詳しい解説 | セキュリティスペシャリスト　22年春午後Ⅱ-問題1

セキュリティスペシャリスト試験の22年度春　午後Ⅱ問題1の主催者発表解答を紹介します。またオリジナルの解説も掲載します。

スポンサードリンク

主催者解答解説

設問1 (1) SSHサーバの公開鍵が正しく、なりすましがないことこの問題はSSHクライアントがSSHサーバに接続したときに、なぜフィンガープリントを確認する必要があるのかを問う問題です。

SSHクライアントはネットワーク先のSSHサーバが正しいサーバであるか確認する必要があります。なぜなら、中間者攻撃(Main-in-the-Middle Attack)によりなりすましのSSHサーバに接続していないる可能性があるためです。

よって初回接続はSSHサーバの公開鍵のfingerprintが表示され、事前に確認しておいた(管理者等から受け取った)fingerprintと同一であることを確認する必要があります。初回接続に確認されれば、そのfingerprintはknown_hostsとしてSSHクライアント側に保管されます。次回からは自動的に比較が行われますので、普段使用しているSSHサーバと異なるサーバに接続した場合には警告が表示されるはずです。

(2) 【変更箇所】
送信元
【変更後の内容】
契約通信サービスにおいて割り当てられるY社専用のIPアドレス表1のFWのルール No12 を見ると「DMZへのSSH通信のFROMはすべて」と記載されており、すべてのIPアドレスがDMZ内へSSH通信することが可能であることが分かります。

いくらパスワードで保護（その後公開鍵方式に改善）しているとはいえ、インターネットから不特定多数のアクセスを許可するのはセキュリティ上危険です。接続元のIPアドレスが限定されているため、FWでその通信のみ許可するべきです。

設問2 (1) 【a】DNSSEC
【b】デジタル証明書 DNSSECはDNSのセキュリティを強化した拡張方式です。権威サーバからの応答に電子署名を行います。鍵の配布、権威サーバ、キャッシュサーバ両方のDNSSEC対応など課題が多く簡単には移行できないようです。

(2) アクセスしたいWebサーバとは別のサーバにアクセスしてしまう。 DNSキャッシュポイゾニングの結果、クライアントDNSサーバにIPアドレスを要求した場合、悪意のIPアドレスが戻ってきてしまいます。

(3) 送信元ポート番号を固定する設定 DNS問い合わせ時のソースポートをランダムにする（ソースポートランダマイゼーション）の設定が有効です。この場合、攻撃者はこのランダムにされたポート番号で偽装パケットを送付する必要があり、攻撃の成功の可能性がかなり低減します。ただしパケットを盗聴された場合ソースポート番号が判明してしまうため、絶対の対策ではありません。

設問3 (1) 【C】送信ドメイン認証 Sender Policy Frameworkは「送信ドメイン認証」技術です。

(2) オカタログWebサーバ、及び受注Webサーバのドメイン名を使用したメールの送信は許可されません。よって -all を指定したすべてのメール送信を禁止したオが正解となります。

(3) 受信者メールアドレスのドメイン名がy-sha.co.jp メールサーバ1ではオープンリレーが防止されている。よってy-sha.co.jp宛て以外のメールはすべて拒否する。

(4) メールサーバ1から送信される正常なメールが、ブラックリストを利用しているメールサーバで受信拒否される。自社のメールサーバがブラックリストに登録されてしまうと、「自社以外のブラックリストを使用しているメールサーバ」では自社のメールサーバからの送信が拒否されてしまいます。

設問4 (1) 非再帰的な問合せで、キャッシュ領域に保持されているY社管理ドメイン名以外の名前解決を行った場合オープンリゾルバは不特定多数のIPからの問合せにも応答してしまうDNSサーバです。また非再帰的（反復問合せ）で管理外のドメインの応答をしてしまう場合もオープンリゾルバに該当するようです。よって非再帰的問合せでY社管理ドメイン名以外を応答してしまう場合にオープンリゾルバと判断されます。

(2) (a)インターネット コンテンツサーバ・・・権威サーバであり、Y社管理ドメインに関して非再帰的問合せのみ回答
キャッシュサーバ・・・Y社内部からの再帰的問合せに対してインターネット上へ非再帰的問合せを行う。

ということで回答はインターネットとなります。

(3) 【f】Y社管理ドメイン名
【g】DMZ 表5の問題点は、すべての問合せ元からの非再帰的問合せに対して、Y社管理外のドメイン名に関しても回答してしまう点です。よってそれを除外するために以下のように分割します。

分割前（表5）：
すべて→非再帰的の問合せ→すべてのドメイン名

分割前（表6）：
すべて→非再帰的の問合せ→Y社管理ドメイン
DMZ→非再帰的の問合せ→すべてのドメイン名

スポンサードリンク

(*)解答は必ず主催者発表を参照してください。仮にこのページに記述に誤りがあった場合でも、いかなる人物、団体も時間的損失、金銭的の損失その他あらゆる損失の補償もいたしません。

[情報処理セキュリティスペシャリスト過去問題の解説一覧に戻る]

		主催者解答	解説
設問1	(1)	SSHサーバの公開鍵が正しく、なりすましがないこと	この問題はSSHクライアントがSSHサーバに接続したときに、なぜフィンガープリントを確認する必要があるのかを問う問題です。 SSHクライアントはネットワーク先のSSHサーバが正しいサーバであるか確認する必要があります。なぜなら、中間者攻撃(Main-in-the-Middle Attack)によりなりすましのSSHサーバに接続していないる可能性があるためです。よって初回接続はSSHサーバの公開鍵のfingerprintが表示され、事前に確認しておいた(管理者等から受け取った)fingerprintと同一であることを確認する必要があります。初回接続に確認されれば、そのfingerprintはknown_hostsとしてSSHクライアント側に保管されます。次回からは自動的に比較が行われますので、普段使用しているSSHサーバと異なるサーバに接続した場合には警告が表示されるはずです。
	(2)	【変更箇所】送信元【変更後の内容】契約通信サービスにおいて割り当てられるY社専用のIPアドレス	表1のFWのルール No12 を見ると「DMZへのSSH通信のFROMはすべて」と記載されており、すべてのIPアドレスがDMZ内へSSH通信することが可能であることが分かります。いくらパスワードで保護（その後公開鍵方式に改善）しているとはいえ、インターネットから不特定多数のアクセスを許可するのはセキュリティ上危険です。接続元のIPアドレスが限定されているため、FWでその通信のみ許可するべきです。
設問2	(1)	【a】DNSSEC 【b】デジタル証明書	DNSSECはDNSのセキュリティを強化した拡張方式です。権威サーバからの応答に電子署名を行います。鍵の配布、権威サーバ、キャッシュサーバ両方のDNSSEC対応など課題が多く簡単には移行できないようです。
	(2)	アクセスしたいWebサーバとは別のサーバにアクセスしてしまう。	DNSキャッシュポイゾニングの結果、クライアントDNSサーバにIPアドレスを要求した場合、悪意のIPアドレスが戻ってきてしまいます。
	(3)	送信元ポート番号を固定する設定	DNS問い合わせ時のソースポートをランダムにする（ソースポートランダマイゼーション）の設定が有効です。この場合、攻撃者はこのランダムにされたポート番号で偽装パケットを送付する必要があり、攻撃の成功の可能性がかなり低減します。ただしパケットを盗聴された場合ソースポート番号が判明してしまうため、絶対の対策ではありません。
設問3	(1)	【C】送信ドメイン認証	Sender Policy Frameworkは「送信ドメイン認証」技術です。
	(2)	オ	カタログWebサーバ、及び受注Webサーバのドメイン名を使用したメールの送信は許可されません。よって -all を指定したすべてのメール送信を禁止したオが正解となります。
	(3)	受信者メールアドレスのドメイン名がy-sha.co.jp	メールサーバ1ではオープンリレーが防止されている。よってy-sha.co.jp宛て以外のメールはすべて拒否する。
	(4)	メールサーバ1から送信される正常なメールが、ブラックリストを利用しているメールサーバで受信拒否される。	自社のメールサーバがブラックリストに登録されてしまうと、「自社以外のブラックリストを使用しているメールサーバ」では自社のメールサーバからの送信が拒否されてしまいます。
設問4	(1)	非再帰的な問合せで、キャッシュ領域に保持されているY社管理ドメイン名以外の名前解決を行った場合	オープンリゾルバは不特定多数のIPからの問合せにも応答してしまうDNSサーバです。また非再帰的（反復問合せ）で管理外のドメインの応答をしてしまう場合もオープンリゾルバに該当するようです。よって非再帰的問合せでY社管理ドメイン名以外を応答してしまう場合にオープンリゾルバと判断されます。
	(2)	(a)インターネット	コンテンツサーバ・・・権威サーバであり、Y社管理ドメインに関して非再帰的問合せのみ回答キャッシュサーバ・・・Y社内部からの再帰的問合せに対してインターネット上へ非再帰的問合せを行う。ということで回答はインターネットとなります。
	(3)	【f】Y社管理ドメイン名【g】DMZ	表5の問題点は、すべての問合せ元からの非再帰的問合せに対して、Y社管理外のドメイン名に関しても回答してしまう点です。よってそれを除外するために以下のように分割します。分割前（表5）：すべて→非再帰的の問合せ→すべてのドメイン名分割前（表6）：すべて→非再帰的の問合せ→Y社管理ドメイン DMZ→非再帰的の問合せ→すべてのドメイン名

詳しい解説 | セキュリティスペシャリスト 22年春 午後Ⅱ-問題1

詳しい解説 | セキュリティスペシャリスト　22年春午後Ⅱ-問題1