目次
とある日
春期の情報処理安全確保支援士に合格するために勉強したアウトプットを記録した記事です。
令和三年度春期情報処理安全確保支援士試験午後1問3
問題
解答
設問1
(1)
PC動作に問題がないこと
解説
これは自明である。
新しいセキュリティパッチによって、既存のプログラムとの挙動に影響がある場合はパッチ適用をしない選択肢があるのでそれを確認するだけ。
社内で利用しているアプリケーションプログラムという指定があるので、具体的なアプリケーション名を指定する必要はない。
設問2
(1)
L2SW1
解説
各セグメントの通信経路についての記述はないが、表1のFWに「インターネットとの間の通信を許可しているのはDMZだけである」とあるので、L2SW1からは社内ネットワークのアクセスと外部のアクセスが発生することが確認できる。
また、どのLANからでもインターネット通信が通過するという記述から、L2SW1が選択肢の可能性が高い。
L2SW2とL2SW3は一般利用者しか使わないLANのためセキュリティ制限はかなりあると思われるので、余計な通信は行わない可能性が高い。
L2SW4はかなりサーバがあるので怪しいが、利用者LANとプロキシサーバーとの通信を行う場合経路として通らないので選択肢からは除外できる。
正直プロキシサーバーの用途を知っていればDMZのL2SW1で確定できるかと。
設問3
(1)
b:エ
解説
WOLとは|「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典
WoLについて知っていれば容易に解ける内容である。
前述したように、WOLはネットワーク経由で電源投入の指令を送る機能だ。そのため、WOLの対象になるPCは、ネットワークに接続されている必要がある。そのPCに対して、「マジック・パケット」と呼ばれる、特殊なイーサネット・フレームを送信する。このマジック・パケットは、一般に「AMD Magic Packet Format」と呼ばれる形式のフレームで、以下のような内容をUDPで送信することとなっている。
あて先アドレスが「FF:FF:FF:FF:FF:FF(ブロードキャスト・アドレス)」 起動したいPCのLANアダプタに割り当てられているMACアドレス×16回 あて先として用いられる「FF:FF:FF:FF:FF:FF」は、レイヤ2のネットワーク媒体、すなわちイーサネットで用いられるブロードキャスト・アドレスだ。従って、マジック・パケットは同一セグメント内のすべてのノードに対して送信される。
それを受け取った側では、マジック・パケットで16回繰り返されているMACアドレスが自機のものでなければ無視して、電源は投入しない。しかし、MACアドレスが自機のものであれば、電源投入の指示が来たと判断して電源をオンにする。
ただし、上記を知らなくても各選択肢から意図を読み取れれば選択可能だと思う。
選択肢の中で特殊なアドレスとして使用されているのがアやエが選択できると思う。
エのアドレスはブロードキャストアドレスとして利用していそうだと考えれれば答えにたどり着く。
(2)
c:イ
解説
これは知っているか知らなかの問題だと思う。
ただ、アかイの二択にはなるかなと。
(3)
起動パケットを他のセグメントに転送できるように変更する。
解説
まずは、資産管理サーバがある内部システムLANとPC-Yがある検証LANとL3SWの経路を確認すればよい。
それぞれは別セグメントにあるためL3SWを通過して通信を行う。
そのためL3SWで通信制御をしていると通信が正しく行えていない可能性が推測できるためそれを解除する。
設問4
(1)
(2):IPアドレス
(4):MACアドレス
解説
ARPテーブルからの情報として挙げられるのはMACアドレスとIPアドレスのである。
(4)は設問3(3)の解答からMACアドレスが選択できると思う。
PCに通信を行うため選択肢の中とARPテーブルの情報を考慮するとIPアドレスが可能性が高いと思われる。
(2)
エージェントによって、夜間にarpコマンドの実行を検知したら、当該PCをネットワークから隔離する。
解説
下線4のG社で導入済みのシステムを探す。
表1に一覧があるのでだいたい情報が多くあるところに答えはあるのでそれらしい記述を探す。
すると表1のエージェントには「PC上で起動するプロセスを監視する。指定した時間帯に指定したコマンドが実行された場合、EDR管理サーバtとの間の通信を除き、当該PCのすべての通信を遮断する機能をもつ」とあり、当該PCをネットワークから隔離する機能がありそうなのでエージェントを使う推測が立てられる。
あとは、具体的に述べるので、どういう手順で隔離するのかを前後の文章から記述する。