【SW】平成16年春 午後1 問1 / 平成17年秋 午後1 問3

ソフトウェア開発技術者 午後1 安全確保支援士

今日から重点対策本の第3部第2章のPKIの部分に入った。

平成16年春 午後1 問1

設問1

bとcとdを間違えた。
cとdは選ぶ鍵を間違えた。

設問2

gとjを間違えた。
jは冷静に考えたらわかったなー。

平成17年秋 午後1 問3

設問1

aとbとcを間違えた。

設問2

fとgを間違えた。



どちらとも、https通信がどのようなフローで行われているのか、ちゃんと理解しておく必要があると感じた。
最初は公開鍵暗号方式を使っていて、途中から共通鍵暗号方式を使っていることとか。

【SC】平成28年秋 午後2 問1

午後2 安全確保支援士

設問1

1) a: ウ b: オ c: ス k: エ l: イ

kを「サ」、lと「シ」と解答してしまった。
「認証が成功するためには、鍵が○していないことが必要」…今読んでみたら「認証が成功するためには、鍵が○していることが必要」と文章を勘違いしていることに気づいた。
危殆化と迷ったけど、文章を勘違いしていて、危殆化だと意味がおかしいぞと思ったからこの選択肢を選んでしまった。

秘密鍵の危殆化(きたいか)とは具体的にはどのような状況ですか? | 電子証明書発行サービス EINS/PKI+

秘密鍵の危殆化(きたいか)とは、秘密鍵の情報が第三者に漏洩、またはその恐れがある場合や、秘密鍵に対するパスフレーズを紛失した場合など、 秘密鍵に対するセキュリティレベルが著しく低下した状態を示します。

危殆化は重点対策本で出てきた時に以下のように書いてあったため、問題の文章の場合意味が合わないんじゃないかと思ったのも正解を選べなかった理由であった。
危殆化は鍵自体のセキュリティレベルが低下した状態を指すことを覚えておこうと思う。

計算能力の向上などによって、鍵の推定が可能になり、暗号の安全性が低下することを、暗号モジュールの危殆化といいます。

OCSPは見覚えがあるような無いようなで覚えていなかった。

OCSP(Online Certificate Status Protocol)とは - IT用語辞典 e-Words

OCSPとは、TCP/IPネットワークを通じてデジタル証明書(公開鍵証明書)の有効性を問い合わせる手順を定めたプロトコル(通信規約)。

2) 認証対象者が、認証カードとPINを他人に又貸しして使わせる行為

「本人以外が認証カードを共用し、PINも共有する」と答えた。
ニュアンス的には合っている気がするが、「〜行為」という末尾にするというところが抜けているのと、問題文に「具体的に」と書かれているものの、自分が書いた文章は解答ほど具体的ではないので記載内容に注意したい。

3) d: ウ e: カ f: ク

dだけ「オ」と答えてしまった。
確かに答えたときも認証局だっけ?とはなった。

認証局 (CA:Certification Authority)とは?|GMOグローバルサイン【公式】

認証局(CA:Certification Authority)の役割の一つ目は電子証明書を発行することです。たとえば、メールの暗号化などに使われるクライアント証明書の発行の場合、登記事項証明書や印鑑登録証明書を用いて申請元の企業が実在しているかを確認したりします。

認証局の役割をきちんと把握しておこうと思う。

4) アイエキクケ

「アカキクケ」と解答した。
MD5は何か脆弱性があるというのを見たような気がするけど、使われているのを見たことがあったのでありなのかな?と入れてしまった。

電子政府推奨暗号リストを確認する。

CRYPTREC | CRYPTREC暗号リスト(電子政府推奨暗号リスト)

これは全部覚えたほうがいいやつなのだろうか?
一通り目を通したが、いっぱいあるので暗記できる気がしない…。

5) g: イ h: オ i: ア j: セ

hを「キ」と解答してしまった。
verifyの第3引数を見ると「Ra||Rb||Sn」と書いてあり、これをよく見ていたら間違わずに気づけていたと思った。

設問2

1) 申請者に認証カードを貸与済みでないこと / 申請者が事業用システムの利用を業務上必要としていること

自分た答えたのは

  • 既に申請者が別の認証カードを貸与されていないか
  • 事業用システムを利用する必要がある申請か

の2点だった。意味的に合っているのでよかった。

2) ア

これは特に迷うこと無く選べた。

3) 失効の申請がされてから失効情報の開示まで最短でも2日掛かるという不備(アとウ)

自分の解答は「失効の申請をしてから、失効されるまでに期間が空いており、その間に不正に使用され得る不備」だった。
「不正に使用され得る」というのは不備というより可能性を書いていて、余分だったなと思った。
また、失効までに間が空くことは抑えられているが、具体的に何日かかるかとかは解いている時に書いたほうがいいか迷ったものの書かなかったので、具体的に書いたほうが良かったと思った。
選択肢はウは解答したが、「ア」は選べなかった。

設問3

1) サーバ証明書の正当性を確認できず警告が表示される

「安全ではないWebサイトに接続しようとしている旨の警告が出る」と解答したが、書いているときもコレジャナイ感があった。
警告が出ることまでは分かっているが、その理由が押さえられた文章ではなかったので、そこを押さえる必要があった。

2) PCのWebブラウザが不正なサーバ証明書を信頼し、不正なサーバにアクセスするリスク

「不正利用された際に多のサーバーに影響を与えることを軽減するため」と解答した。
何を書けばいいのか思いつかなかったので、すごく曖昧なことを書くことになってしまった。

設問4

1) 認証を成功させても、事業用システムの利用の認可が得られないから

「プロジェクトの参加期間内でない場合に認証しても認可しないようにできるため」という解答にしていた。
どっかに期間について記載あったっけ?となったからこんな曖昧な記載になってしまっている。
表3に「事業部門は、プロジェクトへの参加期間だけ有効な権限をシステムに登録」とあるのを見落としていた。

2) 事業部門は管理責任者の役割を担わず、認証カードの配布・回収を担当しないから / プロジェクトをまたいで認証カードが共用され、配布・回収の回数が少ないから

  • 認証カードが1人1枚の貸与になっているから
  • 認証カードの管理責任者がシステム部門になっているから

と解答した。記載する内容が思いつかず、明らかに違うと思いながらも書いた。
9ページの一番下に「方式の選択に際して優先される非機能要件は、第1に事業部門での管理工数が少ないこと、第2にシステム部での管理工数が少ないことである。」と書いてあることに気づけなかった。

3) 入退室に必要なため、認証カードの置き忘れ及び現場事務所内での保管がなくなる

「認証カードが無いと本人が部屋の出入りができないため携帯するようになるため」と答えた。
絶対なんか違うと思いながら書いた。
11ページの上の方に発生した問題点が記載されているので、ここの文章をうまく使う必要があったのだと感じた。

【SV】平成18年春 午後1 問3

安全確保支援士 午後1

設問1

a: 認証局 b: 改ざん

これは流石にすぐわかった。

設問2

証明書の失効リスト/認証局の公開鍵証明書/検証時の時刻

答えられなかった。

このサイト(電子署名の基礎知識|電子認証局会議)を見たところ、
証明書検証で以下を検証するとあったので、答えのような情報が必要ということなんだと調べてわかった。

  1. 正当な認証局から署名者本人に発行された証明書であるか?
  2. 署名時に証明書は有効期間内であったか?
  3. 署名時に証明書は失効していなかったか?

設問3

c: W d: LN=5 e: XX f: RW

全部間違ってしまった…。
まずcはRWだと思った。初期PINを設定する必要があるのと、ICカードの持ち主がPINを設定する必要があるので書き込みは必要で、図2のシーケンス上入力されたPINと比較しているので読み出しも必要なのかと思った。
解説が無いので合ってるか不明だが、PINが合ってるかはあくまでICカード内で照合が行われるため、ICカードの外からPINを読み出す必要がないからRが不要なのだろうと思った。

dはLと解答してしまった。
ロック解除に関するものは設問4であった。

eはRと解答した。
どれもそうだが、外部からの読み書きだと思ってなかったのが敗因。

fはRと解答した。
Wも必要かー。
認証局から発行してもらって書き込まないといけないということか。

設問4

1) 辞書攻撃

これは合ってた。

2) ICカードの認証/不正なICカードの拒否

「正規のICカードかの確認」と書いた。ニュアンスが違う気がする。

3) PINの盗聴/MWとICカード間・PCとICカード

セキュアメッセージングというのが用語の意味的に分かるようで分からなかったので調べた。
ICカードのセキュリティ機能を解説する | 日経クロステック(xTECH)

セキュアメッセージングとは,このAPDUをセキュアに通信できるようにする,暗号化と認証の機能である。APDUを暗号化して盗聴を防ぐとともに,APDU にメッセージ認証コードを付加して,APDU の完全性と送信者の正当性を確認する。つまり,SSL(Secure Sockets Layer)と似たような仕組みで,外部装置とICカード間のセキュアな通信を実現する。

PINをそのまま平文で送ってしまうと、それを盗聴されてしまう恐れがあるので、暗号化して盗聴されてもPINが第三者にバレないようにするということだと理解。

【SC】平成26年秋 午後2 問1

午後2 安全確保支援士

設問1

1) 認証Cookie

p4に「利用者認証が成功すると、認証Cookieを発行し」と書いてあったので、正解することができた。

2) アジアポータル

p7に「ブラウザを立ち上げると、ブラウザは、ホームページとして設定されたアジアポータルにアクセスしようとする」と書いてあったので、正解することができた。

3) 承認が行われず、社内システムにアクセスする必要がない者もIDを登録できる

本来なら所属部署の管理者などが申請するほうが良いと感じたので、意図しないアカウントが作成されることに問題点があるのだと推測した。
最終的に自分が書いたのが「入社予定の無い人が申請し、アカウントが作られる恐れがある」という内容で、解答の方向性がズレていると感じた。
「承認」「アクセス不要な人のID」をキーワードに選べるようにしたかった。

設問2

1) GポータルやGシステムからエージェントを呼び出すための変更

まず「エージェント型」というのが何かよく分からなかった。
SSOにはいくつか方式があって、「リバースプロキシ型」と「エージェント型」があるらしい。
エージェント型ではWebサーバやアプリケーションサーバにエージェントソフトを組み込むらしい。
そんでもってエージェントがブラウザとアプリケーションの通信の間に入って、SSOサーバが認証状態を確認するらしい。
なので、GポータルやGシステムからエージェントを呼び出す変更をしないといけなくなるっぽい。

2) GDSと各地域のDS間で信頼関係を結ぶ

答えられませんでしたので、以下のサイトを参考にさせてもらいました。
情報処理安全確保支援士 過去問解説 ブログ: [平成26年度秋] 午後2 問1 解説② へぇ…という感じだった。
GDSと各DS間で信頼関係を結ぶことで、GDSで認証成功したら各DSでも認証成功していることにできる。

3) 日本と欧米地域のIDに重複があるという問題

どのような問題を解決するために必要か、という問なのに、「〜するため」で答えてしまった。
答えとしては「地域ごとにIDが被らないようにするため」としていて、被っていない地域もあったので日本と欧米地域という具体的なものを入れればよかったと感じた。

設問3

1) 契約社員の利用者情報が取り込まれない点

よく読んだらそういった内容が書いてあった。

2) 日本DS・欧米DS1・アジアLDS

分からなかったので、適当に各認証サーバーを書いてしまった。
これもよく読んだら書いてある系だった。

設問4

日本・日本認証サーバ

日本ポータルは認証Cookieを用いているので、
Gポータルに日本ポータルへのリンクがあったとしても、そのままでは表示できない。
確かに表1的に日本だけエージェント型ではある…頭こんがらがってきた。

設問5

1) パスワード・OTPトーク

2) 多種の個人所有機器での利用者認証の動作検証

日本のICカードリーダーは日本PC専用というのは最初の方に書いてあったが、
ここの問題の答えと結びつかず答えられなかった。
ここの内容にチェックを入れられていればよかったと思った。

3) ネットワーク遅延が大きいことから、仮想デスクトップの操作に対するレスポンスが悪化する

これは単に思いつかなかった。
答えを見たらまぁそういうことは確かに考えられるなといった感じだった。

設問6

1) アジア地域

アジア地域はフォーム認証を使用している。
表1にも確かにシングルサインオンが実現されていないことが書いてある。

2) アジア認証サーバ(SPNEGOを設定する)・アジアPC(SPNEGOを設定する)

これも表1見ればわかったやつ。




基本的に読解問題みたいなところがあって、ちゃんと読めば確かに書いてあることが後からは分かるんだけど、なかなかその時に適切な記述をもとに解答できない。

勉強する上で参考にしている書籍など

安全確保支援士

メインとしてはこの本をもとにやっていて、
順番に過去問を解いたり、この本に乗っている知識部分を読んだりなどしている感じです。

2020 情報処理安全確保支援士「専門知識+午後問題」の重点対策 (重点対策シリーズ)

2020 情報処理安全確保支援士「専門知識+午後問題」の重点対策 (重点対策シリーズ)

  • 作者:三好 康之
  • 発売日: 2019/10/09
  • メディア: 単行本(ソフトカバー)

ただ、これだけだと細かい部分が理解できないことがあるので、以下の本も適宜読んでいます。

セキュリティ技術の教科書 第2版 (教科書シリーズ)

セキュリティ技術の教科書 第2版 (教科書シリーズ)

  • 作者:長嶋 仁
  • 発売日: 2020/03/18
  • メディア: 単行本(ソフトカバー)

その他はインターネットで検索とかしています。


他にも本だけは持っているものがあって、他のサイトを参考に買ったものがいくつかあります。
ここらへんも必要あれば適宜読んでいこうかなと思っています。

情報処理教科書 情報処理安全確保支援士 2020年版

情報処理教科書 情報処理安全確保支援士 2020年版

暗号技術入門 第3版 秘密の国のアリス

暗号技術入門 第3版 秘密の国のアリス

令和02年【春期】情報処理安全確保支援士パーフェクトラーニング過去問題集

令和02年【春期】情報処理安全確保支援士パーフェクトラーニング過去問題集

安全確保支援士の勉強をやっています

雑記

普段はエンジニアをやっていますが、セキュリティに対する知識は大事だなと感じており、安全確保支援士の資格取得を目指してみることにしました。
専門ではないので全然詳しく無く、徐々に勉強していこうと思っています。
IT業界にはいるのでセキュリティ関連の用語は聞いたことあるものや多少知識があるものは多いと思いますが、理屈をちゃんと理解しているものは少ないです。

現在、参考書をもとに勉強して、過去問を解いたりなどしています。
IPAの過去問を解いて、答え合わせをしていますが、答えを見てもなんでその答えになるのかわからないことがよくあります。
ググって解説を書いてくれている人がいればラッキーなのですが、見つからないときはモヤモヤします。

自分自身がこの分野に詳しく無いので誰かの役に立つとは思いませんが、
せっかくなので自分が勉強したことや、問題を解いて何を間違ったのかを整理するためにもブログに書いていこうかなと思っています。

というわけで、全然詳しくない人の初心者ブログとなりますが、よろしくお願いします。