HOME»情報処理安全確保支援士掲示板»令和5年春期試験 午後Ⅰ試験【問3】
投稿する

令和5年春期試験 午後Ⅰ試験【問3】 [1121]

 管理人(No.1) 
令和5年春期試験 午後Ⅰ試験【問3】についての投稿を受け付けるスレッドです。
2023.04.16 00:03
りょんさん(No.2) 
バチバチ簡単じゃったな。
満点いける(気がする)
2023.04.16 14:10
やきとりさん(No.3) 
とりあえず、アイウでお願いしたいです??
2023.04.16 17:34
フェネさん(No.4) 
アイウと書いて不安になりましたw
2023.04.16 17:41
カレーさん(No.5) 
午後Ⅰが、確かに簡単で午後Ⅱで死にました
2023.04.16 18:00
みなとさん(No.6) 
割と簡単だったと聞きましたが、全然解けず。。。。
問3(5)って皆さんどう書きましたか?
2023.04.16 19:01
詰んださん(No.7) 
この投稿は投稿者により削除されました。(2023.04.16 19:11)
2023.04.16 19:11
みなおさん(No.8) 
問3-(5)は以下にしました。そこそこあってる見込みです...

あ 4
い 3
j https://△△△-a.jp/
m 外部ストレージサービス
k 研究開発部の従業員
n 全従業員
l 許可
o 禁止
2023.04.16 19:10
ラフさん(No.9) 
問3(5)
あ:4
j:https://△△△-a.jp
k:研究開発部の従業員
l:許可

い:3
m:外部ストレージサービス
n:研究開発部以外の従業員
o:禁止

としました。
2023.04.16 19:10
フェネさん(No.10) 
CASBを「キャッサバ見える」と覚えてて命拾いしたw

【設問1】
(1) a:ア  b:イ  c:ウ
(2) Lサービスの送信元制限によって社外からのアクセスが拒否されたから(みたいなことを書いた)
【設問2】
(1) d:ア  e:ウ  f:イ
(2) g:イ
【設問3】
(1) クラウドサービスへの通信はPサービスを中継し本社を通さない(みたいなことを書いた)
(2) 送信元制限機能に営業所のUTMのグローバルIPアドレスを送信元として追加する
(3) イ
(4) h:6  i:2
(5)
あ:4  j:https://△△△-a.jp/  k:業務で必要な最小限  l:許可
い:3  m:外部ストレージサービス  n:全て  o:禁止
2023.04.16 19:18
慌てん坊さん(No.11) 
3(5)、“あ”と“い”の内容を逆に書いてしまったんですが、部分点無しの0点ですかね
2023.04.16 19:36
たにとさん(No.12) 
設問1
(1)アイウ
(2)Lサービスの送信元制限機能により送信元が本社のUTMに限定されているから。

設問2
(1)アウイ
(2)イ

設問3
(1)本社プロキシサーバでなく、各営業所のPコネクタを経由する。
(2)各営業所のUTMのグローバルIPアドレスを送信元IPアドレスとして追加する。
(3)ア
(4)h:6 i:2
(5)
あ:4
j:https://△△△-a.jp/
k:研究開発部の従業員
l:許可
い:3
m:外部ストレージサービス
n:全て
o:禁止
2023.04.16 19:41
たにとさん(No.13) 
>慌てん坊さん
あといが逆だとSaaS-aも使えなくなってしまうので、満点ではないですね。
あの行といの行のそれぞれの内容が全て合っていれば部分点くれるかも、くらいの希望的観測になるかと。
2023.04.16 19:52
やきとりさん(No.14) 
<設問1>
(1)アイウ
(2)送信元制限機能で本社以外かrのアクセスを拒否する設定としているから
<設問2>
(1)ウイア
(2)イ
<設問3>
(1)Pコネクタ経由でインターネットへ開くyセスする
(2)PサービスのIPアドレスを追加する
(3)(ア)
(4)6、2
(5)
あ:4
j:SaaS-a
j:業務で必要な最低限の
l:許可
い:4
m:saaS-a以外
n:全て
o:拒否

6割行きたいンゴね。。
2023.04.16 20:05
あいあいおいさん(No.15) 
問3の(3)はどうしてアなのでしょうか。
2023.04.16 20:23
さくおさん(No.16) 
設問3
1)プロキシを経由せずLサーバへアクセスする

表2 要件1で本社のインターネット回線を逼迫させないとあるので、本社を経由しない見直し案である必要があると思いました。
2023.04.16 20:28
たにとさん(No.17) 
>あいあいおいさん
スマートフォンを支給する旨の記載もないので、最初はイかと思っていました。
しかし、Pサービスのマルウェアスキャン機能を使用する前提だと話が違います。
マルウェアスキャン機能によりTLS通信の終端はPサービスになるので、PCにクライアント証明書を組み込んでもLサービスに届かなくなります。
2023.04.16 20:31
やきとりさん(No.18) 
ごめんなさい。わからずサイコロ振りました笑。TLSクライアント認証は証明書入れる点で敷居がちょっと高くなるのかな?とも。。
2023.04.16 20:32
semi0808さん(No.19) 
私も最初イかと思っていましたが、最後の最後にスマホの支給があることに気づきました。

最初のページの4行目あたりです
2023.04.16 20:47
あいあいおいさん(No.20) 
やきとりさん
そうなのですね。

たにとさん
勉強になります。ありがとうございます。
2023.04.16 20:47
たにとさん(No.21) 
>Q社の従業員にはPC及びスマートフォンが貸与されている。
スマートフォン貸与されてたのか!?!?!?
2023.04.16 20:49
ぷるりんさん(No.22) 
お疲れ様でした。
記述が全般的に微妙ですね・・・

■設問1
(1)a.ア b.イ c.ウ
(2)送信元制限機能で本社UTMのIPアドレスのみをアクセス許可しているから(※自信無し)

■設問2
(1)d.ア e.ウ f.イ
(2)g イ

■設問3>
(1)Pコネクタからインターネットにアクセス可能にする(※自信無し)
(2)送信元制御機能で多要素認証を動作設定し、多要素認証機能を有効にする(※自信無し)
(3)ア
(4)h.6 i.2
(5)あ.4
   j.https://△△△-a.jp/
   k.業務で必要な最低限の(※自信無し、多分「研究開発部」)
   l.許可
   い.3
   m.ニュース、ゲーム、外部ストレージサービス(※自信無し)
   n.SaaS-a,SaaS-b,SaaS-c,SaaS-d(※自信無し、多分「全従業員」)
   o.禁止
2023.04.16 20:49
YabeJapanさん(No.23) 
久しぶりの試験だったので、丁寧に解いていたのですが、
時間が足りなくなってしまいました(最後の方は時間をかければ解けそうだったのでもったいない)。

設問3の(1)(2)でかなり時間を掛けてしまいました。
営業所からSaaSに向かう通信がどういう経路か読み解ず、さらに表2と表4が対応していることを理解したときには時遅しでした。
おそらく通信経路は、「営業所→Pサービス→Lサービス→SaaS」ではないかなと思います。

設問3-(3)
(ア)にしました。
すごく迷ったのですが、従業員に「従業員にPCおよびスマートフォンが貸与されている」という記述があったこと。また、PサービスでTLS通信が復号化されてしまうので、TLSクライアント認証は適さないと判断しました。
2023.04.16 20:58
たにとさん(No.24) 
本社のプロキシサーバがPコネクタに置き換わっていることがポイントかと思いますが、図を並べられるだけだと分かりにくかったですね
2023.04.16 21:03
おじさんさん(No.25) 
皆さんお疲れ様でした。
午後1が時間なさすぎて死にました。
またよろしくお願いします。
2023.04.16 22:02
太古の力さん(No.26) 
TLSクライアント認証にしました。理由は、RーPCのみの接続にがする必要があるのでは?
ワンタイムにすると、個人PCからもつながるのではないかと。
2023.04.16 23:33
びびさん(No.27) 
最後の問題、あといを逆に書いたのですが、SaaSa以外を全て禁止、その後SaaSaを許可としました。
部分点あればいいなあ
2023.04.17 06:11
たけしさん(No.28) 
問3-(5)
URLと利用者IDの欄は、どういう答え方をして欲しいのか分からなくて困りました。
なんか今回は他にも首を傾げる問題文が多かったような。
2023.04.17 08:06
かわさきさん(No.29) 
設問3(3)について、正解が(あ)の場合、どのサーバがワンタイムパスワードを発行するのでしょうか。認証サーバ?
2023.04.17 08:30
shumayskyさん(No.30) 
k 研究開発部の従業員が図1に書いてるって、すっぽり見落としです
最小限の利用者IDは設定としては不十分だよなぁ
2023.04.17 09:49
何となくこの問いはさん(No.31) 
SASEを導入するノウハウを問われている感じがしました。
SWGかな?とも感じたのですがCASB機能もあるし。
問3(5)をどう書けば良いのかわからなかったけど、
全社員にマルウェアスキャンをできるようにし、
リモートの利用者が本社のサーバにアクセスできるようにする、
と解答したような記憶(あいまい)があります。
2023.04.17 10:44
受からないかなさん(No.32) 
こんな解答をしたと思います…
最後の方はだいぶ時間がなくて。どうですかね。

【設問1】
(1) a:ア  b:イ  c:ウ
(2) 顧客が設定したI Pアドレス以外からのアクセスは送信元制限機能により拒否されるから
【設問2】
(1) d:ア  e:ウ  f:イ
(2) g:イ
【設問3】
(1) 見直し後はPコネクタを経由して社外からアクセス可能となる
(2) 多要素認証機能を有効にする
(3) ア
(4) h:2  i:6
(5)
あ:3  j: 外部ストレージ k:営業部  l:許可
い:4  m https://△△△-a.jp/サービス  n:営業部  o: 許可

こちらの過去問道場のおかげで、
午前2は問題なく通ったので、ぜひ受かりたいです。
2023.04.17 20:15
さららさん(No.33) 
ITECの回答出ましたね。
設問3(3)は(イ)TLSクライアント認証らしいです...( °_° )
2023.04.18 19:14
フェネさん(No.34) 
でましたねー
まぁ、iTECとTACで全然ちがう回答だったりすることもあるので、明日以降も注視ですね。
2023.04.18 20:47
ラフさん(No.35) 
iTecの回答通りであれば、選択式および字句問題のミスは設問3(5)のnだけか…
記述もiTecと同じような事を書いた。
問2が4~5割くらいの感触でしたが、問3のおかげでカバーできたと信じたい。
2023.04.18 21:24
ラーメン二郎大好きさん(No.36) 
> 設問3(3)は(イ)TLSクライアント認証らしいです...( °_° )

うーん、「マルウェアスキャン機能でTLSを終端してしまっているのでクライアント証明書での認証はできない」ことを聞いている問題だと思ったんですけどねぇ・・・
2023.04.18 21:41
奈良BOTさん(No.37) 
クライアント証明書認証とTLS暗号化通信は共に証明書を使うだけで全く別ですよ。
クライアント認証は証明書を用い、ユーザーもしくはPC(マシン)認証に使います。
2023.04.18 22:37
ラーメン二郎大好きさん(No.38) 
> クライアント証明書認証とTLS暗号化通信は共に証明書を使うだけで全く別ですよ。

たとえばSSHのクライアント認証のようなアプリケーションレイヤーのことでしょうか。

この問題は「(イ)TLSクライント認証を行う方式」とあるので、TLSハンドシェイク時にクライアント証明書が使われる方式と理解しました。
2023.04.18 22:48
たにとさん(No.39) 
この投稿は投稿者により削除されました。(2023.04.18 23:15)
2023.04.18 23:15
たにとさん(No.40) 
状況的にはH31春午後Ⅱ問1の設問6(2)と同じですよね。この問題ではHTTPS復号機能のデメリットとして、クライアント証明書の提示が必要なWebサーバにアクセスできないことが挙げられています。
今回の午後Ⅰ問3の場合も、サーバとTLS通信しているのはPサービスになるので、Pサービス自身がクライアント証明書を提示できないという理由でイの方式は使用できないと考えます。

また、従業員にスマートフォンが貸与されているので、アの方式を積極的に否定できる材料も問題文中に見受けられません。
2023.04.18 23:16
うううさん(No.41) 
復号の部分は引っかかるのですが
アだとR-PC以外の任意のPCからログインできちゃいますかね…?
2023.04.18 23:41
たにとさん(No.42) 
確かに、要件2から接続先を本社・営業所・R-PCに制限しないといけませんね。
Lサービス連携機能の中に、「Lサービスからクライアント証明書の要求があった場合は、R-PCからクライアント証明書を受け取り、そのままLサービスに渡す」といったような仕組みが含まれるのかも。
要件として接続元制限が明記されているので、TLS終端よりそちらを優先して考えないといけなかったか…
2023.04.19 00:33
ラーメン二郎大好きさん(No.43) 
なるほど。

Pサービスの「Lサービス連携機能」にある「LサービスのSaaS連携機能及び多要素認証機能を用いて行うことができる」という文言は、「TLSは終端するけど、多要素認証機能のTLSクライアント認証はできるようにいい感じにやってくれる」ってことなんですね・・・。
2023.04.19 00:45
コモドオオトカゲさん(No.44) 
設問5の「あ」と「い」を逆に書いてしまいました...もったいない

それぞれの内容は合っているのですが
この場合って部分点とかもらえますかね??
2023.04.19 00:49
たにとさん(No.45) 
>コモドオオトカゲさん
「番号の小さい順に最初に一致したルールが適用される」と明記されているので、あといを逆にするとSaaS-aも使えなくなってしまいます。
なので、部分点貰えればラッキーくらいかと思います。
2023.04.19 01:13
さん(No.46) 
設問1(2)を、Lサービスの多要素認証が必要だから、みたいに書いたんですが、部分点もらえないですかね?
2023.04.19 07:52
たにとさん(No.47) 
>初さん
設問1の時点では多要素認証機能は無効になっているので、厳しいと思います。
2023.04.19 09:11
びびさん(No.48) 
最後の問題について、先にSaaS-a以外の外部サービスを拒否、その後SaaS-aを許可とした場合でもいいのかなと思うのですがどうでしょう??
2023.04.19 21:09
たにとさん(No.49) 
>びびさん
研究開発部の従業員以外はSaaS-aも使ってはいけないので、その点が充足できるかによると思います。
2023.04.19 21:25
びびさん(No.50) 
なるほど。
私の回答は、まず全従業員によるSaaS-a以外の外部サービスを禁止する。
その後、研究開発員によるSaaS-aを許可にする、としました。
2023.04.19 21:35
PWNさん(No.51) 
要件5に対する設定 の問題については既に回答いただいている方もいらっしゃいますが、
注記に「番号の小さい順に最初に一致したルールが適用される」とある為、
許可の設定を最初に記述してあげないと、禁止ルールALL DENYに全て弾かれ研究開発員の方々もSaaS-a利用ができなくなると存じます。

よって最初に番号1に部分許可、番号2にALL DENYの記述をする必要があるかと。
2023.04.19 21:51
mzさん(No.52) 
要件5(設問3)の回答に関しては、いわゆるホワイトリスト方式で、どのSC参考書を見ても許可するもの/URLが表の上部、最下段にそれ以外を拒否(禁止)とする表記が基本ルールで部分点も無い気がします(参考書ではFWに関してですが)
2023.04.19 22:07
びびさん(No.53) 
そうなんですねー、、知識不足でした。
次またがんばります!
2023.04.19 22:20
たにとさん(No.54) 
>まず全従業員によるSaaS-a以外の外部サービスを禁止する。
>その後、研究開発員によるSaaS-aを許可にする
これでは研究開発部以外の従業員によるSaaS-aへのアクセスに対するルールがないため、研究開発部以外の従業員もSaaS-aにアクセスできてしまうと考えられます。
「SaaS-a以外の外部サービス」の定義方法も不明であることを踏まえると、不充分な回答だと思います。
2023.04.19 22:26
橙色文書さん(No.55) 
フィルタリングルールに該当しない場合の動作は不明ですので、全てが明示されている設定にするべきでしょう。

ルールの順番が逆などでサービス不能になる解答は不正解、許可ルールや禁止ルールが不完全であれば部分点になるかと思います。
ただし、午前の通過率が高く採点対象者が多い場合では、完全な正解でなければ得点できないかもしれません.
2023.04.20 20:56
destiny25さん(No.56) 
試験当日焦りすぎておかしなルール書いてしまったのが致命的すぎる…(;^ω^)
あ:3 、外部ストレージサービス、研究開発部の従業員、許可
い:4 、https://△△△-a.jp/、研究開発部の従業員、許可
----
「い」が「あ」に来るべきだけど、別に絞ってるわけじゃないから「あ」とみなして部分点くれたりしないかな。。
2023.04.20 21:15
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014- 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop