【情報処理安全確保支援士】午後問題の頻出分野「認証・アクセス制御」の攻略ポイントと過去問

情報処理安全確保支援士(登録セキスペ)の午後問題の頻出分野「認証・アクセス制御」の攻略ポイントと過去問についてまとめました。

【令和3年度・春・午後Ⅰ問1】クラウドサービスのセキュリティ(OAuth認証)

項目 答え
公式 午後Ⅰ問題解答(公式)講評
設問1 (1)多要素認証の実装をSサービス側に用意せずに済む。
設問1 (2)Tサービスに障害が発生すると、Sサービスが利用できなくなる
※SNSと連携しない場合にも該当する欠点だと駄目。
設問1 (3)(a)ア:Sサービス (b)イ:Tサービス (c)ウ:利用者
※OAuthのプロトコルに理解が必要
設問1 (4)え:認証、権限付与の確認
設問2(1) (d)ウ (e)ア
設問2(2) ファイルのアップロード、ダウンロードともに「攻撃者」のアカウント
※攻撃者が用意したアカウントに利用者が導かれてしまう攻撃手法。
設問2(3) (β)い:許可の要求 (γ)か:許可コード
設問3(1) (エ):利用者のアカウント名、電子メールアドレスなど登録情報を取得する権限
設問3(2) S認証モジュールに利用者IDとパスワードを登録していないS会員
設問4 Tサービスで認証されたS会員のT-IDが、Sサービス内に登録されていることを確認する。

問題に登場するキーワードの中でポイントを以下にまとめました。

ポイント 解説
OAuth OAuthとは、複数のWebサービスのセキュリティ機能を連携させることができる仕組みです。通常、あるユーザーがWebサービスを利用する場合、Webサービス毎にIDとパスワードを登録してログインする必要があります。OAuthにより複数のWebサービスを連携すれば、1つのWebサービスにログインすれば連携している他のWebサービスにはログインせずに利用できるようになります。最近だと、GoogleやTwitterアカウントなどでログインできるWebサービスが増えていますが、そういった仕組みがOAuthです。

【令和3年度・春・午後Ⅱ問2】クラウドサービスのセキュリティ(SAML認証)

項目 答え
公式 午後Ⅱ問題解答(公式)講評
設問1 (1)オ(リンクローカルアドレス)
設問1 (2)多くの個人所有機器がC社内LANに接続され、IPアドレスが枯渇する問題が発生した
設問1 (3)DHCPサーバーを稼働させたまま行う方法:L2SWにミラーポートを設定し、ポートミラーリングとLANモニタでDHCP OFFERの数を確認
設問1 (3)DHCPサーバーを停止させて行う方法:DHCPによるIPアドレスの配布がされていないことを確認
設問2 企画部員の部員がアクセスできるチャットエリアで共有されている情報
※対象となるサービスの仕様(チャット)、トラブルの状況(アカウントへの不正ログイン)から、情報漏えいがあった場合の最大の被害を想定する必要がある
設問3(1) (a)C-PC (b)AP
設問3(2) エ(6より後に)
※IEEE 802.1Xのシーケンスについて、DHCPサーバからIPアドレスを割り当てるタイミングを理解している必要がある。
設問4(1) 「インターネットを使って情報収集する業務」「事業部や企画部の顧客への提案や企画の立案」などp.15の説明をほぼそのまま引用
設問4(2) 2
設問4(3) 1
設問4(4) 記号:ウ、方法:「TLSクライアント認証による検証」など
設問5(1) 「ISMS認証」「ISAE3402/SSAE26」など
設問5(2) 4
設問6(1) 「秘密鍵を書き出しできないように設定する」など
設問6(2) 「管理者がPソフトを一般利用者権限では変更できないように設定する」など

問題に登場するキーワードの中でポイントを以下にまとめました。

ポイント 解説
リンクローカルアドレス DHCPサーバが存在しない、もしくはDHCPサーバが割当て可能なアドレス数を超過してIPアドレスが割り当てられなかったとき、個々のコンピュータが自分自身に割り振る特別なIPアドレス。IPv4アドレスでリンクローカルアドレスとして使われる範囲は、「169.254.0.0~169.254.255.255」で、それぞれのローカルネットワーク上でしか使うことができない。 自己割り当てIPアドレス、AutoIPともいう。
DHCPサーバ LAN上のパソコンなどが起動すると、その都度、IPアドレスなどのネットワーク利用に必要な設定情報を、本商品から各パソコンなどに自動的に割り当てる機能で動的割り当てのために用意したアドレスプールを超える数のクライアントが同時にネットワークに接続されると、割り当てるIPアドレスが足りなくなる。
DHCP OFFER クライアントからの要求に対して提案IPを添えてDHCP提案をすること。本来、DHCPサーバが1つしかないのに、偽のDHCPサーバがもう1つあれば、DHCP OFFERの数は2になる。
TLSクライアント認証 TLSクライアントから、TLSサーバーへID・パスワードの代わりとなるクライアント証明書を送信し、サーバーで認証を行う認証方式。クライアント側にクライアント証明書を一度インストールすれば、ID/パスワードの入力をせずにクライアント認証できるのが最大の利点です。サーバ側には「クライアント証明書のルート証明書」が必要になります。
ISMS認証 財団法人・日本情報処理開発協会(JIPDEC)が定めた評価制度(ISMS適合性評価制度)。 指定の審査機関が企業の情報セキュリティマネジメントシステムを審査し、国際標準と同等の「ISMS認証基準」に準拠していれば(要求事項を満たしていれば)、認証を与えるというもの。情報システムの調達において、発注者側が受注者側にISMS認証を取得していることを要件とすることがあります。
SAML 異なるインターネットドメイン間でユーザー認証を行うためのXMLをベースにした標準規格です。SAMLを利用すると、ユーザーは認証サーバーに1回ログインするだけで、SAML対応している複数のクラウドサービスやWebサービスを利用することができるようになります。つまり、SSO(シングルサインオン)の種類の1つです。

【令和2年度・午後2問2】クラウドサービスのセキュリティ(SAML認証)

項目 答え
公式 午後Ⅱ問題解答(公式)講評
設問1(1) イ:シェアードシークレット
設問1(2) 第三者のOTPアプリで不正にOTPを生成される
設問1(3)a ウ:トークン要求
設問1(3)b エ:許可コードを検証
設問1(3)c イ:トークン応答
設問1(3)d ア:トークンを検証
設問1(3)e カ:ユーザー情報要求
設問1(3)f オ:ユーザー情報応答
設問2 社内情報を表示した画面をカメラで撮影するという方法
設問3(1) 社内情報を表示した画面のスクリーンショットを取るという方法
設問3(2) ア、ウ、エ
設問4 セキュリティ対策についての第三者による監査報告書で確認する方法
設問5 Daas-Vでのクライアント証明書によるデバイス認証
設問6(1)g パスワードの推測によってログイン
設問6(2) 容易に推測可能なPINコードを設定する
設問6(3) クライアント証明書によるデバイス認証を行う仕組み

【設問1(3)】
発行された秘密情報(トークンや許可コード)は〇〇のタイミングで検証すれば認証の安全性が担保される

用語 概要
IDaaS 企業のID管理などの認証基盤をクラウド上から提供するサービス。
DaaS 「デスクトップ仮想化システム」 をクラウドサービスとして提供すること。
SaaS 必要な機能を必要な分だけサービスとして利用できるようにしたソフトウェアもしくはその提供形態のこと。
FIDO方式 FIDO(Fast IDentity Online、ファイド、訳:素早いオンライン認証)は従来のパスワードに代わるとみられている認証技術の1つ。生体認証などを利用するため「ユーザーはパスワードを憶える必要がない」「生体認証を端末側で行うことで「生体情報そのものはネットワーク上に流れない、サーバーで保持しない」ためインターネット上には生体情報が流通せず、情報漏洩のリスクが軽減される」という特徴がある。
OTP ワンタイムパスワード(OTP)とは、使い切りのパスワードのこと。
RADIUS認証 Radiusサーバ、Radiusクライアント、ユーザーの3つの要素で構成される。Radiusクライアントは、アクセスしてくるユーザの認証要求を受け付けてRadiusサーバにその情報を転送します。Radiusサーバは、その認証要求に応じて認証を実行してアクセスを許可するかどうかを決定します。認証時に使用するユーザ情報はRadiusサーバがローカルデータベースとして保持するか、外部データベースとして保持します。
Implictフロー 認可エンドポイントに認可リクエストを投げ、応答として直接アクセストークンを受け取るフロー。
【通信プロトコルとは】インタフェース、TCP/IP、HDLC、CORBA、HTTP、DNS、SOAP、IPv6、シリアル通信
ネットワークにおける「通信プロトコル」とは?プロトコルとインタフェース、TCP/IP、HDLC、CORBA、HTTP、DNS、SOAP、IPv6、シリアル通信についてまとめました。
【情報処理入門】テクノロジ系、マネジメント系、ストラテジ系、資格試験
情報処理の基礎知識(テクノロジ系、マネジメント系、ストラテジ系)や資格試験についてまとめました。なお、情報処理技術者試験の出題分野別(テクノロジ系、マネージメント系、ストラテジ系)に各項目を整理しています。そのため、ITパスポート、基本情...

コメント

タイトルとURLをコピーしました