令和2年午後Ⅱ問2設問5及び6(3)

akiさん  
(No.1)
問題文を見るとT環境におけるセキュリティ要件について、要件2で2要素認証、要件3でデバイス認証のことを盛り込んだものと理解しました。設問5と設問6(3)は重複感のある出題のように思われましたが、いずれも2要素認証及び(または)デバイス認証を解答させる問題と理解し、解答を以下の通りとしました。
5:IDaaS-Yを利用した2要素認証
6(3):IDaaS-Yによる2要素認証とクライアント証明書によるデバイス認証

模範解答をみるといずれもクライアント証明書によるデバイス認証について取り上げられていますが、2要素認証については触れられていません。私の解答について、設問5で2要素認証のことを記載しても別解として許容されるのか、また設問6(3)について、デバイス認証のことにしか触れなくてよいのか、あるいは2要素認証だけを記載していたとしても別解として許容されるのか、解説いただける方お願いできないでしょうか。

あと、設問5は公衆無線LAN利用を禁止する対策に関連して出題されています。問題文の中で「フィッシングサイトなどに誘導されるリスク」について言及し、情報の搾取の切り口から多重防御策が十分機能していると判断する内容となっていますが、リスクシナリオとして悪意ある第三者が用意するWEBサイトに誘導されドライブバイダウンロード等によりマルウェア感染するといったことも想定されるのではないかと感じました。
  設問として扱われませんでしたが、「情報処理安全確保支援士である」F次長の判断としては適切だったのか疑問に感じますが、いかがでしょうか。
2023.03.28 16:09
pixさん 
SC ダイヤモンドマイスター
(No.2)
この問はSCの過去問の中でも非常に難易度が高いです。そのため、全体を正確に
把握するのはとても困難です。誤りがある可能性や、独自解釈がありますが、
ご容赦ください。

設問5は本文P21「DaaS-Vのフィッシングサイトで、利用者の入力が詐取されたとしても」
という状況でも安全に接続できる対策を問うています。
正答は:「DaaS-Vでのクライアント認証によるデバイス認証」でした。

スレ主様の解答:「IDaaS-Yを利用した2要素認証」の問題点ですが、DaaS-Vの
フィッシングサイトとはDaaS-VとノートPCの間に第三者が通信を中継する
フィッシングサイトを用いた攻撃と想定されます。
この場合、2要素認証では種類にもよりますが、攻撃者が認証を成功させ、通信が
盗聴されてしまう危険性があります。

ここがクライアント認証によるデバイス認証ならば、攻撃者はクライアント認証に
必要な正規の秘密鍵を所持していないため、認証に失敗します。


設問6-(3)は少々国語の問題も含まれています。
P22 下線⑨「申請が許可された利用者のノートPC」とあります。
この文章は申請が許可されたのが『利用者』なのか『利用者のノートPC』なのかの
解釈の違いで意図がぶれてしまいます。
ここを「利用者のノートPC」と読み取れば、「クライアント認証によるデバイス認証」と
いうキーワードが自然に紐づきます。
ここを「利用者」と読み取ってしまうと、「2要素認証」というキーワードが紐づいて
しまいます。

下線⑨が「申請が許可された利用者」という文章のみであれば、「申請が許可された」のは
『利用者』で確定です。
しかし、下線⑨は「申請が許可された利用者のノートPC」と明言しているということは
「申請が許可された」のは『利用者のノートPC』と考えるのが自然と思われます。


>リスクシナリオとして悪意ある第三者が用意するWEBサイトに誘導され
>ドライブバイダウンロード等によりマルウェア感染するといったことも
>想定されるのではないかと感じました。
ここはいわゆる拡大解釈になると思われます。
本文P21「DaaS-Vのフィッシングサイトで、利用者の入力が詐取されたとしても」に
書かれているように、
1.DaaS-Vのフィッシングサイトに誘導される
2.利用者の入力が詐取が詐取される
このケースについて検討すればよいかと思われます。
マルウェア感染については別で検討するべき事項と考えられます。

IPAは試験は国語の問題ではないとコメントしていますが、一般的に受験者にとっては
国語の問題としてとらえないと解答できない問題が多々あります。
逆に考えれば、正確に文章を解釈できれば合格する可能性は飛躍的に向上すると思います。
2023.03.28 17:52
akiさん  
(No.3)
pix様  コメントいただきありがとうございました。
設問5では「OTPアプリ初期設定で不正利用対策を講じていたとしても、MITM攻撃の成功により2要素認証を突破できる可能性がある」ことが理解できておりませんでした。ただ、ユーザ認証以外にデバイス認証の仕組みもあるので、MITM攻撃の可能性を十分理解していなくとも、デバイス認証の方を解答に記載する方がむしろ素直な解答だったように思いました。
設問6(3)もユーザ認証とデバイス認証のどちらを問われているかという観点があれば正答できたのかもしれません。デバイス認証をきいているのかユーザ認証をきいているのか意識をもてていませんでした。改めて読みなおすと、素直にデバイス認証を聞かれているように感じました。

公衆無線LANの利用を許可する対策についての私のコメントは、設問とは無関係であることを自覚しつつ記載しておりました。
本問いに限らず、午後2では情報処理安全確保支援士が、必ず?登場するとおもいます。その人の発言内容や助言内容について不適切だと感じたことがありませんでしたが、公衆無線LANに接続するリスクが様々あるなか、リスク評価したのは「DaaS-Vへの不正アクセス」のみで、他のリスクについて考慮せずに「ノートPCのアクセス先制限を緩和する」判断をしている流れが不適切に感じた、ということです。設問とは無関係の感想みたいな話です。pix様のコメントで「マルウェア感染については別で検討するべき事項」と記載していただいていることを鑑みると、実務としては「公衆無線LAN利用可否を判断する際、不正アクセスに関するリスク評価だけではダメ」という点では認識はあっているものと感じました。
2023.03.29 11:21

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop