テクニカルエンジニア(情報セキュリティ)

その傾向と対策って言うか・・・

過去問・問題集

示現塾
http://zigen.cosmoconsulting.co.jp/service/service_index.htm

kimura-kouichi.com 情報セキュリティアドミニストレータ試験情報
http://www.kimura-kouichi.com/security/

CareerCafe イムカ
http://www.imca.co.jp/event/itexam/

0からはじめるIT資格
http://0kara.org/

Tomのネットワーク勉強ノート
http://www.tomnetwork.net/

KIKIの情報処理試験の部屋
http://www.kikiroom.com/

テクニカルエンジニア(情報セキュリティ)試験対策
http://www.svtokkun.net/


The 模擬試験!
http://www.media5.biz/pexa/index.html

セキュリティ関連法規
http://sstokkun.web.infoseek.co.jp/gozen/houki.html

勉強に役立つ参考URL

ネットワークのおべんきょしませんか?
http://www.n-study.com/network/menu.htm

mots
http://shizuoka.cool.ne.jp/mots/index.html

メールマガジン

IPネットワーク考
http://melma.com/mag/28/m00074928/

テクニカルエンジニア(情報セキュリティ)対策講座
http://www.mag2.com/m/0000169496.html

セキュリティ関連法/規格/ガイドライン

一癖ある問題

臆する事はない。Tom師匠が資料をまとめて下さっている。

VoIP - IP電話

http://www.tomnetwork.net/zyousyo/VoIP.htm

VPN - 認証と暗号化

http://www.tomnetwork.net/zyousyo/VPN.htm

IPsec

http://www.tomnetwork.net/zyousyo/IPsec.htm

無線LAN

http://www.tomnetwork.net/zyousyo/musenLAN.htm

ADSL

http://www.tomnetwork.net/zyousyo/ADSL.htm

LDAP

http://www.tomnetwork.net/zyousyo/LDAP.htm

クラスタリング

http://www.tomnetwork.net/zyousyo/Clustering.htm

IEEE802.1X

IEEE802.1Xとはパソコンを認証してから、LANに接続するための技術。

サプリカントと呼ばれるクライアントソフトと認証サーバ(RADIUSサーバ)で実現する。認証の方式は後述するEAPと呼ばれる方法で行う。

EAP

extensible authentication protocolの略。PPPの認証方式を基に、いろいろな認証方式を切替えて使えるように作られた仕様。RFC2284,2484,2716などで規定されている。

col 1 col 2 col 3 col 4
EAP-MD5(EAP-message digest algorithm 5) EAP-TLS(EAP-transport layer security) PEAP(protected EAP)
概要 IDとパスワードで認証する方式。パスワードの送信はチャレンジ・レスポンスで暗号化される。無線LANを使う場合は、盗聴でパスワードが破られる危険性がある。 ディジタル証明書を使って認証する方式。認証時にはIDやパスワードを入力しない。スマートカードやUSBキーなどと組み合わせて使うことが多い。 SSLと同じ技術を使って認証の通信自体を暗号化する方式。無線LANでも高いセキュリティが保たれる。もともとは、マイクロソフトとシスコが提案した。
ユーザ認証に使う情報 IDとパスワード ディジタル証明書 IDとパスワード(ディジタル証明書を使った認証も可能)
ディジタル証明書は必要? 使わない サーバ・クライアントの両方で必要 サーバのみ必要
無線LANでの利用 安全とは言えない 安全 安全

サンプル問題解答&解説

午後1サンプル問題

設問1
本文中の【 a 】~【 f 】に入れる適切な字句を答えよ。

col 1 col 2 col 3 col 4
設問番号 解答 解説 確度
a Webサーバ ポート番号443はhttps 99%
b UDP DNSのやりとりはUDP 99%
c 不可 ネットワーク型IDSの勉強必要 85%
d ホスト型IDSの勉強必要 95%
e 80%
f 95%

設問2
(1)下線①の理由を20字以内で述べよ。

分割パケットを結合しチェックを行う為。(19) 確度75%

別解

パケットを破棄できる場所に設置できない為。(21) 確度55%


設問2
(2)下線②について、監視できないプロトコルを挙げ、監視できない理由を20字以内で答えよ。

HTTPS 確度85% (ファイアウォールを通過できるという記述があるから、SSLではなくHTTPSという解答にしました。)

パケットが暗号化される為。(13) 確度95%


設問3
下線③について、送信メールをWebサーバ上に保存する際に注意すべき点を、アクセス権、保存場所、保存期間について、それぞれ25字以内で述べよ。

col 1 col 2 col 3
解答 確度
アクセス権 一般ユーザはアクセス不可とする。(16) 60%
保存場所 公開ディレクトリ内に設置しない。(16) 50%
保存期間 決められた保存期間を過ぎたメールは確実に消去する。(25) 40%

設問4
下線④の理由を45字以内で述べよ。

通知メールは定型外フォームであるため、監視ネットワークの監視対象になってしまう為。(42) 確度70%

別解

外部から監視対象のパケットを送信する事によって、DoS攻撃が可能になる為。(36) 確度:60%

午後2サンプル問題

設問1
(1)本文中の【 a 】~【 e 】に入れる適切な字句を答えよ。

col 1 col 2 col 3 col 4
設問番号 解答 解説 確度
a ESS-ID 100%
b 疑似乱数 100%
c 多く 100%
d 平文 100%
e 改竄 100%

設問1
(2)同一のWEPキーを使用した場合に暗号を解かなくとも、同じキーストリームを使っていることが判明してしまう理由を、20字以内で述べよ。

「WEPキーは共通鍵であり、IVは暗号化されていない為(28)」を短くする!

IVは暗号化されていない為。(13)


設問2
(1)会員がパスワードを入力す前に、受注Webの証明書を確認しなければならない理由を、40字以内で述べよ。

受注Webサーバが本物であるか確認しないと、なりすまして偽物だった場合、会員IDとパスワードが盗まれるため。 確度80%


設問2
(2)クッキーに設定すべき2つの属性を、それぞれ20字以内で述べよ。

SSL通信の為、secureを設定する。(20) 確度30%

expriesに短い時間を設定する。(18) 確度20%

クッキーの属性

col 1 col 2
属性 意味
NAME=VALUE Cookieの名前と内容を書き込みます。
expires=DATE Cookieのデータをサーバーからパソコンに記憶させた場合に、いつまでそのデータが有効か、いつまで保存されるべきかを指定します。
domain=DOMAIN_NAME Cookieが書き出されたドメイン名が入ります。
path=PATH どのディレクトリから受けとったCookieかという情報を書き込みます。
secure この「secure」というオプションを書き加えると、HTTPS(SSL)といった安全な環境での通信時にしかCookieをやり取りできないようにできます。

http://www.imymode.com/lab/web08.htm

http://www.graviness.com/virgo/classlibrary/cookie.html#OTHER


設問3
(1)S2の静的ルーティング機能を利用せずに、L3スイッチの静的ルーティング機能を利用している理由を、35字以内で述べよ。

S2は不正に侵入された場合に、静的ルーティングの設定変更が可能な為。(35) 確度80%


設問3
(2)LSを守るための"P10"に設定すべきフィルタ内容を、35字以内で述べよ。

原則破棄の設定とし、送信元IPがLSのものだけ許可する。(28)


設問3
(3)電話番号の入力時、会員DBを保護するための入力値チェックが行いやすい理由を、25字以内で述べよ。

固定長で数字である事のチェックが容易な為。(21)


設問4
(1)S1に設定すべき電子メールの中継に関するルールを60字以内で述べよ。

電子メールの宛先・送信元のアドレスのどちらか、または両方がA社のアドレスではない場合は、中継しない。(51) 確度50%


設問4
(2)社外からS1に対するアクセスに関して対処するルータのフィルタとして設定すべき内容を、40字以内で述べよ。

SMTPとそのリプライパケットのみを許可し、それ以外は全て破棄する。(34)


設問5
(1)図2において、最後にC君が提案した対称暗号方式に対して、D氏が想定した問題点を、50字以内で述べよ。

共通鍵がわかると盗聴した社員のICカードの情報と合わせて、なりすましが行われる可能性がある点。(49)


設問5
(2)正当な社員が、会員DBをアクセスして会員情報を取得するときの制限事項を、35字以内で述べよ。

会員情報は5人分単位でしかアクセスできず、ダウンロードも行えない。(33)


設問5
(3)本文中で述べた会員情報の内部漏洩対策の妥当性を、社員認証と会員DBのアクセス方法以外の観点から、50字以内で述べよ。

会員の住所変更等の為に行う電話での本人確認は、手順が愛昧だと情報漏洩の危険が高い。(46)

メモ

情報処理技術者センター
http://www.jitec.jp/

TSとSSの役割分担(TAC)
http://www.tac-school.co.jp/kouza_joho/joho_te-s.html


無線LANの暗号化方式

暗号化方式 暗号化アルゴリズム 完全性の検証 規格「WEP」 規格「WPA」 規格「WPA2」
WEP RC4 CRC32 必須 - -
TKIP RC4 Michael - 必須 任意
CCMP AES CCM - 任意 必須

トリコロールな猫 - 無線LANの暗号化方式について整理してみた
http://nekotricolor.hatenablog.com/entry/difference-in-wireless-lan-protocol-wep-wpa-wpa2-tkip-ccmp-aes

IT系資格の難易度表を作ってみた
http://blog.livedoor.jp/itsoku/archives/50848912.html

Add picture from clipboard (Maximum size: 100 MB)