読者です 読者をやめる 読者になる 読者になる

にしのくえすと

情報処理技術者試験のお勉強ブログ


「にしのくえすと」とは?
・「情報処理技術者試験大好き」「ICT資格取りたい」な人のためのブログです。
・あいぱす、セキュマネ、基本、応用、セキュスペ(安全確保支援士)、ネスペ、デスペあたりの話題が中心です。
・申し述べる見解はあくまで私人としてのもので、勤務先とは一切関係ございません。
・資格試験に関する記事は、自己責任でご利用ください。


新刊のお知らせです!
20170310230011
・電子書籍第2弾!「セスペちゃん29」発売中!(Kindle版)
 午前対策+27春秋・28春秋午後解答ライブ収録!
 情報処理安全確保支援士対応!練習問題付き約150Pの攻略同人誌!

 
電子書籍発売中です!
20161022221039
・初の電子書籍!「ネスペちゃん28」発売中!(Kindle版)ver1.1

作者の日記系ブログ
みがまえるよりはやく  「にしの」私的なブログ不定期です。こちらもよろしくです。

今後のスケジュール
・ITパスポート本を製作中(6月予定)です。
・ネスペちゃんの改訂を行う予定です。(8月予定)

広告



セキュスペ27秋解いてみた 第3回午前1-1(1)

広告

注意事項をお読みください:こちら
解答方針は:こちら

それでは、もうちょっと問題を詳しく読んでみます。
気になるポイントにラインを引っ張っていきましょう。


プロローグ(前提の話)
 社外販売向けのサイトであること

  Eシステム大事。常時稼働。
  Fシステムは財務情報用。
  待機サーバは停止の告知用。

 図1 ネットワーク構成
  まあ、普通の図だよね。
 
 システムとソフトの関係がかかれている。

  Eシステム HTTP
        WAS
        WF
        WebアプリE→DBサーバ

  Fシステム Webページの表示用
        (WF WAFなし)

 表1 サーバのソフトウエア構成
  管理権限で動かすんかい・・・
  リクエストの流れはLB→WAF→WAS→アプリ

 図2 WAFルールの記述形式
  めんどいから、後で読もう・・・

 図3 WAFの動作
  マッチングしなかったら通過。Multipartの記述が気になる


第1話「脆弱性の確認」
 WFバージョンZがEシステムに該当 
 脆弱性Xにやられそう。
  class.loaderを使って攻撃できる
  修正モジュールはある
 サーバを待機用に切り替えた

 表2 攻撃コードの例
  GET POST Cookieかあ・・・

 今のところ異常はないと。


第2話「脆弱性への対策」
 修正モジュールは時間がかかるのでとりあえずWAFで対応しちゃえ。

 表3 WAFのルール例
  検出パターンは同じなので、検証対象が違うのはわかる。
  動作は全部遮断じゃね・・・とは思うけど・・・検知じゃ意味ないし

 エピローグ
  一応動作検証をして,了解を得て導入したが。
  追加ルールを導入する前に「検知」でテストしてみた方が良かったん
  じゃない?まあ、緊急対応だからね-。


ここまでこんな感じにざーっと読んで問題に取りかかりましょう。
午後1の問題は1問解くのに30分程度しか時間がありません。
理想としてはここまで10分で読めるといいんですけどね。


ここからは問題片手にどうぞ。
問1
可用性・完全性・機密性ですが。どこの話について・・・という記載がな
いので、答えのヒントはプロローグにあります。

「EシステムはQ社の販売チャネルの大部分を担っており、保守のための
時間帯を除き常時稼働している」「Fシステムは投資家などに対する財務
情報・会社情報を提供している」


この記述を発見できると思います。なるべく、この記述を使う必要があり
ます。かつ、文字数は8割を超える(20字以上)が目標になります。可
用性は「常に使い続けることができること」完全性は「誰かに改ざんされ
てないこと」機密性は「暗号化など、特定の人にしか読めない状態にする
こと」そんな感じです。これに当てはめると可用性と完全性が当てはまり
ます。

Eシステム 可用性 「Q社の販売チャネルの大部分を担っており、保守
のための時間帯を除き常時稼働する必要があるから。」
ちょい長いので削りましょう。
「販売チャネルの大部分であり、常時稼働する必要があるから。」


Fシステム 完全性 「Fシステムは投資家などに対する正確な財務情報
・会社情報を提供する必要があるから。」
長いっすね。
「正確な財務情報・会社情報を提供する必要があるから。」

(つづきます)

にしのくえすと Presented by にしの 2017