まずは令和はじめての試験お疲れ様でした!
情報処理安全確保支援士試験の勝手に解答速報をや
っていきます。
なお、あくまで解答は「個人の見解」です。木曜あ
たりには専門学校の解答例も出てきますし、そっち
の方が信用できます。
よって、個人の責任でご利用ください。間違ってい
ても、しゃーないです。そういうものです。あくま
で5chの解答晒しに近いものがあります。
そこのところを踏まえでご利用お願いいたします。
(現在:とりあえず解答終了 訂正の予定はなし)
※セキュアプログラミングなかったですね・・・。
※自信?たぶん、合格してるんじゃないレベルです。
情報処理安全確保支援士試験 午後1
問1 「電子メールのセキュリティ対策」
設問1
空欄a MAIL FROM
※これできなくて諦めませんでした?悩みました。
設問2
(1)
空欄b x cx dx ex
f x go h x i x
※DNSにSPFレコード(ドメイン名・IPアド
レスなど)を書いておくと、相手から「こいつは大
丈夫」とわかる。
受信側は宛名を参考に相手のDNSのSPFレコ
ードを調べる。OKなら受け取るし、そうじゃない
なら・・・
攻撃1は相手のDNSに正当な相手かを確認するの
で、外部メールサーバでの対応と取引先の設定がで
きてないとだめ。なので、全部×。
攻撃2はN社の外部DNSの設定がされていて。取
引先が対応できないとだめ。だからg以外×。
(2)
空欄j x1.y1.z1.1
(3)
失敗する理由SPFの仕組みを踏まえて50
envelope fromを書き換えない場合、転送したドメ
インではなく送信元のドメインを検証するから。
※SPFはあくまで差出人のメールアドレスのドメ
イン名を検証する。
(4)
正当性以外に確認できる事項20
メール本文とメールヘッダが改ざんされていないこ
と。
※ハッシュの役割ですね。
設問3
空欄
k mail.x-sha.co.jp
l x2.y2.z2.1
m quarantine
n r
※よく読めばこうなると思います
設問4
どのようになりすますと防ぐことができなくなるか
具体的に50
取引先のIPアドレスを詐称する行為。
※自信なし。このくらいしか思いつきません。IP
アドレスを詐称するのはなかなか困難ですが、いい
手あるんですかね。
※キャッシュポイズニングはやりすぎかな、と思っ
た。
問2 「セキュリティインシデント対応におけるサ
イバーセキュリティ情報の活用」
設問1
(1)
通信が遮断された理由20
プロキシサーバで認証されなかったから。
(2)
適切な機器記号で
b
※ログ取ってるのはここだけだし、フィルタリング
ルール上ここ通るよね
(3)
情報持ち出しが成功した痕跡2つ30
・PC−Tに対する不正なユーザによる認証結果
・パブリックDNSサービスLに対するDNSプロ
トコル通信のFWのログ
※グローバルIPアドレスMは遮断されていたんで
すよね。利用者IDとパスワードを窃取するのが目
的だからと思った。
(4)
ISACに伝えるべき情報を記号で2
イ ウ
※ファイル名は変更されるのでオキは不適。プライ
ベートIPは意味ある?エカ不適。日時はいらない
のでは?
設問2
(1)
ソフトウエアのデジタル署名の検証
エ
(2)
プロキシ認証情報の窃取に使用できない攻撃手法記号
ウ
※ゴールデンチケット知らないけど、消去法で。
(3)
変更すべきフィルタリングルール
送信元 宛先 サービス 動作
3 全て インターネット DNS 拒否
※インターネット上のDNSサーバを使えないように
する、とまずいか。おまけに拒否って
↓(直した)
送信元 宛先 サービス 動作
3 DMZ インターネット DNS 許可
※ここ以外拒否すればいい話だ。
(4)
空欄b c d それぞれ10字以内
b DNSサーバ
c リゾルバ
d 問い合わせ
※非問い合わせってありかどうかは疑問。自信なし。
(5)
空欄eに入れる適切な特徴を30字
同じドメインに対するDNSの問い合わせが大量に発
生する。
※情報を分割して運ぶのならこうかなあと。
問3「標的型攻撃への対応」
設問1
(1)
図2(2)の目的を25
メモリ内部の状態を保持するため。
※電源を保持する目的は活動している状態を維持する
ことにあります。
(2)
図2(3)J社にとって望ましくないものを2つ20
・外部のC&Cサーバと通信を行う。
・他の機器に感染を拡大する。
※一番最初に書いてありますね。
設問2
空欄
a ウ
b イ
c オ
d ア
設問3
(1)
eに入れる25
フィルタリングルールによって拒否された通信。
※本当は外部C&Cとの通信があったか?としたいが、
Pシステム検知してるだろと思って。
(2)
下線1検知できないのPCサーバどのような状態40
管理サーバにハッシュ値が登録されておらず、エージ
ェントプログラムがマルウエアの実行を禁止できない
状態。
※Rシステムと通信できない状態?とかも考えたけどこれが自然かなあ?
(3)
下線2マルウエアMに感染しているPCまたはサーバ
をRログを使って検知する方法30
マルウエアのハッシュ値でRログを検索する方法。
※書いてある通りだけど。
以上です。3がやさしめ?なので1−3か2−3の選択かなあ。2−3多そう。