午後Ⅱ
午後Ⅱは問2を選択。 採点基準の参考にしていただければと思います。 追記: 試験センターの解答例が出たので振り返り。午後Ⅱは概ね想定通りだった
設問1
(1)イ (シェアードシークレット)
解説: 消去法。ディジタル署名とタイムスタンプの誤答を誘う問題、タイムスタンプはOTP生成時に使う情報。GoogleのTOTPではSecretKeyという名前で利用されている。
ちなみにこの手の消去法問題は例年出題される。前回(2019秋)は単語として初出の「コードサイニング証明書」を消去法で選択させる問題だった。
(2)インターネットからOTPアプリの初期設定が可能になる問題。
(3)ウエイアカオ
解説: dの会議ツールZ(Z社のクラウドサービス、記載はないがSaaS(p15)のサービスがヒントになっていた。このインプリシットフローでTokenの検証が必要になる。
設問2
(1) VD接続中のノートPCの画面録画を行い持ちだす方法。
解説: 情報処理試験の過去問にこの方法での指摘を問う設問があった。開催回がわかったら追記する。
設問3
(1) VD環境を操作して業務文書の内容をメールで送信する方法。
解説: 文脈から、マルウェアが感染したのがノートPCなのかVDなのかわかり辛い。どちらにしてもVDから行える操作は
メールの送受信及びスケジュールの管理、業務文書の保存、閲覧、編集とあり(p15)メールに添付が可能かどうかまでは言及されていないため「メール添付」まで書くと誤答になる可能性がある。
(2) ア, ウ (DaaS-V, IDaaS-Y)
解説: T環境からアクセス許可が必要になる= T環境と直接通信が発生する必要のあるサービス。
DaaS-VはFW+認証に必要(p15)、IDaaS-Yは社内と同じ利用者IDとパスワードで認証できる様に〜認証情報を同期(p14)の記述より。他は必要がない。EDR-Uも項目に入りそうだが、これはDaaS-Vのオプションであり、E社FWと直接の通信の必要がない。また、設問内に設置と通信の必須が問われていないのでEDR-Uは含めてはいけない。
設問4
(1) 各CSPが取得しているセキュリティ管理策の認証を確認する。
解説: 直前に"ヒアリング"とあるが、この確認はクラウドサービスの公開情報を確認するのでヒアリングには入らない。また、"具体的に"と書かれていないので「ISO27017」と書くと誤答になる可能性がある。各CSPの所在国は言及されていないので「FedRAMP」や独自の認証基盤も視野にいれないといけないため。
設問5
(1) DaaS-Vではクライアント証明書によるデバイス認証を追加で行う対策。
解説: "DaaS-Vのフィッシングサイト"でその情報を悪用した不正アクセスとある。OTPによる2段階認証との誤答を誘う問題だが、"ユーザの入力"を全て盗聴された場合にはログイン認証時のOTPでは防げない。DaaS-Vのデバイス認証の件はp18に記載がある。
https://scan.netsecurity.ne.jp/article/2020/01/10/43512.html
設問6
(1) ディスクを取りだし別のOSで起動する。
解説: これは正答かどうか微妙「全ディスク暗号化」とは書かれていないので正答のはず。また、悪意のある人物が"認証の総当たり試行"でも解読できるため加点になる可能性がある。
追記: 認証の総当たり試行の方が正解とされていた、試験センターの回答例は「パスワードの推測によってログイン」現実の手順がどうであれ、IPA試験は試験センターが期待する答えを書くことが求められる。結果が満点でなかったのでここと設問(3)-2が不正解になっていたと思われる。
https://www.ipa.go.jp/files/000035236.pdf
(2) 推測が容易なPINコードに毎回設定されてしまう問題。
解説: 000000など推測が容易なPIN / もしくは申請の都度同じPINを設定することが問題。「推測が容易なPIN」が正答だが、「同じPINを設定」することの想定外の解答を潰せていないので"毎回"を入れた。腑に落ちないことがあっても試験センターが発表する解答が絶対なのでそちらを待つ。
追記: あってた。試験センターの回答例は「容易に推測可能なPINコードを設定する。」
(3) クライアント証明書によるデバイス認証を追加する。
解説: 申請が許可された"利用者のノートPC"(p22)を"DaaS-V"と同等のセキュリティを実現ということは、p18にある通り、クライアント認証を追加する必要がある。設問5が解けていないと正答できない問題だった。ちなみに、FWにログイン認証を設けるという解答はp16の要件が満たせないので不正解
