【SC】平成28年秋 午後2 問1

午後2 安全確保支援士

設問1

1) a: ウ b: オ c: ス k: エ l: イ

kを「サ」、lと「シ」と解答してしまった。
「認証が成功するためには、鍵が○していないことが必要」…今読んでみたら「認証が成功するためには、鍵が○していることが必要」と文章を勘違いしていることに気づいた。
危殆化と迷ったけど、文章を勘違いしていて、危殆化だと意味がおかしいぞと思ったからこの選択肢を選んでしまった。

秘密鍵の危殆化(きたいか)とは具体的にはどのような状況ですか? | 電子証明書発行サービス EINS/PKI+

秘密鍵の危殆化(きたいか)とは、秘密鍵の情報が第三者に漏洩、またはその恐れがある場合や、秘密鍵に対するパスフレーズを紛失した場合など、 秘密鍵に対するセキュリティレベルが著しく低下した状態を示します。

危殆化は重点対策本で出てきた時に以下のように書いてあったため、問題の文章の場合意味が合わないんじゃないかと思ったのも正解を選べなかった理由であった。
危殆化は鍵自体のセキュリティレベルが低下した状態を指すことを覚えておこうと思う。

計算能力の向上などによって、鍵の推定が可能になり、暗号の安全性が低下することを、暗号モジュールの危殆化といいます。

OCSPは見覚えがあるような無いようなで覚えていなかった。

OCSP(Online Certificate Status Protocol)とは - IT用語辞典 e-Words

OCSPとは、TCP/IPネットワークを通じてデジタル証明書(公開鍵証明書)の有効性を問い合わせる手順を定めたプロトコル(通信規約)。

2) 認証対象者が、認証カードとPINを他人に又貸しして使わせる行為

「本人以外が認証カードを共用し、PINも共有する」と答えた。
ニュアンス的には合っている気がするが、「〜行為」という末尾にするというところが抜けているのと、問題文に「具体的に」と書かれているものの、自分が書いた文章は解答ほど具体的ではないので記載内容に注意したい。

3) d: ウ e: カ f: ク

dだけ「オ」と答えてしまった。
確かに答えたときも認証局だっけ?とはなった。

認証局 (CA:Certification Authority)とは?|GMOグローバルサイン【公式】

認証局(CA:Certification Authority)の役割の一つ目は電子証明書を発行することです。たとえば、メールの暗号化などに使われるクライアント証明書の発行の場合、登記事項証明書や印鑑登録証明書を用いて申請元の企業が実在しているかを確認したりします。

認証局の役割をきちんと把握しておこうと思う。

4) アイエキクケ

「アカキクケ」と解答した。
MD5は何か脆弱性があるというのを見たような気がするけど、使われているのを見たことがあったのでありなのかな?と入れてしまった。

電子政府推奨暗号リストを確認する。

CRYPTREC | CRYPTREC暗号リスト(電子政府推奨暗号リスト)

これは全部覚えたほうがいいやつなのだろうか?
一通り目を通したが、いっぱいあるので暗記できる気がしない…。

5) g: イ h: オ i: ア j: セ

hを「キ」と解答してしまった。
verifyの第3引数を見ると「Ra||Rb||Sn」と書いてあり、これをよく見ていたら間違わずに気づけていたと思った。

設問2

1) 申請者に認証カードを貸与済みでないこと / 申請者が事業用システムの利用を業務上必要としていること

自分た答えたのは

  • 既に申請者が別の認証カードを貸与されていないか
  • 事業用システムを利用する必要がある申請か

の2点だった。意味的に合っているのでよかった。

2) ア

これは特に迷うこと無く選べた。

3) 失効の申請がされてから失効情報の開示まで最短でも2日掛かるという不備(アとウ)

自分の解答は「失効の申請をしてから、失効されるまでに期間が空いており、その間に不正に使用され得る不備」だった。
「不正に使用され得る」というのは不備というより可能性を書いていて、余分だったなと思った。
また、失効までに間が空くことは抑えられているが、具体的に何日かかるかとかは解いている時に書いたほうがいいか迷ったものの書かなかったので、具体的に書いたほうが良かったと思った。
選択肢はウは解答したが、「ア」は選べなかった。

設問3

1) サーバ証明書の正当性を確認できず警告が表示される

「安全ではないWebサイトに接続しようとしている旨の警告が出る」と解答したが、書いているときもコレジャナイ感があった。
警告が出ることまでは分かっているが、その理由が押さえられた文章ではなかったので、そこを押さえる必要があった。

2) PCのWebブラウザが不正なサーバ証明書を信頼し、不正なサーバにアクセスするリスク

「不正利用された際に多のサーバーに影響を与えることを軽減するため」と解答した。
何を書けばいいのか思いつかなかったので、すごく曖昧なことを書くことになってしまった。

設問4

1) 認証を成功させても、事業用システムの利用の認可が得られないから

「プロジェクトの参加期間内でない場合に認証しても認可しないようにできるため」という解答にしていた。
どっかに期間について記載あったっけ?となったからこんな曖昧な記載になってしまっている。
表3に「事業部門は、プロジェクトへの参加期間だけ有効な権限をシステムに登録」とあるのを見落としていた。

2) 事業部門は管理責任者の役割を担わず、認証カードの配布・回収を担当しないから / プロジェクトをまたいで認証カードが共用され、配布・回収の回数が少ないから

  • 認証カードが1人1枚の貸与になっているから
  • 認証カードの管理責任者がシステム部門になっているから

と解答した。記載する内容が思いつかず、明らかに違うと思いながらも書いた。
9ページの一番下に「方式の選択に際して優先される非機能要件は、第1に事業部門での管理工数が少ないこと、第2にシステム部での管理工数が少ないことである。」と書いてあることに気づけなかった。

3) 入退室に必要なため、認証カードの置き忘れ及び現場事務所内での保管がなくなる

「認証カードが無いと本人が部屋の出入りができないため携帯するようになるため」と答えた。
絶対なんか違うと思いながら書いた。
11ページの上の方に発生した問題点が記載されているので、ここの文章をうまく使う必要があったのだと感じた。