総視聴再生時間43万分以上(2017年5月13日現在)の動画で基本情報技術者試験の過去問&キーワード解説!スキマ時間に動画!〜これじょIT〜

PR広告

平成28年度春 基本情報技術者試験午後 過去問1 情報セキュリティ 合格率アップ!動画付き解説!

TOP :

問1 情報セキュリティ

Webサーバに対する不正侵入とその対策に関する次の記述を読んで、設問に答えよ。

 A社は、口コミによる飲食店情報を収集し、提供する会員制サービス業者である。会員制サービスを提供するシステム(以下、A社システムという)を図1に示す。

平成28年度春応用情報技術者試験午問1 セキュリティ 合格率アップ!動画解説!

  1. FW、Webサーバ及びDBサーバがあり、スマートフォンなどの利用者端末とはインターネットを介して接続されている。
  2. WebサーバはDMZに置かれており、DBサーバはLANに置かれている。また、利用者端末からWebサーバヘの接続には、セキュリティを考慮してTLSを用いている。
  3. 会員登録を行った利用者(以下、会員という)には、IDとパスワードが発行される。
  4. DBサーバには、会員情報(氏名、メールアドレス、訪れた飲食店情報、ログイン情報(IDとパスワード)など)と公開情報(飲食店情報、評価情報)が保管されている。
  5. 会員は、公開情報を閲覧することができる。また、Webサーバにログインすることで、DBサーバに保管してある自分の会員情報と自らが書き込んだ公開情報の更新、及び新しい公開情報の追加が行える。
  6. 非会員は、公開情報の閲覧だけができる。
  7. 会員がWebサーバにログインするには、IDとパスワードが必要であり、A社システムはDBサーバに保管してあるログイン情報を用いて認証する。
  8. Webサーバ及びDBサーバでは、それぞれでアクセスログ(以下、ログという)が記録されており、システム管理者が定期的に内容を確認している。また、システム管理者は、通常、LANからWebサーバやDBサーバにアクセスして、メンテナンスを行っている。

 なお、外部からTelnetやSSHでWebサーバに接続して、インターネットを介したリモートメンテナンスが行えるようにしてあるが、現在はリモートメンテナンスの必要性はなくなっている。

 ある日、システム管理者が、ログの確認において、通常とは異なるログが記録されているのを発見した。そのログを詳しく調査したところ、システム管理者以外の者が管理者IDと管理者パスワードを使ってWebサーバに不正侵入したことが明らかになった。

 そこで、システム管理者は上司と相談し、会員制サービスを直ちに停止した。次に、今回の不正侵入に対する被害状況の特定と対策の検討を行った。不正侵入による被害状況と対策の一部を抜粋したものを表1に示す。

平成28年度春応用情報技術者試験午問1 セキュリティ 合格率アップ!動画解説!

 また、パスワードの変更に合わせて、パスワードの強度(パスワートの候補数)の検討を行った。これまでパスワードは、英小文字26文字だけを受け付け、長さは6文字だった。これに対し、他の3通りのパスワードの強度を比較した。その比較結果を表2に示す。

平成28年度春応用情報技術者試験午問1 セキュリティ 合格率アップ!動画解説!

 この強度の比較結果を踏まえ、次のようにA社システムを変更し、対策を実施した後に会員制サービスを再開することにした。

  1. パスワードの文字種としては、英大文字と英小文字、数字、記号を受け付ける。
  2. 長さが8文字以上16文字以下から成るパスワードを受け付ける。
  3. 辞書に登録されている文字列など推測されやすいパスワードは受け付けない。

設問

表1、2中の に入れる適切な答えを、解答群の中から選べ。

a に関する解答群

  1. TLSを使用していても不正侵入が行われたことから、TLSの使用を直ちに中止し、通常のHTTPで通信を行う。
  2. 新たな秘密鍵と公開鍵を生成し、その鍵に対する公開鍵証明書の発行手続を行う。
  3. 公開鍵証明書の再発行手続を行い、同じ秘密鍵を使用する。
  4. 秘密鍵へのアクセスが確認できていないことから、秘密鍵の変更や公開鍵証明書の再発行は行わず、念のため秘密鍵の保管場所を、ネットワーク経由でアクセスできないディレクトリに変更する。

b に関する解答群

  1. TelnetやSSH以外にHTTPも利用できるようにするために、HTTPのポートを開放する。
  2. インターネットからのアクセスをFWで禁止し、TelnetやSSHのポートは閉じる。
  3. システム管理者がどこからでもすぐにA社システムのメンテナンスができるように、TelnetやSSHのポートの開放は継続する。
  4. パスワードやA社システムの実装情報の漏えいを防ぐために、Telnetのポートは閉じ、SSHに限定してポートを開放する。

c に関する解答群

  1. 管理者パスワードは変更し、全会員にパスワードの変更を依頼する。
  2. 管理者パスワードは変更し、漏えいした会員だけにパスワードの変更を依頼する。
  3. 管理者パスワードはそのままにし、全会員にパスワードの変更を依頼する。
  4. 管理者パスワードはそのままにし、漏えいした会員だけにバスワードの変更を依頼する。

d に関する解答群

  1. 2×8
  2. 26
  3. 2×26
  4. 7×8
  5. 10×26
  6. 262

e に関する解答群

  1. 2
  2. 2×8
  3. 26
  4. 208
  5. 28
  6. 268

解説

aの解説

aには「イ 新たな秘密鍵と公開鍵を生成し、その鍵に対する公開鍵証明書の発行手続を行う。」が入ります!

表1 不正侵入による被害状況と対策(抜粋)をみると

Webサーバへの不正侵入があったことが確認された。秘密鍵への不正アクセスがあったかは確認されなかった。

とあります。仮に秘密鍵に不正アクセスがあると、秘密鍵を使われる可能性があります。

このことを考慮して、秘密鍵と公開鍵は新しく作り直します。したがって「イ」が正解となります!

bの解説

bには「イ インターネットからのアクセスをFWで禁止し、TelnetやSSHのポートは閉じる。」が入ります!

表1 不正侵入による被害状況と対策(抜粋)をみると

FWを経由し、Webサーバに不正侵入され、さらにそこからDBサーバに不正侵入された。

とあり、対策に「リモートメンテナンス用のポートについて」とあります。

問題文に「 外部からTelnetやSSHでWebサーバに接続して、インターネットを介したリモートメンテナンスが行えるようにしてあるが、現在はリモートメンテナンスの必要性はなくなっている。」とあります。そのため、外部からTelnetやSSHでアクセスする必要もありません。

TelnetやSSHを使ってリモートログインができる状態を放置するのはセキュリティリスクとなります。

そのため、インターネットからのアクセスをFWで禁止し、TelnetやSSHポートを閉じます!正解は「イ」です!

cの解説

cには「ア 管理者パスワードは変更し、全会員にパスワードの変更を依頼する。」が入ります!

表1 不正侵入による被害状況と対策(抜粋)の被害状況をみると

一部の会員については会員情報が漏えいしたことが分かっているが、それ以外の会員については漏えいの有無を特定できていない。

とあります。

正解は「ア 管理者パスワードは変更し、全会員にパスワードの変更を依頼する。」です!

不正アクセスがあり、DBサーバに進入されているので、管理者パスワードも知られたと想定し、再度侵入される前に管理者パスワードは変更します。

一部の会員情報が漏えいしていることから、会員情報はすべて漏えいしたと仮定すると、会員のパスワードを変更しないと不正アクセスをすることが可能です。

従って対策は「パスワードを変更することにし、管理者パスワードは変更し、全会員にパスワードの変更を依頼する。」となります!

deの解説

パスワードの強度の問題です。

dは「カ 262」です!

表2 パスワードの強度比較の(a)は英小文字6文字とあります。英小文字とはa, b, c ... zの26パターンです。パスワードは266通りです。

表2 パスワードの強度比較の(b)は英小文字8文字とあります。26パターンの8文字なので、パスワードは268通りです。

(b)と(a)を比較すると、268/266 = 262となります。

eは「オ 28」です!

表2 パスワードの強度比較の(c)は英大文字・英小文字8文字とあります。英大文字も入るので、52パターンの8文字となります。パスワードは528通りです。

(c)と(b)を比較すると、528/268 = 28となります。

平成28年度春 基本情報技術者試験午後 目次

TOP :

タグ: ,

PR広告

フェイスブックコメント

平成28年度秋 基本情報技術者試験 午後 テキスト・動画解説

平成28年度秋 基本情報技術者試験 午前 テキスト・動画解説

平成28年度春 基本情報技術者試験 午後 テキスト・動画解説

平成28年度春 基本情報技術者試験 午前 テキスト・動画解説

平成27年度秋 基本情報技術者試験 午後 テキスト・動画解説

平成27年度春 基本情報技術者試験 午後 テキスト・動画解説

平成27年度春 基本情報技術者試験 午前 テキスト・動画解説

平成26年度秋 基本情報技術者試験 午前 テキスト・動画解説

平成26年度春 基本情報技術者試験 午前 テキスト・動画解説