やさしいネットワークとセキュリティ

ネットワーク・セキュリティエンジニアの視点から各種テクノロジーと資格試験対策をやさしく解説します。

情報処理安全確保支援士【H31春午後Ⅱ問1設問6】

この問題のテーマは「マルウェア感染と対策」

無線LANの脆弱性
攻撃手法と脆弱性を理解する能力
対応を立案し、効果を評価する能力

設問6(1)

f:id:aolaniengineer:20191003111650p:plain

情報処理安全確保支援士試験 平成31年度 春期 午後Ⅱ問1設問6に関連する問題文その1

f:id:aolaniengineer:20191003111934p:plain

情報処理安全確保支援士試験 平成31年度 春期 午後Ⅱ問1設問6に関連する問題文その2

f:id:aolaniengineer:20191003112037p:plain

情報処理安全確保支援士試験 平成31年度 春期 午後Ⅱ問1設問6(1)

 該当箇所は、「FW1が発行した自己署名証明書を(i)として全ての社内PCに登録する」です。

 一般的に社内PCと外部Webサーバとの間でHTTPS通信を行う場合、社内PCのブラウザと外部Webサーバ間でTLSコネクションを確立します。

 それに先立ちTLSハンドシェイクのやり取りを行いますが、外部Webサーバから送信されるサーバ証明書を、ブラウザにあらかじめ登録されているルート証明書と照合して信頼できるサーバ証明書であるかどうかを判断します。

 問題文のように、社内PCと外部Webサーバとの間にFW1が割り込んで、それぞれの区間でTLSコネクションを確立する場合、FW1が外部Webサーバに代わってサーバ証明書を社内PCに送信する必要があります。

 ただその場合、FW1のルート証明書が社内PCにおいて信頼するCAのディジタル証明書として登録されていることが前提になります。

 したがって、正解は以下の通りです。

 「FW1が発行した自己署名証明書を信頼するCAのディジタル証明書として全ての社内PCに登録する」

設問6(2)

f:id:aolaniengineer:20191003112104p:plain

情報処理安全確保支援士試験 平成31年度 春期 午後Ⅱ問1設問6(2)

 この通信に対し、制約の原因、回避方法には以下の説明があります。

図4の流れの中で、FW1は、社内PCがもっているクライアント証明書に対応した秘密鍵を利用することができない。
表5の項番1に場合は、FW1のHTTPS復号機能の例外リストに外部Webサーバを追加することにした。

 したがって、通信の種類としては、社内PCからクライアント認証を行う外部Webサーバへアクセスする通信と分かります。

 正解は以下の通りです。

 「クライアント証明書の提示が必要な外部Webサーバにアクセスする。

設問6(3)

f:id:aolaniengineer:20191003112124p:plain

情報処理安全確保支援士試験 平成31年度 春期 午後Ⅱ問1設問6(3)

 この通信に対し、制約の原因には以下の説明があります。

FW1には、FW1の製造元によって安全性が確認されたCAのディジタル証明書だけが、信頼されたルートCAのディジタル証明書としてインストールされている。

 したがって、通信の種類としては、社内PCからFW1の製造元によって安全性が確認されていないCAが発行したサーバ証明書を使用した外部Webサーバにアクセスする通信と分かります。

 正解は以下の通りです。

 「FW1の製造元によって安全性が確認されていないCAが発行したサーバ証明書を使用した外部Webサーバにアクセスする。