目次
とある日
春期の情報処理安全確保支援士に合格するために勉強したアウトプットを記録した記事です。
令和三年度春期情報処理安全確保支援士試験午後1問1
問題
解答
設問1
(1)
多要素認証の実装をSサービス側に用意しなくてよい。
解説
SaaSのサービスの利点を聞かれているような問題である。
外部のサービスを使って認証を実装するので既存のSサービスに多要素認証を実装しなくて済むことが利点としてあげられる。
(2)
Tサービスの障害時にSサービスを利用できない。
解説
今度は逆の欠点となる。
これもSaaS利用と同じで外部のサービスが使えなくなるとそれを利用しているサービスも使えなくなる。
AWSの障害でいろんなサービスが障害にあっているのと同じである。
(3)
a:ア
b:イ
c:ウ
解説
一つづつ当てはめて文章的に不適切ではないものを選択する。
ここでは認可と認証について知っておくとよりわかりやすい。
認証(Authentication)
あらためて、認証というのは 通信の相手が誰(何)であるかを確認すること です。
認可(Authorization)
あらためて、認可というのは とある特定の条件に対して、リソースアクセスの権限を与えること です。
だれがなにに権限を与えているか。
だれがどの権限を有しているかを認識するとわかりやすい。
(4)
え
解説
素直に権限を確認しているフローを選択すればいい。
(え)認証、権限の付与の確認
設問2
(1)
d:ウ
e:ア
解説
基本的には攻撃者は中継を行うものなので、図3と照らし合わせて選択すればいい。
あとは、矢印の方向をしっかりと確認する。
(2)
ファイルアップロード:攻撃者
ファイルダウンロード:攻撃者
解説
図2の注記にあるように、二回目以降の利用時は初回に登録されたT-IDが使用される。
さらに、利用者は認証情報等の入力を行っていないことから、認証情報は攻撃者のが使用されていると推測される。
その場合はファイルアップロードは認証を行ったユーザで行われるため攻撃者のアカウントが使用される。
ダウンロードについては本文中で触れられているところは見受けられないためアップロード時と同様でいい認識。
(3)
β:い
γ:か
解説
セッションを確認する場合のフローとして、はじめに値を渡して、実際に権限を使用する際になったら照らし合わせるといった手段が一般的である。
そのためパラメタを渡す際はSサービスとの通信の始まりに来る場合が多いと思う。
さらに、「Sサービスはstateパラメタをβを送信すす祭に付与する。」という文章からSサービスからのメッセージに付与されるものと認識できる。
上記の2つを総合すると、「い」という選択肢になる。
反対に、γの場合は、Sサービスから送ったものを利用者が保存して認証を行う際に使用するため利用者からの送信となる。
となると、必然的に「か」という選択肢になる。
設問3
(1)
エ
解説
Tサービスは多要素認証のため導入を検討している。
要するに認証を行うための権限が最低限必要となる。
その場合、認証には登録情報が必要になるためそれを取得する権限が必要となる。
(2)
S認証モジュールに利用者IDとパスワードを登録していないS会員
解説
冒頭の説明部分で「既存のS会員は対象とせず、新規登録のS会員だけを対象とする」とある。
ここで、S会員の区分が行われていると認識できる。
あとは、この両者にどういった違いがあるのかを考える。
既存のS会員は、S認証モジュールを使って認証を行う。
新規登録のS会員は、Tサービスを使って認証を行う。
そして、Tサービスの連携を停止してS認証モジュールで認証を行うことになるためTサービスで認証を行っている会員は使えなくなる。
おそらく、「新規顧客となった会員」と回答すると不正解な気がする。
新規登録の際にもTサービスとS認証モジュールを選択?できるのではないかと推測される。
S認証モジュールは継続して稼働するとあるので、引き続き使えると考える事が可能である。
そのため新規登録の会員であってもS認証モジュールを使えるのではないかと思う。
設問4
(1)
Tサービスで認証されたS会員のT-IDが、Sサービス内に登録されていることを確認する。
解説
図2の注記に記載がある。
「2回目以降のSサービスの利用の場合、初回に登録されたT-IDを確認する」とあるので、それを明記するだけ。