【R6秋】安全確保支援士(SC) 午前2 解答と解説 (※AI/個人調べ)

プロモーションを含みます
プロモーションを含みます
Ad

2024年10月13日(日)に「情報処理安全確保支援士(SC)」試験が実施されました。

午前2 の解答と解説を、AIとネットを駆使して、3時間かけて作成しました。

問の出所: 令和6年 (秋期)「情報処理安全確保支援士 (SC)」試験 – 午前Ⅱ

問1
RADIUS や Diameter が提供する AAA フレームワークの構成要素は、認証 (Authentication)、認可 (Authorization) と、もう一つはどれか。

答え
ア Accounting

解説
認証プロトコルの RADIUS 等で利用される AAA フレームワークの3つの構成要素といえば「認証」「認可」「アカウンティング」です。
Diameter は、RADIUSの後継プロトコルとして開発された AAA サービスを提供するためのネットワークプロトコルです。

問2
AI による画像認識において、認識させる画像の中に人間には知覚できないノイズや微小な変化を含めることによって、AI アルゴリズムの特性を悪用し、誤認識させる攻撃はどれか。

答え
イ Adversarial Example 攻撃

解説
Adversarial Example は、変更を加えた画像は人間には元の画像と変わらないように見え、AI の画像認識モデルでは全く異なる画像として認識されることが主な特徴です。

問3
様々なサイバー攻撃手法を分類したナレッジベースはどれか。

答え
イ MITRE ATT&CK

解説
MITRE (マイター) 社が開発した ATT&CK (アタック) というナレッジベース。マイター・アタック。「Adversarial Tactics, Techniques, and Common Knowledge」(敵対的戦術、手法、一般知識) の略称。

問4
NTP リフレクション攻撃の特徴はどれか。

答え
エ 送信元を偽って、NTP サーバにレスポンスデータが大きくなるリクエストを送信する。

解説
小さなクエリパケットが大きな攻撃パケットに増幅 (最大で約500倍まで増幅) される可能性があります。リクエストパケットには、NTP サーバが過去にやり取りした最大600件のアドレスを返す monlist コマンドが指定されているため、この攻撃の対策としては monlist コマンドを無効化することが有効です。

問5
PQC (Post-Quantum Cryptography) はどれか。

答え
ウ 量子コンピュータを用いても解読が困難であり、安全性を保つことができる暗号方式

解説
PQC は「耐量子コンピュータ暗号」とも呼ばれます。

問6
Smurf 攻撃はどれか

答え
ア ICMP エコー要求パケットの送信元 IP アドレスに攻撃対象の IP アドレスを設定し、宛先にブロードキャストアドレスを設定して送信することによって攻撃対象を利用不能にさせる。

解説
Smurf 攻撃は、ICMP プロトコルにハンドシェイクが含まれていないという脆弱性を悪用し、ICMP の応答パケットを大量に発生させる攻撃です。

問7
ある IdP (Identity Provider) は、パスキー (Passkey) 認証をサポートしており、利用者 A は、この IdP の FIDO 認証器として、自分のスマートフォンの生体認証機能を登録してある。また、Web サーバ B は、この IdP を使ってログインが可能である。利用者 A の Web ブラウザから Web サーバ B にアクセスする際、利用者 A の生体情報を受信するもの、受信しないものの組み合わせのうち、適切なものはどれか。

答え
ア 利用者 A の Web ブラウザ ⇒ 受信しない。Web サーバ B ⇒ 受信しない。IdP ⇒ 受信しない。

解説
利用者 A の生体情報を受信するのは、利用者 A のスマートフォンのみです。生体認証はスマートフォン内部で完結し、外部に認証情報が漏れることはありません。

問8
シングルサインオン (SSO) に関する記述のうち、適切なものはどれか。

答え
エ リバースプロキシ方式では、SSO を利用する全てのトラフィックがリバースプロキシサーバに集中する。

解説
ア の「SAML 方式では・・・」の内容ですが、SAML 方式では URL 形式の利用者ID を自動生成するわけではありません。
イ の「エージェント方式では・・・」とありますが、これは「代理認証方式」の説明です。
ウ の「代理認証方式では・・・」とありますが、代理認証方式の説明は、イ の「ログイン画面を監視し、ログイン画面が表示されたら認証情報を代行入力する」が正しい説明です。
エ の「リーバスプロキシ方式では・・・」の説明は正しいです。アクセスが全てリバースプロキシサーバ経由になります。

問9
量子暗号の特徴として、適切なものはどれか

答え
エ 量子通信路を用いて安全に共有した乱数列を使い捨ての暗号鍵として用いることによって、原理的に第三者に解読されない秘匿通信が実現できる。

解説
量子通信路として光ファイバーを使用し、光子を用いて暗号鍵を配送する共通鍵暗号方式です。理論的に第三者による解読が不可能とされています。

問10
電子メールの受信者側のメールサーバでの送信ドメイン認証が失敗したときの処理方針を、送信側のドメイン管理者が指定するための仕組みはどれか。

答え
イ DMARC

解説
電子メールの受信者側のメールサーバでの送信ドメイン認証が失敗したときの処理方針を、送信側のドメイン管理者が指定するための仕組みは DMARC です。
認証失敗時のポリシーを、3つの DMARC ポリシーの中から選択し指定します。
・None (なし): 通常通り配信
・Quarantine (隔離): 隔離フォルダに隔離される
・Reject (拒否): メッセージは拒否され、配信されない。

問11
SOAR (Security Orchestration, Automation and Response) の説明はどれか。

答え
ア 脅威インテリジェンスの活用、セキュリティ運用の自動化及びインシデント対応の効率化を行う技術

解説
SOAR は、自動化/効率化により、アラートや脅威の管理、分析、対応までの一連の作業負担を大きく軽減します。

問12
WAF におけるフォールスポジティブに該当するものはどれか。

答え
ア HTML の特殊文字 “<” を検出したときに通信を遮断するように WAF を設定した場合、数式を入力する Web サイトに “<” を数式の一部として含んだ HTTP リクエストが送信されたとき、WAF が攻撃として検知し、遮断する。

解説
フォールスポジティブとは、実際は正常なものを誤って異常と判断してしまうことです。誤検知とも呼ばれます。

問13
インラインモードで動作するアノマリ型 IPS はどれか。

答え
エ IPS が監視対象の通信を通過させるように通信経路上に設置される。通常時の通信を定義し、それから外れた通信を不正と判断して遮断する。

解説
アノマリ型は、「通常時の通信から外れた通信」を不正と判断します。シグネチャ型は、「異常と定義した通信と合致する通信」を不正と判断します。

問14
クリックジャッキング攻撃に有効な対策はどれか。

答え
エ HTTP レスポンスヘッダーに、X-Frame-Options を設定する。

解説
X-Frame-Options は、他ドメインサイトからの frame 要素や iframe 要素による読み込みを制限することができます。

問15
DTLS の特徴はどれか。

答え
エ UDP のペイロードデータの暗号化を可能としている。

解説
DTLS (Datagram Transport Layer Security)
TCP ではなく UDP をベースとしており、UDP の特性に合わせて、ストリームではなくパケット単位で暗号化を行います。

問16
利用者 A が所有するリソース B が、Web サービス C 上にある。OAuth 2.0 において、利用者 A の認可の下、Web サービス D からリソース B への限定されたアクセスを可能にするときのプロトコルの動作はどれか。ここで Web サービス C は、認可サーバを兼ねているものとする。

答え
ア Web サービス C が、アクセストークンを発行する。

解説
この場合、Web サービス C が認可サーバとリソースサーバの両方の役割を果たしています。よって、アクセス許可証 (アクセストークン) は Web サービス C が発行します。

問17
利用者認証情報を管理するサーバ1台と複数のアクセスポイントで構成された無線 LAN 環境を実現したい。PC が無線 LAN 環境に接続するときの利用者認証とアクセス制御に、IEEE 802.1X と RADIUS を利用する場合の標準的な方法はどれか。

答え
イ アクセスポイントには IEEE 802.1X のオーセンティケータを実装し、かつ、RADIUS クライアントの機能をもたせる。

解説
・PC (サプリカント)
・AP (PC を認証する役割とRADIUS サーバに対するクライアントの役割)
・RADIUS (認証サーバ)
PC <–> AP <–> RADIUS

問18
ネットワーク層のパケットを対象として IP パケットでカプセル化し、トンネリングを行えるプロトコルはどれか。

答え
ア IPsec

解説
IPsec は、ネットワーク層のパケットを IP パケットでカプセル化し、IP パケットを使用してトンネリングを実現します。

問19
IPv4 における ICMP のメッセージに関する説明として、適切なものはどれか。

答え
イ 転送されてきたデータグラムを受信したルータが、そのネットワークの最適なルータを送信元に通知して経路の変更を要請するには、Redirect を返す。

解説
転送されてきたデータグラムを受信したルータが、そのネットワークの最適なルータを送信元に通知して経路の変更を要請するには、Redirect を使用します。
また、ルータでメッセージを転送する際に、送信元が設定した TTL が 0 になった場合は、送信元に “時間超過 (Time Exceeded)” が返されます。

問20
ネットワーク機器間の光ファイバを使った通信を分岐させてネットワーク上のトラフィックを取り出し、セキュリティ装置で監視したい。ネットワークから信号を光学的に分岐させて取り出す装置はどれか。

答え
ア ネットワークタップ

解説
波長分割多重装置と迷いましたが、波長分割多重装置は、一本の光ファイバーに波長の異なる複数の光信号を重ねて伝送し、通信容量を大幅に増加させることができる装置であるため、解答はネットワークタップとしています。

問21
関係モデルにおける外部キーに関する記述のうち、適切なものはどれか。

答え
エ 一つの関係に外部キーが複数存在してもよい。

解説
外部キーは、一つの関係 (テーブル) に複数の外部キーを設定することができます。

問22
ソフトウェアパターンのうち、GoF のデザインパターンの説明はどれか。

答え
イ オブジェクト指向開発のためのパターンであって、生成、構造、振る舞いの三つのカテゴリに分類される。

解説
GoF は、オブジェクト指向開発のためのデザインパターンで、「生成」「構造」「振る舞い」の三つのカテゴリに分類されます。
GoF は、「Gang of Four」の略称で、以下の4人組を表しています。
・エーリヒ・ガンマ(Erich Gamma)
・リチャード・ヘルム(Richard Helm)
・ラルフ・ジョンソン(Ralph Johnson)
・ジョン・ブリシディース(John Vlissides)

問23
エクストリームプログラミング (XP: Extreme Programing) における “テスト駆動開発” の特徴はどれか。

答え
エ プログラムコードを書く前にテストコードを書く。

解説
テスト駆動開発の特徴は、プログラムを書く前にテストケースを作成することです。
(TDD: Test Driven Development)

問24
JIS Q 20000-1:2020 (サービスマネジメントシステム要求事項) によれば、サービスマネジメントシステム (SMS) における継続的改善の定義はどれか。

答え
エ パフォーマンスを向上するために繰り返し行われる活動

解説
継続的改善は、以下のステップを通じてサービスのパフォーマンスを継続的に向上させます。
・監視と測定
・レビュー
・改善策の立案
・実施

問25
アクセス管理に関する内部統制のうち、金融庁 “財務報告に係る内部統制の評価及び監査に関する実施基準 (令和5年)” における IT に係る業務処理統制に該当するものはどれか。

答え
ウ 組織内のアプリケーションシステムに、利用者 ID とパスワードによって利用者を認証する機能を設ける。

解説
ITに係る業務処理統制の評価の中に、次のような文言があります。

次のような点について、業務処理統制が有効に整備及び運用されているかを評価する。
(中略)
・システムの利用に関する認証・操作範囲の限定など適切なアクセス管理がなされているか。

https://www.fsa.go.jp/singi/singi_kigyou/siryou/naibu/20221208/3-2.pdf