【情報セキュリティスペシャリスト】H28春午後Ⅱいついて私の回答と模範解答を比べました

H28春情報セキュリティスペシャリスト午後Ⅱ問題で、私は問１を選びました。
その時の回答とTACが公開した模範解答で自己採点＆をしてみましたので、ここに載せます。





問１
設問１
ａ：
インシデントの対応有無（私の回答）
対応すべきか否か（TAC模範解答）
＜模範解答を見て＞
主語がなくていいの？「インシデントを対応すべきか否か」ならまだわかる。
＜問の考え方＞
XXに進むかYYに進むかの違いであり、これは「インシデントは必ず対応するわけではなく、対応が必要と判断したものは調査から進めていくし、対応が不要と判断したものは「対応不要」に分類して何もしないことになる。

よって、

• インシデントの対応要否
• インシデントの対応有無
• インシデントの対応が必要か否か

辺りが回答の候補となる。



設問２
（１）
インシデント発生時の報告先（私の回答）
A社IRTに報告すべきインストールの範囲（TAC模範解答）
＜模範解答を見て＞
「インストールの範囲」が問題視されているのか・・・。
＜問の考え方＞






（２）
インシデントの調査から情報公開までにかかる期間を短くする目的（私の回答）
A社IRT主導による会社への影響度の判断やインシデント対応を行えるようにするため（TAC模範解答）
＜模範解答を見て＞
「A社IRTが主導で進めていけること」がポイントのようだ・・・
言い換えると「時間」ではなく「誰が主体で対応するのか」がポイントのようだ・・・
＜問の考え方＞







設問３
（１）
サーバLANの各サーバにアクセスし、ファイルサーバのファイルをKサーバに転送　想定される攻撃①（私の回答）
LDAPサーバの管理画面にアクセス後、管理者権限を付与しLDAPIDを操作する攻撃　想定される攻撃②（私の回答）
利用者LANのIT部のセグメント上のOA用PCに感染させたマルウェアによって、サーバLAN上の各サーバの管理用ポートへの不正アクセスを行う。（TAC模範解答）
＜模範解答を見て＞
まだよく考えたわけじゃないけど、パット見「どうやってこの回答しかない！になるのかわかりません。


あと細かい話だけど、「どのような攻撃に対処できるようになるか。攻撃のシナリオを７０文字以内」という問題で、「攻撃の内容」を問われているんですよね。でもこの模範解答だと「不正アクセス」と書いてしまっている
「不正アクセス」って攻撃のうちに入るの？言葉の問題だから難しいところだけど、「不正ログインが成功」されただけじゃ被害は受けてないじゃないですか？よって、IPAの公式解答では違う答えが出てくると予想します。

＜問の考え方＞



（２）
一定期間の間の認証失敗回数が一定値を超過するとアラートを発生させる（私の回答）
一定時間内での管理画面への認証失敗回数をカウントして攻撃を検知する方法（TAC模範解答）
＜模範解答を見て＞
とても正解に近いけど、私の回答では文末が聞かれていることで答えていない・・・基礎中の基礎が出来ていない！
こんなんじゃいつまでたっても合格できないぞ！俺
＜問の考え方＞
過去問演習をやっている人からすると二択問題のようなものだと思う。

基本的な考え方から言うと、

• 悪意があってログイン＆ログイン失敗したのか（コンピュータを利用してログイン突破しようとしていたのか）
• 悪意がなくてログイン＆ログイン失敗したのか（普通に人間がログインしようとしていたのか）

どちらなのかを「ある基準」をもって判断しよう。その基準に達したら「悪意があってログイン＆ログイン失敗した」それは危険だ、アラートを発生させるように仕組みを入れよう。ということをやりたいわけです。



３０秒の間に３回ログインに失敗していたら、人間がパスワードを思い出しながらもログイン失敗しているんだなということが想像できますよね？

一方、３０秒の間に１００回ログイン失敗していたら、ログイン試行をコンピュータで行わせているんだなということがわかりますよね？そしてこのログイン試行を放置していたら、いつか不正ログインが成功されてしまうので、アラートを発生させて対処しようということです。



設問４
（１）
発生したインシデントの原因調査で正しい結果を導き出すことができる（私の回答）
A社保有の情報機器の脆弱性情報の収集を漏れなく効率的に実施できる。（TAC模範解答）
＜模範解答を見て＞
漏れがあったんだっけ？「保有している全ての機器分の脆弱性情報を収集できていなかった」ことが問題だったのか・・・それはわかっていなかった。
自分の答えは一般論で回答してしまっているから全然ダメだ
＜問の考え方＞
問題文の中で起きている問題の一つが、情報機器を把握できていないため「必要な全ての情報機器の脆弱性情報が収集できていない」という問題がある。私も試験本番の時に「何となく脆弱性情報の収集に問題がある」ことは把握していたが、「全ての情報機器分収集できていなかった」というハッキリした問題点としては認識できていなかった。「全ての情報機器分収集できていなかった」→「全ての情報機器分収集できるようになる」ということのようだ。

★今回の反省点★　問題を解く上で、「何個問題点があるのか」「どういう内容の問題なのか」を厳密に把握することを心がけないといつまでたっても合格できないなと感じました。



（２）
情報機器の脆弱性修正プログラムの適用漏れに起因するインシデントが減る。（私の回答）
インシデントの影響範囲を正確に把握し、対応すべき情報機器への対応指示漏れを防止できる。（TAC模範解答）
＜模範解答を見て＞
対応漏れを防止できた結果、「インシデントが減る」旨を書いた方がいいのでは？
これは私の回答の方が、公式解答に近そうな気がしているけどどうなんでしょう。
＜問の考え方＞
私は、問題文に「」と書かれているところに着目した。どういう効果があるかを問われている場合は、問題文に解決しなければいけないこういう課題がある。と書かれている。「～が多い」という課題に対して「～が減る」という効果があると回答した。



設問５
Webサイトから脆弱性情報の収集を分担し、収集した情報を各部署で共有する。（私の回答）
各部署で収集した脆弱性情報をA社IRTに集約して統一化する。（TAC模範解答）
＜模範解答を見て＞
私の回答の「収集を分担」は確かに余計だったと思うけど、他に書くことがなかったから書いた覚えがある。
集約・・・？統一化・・・？
＜問の考え方＞



設問６
（１)
現状評価基準（私の回答）
現状評価基準（TAC模範解答）

（２）
ｃ：
ネットワーク（私の回答）
ネットワーク（TAC模範解答）

ｄ：
隣接（私の回答）
ローカル（TAC模範解答）

ｅ：
FW1（私の回答）
FW1（TAC模範解答）

＜模範解答を見て＞
そんなに難しい問題じゃないと思うので、今は省略しておきます。
別記事でも書いたけど、こういう点を稼ぎやすい問題は、時間をかけていいから絶対間違えちゃいけないよね。
XX文字で答える問題は部分点とかゴニョゴニョした話しになるけど、選択問題は当たれば必ずゴッソリ点がもらえるんだもの。
＜問の考え方＞



以上です。

近いうちにまた更新します。