情報処理安全確保支援士(情報セキュリティスペシャリスト) 試験情報＆徹底解説

令和5年秋期試験   午後試験【問2】についての投稿を受け付けるスレッドです。

出たなかっぱ寿司問題

fwのnat機能の変更って何が正解ですか？？、、
来客用lanのnatきって、dhcpサーバにグローバルipを割り振ってもらうって書きましたがあってるかどうか、、、

私は新しいGIP取得してFWの新しいインターフェースに割り当てると書きました?

vlan10には別のGIPを割り当てる、かなぁ

帰りがけに気がつきましたがクライアント証明書に対応する空欄fは秘密鍵ですかね。
TPMから鍵ペア生成したことあるので鍵ペアと書いてしまいました。

来客用はプロジェクターへの無線接続のためだけだったりして。

NAT問題は、「来客用無線LANからインターネット宛はHTTPSの場合のみ通信を許可しNATを有効にする設定に変更する」って書いたんですが的はずれですかぬ。

私はNo.5さんと同じですね～

初っ端の空欄2つが、利用者ID、パスワードだったんだけど高度試験でそんなに捻りのない問題にするか？と思って数分固まってました
あと最後の方のDNSも
配点1点とかなのかな

普通に項番１のnatを無効にする旨書きました。
新しいSIM入り無線LANでどうせもう社内NW使わないですし、来客用NWを使う人がBサービスを利用する必要も無いですし。

設問からこれだ！って答えがなかなか決められず、難しかったです、、、。
設問1のc、dにはなにが入るのでしょうか。私が思いつくのはすでに表に記載されていて、ひらめきませんでした…

新しい無線LAN入れるかどうかの並列で検討されてる案なので、新しい無線LAN入れるのありきの回答は違うのでは？
NAT無効にすると来客用ネットワークからインターネット出られなくなるので、別グローバルIP割り当てなのかなと。

来客者用LANからの通信にはa1.b1.c1.d1以外のGIPをひもづけるみたいなこと書きました。
来客者用のAPからBサービスにアクセスできるのが問題点だったと思うので、、

NAT設定は別GIP設定が正解ぽいすね

この投稿は投稿者により削除されました。(2023.10.08 16:43)

最初vlanに別のgipを割り当てると書こうとしたのですが、問題がnatの設定を変更して、と書いてあったのでとりあえず項番1のナットをオフにしました

そうですね。「NATの設定を変更する」とありますから。
FWにおいてNATの変更は有効か無効しか無いですね。

来客用無線LANからインターネットへの通信時はa1.b1.c1.d1以外のIPアドレスに変換する、みたいな解答をしました

祀り上げて下さい
設問1から順に（記述は一言一句覚えてないのでニュアンスで）
・利用者ID
・パスワード
・このサーバ証明書の発行元の安全性が確認できない
・このサーバ証明書に対応する公開鍵がインストールされていない
・偽サイトにHTTPでアクセスした後HTTPSでリダイレクトされログイン画面が表示される
設問２
・個人で使用するメールアドレスをあて先に設定し、自ら外部共有リンクにアクセスする
・MACアドレス
設問３
・NTP
・秘密鍵
・外部に持ち出しできないように保管
・対タンパ性があり、外部から読み出しや持ち出しが困難なため
・来客用無線LANを送信元とする通信に対してNATを無効にするルールを現状の項番１より前に追加する
・DNS
・表３：1  表４：1と４

記述部分以外はanonymousさんと全て同じでした！
NATの件は、NATを無効にするとBサービス以外のインターネット接続もできなくなってしまうので誤りかと思います。
Bサービスは送信元アドレスを絞っていると文中にあるので、anonymousさんと詰んださんの回答の通り、「a1.b1.c1.d1以外のIPアドレスにNAT変換する」が正解になるはずです。

この投稿は投稿者により削除されました。(2023.10.11 21:33)

1
(1) 利用者ID,パスワード
(2)
このサーバ証明書は、信頼できない機関によって署名されています。
このサーバ証明書は、異なるFQDNに対して署名されています。
(3) 前もって正規のサーバにアクセスしHSTSを設定しておき、次回からのHTTPアクセスをHTTPSに強制的に変更する。
2
(1) 共有したいファイルと自分のメールアドレスを指定し上長承認申請を行う。
(2) MACアドレス
3
(1) RADIUS
(2) 秘密鍵
(3) 社員本人に取得されないように
(4)TPMには鍵を安全に保管する機能があるため。
(5) VLAN10からインターネットへのアクセス時はa1.b1.c1.d1と異なるIPを割り当てる。
(6) DNS
(7)
表3 1
表4 1,4

最初秘密鍵って書いた後鍵ペアって書き直してしまった
死にたい

eについてSSIDって書いてしまったし、設問3の1については全然違うプロトコルの、さらにポート番号を書いてしまったしで、こんな間抜けもいるなかで皆さんすごいです。

解答欄にズレがあったため、再投稿しました

1
(1)a利用者ID  bパスワード
(2)・サーバ証明書に記載されているFQDNと接続先のホスト名が一致しない
   ・このサーバ証明書は信頼された認証局から発行されたものではない
(3)HTTPでアクセスすると強制的にHTTPSでアクセスし、偽サイトのサーバ証明書が送られてくる。
2
(1)個人のメールアドレスを記載して上長に申請する
(2)MACアドレス
3
(1)RADIUS
(2)秘密鍵
(3)外部から読み書きできない
(4)業務PC以外のPCにクライアント証明書をインストールすることができない。
＞直接インストールしない旨の記載があるのでこの記述にしました
(5)来客用無線LANの送信元IPアドレスに対するNATを無効にする。
(6)DNS
(7)表3:1 
   表4:1,4

しかし問題選択の〇忘れてたような気がして発表日まで気が気ではないです。

Ssidで、同一ssid上同士で通信して業務pcと個人PCを繋げて接続だと思う
Macアドレスを設定、というのは設定ではなく偽装することになると思うので

> Ssidで、同一ssid上同士で通信して業務pcと個人PCを繋げて接続だと思う
> Macアドレスを設定、というのは設定ではなく偽装することになると思うので

インターフェースの、と書かれているため、SSIDではない気がしますね。無線LANの接続先、ならまだわかる気がします。

Windowsなどでも、MACアドレスの変更に対応しているので、不正なツールを使用しなくてもMACは変更可能です。詐称ではなく、変更という言葉を使用するのも、不自然ではないかなと思います。

業務用無線LANはMACアドレスフィルタリングされてるから普通に繋げても繋がらない。
だからMACアドレスを偽装してつなげるんやで

よく読んでみると、問題文では個人所有PCを従業員用無線LANについなごうとしていますが、従業員用無線LANはMACアドレスの制限がかかっているため、MACを変更しないと接続できませんね。

過去問で、MACアドレスを無線インターフェースに設定する問題はあったなぁ
EAPのUDPプロトコルは、RADIUS以外で認証系のUDP何がある？って少し焦った

NATの問題は、解答欄そんな文字数いるの？！って感じ

DNSサーバサーバになってしまった

設問１の(３)ですが
「ブラウザ側でURLスキームをhttps://に変換した上で変換後のスキームでアクセスする」
と書いたんですが減点ですかね
Httpsへの変換はブラウザ側ですると思ってたのですがそこを強調した形です

終わった。
BサービスにログインするのはSSIDと事前共有キーと書いてしまった。
主語の見間違え。

あと、このサーバ証明書はブラウザが信頼している認証局から発行されていること。
と書いてしまった。エラーメッセージなので、発行されていないこと。ですね。
コモンネームとアクセス先のFQDNが一致していないことも一致していることと書いてしまった。

初見の問題でこんなミス無くしたいな。

いやあ無知でした

HSTSの直前の動作も正規の動作を想定してかいてしまった。
偽サイトに接続するときの動作をかかないとだめか

1
(1)a利用者ID  bパスワード
(2)・このサーバ証明書は、正規のBサイトのものではない。
   ・このサーバ証明書は、発行元が信用できない。
(3)通信プロトコルがHTTPからHTTPSに変更され、URLが"https://"になる。
2
(1)宛先メールアドレスを悪意ある従業員自身のものとする。
(2)VLAN（MACアドレスから変えてしまいました。）
3
(1)LDAP（RADIUSから変えてしまいました泣）
(2)暗号鍵（秘密鍵から変えてしまいました。自分を信じれないとこうなります。）
(3)業務PCで生成し、業務PC中に保存
(4)TPMは耐タンパ性に優れ、情報を窃取することが難しいため。
(5)項番1の前に来客用無線LANからBサービスへの通信はNATを無効とする設定を追加する。
(6)DNS
(7)表3:1 
   表4:1,4

本当に泣きそうです。

RADIUSのスペルに自信なくてラディウスって回答したんですけど、
こういうのって点数もらえるんですかね？

1(3)
「直前」と問われてたから、リダイレクトされた後の事かと思ってしまった。

FWのNAT設定については前提が少なすぎなので難しいですね。
違うGIPを設定出来るなら、NATを複数種類設定出来る旨を前提記載すると思いますし。
問題文でプロジェクター接続を強調してるのが気になるし、かといって来客用はDNSも引けるしFWで許可が記載されてるし。

別のルールを追加して、宛先がBサービス宛ての場合、NAT変換しないと回答しました。
しかし、これは間違い...

時間が足りなくて正確に回答をひかえて帰れませんでした。
1
(1)a利用者ID  bパスワード
(2)・このサーバ証明書は、URLのFQDNと証明書のSAN又はCNが一致しない。
   ・このサーバ証明書は、信頼された認証局から発行されたものでない。
(3)HTTPアクセスがリダイレクトされHTTPSで接続しなおす。
2
(1)従業員の個人メールアドレスを取引先と偽りファイル共有し、上長承認を得る。
(2)MACアドレス
3
(1)RADIUS
(2)秘密鍵
(3)盗まれないよう（自信なし）
(4)耐タンパ性により秘密鍵が保護されるため。（自信なし）
(5)項番1のNAT設定においてWAN-IF1のネットワークアドレス範囲の別IPアドレスへの変換を設定する。
(6)DNS
(7)表3:1 
   表4:1,4

radius答えられなかったのマジ悲しい

RADIUSパッと出てきたのに、他の答え書いてしまった。
理解が足りてないってことなんだろう。
悔やんでも悔やみきれない。

設問1
(1)a, 利用者ID  b, パスワード
(2)c, アクセスしようとするサイトのFQDNと、サーバ証明書内のFQDNが一致しない
    d, サーバ証明書を発行したCAの証明書がWebブラウザにインストールされていない
(3)HTTPでアクセスし、HSTSを含むレスポンスを受信、次にHTTPSでアクセスし、エラーメッセージが表示されるという動作

設問2
(1)自身のメールアドレスに対する共有用URLの申請を行い、上長承認をもらうという方法
(2)e, MACアドレス

設問3
(1)RADIUS
(2)f, 秘密鍵
(3)g, 不正に取り出せない状態に
(4)耐タンパ性によりTPM内から不正に秘密鍵を取り出すことが難しいから
(5)表4の項番1のNATで変換される送信元IPアドレスを、a1.b1.c1.d1以外のグローバルIPアドレスにするという変更内容
(6)h, DNS
(7)表3: 1  表4:1, 4



設問1(2)のdは悔しいな～
設問3の(5)はVLANとか物理インタフェースとか考慮した複雑な回答が要求される可能性も考えたけど、「NATの設定」って言ったら「変換後のIPアドレスを変える」ぐらいしかまともな答え思いつかなかった

設問1のcとd
『～一致していないこと』を
『～一致していること』と書いた場合、
どのくらい減点されますかね？

～の部分は合っているとして。

部分点ください！お願いします！

私もradius答えられなかったの切ないです。
LDAPと書いてしまいました…
それしか思い浮かばなかった…

ocspにしちまったぜ

この投稿は投稿者により削除されました。(2023.10.08 19:48)

設問1のc,dは正答率低そうなので、そこまで減点はないかと。。。

(3)についてですが、あえて「エラーメッセージが表示される"直前までの...」と書かれているので、HTTPSにリダイレクト→サーバ証明書を検証する、まで書かないといけないと思いますが、どうでしょうかね...?

2(4)、自分だけ別の解答してて不安になってきました。
>業務PC以外のPCにクライアント証明書をインストールすることができない。
S氏の質問はクライアント証明書と秘密鍵の両方に対しての扱いなので、他のPCに証明書をインストールさせないために他媒体を経由せずディレクトリサーバから格納する+秘密鍵の保護の理由が必要だと思いこの解答をしました。
耐タンパ性に関する理由のみだと秘密鍵の扱いだけだし（ｇ）で埋めた分と殆ど理由変わらないような気がしたので・・・

この投稿は投稿者により削除されました。(2023.10.08 21:21)

証明書、HSTSあたり間違えたなぁ…

1
(1)a：利用者ID 
   b：パスワード
(2)・このサーバ証明書のルート証明書がWebブラウザに存在していません。
   ・このサーバ証明書は、正しく署名されていない。
(3)ブラウザに入力された"http://"を"https://"に書き換えてからそのURLにアクセスする。
2
(1)宛先メールアドレスを従業員個人のものを入力して上長の確認漏れを狙う。
(2)MACアドレス
3
(1)RADIUS
(2)秘密鍵
(3)不正な取得を防止
(4)暗号化されて格納されているので不正に取得しても内容を確認できないため
(5)来客用無線LANからインターネットへの通信時の送信元IPアドレスの変換ではa1.b1.c1.d1以外のグローバルIPアドレスに変換する。
(6)DNS
(7)表3:1
   表4:1,4

設問3の4は、私は証明書に関して書きました…。
というのも秘密鍵に関するほうの解答が思いつかなかったからなのですが、どちらの格納方法についてか明記されてなかったので…。
従業員が偽造した証明書や偽の証明書を設定できないから、みたいに書きました。

初受験でやられました。別解別解！で設問２と３は部分点ほしいです！

設問１はc,d,①はダメダメ・・・
設問2
（1）外部の共有者のメールアドレスに似たアドレスで申請する。

設問3
（３）エクスポートさせないように
（４）業務用PCを持ち出しても複製、解析できないため。
  （→最後困難にすればよかったかも）
（５）業務用無線LANからの通信に対してFWのNAT機能を無効にする。
  （a1.b1.c1.d1以外にする選択肢が頭にありませんでした・・・）
（６）DNSキャッシュサーバー
  （設問の中に書かれてあったキャッシュサーバーを書いてしまい後悔・・・）

皆あまり言及してないけど、WAN-IF1のサブネットマスクは255.255.255.248なんだよね
なんでグローバルIP8個ある契約になってると考えられる
更に注釈でご丁寧に「現在の設定では〜a1.b1.c1.d1に変換される」とかいてるので、他のグローバルIPに変換する、にめっちゃ誘導してると思って試験中ほくそ笑んでた

多分そこそこあってると思ってる

1
(1)
a:利用者ID
b:パスワード
(2) 
c:URLのホスト名とサーバ証明書のコモンネームが一致しない
d:サーバー証明書の発行元を検証できるルート証明書を搭載していない
(3) 過去に正規のBサービスにアクセスした際にHSTS有効とブラウザが記録しているため、自動でHTTPSへ接続する

2
(1) 従業員の個人アドレスを指定するなどして外部共有リンクを不正に取得する
(2) e:MACアドレス

3
(1) RADIUS
(2) f:秘密鍵
(3) g:持ち出せないように
(4) 秘密鍵を取り出せなくなるので他のPCにコピーして使われる恐れがない
(5) 192.168.10.0/24からWAN-IF1へ出力する際のNAT設定でa1.b1.c1.d1以外のアドレスに変換するようにする

変換無効にして生のグローバルipで通信出来ないのですか？

設問3の(5)はNATを無効化ではダメなんですかね？？

> ちなみにさん
技術的にはできるけど、NATしないならPC1台に1個グローバルアドレス必要になるので、8IP契約でも最大5台くらいしかPC繋げない事になる
それと現実的にも、セキュリティ的に考えても、IPv4のグローバルIPをPCに直接割り当てるなんてことはありえない（そもそもセキュリティの試験だし）

fwのwan以外はプライベートipのセグメントになっているので、fwでのnatは必要ですね

No.59のたけさんと概ね一致です。
選択した問4の成り行きが不透明過ぎるので、ここの得点である程度固められないかしら。

私も2(1)は「従業員個人のアドレスを宛先に含める」みたいに書きましたが、会社が管理する(会社所有の)個人アドレスと採点者に認識される可能性ありますかね...？
問題文中にある個人所有PCのように、個人所有アドレスとすればよかったかも。

2(1)のファイルを社外からDLする方法、本文にある「ちゃんと」確認していないは一切確認していないという想定なんでしょうか。
上司がファイルの中身までは確認しないと解釈して(ファイル名がそのまま重要情報のファイルだと露骨過ぎると考えて)、ファイル名を偽装し上司の気を逸らしてアップロードし取得する流れを書いてしまったけど問題の趣旨から外れますでしょうか。

クライアント証明書と秘密鍵の格納方法について、セキスペT氏がOKを出した理由を問う問題。
先月のTAC模試で似たようなシチュエーションの問題が出て、正解は「端末利用者が勝手にエクスポートして他端末で不正利用できないため」みたいなものでした。
私は「暗号化してあるから安全で〜」みたいな答え書いてバツ。
昨日の本番ではTACの模範解答の通り書きました。

こっちは多分8割は取れたと思うんだけど、問4が未知数すぎる…。

DNS系あんまわかってないんですけど
hってDNSキャッシュ(サーバー)じゃだめなんすかね？
LAN内にあるってことはキャッシュやろと判断して余計なこと書いてしまった？

出題と関連なく申し訳ありません。

FWが社内セグメント間の通信をパケットフィルタリングしていたように見受けられ、
あまり見かけない構成だったので気になりました。
L2SWはどういった動きをするのか気になって仕方ありませんでした。

M社のネットワークを経由しないのでnatの設定を無効にしてもインターネット接続に影響はないのではないでしょうか。

アストンビラさん

二案あるとあります。よって、それぞれの案は独立しています。
ネットワークを経由しないのはNATをいじらずに無線LANを新たに設定した場合ですね。

たぶん問2は6割前後くらいしか取れてない...
MACアドレスをVLAN IDとかにしちゃったし、FW設定変更は2問とも落としたし、HSTSはリダイレクトって書いちゃったし...

冷静になれば解けるけど、当日は問2と問3で迷い過ぎて永遠に行ったり来たりしてたからそれが痛かったなぁ

みなさん普通に8割くらい取れてるような気がしてて怖いのですが(笑)、何割くらい取れた感覚があるか気になります...(´;ω;｀)

radiusとnatの記述間違えたので、その他少しずつ減点されてると仮定して6割くらいかなと、、

午後1の過去問10年分全部解いてから挑んだけど、今回の問2はかなり簡単な方ではないかと思われる。（自分基準）

質問です...サーバ証明書のエラーメッセージが出て来なくて

①このサーバー証明書の検証に失敗した
(これはそっくりそのまま定型文で何かのブラウザで見たことあるような？と思って書きました)

②このサーバー証明書が示すサーバーと接続しようとしているサーバーが異なる

↑FQDNが頭に出てこなくてこんなこと書いたんですが
②さすがにバツですかね...？

2つ目についてどう思われますか、、？

> ('ω'`)さん(No.69) 
仰るとおり意味としては「DNSキャッシュサーバ」で全然正解だと思いますが、
図１でサーバの固有名詞として「DNSサーバ」と書いているので、試験的に厳密に言えば不一致ですね
まあ流石におまけしてくれるのでは笑

> 問2さん(No.70) 
小規模で複数のネットワークセグメントをVLANで構成しているような場合はよくある構成ですね
L3SWではないので、セグメントをまたぐ通信はFWを経由してもどってくるイメージです

> あかさん(No.74) 
満点かなと（自信過剰）

> マグロさん(No.77) 
採点員でもないただの受検者ですが、②について特に意味の間違いは無いと思います
要は仮に正規の証明書が使われていても、他のサーバーの証明書を流用していて不一致で警告が出るという意味ですので
多少表現が甘いということで仮に減点はあったとしても、×にはならないんじゃないですかねえ

むしろ①が間違いじゃないけど、なんで検証に失敗するかの理由が足りなくて減点理由にされる気はします
こちらはFQDNが一致はしているが、発行元が正規ではないという意味ですので


えらそうにすいません。。

聞かれていることは「ユーザー向けのエラー説明文として何が表示されるか？」ですからね
説明の粒度なんざサービスそれぞれですし、まあ説明になっていれば多少表現がぼかされててもセーフなんじゃないでしょうか…

ちなみに私もFQDNってワードが飛んだので「ドメイン名」で誤魔化しました。

HSTSの動作を60文字以内で答える問題
解答欄にもし「リダイレクト」と書いてしまおうものなら一発アウトな気がします

3の(1)はRADIUSかぁ...
CHAPって書いてしまった...

HSTSはBサービスに設定されてるわけだから、ユーザ側のブラウザから見たらhttpで接続しようとしたらhttpsにするようにレスポンスが返ってくるっていうことじゃないんですかね？

サーバ証明書の問題なのですが…
①このサーバ証明書は、安全性が確認できません
②このサーバ証明書の発行元が確認できません
とそれっぽいことを書いて終わりました…
多分点数貰えないですよね…

HSTSはブラウザから見たら
１．HTTPリクエスト送る
２．301リダイレクトが返る
３．HTTPSリクエスト送る
４．HTTPSレスポンスヘッダにStrict-Transport-Securityがセットされて返る
５．HSTS対応ブラウザであれば、以降はブラウザがHTTPSに読み替えて接続
という流れだから、あながちリダイレクトも間違いじゃないのでは

偽サイトにつないだときの話でしょ

ちょっと調べてみましたが、ブラウザの内部的にはHTTPSにリダイレクトしているので、表現的にはギリOKかと思いますね。「ブラウザの動きを答えよ」という指示でもあるので。
（googleとかでhttp試すと307 Internal Redirectになっているのを確認できます。）

「ブラウザの直前の動き」という設問の聞き方が気になってたんですが、模範解答はどうなりますかね？

いつもBサービスを使っている従業員が、
知らず知らずのうちに偽APにつないでしまい、
なおかつhttp://と手入力するとHTTPで偽サイトにつながるかと思いきや、
BサイトはHSTS有効だったため、ブラウザが覚えていて、いきなりHTTPSでつなぎにいって、証明書エラーになる、ということかと。

ただしHSTS期限切れ後初回の接続だったらHTTPで偽サイトにつなぎにいくわけで、そのときはエラー出ないかもしれないですね

>senさん
なるほど、ありがとうございます
一応サーバエラー出るっていう問題だから前者の流れを答えるっぽいですね
有効期限切れててもBサービスのサーバからHSTS求められて最終的には同じ結果になりそうですが

ということは結果的に偽サイト関係なしに
HTTP接続を試みるが、強制的にHTTPS接続させられてHTTPSで接続しなおすでOK？

ブラウザ側でURLのスキームをhttp://からhttps://に変換した上で接続を開始するって表現が一番理想的というか厳格なのかしら

いくつかのサイトをはじめとして色々巡回してみましたが
リダイレクトとHSTSの動作はやっぱり区別されているというか別物な気がします！

↑リダイレクトだとリダイレクト先を書き換える中間者攻撃に合う可能性が～  のくだり
HSTSはそもそもリダイレクトのやり取りは行わず
はなからブラウザ側で置き換えた上で、そこから通信を開始するという違いだと個人的に理解しましたがどうなんだろう？見識ずれてたら教えてほしいです

後は表記の違いがどれだけ許容されるかなところはあるけどこればかりは IPA のご機嫌次第か笑

連投すみません。すごく厳密的な話になってしまいますが
論点はブラウザとサーバーでのその旨のやりとりがあるかないかだと思います。
HSTSだとブラウザ側でいきなりHTTPS接続を開始するみたいな。
リダイレクトによってHTTPSへ接続を切り替える実装との区別が出来てない解答だと減点？
問２正答率が良いとなるとこういうところで厳格になったりされた時に嫌ですね汗

No34  さんの回答が一番近いのか？

プリロードリスト登録サイトでない限り
HSTSも初回接続はリダイレクトのやりとりがあるのですが、その後は期限切れまでブラウザが覚えていて、常にHTTPSで接続を開始する、ということですね。
偽サイトがまさかHSTS有効にしているわけはないので、HTTPでつなぎにいったらまんまと騙されるでしょうね。
今回BサービスがHSTS有効だったおかげで助かったという話かと。

HSTSはNo.59さんの回答が良いんじゃないかと

エラーメッセージ表示直前までということで「HTTP接続がHTTPS接続に強制的に変更され、偽サイトのサーバ証明書が送られてきてそのサーバ証明書を検証する」まで必要な気がしました。サーバ証明書が送られてくるまでしか書かなかったんですが、減点されそうですかね？もしくは余計な事書いて減点とか

HSTSの話題と若干ズレるんですが、全く同じurlの偽サイトってありえるんですかね。
自分は情シスやってる非エンジニアなんですが、どちらかと言うとフィッシングなど騙されないようにurlのドメインの情報をよく確認しましょうみたいなことを従業員に言ってるもので。

偽APの先はWANに見せかけたLANだった、ということかと。DNSを細工すれば可能と思います

DNSキャッシュポイズニング…
正規ページと全く同じURLを入力しても詐欺サイトに飛ばされるからサーバー証明書が必要
これは流石に基本では…？

この問題の場合、DNSキャッシュというよりは偽DNS立てたんだと思いますけどね…
どちらにしても怖いですよね

問題文で偽APを利用してDNSの設定を細工すると書いてありますね・・・
URLは同じでも名前解決後のIPアドレスの設定が変更され、接続先は偽サイトということで話進んでると思います。

ルーターで使うDNSキャッシュサーバーのIPアドレスを攻撃者のものに設定してあとは普通に偽の名前解決するだけでそんな難しい話ではないという認識でしたがこれ以上変なことするんですかね。

そういえばDNSキャッシュで名前解決する前にhostsとかOS側が名前解決の情報持ってたらそっちの方が優先度高かったと思うんですがそれに対して何か注釈ありましたっけ？

偽APにつながせた後は、設問のNW図とは別世界のNWに連れて行かれるんだという認識でした

この投稿は投稿者により削除されました。(2023.10.12 11:03)

TPMに秘密鍵を格納する問題、秘密鍵を暗号化して格納するみたいな感じで書いたんですけど、TPMって格納するものを暗号化するものでしたっけ？

単に鍵を暗号化するんじゃだめですね。同じ場所に保管されているであろう復号用の秘密鍵漁られて終わりです

高い耐タンパ性(中のデータが不正に読み取られない性質)をハードウェアレベルの対策で実現している
のが、TPMが安心な理由ですね

TPMの格納方法の理由については
耐タンパ性が高く、外部から中身の情報が取られてしまう可能性が低いから的な感じで書いたんですけど
gについては「安全に保管」としてしまったのですがこれはダメですかね？

午後の選択割合はマネジメント系の問2、問4だけなのが明らかですね。
投稿数が全てを物語ってる。

Matsurikaさん

＞(1)LDAP（RADIUSから変えてしまいました泣）

全く同じです。
ラスト５分で、RADIUSならディレクトリサーバーじゃなくて、RADIUSサーバーて書いてあるよなとか余計なこと考えてしまい、RADIUSからLDAPに変えてしまいました。
２０分くらい余ったのに、見直しせずに帰ればよかった・・

次回がんばります。

設問3 (5)のTACの解答例は

「来客用無線LAN からインターネットへの通信時の送信元IP アドレスは、a1.b1.c1.d1 以外のグローバルIPアドレスに変換する」

が答えでしたね。

「来客用無線LAN からインターネットへの通信時のNATを無効にする」

ではダメでしたね～、、。
プロジェクターなど会議室に閉じた利用になるのかなと思いましたが、。

RADIUSのとこ、AAAって書いちゃった。AAA誰もいないのか…

NATが有効の場合に変換されるグローバルIPを個別(項番別)に設定が可能かどうかが書かれていない(書かれていないことはできないと解釈した)のでa1.b1.c1.d1以外に変換するって答えだと項番2と3も変更されてどこからもBサービスにログインできなくなるのでNATを無効化するしかないと思ったんだけどなぁ。

RADIUSのとこ、DIAMETERかどっちかー。。。
って悩みましたが、UDPという指定があったのでDIAMETERにしました。

設問1(3)は、「ブラウザに保存されたmax-ageの期間内であることを確認し、httpsで接続する」と書いたのだけれど、どうなのかな。
資格校各社は、「証明書の検証」を中心に書いてるけど、証明書検証を問うているのは(2)で、(3)はHSTSの動作について聞かれている認識で上記回答なのですがね。

TACの自己採点27点
HSTSで証明書の話まで書かなくて良いなら29

いずれにせよ問4で運ゲーしてきます＼(^o^)／

この投稿は投稿者により削除されました。(2023.10.14 00:16)

部分点ってどういう感じなんでしょうか？
文意として2つポイントがあるうちの1つだけなら半分の点数、という感じですか？

以下のキーワードで検索してでてくる、総務省とIPAの答申書に参考となる
内容が記載されています。
『総務省 答申書 平成29年 春期 応用情報』

「例えば、問題解決の仮定の途中までがあっていれば満点の５０％を、
  三つのポイントのうち二つが書けていれば満点の６０％を与えると
  いったように部分点を設定している。」
とあります。

投稿数の明らかな差から問2と問4の選択者が90％ですかね。
問4は意見が割れちゃってますし、採点も大変そう。
情報安全確保支援士試験、どうなることやら…。

>>116 さん
残念です、DIAMETERがTCPで、RADIUSがUDPのようです。

>> 権瓶さん
ありがとうございますっ!!
そのツッコミを静かに待っておりましたっლ(❤ʚ❤ლ)