みがまえるよりはやく

変な社会人の日常系ブログ

にしのがあらわれた!
作者は西野歩(にしのあゆみ)と行成(ゆきなり)です。

このブログは
・IT資格・女子アイドル・ゲーム・将棋が大好きな変な?社会人がお送りする。
 つれづれなる日常系ブログです。

「みがまえるよりはやく」が「日記」に
資格試験系の真面目なお話は別のブログを立ち上げてやることに
なりました。http://www.nsnq.tech「にしのくえすと」です。
こちらは、のほほんと不定期更新になります。今後とも、両方とも。
ご覧いただければ幸いでございます。


セキュスペ27春午後2問2 解答編

※この連載については「はじめに」で注意事項がございますので
 必ず読んでくださいね。

※問題文はこちら

※設問です

f:id:koharuwest:20160104165817p:plain

設問1 表4中のaに適切な記述をマルウエアの感染方法を
    踏まえたうえで75字以内で述べる

表2にマルウエアの感染方法が書かれています。
「同一LAN上の他のコンピュータに対し、OSの脆弱性
 悪用する攻撃を試み、攻撃に成功すると当該コンピュータ
 をマルウエアに感染させる。」(67)


つまり物理的にLANが接続され、しかも中継用PCにOS
がある以上、感染は防げません。これを踏まえます。

理由を答えるので語尾は本文中からの
「防止できない。」か「だから。」


表3のPC中継方式の部分も使えそう。
「転送元となるLANに転送用PCを接続して、転送先とな
 るLANに物理的に接続を切り替えて」


要するに
「マルウエアの感染を防止できない。」
なぜか
「転送元となるLANに転送用PCを接続して、転送先とな
 るLANに物理的に接続を切り替えたときマルウエアの感
 染を防止できない。」(60)

これでも部分点はもらえる感じですが、どんな時かちょっと
付け足します。


「転送元となるLANに転送用PCを接続して、マルウエア
 に感染した場合。転送先となるLANに物理的に接続を切
 り替えたときマルウエアの感染を防止できない。」(73)


設問2
(1)表6中のbcdに入る字句をそれぞれ10字以内


ここ、自信がないなあ。こういう場合、表6以前にヒントが
あるんですけど。ドコ見てもないので、「知ってること」で
書くしかないんです。基本的に、知ってることを書くのは危
険というのが原則なので、躊躇するなあ。


ログイン状態が継続したまま離席したら危ないですよね。
b「ログアウト」


素朴なパスワードにするな、っていうことなので。
c「十分な長さと強度を持ったもの」
  長い!
 「推測ができないもの」


他者に(   )管理するよう・・・うーん。
d「秘密に」
  短い
 「内緒にして」
 「知られないように」

うううーん。
 「知られないように」


(2)eに入る適切な語句 35字以内で具体的に

「具体的にといわれたら機器の名前や設定内容まで」が
原則です。


1ページ目の一番下に


脆弱性修正プログラムの適用」ってあるので、これな
んですけど。

脆弱性修正プログラムを適用する。」(16)だと短
い26字以上は行きたい。


次のページに
「工場内で動作検証を行い・・・」ってある。
付け加えます


「動作検証を行い、問題がなければ脆弱性修正プログラ
 ムを適用する。」(32)


設問3 
fに入れる適切な理由40字


脆弱性マルウエアは
「同一LAN上の他のコンピュータに対し、OSの脆弱性
 を悪用する攻撃を試み、攻撃に成功すると当該コンピュ
 ータをマルウエアに感染させる。」


なので。防げている理由は同一LAN上にないことです。
(1)情報共有系LANの新設から


「情報共有系LANと製造系LANとの間の一切のLAN
 間通信を禁止するため、2つのLANを分離しているか
 ら。」(49)


長いので


「情報共有系LANと製造系LANを分離し、一切のLA
 N間通信を禁止しているから。」(39)

 

gに入れる適切な理由60字

ばらまき型は誰かの実行を期待して、マルウエアが実行形
式ファイルをばらまくように書き込む形です。


これは書き込みができなければ防ぐことができます。


(2)の情報の更新方法下の方をいじります。
「KサーバがFCを経由して利用できる機能は、単方向レ
 プリケーションによってコピーされたボリュームをマウ
 ントする機能だけであるから、マルウエアは実行ファイ
 ルを書き込めない。」(81)


Kサーバは製造統合管理サーバからの単方向でしかコピー
を行えないのです。


長いし、わかりやすく整理します。
「Kサーバは製造統合管理サーバからの単方向でしかコピ
 ーを行えないので、マルウエアは実行ファイルを書き込
 むことができない。」(58)


設問4
(1)下線①アクセス元のIPアドレスでは接続端末が限
   定できない理由を2つ挙げてそれぞれ50字で


前ページ(3)より

「アクセス元のIPアドレスに固定アドレスが割り当てら
 れるか否かについて制限していない。」


「プロキシサーバの有無及び、NAT、NARTの利用の
 有無にかかわらず利用できる。」


この2つですね。


固定アドレスが割り当てられていなくてもアクセス許可し
てしまうと。


「アクセス元のIPアドレスが動的に変化する場合、接続
 端末を制限できない。」(34)


プロキシサーバを使うと代理で接続しちゃうので

「プロキシサーバに接続されている端末のIPアドレスま
 でわからず、接続端末を制限できない。」(39)


(2)hijkに入る用語
認証局と発行局の違いがわかれば問題ないかと思います。


一意性の確保はh「K工場」
発行可否はi「K工場」
デジタル署名はj「J社本社」
有効性検証はk「K工場」
CRLは「J社本社」


(3)鍵ペアを工場で作っていい理由35字

普通は鍵ペアを利用する人が作るものですが、今回は状況
が違います。あくまでプライベートなものなので


「協力会社がK工場にアクセスする目的に限定されるから。」(20)


(4)下線2以外に証明書の失効処理が必要な場合を2つ
   30字以内


書いてありますが。秘密鍵の機密性を保つ目的です。
それはKサーバの利用を協力会社が辞める以外になにがあ
りますか?と聞いています。


秘密鍵が漏洩した場合。」
「接続する端末の破棄。」


くらいでしょうね。


「Kサーバの秘密鍵が漏洩したと疑われる場合。」(20)
「Kサーバへのアクセスに利用していた端末を破棄する場合。」(26)


次回は答え合わせだっ!

「みがまえるよりはやく」 Presented by にしの