目次
とある日
春期の情報処理安全確保支援士に合格するために勉強したアウトプットを記録した記事です。
令和三年度秋期情報処理安全確保支援士試験午後1問1
問題
解答
設問1
(1)
a:接続先が保守用中継サーバではない
解説
ここではフィンガプリントが変わった以外の方法について問われている。
接続する際に必要となる情報にはフィンガプリント以外触れていない。
わりと前提条件が少ないためパスワードが違ったり認証がまちがっているといった解答は不適切だと思われる。
なので少ない情報から間違っていて接続できない状況になる要素は接続先が間違っていることぐらいになると思われる。
フィンガプリント
SSH接続におけるフィンガープリントとは、
サーバー(接続先)の公開鍵から計算されたハッシュ値
です。これはフィンガープリントという名の通り、サーバーの指紋となります。
SSH接続ではその過程でホスト認証というものが行われますが、フィンガープリントはその際に使用されます。
SSHにおけるフィンガープリントとは。ホスト認証とあわせて解説
(2)
操作ログの改ざんや削除を防止するため
解説
指定に「操作ログ」という言葉指定してあるので、操作ログがどうなると困るのかと一般利用者である意義を考えると、
必然的に操作ログを削除させないようにするためと回答できる。
(3)
b:保守PC-A
c:インターネット
解説
まず簡単なCから埋められる。
SSHを拒否する場合はインターネットがあげられるからである。
SSHはサーバの操作を行えるため限られたアクセスのみを許可するのがベターである。
その証明として保守用中継サーバがインターネットからの接続がありえるのかを検証する。
そうすると、DMZ内にあるので十分インターネットからのアクセスが可能となる。
次はbだが、図2で接続経路と接続方法について触れている。
保守PCのいずれから保守中継サーバにSSH接続するとある。
FWルールを見ると許可されているルールはないのでここらへんが怪しい。
対象となる保守PCはA,B,CとあるそのうちB,Cはインターネットからの接続になるとある。
表1の注記を見ると作業時間だけ許可されるのでここではPC-Aについて許可をすれば良いとわかる。
設問2
(1)
6
解説
保守用中継サーバがFWどの送信元に所属するかを考えると候補は2つしかない。
5,6番だけである。
さらに、宛先がインターネットに限定されているので答えとしては6となる。
DMZ内に保守用中継サーバは所属するのは図1から読み取れる。
(2)
6月14日 の7時 0分から 6月 14日 の9時 30分まで
解説
ここで重要なのがインターネットからSSHができる条件である。
表1の注記にある通り事前申請の間は可能である。
あとはその事前申請があった時間を探す。
事前申請は定義された時間の間だけSSHが許可されるため図3では6月14日7時から9時半までに行う事前申請が出されていたという記述があるのでそれが該当する。
仮に、作業完了報告をしたらSSH許可のルールが変わるとある場合は事前申請の時間より早く終わった場合に報告した時刻までが適用範囲となる可能性がある。
今回はそういった制約はないため単純に事前申請の間の時刻を指定する。
設問3
(1)
保守員以外が不正に秘密鍵を利用できないようにするため
秘密鍵が盗まれても悪用できないようにするため
解説
秘密鍵だけでは使用できず、使用する際にはパスフレーズを入力する必要性がある。
暗号にさらに別の暗号を加えるようなイメージ。
それをすることにより強固にできセキュリティを高められる。
公開鍵認証
公開鍵暗号方式は、「片方の鍵(公開鍵)で暗号化した情報は、もう片方の鍵(プライベート鍵)でないと復号できない」という特殊な性質を持っています。この性質を用いることで、ネットワーク上の離れた相手に安全に情報を送信できます。
パスフレーズ
パスフレーズとは、本人認証で用いるパスワードの一種です。通常のパスワードが8文字前後のところ、パスフレーズは10文字以上の単語を組み合わせた文字列で構成されているため、セキュリティが強固になります。
パスフレーズとは?パスワードとの違い・作り方のポイントを紹介!|ITトレンド
(2)
パスワード認証
解説
これは単純である。
SSHの認証方法を変えるときの話で、新しい公開鍵認証にするのでいままでのはアクセスできないように無効にする必要があるから。
(3)
解説
SSH接続に必要な要素は、鍵のペアである。
秘匿しないといけないのは秘密鍵なので。
(4)
送信元IPアドレスを固定にする
解説
PC-AとPC-B,Cの違いを考えると良いと思う。
VPN経由で接続することでネットワーク上のアクセス経路は同じとなる。
では何が異なるかというと、図1にあるPC-Aは固定のプライベートIPアドレスを割り当てている記述がある。
特定の機器のみを許可する必要があるので送信元を特定するためにIPを固定するのが適切となる。
〆
意外とあたりまえな回答があるが午後1はかなりそれが多いイメージ。
なのでそこまでである情報だけを頼りに判断する必要があると思う。