案 2 は時間がかかるのであとにする。
2-3 2012年度春 午後 II 1 インターネット向けサーバの災害対策
設問1について、次の文面さえわかればよい。
サービス管理 Web サーバと PC のブラウザの間は暗号化のために [ a ] 通信を使用している
(機器の)遠隔操作には通信の暗号化が必要であり,TELNET や FTP ではなく [ b ] を用いている
[ a ] は https と書いたが、解答例は HTTP over SSL または SSL ということである。残念。
[ b ] は ssh であり、これはよい。
ちなみに、私が加入している朝日ネットでは、ホームページのアップロードに ssh は使えない。
もう一つ、私が加入しているレンタルサーバー会社の inetd は、使える
(というより、telnet は数年前から使えなくなった)。
設問2 (1) は、<FW-A (ファイアウォール)と [ c ] のログを調査したところ,
X ウイルスの活動がなかったことが確認できた。>とある。
FW-A と同じ、I システムにあるサーバのうちからどれか書けばよい。
設問2 (2) は、FW-A で調べる対象を問う。X ウイルスの挙動を書けばよい。
設問2 (3) は、ウイルス検知のために行なうべきフルスキャンをPCに対して行うとき、確認できない場合を問う。
私は「電源を入れていないPCがある」まではわかったが、もう一つ「ネットワークにつながれていないPCがある」
までは思いつかなかった。
設問2 (4) は、Web メールをどのように使った場合 PC を特定できないかを問う。他人の PC を借りて Web メールを読む、
というのは気付かなかった。確かに、出張者は他人の PC や共通利用 PC で Web メールを見ている。
設問3 (1) は、外部メール DR (Disaster Recovery) サーバからインターネット上のメールサーバに転送したメールが、
SPF
によって迷惑メールと判定される可能性があることを踏まえ、
この可能性を排除するために A 社のドメイン名のメールを送信することが許可されるサーバーの IP
アドレスを TXT レコードに登録しておくべきサーバを問うている。外部メール DR サーバと内部メール
DR サーバと答えたが、正しくは外部メールサーバと外部メール DR サーバであった。それはそうだ。
設問3 (2) は、外部メール DR サーバから転送されたメールを SPF によって迷惑メールと判定する条件を尋ねている。
私にはわからないので、表 3 を見て、「内部メール DR サーバを経由して転送されたメール」と答えた。
正しくは、<参照する DNS サーバのキャッシュに切替前の情報が保持されている>であった。
確かにそうなのだが、条件というと通時的に(いつも)そのような条件があると思い込んでいる。
実は、この問題文が、③DNS の設定変更の直後は とあることに気付いていた。
ならば、条件というより、どのような場合か、と聞いてほしかった。
設問3 (3) は、(2) がわかっていれば、「キャッシュ削除を依頼する」と書けばいいのではないかと思った。
正しくは、<プロキシDRサーバからサービス管理Webサーバへの通信を許可するように FW-Iの設定を追加する>であった。
これは、きちんとみないとわからない。(2) とは関係ないのだ。
設問4 (1) は、これはカンニングしたのだが、「画像は最小限として、テキスト情報を優先する」とかすればよさそうだ。
設問4 (2) は、次の事象への対策を問うている。④災害時は,情報収集の手段としてインターネット上の Web
サーバへのアクセスを認めるが,図2の状況が発生しないように,
プロキシサーバ及びプロキシ DR サーバの機能を用いて対応する
これを見ると、ニュース動画へのアクセスが多いとある。動画はトラフィックが多いため、閲覧を禁止すべきだ。
そのようにかけばいいのではないか。
しかし、解答は「フィルタリングするファイル種別に動画を追加する」だった。
これは「ニュース動画などの動画コンテンツをフィルタリングしてA社内から閲覧できないようにする」
という意味だった。ならば、いいのかな。ただ、フィルタリングということばを使うのがよさそうだ。
つまり、フィルタリングというのは「閲覧禁止」と同義ということなのだ。
設問 5 (1) 外部メール DR サーバの起動後、メールの転送を開始するまでに間に実施すべきことを尋ねている。
よくわからないが、バックアップを書けばいいのかな、と思う。
正答は、<迷惑メール定義ファイルを最新にする>だった。これは気が付かなかった。困った。
設問 5 (2) I システムの復旧について、I システムの機器に関する情報セキュリティ対策だが、
ウイルス定義ファイルをきちんとダウンロードしておくことだろうか。
正答は、<I-DR システムの機器だけに行った設定の反映及び最新の修正プログラムの適用を,I システムの機器に行う>
これも言われてみればなるほどだが、書けない。
3. 時事
3-1 Open SSL の脆弱性
米国時間の 2014年4月7日、最近 Open SSL の一部のバージョンで、
秘密鍵の漏えいなどにつながる恐れのある深刻な脆弱性が発見された。
Open SSL はオープンソースのSSL/TLS暗号化ライブラリである。
私自身は Open SSL を使うプログラムを作ったことはない。
しかし、自分で wget をコンパイルするときは ssl のライブラリが必要となる。
このとき OpenSSL を使うことになるので気になった次第である。
ちなみに、SSL は Secure Socket Layer、TLS は Transport Layer Security の略である。
TLS が正式名称であるが、歴史的な都合で SSL が使われる場合が多い。
4. 試験を受けての感想
2014年4月20日、情報セキュリティスペシャリストの試験を受けてきた。
場所は埼玉県さいたま市見沼区にある芝浦工業大学大宮校舎である。
最寄り駅は宇都宮線の東大宮駅で、そこから歩いて 20 分ほどかかる。
今回は埼玉県を受験地で選んだのは苦い経験を思い出したからだ。
受験地の希望を東京で申し込んだら、指定されたのは国立駅にある専門学校だったからだ。
そこで埼玉県を選んだら近くなるのではないかと期待したが、
東大宮駅は越谷市にいる私には不便だった。
一番私にとってありがたいのは草加市にある獨協大学で、次に越谷市にある文教大学だが、
仕方がない。
ちなみに、情報処理試験で過去行った場所は、東京大学、早稲田大学(理工学部―当時)、
上智大学、明治学院大学、青山学院大学(世田谷キャンパス)などである。
さて、当日は、無事受験地に到着し、9:30 から 16:30 までの長丁場の試験を受けた。
まず午前 I は高度情報処理技術者に共通の問題である。受けた感想では、
ほとんどの問題がわかったが、3つほどわからない問題が残った。
特に問2の有限オートマトンの問題は最後まで不明だったが、残り 10 分でわかった。
次に午前 II は情報セキュリティスペシャリスト用の選択問題である。こちらは午前 I より手強く、
何を言っているのかわからないものもあった。ここで足切りされてはかなわないのだが、考え抜くか、
運を天に任すかで時間を費やした。
昼休みを経て午後 I の問題があった。問題を見て問1と問2を選択したのだが、
問1を選択したのは失敗だったかもしれない。思ったほどぴたりとあてはまる解答が導けなかった。
最後は午後 II である。問 1 と問 2 を見比べた。問 1 は金融・カード系、問 2 は生産管理系で、
まだ生産管理系のほうがなじみがある。ということで迷わず問 2 を選んだ。思いのほかこちらはなんとかなりそうで、
埋めるだけ埋めてきた。徐々に襲ってきた生理現象もあり、少し時間を残して退室した。
帰宅して、
http://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2014h26.html#26haru
を見て答え合わせをした。午前 I は間違えたのは1問だけだったが、午前 II の25 問中正答は 17 問しかなかった。
足切りされなかったということでよしとしよう。
午後の問題の正解は6月に発表される。
午前 II で間違えた問題を復習する。
CRL には、有効期限内のディジタル証明書のうち、
破棄されているディジタル証明書と破棄された日時の対応が提示される。
XML 署名において署名対象であるオブジェクトの参照を指定する表記形式は URI である。
従量課金を利用した EDoS 攻撃とは、
クラウドサービスのような利用規模に応じて課金する方式のサービスの場合、
外部から無用な負荷をかけることで、契約者に対し間接的に経済的損失を与えることができる。
脆弱性検査で対称ホストの対象ポートを判定する方法はいくつかある。
https://www.ipa.go.jp/security/fy14/contents/soho/html/chap1/scan.html
を参照してほしい。ここの SYN スキャンと UDP スキャンの項を見るとよい。
無線 LAN のセキュリティ対策のうち、 WPA2 では、IEEE 802.1X
の規格に沿った利用者認証及び動的に更新される暗号化カギを用いた暗号化通信を実現できる。
その後の通知を見たら、結局午後 1 の点数が足りず、不合格だった。
5. 終わりに
ネットワーク図
ネットワーク構成は、ASCIIsvg を使って描いている。
参考書
ほとんどが試験対策本である。
まりんきょ学問所 >
コンピュータの部屋 >
システムの部屋 >
情報セキュリティ
MARUYAMA Satosi