HOME»情報処理安全確保支援士掲示板»令和7年秋期試験『午後試験【問3】』
投稿する
自分もa1.b1.c1.d1からのアクセス拒否(削除)の依頼内容を含めて記載しました。
依頼の方は自分もそれ悩みました。時系列的にこのタイミングで拒否したら業務に支障が出るんじゃねと思いましたが拒否(削除)も書いてしまいました。
自分も宛先書くだけなのに解答欄長過ぎるだろ!って思いました
DTLSだと思います
ありがとうございます、それでした
安心してください。
DNS over DTLS の略称はDNSoDです。
DoTはDNS over TLSの略称です。
ちなみに余談ですが、RFC 8094自体も「実験的(Experimental)」ステータスで、標準ではありません。
代わりに同じUDPかつTLS1.3を標準化しているDNS over QUIC (DoQ) が後継のような立ち位置を得ています。
そうしないと攻撃が成功しないのでは
これ、私も気になったのですが…
もし最初の部分で攻撃者の口座に出来るなら、最初の一回でそのまま振り込ませればよいのでは?と気になってしまいました。
どのタイミングで担当者に攻撃者の口座番号(ア)を認識させたのか?という点も気になります。
偽のサーバを噛ませて逐一情報を書き換えて正規のサーバに送信している点や、(8)で偽装工作をしていることから、
おそらく最初に担当者が入力している口座番号などは担当者が正規のもの(イ)であって、ここには攻撃者の情報はないと思います(ソーシャルエンジニアリングなどでここをすり替えているとすれば、そもそもポップアップ画面も偽のサーバを出す必要もなく勝手に担当者が攻撃者の口座番号(ア)を入力して振込終了してますし…)
とすれば、一回目にトークンに入力した数字も、担当者が知っている情報=攻撃者が改変する前の口座番号(イ)なのでは?と思います。
なので、わざわざポップアップで入力画面を表示させたうえで、しかも数字が7桁と露骨に口座番号っぽいことを考えると、この時点で謎の7桁の数字が攻撃者の口座番号(ア)で、それを悟らせないために本人確認が必要です、などと称しているのではないかな?と思いました。
こんな悲しい事故あります…?
ただ中継するだけで攻撃する気なくて草
VサービスもKサービスもSaaSなのでインターネットで直接やりとりする認識です。
オンプレにActive DirectoryがあればM-FWを経由する通信が発生しえますが、今回それはなさそうです
Wサービスは接続元IPが制限されてます。なのでKサービス介さずに直接アクセスできなければなりません、と考えたので、P社のFWに追加せねばならないかと。
②の上に図8以外に必要となる変更の中に
「W社に設定変更を依頼する」とあってこれが接続元IPにK-サービスを追加することだと推察してます
Wサービスは基本サイトに含まれることからも、通信自体はK-サービスを経由すると考えられます
銀行系と情シスの管理系通信以外はサービスkを経由するというポリシーの元、
[段階的な利用計画]中"(1) Wへ社に設定変更を依頼"の依頼内容を推測すると、W社の送信元制限にkサービスを追加したものとも考えてました。
それ以外にWサービスに依頼することってないような気がするんですが、なんかありますかね?
Wサービスに情シスが管理通信することまで考慮せよということならWサービスの宛先追加必要だけど、業務系の通信ならむしろブロックするべきな気がする。
そのところが私の認識が浅くて難しいところなんです。
リモートワークにかかわずKサービスを利用開始することになった(一部例外あり)という事で、社用PCからKサービスにまず通信をするとは思うのですが、
このときKサービスとのVPN接続を確立するための認証として、KサービスがユーザーをVサービスにリダイレクトさせようとすると思うのです。
まだKサービスを利用したVPN接続が開始される前なので、なのでこのリダイレクトはM-FWを通ってVサービスと通信する必要があるのかな?と思いました。
それとも私が知らないだけで、この認証もスマホが経由してくれるのか、それとも社用PCでやらなくてはいけないのか…?というところが一番気になります。
なので、設問4(2)は図2の基本サイト、IB、Wサービスも必要なのかなと思いました。
(直前にWサービスの設定変更を依頼する、とあるのが気になりますが、これが何を指しているのかわからないので、(2)にWサービスも含む方が安全なのかもしれないと思います。)
多分そうだとおもってきました。今回、NW構成図や問題文から明確な解答は難しいと思います。そもそも、Kサービスを本格的に運用する前も後も、この二つは許可必須ですもんね。これを当日たどり着いた方はすごいな。
接続を拒否できると記載はありますが、事前に更新しておかないとという記載はありますかね?
それに図7-5にある通り図2に記載の基本サイトは全てK-サービス経由で可能だと思います
図8の4からOSの更新は必須です
マルウェアに関しては必須ではなかったですね
ん、よく読むと図8はリモートワークだから関係ないですね。すみません、間違いです。
それだとバージョンXのOSを利用している人がKサービスを使えなくなり業務に支障が出るので対応としてはやや強引かと。
言いたいことは分かりますが実際の企業でそんなやり方をすることはまずないですね。
リモートワーク時に限らず、出勤時も社有PCでのKサービスの利用を必須にする方針とした、と書かれているので、割とすぐにこの方針のもとKサービスの利用が必須化されるのかと思います。
”Kサービスを活用して”と言えるか疑問だったので、"Kサービスを利用するためのリモート用PCの初期設定として,初期設定手順にOSの移行手順を追加する"的な書き方で無理やりKサービスを絡めた気がします。
RサービスとKサービスを比較してKサービスを導入する方針となっているので、Rサービスを考慮する必要はないのではないでしょうか。
そのとおり、個人お任せの緩い方針としているからこそ、移行が進まないのです。だからといって、いきなり遮断して、会社の業務を停止させはいけないと思います。物事には優先順位があります。移行第一という方針であれば、それで良いと思いますが違うと思います。セキュリティ推進係という存在がいることを強調していたので、この人達に未移行者のリストを渡して、移行促進させるんだなと思いました。
たとえば脆弱性が見つかっていて緊急性がある、とかそういうシチュエーションではないですもんね。
このあたりで机上論で進めている人と現場の経験を活かして進めているひとをあぶり出す意図があるのかもしれません?
ちなみに私は机上論で進める人です!
今回の問題と、期限まではまだ日数があるので、告知なしでいきなり遮断というのは、サイバーテロに近い行為かと。
ほんとですね、見落としてました。
一つでも必要な宛先が記載出来ていれば部分点もらいたい所です。。
令和7年秋期試験『午後試験【問3】』 [1968]
管理人(No.1)
令和7年秋期試験 午後試験【問3】についての投稿を受け付けるスレッドです。
2025.10.12 00:01
とくめいさん(No.2)
まだ他の問題読めてないけど、これが一番簡単だった気がする
2025.10.12 14:52
午前マンさん(No.3)
同じくこの大問あたりですね
2025.10.12 15:06
午前マンさん(No.4)
ただ、「具体的に」が散見されたのでどこまで書けているかでバシバシ減点されそう
2025.10.12 15:08
ギリギリマンさん(No.5)
みんな選んでそうなので少しのミスが命取りになりそう
2025.10.12 15:08
ペドロンさん(No.6)
DNSでHTTPS…?
なんや…?なんなんや…?ってなってたら終了ギリギリでそういやDoHとかいうのあったわ!!ってなった
できた気がするけど実は色々違うんじゃないかと不安
なんや…?なんなんや…?ってなってたら終了ギリギリでそういやDoHとかいうのあったわ!!ってなった
できた気がするけど実は色々違うんじゃないかと不安
2025.10.12 15:10
脳の体力が足りないさん(No.7)
この問題を最初に解くべきでした、、、
2025.10.12 15:11
とくめいさん(No.8)
ですよね、文量の多さでビビりましたが、蓋を開ければ基礎の寄せ集めでした。最後の記述に至っては、Kサービスさえ使ってれば何書いても加点されそうです笑
2025.10.12 15:11
初学者くんさん(No.9)
すみません。
DNSでHTTPSのところですが、DOHと書いちゃいました。
ダメですか?
DNSでHTTPSのところですが、DOHと書いちゃいました。
ダメですか?
2025.10.12 15:14
うみたさん(No.10)
問2と問3を選びました。
DNS関連の5文字は残念ながら全滅……。
ただ、話が細切れになっていた分、脳内に控えておかなければならない設定の情報量は少なめだったのかなという印象です。
書ける分だけ書き出せれば善戦できそうな感じがしました。
DNS関連の5文字は残念ながら全滅……。
ただ、話が細切れになっていた分、脳内に控えておかなければならない設定の情報量は少なめだったのかなという印象です。
書ける分だけ書き出せれば善戦できそうな感じがしました。
2025.10.12 15:26
ゆたかさん(No.11)
当初アカウント云々の設定は私用スマホの登録で良いのでしょうか?
2025.10.12 15:41
初学者くんさん(No.12)
DNS関連の5文字で、TLSとSSLと書いたのですが、正解ですか?
2025.10.12 15:44
あああうさん(No.13)
段階的移行のセクションにあった、FW設定に指摘を受けて通信先を追加する問題悩んだ、先行移行時に他従業員がアクセスできないといけないところをは基本サイトじゃ雑すぎる?
2025.10.12 15:46
午前マンさん(No.14)
最初のDNSは下記じゃないですかね?
DNSSEC
DoH
TLS
DNSSEC
DoH
TLS
2025.10.12 15:47
ht002905さん(No.15)
よくわからんので、DNSSとTLSとDNSSECのあと書きました。
2025.10.12 15:48
Tsubon5さん(No.16)
DNSSEC
HSTS
TLSかな
HSTS
TLSかな
2025.10.12 15:50
名無しさん(No.17)
DNSSEC
DoH
TLS
にしたけど、DNSSECってプロトコルだっけと思いました
DoH
TLS
にしたけど、DNSSECってプロトコルだっけと思いました
2025.10.12 15:51
DoH知らなかったさん(No.18)
文系にとっては今回が直近で一番簡単だった気はするのですが中々手応えがない。2ヶ月以上も悶々としなきゃ
落ちてたとして、次回から受験回数の制限を緩和するかネスペと併願できるといいなぁ(心の叫び)
落ちてたとして、次回から受験回数の制限を緩和するかネスペと併願できるといいなぁ(心の叫び)
2025.10.12 15:51
じゅんさん(No.19)
DNSSEC
SDNS
TLS
にしました
SDNSとか架空の言葉を作ってしまった
SDNS
TLS
にしました
SDNSとか架空の言葉を作ってしまった
2025.10.12 15:53
ht002905さん(No.20)
どうせ偏差値的に点数出るので、簡単でも合格するかというと。。。
2025.10.12 15:53
noilさん(No.21)
a:DNSSEC
b:DNS over TLS(DoT)
c:DNS over HTTPS(DoH)
b:DNS over TLS(DoT)
c:DNS over HTTPS(DoH)
2025.10.12 15:55
初学者くんさん(No.22)
DNSSEC
DOH
SSL
にしました。DoHをDOH、TLSをSSL、はダメですか?
DOH
SSL
にしました。DoHをDOH、TLSをSSL、はダメですか?
2025.10.12 15:55
knymさん(No.23)
私もSDNSという架空の言葉を書いたので、同じ人がいてクスリとしました
2025.10.12 15:57
来春頑張るさん(No.24)
DNSSEC
VPN
TLS
プロトコルって書いてあるのにVPNって・・・
VPN
TLS
プロトコルって書いてあるのにVPNって・・・
2025.10.12 16:00
わからんさん(No.25)
段階的移行のセクションの指摘を受けて追加する通信先みたいな奴って、使うやつ全部書いたけどあってるんかわからない・・・
ぱっとみZ-IBはどの段階でも確定ぽいけど、段階1で関係ない他の利用者のことも考えて、基本サイトとか取引先とか全部必要かなと思って全部入れたわ
ぱっとみZ-IBはどの段階でも確定ぽいけど、段階1で関係ない他の利用者のことも考えて、基本サイトとか取引先とか全部必要かなと思って全部入れたわ
2025.10.12 16:08
ゆうさん(No.26)
最後の問題、Kサービス使って古いOSの場合、接続拒否するか、ログだけ取って管理者はバージョンアップ促すかで悩んだんですが、どうされました?
11ヶ月後にサポート切れでまだ余裕あるので、いきなり遮断は流石にやり過ぎかなと思って後者にしたんですが。。。
11ヶ月後にサポート切れでまだ余裕あるので、いきなり遮断は流石にやり過ぎかなと思って後者にしたんですが。。。
2025.10.12 16:08
がんばるまんちさん(No.27)
今日も教室最年長トップ5に入ったと思う。でもまぁ昭和の人たちも、受けてるね。
2025.10.12 16:10
ななしさん(No.28)
<25
Kサービス設定サイト?みたいなのしか思いつかなくて、3行あるのにどーしよってなりました、、、
Kサービス設定サイト?みたいなのしか思いつかなくて、3行あるのにどーしよってなりました、、、
2025.10.12 16:12
ぴんぴんろくさん(No.29)
自分もおなじスジでかきました。即遮断ではなく、少なくともサポート終了までには遮断するよという旨を社内告知するみたいな。
即遮断したら業務できませんしね。(社内からでもKサービス経由のインターネット接続になっているので致命的)
即遮断したら業務できませんしね。(社内からでもKサービス経由のインターネット接続になっているので致命的)
2025.10.12 16:12
あいさん(No.30)
DoH...いや!HTTPSだからDoHSだ!って書いてしまった
2025.10.12 16:14
あああうさん(No.31)
自分は最後のやつ移行してないホスト抽出するためにログを利用するようにした
多分この会社はホストを統合管理できているわけでは無さそうだったのとKサービスの使えるのがログ仕様しかさなさげだった
多分この会社はホストを統合管理できているわけでは無さそうだったのとKサービスの使えるのがログ仕様しかさなさげだった
2025.10.12 16:14
あああうさん(No.32)
↑
訂正
ホストを統合管理できていなさそうだったのと
訂正
ホストを統合管理できていなさそうだったのと
2025.10.12 16:15
tmp123さん(No.33)
最後は、Yバージョン未満のOSのPCからの接続を拒否して、全社有PCから接続して、ログからバージョンアップまだのpcを洗い出す的なことを書きました
2025.10.12 16:16
わんわんさん(No.34)
dとeはどっちもイであってますか?
2025.10.12 16:16
あいさん(No.35)
<26
ログからバージョンX使用者を洗い出し通知し、6ヶ月後にKシステムの設定でバージョンYのみでアクセスできるようにするって感じにしました。
急に遮断するのは流石にまずいだろうということで…
ログからバージョンX使用者を洗い出し通知し、6ヶ月後にKシステムの設定でバージョンYのみでアクセスできるようにするって感じにしました。
急に遮断するのは流石にまずいだろうということで…
2025.10.12 16:16
ht002905さん(No.36)
あの銀行の攻撃は両方アにしました。
攻撃者が変えても本人気づかないみたいな
攻撃者が変えても本人気づかないみたいな
2025.10.12 16:17
じょさん(No.37)
DNSSもいますよろしくお願いします(SMTPSのノリであるかと思って…)
2025.10.12 16:17
tmp123さん(No.38)
洗い出しのために一時的に遮断するだけのイメージですね
2025.10.12 16:17
あいさん(No.39)
<25
KサービスにアクセスするのにOSにパッチが当てられているか、マルウェア設定ファイルが更新されているかがチェックされるようなので、基本4サイトって書かれてるやつ+Vサービスにしときました自分は
KサービスにアクセスするのにOSにパッチが当てられているか、マルウェア設定ファイルが更新されているかがチェックされるようなので、基本4サイトって書かれてるやつ+Vサービスにしときました自分は
2025.10.12 16:19
ゆたかさん(No.40)
最後の問題はログからOSバージョンアップしていないホストを抽出して利用者に連絡するようなことを書きました。
2025.10.12 16:19
わからんさん(No.41)
ログで移行前OS使っている人を特定して、期日を伝えたうえで移行を促すみたいにした。
即遮断は業務に影響でまくるのと、ソフトの関係で上げれないPCとか絶対あるから(それは申請に応じて前のOSでもシリアルとかで別途許可しないといけない?)、やんわりした感じにした。
即遮断は業務に影響でまくるのと、ソフトの関係で上げれないPCとか絶対あるから(それは申請に応じて前のOSでもシリアルとかで別途許可しないといけない?)、やんわりした感じにした。
2025.10.12 16:19
齋藤こうたさん(No.42)
最初は本当の利用者の番号を送ります。
そのあとに2重確認と称して、攻撃用の番号を利用者に入力させて、表示されたトークンを偽サーバーに送信させます。
そのあとに2重確認と称して、攻撃用の番号を利用者に入力させて、表示されたトークンを偽サーバーに送信させます。
2025.10.12 16:20
dとeさん(No.43)
両方アにしました
2025.10.12 16:20
午前マンさん(No.44)
銀行のやつ両方同じだと2回トークンやってる意味なくね?と思って別にしました。
同じなら1回目で取得できたのにもう一回やったら操作者に違和感持たせるだけ説
同じなら1回目で取得できたのにもう一回やったら操作者に違和感持たせるだけ説
2025.10.12 16:21
あいさん(No.45)
銀行のやつは最初は正規のやり取りなので「攻撃者が書き換える前の口座番号」、そこで得たトークンは偽サイトが正規のサイトに渡していないので2回目は「攻撃者の口座番号」にしましたね〜
2025.10.12 16:21
わからんさん(No.46)
ポップアップ出すまでは攻撃者口座の口座番号なんか利用者はしらないからイにして、
2回目はポップアップの番号(攻撃者の口座番号)を入力させて1回目の入力をなかったことにして再度入力させるような形何かなと思ってアにした。
2回目はポップアップの番号(攻撃者の口座番号)を入力させて1回目の入力をなかったことにして再度入力させるような形何かなと思ってアにした。
2025.10.12 16:25
ht002905さん(No.47)
あの問題に両方同じでもええんやでみたいなの今まで無かった気も。
攻撃者入って決済とトークンだったので両方アにしましたね。被害者多分もう一つ提案のじゃないと口座番号みてもわからんかなと。
もう一つので表示されても表示された情報見てない人多いやろうし引っかかりそう。
攻撃者入って決済とトークンだったので両方アにしましたね。被害者多分もう一つ提案のじゃないと口座番号みてもわからんかなと。
もう一つので表示されても表示された情報見てない人多いやろうし引っかかりそう。
2025.10.12 16:26
だーまめすさん(No.48)
基本サイトはwサービスが不要と判断しましたね、、、
2025.10.12 16:29
ブンブンのサトシさん(No.49)
復元してみました。
問3
a DNSSEC
b DoH
c TLS
d イ
e ア
設問3 Kサービス設定サイトへのアクセスを許可する接続元IPアドレスにa1.b1.c1.d1を設定する。
f 各取引先サービスでの接続元IPアドレスについて、Kサービス用固定グローバルIPアドレスを許可してもらうように取引先へ依頼する。
(2) Q社のマルウェア定義ファイル配布サイトとOSベンダーのOSアップデート配布サイト
g SMS通知の電話番号について、利用者の個人所有スマホの電話番号を管理者が利用者から聞き、設定する。
(2) Kサービス接続時のログを調査して、バージョンXで接続しているアカウント名を特定する。そのアカウントを有する部署の情報セキュリティ推進者へ未移行である旨の通知および早急に移行するよう依頼する。
問3
a DNSSEC
b DoH
c TLS
d イ
e ア
設問3 Kサービス設定サイトへのアクセスを許可する接続元IPアドレスにa1.b1.c1.d1を設定する。
f 各取引先サービスでの接続元IPアドレスについて、Kサービス用固定グローバルIPアドレスを許可してもらうように取引先へ依頼する。
(2) Q社のマルウェア定義ファイル配布サイトとOSベンダーのOSアップデート配布サイト
g SMS通知の電話番号について、利用者の個人所有スマホの電話番号を管理者が利用者から聞き、設定する。
(2) Kサービス接続時のログを調査して、バージョンXで接続しているアカウント名を特定する。そのアカウントを有する部署の情報セキュリティ推進者へ未移行である旨の通知および早急に移行するよう依頼する。
2025.10.12 16:29
ランボーさん(No.50)
dイ
eア
かな
eア
かな
2025.10.12 16:31
たそがれさん(No.51)
OSベンダーのOSアップデート配布サイトってどこかに書いてありましたっけ、?
2025.10.12 16:33
あいさん(No.52)
<51
問3の3ページ目くらいに書かれてた記憶です
問3の3ページ目くらいに書かれてた記憶です
2025.10.12 16:37
ht002905さん(No.53)
3の2はiDSだったかの認証サイトも入れました。
2025.10.12 16:38
齋藤こうたさん(No.54)
fについて
取引先サーバーに対してのアクセスはkサービスを経由させる方針なので、
Kサービス用固定グローバルIPアドレスからのアクセス許可とp社のグローバルIPアドレスからのアクセスの拒否設定を依頼する
にしましたを
取引先サーバーに対してのアクセスはkサービスを経由させる方針なので、
Kサービス用固定グローバルIPアドレスからのアクセス許可とp社のグローバルIPアドレスからのアクセスの拒否設定を依頼する
にしましたを
2025.10.12 16:41
太郎さん(No.55)
問3
a DNSSEC
b DoH
c TLS
d イ
e ア
設問3 Kサービス設定サイトへのアクセスを許可する接続元IPアドレスにP社グローバルIPを設定する。 ← 表3見落とした。まー、0点だな。。。
f 各取引先サービスでの接続元IPアドレスについて、Kサービス用固定グローバルIPアドレスを許可してもらうように取引先へ依頼する。
(2) 基本サイトのFQDNと取引先サービスのFQDN
g 表2の認証方式1に変更する。 ← これも0点だな、
(2) Kサービスの接続時のログを調査して、OSバージョンで拒否されたPCの該当者に直接OS更新を働きかける。
a DNSSEC
b DoH
c TLS
d イ
e ア
設問3 Kサービス設定サイトへのアクセスを許可する接続元IPアドレスにP社グローバルIPを設定する。 ← 表3見落とした。まー、0点だな。。。
f 各取引先サービスでの接続元IPアドレスについて、Kサービス用固定グローバルIPアドレスを許可してもらうように取引先へ依頼する。
(2) 基本サイトのFQDNと取引先サービスのFQDN
g 表2の認証方式1に変更する。 ← これも0点だな、
(2) Kサービスの接続時のログを調査して、OSバージョンで拒否されたPCの該当者に直接OS更新を働きかける。
2025.10.12 16:43
おじさんさん(No.56)
銀行のサイトはKサービス中継しないから解放しないといけないのでは?
2025.10.12 16:43
わからんさん(No.57)
fは最終的(検証がうまくいって完全移行する際)には、
取引先サーバーに対してKサービスを経由しないアクセスは拒否しないとだめだから、「p社のグローバルIPアドレスからのアクセスの拒否」も必要だと思ったけど、
セクション名が段階的とか書いてあったから、1段階目でも不都合がないようにしないといけないのかと思って削除は書かなかった。
なんかこの辺は自分も問題作成者の意図とあってるんか腑に落ちない感じで問題解いてた。。。
取引先サーバーに対してKサービスを経由しないアクセスは拒否しないとだめだから、「p社のグローバルIPアドレスからのアクセスの拒否」も必要だと思ったけど、
セクション名が段階的とか書いてあったから、1段階目でも不都合がないようにしないといけないのかと思って削除は書かなかった。
なんかこの辺は自分も問題作成者の意図とあってるんか腑に落ちない感じで問題解いてた。。。
2025.10.12 16:45
4度目の正直さん(No.58)
最後の問題は、接続拒否とかログを見てそこにPC情報(たしかアカウントとか)載ってるから、それを元にユーザー特定して促す感じよね
問題は総じてクラウドプロキシ(製品Z)みたいな感じな気がしました
問題は総じてクラウドプロキシ(製品Z)みたいな感じな気がしました
2025.10.12 16:46
ぽんきちさん(No.59)
設問3 2に関しては
vサービスの認証サービスのipアドレスのみ追加する宛先として記載しました。
理由はkサービスの接続前にvサービスの認証基盤に接続する必要があるから。
vサービスの認証サービスのipアドレスのみ追加する宛先として記載しました。
理由はkサービスの接続前にvサービスの認証基盤に接続する必要があるから。
2025.10.12 16:47
たそがれさん(No.60)
促したところでめんどくさい人はやらないから、バージョンYにしないとKサービスに接続できなくするのかなぁと思いました
2025.10.12 16:49
franciska3さん(No.61)
表3にわざわざ書いてあるVサービス認証基盤のグローバルIPアドレスを見落とす人なんています?
私です…
私です…
2025.10.12 16:59
franciska3さん(No.62)
ポップアップ画面の桁数がちょうど7桁なので、銀行の口座番号みたいですよね、
って思ってましたが、どっちもアなのか…それともイ➞アなのか、自身がもてず
って思ってましたが、どっちもアなのか…それともイ➞アなのか、自身がもてず
2025.10.12 17:01
yuさん(No.63)
Rサービス、およびKサービスの検討。
段階的な導入ってところが後半部分はポイントになりそうですね。
段階的な導入ってところが後半部分はポイントになりそうですね。
2025.10.12 17:01
ひろゆきさん(No.64)
>齋藤こうたさん
自分もa1.b1.c1.d1からのアクセス拒否(削除)の依頼内容を含めて記載しました。
2025.10.12 17:08
午前マンさん(No.65)
確かに言われてみればアクセス拒否も必要か…
2025.10.12 17:16
ほげさん(No.66)
1 a DNSSEC
b DoH
c TLS
2 d イ
e ア
3 a1.b1.c1.d1のみに設定する
4 1 Kサービス用固定グローバルIPアドレスを許可する
2 WサービスとVサービスとZ-IB
5 1 認証方式1に設定し、個人が所有するスマホの電話番号を設定する
2 KサービスのログからOSのバージョンが古いPCを抽出してその使用者に対して電子メールでアラートする
---
2については、数字トークンは自分で口座番号を入力する仕組みなので、1度目は自分の口座番号で、2度目はポップアップの七桁の数字=攻撃者の口座番号だと思います。
4-2は、経理係と情報システム係はKサービスを使わず↑に通信する必要がある為。
5-1は問答無用で設定しないとフルリモートでどうしょうもなくなってしまう人もいるかなと思いましたが、MFA設定画面はIPアドレス制限が掛けられるだけで掛けてないか…。
5-2についてはよくあるパターンかなと思いました。
5-1以外は割と自信ありですが、どうでしょうか
b DoH
c TLS
2 d イ
e ア
3 a1.b1.c1.d1のみに設定する
4 1 Kサービス用固定グローバルIPアドレスを許可する
2 WサービスとVサービスとZ-IB
5 1 認証方式1に設定し、個人が所有するスマホの電話番号を設定する
2 KサービスのログからOSのバージョンが古いPCを抽出してその使用者に対して電子メールでアラートする
---
2については、数字トークンは自分で口座番号を入力する仕組みなので、1度目は自分の口座番号で、2度目はポップアップの七桁の数字=攻撃者の口座番号だと思います。
4-2は、経理係と情報システム係はKサービスを使わず↑に通信する必要がある為。
5-1は問答無用で設定しないとフルリモートでどうしょうもなくなってしまう人もいるかなと思いましたが、MFA設定画面はIPアドレス制限が掛けられるだけで掛けてないか…。
5-2についてはよくあるパターンかなと思いました。
5-1以外は割と自信ありですが、どうでしょうか
2025.10.12 17:19
りょさん(No.67)
途中の銀行の話、あの文量で問題にそこまで関係あるのかないのかが1番不安。しかも設問の重複OKってのを見て両方イにする...
2025.10.12 17:23
R7秋リベンジ!さん(No.68)
この投稿は投稿者により削除されました。(2025.10.12 17:26)
2025.10.12 17:26
franciska3さん(No.69)
銀行Z-IBについては接続元IPの縛る文言がないからKサービス経由でいいでしょ、って思っていたら…
そうか、経理担当はリモートワーク対象外なのでP社で仕事することになってますもんね…
なぜ見逃したんだ…
そうか、経理担当はリモートワーク対象外なのでP社で仕事することになってますもんね…
なぜ見逃したんだ…
2025.10.12 17:29
まっつんさん(No.70)
復元してみました。
設問1
a DNSSEC
b DoH
c TLS
設問2
d イ
e ア
設問3
Kサービスアクセスサイトへのアクセスを許可する接続元IPアドレスにP社のグローバルIPアドレス(a1.b1.c1.d1)を追加する
設問4
(1)f 各取引先サービスに許可する接続元IPアドレスに契約者(P社)
専用のKサービス用固定グローバルIPアドレスを指定してもらう
(2) 基本サイト、取引先サービス、Z-IB
設問5
(1)g MFA設定画面から先行利用者の個人用スマホを登録する
(2) 情報システム係をKサービスの管理者アカウントに追加し
KサービスのログのPC情報からOS移行が完了していない社員
に対してOS移行を促す
設問1
a DNSSEC
b DoH
c TLS
設問2
d イ
e ア
設問3
Kサービスアクセスサイトへのアクセスを許可する接続元IPアドレスにP社のグローバルIPアドレス(a1.b1.c1.d1)を追加する
設問4
(1)f 各取引先サービスに許可する接続元IPアドレスに契約者(P社)
専用のKサービス用固定グローバルIPアドレスを指定してもらう
(2) 基本サイト、取引先サービス、Z-IB
設問5
(1)g MFA設定画面から先行利用者の個人用スマホを登録する
(2) 情報システム係をKサービスの管理者アカウントに追加し
KサービスのログのPC情報からOS移行が完了していない社員
に対してOS移行を促す
2025.10.12 17:31
4連敗中さん(No.71)
設問3「a1.b1.c1.d1」っていう具体的な値見逃してて、「Kサービス設定サイトへのアクセスは、M-FWのグローバルIPアドレスからのみ許可する」って書いてしまいました泣泣泣
2025.10.12 17:32
franciska3さん(No.72)
銀行の口座番号は、2回とも攻撃者の番号だとさすがに担当者が気づくでしょ…?(二人で見ているし…)
とは思いましたが、
ポップアップ画面の内容に疑問を持たずに銀行の口座番号と同じ7桁の数字を打ち込んじゃう人たちだからなぁ…(偏見)
両方アかもしれないし、イ➞アかもしれないし…
とは思いましたが、
ポップアップ画面の内容に疑問を持たずに銀行の口座番号と同じ7桁の数字を打ち込んじゃう人たちだからなぁ…(偏見)
両方アかもしれないし、イ➞アかもしれないし…
2025.10.12 17:33
初受験さん(No.73)
設問1
(1)DNSSEC
(2)b:TLS c:秘密鍵
設問2
d:イ e:ア
設問3
Kサービス設定サイトへのアクセスを許可するIPアドレスにa1.b1.c1.d1を設定する
設問4
(1)各取引先サービスでKサービス用固定グローバルIPからのアクセスを許可してもらうように変更する
(2)基本サイト、ZIB、YIB、Kサービス設定サイト※YIBからZIBへの変更が完了したらYIBの設定は削除する
設問5
(1)PC情報を最新にしてPC情報の条件を更新する
(2)ログからPC情報のOSバージョンがバージョンXになっているものを抽出し、該当アカウントに対しバージョンYへ移行するように促進する
(1)DNSSEC
(2)b:TLS c:秘密鍵
設問2
d:イ e:ア
設問3
Kサービス設定サイトへのアクセスを許可するIPアドレスにa1.b1.c1.d1を設定する
設問4
(1)各取引先サービスでKサービス用固定グローバルIPからのアクセスを許可してもらうように変更する
(2)基本サイト、ZIB、YIB、Kサービス設定サイト※YIBからZIBへの変更が完了したらYIBの設定は削除する
設問5
(1)PC情報を最新にしてPC情報の条件を更新する
(2)ログからPC情報のOSバージョンがバージョンXになっているものを抽出し、該当アカウントに対しバージョンYへ移行するように促進する
2025.10.12 17:41
ほげさん(No.74)
うーん、基本サイトも必要ですかねぇ
初期化したタイミングでKサービスはまだ登録されてない…?そもそもKサービス使用=Kサービス用固定IPアドレスになるのか…?
初期化したタイミングでKサービスはまだ登録されてない…?そもそもKサービス使用=Kサービス用固定IPアドレスになるのか…?
2025.10.12 17:44
社畜さん(No.75)
依頼事項のところ、段階的な移行なので接続元IP拒否はダメやと思い許可だけ記載しました。
最後は、周知はしてても移行が進んでないので、ある期日から旧バージョンのOSからは拒否しますよっていうのを周知するのが良いと思って書きました。
採点どうなることやら、、
最後は、周知はしてても移行が進んでないので、ある期日から旧バージョンのOSからは拒否しますよっていうのを周知するのが良いと思って書きました。
採点どうなることやら、、
2025.10.12 17:54
^_^さん(No.76)
許可する宛先、基本サイトにするとwサービス含まれますけど、wサービスっているんですかね?
2025.10.12 18:00
ノリノリさん(No.77)
問5(2) Kサービスには接続拒否の機能があるので、XバージョンのOS(古いOS)は接続を拒否する、としました
2025.10.12 18:01
franciska3さん(No.78)
Kサービスを使って、OSが不適切なバージョンの人はぶつっと遮断して、
これまたKサービスで接続失敗した人を特定したら、情報システム係さんが、
じゃあバージョン以降……してね?
と肩を叩きに行くみたいなことを書きましたが……
そうか、促すだけでよかったんですね……
仕事に支障でたらダメですもんね……
これまたKサービスで接続失敗した人を特定したら、情報システム係さんが、
じゃあバージョン以降……してね?
と肩を叩きに行くみたいなことを書きましたが……
そうか、促すだけでよかったんですね……
仕事に支障でたらダメですもんね……
2025.10.12 18:02
ひろゆきさん(No.79)
>社畜さん
依頼の方は自分もそれ悩みました。時系列的にこのタイミングで拒否したら業務に支障が出るんじゃねと思いましたが拒否(削除)も書いてしまいました。
2025.10.12 18:05
bikachaoさん(No.80)
問題4(2)
Kサービスが認証するため、Idp、SAML使っていると思って、"認証基盤サービスへのHTTPS通信も許可する"と書いた...
図7の5番が図2を行った...
自信がないなあ・・・
Kサービスが認証するため、Idp、SAML使っていると思って、"認証基盤サービスへのHTTPS通信も許可する"と書いた...
図7の5番が図2を行った...
自信がないなあ・・・
2025.10.12 18:05
ノリノリさん(No.81)
問5(1)g ここは緊急時の私用スマホの利用について触れる所かと思い、認証アプリを入れて再度登録する的な内容にしました
2025.10.12 18:10
ななしさん(No.82)
この投稿は投稿者により削除されました。(2025.10.12 18:17)
2025.10.12 18:17
シゲノさん(No.83)
書けるだけ書きましたが正直自信無いですね。
前回よりはマシだと思いますが。。。
設問1
(1)a:DNSSEC
(2)
b:DoH
c:TLS
設問2
d:イ
e:ア
設問3
Kサービス設定サイトへのアクセスを許可する接続元IPアドレスとして、M-FWのグローバルIPアドレス(a1.b1.c1.d1)のみを設定する。
設問4
(1)f:P社の契約者専用のKサービス用固定グローバルIPアドレスを、各取引先サービスの接続を許可するIPアドレスとして登録してもらう。
(2):基本サイト、各取引先サービス、利用するインターネットバンキング(Z-IB)のwebページ
設問5
g:個人所有のスマホの利用を許可し、該当スマホ(認証アプリを含む)と電話番号を認証基盤サービスへ登録する。
(2):Kサービスへの接続を許可するPC情報の中で、接続元のOSバージョンについて、バージョンY以降のみとすることを全社に通知する。(期限は[社有PCのOSの現状]から4ヶ月以内)
前回よりはマシだと思いますが。。。
設問1
(1)a:DNSSEC
(2)
b:DoH
c:TLS
設問2
d:イ
e:ア
設問3
Kサービス設定サイトへのアクセスを許可する接続元IPアドレスとして、M-FWのグローバルIPアドレス(a1.b1.c1.d1)のみを設定する。
設問4
(1)f:P社の契約者専用のKサービス用固定グローバルIPアドレスを、各取引先サービスの接続を許可するIPアドレスとして登録してもらう。
(2):基本サイト、各取引先サービス、利用するインターネットバンキング(Z-IB)のwebページ
設問5
g:個人所有のスマホの利用を許可し、該当スマホ(認証アプリを含む)と電話番号を認証基盤サービスへ登録する。
(2):Kサービスへの接続を許可するPC情報の中で、接続元のOSバージョンについて、バージョンY以降のみとすることを全社に通知する。(期限は[社有PCのOSの現状]から4ヶ月以内)
2025.10.12 18:24
生きたかったさん(No.84)
DoH(TTPS)かDo(HTTP)Sか悩んで、もしDoSならもっと強烈に頭に残っているよな…と思いなおしました。
あと設問3が回答欄長すぎじゃないですかね。a1.b1.c1.d1だけでもいいきがします。
あまりに回答欄短すぎると狙われるからあえて水増し狙っているのかなと思いました。
======================
設問1 (1) a DNSSEC
(2) b DoH
c TLS
設問2 d イ
e ア
設問3 ① M-FWのインターネット側インターフェースのグローバルIPアドレスであるa1.b1.c1.d1のみをアクセスを許可する接続元IPアドレスに設定する
設問4 (1) f M-FWのグローバルIPアドレスからの接続は拒否し、Kサービス経由でインターネットアクセス時の送信元IPアドレスを許可してもらう
(2) ② Vサービスの認証基盤サービス(a9.b9.c9.d9)
設問5 (1) g SMSを受信出来る電話番号を登録する
(2) ③ Kサービス接続時に接続元PCのOSのバージョンをチェックし、バージョンYの場合のみ接続を許可するように接続を許可するPC情報の条件を管理者アカウントで設定する
あと設問3が回答欄長すぎじゃないですかね。a1.b1.c1.d1だけでもいいきがします。
あまりに回答欄短すぎると狙われるからあえて水増し狙っているのかなと思いました。
======================
設問1 (1) a DNSSEC
(2) b DoH
c TLS
設問2 d イ
e ア
設問3 ① M-FWのインターネット側インターフェースのグローバルIPアドレスであるa1.b1.c1.d1のみをアクセスを許可する接続元IPアドレスに設定する
設問4 (1) f M-FWのグローバルIPアドレスからの接続は拒否し、Kサービス経由でインターネットアクセス時の送信元IPアドレスを許可してもらう
(2) ② Vサービスの認証基盤サービス(a9.b9.c9.d9)
設問5 (1) g SMSを受信出来る電話番号を登録する
(2) ③ Kサービス接続時に接続元PCのOSのバージョンをチェックし、バージョンYの場合のみ接続を許可するように接続を許可するPC情報の条件を管理者アカウントで設定する
2025.10.12 18:26
おじさんさん(No.85)
バージョンYの時しか接続できないのは可用性損なわれないかと悩んだ
2025.10.12 18:30
ひろゆきさん(No.86)
>>84
自分も宛先書くだけなのに解答欄長過ぎるだろ!って思いました
2025.10.12 18:35
ペドロンさん(No.87)
自分も設問4の2はvサービスの認証基盤サービスって書いたけど解答欄がめちゃくちゃ大きかったので自信なさすぎる
なんか解答欄必要以上に大きいとこちょこちょこあった気がする…
問題文に「具体的に」ってなくても具体的に書けってことなのかな
なんか解答欄必要以上に大きいとこちょこちょこあった気がする…
問題文に「具体的に」ってなくても具体的に書けってことなのかな
2025.10.12 18:35
挑戦n回目さん(No.88)
最後、バージョンYじゃないなら拒否にしてしまったけど皆さんの回答見てOS変更促すだけに留めるのがこれまでの傾向的にも模範解答だよな、と凹んでます。。
ただサーバのOS変更ならともかく個人のPCならOS変更くらいサクッとやってくれよ。。とも思いますが
ただサーバのOS変更ならともかく個人のPCならOS変更くらいサクッとやってくれよ。。とも思いますが
2025.10.12 18:40
dとeさん(No.89)
私も問4の2はVサービスの認証基盤サービスだけにしました。
その他のサイトは認証が通ってKサービス接続後に接続すべきサイトだと思って。
ただ、ペドロンさんと同じく解答欄が長かったのが懸念事項。
その他のサイトは認証が通ってKサービス接続後に接続すべきサイトだと思って。
ただ、ペドロンさんと同じく解答欄が長かったのが懸念事項。
2025.10.12 18:40
おっさんさん(No.90)
問四の2とか完全な合ってないとバツだとしんどいよね。
部分点が欲しいです
部分点が欲しいです
2025.10.12 18:51
ほげさん(No.91)
確かに回答欄でかいのは気になりますね。他の問題は逆に小さくてなんかちぐはぐだなぁと思いました
OSのアップデートはね…、ずっと言ってても忙しいからってアップデートされないんですよね…部署のPCを全部Windows11にしてもらうの大変だった…。休眠PCとかもあったし…。
OSのアップデートはね…、ずっと言ってても忙しいからってアップデートされないんですよね…部署のPCを全部Windows11にしてもらうの大変だった…。休眠PCとかもあったし…。
2025.10.12 18:59
nnaayyさん(No.92)
問3は何か簡単なような、的外れなことを書いているような微妙に不安になる問題でした。設問5の2って皆さんそう言う感じで書いたんですね....
Kを活用したOS以降促進の施策ということで、OSのバージョンYに移行すればKサービスを活用してリモートワークできるようにする施策、みたいな感じで移行促進キャンペーン的な回答をしてしまったけどどうなんだろう....
出題者の意図がわからないけど確かにベストな回答ではなさそうだ。
Kを活用したOS以降促進の施策ということで、OSのバージョンYに移行すればKサービスを活用してリモートワークできるようにする施策、みたいな感じで移行促進キャンペーン的な回答をしてしまったけどどうなんだろう....
出題者の意図がわからないけど確かにベストな回答ではなさそうだ。
2025.10.12 19:01
本当にお疲れ様でしたさん(No.93)
DNSSECをDNSsecと記述した場合、採点に何か影響がありますか?
2025.10.12 19:04
メタ中さん(No.94)
設問1 a,b,c 不明
設問2
d: イ
e: イ
設問3
M-FWのインターネット側インターフェースのグローバルIPアドレス(a1.b1.c1.d1)を設定する
設問4
(1)今までの制限の設定の破棄と新規にサービスK契約者専用のグローバルIPアドレスを登録してもらう依頼
# 破棄と登録依頼が観点なのかなって感じています
(2)Kサービス設定サイト
# Kソフトを入れるためにはKサービス設定サイトにアクセスできないといけないので、Kサービス介さずアクセスできないといけないのでは?と思っていました…。
設問5
(1) 従業者が個人所有するスマホの電話番号を登録する設定
# 社用は要件を満たさないので個人所有が肝かなぁと…。
(2) 接続時にOSのバージョンとアカウントがログに残るため、バージョンXにアップデートしていない従業員へアナウンスする施策。インターネットに接続しなくてもOSがアップデートできる場合、バージョンXのOSのPCの接続を拒否する施策。
設問1と設問2がぼろぼろすぎた…
設問2
d: イ
e: イ
設問3
M-FWのインターネット側インターフェースのグローバルIPアドレス(a1.b1.c1.d1)を設定する
設問4
(1)今までの制限の設定の破棄と新規にサービスK契約者専用のグローバルIPアドレスを登録してもらう依頼
# 破棄と登録依頼が観点なのかなって感じています
(2)Kサービス設定サイト
# Kソフトを入れるためにはKサービス設定サイトにアクセスできないといけないので、Kサービス介さずアクセスできないといけないのでは?と思っていました…。
設問5
(1) 従業者が個人所有するスマホの電話番号を登録する設定
# 社用は要件を満たさないので個人所有が肝かなぁと…。
(2) 接続時にOSのバージョンとアカウントがログに残るため、バージョンXにアップデートしていない従業員へアナウンスする施策。インターネットに接続しなくてもOSがアップデートできる場合、バージョンXのOSのPCの接続を拒否する施策。
設問1と設問2がぼろぼろすぎた…
2025.10.12 19:05
ht002905さん(No.95)
4-2はOSとかアップデートしてないとKサービスに接続できないみたいに書いてたから、こっちもどうなのか。
2025.10.12 19:57
stlnさん(No.96)
設問5はKサービスにOSのバージョンを見て接続可否を判定できる機能があるので、期限までにバージョンYにしないとKサービスに接続できなくなりますよと周知して移行を促す、くらいにしました。本当に接続拒否すると業務に支障が出そうなので実際にその設定にするかどうかはあえてぼかす感じで書きましたね。
2025.10.12 19:57
あ5785さん(No.97)
5(1)
方式3にすることで、方式1,2を自由に選択可能なので、1に対してはプライベートスマホの電話番号を登録する
(2)
周知するのもありだが、古いバージョンからは受け付けないように設定。
方式3にすることで、方式1,2を自由に選択可能なので、1に対してはプライベートスマホの電話番号を登録する
(2)
周知するのもありだが、古いバージョンからは受け付けないように設定。
2025.10.12 20:03
ht002905さん(No.98)
OSのバージョンアップは、ログから状況を見て、フォローと協力、支援にしました。
社内で通信不可は、業務影響でて会社としてマイナスでしょうし、期限内に皆できるように考えてみました。
社内で通信不可は、業務影響でて会社としてマイナスでしょうし、期限内に皆できるように考えてみました。
2025.10.12 20:04
あんぽんさん(No.99)
設問4(2)はKサービスの利用対象外になるので「経理係の利用するIBのWebサイト」としました。
基本サイト(Vサービスふくむ)や取引先サービスのFQDNはKサービスの除外リストに登録とあったので不要と思い解答に書かなかった・・・
基本サイト(Vサービスふくむ)や取引先サービスのFQDNはKサービスの除外リストに登録とあったので不要と思い解答に書かなかった・・・
2025.10.12 20:05
diceさん(No.100)
UDP版のTLSって6年秋の午前に出たよな
なんだっけ?
なんだっけ?
2025.10.12 20:08
ひろゆきさん(No.101)
>>100
DTLSだと思います
2025.10.12 20:12
diceさん(No.102)
>>101
ありがとうございます、それでした
#DoTは素直にTLSでいいと思います
2025.10.12 20:14
あんぽんさん(No.103)
設問1
a DNSSEC
b ?
# DNS Over TLSかなと一瞬脳裏をよぎったが字数オーバーじゃんと気づき結局書けず(泣)
c TLS
設問2
d: ア
e: ア
設問3
Kサービス設定サイトへアクセスできる接続元IPアドレスを「a1.b1.c1.d1」のみとする
設問4
(1)各取引先サービスで行っている接続元IPアドレス制限について、現在の「a1.b1.c1.d1」に加え、Kサービスで付与されるP社用固定グローバルIPアドレスを設定してもらう
# 初めは「a1.b1.c1.d1」を削除して・・・としていたのですが、まだ先行利用の段階と思い直し、単純追加にしました。
(2)経理係の利用するIBのWebサイト
設問5
(1) MFA設定画面への接続元IPアドレス制限を行わない
# 全く自信なし
(2) 社有PCのうちOSがバージョンXのものについて、Kサービス接続時のログを用いて抽出した上で、当該社有PCの所属する部の情報セキュリティ推進者に早期の移行を促す
# 拒否までは行き過ぎかなと思い・・・アラート飛ばすような機能あればそっち書いたんですが。
字数制限がないのをいいことにダラダラと冗長な解答して部分点狙いでした。
a DNSSEC
b ?
# DNS Over TLSかなと一瞬脳裏をよぎったが字数オーバーじゃんと気づき結局書けず(泣)
c TLS
設問2
d: ア
e: ア
設問3
Kサービス設定サイトへアクセスできる接続元IPアドレスを「a1.b1.c1.d1」のみとする
設問4
(1)各取引先サービスで行っている接続元IPアドレス制限について、現在の「a1.b1.c1.d1」に加え、Kサービスで付与されるP社用固定グローバルIPアドレスを設定してもらう
# 初めは「a1.b1.c1.d1」を削除して・・・としていたのですが、まだ先行利用の段階と思い直し、単純追加にしました。
(2)経理係の利用するIBのWebサイト
設問5
(1) MFA設定画面への接続元IPアドレス制限を行わない
# 全く自信なし
(2) 社有PCのうちOSがバージョンXのものについて、Kサービス接続時のログを用いて抽出した上で、当該社有PCの所属する部の情報セキュリティ推進者に早期の移行を促す
# 拒否までは行き過ぎかなと思い・・・アラート飛ばすような機能あればそっち書いたんですが。
字数制限がないのをいいことにダラダラと冗長な解答して部分点狙いでした。
2025.10.12 20:31
diceさん(No.104)
RFC 8094にDNS over DTLSってあるんだな
そんなひねくれ問題でるか?
6年秋にSTARTTLSとSMTPSで痛い目をみたけども
そんなひねくれ問題でるか?
6年秋にSTARTTLSとSMTPSで痛い目をみたけども
2025.10.12 20:35
あぴさん(No.105)
記録として。全然手ごたえなかったので今回はダメかな…
設問1(1)a:DNSSEC
(2)b:TLS、c:TLS
設問2 d:イ、e:イ
設問3 Kサービス設定サイトへのアクセスを許可するIPアドレスにa1.b1.c1.d1を追加する
設問4(1)f:Kサービス用固定グローバルIPアドレスを接続許可IPアドレスに追加いただく
(2)Vサービスの認証基盤サービス
設問5(1)g:認証方式1の電話番号に個人所有のスマホの電話番号を登録する
(2)KサービスのログからバージョンXのOSを利用している利用者を特定し、バージョンアップ対応を促す
設問1(1)a:DNSSEC
(2)b:TLS、c:TLS
設問2 d:イ、e:イ
設問3 Kサービス設定サイトへのアクセスを許可するIPアドレスにa1.b1.c1.d1を追加する
設問4(1)f:Kサービス用固定グローバルIPアドレスを接続許可IPアドレスに追加いただく
(2)Vサービスの認証基盤サービス
設問5(1)g:認証方式1の電話番号に個人所有のスマホの電話番号を登録する
(2)KサービスのログからバージョンXのOSを利用している利用者を特定し、バージョンアップ対応を促す
2025.10.12 20:48
初学者くんさん(No.106)
設問4 (1)ですが、わからなすぎて、「フィッシングサイトがないか確認する。可能であれば、EV証明書を用いる。」
と書いてしまいました汗
と書いてしまいました汗
2025.10.12 20:53
初学者くんさん(No.107)
また、設問5 (1)ですが、認証ができないと書かれていたので「接続元IPアドレスで認証する」と書きました。
2025.10.12 20:56
franciska3さん(No.108)
> RFC 8094
安心してください。
DNS over DTLS の略称はDNSoDです。
DoTはDNS over TLSの略称です。
ちなみに余談ですが、RFC 8094自体も「実験的(Experimental)」ステータスで、標準ではありません。
代わりに同じUDPかつTLS1.3を標準化しているDNS over QUIC (DoQ) が後継のような立ち位置を得ています。
2025.10.12 21:02
diceさん(No.109)
有識者の回答助かるわ
2025.10.12 21:10
受かっててほしいさん(No.110)
設問4(2)は情報システムの管理以外をKサービス経由にするって書いてあるので、
Vサービスの認証基盤サービスのグローバルIPアドレスとWサービスのグローバルIPアドレスを書きましたけど、
経理系のIBの利用もKサービス対象外にしてましたね。。
Vサービスの認証基盤サービスのグローバルIPアドレスとWサービスのグローバルIPアドレスを書きましたけど、
経理系のIBの利用もKサービス対象外にしてましたね。。
2025.10.12 22:04
yepeslk2さん(No.111)
設問4(2)はwサービスのIPは必須だと思います。
なぜならWサービスの接続元IPは制限されており、その変更に文中で触れていないからです。
なぜならWサービスの接続元IPは制限されており、その変更に文中で触れていないからです。
2025.10.12 22:12
なしさん(No.112)
最後の問題、やっぱりログを活用するよなぁ。
悩んだけど、自分の会社はログなんて使わずに全体に更新しろよしないと接続不可だぞと通知されてそれでも更新しなければいきなり遮断されるから、ログには言及しなかったんだよな。問題文に意味ありそうな感じで書かれてるんだから、そっちだよなぁ。無理やりログを無視するなら、更新していない人の有無だけをログで確認しているということだろうけど、問題的にそんなことはないか。
悩んだけど、自分の会社はログなんて使わずに全体に更新しろよしないと接続不可だぞと通知されてそれでも更新しなければいきなり遮断されるから、ログには言及しなかったんだよな。問題文に意味ありそうな感じで書かれてるんだから、そっちだよなぁ。無理やりログを無視するなら、更新していない人の有無だけをログで確認しているということだろうけど、問題的にそんなことはないか。
2025.10.12 22:16
franciska3さん(No.113)
この投稿は投稿者により削除されました。(2025.10.12 22:55)
2025.10.12 22:55
yepeslk2さん(No.114)
最後の設問ですが
社内PCもKサービス使うという切り替えは少し不自然でしたが設問でそうなっていたので、ログからXバージョンのOS利用者をリストして、バージョンアップを促すのか望ましいかなと思いました。
社内PCもKサービス使うという切り替えは少し不自然でしたが設問でそうなっていたので、ログからXバージョンのOS利用者をリストして、バージョンアップを促すのか望ましいかなと思いました。
2025.10.12 22:26
なしさん(No.115)
会社の規模によっては個々にログを拾っていちいち通知するのが労力的に厳しいのではと思わなくもないですが、この設問ではどうなんでしたっけ。
2025.10.12 22:33
なしさん(No.116)
と思ったけど、そんなの自動でやれるか。余計なことを書いてすいません。
2025.10.12 22:37
なのやままさん(No.117)
あくまでosの最新化を促進するだけなので。
2025.10.12 22:45
じゅんさん(No.118)
Z-IBも必要だったのかー
勝手に取引先に含まれてるだろって脳内補完してしまったー
勝手に取引先に含まれてるだろって脳内補完してしまったー
2025.10.12 23:30
ぽみさん(No.119)
設問4(2)、自信満々に
OSアップデート配布サイトとマルウェア定義サイト
って書いたんだけど、皆さんの回答を見て間違いに気付いて落ち込み……
だから解答欄あんなに広かったのか…
OSアップデート配布サイトとマルウェア定義サイト
って書いたんだけど、皆さんの回答を見て間違いに気付いて落ち込み……
だから解答欄あんなに広かったのか…
2025.10.12 23:38
けんさん(No.120)
4(2)
URLフィルタリングサービスの除外リストに登録された宛先
という回答は的外れでしょうか?
具体的にという記載がなかったので、、
URLフィルタリングサービスの除外リストに登録された宛先
という回答は的外れでしょうか?
具体的にという記載がなかったので、、
2025.10.12 23:54
おおあさん(No.121)
Z-IBって経理係のK-サービス利用は除かれているので不要じゃないですか?
2025.10.12 23:55
tokuppeeさん(No.122)
最後の問題ですが
「リモートワークの条件をKサービス利用にし、リモートワークをしたい社員はKサービスを利用するように促す」
としましたが、みんながリモートワークしたいとも限らないか・・・
「リモートワークの条件をKサービス利用にし、リモートワークをしたい社員はKサービスを利用するように促す」
としましたが、みんながリモートワークしたいとも限らないか・・・
2025.10.13 00:25
ななしさん(No.123)
問4(2)について個人的な意見です
●前提
求められているのはK-サービス導入後はHTTPS通信はK-サービス経由させるが
一部、K-サービスを経由させずにM-FWから直接アクセスさせるものがあり、それを答える
●回答
シンプルに「P 社 出 勤 時 も 経 理 係の I B の 利 用 及 び 情 報 シ ス テ ム 係 の 情 報 シ ス テ ム の 管 理 を 除 き 」とあるのでこの除かれるものが回答になると思います
具体的にという記載がないのでグローバルIPを書く必要はない(そもそも不明)
●補足
・V サ ー ビ ス の 認 証 基 盤 サ ー ビ スは?
→認証自体はスマホ→認 証 基 盤 サ ー ビ ス、K-サービス→認 証 基 盤 サ ー ビ スなのでそもそもM-FWを経由しない。
怪しいのはMFA設定画面ですが、図7でK-サービス経由で図2を行うとあり
図2の中に「. 0 S ベ ン ダ ー の 0 S ア ッ プ デ ー ト 配 布 サ イ ト 、 社 の マ ル ウ ェ ア 定 義 フ ァ イ ル 配 布 サ イ ト 、 V サ ー
ビ ス 、 P 社 専 用 W サ ー ビ ス ( 以 下 、 四 つ を 併 せ て 基 本 サ イ ト と い う ) 及 び 取 引 先 サ ー ビ ス に ア ク
セ ス し 」とあるのでMFA設定画面を含む基本サイトはK-サービス経由で通信可能と読めます
・ U R L フ ィ ル タ リ ン グ サ ー ビ ス の 除 外 リ ス ト の 、 基 本 サ イ ト の F Q D N ,取 引 先 サ ー ビ ス の F Q D N は?
→SSL復号化の除外であって通信自体はK-サービス経由だと思われます
また図2の中にどちらも含まれています
●前提
求められているのはK-サービス導入後はHTTPS通信はK-サービス経由させるが
一部、K-サービスを経由させずにM-FWから直接アクセスさせるものがあり、それを答える
●回答
シンプルに「P 社 出 勤 時 も 経 理 係の I B の 利 用 及 び 情 報 シ ス テ ム 係 の 情 報 シ ス テ ム の 管 理 を 除 き 」とあるのでこの除かれるものが回答になると思います
具体的にという記載がないのでグローバルIPを書く必要はない(そもそも不明)
●補足
・V サ ー ビ ス の 認 証 基 盤 サ ー ビ スは?
→認証自体はスマホ→認 証 基 盤 サ ー ビ ス、K-サービス→認 証 基 盤 サ ー ビ スなのでそもそもM-FWを経由しない。
怪しいのはMFA設定画面ですが、図7でK-サービス経由で図2を行うとあり
図2の中に「. 0 S ベ ン ダ ー の 0 S ア ッ プ デ ー ト 配 布 サ イ ト 、 社 の マ ル ウ ェ ア 定 義 フ ァ イ ル 配 布 サ イ ト 、 V サ ー
ビ ス 、 P 社 専 用 W サ ー ビ ス ( 以 下 、 四 つ を 併 せ て 基 本 サ イ ト と い う ) 及 び 取 引 先 サ ー ビ ス に ア ク
セ ス し 」とあるのでMFA設定画面を含む基本サイトはK-サービス経由で通信可能と読めます
・ U R L フ ィ ル タ リ ン グ サ ー ビ ス の 除 外 リ ス ト の 、 基 本 サ イ ト の F Q D N ,取 引 先 サ ー ビ ス の F Q D N は?
→SSL復号化の除外であって通信自体はK-サービス経由だと思われます
また図2の中にどちらも含まれています
2025.10.13 00:38
初受験さん(No.124)
設問3
下線①に「P社内"だけ”」とあるので、回答も「~のIPアドレス"だけ"」にした
下線①に「P社内"だけ”」とあるので、回答も「~のIPアドレス"だけ"」にした
2025.10.13 00:44
franciska3さん(No.125)
Vサービスの認証はM-FWを通過しないから、というのは目からウロコではあるのですが
Vサービスの認証基盤サービスをIdPとしてSAMLを利用するとき、KサービスからのVサービスにリダイレクトするときにM-FWが障害になって認証失敗したりはしないでしょうか…?
ただ「Vサービスの認証基盤サービスをIdPとしてSAMLを利用できる(するとは言っていない)」という可能性もあるので、
その場合はやはりVサービスの認証基盤サービスは必要ないかもしれませんね
Vサービスの認証基盤サービスをIdPとしてSAMLを利用するとき、KサービスからのVサービスにリダイレクトするときにM-FWが障害になって認証失敗したりはしないでしょうか…?
ただ「Vサービスの認証基盤サービスをIdPとしてSAMLを利用できる(するとは言っていない)」という可能性もあるので、
その場合はやはりVサービスの認証基盤サービスは必要ないかもしれませんね
2025.10.13 01:53
35さん(No.126)
問題文の時系列が全体的に曖昧で、
Z-IBへの切り替えがいつなのか、
それによってHTTPS遮断除外はZ-IBだけでいいのか…とか、
Kサービスの全社展開もいつだか分からんのでOSサポート期限までどのくらいバッファがあるのか…とか、
終わり際気になって悶々としてた。
Z-IBへの切り替えがいつなのか、
それによってHTTPS遮断除外はZ-IBだけでいいのか…とか、
Kサービスの全社展開もいつだか分からんのでOSサポート期限までどのくらいバッファがあるのか…とか、
終わり際気になって悶々としてた。
2025.10.13 04:46
35さん(No.127)
あと、最終的にKサービスを使うのは、
社内のPC全部なのか、リモート用PCを社内から繋ぐ時も、って話なのかも悩み始めて、
問題の流れからは全部だけど、アカウント増やしてコストかけて全部Kサービス経由にする必要があるのか、とか余計な心配する職業病(笑)
社内のPC全部なのか、リモート用PCを社内から繋ぐ時も、って話なのかも悩み始めて、
問題の流れからは全部だけど、アカウント増やしてコストかけて全部Kサービス経由にする必要があるのか、とか余計な心配する職業病(笑)
2025.10.13 04:53
yepeslk2さん(No.128)
dとeはどっちもアだと思います。
そうしないと攻撃が成功しないのでは。
担当者が気がつくだろ、と思ってイにしてしまったので間違えました。
そうしないと攻撃が成功しないのでは。
担当者が気がつくだろ、と思ってイにしてしまったので間違えました。
2025.10.13 08:36
太郎さん(No.129)
攻撃者の口座番号でトークン作らせるので、2回目は攻撃者口座ですね。ポップアップの番号が口座だけど、被害者は気付かない的な。
2025.10.13 09:09
franciska3さん(No.130)
>dとeはどっちもアだと思います。
そうしないと攻撃が成功しないのでは
これ、私も気になったのですが…
もし最初の部分で攻撃者の口座に出来るなら、最初の一回でそのまま振り込ませればよいのでは?と気になってしまいました。
どのタイミングで担当者に攻撃者の口座番号(ア)を認識させたのか?という点も気になります。
偽のサーバを噛ませて逐一情報を書き換えて正規のサーバに送信している点や、(8)で偽装工作をしていることから、
おそらく最初に担当者が入力している口座番号などは担当者が正規のもの(イ)であって、ここには攻撃者の情報はないと思います(ソーシャルエンジニアリングなどでここをすり替えているとすれば、そもそもポップアップ画面も偽のサーバを出す必要もなく勝手に担当者が攻撃者の口座番号(ア)を入力して振込終了してますし…)
とすれば、一回目にトークンに入力した数字も、担当者が知っている情報=攻撃者が改変する前の口座番号(イ)なのでは?と思います。
なので、わざわざポップアップで入力画面を表示させたうえで、しかも数字が7桁と露骨に口座番号っぽいことを考えると、この時点で謎の7桁の数字が攻撃者の口座番号(ア)で、それを悟らせないために本人確認が必要です、などと称しているのではないかな?と思いました。
2025.10.13 09:10
franciska3さん(No.131)
わざわざ重複可にしたのは気になりますが、
単純に後者は攻撃者の口座番号だろー、とカンでやったら自動的にもう一個も正解して2点になるのが癪だったんじゃないかと(書き込みを見ても、納得できそうな理由付きで後者をイしている人があんまりいませんしね)
単純に後者は攻撃者の口座番号だろー、とカンでやったら自動的にもう一個も正解して2点になるのが癪だったんじゃないかと(書き込みを見ても、納得できそうな理由付きで後者をイしている人があんまりいませんしね)
2025.10.13 09:21
りょさん(No.132)
口座番号と時間からなるトークンってあったから少なくともどちらかは攻撃者の口座と思い両方イにしました。
2025.10.13 09:36
太郎さん(No.133)
一回目は銀行に送信せず、偽サーバーで止めています。二回目は銀行に送信していますので。
2025.10.13 09:42
franciska3さん(No.134)
>少なくともどちらかは攻撃者の口座と思い両方イにしました。
こんな悲しい事故あります…?
2025.10.13 09:50
ひろゆきさん(No.135)
>>134
ただ中継するだけで攻撃する気なくて草
2025.10.13 10:08
ht002905さん(No.136)
口座のところは!高額だから2回口座番号入れさせたとして、低額やリスク考えた2段階が無ければ?と考えた、最初はアにしました。
2回目は最初と異なると取引成立しないと考え、こちらもアにしました。
部分的に省略されたり読みにくくでしたが。
2回目は最初と異なると取引成立しないと考え、こちらもアにしました。
部分的に省略されたり読みにくくでしたが。
2025.10.13 10:49
Natsuさん(No.137)
追加するサイトはVサービス認可基盤サービス、OSベンダーのアップデートサイト、K設定サイトであってるのか。KサービスとKぼ設定サイトが同じドメインではない場合もあるでしょう。他はVサービス繋げばなんとかなると思った。でもWサービスは情シスの作業範囲なので入れておいたほうが無難かもしれないな。
2025.10.13 10:50
ななしさん(No.138)
>>125
> Vサービスの認証基盤サービスをIdPとしてSAMLを利用するとき、KサービスからのVサービスにリダイレクトするときにM-FWが障害になって認証失敗したりはしないでしょうか…?
VサービスもKサービスもSaaSなのでインターネットで直接やりとりする認識です。
オンプレにActive DirectoryがあればM-FWを経由する通信が発生しえますが、今回それはなさそうです
2025.10.13 11:04
ななしさん(No.139)
設問2は(d)イ、(e)アだと思います
そもそも通常のオペレーションでトークンには
振込先の口座を入力する意識が担当者にあるはずです
なので担当者は攻撃を認知できなくても通常のオペレーション通りに
まずは書き換え前の口座番号を入力します
※これで入手した認証情報はY-IBのWebサイトには送らない
その後攻撃者は問題文に記載の通り担当者が
図3の”流れ”を理解してないことにつけこんでそれっぽいポップアップを表示して
ここで攻撃者の口座番号を入力させます
これで入手した認証情報をY-IBのWebサイトに送ることで攻撃成功
トークンには認証番号しか表示されずに、振込先の口座情報はWeb画面にでるので
改ざんした情報を表示させれば気づかれないという寸法ですね
※Z-IBのカメラ付きトークンはトークン上にも認証番号だけでなく、取引内容が表示されるというのがミソだと思います
そもそも通常のオペレーションでトークンには
振込先の口座を入力する意識が担当者にあるはずです
なので担当者は攻撃を認知できなくても通常のオペレーション通りに
まずは書き換え前の口座番号を入力します
※これで入手した認証情報はY-IBのWebサイトには送らない
その後攻撃者は問題文に記載の通り担当者が
図3の”流れ”を理解してないことにつけこんでそれっぽいポップアップを表示して
ここで攻撃者の口座番号を入力させます
これで入手した認証情報をY-IBのWebサイトに送ることで攻撃成功
トークンには認証番号しか表示されずに、振込先の口座情報はWeb画面にでるので
改ざんした情報を表示させれば気づかれないという寸法ですね
※Z-IBのカメラ付きトークンはトークン上にも認証番号だけでなく、取引内容が表示されるというのがミソだと思います
2025.10.13 11:12
yepeslk2さん(No.140)
>Wサービスは情シスの作業範囲なので入れておいたほうが無難かもしれないな。
Wサービスは接続元IPが制限されてます。なのでKサービス介さずに直接アクセスできなければなりません、と考えたので、P社のFWに追加せねばならないかと。
2025.10.13 11:45
ペドロンさん(No.141)
図2にvサービス書いてあったか…
改めて振り返ってるけど、解答が割れてるだけあって問3は設問4の⑵が一番難しい気がする
この問題を答えるには複数箇所注意深く読んで整理せんとダメだ
改めて振り返ってるけど、解答が割れてるだけあって問3は設問4の⑵が一番難しい気がする
この問題を答えるには複数箇所注意深く読んで整理せんとダメだ
2025.10.13 11:45
ぷーちゃんさん(No.142)
設問2は、イ、アの順番ですよね。
イ、イ。にした人は片方正解ですし、
ア、ア。にした人も片方正解です。
イ、イ。にした人は片方正解ですし、
ア、ア。にした人も片方正解です。
2025.10.13 11:52
ななしさん(No.143)
全般的に、段階的移行をを落とした。
来年も受験だぁ😭
来年も受験だぁ😭
2025.10.13 11:58
ななしさん(No.144)
>Wサービスは接続元IPが制限されてます。なのでKサービス介さずに直接アクセスできなければなりません、と考えたので、P社のFWに追加せねばならないかと。
②の上に図8以外に必要となる変更の中に
「W社に設定変更を依頼する」とあってこれが接続元IPにK-サービスを追加することだと推察してます
Wサービスは基本サイトに含まれることからも、通信自体はK-サービスを経由すると考えられます
2025.10.13 12:21
ななしさん(No.145)
改めて整理すると
本文中に明示的に除くとされている
・経理係のIBのサイトのIPアドレス
・情報システム係の情報システム管理に使うサイトのIPアドレス
追加で図7に記載のK-サービス経由前にアクセスするサイト
・認証基盤サービス
(これは認証のためではなく情報システム係のアカウント作成のためで、上の情報システム係の情報システム管理に使うサイトに含まれると思われる)
・MFA設定画面
・K-サービス設定サイト
という感じでしょうか
なかなか難しいですね。。。
本文中に明示的に除くとされている
・経理係のIBのサイトのIPアドレス
・情報システム係の情報システム管理に使うサイトのIPアドレス
追加で図7に記載のK-サービス経由前にアクセスするサイト
・認証基盤サービス
(これは認証のためではなく情報システム係のアカウント作成のためで、上の情報システム係の情報システム管理に使うサイトに含まれると思われる)
・MFA設定画面
・K-サービス設定サイト
という感じでしょうか
なかなか難しいですね。。。
2025.10.13 12:32
^_^さん(No.146)
>140
銀行系と情シスの管理系通信以外はサービスkを経由するというポリシーの元、
[段階的な利用計画]中"(1) Wへ社に設定変更を依頼"の依頼内容を推測すると、W社の送信元制限にkサービスを追加したものとも考えてました。
それ以外にWサービスに依頼することってないような気がするんですが、なんかありますかね?
Wサービスに情シスが管理通信することまで考慮せよということならWサービスの宛先追加必要だけど、業務系の通信ならむしろブロックするべきな気がする。
2025.10.13 12:32
franciska3さん(No.147)
>VサービスもKサービスもSaaSなのでインターネットで直接やりとりする認識です。
そのところが私の認識が浅くて難しいところなんです。
リモートワークにかかわずKサービスを利用開始することになった(一部例外あり)という事で、社用PCからKサービスにまず通信をするとは思うのですが、
このときKサービスとのVPN接続を確立するための認証として、KサービスがユーザーをVサービスにリダイレクトさせようとすると思うのです。
まだKサービスを利用したVPN接続が開始される前なので、なのでこのリダイレクトはM-FWを通ってVサービスと通信する必要があるのかな?と思いました。
それとも私が知らないだけで、この認証もスマホが経由してくれるのか、それとも社用PCでやらなくてはいけないのか…?というところが一番気になります。
なので、設問4(2)は図2の基本サイト、IB、Wサービスも必要なのかなと思いました。
(直前にWサービスの設定変更を依頼する、とあるのが気になりますが、これが何を指しているのかわからないので、(2)にWサービスも含む方が安全なのかもしれないと思います。)
2025.10.13 12:43
franciska3さん(No.148)
ただ個人的には設問4(2)は点数割合的に10/50なんてことはないでしょうから、部分点を少しもらいつつも他の容易なところで点数もられば、そこまで悲観しなくてもいいかなと思います。
勝手な予想ですが、基本サイト、IB、Wサービスのうち、ひとつ書くごとに2点とか、そういう感じなような気がします(IPAは教えてくれませんけども)
勝手な予想ですが、基本サイト、IB、Wサービスのうち、ひとつ書くごとに2点とか、そういう感じなような気がします(IPAは教えてくれませんけども)
2025.10.13 12:48
初受験さん(No.149)
たぶん当たりの問題だったと思いますが設問4,5あたりが自信がなくなってきました。部分点もらって何とか6割超えてくれれば。
設問1(1)a:DNSSEC
(2)b:DoH、c:TLS
設問2 d:イ、e:ア
設問3 Kサービス設定サイトへの接続元IPアドレスについて、M-FWのインターネット側インターフェースのIPアドレスであるa1.b1.c1.d1のみを許可するポリシーを追加する。
設問4(1)f:各取引先サービスで許可された接続元IPアドレスに、Kサービス経由でのインターネットアクセス時の送信元IPアドレスを追加してもらう
(2)IB、Vサービス、Wサービス
設問5(1)g:認証方式1の電話番号に個人所有のスマホの電話番号を登録する。
(2)Kサービス接続時にOSのバージョンがXである場合は接続を拒否する。
設問1(1)a:DNSSEC
(2)b:DoH、c:TLS
設問2 d:イ、e:ア
設問3 Kサービス設定サイトへの接続元IPアドレスについて、M-FWのインターネット側インターフェースのIPアドレスであるa1.b1.c1.d1のみを許可するポリシーを追加する。
設問4(1)f:各取引先サービスで許可された接続元IPアドレスに、Kサービス経由でのインターネットアクセス時の送信元IPアドレスを追加してもらう
(2)IB、Vサービス、Wサービス
設問5(1)g:認証方式1の電話番号に個人所有のスマホの電話番号を登録する。
(2)Kサービス接続時にOSのバージョンがXである場合は接続を拒否する。
2025.10.13 14:40
ランボーさん(No.150)
4-2はosのアップデート配布サイトとマルウェア定義ファイル配布サイトじゃないでしょうか。
いずれもpc起動後、事前に更新しておかないとkサービスには接続できない仕様です。
いずれもpc起動後、事前に更新しておかないとkサービスには接続できない仕様です。
2025.10.13 14:46
初受験さん(No.151)
設問2は(d)イ、(e)ア
としましたが
(e)の方はポップアップに「口座番号」ではなく「本人確認のため、次の数字を数字入力トークンに入力してください」と書かれているのがミソかと。
一回目の(d)で正しい口座番号は入力しているので操作担当者も不自然に思わない、全体の流れを知らないと次にポップアップが出てきてもその案内通りに入力してしまうという心理を利用した手口かと。
としましたが
(e)の方はポップアップに「口座番号」ではなく「本人確認のため、次の数字を数字入力トークンに入力してください」と書かれているのがミソかと。
一回目の(d)で正しい口座番号は入力しているので操作担当者も不自然に思わない、全体の流れを知らないと次にポップアップが出てきてもその案内通りに入力してしまうという心理を利用した手口かと。
2025.10.13 14:48
太郎さん(No.152)
>150
多分そうだとおもってきました。今回、NW構成図や問題文から明確な解答は難しいと思います。そもそも、Kサービスを本格的に運用する前も後も、この二つは許可必須ですもんね。これを当日たどり着いた方はすごいな。
2025.10.13 15:52
なにこさん(No.153)
>150
接続を拒否できると記載はありますが、事前に更新しておかないとという記載はありますかね?
それに図7-5にある通り図2に記載の基本サイトは全てK-サービス経由で可能だと思います
2025.10.13 16:01
ランボーさん(No.154)
>153
図8の4からOSの更新は必須です
マルウェアに関しては必須ではなかったですね
2025.10.13 16:12
ランボーさん(No.155)
>153
ん、よく読むと図8はリモートワークだから関係ないですね。すみません、間違いです。
2025.10.13 16:15
うしさん(No.156)
問3簡単だったという声が聞こえてきていし自分も
解いている時は取っつきやすいと思っていたけど、
ここを見ていたらむしろ結構難しかったのではと思う。
解いている時は取っつきやすいと思っていたけど、
ここを見ていたらむしろ結構難しかったのではと思う。
2025.10.13 19:32
H部長さん(No.157)
最後の設問5(2)ですが、多くの方が「ログを見てOSバージョンアップを従業員に促す」と回答されているのがよく分からないです。
リモートワークを実現するためのKサービスは、これから導入しようとしている段階なので、Kサービスが使えずとも従業員は今までどおり社内で勤務できるはずでは?
「OSバージョンアップしてYにすれば、リモートワークができますよ!」という、従業員のリモートワーク実現と、情報システム係が推進したいOS最新化、一挙両得を狙った最高の施策だなと試験中にニヤニヤしました。
回答は「Kサービスに接続できるOSバージョンを、XとYからYのみに変更した」だと思います。
リモートワークを実現するためのKサービスは、これから導入しようとしている段階なので、Kサービスが使えずとも従業員は今までどおり社内で勤務できるはずでは?
「OSバージョンアップしてYにすれば、リモートワークができますよ!」という、従業員のリモートワーク実現と、情報システム係が推進したいOS最新化、一挙両得を狙った最高の施策だなと試験中にニヤニヤしました。
回答は「Kサービスに接続できるOSバージョンを、XとYからYのみに変更した」だと思います。
2025.10.13 22:17
joさん(No.158)
>No157
それだとバージョンXのOSを利用している人がKサービスを使えなくなり業務に支障が出るので対応としてはやや強引かと。
言いたいことは分かりますが実際の企業でそんなやり方をすることはまずないですね。
2025.10.13 22:25
Koさん(No.159)
>No157
リモートワーク時に限らず、出勤時も社有PCでのKサービスの利用を必須にする方針とした、と書かれているので、割とすぐにこの方針のもとKサービスの利用が必須化されるのかと思います。
2025.10.13 22:41
ペドロンさん(No.160)
最後のやつ、滞ってるってあるからある程度強引じゃないと結局やらないんじゃ?って思ったり
でも一年後にサポート終了ならまだそこまで強引な必要もない?と思ったり…
いやでも会社のPCをギリギリにバージョンアップするってのも…
どう判断すべきなんや
教えて情シス歴長いエロい人
でも一年後にサポート終了ならまだそこまで強引な必要もない?と思ったり…
いやでも会社のPCをギリギリにバージョンアップするってのも…
どう判断すべきなんや
教えて情シス歴長いエロい人
2025.10.13 23:01
問4の2さん(No.161)
皆さんのご推察の通り、問4の2は
MFA設定画面と、Kサービス設定サイト は間違いないでしょうね。
除外=終端しない=Kサービスからのブレイクアウトと勘違いして大ミスしました。(除外サイトの2つを記載)
MFA設定画面と、Kサービス設定サイト は間違いないでしょうね。
除外=終端しない=Kサービスからのブレイクアウトと勘違いして大ミスしました。(除外サイトの2つを記載)
2025.10.14 00:29
ktさん(No.162)
問4の2
情シスによる利用者のアカウント作成のための通信として認証基盤サービスが正解じゃないかな?
MFA設定画面…認証基盤サービスの機能
Kサービス設定サイト…Kサービス宛のHTTPS通信で既に許可
情シスによる利用者のアカウント作成のための通信として認証基盤サービスが正解じゃないかな?
MFA設定画面…認証基盤サービスの機能
Kサービス設定サイト…Kサービス宛のHTTPS通信で既に許可
2025.10.14 00:57
名無しさん(No.163)
設問5(2)についてですが。
社有PCの初期設定は情報システム係が実施しているんですよね。
”リモートワーク用の新規社有PC導入時の追加の初期設定手順”とういう説明があるので、リモートワークを実施するには新規PCが必要で全台情報システム係が初期設定すると判断しました。なので、”初期設定手順にOSの移行手順を追加する”的なことを書きました。
社有PCの初期設定は情報システム係が実施しているんですよね。
”リモートワーク用の新規社有PC導入時の追加の初期設定手順”とういう説明があるので、リモートワークを実施するには新規PCが必要で全台情報システム係が初期設定すると判断しました。なので、”初期設定手順にOSの移行手順を追加する”的なことを書きました。
2025.10.14 08:27
名無しさん(No.164)
>No.163
”Kサービスを活用して”と言えるか疑問だったので、"Kサービスを利用するためのリモート用PCの初期設定として,初期設定手順にOSの移行手順を追加する"的な書き方で無理やりKサービスを絡めた気がします。
2025.10.14 09:07
2回目の受験さん(No.165)
Ipaも問題を簡単にしている認識があるのか、その分、具体的に書けとしてるような気がしました。具体的、かつ、過不足なく、説明してみなさいと。それなりに合っている回答だけど、具体性に欠けていたり、重要なキーワードが抜けてたりすると、部分点すらないかも。当日は簡単と思って全部埋められましたが、今解いてみると、固有名やIp書いてないなど、記載不足に気づき始めました。運良ければ9割取れてる手応えでしたが、実際は記述回答が全て減点されまくって、50点台かもと…問題を簡単にした分、回答のしかたの難易度を上げてる気がしました。
2025.10.14 13:13
まりんさん(No.166)
問5 (2)
P社内でしか現状はKサービス利用のための手順(Kソフトのダウンロード等)が出来ないので、リモート環境でもKサービス設定画面にアクセスし、必要なソフトをダウンロードの上、環境設定が出来るといった趣旨の記述にしました。
問4(2)
既出ですが、基本サイトのFQDN、Kサービス設定サイト
P社内でしか現状はKサービス利用のための手順(Kソフトのダウンロード等)が出来ないので、リモート環境でもKサービス設定画面にアクセスし、必要なソフトをダウンロードの上、環境設定が出来るといった趣旨の記述にしました。
問4(2)
既出ですが、基本サイトのFQDN、Kサービス設定サイト
2025.10.14 14:07
よめいりさん(No.167)
私もバージョンアップにはある程度の強制力が必要だと思ったので、
「ある程度移行期間を設け、期日を過ぎたら
バージョンXからはKサービスを利用できない条件に変更する、と周知した」
にしましたね。変更する、だけでは強引すぎるので、周知するのが大事かと。
「ある程度移行期間を設け、期日を過ぎたら
バージョンXからはKサービスを利用できない条件に変更する、と周知した」
にしましたね。変更する、だけでは強引すぎるので、周知するのが大事かと。
2025.10.14 14:19
もじやさん(No.168)
設問(2)については
P社内からもK-サービスの理由が必須化されることを考慮すると
K-サービスを使わずに働くことが出来なくなるので
バージョンXを拒否することは移行を促進ではなく、移行を強制する施策になると思いました
なのでバージョンXの拒否は移行期間が過ぎてから行うのが実際の業務で考えても妥当かなという印象です
P社内からもK-サービスの理由が必須化されることを考慮すると
K-サービスを使わずに働くことが出来なくなるので
バージョンXを拒否することは移行を促進ではなく、移行を強制する施策になると思いました
なのでバージョンXの拒否は移行期間が過ぎてから行うのが実際の業務で考えても妥当かなという印象です
2025.10.14 17:06
また来年さん(No.169)
情報セキュリティ担当者が各部にいるから、OSバージョンアップの問題は「ログからバージョンXを使ってる従業員を一覧にして各部情報セキュリティ担当者にバージョンアップを促すように依頼する」と、彼らに活躍してもらうような回答にしました
2025.10.14 18:07
ethels4nさん(No.170)
意見が割れてるバージョンYへの移行促進ですけど、解答欄がクソ長かったので「接続を拒否して強制アプデ」と「ログから従業員割り出して促す」の両方書きました。
経理部がKサービス使わないって文脈は完全に見落としてましたね……経理部が使わないせいでIBと基本サイトに接続許可を出さないといけないんすね……経理部もKサービス使わんかい!!!
経理部がKサービス使わないって文脈は完全に見落としてましたね……経理部が使わないせいでIBと基本サイトに接続許可を出さないといけないんすね……経理部もKサービス使わんかい!!!
2025.10.14 21:16
やなかささん(No.171)
「接続を拒否して強制アプデ」と「ログから従業員割り出して促す」
どちらも促進力のある方法だと思いますが、より効果的なのは接続拒否のせんかなと思いました。
どちらも促進力のある方法だと思いますが、より効果的なのは接続拒否のせんかなと思いました。
2025.10.15 00:09
かにくりーむさん(No.172)
設問4(1)fは、「各取引先に接続元IPアドレスの制限を無効化してもらう」としてしまいました。
セキュリティ的に弱くなる回答なので迷いに迷いました。しかし、問題記述をみると、、
P21~22:Rサービスでは(略)固定グローバルIPアドレスを割り当てることはできない。
P22図6(6)URLフィルタリングサービスの除外リストにFQDNを設定すると、そのサイト宛てのHTTPS通信は、KサービスではHTTPS通信の終端を行わない
P23図8(7)URLフィルタリングサービスの除外リストに、(略)取引先サービスのFQDNを登録する
とありまして、これらを考慮すると、RサービスとKサービスを使った場合、送信元のIPアドレスを固定できないと判断しました。。
この判断は間違いでしょうか・・・。
セキュリティ的に弱くなる回答なので迷いに迷いました。しかし、問題記述をみると、、
P21~22:Rサービスでは(略)固定グローバルIPアドレスを割り当てることはできない。
P22図6(6)URLフィルタリングサービスの除外リストにFQDNを設定すると、そのサイト宛てのHTTPS通信は、KサービスではHTTPS通信の終端を行わない
P23図8(7)URLフィルタリングサービスの除外リストに、(略)取引先サービスのFQDNを登録する
とありまして、これらを考慮すると、RサービスとKサービスを使った場合、送信元のIPアドレスを固定できないと判断しました。。
この判断は間違いでしょうか・・・。
2025.10.15 13:29
ktさん(No.173)
> No.172
RサービスとKサービスを比較してKサービスを導入する方針となっているので、Rサービスを考慮する必要はないのではないでしょうか。
2025.10.15 14:00
もじやさん(No.174)
RサービスとK-サービスはリモートワークの時に併用の認識です
自宅でPCをRサービス(モバイルルータ)に繋ぐとご指摘の通り、IPアドレスを固定できないので
Kサービスを併用して、Kサービスを経由させることで送信元IPアドレスを固定のKサービスのアドレスにすることができます
上記の通信経路を理解しているか問う問題で、制限しないという解答は制作者の罠にハマってしまった気がします
SSL終端の話は暗号通信を復号化させるかの問題なので送信元IPアドレスには影響しません
(対象外としているのは取引先との通信は信頼性も機密性も高いので復号化しなくていいだろうという考えな気がします)
自宅でPCをRサービス(モバイルルータ)に繋ぐとご指摘の通り、IPアドレスを固定できないので
Kサービスを併用して、Kサービスを経由させることで送信元IPアドレスを固定のKサービスのアドレスにすることができます
上記の通信経路を理解しているか問う問題で、制限しないという解答は制作者の罠にハマってしまった気がします
SSL終端の話は暗号通信を復号化させるかの問題なので送信元IPアドレスには影響しません
(対象外としているのは取引先との通信は信頼性も機密性も高いので復号化しなくていいだろうという考えな気がします)
2025.10.15 14:40
ktさん(No.175)
Rサービス併用ですね、失礼しました。
おっしゃる通り接続元IPはKサービスになるので固定IPによる制御ができる認識ですり
おっしゃる通り接続元IPはKサービスになるので固定IPによる制御ができる認識ですり
2025.10.15 15:20
Osamさん(No.176)
設問5(g)の解答について、皆様のご意見をお聞かせください。
この後の設定 g として、私はSMS登録が正解だと考えています。根拠は、「認証方式3への変更」という問題文の意図を汲み取り、リスク分散の観点からも認証手段を多様化すべきだからです。
一方で、個人スマホに認証アプリを登録も、技術的には可能であり、完全に間違いとは言い切れないのではないかとも思います。
もしアプリ登録が「間違いである(不正解となる)」としたら、その決定的な理由は何になるでしょうか?皆様の考えをお聞かせください。
この後の設定 g として、私はSMS登録が正解だと考えています。根拠は、「認証方式3への変更」という問題文の意図を汲み取り、リスク分散の観点からも認証手段を多様化すべきだからです。
一方で、個人スマホに認証アプリを登録も、技術的には可能であり、完全に間違いとは言い切れないのではないかとも思います。
もしアプリ登録が「間違いである(不正解となる)」としたら、その決定的な理由は何になるでしょうか?皆様の考えをお聞かせください。
2025.10.15 18:49
とくめいさん(No.177)
Osamさんへ
技術的には可能かもしれませんが、表2には認証アプリへの登録は利用者ごとに1台のスマホと書かれているので、問題文に根拠を求めた解答としては間違いであると判断できます。
技術的には可能かもしれませんが、表2には認証アプリへの登録は利用者ごとに1台のスマホと書かれているので、問題文に根拠を求めた解答としては間違いであると判断できます。
2025.10.15 19:21
初学者くんさん(No.178)
横から失礼します。
私は設問5 (1)について、認証ができないと書かれていたので「接続元IPアドレスで認証する」と書きました。
IPアドレス認証があると某サイトにも記述がありました。
私は設問5 (1)について、認証ができないと書かれていたので「接続元IPアドレスで認証する」と書きました。
IPアドレス認証があると某サイトにも記述がありました。
2025.10.15 19:51
Osamさん(No.179)
とくめいさん
ありがとうございます。
理解しました!
ありがとうございます。
理解しました!
2025.10.15 19:53
とくめいさん(No.180)
初学者くんさんへ
ご意見ありがとうございます。
IPアドレスによる認証は、認証方式1と2のどちらも対応していません。よって設定内容にはなりえません。また、一般的にもスマホでIP認証はまず使われないと思います。
ご意見ありがとうございます。
IPアドレスによる認証は、認証方式1と2のどちらも対応していません。よって設定内容にはなりえません。また、一般的にもスマホでIP認証はまず使われないと思います。
2025.10.15 20:03
初学者くんさん(No.181)
とくめいさん
・認証方式の下に、接続元IPアドレスが制限できる
・先行利用は、認証ができないことがある
と書いてあったので、IPアドレス認証と書いたのですが、ダメでしたか?
・認証方式の下に、接続元IPアドレスが制限できる
・先行利用は、認証ができないことがある
と書いてあったので、IPアドレス認証と書いたのですが、ダメでしたか?
2025.10.15 20:18
katsuさん(No.182)
今回は簡単だと言われてますが、問3ですら回答がバラバラ。点がもらえるような回答がしづらいという意味では、今回は難易度は高めということなんでしょうか。簡単だったと思ってる人ほど、予想を大きく下回る結果になりそうな予感がしています。
2025.10.15 20:27
とくめいさん(No.183)
初学者くんさんへ
ご返事ありがとうございます。完全に問題の意図と合致しているという保証はできませんが、質問に返答させていただきます。
まず、「認証方式の下に、接続元IPアドレスが制限できる」とありますが、MFA設定画面へのアクセス制御のことですね。本問は認証方式の設定について問われているので、ここは混同してはいけません。
次に、「先行利用は、認証ができないことがある」とありますが、これは文中で故障などの状況と書かれており、サービス側の問題ではないことがわかります。よって、新たな認証方式を要求する根拠にはなりません。
以上から、IPアドレス認証という回答ではおそらく点数はもらえないだろうというのが私の見解です。長文になってしまいましたが、ご査収ください。
ご返事ありがとうございます。完全に問題の意図と合致しているという保証はできませんが、質問に返答させていただきます。
まず、「認証方式の下に、接続元IPアドレスが制限できる」とありますが、MFA設定画面へのアクセス制御のことですね。本問は認証方式の設定について問われているので、ここは混同してはいけません。
次に、「先行利用は、認証ができないことがある」とありますが、これは文中で故障などの状況と書かれており、サービス側の問題ではないことがわかります。よって、新たな認証方式を要求する根拠にはなりません。
以上から、IPアドレス認証という回答ではおそらく点数はもらえないだろうというのが私の見解です。長文になってしまいましたが、ご査収ください。
2025.10.15 20:47
かにくりーむさん(No.184)
No172です。
もじやさん、ktさん、ご回答ありがとうございます。
私の勉強不足だったようです。。
もじやさん、ktさん、ご回答ありがとうございます。
私の勉強不足だったようです。。
2025.10.15 20:48
初学者くんさん(No.185)
とくめいさん
ありがとうございます。
ありがとうございます。
2025.10.15 20:53
質問さん(No.186)
設問5(1)って普通に「所有するスマホの電話番号を登録する」、じゃだめなんでしょうか。
SIMカードを入れ替えれば壊れたスマホの電話番号も他機に引き継げますよね?
SIMカードを入れ替えれば壊れたスマホの電話番号も他機に引き継げますよね?
2025.10.16 07:37
ペドロンさん(No.187)
うーむ、最後のとこログを見るタイプか拒否するタイプかの2択か…?
もういっそ、どちらも正解にしてくださいよIPAさん
もういっそ、どちらも正解にしてくださいよIPAさん
2025.10.16 08:25
初受験さん(No.188)
DNSSECをDNS-SECと書いてしまったけど丸にしてくれるよね……?
DoHは分からずDoTの設問と合わせてどちらもTLSって書いちゃった
DoHは分からずDoTの設問と合わせてどちらもTLSって書いちゃった
2025.10.16 09:43
どきどきさん(No.189)
最後のは「P16:6か月以内に移行完了させる」、「P24:1か月後に移行が思ったように進んでない」みたいに書いてて、設問時点で5か月もあるのに接続を拒否するのはやりすぎな気がする。
6か月たっても移行が終わってないなら接続を拒否するのが正解だろうけど、脆弱性のないOSを移行期間中に拒否するのは利用者目線だと不満に感じる。
よくて部分点な気がする。
と冷静になって考えたらこの結論になったけど、試験中にここまで考えるのはできなかった笑
6か月たっても移行が終わってないなら接続を拒否するのが正解だろうけど、脆弱性のないOSを移行期間中に拒否するのは利用者目線だと不満に感じる。
よくて部分点な気がする。
と冷静になって考えたらこの結論になったけど、試験中にここまで考えるのはできなかった笑
2025.10.16 11:44
名無しさん(No.190)
アイテックの午後速報出ました!
2025.10.16 15:25
katsuさん(No.191)
DNS-SECは正解にならない気がします。区切りなしの単語なので。
2025.10.16 15:53
かなやさん(No.192)
最後の問題は通知と遮断で解答が2社で割れましたね。
どちらも正解でしょうか。
どちらも正解でしょうか。
2025.10.16 17:05
katsuさん(No.193)
「促進」とありますので、遮断だと業務や経営面への影響が大きすぎる気がします。期限まではまだ猶予あるわけですし、影響を最小限に抑えた対策は何かを聞いているんだと思われます。遮断だと、トラブルを起こすことにもなりかねないので不正解な気がしています。
2025.10.16 17:20
いちいさん(No.194)
tacとitecで問4(2)が解答割れていますね。
部分点のある問題で一つあるごとに加点とかだといいんですけど
部分点のある問題で一つあるごとに加点とかだといいんですけど
2025.10.16 17:48
うしさん(No.195)
この大問3一見簡単そうで自分には難しかったな。
解いている時はこんなに酷い点数になるとは思わなかった。
逆にイマイチ自信のなかった大問4は8割位行ってそうだから、
勿体なかった。
切り替えて勉強し直します。
解いている時はこんなに酷い点数になるとは思わなかった。
逆にイマイチ自信のなかった大問4は8割位行ってそうだから、
勿体なかった。
切り替えて勉強し直します。
2025.10.16 19:08
ひろゆきさん(No.196)
設問4の(1)、itecの解答だと許可する接続元IP変更するってなってるけどそれでいいのか?(a1.b1.c1.d1のままの人たちっているんですかね?)
2025.10.16 19:12
franciska3さん(No.197)
遮断すると可用性が下がりそうですけど、そういうゆるい対応だから切り替えないのでは?と思わなくもないですね。
と言うより、バージョンが混在している状態がそもそも良くないと思う。
でも採点するのはIPAですし、IPAの問題の傾向的には重要なシステムを出来るだけ止めずになんとかするさせたい解答を求めているような気もします。
4(1)については、Kサービスからだけにする…みたいな文言があったかどうか…ちょっと思い出せない。
でも例外を許すのであれば、次の問にてM-FWから取引先への通信を許可するようにしていないと辻褄が合わない気がします。
と言うより、バージョンが混在している状態がそもそも良くないと思う。
でも採点するのはIPAですし、IPAの問題の傾向的には重要なシステムを出来るだけ止めずになんとかするさせたい解答を求めているような気もします。
4(1)については、Kサービスからだけにする…みたいな文言があったかどうか…ちょっと思い出せない。
でも例外を許すのであれば、次の問にてM-FWから取引先への通信を許可するようにしていないと辻褄が合わない気がします。
2025.10.16 20:14
franciska3さん(No.198)
4(2)TACの場合は取引先も追加しているんですね…
プロの間でも意見が分かれる問3…一番むずかしいのかもしれませんね…
プロの間でも意見が分かれる問3…一番むずかしいのかもしれませんね…
2025.10.16 20:16
katsuさん(No.199)
>そういうゆるい対応だから切り替えないのでは?と思わなくもないですね。
そのとおり、個人お任せの緩い方針としているからこそ、移行が進まないのです。だからといって、いきなり遮断して、会社の業務を停止させはいけないと思います。物事には優先順位があります。移行第一という方針であれば、それで良いと思いますが違うと思います。セキュリティ推進係という存在がいることを強調していたので、この人達に未移行者のリストを渡して、移行促進させるんだなと思いました。
2025.10.16 20:22
うしさん(No.200)
自分のところは期限内に更新しなければ問答無用で遮断なので、
そのノリで回答してしまいました。
部分点くれないかなぁ。
そのノリで回答してしまいました。
部分点くれないかなぁ。
2025.10.16 21:28
katsuさん(No.201)
手段であるログを利用することが書けていれば、部分点はもらえそうな感じもします。配点が大きいので。
2025.10.16 21:34
franciska3さん(No.202)
>そのとおり、個人お任せの緩い方針としているからこそ、移行が進まないのです。だからといって、いきなり遮断して、会社の業務を停止させはいけないと思います。
たとえば脆弱性が見つかっていて緊急性がある、とかそういうシチュエーションではないですもんね。
このあたりで机上論で進めている人と現場の経験を活かして進めているひとをあぶり出す意図があるのかもしれません?
ちなみに私は机上論で進める人です!
2025.10.16 21:47
ペドロンさん(No.203)
「OSバージョンチェック」「Kサービスで接続拒否」「ログを確認」「利用者に通知」
この辺が部分点貰えるポイントな気がしますね
まぁ、採点官次第では「ああん?バージョン見て接続拒否してるのはいいけど、ログ見て通知してねぇなら強引すぎるだろが!!×や×!!」とか「おいおい、ログ見てOS古いやつに通知するのはいいけど、それで済めば移行が滞らねぇよ!!×だ!」とかで0点になる可能性あるかもだけど…
この辺が部分点貰えるポイントな気がしますね
まぁ、採点官次第では「ああん?バージョン見て接続拒否してるのはいいけど、ログ見て通知してねぇなら強引すぎるだろが!!×や×!!」とか「おいおい、ログ見てOS古いやつに通知するのはいいけど、それで済めば移行が滞らねぇよ!!×だ!」とかで0点になる可能性あるかもだけど…
2025.10.16 22:21
Katsuさん(No.204)
この投稿は投稿者により削除されました。(2025.10.16 22:55)
2025.10.16 22:55
Katsuさん(No.205)
ログだけを見て、通知しないだと、何の対策にもなっていないので×の可能性が高そうです。滞留している移行が進むか?という目的を達成できませんので、問われている問題に対する解答になっていないです。
2025.10.16 22:58
Katsuさん(No.206)
「ログ見てOS古いやつに通知する」だと、少しは進みそうです。ただ、これだけだと弱いので、各部のセキュリティ推進係に働かせるというところまで含めないといけないんだと思います。
2025.10.16 23:01
Katsuさん(No.207)
>自分のところは期限内に更新しなければ問答無用で遮断なので、
今回の問題と、期限まではまだ日数があるので、告知なしでいきなり遮断というのは、サイバーテロに近い行為かと。
2025.10.16 23:03
うしさん(No.208)
全体に〇月〇日までに更新しないと遮断するから更新しろよという
通知をする感じですね。
さすがにサイバーテロのような印象はありません。
通知をする感じですね。
さすがにサイバーテロのような印象はありません。
2025.10.16 23:30
ht002905さん(No.209)
各部のセキュリティ推進者は元々いたはず。
それでも進んでないんだからという考えだと、ここにお任せもどうなのか。
自ら行動する姿勢は必要では?
それでも進んでないんだからという考えだと、ここにお任せもどうなのか。
自ら行動する姿勢は必要では?
2025.10.16 23:56
katsuさん(No.210)
推進者は支援の立場。情シスから具体的な指示をしてないので、何もしていないのかと。なので、その人たちに指示して、定期的に進捗報告させれば進むような気がします。
2025.10.17 00:17
あべっくさん(No.211)
問4の(2)について
TACとアイテックでも意見が割れてますが、通信経路的には認証基盤サービスだけ追加しておけば良いと思うのですが、どう思われますか?
経路:社内LAN⇒FW⇒認証基盤サービス⇒Kサービス⇒取引サービス、Z-IB、等
認証基盤サービスが必要と考えた理由はKサービスへの接続時のSAML認証のためです。
PC⇒FW⇒Kサービス⇒<PCへリダイレクト>⇒PC⇒FW⇒認証基盤⇒PC⇒FW⇒Kサービス
TACとアイテックでも意見が割れてますが、通信経路的には認証基盤サービスだけ追加しておけば良いと思うのですが、どう思われますか?
経路:社内LAN⇒FW⇒認証基盤サービス⇒Kサービス⇒取引サービス、Z-IB、等
認証基盤サービスが必要と考えた理由はKサービスへの接続時のSAML認証のためです。
PC⇒FW⇒Kサービス⇒<PCへリダイレクト>⇒PC⇒FW⇒認証基盤⇒PC⇒FW⇒Kサービス
2025.10.17 08:43
あかささん(No.212)
設問4の(1)のfもアイテックとTACで解答が割れてますよね。
最初は移行段階だからKサービスのアドレスを追加すると記載したのですが、図8(最終的な方針)への追加内容と解釈して「M-FWのアドレスをKサービス5のアドレスに変更してもらうように依頼する」としました。
最初は移行段階だからKサービスのアドレスを追加すると記載したのですが、図8(最終的な方針)への追加内容と解釈して「M-FWのアドレスをKサービス5のアドレスに変更してもらうように依頼する」としました。
2025.10.17 11:15
無能薬くんさん(No.213)
↑自分も同じ考えで認証基盤サービスのみにしました。
2025.10.17 11:19
はいさん(No.214)
令和6年秋かなんかの最後の問題も複数回答ありだったから、問3問4は複数回答ありだと思いますよ。
起こりやすいものって表現は、なにも一番起こりやすいものを当てる必要はないと思います。
脅威ランキングも順位伏せるようになりましたよね?
起こりやすいものって表現は、なにも一番起こりやすいものを当てる必要はないと思います。
脅威ランキングも順位伏せるようになりましたよね?
2025.10.17 12:35
はいさん(No.215)
↑申し訳ないです。大問4と間違えました。
2025.10.17 12:36
chrono095さん(No.216)
私もあべっくさんと同じ理由で、
設問4(2)は、Vサービスの認証基盤サービスのみとしました。
設問4(2)は、Vサービスの認証基盤サービスのみとしました。
2025.10.17 18:54
もじやさん(No.217)
図8の後の文にK-サービスの利用を除くものの記載がありますね(Z-IB)
あとはK-サービスを使うための準備として必要なサイト(K-サービス設定サイト)
これらの追加も必要だと思います
あとはK-サービスを使うための準備として必要なサイト(K-サービス設定サイト)
これらの追加も必要だと思います
2025.10.17 22:09
あべっくさん(No.218)
>No.217さん
ほんとですね、見落としてました。
一つでも必要な宛先が記載出来ていれば部分点もらいたい所です。。
2025.10.17 22:19
大輔さん(No.219)
安全確保支援士の視点からはvpn接続前にosの更新とウイルス定義ファイルの更新は絶対条件かな。認証基盤サービスへの接続も不可欠。
あとはkサービス経由でいいと思う。
あとはkサービス経由でいいと思う。
2025.10.18 07:57
katsuさん(No.220)
宛先1つあたり2点、不要な宛先が書いてあれば-2点という感じですかね。字数制限がないので、いくでも書けてしまいますから、不要な宛先が1つでも書いてある時点で×の可能性もありそうです。
2025.10.18 14:52