全確保支援士 午後二 問1

 

A4

連絡用メールアドレスー攻撃対象のメールアドレス

問い合わせ内容ー誘導するWebサイトのURL

受付通知メールが自動で送信される場合、連絡用メールアドレスに攻撃対象のメールアドレスを入力した問合せを大量にされるとスパムメールのようになってしまいます。
また、問合せ内容に悪意のあるサイトのURLを記載された場合、攻撃対象への攻撃メールとなります。

情報処理安全確保支援士 過去問解説 ブログ: [平成27年度春] 午後2 問1 解説②

 

 

参考情報⬇︎

情報処理安全確保支援士 過去問解説 ブログ: [平成27年度春] 午後2 問1 解説①

情報処理安全確保支援士 過去問解説 ブログ: [平成27年度春] 午後2 問1 解説②

 

 

平成27年春問2:製造業におけるネットワーク構築

Q1

事務系LANと製造系LANを安全に繋ぎたい。

<a>を埋めよ。

f:id:yamaiririy:20210915235712p:plain

出典:平成27年度 春期 情報処理安全確保支援士 午後二 問2

 

A1

事務系LANへの接続時にマルウェアに感染した転送用PCを

その状態のままで製造系LANに接続すると

製造装置へのマルウェア感染が広がる。

 

 

Q2

機密情報を含む設計データをKサーバという情報共有サーバを作り協力者と共有することにした。Kサーバの利用について以下の空欄を埋めよ。

f:id:yamaiririy:20210916000112p:plain

出典:平成27年度 春期 情報処理安全確保支援士 午後二 問2

 

A2

b-操作禁止状態に

c-他人が推測できない

d-知られないように

e-影響を評価し、必要であれば脆弱性修正プログラムを適用する

 

 

Q3

IPアドレスに基づく端末制限では、Kサーバへの協力会社のアクセスは制限できないのはなぜか。2つの場合を答えよ。

 

 

A3

IPアドレスが動的に割り当てられるインターネット回線を利用している協力会社に対応できない。

 

・プロキシサーバを利用している協力会社の場合、社内の接続端末の個別識別ができない。

 

 

Q4

証明書の発行にあたっては、鍵ペアを利用する主体が鍵ペアを作成するのが原則であるが、接続端末用の証明書の発行はK工場で鍵ペアを作成している。

K工場で作成しても良い理由を述べよ。

 

f:id:yamaiririy:20210916002811p:plain

出典:平成27年度 春期 情報処理安全確保支援士 午後二 問2

 

A4

Kサーバへのアクセスだけに使用する鍵ペアだから

 

 

Q5

協力会社が証明書の失効申請をしなければならない時はどのような時か。3つ答えよ。

 

 

A5

・Kサーバの利用を辞める時

・証明書に対応した秘密鍵の漏洩が疑われる場合

・接続端末を廃棄する場合

 

参考情報⬇︎

情報処理安全確保支援士 過去問解説 ブログ: [平成27年度春] 午後2 問2 解説②

 

 

Q6

図のように情報共有系LANt製造系LANを分離するとき、

<f><g>を埋めよ

f:id:yamaiririy:20211003163500p:plain

出典:平成27年度 春期 情報処理安全確保支援士 午後二 問2

f:id:yamaiririy:20211003163407p:plain

出典:平成27年度 春期 情報処理安全確保支援士 午後二 問2

 

A6

f -情報共有系LANと製造系LANの間で通信が成立することがない。
g -情報共有系LAN上の機器へ実行形式ファイルが書き込まれても、製造系LANにファイルが転送されることがない。

 

 

平成27年秋問1:シンクライアント端末を利用したマルウェア対策

Q1

以下の業務要件の時、必要な回線速度は何Mビット/秒か。

f:id:yamaiririy:20210916011447p:plain

出典:平成27年度 秋期 情報処理安全確保支援士 午後二 問1

 

 

f:id:yamaiririy:20210916011711p:plain

出典:平成27年度 秋期 情報処理安全確保支援士 午後二 問1

 

 

A1

476(Mビット/秒)

 

 

平成27年秋問2:データの取り扱い

Q1

情報を同期ディスクで関連者で共有するとき、

同期用FS(ファイルサーバ)にどのような機能の追加が必要か?

f:id:yamaiririy:20210913002013p:plain

出典:平成27年度 秋期 情報処理安全確保支援士 午後二 問1

 

A1

マルウェア感染ファイルの発見時に利用者に警告を発する機能

 

Q2

空欄を埋めよ

f:id:yamaiririy:20210913002527p:plain

出典:平成27年度 秋期 情報処理安全確保支援士 午後二 問2



 

A2

g-OS

h-暗号化

 

 

Q3

ファイルやディスクをECBモードで暗号化する時のセキュリティ上の問題点とは何か

 

 

A3

平文が同じブロックは同じ暗号文になるので

暗号文から平文を推測されやすい。

 

sc-kakomon.blogspot.com

 

 

 

Q4

空欄を埋めよ

f:id:yamaiririy:20210913004609p:plain

出典:平成27年度 秋期 情報処理安全確保支援士 午後二 問2

 

 

A4

i-1

j-24

k-1

l-1

m-5

n-CBCモード

o-OFBモード

 

f:id:yamaiririy:20210916005135j:image

 

 

Q5

以下の方法ではどのような情報が暗号化されないか。2つのべよ。

f:id:yamaiririy:20210913005135p:plain

出典:平成27年 秋期 情報処理安全確保支援士 午後二 問2

 

A5

・ファイルの名称

・おおよそのファイルサイズ

 

 

 

Q6

委託先のデータの管理が不十分だった。

技術的対策とは別にどのような対策を行えば良いか。

 

 

A6

委託先のデータ管理の実態を監査によって把握して監督する。

 

 

Q7

以下に入る数字を埋めよ。

tは小数第2位を四捨五入し、小数第1位まで求めよ。

f:id:yamaiririy:20211003101824p:plain

出典:平成27年 秋期 情報処理安全確保支援士 午後二 問2

 

 

A7

p-9

q-62

r-31(rとsは順不同)

s-2

t-8.9

<セキュリティ>情報処理安全確保支援士〜午後二オリジナル一問一答(平成28年〜)

f:id:yamaiririy:20210814161115p:plain

 

 

こんにちはririです。

セキスペ の勉強中なのですが、せっかくなら

午後問題の間違えたところを一問一答形式で保存しておきたい・・・

と思いメモしておきます。(随時更新予定)

 

注意:

・問題は過去問そのものではなく、一部変更しています。その点ご留意下さい。

・問題から一部抜粋しているため、以下の問題文だけでは答えがわからない場合があります。

・問題番号は試験通りではありません。

 

 

平成28年春問1:CSIRT構築とセキュリティの設計

Q1

A社のCSIRT(A社IRT)が一括で直接インシデント対応の指示を行うのはなぜか。

 

 

A1

インシデントがA社全体に与える影響度に基づいた対応を指示するため。

 

 

Q2

今まではIT部のOA用PCからサーバLAN上のサーバの運用をしていたが、

運用管理セグメンントを新設し、そこからのみサーバの運用を行うように変更した。

運用管理セグメンントを新設することでどのような攻撃が防げるようになるか。

 

f:id:yamaiririy:20210916165730p:plain

出典:平成28年 春期 情報処理安全確保支援士 午後二 問1

 

 

A2

IT部のOA用PCに攻撃メールが送信され、PCがマルウェアに感染し、

起動したマルウェアがサーバLANに不正アクセスする攻撃

 

 

Q3

A社IRTが各部署の情報機器の現状が示された構成管理情報を活用することの効果をのべよ。

 

A3

A社IRTが収集すべき脆弱性情報を把握するため。

 

 

平成28年春問2:テレワークセキュリティ

Q1

以下のような攻撃をなんというか。

 

f:id:yamaiririy:20210916215353p:plain

出典:平成28年度 春期 情報処理安全確保支援士 午後二 問2

 

 

A1

bードライブバイ

ドライブ・バイ・ダウンロードとは、Webサイトを閲覧した際、ユーザーの気づかぬ間に、勝手にマルウェアをダウンロードさせる攻撃手法のこと。主にユーザーのパソコンのOSやアプリケーションの脆弱性を突いて行われ、ダウンロード後、勝手にマルウェアがインストールされることが多い。

ドライブ・バイ・ダウンロード攻撃 | サイバーセキュリティ情報局

 

 

平成28年秋問1:ICカードを用いた認証システム

Q1

PCにD社のルートCAの公開鍵証明書を登録しない場合、

CA3が発行したサーバ証明書を利用するサーバにグループ従業員が

Webブラウザでアクセスするとどのような不都合が生じるか。

f:id:yamaiririy:20210916215736p:plain

出典:平成28年度 秋期 情報処理安全確保支援士 午後二 問1

 

A1

サーバ証明書の正当性を確認できず警告が表示される。

 

 

Q2

取引先においては、D社のルートCAの公開鍵証明書を当該サーバだけに

アクセスする専用のPCにインストールするよう要請した。

これは取引先のどのようなリスクを低減するためか。

 

 

A2

PCのWebブラウザが不正なサーバ証明書を信頼し、

不正なサーバにアクセスするリスク。

 

 

平成28年秋問2:脆弱性対策

Q1

以下の<b>を埋めよ。

f:id:yamaiririy:20210916221344p:plain

出典:平成28年度 秋期 情報処理安全確保支援士 午後二 問2

 

A1

パターンマッチング

 

 

Q2

WAFによる脆弱性対応は、パッチ適用に比べて実施までの期間が短くて済むと言われている。その理由を述べよ。

 

 

A2

WAFの場合、検証作業の項目がパッチ適用の時よりも少なくて済むから。

情報処理安全確保支援士 過去問解説 ブログ: [平成28年度秋] 午後2 問2 解説①

 

 

Q3

下記の<e><g><h>に当てはまる言葉を以下の選択肢から選べ。

f:id:yamaiririy:20211003011750p:plain

出典:平成28年 秋期 情報処理安全確保支援士 午後二 問2

f:id:yamaiririy:20211003011903p:plain

出典:平成28年度 春期 情報処理安全確保支援士 午後二 問2

 

f:id:yamaiririy:20211003012041p:plain

出典:平成28年度 春期 情報処理安全確保支援士 午後二 問2



 

A3

<e> オ XHR

ブラウザ上でJavaScriptを利用してサーバとHTTP通信を行うためのAPI

<g>ア Access-Control-Allow-Origin

特定のオリジン(スキーム、ホスト、ポート)からのアクセスを許可する

<h>キ 同一生成元

あるオリジンで読み込まれたリソースを別のオリジンへのリソースで読み込むことを制限する

blog.cosnomi.com

 

ちなみに、

XForwardedfor

ーHTTPヘッダフィールドの1つ。
プロキシまたはロードバランサーを経由してWebサーバにアクセスしたクライアントの送信元IPアドレスを特定する

 

プライベートブラウジング

ー履歴を残さずWebサイトを閲覧すること

 

平成29年春問1:マルウェアの解析

Q1

マルウェアに感染したPCは電源を切らずに解析を行った。

どのような情報が消えてしまうからか。以下から選べ。

f:id:yamaiririy:20210912115424p:plain

出典:平成29年度 春期 情報処理安全確保支援士 午後二 問1

A1

ウ、エ

e-words.jp

 

 

 

Q2

マルウェアの動きを知るために、解析環境を作った。②について発行する証明書においてサブジェクトのコモンネームはどのサーバの何を組み込むべきか?

またそれを組み込むべき機器を答えよ。

 

f:id:yamaiririy:20210912115709p:plain

出典:平成29年度 春期 情報処理安全確保支援士 午後二 問1

A2

被疑サーバのFQDN

中継サーバ1

 

aolaniengineer.com

Q3

マルウェアが解析中の環境でないかを知る方法を2つのべよ。

 

 

A3

・実行中のプロセスの一覧から既知のデバッカ(システムのおかしいところを探すプラグラム)のプロセス名を探す

・デバッカ環境下であるかどうかのシステムコールを実行する

curtaincall.weblike.jp

 

 

Q4

(5)について検知が著しく難しい理由を述べよ

f:id:yamaiririy:20210912120844p:plain

出典:平成29年度 春期 情報処理安全確保支援士 午後二 問1

 

A4

暗号鍵を変えてパック処理すると暗号化済みコード部が変化し、

ウイルス定義ファイルに登録されていないファイルとなるから

 

aolaniengineer.com

 

 

Q5

以下の特徴があるマルウェアに感染したかどうかを調べるには

どのような項目を確認する必要があるか。

<g>を埋める形で答えよ。

 

<g>を比較用対象PCと突き合わせると差異が存在する。

 

f:id:yamaiririy:20211002155011p:plain

出典:平成29年度 春期 情報処理安全確保支援士 午後二 問1

 

A5

PC起動時や所定の時刻などに特定のプログラムを自動的に設定する内容

 

平成29年春問2:社内システムの情報セキュリティ対策強化

Q1

メールをメールボックスに格納するプログラムを<a>と呼び、

メールを転送するプログラムを<b>と呼ぶ。

 

 

A1

a-MDA

b-MTA

 

titechcomp.github.io

 

 

Q2

内部DNSは社内からのドメインについての問い合わせに答える目的で設置されている。

今回発見されたマルウェアYは、内部DNS経由で外部DNSDNS問い合わせを行っていた。

内部DNSでどのような条件に合致するログを収集すればマルウェアのログを効率よく取得できるか。

また外部DNSサーバと内部DNSサーバの設定をそれぞれどのように変えたら良いか。

 

 

 

A2

社内専用のドメイン名以外のFQDNが書かれている

 

外部DNS-内部DNSサーバからのDNS問い合わせを拒否する

内部DNS-インターネット上のサーバ名についてのDNS問い合わせを拒否する

aolaniengineer.com

 

Q3

脆弱性修正プログラムが発表されたとしても業務サーバにはビジネス上の影響を考えるとすぐに適用できない場合がある。業務サーバ間の必要な通信を維持しながら、業務サーバ間のマルウェア感染を防止する対策案とは何か。

 

A3

業務LANのすべてのサーバにホスト型IPSソフトウェアを導入する

 

Q4

A社では以下のような問題がある。調査の早期化を求めてA社がウイルス対策集中ソフトを導入する場合、A社が求める機能はどのようなものか。

f:id:yamaiririy:20211002163134p:plain

出典:平成29年 春期 情報処理安全確保支援士 午後二 問2

 

 

A4

サーバおよびPCでのウイルス検出結果をシステム部運用グループに通知する機能

 

 

Q5

以下の調査に加えて、マルウェアYによって送信されたメールが<a>という条件に一致するログを<b>から抽出した。空欄を埋めよ。

f:id:yamaiririy:20211002163624p:plain

出典:平成29年度 秋期 情報処理安全確保支援士 午後二 問2


A5

<a>インターネット上のサーバに転送された

<b>外部メールサーバ

 

※すでに実施済みの調査でYによって

内部メールサーバでメールが送信されたログを調べているので、

追加で外部メールサーバでそれが本当に送られているのか?を確認する

 

平成29年秋問1:IoTシステムのセキュリティ

Q1

Z社は自社で作るZカメラというIoT機器に脆弱性がないか検査を行うことにした。

1-65535のTCPポートにSYNを送信し応答結果からポートが開いているかを確認する検査の項目名を答えよ

 

 

A1

SYNスキャン

 

konomamaowaru.hatenablog.jp

 

 

Q2

以下の脆弱性が見つかった時、どのような対応を行えば良いか。

f:id:yamaiririy:20210908002500p:plain

出典:平成29年 秋期 情報処理安全確保支援士 午後二 問1

 

A2

デバック用プログラムとその起動スクリプトを削除したファームウェアを作成し、Zカメラに配布する。

 

 

Q3

以下の検査を行う時、プライベート認証局ルート証明書をテスト対象のZカメラに信頼されたルート証明期間のものとして登録しないのはなぜか。

f:id:yamaiririy:20210908002832p:plain

出典:平成28年度 秋期 情報処理安全確保支援士 午後二 問2

 

 

A3

証明書パスの検証が行われているかを確認できなくなるから

 

Q4

リバースブルートフォース攻撃の手法を40字で説明せよ。

 

A4

利用者IDを変更しながらよく用いられるパスワードでログインを試行する。

 

Q5

リバースブルートフォース攻撃やリスト型攻撃がログイン制限で防ぐのが難しいのはなぜか。

 

A5

1つの利用者IDでのログイン試行が1回ないしは少ない回数しか行われないから。

 

 

Q6

他の利用者情報(電話番号や電子メールアドレス)を追加で入力させたとしてもリスト型攻撃は防げない場合がある。それはどのような時か。

 

 

A6

他のWebサイトから漏洩した情報に電話番号や電子メールアドレスが含まれていた場合

 

 

Q7

リバースブルートフォース攻撃やリスト型攻撃を念頭に平常時とは異なると判断されるログイン認証の状況はどのような場合か

 

 

A7

全利用者の単位時間あたりの認証回数がしきい値を超えた場合

 

 

平成29年秋問2:データの暗号化

Q1

1人の鍵管理者がマスタ鍵の3つの部分鍵を入力する方法と比べて、

部分鍵を3人の管理者が管理する方法はどのような効果があるか。

 

 

A1

単独の鍵管理者ではマスタ鍵を復元できない。

 

参考情報⬇︎

aolaniengineer.com

 

 

平成30年春問1:セキュリティ対策の評価

Q1

検知方法1で脆弱性2を検知できないのはなぜか。

f:id:yamaiririy:20211001024901p:plain

出典:平成30年 春期 情報処理安全確保支援士 午後二 問1

f:id:yamaiririy:20211001024441p:plain

出典:平成30年度 春期 情報処理安全確保支援士 午後二 問1

 

A1

脆弱性の有無によってサーバからのレスポンスに違いがないから。

DOM型XSSの場合"#"以降の文字列はサーバに送信されません。
そのため、サーバから見るとリクエスト、レスポンスの内容を見ても正規なのか、攻撃なのか判断ができません。
レスポンスが返ってきたタイミングでブラウザに入っているJavascript等を利用して攻撃用スクリプトを実行します。

情報処理安全確保支援士 平成30年春 午後2問1 - Qiita

 

 

Q2

攻撃者はこのときどのように脆弱性2の有無を分析するのか。

f:id:yamaiririy:20211001025022p:plain

出典:平成30年 春期 情報処理安全確保支援士 午後二 問1

 

 

A2

スクリプトを分析し、フラグメント識別子の値の変化による挙動を確認する。

反射型XSSは攻撃スクリプトを含むデータを対象のWebに入力し、その結果、Webサイトに脆弱性があるかどうかを確認する。
しかし、DOM型XSSの場合、レスポンスに含まれないため脆弱性の有無が判断できない。
そのため、DOM型ではWebサイトのソースコードを分析し、"#"から始まるフラグメント識別子を利用したスクリプトの存在を確認する。
その後、スクリプトの挙動を確認することで脆弱性の有無を検知します。

情報処理安全確保支援士 平成30年春 午後2問1 - Qiita

 

Q3

どのような時に、Rポータルの動作に影響が出るか。

f:id:yamaiririy:20211009114701p:plain

出典:平成30年 春期 情報処理安全確保支援士 午後二 問1

 

A3

Rポータルで利用するスクリプトCookieの値を利用している場合

 

平成30年春問2:Webサイトのセキュリティ

Q1

攻撃に使われる文字列がWebサーバXの設定ではアクセスログに残らない。

どのような攻撃の時か。

 

A1

攻撃に使われる文字列がPOSTデータ内に含まれていた場合

 

GETの場合リクエストをURLの末尾に追記します。(ID、パスワードの入力なら、id=username&password=passのように)
そのため、URLのパラメータを黙視できます。Cookieも例外ではないため、セッションハイジャックの攻撃に繋がります。
しかし、POSTを利用したリクエストの場合、ボディ部(Cookieはhiddenフィールド)にリクエストを格納するため、URLを見ただけでは確認できず、ログにも残りません。
ログに残るのはアクセスしたURLのみです。

情報処理安全確保支援士 平成30年度春 午後2問2 - Qiita

 

 

Q2

Webサイトの脆弱性診断の項目について、空欄を埋めよ。

f:id:yamaiririy:20210917000020p:plain

出典:平成30年度 春期 情報処理安全確保支援士 午後二 問2

 

 

A2

c-ディレクト

d-クロスサイト

e-HTTP

f-ジャッキング

 

攻撃者が罠サイトに上記のようなURLを配置し、利用者がクリックすることで特定の値がCookieにセットされます。その結果、成りすまし攻撃が成立してしまう可能性があります。
また、同様の攻撃手法でURLに「%0D%0ALocation〜」のような文字列を含めることで、リダイレクト先のURLを任意のURL(罠サイト等)に書き換えることも可能です。

HTTPヘッダインジェクションとOSコマンドインジェクションの違いと対策方法を徹底解説! | セキュリティ対策 | CyberSecurityTIMES

 

 

Q3

以下の空欄を埋めよ。

f:id:yamaiririy:20210917000735p:plain

出典:平成30年度 春期 情報処理安全確保支援士 午後二 問2

 

 

 

A3

k-異なる権限を持った複数の

l-許可されている操作の違い

 

qiita.com

 

Q4

A社のWebセキュリティガイドに沿って、委託先からの納品物が開発されたかを確かめるために、契約の検修条件にどのようなことを追加すべきか?

 

A4

作業の妥当性を確認できる詳細なレビュー記録を委託先が提出していること

 

Q5

脆弱性診断で見つかった個々の脆弱性は、A社のWebセキュリティガイドを改善するためにどのように役立つか。

 

A5

脆弱性の作り込み原因を調査して、注意すべきポイントを追加する。

 

 

平成30年秋問1:クラウド環境におけるセキュリティ

Q1

各認証サーバ及び各SaaSをSAML2.0プロトコルやSPNEGOプロトコルで通信させることで通信させることによって、従業員にはどのような利便性が提供されるか。

 

A1

一度のログインで全システムにアクセスできるという利便性

 

 

 

 

平成30年秋問2:セキュリティインシデントへの対応

Q1

各機器が出力するログの時刻情報は<a>を<b>しておく必要がある

 

 

A1

a-タイムゾーン

b-統一

 

Q2

以下のように取得した情報の利用方法を述べよ。

f:id:yamaiririy:20210910233958p:plain

出典:平成30年度 秋期 情報処理安全確保支援士 午後二 問2

 

 

A2

ネットワークトラフィック量と比較して異常を検知する。

 

 

Q3

感染したPCからC&CサーバへのHTTPリクエストとレスポンスの通信が見られた。

それぞれマルウェアはどのような活動を行なっているのか。

 

 

A3

HTTPリクエスト-C&Cサーバへのコマンド要求または応答

HTTPレスポンス-C&Cサーバからのコマンド受信

 

 

Q4

マルウェアに感染したPCを直ちにネットワークから切断し解析を行った。

調査の観点から見た問題点と対処法を述べよ。

 

A4

問題点ーPCのネットワークインターフェースや通信の状態についての情報が失われること。

対処法ーメモリダンプを取得する。

 

 

Q5

宛先IPアドレスの他に、

マルウェアが外部にデータを送信した可能性を確認することの

できるログはどのようなものか。

 

 

A5

プロキシサーバがインターネットに送信したデータのサイズ

 

 

 

平成31年春問1:マルウェア感染と対策

Q1

マルウェアに感染した疑いのあるPCのHDDのコピーをファイル単位ではなくセクタ単位でとったのはなぜか?

調査内容と調査手段を答えよ。

 

 

A1

調査内容ー削除されたファイルの内容

調査手段ー空きセクタの情報からファイルを復元する

 

 

Q2

N社ではW-AP(無線アクセスポイント)でMACアドレスによる制限(MACアドレスフィルタリング)を行なっている。

攻撃者が自分の無線LAN端末を総務部のW-APに接続する方法とはどのようなものか。

 

 

A2

端末の無線LANポートのMACアドレスを、総務部のW-APに登録済みのMACアドレスに変更する。

 

参考⬇︎

情報処理安全確保支援士試験 午後問題から学ぶ【WPA2におけるMACアドレス認証】 | やさしいネットワークとセキュリティ

 

 

Q3

以下のようなTCP/IPパケットの特徴を述べよ。

f:id:yamaiririy:20210910102955p:plain

出典:平成31年度 春期 情報処理安全確保支援士 午後二 問1



A3

IPヘッダ部およびTCPヘッダ部は、同一のバイト文字列であることが多いこと

 

Q4

HTTPS部の場合、ブラックリストに登録できるのは、<a>部と<b>部だけであり、

<c>部は指定できない。

CONNECTメソッドでは、<d>をプロキシサーバに送らない仕様になっている。

 

 

A4

aーホスト

bーポート番号

cーパス

dーパス名

 

平成31年春問2:情報セキュリティ対策の強化

Q1

営業秘密の三原則を埋めよ。

f:id:yamaiririy:20210917002955p:plain

出典:平成31年 春期 情報処理安全確保支援士 午後二 問2

A1

a-秘密管理

b-有用

c-非公知

 

令和元年秋問1:ソフトウェア開発におけるセキュリティ対策

Q1

マルウェアXが以下の動作をする時、空欄<a><b>を埋めよ。

f:id:yamaiririy:20210917111304p:plain

出典:令和元年 秋期 情報処理安全確保支援士 午後二 問1

f:id:yamaiririy:20210917111422p:plain

出典:令和元年 秋期 情報処理安全確保支援士 午後二 問1

f:id:yamaiririy:20210917111454p:plain

出典:令和元年 秋期 情報処理安全確保支援士 午後二 問1





 

A1

a-curl

b-iptables

 

今回は、URLを指定してファイルをダウンロードできる「curl」コマンドです。

【 curl 】コマンド――さまざまなプロトコルでファイルをダウンロード(転送)する:Linux基本コマンドTips(25) - @IT

 

 

Q2

以下のき、くに当てはまる文言を以下の選択肢から選べ。

f:id:yamaiririy:20211001014151p:plain

出典:令和元年 秋期 情報処理安全確保支援士 午後二 問1

f:id:yamaiririy:20211001014232p:plain

出典:令和元年 秋期 情報処理安全確保支援士 午後二 問1

 

 

A2

きーア

くーウ

 

 

TTX(Table Top Exercise)

インシデント対応のための机上演習

 

回帰テスト

リグレッションテスト(regression test)とは、プログラムの一部分を変更したことで、ほかの箇所に不具合が出ていないかを確認するためのテストです。

回帰テスト」「退行テスト」とも呼ばれており、プログラムの修正後にこれらのテストをもう一度行って不具合がないかを検証します。

リグレッションテストとは?デグレーションの確認は必要不可欠!|発注成功のための知識が身に付く【発注ラウンジ】

 

ストレステスト

システムが実務に耐えうる処理能力を持っているか、高負荷をかけて確認するテストのこと

 

Q3

設計プロセスで参考にすべき、セキュリティ対策の標準とはどれか。

 

f:id:yamaiririy:20211009120222p:plain

出典:令和元年 秋期 情報処理安全確保支援士 午後二 問1

 

A3

ア、ウ

 

CISBenchmarks

CIS Benchmarksは、米国のCIS(Center For Internet Security)(注1)が発行しているシステムを安全に構成するための構成基準およびベストプラクティスが記載されたガイドラインです

CIS Benchmarksを活用したシステムの堅牢化について: NECセキュリティブログ | NEC


FedRAMP

Federal Risk and Authorization Management Program (FedRAMP) は米国政府全体のプログラムであり、クラウドの製品やサービスに対するセキュリティ評価、認証、継続的監視に関する標準的なアプローチを提供しています

FedRAMP コンプライアンス – アマゾン ウェブ サービス (AWS)

 

OWASP ASVS

ASVS v3.0.1 では、アーキテクチャ、認証、セッション管理、アクセス制御など、アプリケーションに必要とされるセキュリティ要件を総計19のカテゴリに分類してまとめています

OWASPアプリケーションセキュリティ検証標準

 

OWASP ZAP

Open Web Application Security Project によって公開されている
Zed Attack Proxy という名前のペネトレーションテストツールを指します。

OWASP ZAP で脆弱性診断 ~Webアプリケーションの守りを固めよう~|QESブログ

 

QUIC

IETFが標準化したQUICは、2013年に米グーグルが発表した、大量のアクセスを高速に処理するためのプロトコル「QUIC」を発展させたものだ。グーグルのQUICはウェブ専用で、「UDP」と呼ぶ通信プロトコルを利用し、独自の暗号化手法を備えていた。

Google発ネット通信の新標準「QUIC」 TCPと代わるか: 日本経済新聞

 

X.509

X.509とは、デジタル証明書電子証明書)および証明書失効リスト(CRL)のデータ形式を定めた標準規格の一つ。公開鍵の配送に必要な証明書データの記録形式や署名方式、無効な証明書を周知するリストデータ形式などを定めている。

X.509とは - IT用語辞典 e-Words

 

令和元年秋問2:工場セキュリティ

Q1

ログに記録されたUser-Agentヘッダフィールドからはマルウェアによる通信だとわからないことがある。どのようなケースか。

f:id:yamaiririy:20210908105214p:plain

出典:令和元年 秋期 情報処理安全確保支援士 午後二 問2

 

A1

User-Agentヘッダフィールド値がA社で利用しているWebブラウザを表示する値であるケース

 

WebサーバとHTTP/HTTPSで通信するWebブラウザやアプリ、クローラーといったクライアントプログラムは、Webサーバにリクエストを送る際、自身の「素性」を表す情報も同時に送信する。そのために使われるヘッダを「User-Agentヘッダ」と呼ぶ。また「素性」を表した文字列のことを、「ユーザーエージェント文字列」と呼ぶ。

atmarkit.itmedia.co.jp

 

 

Q2

工場内のAPには以下の課題がある。空欄を埋めよ

f:id:yamaiririy:20210908105636p:plain

出典:令和元年 秋期 情報処理安全確保支援士 午後二 問2

 

 

 

A2

g-電波を傍受

h-MACアドレス

 

通信するために用いるMACアドレスは暗号化の範囲に含まれておらず、空中を飛び交っているパケットを収集すれば、許可されているであろうMACアドレスを、容易に知ることができてしまいます。

atmarkit.itmedia.co.jp

 

 

令和2年秋問2:クラウドサービスを活用したテレワーク環境

Q1

E社ではテレワーク環境へのログインのためにIDaaSYでの二要素認証を用いることにした。

 

f:id:yamaiririy:20210908110838p:plain

出典:令和2年 秋期 情報処理安全確保支援士 午後二 問2

 

A1

イ シェアードシークレット

 

 

Q2

E社では以下のようなVDI環境を構築した。

1)この時利用者が故意に社内情報を持ち出す方法とはどのような方法か

2)マルウェアが社内情報を取得する方法はどのような方法か

f:id:yamaiririy:20210908111015p:plain

出典:令和2年 秋期 情報処理安全確保支援士 午後二 問2

 

A2

1)社内情報を表示した画面をカメラで撮影する方法

2)社内情報を表示した画面のスクリーンを取るという方法

 

 

Q3

テレワーク環境で利用するクラウドサービスに脆弱性がないか、脆弱性検査をしたいとクラウドベンダーに申し出たところ、他の利用者へ影響があるかもしれないという理由で受け入れられなかった。この時どのような方法とヒアリングをすれば代替できるか。

 

 

A3

セキュリティ対策についての第三者による監査報告書で確認するという方法

 

 

Q4

パソコンの紛失に備えてディスクの暗号化を行っている。しかし第三者に取得されてた時に<g>されてディスクが復号されてしまう可能性がある。20字以内で<g>に当てはまる言葉を述べよ。

 

 

A4

パスワードの推測によってログイン

 

 

参考情報⬇︎

syuntech.net

 

令和3年春問1:インシデント対応体制

Q1

パスワードリスト攻撃とは一般的にどのような攻撃か

 

A1

外部から流出したログインIDとパスワードの組みを利用し、不正ログインを試みる攻撃

 

Q2

ログインが普段と異なる環境から行われたことを判定する技術的手法を、45字以内で具体的に述べよ

 

A2

IPアドレスからわかる地理的位置について、過去のログインのものと違いを確認する
WebブラウザCookieを利用し、過去にログインした端末かを判定する

 

Q3

インシデント対応のフローについて空欄を埋めよ。

f:id:yamaiririy:20211006220244p:plain

出典:令和3年 春期 情報処理安全確保支援士 午後二 問1

 

A3

d-検知

e-分析

f-根絶

 

 

Q4

以下のうち、SSHで不正接続を行ったと考えられるIPアドレスは何個か?

f:id:yamaiririy:20211006220725p:plain

出典:令和三年 春期 情報処理安全確保支援士 午後二 問1

f:id:yamaiririy:20211006221007p:plain

出典:令和三年 春期 情報処理安全確保支援士 午後二 問1

 

 

A4

5個

www.youtube.com

 

 

Q5

サーバが以下の以下の設定のとき、攻撃者はどのように"/etc/hosts.allow"の設定を変えるか?

f:id:yamaiririy:20211006223035p:plain

出典:令和三年 秋期 情報処理安全確保支援士 午後二 問1

 

A5

攻撃の接続元IPアドレスを"/etc/hosts.allow”ファイルに追加する

 

 

Q6

攻撃者はF1ファイルとF2ファイルを攻撃者のサーバにアップロードした。

F2ファイルには幾つのIPアドレスのスキャン結果が含まれると考えられるか?

f:id:yamaiririy:20211006223458p:plain

出典:令和三年 春期 情報処理安全確保支援士 午後二 問1

f:id:yamaiririy:20211006223416p:plain

出典:令和三年 春期 情報処理安全確保支援士 午後二 問1

 

A6

24

 

※a1.b1.c1.d1がF1ファイルと推測され、320kバイトで8IPなので、

a2.b2.c2.d2がF2ファイルと考え、960kバイトは何IPかを推測する。

 

960/320=4

4*8=24

 

 

令和3年春問2:クラウドセキュリティ

Q1

上位2クオテットが169.254に設定されたIPアドレスはどれか

 

f:id:yamaiririy:20211006231953p:plain

出典:令和三年 春期 情報処理安全確保支援士 午後二 問2

 

A1

オ リンクローカルアドレス

 

Q2

UTM以外にDHCPサーバが稼働しているかどうかどのように調べるのか

DHCPを稼働させたまま調べる方法と停止させて調べる方法を述べよ

 

A2

稼働させたまま行う方法

L2SWにミラーポートを設定し、そのポートにLANモニタを接続してDHCP OFFERの数を確認する

 

停止させて行う方法

DHCPによるIPアドレスの配布がないことを確認する

 

 

Q3

規格または認証の例を挙げよ

f:id:yamaiririy:20211006232927p:plain

出典:令和三年 秋期 情報処理安全確保支援士 午後二 問2

 

A3

ISMS認証

ISAE3402/SSAE16

ISAE3402(国際保証業務基準3402)とは、委託会社の財務諸表に関連する業務(信託財産運用・保管、給与計算、ITアウトソーシング等)を受託した会社の依頼に基づき、監査人がその受託業務に関する内部統制について評価し、報告書を作成するための基準として国際会計士連盟(IFAC)が定めたものです。

Google Cloud Plarform が取得している第三者認証について | クラウドエース株式会社

 

 

Q4

持ち出しPCのセキュリティ設定を従業員に勝手に無効に変えられないためにはどのような設定にする必要があるか

 

 

A4

秘密鍵を書き出しできない設定にする

 

 

<セキュリティ#番外編>窃取 vs 詐取 vs 搾取

f:id:yamaiririy:20210729171554p:plain

 

セキュリティ関連のレポートを書いていたり、

セキスぺ(情報処理安全確保支援士)の勉強をしていると、

 

「情報が窃取(せっしゅ)された」

 

と書くことがあると思いますが、

似た言葉に

詐取(さしゅ)

搾取(さくしゅ)

があります。

 

セキュリティに携わる者として

言葉を正しく使いたいと思い、

今日はこの3つの言葉の違いについてまとめてみます。

 

 

窃取(せっしゅ)とは

窃取はその言葉通り、密かに盗み取るということです。

 

サイバーセキュリティの攻撃は、

相手にバレないように

重要な情報や、機密情報を狙って行われるわけですから、

まさにこの言葉がぴったりです。

 

詐取(さしゅ)とは

「偽って取る」と書くように、

人を騙したり、欺いたりして、人から物を奪い取ることです。

 

「データは現代の石油」と言われるほど、

現在において情報はお金と同じくらい価値があるので、

サイバーセキュリティ攻撃で重要な情報を奪う場合も

「搾取」

という言葉が使えます。

 

 

搾取(さくしゅ)とは

元々は動物の乳や木に実った果実を取る行為を指しますが、

そこから転じて、立場の強い者が弱い者より不当に利益を絞る取ることを表すようになりました。

 

例えば、

・不当な労働搾取

・性的搾取

などのように使われます。

 

よって、サイバーセキュリティの攻撃の文脈で

「情報を摂取する

というのは成立しないことになります。

 

まとめ

まとめると情報セキュリティの文脈では、

窃取 または 詐取 は使えるが、

搾取は使えない

 

ということになります。

 

地方公共団体における情報セキュリティポリシーに関するガイドラインの意見書でも

「重要情報の搾取」という記述があるが、「搾取」という言葉の本来の意味と違う使 われ方をしていると思われるので、言い換え(「重要情報の不正取得」など)が必要で はないかと考える。

という質問に対して、

ご指摘の趣旨及び「重要インフラの情報セキュリティ に係る第 2 次行動計画」(平成 21 年 2 月 3 日 情報セキ ュリティ政策会議決定)の記述を踏まえ、「詐取」に修正 します。

「搾取」ではなく「詐取」に統一するとあります。

https://www.soumu.go.jp/main_content/000087557.pdf

 

 

こちらもオススメ⬇︎

 

konomamaowaru.hatenablog.jp

 

 

 

<セキュリティ>情報処理安全確保支援士〜午後一オリジナル一問一答(平成25年〜平成27年まで)

f:id:yamaiririy:20210814161115p:plain

 

 

こんにちはririです。

セキスペ の勉強中なのですが、せっかくなら

午後問題の間違えたところを一問一答形式で保存しておきたい・・・

と思いメモしておきます。(随時更新予定)

 

注意:

・問題は過去問そのものではなく、一部変更しています。その点ご留意下さい。

・問題から一部抜粋しているため、以下の問題文だけでは答えがわからない場合があります。

・問題番号は試験通りではありません。

 

平成28年以降はこちら⬇︎

konomamaowaru.hatenablog.jp

 

 

 

平成25年春問1:マルウェア解析

Q1

J社で以下のマルウェアが見つかった。

ML3のマルウェアの痕跡は、どの機器にどのように残っているか。

※J社ではFWでPCからのプロキシサーバを経由しないインターネットへの通信は禁止している。またFWの許可と拒否に関する全ての通信ログを取得している。

f:id:yamaiririy:20210902235345p:plain

出典:平成25年度 春期 情報処理安全確保支援士 午後一 問1

 

A1

機器ーFW

内容ーPCから攻撃者のサーバへのHTTP通信のログ

 

平成25年春問2:IPアドレス詐称対策

Q1

空欄を埋めよ。

f:id:yamaiririy:20210903134642p:plain

出典:平成25年度 春期 情報処理安全確保支援士 午後一 問2

 

A1

a-UDP

b-3WAY

c-DNSSEC

 

UDPについての参考情報⬇︎

atmarkit.itmedia.co.jp

 

Q2

DNSでキャッシュポイズニングを防ぐために行われる対策とは何か。

ポート番号という言葉を使ってのべよ。

 

A2

問い合わせPTの送信元ポート番号をランダムに変えること

 

Q3

DNSサーバで外部メールサーバからの問い合わせPTを拒否しない設定にしているのはなぜか。

 

A3

送信元が外部メールサーバの場合、再起的な名前解決を許可する必要があるから。

 

Q4

送信元を支社プロキシサーバに詐称した問い合わせPTに対し、FWのIPアドレス詐称対策機能が有効に機能しない理由を述べよ。

 

A4

IF1経由で届く支社プロキシサーバからの正規の問い合わせPTと詐称された問い合わせPTとを区別できないから。

 

Q5

支社むけにNWを作る時、支社のプロキシサーバから本社のDNSサーバを経由せずに外部と通信するには、支社のシステムにどのような機能を持たせれば良いか。

 

A5
ゾルバ機能およびDNSキャッシュ機能

atmarkit.itmedia.co.jp

 

tooljp.com

平成25年春問3:リモートアクセス環境の情報セキュリティ

Q1

空欄を埋めよ

f:id:yamaiririy:20210903141510p:plain

出典:平成25年度 春期 情報処理安全確保支援士 午後一 問3

 

A1

a-業務データ

b-ハードディスクの暗号化

 

 

Q2

社外持ち出し用PCを廃止し、シンクライアント端末を各拠点に設置することにした。

これによりどのような効果が期待できるか。

 

A2

社外持ち出し用PCの紛失や盗難による情報漏えいリスクを低減する効果

 

平成25年春問4:情報漏洩対策

Q1

不正競争防止法に定められる営業秘密の3要件を述べよ。

 

A1

・有用な情報であること

・公然と知られてないこと

・秘密として管理されていること

 

 

Q2

不正の証拠を保存することをなんというか。

 

A2

ディジタルフォレンジック

 

Q3

紙媒体と同様に電子媒体の機密情報の管理も強化したい。

どのようにすれば良いか。

※紙媒体は「厳秘」「秘」の秘密区分を明記してキャビネットで施錠管理している。

 

A3

ファイルの中身に紙媒体と同様に、「厳秘」「秘」を明示する。

 

Q4

現在社外持ち出しPCはインターネットへのアクセスが可能になっている。その対策として<c>に当てはまる言葉を埋めよ。

f:id:yamaiririy:20210903142648p:plain

出典:平成25年度 春期 情報処理安全確保支援士 午後一 問4

※社外からファイルサーバにアクセスする際はVPN装置を経由し利用者認証を行なった上で接続を許可している。

 

A4

VPN装置経由だけを許可する

 

Q5

上記で想定しているリスクはどのようなものか。

 

A5

インターネットを利用して機密情報を社外持ち出し用PCの外部に送信できる。

 

 

平成25年秋問2:スマートフォンアプリケーション

Q1

f:id:yamaiririy:20210903151016p:plain

出典:平成25年度 秋期 情報処理安全確保支援士 午後一 問2

 

A1

 

RIPEMD

ビットコインで使用されるハッシュは SHA-256 と RIPEMD-160 です。ビットコインではハッシュは様々な所で用いられますが、ほとんどの場合、SHA-256 を 2 回適用したものが使われます。

RIPEMD-160とは 【bitFlyer(ビットフライヤー)】

 
Q2

スマホアプリに利用者の鍵を利用しておく方法では鍵を秘密にしておくことが難しい。どのような手法で鍵を知られてしまうか。

 

A2

スマホアプリをリバースエンジニアリングする

 

参考情報

japan.zdnet.com

 

 

平成25年秋問3:パブリッククラウドサービス

Q1

三者がサービスの利用申請をできてしまう可能性がある時、

管理者はサービスの利用申請があった時どのように本人確認をすれば良いか。

 

A1

管理者自身が申請者に直接申請の事実を確認する。

 

Q2

社内のファイルサーバにプロジェクト資料を保存していたが、

検索の機能が十分でないことから、クラウドサービスのCサービスに保存を行うことになった。以下のようなシナリオにどのように対応すれば良いか。

f:id:yamaiririy:20210903175634p:plain

出典:平成25年 秋期 情報処理安全確保支援士 午後一 問3

 

A2

a-プロジェクト資料を定期的にファイルサーバへバックアップ

b-バックアップしたプロジェクト資料を共有

c-データの移行方法

 

平成26年春問2:迷惑メール対策

Q1

空欄を埋めよ

f:id:yamaiririy:20210903180443p:plain

出典:平成26年度 春期 情報処理安全確保支援士 午後一 問2
 

A1

-all

 

Q2

迷惑メールの送信者の行動によってはSPFで迷惑メールを防ぐことができない。

それはどのような行動か。

 

 

A2

迷惑メールの送信者がドメインを正当に取得した場合。

 

平成26年春問3:インターネットを利用した銀行取引サービス

Q1

f:id:yamaiririy:20210903181227p:plain

出典:平成26年度 春期 情報処理安全確保支援士 午後一 問3

法人利用についてはIDとパスワードが漏洩しても金銭的被害が発生しにくいのはなぜか。

 

A1

攻撃者はクライアント証明書がなくログインできないから。

 

 

Q2

最新のブラウザを利用していると偽サイトに誘導された時に気づくことができるのはなぜか。

 

A2

利用者のブラウザに表示される警告画面を見て気づくことができる。

 

 

平成26年秋問2:代理店販売支援システム

Q1

f:id:yamaiririy:20210901131640p:plain

出典:平成26年 秋期 情報処理安全確保支援士 午後一 問2

 

 

f:id:yamaiririy:20210901131737p:plain

出典:平成28年度 秋期 情報処理安全確保支援士 午後一 問2

A1

カ、キ 

 

暗号方式について⬇︎

konomamaowaru.hatenablog.jp

Q2

代理店販売システムPシステムをQシステムへ刷新する時、112ビット安全性のセキュリティ強度を持つアルゴリズムを採用することにした。

この数値はQシステムのどのような要件から導き出されたのか。

f:id:yamaiririy:20210901132133p:plain

出典:平成28年度 秋期 情報処理安全確保支援士 午後一 問2

 

A2

利用期間は2025年8月までである。

 

Q3

QシステムではSSLクライアント証明書を用いて、アクセスする代理店の端末を認証することにした。

Qシステムにアクセスしていた端末を交換または破棄する際に代理店が実施すべき処理を30字以内で述べよ。

 

 

A3

端末に発行された証明書の利用停止を申請する。

 

Q4

証明書の新規発行を代理店が依頼する際に、

担当者が不適切な申請をした場合に、

代理店の管轄下にない端末に証明書がインストールされQシステムにアクセスされる可能性がある。

どのような対策を代理店で行えば良いか?

 

A4

代理店の管轄下の端末に証明書がインストールされていることを代表者が確認する。

 

平成26年秋問3:マルウェア感染への対応 

Q1

なりすましによるメールを防ぐため、

外部からの、M社のメールアドレスの受信を拒否する。

ただし、顧客管理に使っているメールサーバZからのM社のメールアドレスを使ったメールは受信できるようにしておきたい。

どのようなフィルタリングルールを追加すれば良いか。50字以内で述べよ。

f:id:yamaiririy:20210901133734p:plain

出典:平成26年度 秋期 情報処理安全確保支援士 午後一 問3

 

A1

送信元メールサーバのIPアドレスホワイトリスト

メールサーバZのIPアドレスを追加する。

 

Q2

マルウェアがプロキシサーバを経由せずC&Cサーバにアクセスができないのはなぜか。

 

A2

FWのフィルタリングルールで遮断しているから

 

Q3

マルウェアYに感染するというインシデントを経て、

運用サーバセグメントに、運用管理専門PCを1台設置することにした。

またそのPCでは<a>を禁止することにした。

<a>に当てはまる禁止事項を35字以内で述べよ。

f:id:yamaiririy:20210901135233p:plain

出典:平成28年度 秋期 情報処理安全確保支援士 午後一 問3

 

A3

運用サーバセグメントの管理に必要ないソフトウェアの利用

 

 

Q4

ソルトを使用するとハッシュ値からパスワードを特定しにくくなるのはなぜか。

 

A4

同じパスワードでもソルトが異なるとハッシュ値が変わるから

 

 

Q5

OSのパスワード格納方法について脆弱性が見つかった。

下記の空欄をうめよ。

f:id:yamaiririy:20210901135724p:plain

出典:平成28年度 秋期 情報処理安全確保支援士 午後一 問3

f:id:yamaiririy:20210901135804p:plain

出典:平成28年度 秋期 情報処理安全確保支援士 午後一 問3

 

 

A5

b=7

c=69i

d=14

e=95i

 

f:id:yamaiririy:20210915004542j:image



平成27年春問2:情報漏洩インシデントの調査

Q1

以下の空欄を埋めよ。

f:id:yamaiririy:20210902002507p:plain

出典:平成27年度 春期 情報処理安全確保支援士 午後一 問2

f:id:yamaiririy:20210902002605p:plain

出典:平成27年度 春期 情報処理安全確保支援士 午後一 問2

 

A2

a-FW

b-プロキシサーバ

c-MACアドレス

 

Q2

プロキシサーバを経ずにインターネットに接続しようとするとL社では失敗する。

それはなぜか。

f:id:yamaiririy:20210926193241p:plain

出典:平成27年度 春期 情報処理安全確保支援士 午後一 問2

 

A2

DNSによる名前解決ができず、TCP/IP接続要求が出ないから

※このマルウェアにはFQDNしか記載されていないため、C&Cサーバと通信をするためにはまず、DNSサーバに名前解決要求を出します。しかし、内部DNSサーバではインターネット上の名前解決は行わないため、よってTCP/IP接続が確立されません

情報処理安全確保支援士 過去問解説 ブログ: [平成27年度春] 午後1 問2 解説

 

Q3

以下はどのような攻撃を想定した調査か。

f:id:yamaiririy:20210902003007p:plain

出典:平成27年度 春期 情報処理安全確保支援士 午後一 問2

 

A3

ファイル配信サーバからマルウェアを拡散する攻撃

 

 

Q4

VさんのPCがマルウェアに感染した。

サーバ上で不正な操作が行われた形跡はなく、サーバは再起動ができない。

この場合サーバ上で実施すべき対策を述べよ。

 

 

A4

Vさんの利用者IDの無効化

 

平成27年春問3:パスワードへの攻撃

Q1

パスワードにソルトを付与しハッシュ化して保存しておくと、どのような攻撃を防げるか。

 

A1

多くの文字列のハッシュ値を計算したものと漏えいしたファイルの中のハッシュ値を突合し、パスワードを推測する攻撃

 

sc-kakomon.blogspot.com

 

平成27年秋問2:特権IDの管理

Q1

サーバ上のアクセスログを作業者が書き換えるなどの不正操作を検知できるのはなぜか。

f:id:yamaiririy:20210902001158p:plain

出典:平成27年度 秋期 情報処理安全確保支援士 午後一 問2

A1

不正操作の記録が管理用サーバの操作ログに残るから

 

Q2

保守委託先に発行している個人IDの管理状況を確認する必要がある。

具体的には何を確認すれば良いか。

 

A2

個人IDが本人以外に使われるおそれがないように管理していること

 

平成27年秋問3:Webサイトにおけるインシデント対応

Q1

以下のaとbはどのような攻撃を防ぐためのものか。

f:id:yamaiririy:20210902001856p:plain

出典:平成27年 秋期 情報処理安全確保支援士 午後一 問3

f:id:yamaiririy:20210902002125p:plain

出典:平成27年 秋期 情報処理安全確保支援士 午後一 問3



 

A1

aーサーブレットコンテナの管理画面に対するインターネットからの不正アクセス

bー自動的にログインを行うOSの仕様を利用した、他のサーバへのログイン