【情報処理安全確保支援士試験】平成30年春期 午前Ⅱ 問6~10 の解説
情報処理安全確保支援士試験の平成30年春期 午前Ⅱの6問目~10問目までの、私見での解説です。
平成30年春期試験 午前Ⅱ
問6
問題
ファイアウォールにおけるダイナミックパケットフィルタリングの特徴はどれか。
ア IPアドレスの変換が行われるので、ファイアウォール内部のネットワーク構成を外部から隠蔽できる。
イ 暗号化されたパケットのデータ部を復号して、許可された通信かどうかを判断できる。
ウ 過去に通過したリクエストパケットに対応付けられる戻りパケットを通過させることができる。
エ パケットのデータ部をチェックして、アプリケーション層での不正なアクセスを防止できる。
解説
ダイナミックパケットフィルタリングは動的フィルタリングとも言われ、不正な通信や不正なデータを見つけるための方法の1つです。
ダイナミックパケットフィルタリングは、内部のネットワークに属するPC等から外部のネットワークに属するPC等に対して通信を行った場合、その返信については自動的に通信を許可するという仕組みになっています。
つまり、選択肢:ウの「過去に通過したリクエストパケット」というのは、内部のネットワークに属するPC等から、外部に向けて通過したパケットのことをさし、これに対応付けられる戻りパケットについては、自動的に通過することできるということになりますので、正解は選択肢:ウになります。
一方、スタティックパケットフィルタリングは、あらかじめ内部から外部、外部から内部への通信をリスト化し、そのリストに準じて許可・拒否を行います。
選択肢:ア は、NATかNAPTの説明になります。ポート番号が変更されないのであればNAT、ポート番号まで変更されるのであればNAPTですね。
選択肢:イ は、次世代ファイアウォールの機能…でしょうか。paloaltoの次世代ファイアウォールでは、この機能があるようですね。
選択肢:エ は、WAFの機能でしょうかね。
回答
ウ
問7
問題
発信者がメッセージのハッシュ値からディジタル署名を生成するのに使う鍵はどれか。
ア 受信者の公開鍵
イ 受信者の秘密鍵
ウ 発信者の公開鍵
エ 発信者の秘密鍵
解説
公開鍵暗号方式は苦手な方が多いようですが、一度理解できれば、それほど難しくはないと思います。
前提として、公開鍵暗号方式では、対になる秘密鍵と共通鍵でのみ、復号ができます。これを踏まえて、公開鍵暗号方式で実現できるのは、①通信を暗号化し、データを盗聴から守る。②通信にディジタル署名を施し、データが改ざんされていないことを保証する。 の2つになります。
①通信を暗号化して秘密を守る
公開鍵暗号方式で通信を暗号化する場合、「受信者」以外が復号できない状態にしなければなりません。そのため、「受信者の公開鍵」で暗号化すれば、受信者の秘密鍵でしか復号できませんので、通信の秘密を守ることができますね。
②通信にディジタル署名を施し、データが改ざんされていないことを保証する
データが改ざんされていないことを保証するためには、元となるデータのハッシュ値と受け取ったデータのハッシュ値が同じであることを確認します。ハッシュ値は、データが1文字でも異なれば、全く違うハッシュ値が計算されますので、ハッシュ値を比較すれば、同一のデータか改ざんされたかがすぐにわかります。
なので、守るべきものは「ハッシュ値」になります。そこで、このハッシュ値を発信者の秘密鍵で暗号化して送付します。受信者は、発信者の公開鍵でハッシュ値を復号し、受け取ったデータのハッシュ値と比較することでデータが改ざんされていないことを確認できます。
今回の問題は、「発信者がメッセージのハッシュ値からディジタル署名を生成するのに使う鍵」を問われていますので、使用するのは「発信者の秘密鍵」ということになります。
回答
エ
問8
問題
X.509におけるCRL(Certificate Revocation List)に関する記述のうち,適切なものはどれか。
ア PKIの利用者は,認証局の公開鍵がwebブラウザに組み込まれていれば,CRLを参照しなくてもよい。
イ 認証局は,発行した全てのディジタル証明書の有効期限をCRLに登録する。
ウ 認証局は,発行したディジタル証明書のうち,失効したものは,シリアル番号を失効後1年間CRLに登録するよう義務付けられている。
エ 認証局は,有効期限内のディジタル証明書のシリアル番号をCRLに登録することがある。
解説
X.509におけるCRL(Certificate Revocation List)というのは、「証明書の失効リスト」のことをいいます。通常、証明書は有効期限が定められており、その期限を過ぎれば自動的に失効するのですが、その有効期限より前に失効させなければならない状態(例:秘密鍵を漏洩した、秘密鍵を紛失したなど)が発生した場合に、その証明書をCRLに登録することで、有効期限内であっても失効扱いにすることができます。
選択肢:ア 証明書の失効状態は常に確認しなければなりませんので、CRLを参照しなくても良いということはありません。
選択肢:イ CRLは有効期限内に失効させるべき証明書を登録するリストです。そのため、全ての証明書の有効期限は登録されていません。
選択肢:ウ 失効したものは、有効期限が到来するまで登録されています。つまり、有効期限が過ぎれば、削除されます。
選択肢:エ 有効期限内であっても、失効させなければならないものはCRLに登録しますので、正解となります。
回答
エ
問9
問題
認証デバイスに関する記述のうち,適切なものはどれか。
ア USBメモリにディジタル証明書を組み込み,認証デバイスとする場合は,そのUSBメモリを接続するPCのMACアドレスを組み込む必要がある。
イ 成人の虹彩は,経年変化がなく,虹彩認証では,認証デバイスでのパターン更新がほとんど不要である。
ウ 静電容量方式の指紋認証デバイスは,LED照明を設置した室内では正常に認証できなくなる可能性が高くなる。
エ 認証に利用する接触型ICカードは,カード内のコイルの誘導起電力を利用している。
解説
現在、多要素認証が推奨されていますので、様々な認証デバイスが存在しています。その認証デバイスの特徴を示す問題ですね。
選択肢:ア USBドングル認証の説明ですね。USBドングルは、USBメモリの中にディジタル証明書が組み込まれ、この証明書を使用して認証を行います。USBドングル自体を鍵として、組織内の様々なPCを使用するケースもあり得ます。そのため、これにMACアドレスを登録することを義務化すると、使い勝手が著しく低下しますので、MACアドレスの登録は求められていません。
選択肢:イ 生体認証の1つである虹彩認証の説明ですね。問題にあるとおり、成人の虹彩は、経年劣化がありませんので、パターンの更新はほとんど必要ありません。そのため、正解となります。
選択肢:ウ 生体認証の1つである指紋認証に関する説明ですね。静電容量方式の指紋認証デバイスは、人体から発せられている微弱な静電気によって認証を行っています。そのため、照明の明るさなどでは、その静電気は変化しませんので、LED照明を設置したとしても、問題なく認証を行うことができます。
選択肢:エ 非接触型ICカードによる認証の説明ですね。非接触型ICカード…つまり、Suicaなどのカードのことですが、この説明のとおり、リーダライタに近づけると、そこの磁力線からコイルに誘起電力が発生します。しかし、それは、ICカードを起動させる電力で、そこから半磁界が発生し、それを搬送波として変調したデータ送信を行い、認証を行っています。
回答
イ
問10
問題
サイバー情報共有イニシアティブ(J-CSIP)の説明として,適切なものはどれか。
ア サイバー攻撃対策に関する情報セキュリティ監査を参加組織間で相互に実施して,監査結果を共有する取組み
イ 参加組織がもつデータを相互にバックアップして,サイバー攻撃から保護する取組み
ウ セキュリティ製品のサイバー攻撃に対する有効性に関する情報を参加組織が取りまとめ,その情報を活用できるように公開する取組み
エ 標的型サイバー攻撃などに関する情報を参加組織間で共有し,高度なサイバー攻撃対策につなげる取組み
解説
サイバー情報共有イニシアティブ(J-CSIP(ジェイシップ)):IPA 独立行政法人 情報処理推進機構
サイバー情報共有イニシアティブは、IPAがサイバー攻撃による被害拡大防止を目的に、重工、重電等、重要インフラで利用される機器の製造業者を中心に、情報共有と早期対応の場として発足させた組織です。
最近では、「偽口座への送金を促す“ビジネスメール詐欺”の手口(続報)
~ 日本語メールの攻撃事例を確認、あらゆる国内企業・組織が攻撃対象となる状況に ~」というレポートを8月27日に公開していますね。
サイバー情報共有イニシアティブは、「IPAと各参加組織(あるいは参加組織を束ねる業界団体)間での秘密保持契約(NDA)の締結等により、参加組織およびそのグループ企業において検知されたサイバー攻撃等の情報をIPAに集約。情報提供元に関する情報や機微情報の匿名化を行い、IPAによる分析情報を付加した上で、情報提供元の承認を得て共有可能な情報とし、参加組織間での情報共有を行っています。」
と、記載されています。つまり、サイバー攻撃の情報を参加組織で共有しているという取り組みを行っていますので、選択肢:エ が正解となります。
回答
エ
