この記事は、工事担任者試験の直前対策資料である「工事担任者 基礎 穴埋め暗記セレクション 総合通信2024受験版」に対応しています。PDFは期間限定で下記リンクより配布いたします。
技術→https://drive.google.com/file/d/1Nc8CKLcPUwYS4knckAAtevNgfiUjRbSc/view?usp=sharing
資料は必要最小限の記述に絞りスリム化を図っていますが、こちらのブログでは、出典となる過去問も引用して掲載しています。問題集としてもご利用いただけるほか、解説を確認する目的にもお役立ていただけます。
なお、分量が多いため、大問ごとに記事を分けて掲載しております。
皆様の試験対策に微力ながらお力添えできれば幸いです。心より、皆様の合格をお祈り申し上げます。
問題1 ポートスキャン
出典:令和4年度第1回第6問(1)
解答
④
解説
1. 問題のポイント
ポートスキャンとは、ネットワーク上のデバイスで利用可能なポートを特定するための手法の一つであり、TCPスキャンはその基本的かつ広く使用されている方法です。この方法では、スリーウェイハンドシェイクを利用して、対象のポートが開いているかどうかを確認します。
2. TCPスキャンの手順
- SYNパケットの送信: スキャナーからターゲットの指定ポートに SYN パケットを送信します。
- SYN/ACKパケットの受信: ターゲットがポートを「開いている」場合、SYN/ACK パケットを返します。
- ACKパケットの送信: スキャナーが ACK パケットを返し、コネクションが確立されます。
- 一方、ポートが閉じている場合、ターゲットは RST(リセット)パケットを返します。
3. なぜスリーウェイハンドシェイクが利用されるのか
TCPプロトコルでは、通信を確立するためにスリーウェイハンドシェイクを用います。この一連の動作により、ポートの状態(開いているか閉じているか)を確実に確認できます。
4. 他のスキャン手法との比較
- SYNスキャン: SYN パケットだけを送り、応答を観察してポートの状態を確認する手法。
- FINスキャン: FIN パケットを送信し、応答の有無でポートの状態を確認する手法。
- UDPスキャン: UDPプロトコルを利用してポートの状態を確認する手法。
5. まとめ
TCPスキャンは、標的ポートに対してスリーウェイハンドシェイクを完全に実行することで、ポートが開いているかを判断する方法です。この方法は非常に正確ですが、コネクションが確立されるため、ログが残りやすく、検知されるリスクがあります。
ポートの応答に基づく状態
\( \begin{aligned}&\text{応答が SYN/ACK } \rightarrow \text{ポートは “Open”} \
&\text{応答が RST } \rightarrow \text{ポートは “Closed”} \
\end{aligned}
\)
この結果に基づいてポートの状態を特定します。
参考資料
該当ページ 187
該当ページ 295
問題2 暗号解読の手掛かり
出典:令和4年度第2回第6問(1)
解答
④
解説
1. 問題のポイント
サイドチャネル攻撃は、暗号化やその他のセキュリティ処理を実行している装置から漏洩する物理的な情報(電磁波、消費電力量、処理時間など)を利用して暗号解読の手掛かりを取得する攻撃手法です。暗号アルゴリズムそのものの脆弱性を突くのではなく、装置の物理的特徴を悪用します。
2. サイドチャネル攻撃の種類
- 電磁波解析
暗号処理中に発生する微弱な電磁波を分析して鍵やデータを特定する手法。 - 消費電力解析 (Power Analysis)
装置の消費電力量の変化を観測して、処理内容や暗号鍵の推測を試みる手法。以下の2種類に分類されます:- 単純消費電力解析 (SPA): 消費電力パターンから直接情報を取得する方法。
- 差分消費電力解析 (DPA): 消費電力の統計的な差異を解析する方法。
- タイミング攻撃 (Timing Attack)
処理にかかる時間の差異を利用して、暗号鍵やデータを推測する手法。 - キャッシュタイミング攻撃
プロセッサ内のキャッシュのアクセス時間を利用して情報を取得する手法。
3. サイドチャネル攻撃の目的
サイドチャネル攻撃の主な目的は、暗号アルゴリズムの実装における脆弱性を悪用して、以下を取得することです:
- 暗号鍵
- 暗号化された機密データ
- その他の認証情報
4. 他の攻撃手法との違い
攻撃手法 | 特徴 |
---|---|
ブルートフォース攻撃 | 暗号鍵を総当たりで試行する方法。時間と計算リソースを大量に消費。 |
ゼロデイ攻撃 | 公表されていないセキュリティホールを利用した攻撃。 |
DDoS攻撃 | 大量のリクエストを送りつけてターゲットのサービスを停止させる攻撃。 |
選択暗号文攻撃 | 攻撃者が選択した暗号文に対する復号結果を観察して暗号解読を試みる方法。 |
サイドチャネル攻撃 | 装置の物理的な情報(電磁波、消費電力、処理時間など)を利用して暗号解読を試みる方法。 |
5. 対策
- 装置の電磁波シールドや消費電力のランダマイズ化。
- 暗号処理の実行時間を一定にすることでタイミング攻撃を防ぐ。
- 専用の耐タンパデバイス(例: TPMチップ)を使用する。
まとめ
サイドチャネル攻撃は、暗号システム自体のアルゴリズムに直接攻撃を加えるのではなく、システムの物理的な動作から漏洩する情報を利用して暗号解読を試みる手法です。この攻撃は、セキュリティ対策が不十分な場合に非常に効果的であり、特に組み込みシステムやIoTデバイスなど、リソースが制限されているデバイスに対して脅威となります。
参考資料
参考資料の該当ページです。
該当ページ 187
該当ページ 295
問題3 ICカードに対する攻撃
出典:令和3年度第2回第6問(3)
解答
④
解説
1. 問題のポイント
プロービング攻撃は、ICカードや半導体デバイスに対する物理的な攻撃手法の一つです。ICチップの内部配線に針やプローブを直接接触させることで、信号やデータを取得することを目的としています。
2. プロービング攻撃の特徴
- 対象: ICカード、スマートカード、暗号化デバイスなど。
- 手法:
- デバイスのパッケージを取り除き、ICチップの内部構造を露出させる。
- 配線パターンにプローブを当て、データの流れや信号を取得。
- 目的:
- 暗号鍵や認証情報など、デバイス内部に保存されている機密情報を特定。
3. 他の攻撃手法との違い
攻撃手法 | 特徴 |
---|---|
プロービング攻撃 | 物理的にICチップにアクセスし、配線パターンを直接解析してデータを取得する。 |
ブルートフォース攻撃 | 暗号鍵を総当たりで試行する方法。時間と計算リソースを大量に消費。 |
グリッチ攻撃 | 電源やクロック信号に不正なパルスを加えることで、ICチップの誤動作を誘発し、情報を取得する手法。 |
リバースエンジニアリング | ICの内部構造を解析し、設計情報や機密データを復元する手法。パッケージの分解や顕微鏡観察が含まれる。 |
スマーフ攻撃 | ネットワークを対象とした攻撃手法で、大量のパケットを送りつけてターゲットをダウンさせる攻撃。 |
4. プロービング攻撃のステップ
- デバイスのパッケージを剥がす:
- ICカードの外装を取り除き、内部構造を露出させます。
- プローブの設置:
- チップの特定の配線に細い針やプローブを当てて信号を測定します。
- 信号の解析:
- 測定した信号データを解析し、暗号鍵や機密データを取得します。
5. 対策
- パッケージ保護:
- ICカードのパッケージを硬化した素材で覆い、物理的な分解を困難にする。
- 遮蔽層の追加:
- 配線パターン上にメタル層や保護層を追加し、物理的なアクセスを妨害する。
- データ暗号化:
- 内部データを暗号化して保存し、直接読み取られても利用できないようにする。
- タンパリング検出機能:
- デバイスに異常な物理アクセスが加わった場合にデータを削除する仕組みを導入する。
まとめ
プロービング攻撃は、ICカードや半導体デバイスに対して物理的に直接アクセスし、機密データや信号を読み取る高度な攻撃手法です。対策としては、物理的保護層の追加や暗号化の実施、タンパリング検出機能の強化が重要です。
参考資料
参考資料の該当ページです。
該当ページ 188
該当ページ 295
問題4 IPアドレスとMACアドレス
出典:令和5年度第1回第6問(1)
解答
②
解説
1. 問題のポイント
LAN内で稼働している端末のIPアドレスとMACアドレスの対応表は、ARP (Address Resolution Protocol) を使用して管理されています。ARPパケットを使用すると、この対応表を書き換えることが可能です。
2. ARPとは
- 役割:
- IPアドレスから対応するMACアドレスを取得し、同一LAN内での通信を可能にします。
- 動作:
- ARPリクエスト: IPアドレスに対応するMACアドレスを問い合わせる。
- ARPリプライ: 対応するMACアドレスを返答する。
3. 攻撃手法: ARPスプーフィング
攻撃者がARPプロトコルを悪用して、対応表を書き換えることで、LAN内の通信を傍受したり中断させる攻撃手法です。
- 手順:
- 攻撃者が偽のARPリプライを送信。
- 被害者の端末が誤ったIP-MAC対応表を更新。
- 通信が攻撃者の機器を経由するように誘導。
- 目的:
- 盗聴: 被害者と正規の通信相手の間に入り、通信内容を取得。
- 通信妨害: 通信を中断させることでサービスを妨害。
4. 攻撃の影響
- データ盗聴: 通信内容が第三者に漏れる可能性があります。
- なりすまし: 攻撃者が被害者になりすますことで、不正なアクセスや操作を行う恐れがあります。
- 通信障害: 対応表の改ざんにより通信が成立しなくなる場合があります。
5. 対策
- 静的ARP設定:
- IP-MAC対応表を固定し、動的な書き換えを防止。
- ARP監視ツールの導入:
- ARPテーブルの変更を検出し、不審な挙動を早期に把握。
- 認証機能の追加:
- ネットワーク機器でARPに対する認証機能を有効化。
- VLANの分離:
- ネットワークを分離し、不正なARPリプライの拡散を防ぐ。
まとめ
ARP (Address Resolution Protocol) を利用した攻撃は、LAN内の通信において深刻なセキュリティリスクとなります。ARPスプーフィングへの対策としては、静的ARP設定や監視ツールの導入が有効です。
参考資料
参考資料の該当ページです。
該当ページ 188
該当ページ 255
問題5 ハイブリッド暗号方式
出典:令和5年度第1回第6問(2)
解答
②
解説
1. ハイブリッド暗号方式とは
- ハイブリッド暗号方式は、共通鍵暗号と公開鍵暗号を組み合わせた暗号化方式です。
- それぞれの特徴を活かし、効率的で安全なデータ通信を実現します。
2. 暗号化の手順
- 平文を共通鍵暗号化:
- 送信者は、共通鍵(セッション鍵とも呼ばれる)を生成し、この鍵を使って平文を暗号化します。
- これにより、暗号化された平文(共通鍵で暗号化されたデータ)が得られます。
- 共通鍵を公開鍵暗号化:
- 送信者は、受信者の公開鍵を使って共通鍵を暗号化します。
- これにより、暗号化された共通鍵が得られます。
- 送信:
- 暗号化された平文と暗号化された共通鍵を受信者に送信します。
3. 復号の手順
- 共通鍵の復号:
- 受信者は、自身の秘密鍵を使って暗号化された共通鍵を復号します。
- これにより、共通鍵を取得します。
- 平文の復号:
- 受信者は、取得した共通鍵を使って、暗号化された平文を復号します。
- これにより、平文が得られます。
4. 正解の理由
- 暗号化された共通鍵は、送信者が受信者の公開鍵で暗号化したものです。
- 従って、復号には対応する秘密鍵が必要になります。
- ここで使うのは、受信者の秘密鍵(選択肢②)です。
5. 利点
- 共通鍵暗号:
- 高速で大量のデータを効率的に暗号化できる。
- 公開鍵暗号:
- 安全に共通鍵を送信できる。
- この組み合わせにより、セキュリティと効率性を両立できます。
まとめ
ハイブリッド暗号方式では、受信者の秘密鍵を使用して暗号化された共通鍵を復号します。この復号した共通鍵を使って、暗号化された平文を復号し、平文を取り出す仕組みです。
参考資料
参考資料の該当ページです。
該当ページ 191
該当ページ 298
問題6 ISPによるスパムメール対策
出典:令和3年度第1回第6問(1)
解答
⑤
解説
1. OP25Bとは
- OP25B(Outbound Port 25 Blocking)は、スパムメール対策の一環として、ISP(Internet Service Provider)が用意している仕組みです。
- インターネット接続サービス利用者の端末が、ISPが指定する以外のメールサーバを経由してメールを送信することを禁止します。
2. 仕組み
- 通常、メール送信にはSMTP(Simple Mail Transfer Protocol)を使用し、ポート番号25が標準で用いられます。
- OP25Bでは、ISPのネットワーク内部でポート25への送信を制限し、ISPが管理するメールサーバ(通常は認証済み)を経由しないメール送信をブロックします。
3. 対策の目的
- スパムメールの防止:
- 不正な送信プログラム(ボット)を使って直接ポート25を経由するスパムメールの拡散を防ぎます。
- ネットワークの安全性向上:
- ユーザー端末がマルウェア感染している場合でも、スパムメールを送信するリスクを低減します。
- 他のISPへの影響回避:
- スパムメールが他のネットワークに流れ込むのを防ぎます。
解説: スパムメール対策におけるOP25B
1. OP25Bとは
- OP25B(Outbound Port 25 Blocking)は、スパムメール対策の一環として、ISP(Internet Service Provider)が用意している仕組みです。
- インターネット接続サービス利用者の端末が、ISPが指定する以外のメールサーバを経由してメールを送信することを禁止します。
2. 仕組み
- 通常、メール送信にはSMTP(Simple Mail Transfer Protocol)を使用し、ポート番号25が標準で用いられます。
- OP25Bでは、ISPのネットワーク内部でポート25への送信を制限し、ISPが管理するメールサーバ(通常は認証済み)を経由しないメール送信をブロックします。
3. 対策の目的
- スパムメールの防止:
- 不正な送信プログラム(ボット)を使って直接ポート25を経由するスパムメールの拡散を防ぎます。
- ネットワークの安全性向上:
- ユーザー端末がマルウェア感染している場合でも、スパムメールを送信するリスクを低減します。
- 他のISPへの影響回避:
- スパムメールが他のネットワークに流れ込むのを防ぎます。
4. OP25Bの課題と対応
- 課題:
- 一部の利用者にとって、外部のメールサーバを使いたい場合に不便になる。
- 対応策:
- SMTPサーバにおける認証方式(例: SMTP-AUTH)や暗号化通信(例: Submissionポート587)を利用します。
- この場合、ポート587や465(SSL/TLS)が使用され、認証済みのメール送信が可能になります。
5. 他の選択肢との違い
- SMTP-AUTH:
- メールサーバで送信者の認証を行う方式。ポート25の制限は含まれません。
- DKIM:
- メールの正当性を検証する仕組みで、送信者のドメインが偽装されていないことを保証します。
- POP:
- メール受信プロトコルであり、送信には関係しません。
- オープンリレー:
- 逆に、認証なしで外部からメールを送信可能にする設定(スパム送信の原因となる)。
まとめ
- OP25Bは、ISPが用意したメールサーバ以外からポート25を経由したメール送信をブロックする仕組みです。
- スパムメール対策の基本的な方法として広く採用されており、安全なインターネット環境の構築に貢献します。
参考資料
参考資料の該当ページです。
該当ページ 192
該当ページ 295
問題7 認証操作
出典:令和3年度第1回第6問(2)
解答
①
解説
1. シングルサインオン(SSO)とは
- **シングルサインオン(SSO:Single Sign-On)**は、利用者が一度認証を行うことで、複数のシステムやサービスに対して再度認証を行うことなくアクセスできる仕組みを指します。
- 利用者の利便性を向上させ、パスワード管理の手間を軽減します。
2. 仕組み
- 初回認証:
- 利用者がログイン時に認証を行います。
- 認証情報はセッションやトークンとして管理されます。
- 認証情報の共有:
- 認証が成功した後、トークンやCookieなどを利用して、他のシステムに対する認証情報を安全に共有します。
- システム間の連携:
- 各システムは共通の認証情報を参照することで、再認証を行うことなく利用者のアクセスを許可します。
3. 利用例
- 社内システム:
- 社内の複数の業務システム(メール、勤怠管理、ファイル共有など)で、1回の認証で全てにアクセス可能。
- クラウドサービス:
- GoogleやMicrosoftなどのアカウントを用いたクラウドサービスの一括利用。
4. メリット
- 利便性向上:
- ユーザーは複数のIDやパスワードを覚える必要がない。
- セキュリティ向上:
- パスワードの使い回しを減らし、パスワード忘れによるセキュリティリスクを低減。
- 管理の簡略化:
- 管理者は認証情報の統一的な管理が可能。
5. 注意点
- システム障害の影響:
- 認証システムがダウンすると、全ての連携サービスが利用不可になるリスクがある。
- セキュリティの確保:
- トークンやCookieの不正利用を防ぐため、SSL/TLSの使用やセッションの適切な管理が必要。
6. 他の選択肢との違い
- アドレススキャン:
- ネットワーク上のIPアドレスをスキャンして使用可能なアドレスを特定する手法で、認証とは無関係。
- ワンタイムパスワード:
- 一度だけ使用可能なパスワードを生成する仕組みで、SSOではありません。
- RADIUS認証:
- ネットワークアクセス時の認証プロトコルで、SSOとは異なります。
- CHAP認証:
- 認証を強化するためのプロトコルで、SSOと直接的な関係はありません。
まとめ
- シングルサインオン(SSO)は、一度の認証で複数のシステムにアクセス可能にする仕組みです。
- 利便性とセキュリティの向上を目的とした認証方式として、多くの企業やクラウドサービスで利用されています。
参考資料
参考資料の該当ページです。
該当ページ 192
該当ページ 300
問題8 情報の一元管理
出典:令和4年度第1回第6問(2)
解答
④
解説
1. ディレクトリサービスとは
- ディレクトリサービスは、ネットワーク上の利用者情報やネットワーク資源情報を一元管理する仕組みです。
- 利用者に対して、ネットワーク上の**リソース(プリンタ、サーバ、サービスなど)**を効率よく提供し、アクセス管理を容易にします。
2. 主な機能
- 情報の一元管理:
- 利用者のID、パスワード、アクセス権限などを一つのデータベースで管理。
- リソースの検索と提供:
- プリンタやファイルサーバなど、ネットワーク上のリソースを利用者が簡単に見つけて利用できるよう支援。
- アクセス制御:
- 利用者ごとに設定された権限に基づき、リソースへのアクセスを制限。
3. 利用例
- 社内ネットワーク:
- 社内のユーザーアカウントやグループを管理し、ログイン認証やファイル共有に使用。
- クラウドサービス:
- Microsoft Active Directory(AD)やLDAP(Lightweight Directory Access Protocol)を使用して、ネットワークリソースを管理。
解説: ディレクトリサービス
1. ディレクトリサービスとは
- ディレクトリサービスは、ネットワーク上の利用者情報やネットワーク資源情報を一元管理する仕組みです。
- 利用者に対して、ネットワーク上の**リソース(プリンタ、サーバ、サービスなど)**を効率よく提供し、アクセス管理を容易にします。
2. 主な機能
- 情報の一元管理:
- 利用者のID、パスワード、アクセス権限などを一つのデータベースで管理。
- リソースの検索と提供:
- プリンタやファイルサーバなど、ネットワーク上のリソースを利用者が簡単に見つけて利用できるよう支援。
- アクセス制御:
- 利用者ごとに設定された権限に基づき、リソースへのアクセスを制限。
3. 利用例
- 社内ネットワーク:
- 社内のユーザーアカウントやグループを管理し、ログイン認証やファイル共有に使用。
- クラウドサービス:
- Microsoft Active Directory(AD)やLDAP(Lightweight Directory Access Protocol)を使用して、ネットワークリソースを管理。
4. メリット
- 効率的な管理:
- 各種情報を一元管理することで、運用コストを削減。
- セキュリティ向上:
- アクセス制御を一元化し、不正利用を防止。
- ユーザー利便性:
- ユーザーは自分のIDで様々なリソースにアクセス可能。
5. 他の選択肢との違い
- ハウジング:
- 利用者が所有するサーバをデータセンターで管理するサービスで、ネットワーク管理とは異なる。
- ホスティング:
- サーバやアプリケーションをプロバイダが提供するサービスで、利用者情報やリソース管理が主目的ではない。
- 分散処理:
- コンピュータリソースを分散して処理を行う方式で、ディレクトリサービスとは無関係。
まとめ
- ディレクトリサービスは、ネットワーク内の利用者情報やリソースを一元管理し、効率的かつ安全に利用者へ提供する重要な仕組みです。
- 代表的な例として、Microsoft Active DirectoryやLDAPが挙げられます。
参考資料
参考資料の該当ページです。
該当ページ 195
該当ページ 不明
問題9 PCの接続検査
出典:令和5年度第2回第6問(1)
解答
③
解説
1. 検疫ネットワークとは
- 検疫ネットワークは、社内ネットワークに接続されるデバイス(PCなど)のセキュリティ状態を事前に検査し、不適切なデバイスが直接社内ネットワークに接続されるのを防ぐ仕組みです。
- 主に、セキュリティポリシーへの適合性を確認するために使用されます。
2. 動作の流れ
- 隔離セグメントへの接続:
- 新規デバイスが社内ネットワークに接続される際、最初に隔離された検疫ネットワークに接続。
- セキュリティ検査:
- デバイスがセキュリティポリシーを満たしているか検査(例: ウイルス対策ソフトの有効性、最新パッチの適用)。
- 検査結果に応じた対応:
- 適合デバイス:
- 社内ネットワークに接続を許可。
- 不適合デバイス:
- 隔離を継続し、修復や更新を促す。
- 適合デバイス:
- 接続許可:
- 検査をクリアしたデバイスのみ、本来のネットワークセグメントに接続される。
3. メリット
- セキュリティ向上:
- 未知の脅威や脆弱なデバイスによる攻撃のリスクを低減。
- ネットワークの安定性:
- 不適切なデバイスによるトラフィック増加や障害を防止。
- ポリシー遵守の徹底:
- 社内規定に基づいた環境を強制的に実現。
4. 他の選択肢との違い
- リッチクライアント:
- 高性能なPCなどを使用して、アプリケーションの処理をクライアント側で行うモデルで、セキュリティ検査とは関係がない。
- シンクライアント:
- クライアント側の機能を最小限に抑え、処理をサーバ側で行うモデルで、検疫ネットワークの直接的な仕組みではない。
- 侵入検知:
- ネットワーク内での異常な通信や攻撃を検知する仕組みで、検疫ネットワークとは異なる。
- スパムフィルタリング:
- 電子メールの迷惑メールを検出して排除する技術で、ネットワーク接続時のデバイス検査とは関係がない。
まとめ
- 検疫ネットワークは、社内ネットワークのセキュリティを守るための重要な仕組みであり、デバイスが安全であることを確認した上で接続を許可する手順を提供します。
- 導入することで、セキュリティリスクを未然に防止し、安定したネットワーク運用を実現します。
参考資料
参考資料の該当ページです。
該当ページ 195
該当ページ 310
問題10 利用者認証プロトコル
出典:令和3年度第2回第6問(2)
解答
③
解説
1. EAPとは
- Extensible Authentication Protocol(EAP)は、PPP(Point-to-Point Protocol)の認証機能を拡張した認証プロトコル。
- IETF(Internet Engineering Task Force)により規格化されており、IEEE 802.1X規格において重要な役割を担っています。
- 無線LAN環境を含む多様なネットワークで、利用者認証のセキュリティを強化するために使用されます。
2. 主な用途
- 無線LAN(Wi-Fi):
- WPA2-EnterpriseやWPA3-Enterpriseのセキュリティ強化プロトコルとして採用。
- IEEE 802.1X認証:
- ネットワークアクセス制御(NAC)において、認証機能を提供。
- VPN接続:
- セキュアなリモート接続の認証プロセスで利用。
3. 特徴
- 柔軟性:
- 複数の認証方式(例: EAP-TLS, EAP-TTLS, PEAPなど)をサポート。
- セキュリティ:
- 通信経路やユーザ認証情報の保護を実現。
- 拡張性:
- 新しい認証方式を追加可能。
4. EAPが動作する仕組み
- サプリカント(クライアントデバイス):
- ユーザ認証を要求するデバイス。
- 認証サーバ(RADIUSなど):
- 認証情報を検証し、アクセスの可否を判断。
- 認証機関(認証スイッチまたはアクセスポイント):
- クライアントから認証サーバへの通信を仲介。
5. 他の選択肢との違い
- NAPT(Network Address Port Translation):
- IPアドレスとポート番号を変換する技術で、認証プロトコルではない。
- LDAP(Lightweight Directory Access Protocol):
- ディレクトリサービスへのアクセスプロトコルで、利用者認証とは異なる。
- UDP(User Datagram Protocol):
- コネクションレス型の通信プロトコルで、認証とは無関係。
- SMTPAUTH:
- メール送信時に認証を行う仕組みで、IEEE 802.1Xの利用者認証には関係しない。
まとめ
- **EAP(Extensible Authentication Protocol)**は、IEEE 802.1X規格の利用者認証プロトコルとして、多様な認証方式に対応するセキュリティ強化手段です。
- 特に無線LANやネットワークアクセス制御(NAC)における信頼性と柔軟性の高い認証基盤として重要です。
参考資料
参考資料の該当ページです。
該当ページ 196
該当ページ 不明
問題11 暗号化送信
出典:令和4年度第2回第6問(3)
解答
⑤
解説
解説: SSH(Secure Shell)
1. SSHとは
- **SSH(Secure Shell)**は、ネットワークを介して機器を遠隔操作するためのプロトコル。
- 安全性を確保するため、通信内容を暗号化してデータの盗聴や改ざんを防ぎます。
- 主にリモートサーバの管理や機器設定に利用されます。
2. 特徴
- 暗号化:
- パスワードや操作コマンド、転送するデータすべてが暗号化されます。
- セキュリティ:
- 公開鍵暗号方式や共通鍵暗号方式を組み合わせて、安全な通信を実現。
- 多機能性:
- リモートログインだけでなく、ファイル転送(SCP, SFTP)やポート転送も可能。
3. 使用例
- リモートサーバ管理:
- サーバの起動・停止や設定変更などを遠隔地から安全に実行。
- セキュアなファイル転送:
- SSHを利用したSCP(Secure Copy Protocol)やSFTP(SSH File Transfer Protocol)でファイルを安全に転送。
- トンネリング:
- SSHトンネリングを利用して、安全な通信経路を確保。
4. 他の選択肢との違い
- rlogin:
- リモートログインプロトコルですが、通信が暗号化されていないため、セキュリティに問題があります。
- DHCP:
- IPアドレスを自動的に割り当てるプロトコルで、リモート操作には関係しません。
- RSA:
- 暗号化アルゴリズムの一種であり、SSHの一部で使用されることがありますが、プロトコルではありません。
- Telnet:
- リモート操作用のプロトコルですが、通信が暗号化されておらず、セキュリティに欠けます。
5. まとめ
- **SSH(Secure Shell)**は、ネットワーク上で安全なリモート操作を可能にする暗号化プロトコルです。
- Telnetやrloginに代わる、安全性の高いリモート管理手段として広く利用されています。
参考資料
参考資料の該当ページです。
該当ページ 197
該当ページ 307
問題12 ログ情報
出典:令和5年度第1回第6問(3)
解答
③
解説
1. Syslogとは
- Syslogは、UNIX系OSで一般的に使用されるログ管理のプロトコルおよびシステム。
- システムイベントやアプリケーションログなどを記録し、管理者がログをモニタリング・分析できるようにする仕組みを提供します。
2. 特徴
- リアルタイム転送:
- ログ情報をリモートホストにリアルタイムで転送可能。
- 遠隔のログサーバに集中して記録することで、システムの一元管理が可能。
- 通信プロトコル:
- 一般的にはUDP(ポート番号514)を使用して転送。
- 転送時に軽量であるが、信頼性の確保が必要な場合にはTCPやTLSを使うことも可能。
- ログの階層化:
- ログを**施設(Facility)と重要度(Severity)**に分類し、適切に整理・記録。
3. Syslogの構成要素
- Syslogクライアント:
- ログを生成して送信する側のデバイスやアプリケーション。
- Syslogサーバ:
- 受信したログを保存・分析するためのサーバ。
- フォーマット:
- 標準フォーマットでログを記録し、互換性を確保。
4. 他の選択肢との違い
- MIB:
- SNMP(Simple Network Management Protocol)で使用される情報データベースで、ログ管理には使用しません。
- イベントログ:
- Windows環境で使用されるログ管理機能。
- SNMP:
- ネットワーク機器の監視・管理プロトコルで、ログの記録とは直接関係しません。
- アプリケーションログ:
- 特定のアプリケーションが生成するログですが、Syslogのような標準化されたプロトコルではありません。
5. まとめ
- Syslogは、UNIX系システムで利用される標準的なログ管理プロトコル。
- リアルタイムのログ転送と階層的な管理が可能であり、システム運用やセキュリティ調査の重要なツールです。
参考資料
参考資料の該当ページです。
該当ページ 198
該当ページ 306
問題13 サーバの借用
出典:令和5年度第1回第6問(5)
解答
④
解説
1. ホスティングとは
- ホスティングとは、情報通信事業者(ISPなど)が保有するサーバやネットワーク機器の一部または全部を借りて、自社の情報システムを運用する形態。
- ユーザはサーバを購入したり、設置・運用したりするコストを削減できるため、手軽にシステムを構築できます。
2. 特徴
- 提供形態:
- サーバのハードウェアやOS、基本的なソフトウェアが提供される。
- ユーザはアプリケーションやデータを設定して運用を行う。
- 運用負担の軽減:
- サーバ管理やインフラ整備は事業者側が担当するため、ユーザは運用の負担を減らせます。
- セキュリティ:
- 情報通信事業者による適切な物理的・技術的セキュリティ対策が施される。
- スケーラビリティ:
- 必要に応じてサーバリソースを拡張・縮小可能。
3. 他の選択肢との違い
- アライアンス:
- 複数の企業が協力してビジネスを行う提携形態。サーバの借用とは無関係。
- ハウジング:
- 情報通信事業者のデータセンターに自社で所有するサーバを設置し、管理を行う形態。
- ロードバランシング:
- ネットワークやサーバにおいて負荷を分散させる技術のこと。
- システムインテグレーション:
- 顧客の要望に応じて、情報システムの設計・構築・運用を包括的に行うサービス。
4. まとめ
- ホスティングは、情報通信事業者のサーバを借用し、自社システムを運用する形態。
- 自社でハードウェアを用意する必要がなく、運用コストを抑えながらも、セキュリティや信頼性を確保できるのが特徴です。
参考資料
参考資料の該当ページです。
該当ページ 199
該当ページ 294
問題14 入退室管理
出典:令和5年度第2回第6問(5)
解答
②
解説
1. アンチパスバックとは
- **アンチパスバック(Anti-Passback)**は、入退室管理システムにおいて、適切な入退室の記録が行われることを強制する機能。
- 入室記録がないまま再入室、退室記録がないまま再退室を試みた場合、その動作を無効にします。
2. 機能の目的
- 不正な入退室を防止:
- カードの使い回し(例: 他人に渡して不正に入室)を防ぎます。
- ピギーバック(他の人に続いて不正に入室する行為)の抑止効果もあります。
- 監視の厳密化:
- 特定エリア内にいる人物を把握するため、入退室の整合性を維持します。
- セキュリティ強化:
- 適切な記録管理により、エリア内のセキュリティレベルを向上させます。
3. 他の選択肢との違い
- トラッシング:
- 記憶媒体から情報を盗み取る攻撃手法の一つ。
- ピギーバック:
- 他の人に続いて正規手続きなしに不正に入室する行為。
- ゾーニング:
- 建物やエリアをゾーンごとに分けて管理するセキュリティ手法。
- インターロック:
- エリア間の二重扉などで、不正侵入を防ぐ仕組み。
4. まとめ
- アンチパスバックは、入退室管理における整合性を確保する重要な機能です。
- この仕組みを導入することで、入退室履歴を正確に記録し、エリア内外の人物の把握や不正防止が可能となります。
参考資料
参考資料の該当ページです。
該当ページ 199
該当ページ 不明
問題15 リスク分析手法
出典:令和4年度第1回第6問(5)
解答
②
解説
1. ベースラインアプローチとは
- ベースラインアプローチは、既存のガイドラインや標準(例: ISO/IEC 27001)を参照して、組織として確保すべき最低限のセキュリティレベルを設定し、それを基準に対策を講じるリスク分析手法です。
- 主に、以下の目的で使用されます:
- セキュリティ基準の統一:
- 組織内で一貫性のあるセキュリティ対策を確保。
- 抜けや漏れの防止:
- 事前に設定した基準に基づき、全体をカバーするセキュリティ対策を構築。
- セキュリティ基準の統一:
2. アプローチの手順
- 基準の参照:
- ガイドライン(例: ISO標準、NISTフレームワーク)や業界ベストプラクティスを参考に基準を設定。
- セキュリティレベルの策定:
- 業務内容やリスクの特性を考慮し、基準に基づいて必要なセキュリティ対策を抽出。
- 管理策の適用:
- 組織全体で基準を満たすために必要な管理策を実装。
- 補強:
- 対策に漏れが無いかを確認し、不足箇所を強化。
3. 他の選択肢との違い
- 非形式的アプローチ:
- 一般的な経験や知識に基づいてリスクを判断する手法。ベースラインアプローチのように標準的な基準に依存しない。
- 組合せアプローチ:
- ベースラインアプローチと詳細リスク分析を組み合わせた方法。
- 詳細リスク分析:
- 対象となるリスクを個別に詳細分析し、リスクの可能性や影響を評価して対策を立案。
4. メリットとデメリット
- メリット:
- 標準化された基準を使用するため、導入が容易。
- 一貫性のある対策が可能。
- 他の組織と比較しやすい。
- デメリット:
- 組織独自のリスクやニーズに十分対応できない場合がある。
- 特定の基準に依存しすぎると柔軟性に欠ける。
5. まとめ
- ベースラインアプローチは、標準的なガイドラインを基にセキュリティ対策を構築する方法で、特に導入の初期段階や基礎的な対策を整備する際に効果的です。
- 組織の規模やリスク特性に応じて、他のアプローチと併用することで、より実践的なセキュリティ対策を実現できます。
参考資料
参考資料の該当ページです。
該当ページ 203
該当ページ 311
参考資料の該当ページです。