情報セキュリティマネジメント試験のH29年秋午後問題について書いていきます。

 

• 問1:情報セキュリティリスクアセスメント
  • 設問3-5:インシデントに対する組織的対策と技術的対策
  • 設問3-6:インシデントに対する組織的対策と技術的対策
  • 設問3-8:脆弱性の管理策　
• 問2:WebサービスでのWebアプリケーションソフトウェア開発委託
  • 設問1-1:ブルートフォース攻撃のリスクを低減するための対策
  • 設問2-1:ウェブ健康診断の項目を選ぶ問題
  • 設問2-2:攻撃の種類を選ぶ問題
• 問3:スマートデバイスの業務利用における情報セキュリティ対策
  • 設問1-3:JailBreakが原因で起きる現象
  • 設問2-4:モバイル端末の利用の課題とその対策

 

問1:情報セキュリティリスクアセスメント

設問3-5:インシデントに対する組織的対策と技術的対策

在宅勤務における脅威

②許可されていないソフトウェアのインストール

③利用者による不正アクセス

への対策を選ぶ問題。

 

(i)CDN(コンテンツデリバリネットワーク)サービスの導入

→X コンテンツを効率的に配信するための技術
(ii)IT資産管理ソフトウェアによる構成情報の自動収集と管理

→◯管理者がダウンロードされているソフトウェアが確認できるので、②の対策になります
(iii)MACアドレスフィルタリングの実施

→X アクセス制御に関する技術のため関係なし
(vi)URLフィルタリングの実施

→◯危険なサイトにアクセスできないように制限をかけることができるので③の対策になります
(v)生体認証の導入

→X ②と③の対策にはならない
(vi)特権ID管理ツールの導入

→X ②と③の対策にはならない
(vii)パスワードの定期的な変更

→X ②と③の対策にはならない
(viii)利用者アカウントに付与されている管理者権限の剥奪

→◯管理者権限を剥奪することで、管理者権限を要するソフトウェアのインストールを制限できるので、②の対策になります
(ix)リバースプロキシの設置

→X ②と③の対策にはならない

 

設問3-6:インシデントに対する組織的対策と技術的対策

情報消失・漏洩につながるPCの紛失・盗難への技術的対策を選ぶ問題。

 

(i)NPC利用時の利用者認証

→◯本人以外の利用を防ぐため、情報漏洩対策になる
(ii)ウイルス対策ソフトの導入及び最新の定義ファイルの適用

→X 今回の対策にはならない
(iii)在宅勤務利用規則の整備

→X 組織的対策にはなるが、技術的対策にはならない
(vi)誓約書の提出

→X 組織的対策にはなるが、技術的対策にはならない
(v)データバックアップの実施

→◯ 情報が消失した時の対策になる

 

設問3-8:脆弱性の管理策　

管理策の十分性の判断にばらつきが出ないようにする解決策を選ぶ問題。

(i)各脆弱性の評価を複数の評価者が行い，結果を調整している。

→◯複数名による評価によって、評価のばらつきが抑えられます。
(ii)管理策の数をそろえている。

→X管理策の十分性の判断には関係しない
(iii)しきい値を超えるリスク値が存在する場合，CISOが当該リスクの受容を承認している。

→X管理策の十分性の判断には関係しない
(vi)情報資産ごとに，しきい値を設けている。

→X管理策の十分性の判断には関係しない
(v)評価者に対して，評価についての教育，訓練を実施している。

→◯教育をすることで評価のばらつきを抑えることができます。
(vi)リスク値を客観的に算定するための基準を設けている。

→◯客観的な基準があれば評価のばらつきを抑えることができます。

 

 

問2:WebサービスでのWebアプリケーションソフトウェア開発委託

設問1-1:ブルートフォース攻撃のリスクを低減するための対策

ブルートフォース攻撃の対策を2つ選ぶ問題。

 

ア児童用パスワード及び保護者用パスワードの入力内容を，常に非表示にするように変更する。

→X攻撃者は入力内容を見るわけではないので対策にはならない。
イ児童用パスワードを，数字4桁から英数記号8文字以上に変更する。

→◯パスワードを長くすることはブルートフォース対策になる。
ウ保護者用パスワードを，英数記号8文字以上から数字9桁に変更する。

→X英数の組み合わせの方が数字のみの組み合わせより複雑なため対策にはならない。
エログイン失敗回数によるアカウントロックのしきい値を，5回から8回に変更する。→Xしきい値が緩い設定に変わってしまうので対策にはならない。
オログイン失敗時のアカウントロック時間を，1分間から60分間に変更する。

→◯アカウントロック時間を長くすることはブルートフォース攻撃の対策になる。

 

設問2-1:ウェブ健康診断の項目を選ぶ問題

SQLインジェクションとクロスサイトスクリプティングについて、

受動的攻撃か（被害者の操作が必要）

能動的攻撃か（被害者の操作は不要）

を選ぶ問題。（それぞれの説明は問題文にあり）

 

 

SQLインジェクションは、被害者の行動は不要なので、能動的攻撃

クロスサイトスクリプティングは、被害者の行動が必要なので、受動的攻撃

となる。

www.shadan-kun.com

cybersecurity-jp.com

 

ちなみに、P社が参考にしたIPAの”ウェブ健康診断仕様”はこちら⬇︎

www.ipa.go.jp

設問2-2:攻撃の種類を選ぶ問題

表１を参考にしながら、

能動的（被害者の行動不要）で、可用性にしか影響のない攻撃を選びます。

 

ア.クローラへの耐性

→◯可用性のみに影響を与える。
イ.セッション管理の不備

→Xセッション情報が漏れる可能性があり、機密性に影響があるため該当しない
ウ.ディレクトリトラバーサル

→X非公開情報が漏洩する可能性があり、機密性に影響があるため該当しない
エ.ディレクトリリスティング

→X非公開情報が漏洩する可能性があり、機密性に影響があるため該当しない
オ.認可制御の不備，欠落

→X正規のユーザー以外に操作される可能性があり、機密性や完全性に影響がある可能性があるので該当しない

 

クローラの耐性は、上記のウェブ健康診断に解説がありました。

(M) クローラへの耐性 インターネットに公開されているホームページは通常の利用者（人間）によるアクセスだけではなく、「クローラ」と呼ばれる自動プログラムによるアクセスを受けていま す。

この「クローラ」とは、主には検索エンジンの検索データベースを作成するために、ウェブページのデータを回収するプログラムのことです。

このクローラは、データの回収にあたって、ホームページへ連続的にアクセスをするのですが、そのようなクローラによるアクセスに耐えられないという欠陥を抱えるウ ェブシステムが一部にあることがわかりました。

クローラは既にインターネットにおいては検索エンジンをはじめたくさん利用されており、たとえば国立国会図書館でも、政府・地方公共団体等の公的機関を対象に、 自動収集プログラム（クローラ）によるインターネットで公開されている資料の収集が実施されている状況です。

大半の一般的なウェブサーバ・ウェブアプリケーションはまず問題ありません。しかし万一、クローラによるアクセスに耐えられないシステムであった場合、クローラのア クセスによりサーバがエラーを出したり、レスポンスが極端に遅くなったり、最悪の場合、ウェブサーバが停止するといった不具合が発生し、利用者に不利益となる可能 性があります（可用性が損なわれる）。 

https://www.ipa.go.jp/files/000017319.pdf

 

ディレクトリリスティングもあまり聞いたことがなかったのでメモ

（ディレクトリ上にあるファイルの一覧を表示させる攻撃。

本来隠蔽しておくべきファイルが見つかると攻撃につながる可能性がある）⬇︎

securitynavi.jp

 

 

問3:スマートデバイスの業務利用における情報セキュリティ対策

設問1-3:JailBreakが原因で起きる現象

JailBreakをすることで起きうる現象で最も適切なものを選びます。

ア.OSの脆弱性を悪用されて，バックドアを仕掛けられる。

→XJailBreakしていなくても、OSに脆弱性があればバックドアを仕掛けることは可能です。
イ.公衆無線LANの電波と携帯電話回線の電波が干渉したときに，通話とインターネット通信ができなくなる。

→Xネットワークの話なので関係ありません。
ウ.スマートデバイスの利用者が出荷時のセキュリティ設定を解除できるようになる。

→◯JailBreakする利用者が通常はできない設定の変更もできるようになります。
エ.不正なショートメッセージサービスがスマートデバイスに送られたとき，架空の未払料金を請求されて支払うことになる。

→Xスパムメールの話なのでJailBreakとは関係ありません。
オ.不正な電子メールがスマートデバイスに送られたときに，フィッシングサイトに誘導されて，個人情報が漏えいする。

→Xスパムメールの話なのでJailBreakとは関係ありません。

 

www.apollomaniacs.com

 

設問2-4:モバイル端末の利用の課題とその対策

モバイル端末を利用するにあたり必要な、モバイル端末利用申請書の修正内容と運用手順をそれぞれ選ぶ問題です。

 

[モバイル端末利用申請書の修正内容]
(i)モバイルワークで使用する可能性がある全ての個人所有のスマートデバイスの機種名及びOS名を記入できるように修正する。

→Xスマートデバイスの機種名とOS名が同じ別の端末も使用できてしまいます。
(ii)モバイルワークで使用する個人所有のスマートデバイスの電話番号及び機種名を記入できるように修正する。

→Xスマートデバイスの電話番号と機種名だけではSIMカードを移せば別の端末も使用できてしまいます。
(iii)モバイルワークで使用する個人所有のスマートデバイスの電話番号及び国際移動体装置識別番号を記入できるように修正する。

→◯国際移動体装置識別番号は端末固有の番号なので、申請されていない端末が利用されていれば気づくことができます。

[運用手順]
(vi)MM1又はMM2の管理画面上で，端末データが全項目とも収集されていることを複数の運用担当者が一緒に目視で確認した後，B社アプリをMM1又はMM2を利用して配布する。

→X端末データがしっかりと収集されていることを確認するだけでは、申請した通りの端末が使われているかの判断はできません。

(v)MM1又はMM2の管理画面上の端末データと，モバイル端末利用申請書を運用担当者が目視で突合し，一致した場合にだけB社アプリをMM1又はMM2を利用して配布する。→◯許可されている端末が使われているかどうかは端末データと申請書を突合し一致するかどうかで判断できます。

 

「IMEI」（識別番号、シリアル番号）とはなんですか？| よくあるご質問 | サポート | au

 

 

 

※本記事に記載している過去問はIPAの配布サイトより引用しています。一部表現を変えている場合があります。