Archive
平成26年春情報セキュリティスペシャリストを受験してきました。
恥を忍んで解答をアップします。

午前1は免除。午前2はまぁいいとして午後1、2のみ。

午後1問2
設問1
(1)syslog
(2)-all
設問2
(1)迷惑メール対策をすり抜けるため直接外部メールサーバに送信された
設問3
(1)取り引き先メールサーバのIPアドレスを変更した
→IPアドレスWLにはメールの送信元IPアドレスとある。メールサーバのではない。。
ヘッダの送信元IPアドレスという意味か。。

(2)攻撃者が自らのDNSサーバに自メールサーバのSPFを登録した
→ここもなんとなくしっくりこない。。。

(3)プロキシサーバ 迷惑メール検知率が向上する
→ここも見直したら不正解っぽい。
プロキシサーバに対して、サーバ管理者がURLの登録(BL)を行ったURLを迷惑メールの本文で引っかけることの効果を考えればそれが解答ということ。
サーバ管理者がプロキシに対してBLを登録する状況(予想)としては、
・ウイルスによるコネクトバック通信を発見しそのURLを登録する。
・ウイルス配布サイト(水飲み場とか?)を発見してそのURLを登録する。
・フィッシングサイトを発見してそのURLを登録する。
等が考えられる。このURLがメール本文に記載されているとなると、itecの解答の通り「フィッシングメールを防ぐ」となるのだろうか…?
#IPAから模範解答が出たら全然違って「ズコーッ」っていうパターンもあるけども。。

設問4
FWでインターネットから外部メールサーバへの通信を遮断する×
→問題をキチンと読めば解ける問題
問題のここしか読んで無かった→「インターネット上のメールサーバからのSMTP通信を制御することにした」

正答はこんな感じか。。
外部メールサーバ宛ての通信を迷惑メール対策装置に振り分ける

問題文には「④図1のネットワークの構成とLBの設定を変更することで」とある。外部メールサーバをLB配下のL2SWに接続し、外部メールサーバへの通信をサービス振り分け機能とIPアドレス変換機能(LBの仮想IP宛てに届いたパケットの宛先を迷惑メール対策装置のIPアドレスに変換する?)で迷惑メール対策装置に振り分ける、迷惑メール対策装置の故障時は、振り分け及びIP変換機能を使用しない設定にする。ということなのだろうか。。
※セキュリティなのに結構NW寄りな知識が問われている

午後1問3
設問1
(1)フィッシングサイト
(2)クライアント証明書が保存されているPCしか認証が成功しないから
設問2
(1)接続先がx-bank.jpではないためブラウザで警告が表示される
(2)a123456 b10000 攻撃者口座への不正送金を利用者に気づかせないようにするため
設問3
(1)cならない× dなる
(2)二要素
(3)マルウェアKがHMAC計算ツールを悪用し改ざんした送金内容からHMAC値を生成し送金内容認証に成功してしまう問題


午後2問2
設問1
(1)ソースファイルを直接確認することができなくなるから
→聞かれていたことは証拠保全の観点か。。
サーバの設定や揮発性メモリの内容が確認できないから?

(2)バックアップされているコンテンツは既に改ざんされた後の可能性が高いから
(3)R社の画像閲覧ソフト
設問2
(1)FTPS× SSHが正解か…
A氏は暗号や認証の技術を利用して,リモートコンピュータとの間でファイル転送やOSへのログインを安全に行うことができるプロトコルである[ a ]を用いたファイル転送ソフトの使用を推奨した
詳細までキチンと読み込まないとこういうミスを犯す。。

(2)送信元 E社
設問3
(1)経理課 U銀行の証明書の検証時、実在するwebサイト運営者を確認できない
(2)Q社のwebサーバ OSベンダのwebサーバ R社のwebサーバ
設問4
(1)公開webサーバ インターネット 全て?
設問5
(1)クライアント証明書(クライアントが○)
(2)NCプログラムは専門加工業者のみダウンロードが可能という利点
CADデータだ… 何を血迷ったのかNCプログラムと書いてるしorz
「誤送信の防止や復号用パスワードの漏洩防止以外」となるとやはり改ざん検知が濃厚か。

CADデータが改ざんされても専門加工業者が検知できる利点 とか?

午後2問2で最大の山場となったのは設問5の(3)(4)(5)であろう。
この問題は受験者の想像力が試されている問題だと感じる。
Q.⑦ウイルスの活動によるPCからインターネットへの通信のうち、止めることはできないがログの分析によって検出できる通信

自分の解答は以下。なんとなくぼんやり浮かんだが50字まで発展させる余力が残っていなかった。
(3)プロキシサーバを経由した代替HTTPによる通信
  メールサーバを経由した外部に不正にメールを送信する通信

「プロキシサーバを経由して攻撃者のC&Cサーバへ代替HTTPにより長時間接続しているコネクトバック通信」「メールサーバを経由した外部に不正に大量にメールを送信する通信」 あたりになるだろうか。

ここまで事象を詳細に解答すればよかったのか…?。ここでキーワードが重要になると思っていて、技術的(知識)ワード「C&Cサーバ」、「コネクトバック通信」あたりを入れられるとよかったと後悔した。また、「長時間接続」「大量」のキーワードでログの分析による検知が可能となる。

実際にIPAから「攻撃者に狙われる設計・運用上の弱点についてのレポート」で、2.10.放置される長期間のhttpセッションが触れられている。

追記:
itecの解答速報では、「PCからプロキシサーバ経由でP社提供リストに登録されていないURLへアクセスする通信」となっている。やはり、問題文に解答はある。ということか。。これが正解だとするとまだまだ読解力不足。
設問4や5の設問の後半で、問題文の最初の方の機器の機能表の内容を解答させるパターンが過去何度かあったので、気にしておかなければならなかった。

(4)プロキシサーバを経由しないFW経由で直接出て行くHTTPSの通信

合格発表まで悶々とした日々を過ごすことになりそう。。


情報処理教科書 情報セキュリティスペシャリスト 2016年版
上原 孝之
翔泳社
売り上げランキング: 11,130





にほんブログ村 資格ブログ IT系資格へ
にほんブログ村






    
プロフィール

katsudon

Author:katsudon
どーしてもネットワークスペシャリストに合格したいオッサンが、試験テクニックや技術ネタ・勉強法や勉強記録なんかを備忘録もかねてログに残していきます

スポンサード リンク

Powered by amaprop.net
月別アーカイブ
カテゴリ
検索フォーム
最新記事
RSSリンクの表示