解答例は公式サイトを確認しているものの、自分の記憶に入り込みやすい形で書いているので、満点回答とは限りません。
初見ワード
- フィンガープリント
デバイスや端末を特定する情報群のこと。デバイス版指紋と覚えておこう。 - SSH
セキュアシェルという通信プロトコルのこと。SSLとは違い、サーバー管理に向いているプロトコルであると覚えておこう。 - パスフレーズ
パスワードとの違い。パスワードは分かればサーバーに入ることができるが、パスフレーズは秘密鍵にアクセスするための文字列。 - SSH Agent Forwarding
秘密鍵をサーバーではなく、クライアント(PC)に保持することが出来るもの。セキュリティー面ではサーバーへの不正侵入に強くなる。運用面では、固有サーバーではなく複数サーバの認証で使えるようになる。
問題と解答
設問1
(1)aに入る語句を20字以内で答えよ。
解答例:中継サーバーが間違っている
解説:フィンガープリントの運用上の重要点はサーバーが正しいかどうかであり、サーバーが稼働しているかの確認(pingチェック等)ではないことに注意。正答率が低かったようです。
(2)下線①の設定にした理由を”操作ログ”という言葉を用いて、20字以内で答えよ。下線①:当該利用者IDには、一般利用者用の権限を与える。
解答例:操作ログの改ざんや、削除を防止するため
解説:自分の解答は「操作ログから不正した人物を特定するため」。このように間違えた人も多いのではないでしょうか。しかし、特権用の権限でも保守用中継サーバーに入るとログは残るので、解答にはなっていないですね。否認防止のためではなく、否認防止を担保するためというのが求める解答のようです。
(3)b,cに入る適切な字句を図1中の字句を用いて、答えよ。
解答例:b 保守PC-A c インターネット
解説:ファイアウォールのフィルタリングルールの問題です。
cについて
注意1)にはPC-B.PC-Cからの接続は基本的には”拒否”。
事前申請された時だけ”許可”に変更するとのことなので、外部インターネットからの送信については、④cの空欄が当てはまります。
bについて
もう一つ許可されなければならないSSHの送信はPC-Aからの送信なので、③aの空欄にはPC-Aが当てはまります。
余談:保守業務のためにわざわざ申請・運用するのはかなり面倒さを感じますね。ただ、外部インターネットを通すこともあり、セキュリティー基準として必要ということなのでしょうか。
設問2
(1)下線②について、どのフィルタリングルールにて記録されるか。
解答例:6
解説:プログラムは中継サーバーにある。インターネット上への通信を試みていたとのことなので、6が適切。
(2)セキュリティーインシデント中、第三者が保守用中継サーバーにSSH接続可能であった期間を答えよ
解答例:6月14日7時から9時30分まで
解説:事前に通信が許可されている時間を答えればよい。もちろん通信可能であるだけで、疎通が可能であったわけではない。
設問3
(1) 下線③について、パスフレーズを設定する目的を30字以内で具体的に述べよ。
解答例:秘密鍵が盗まれても悪用されないようにするため
解説:これは回答率が低かったようです。まず第一にSSH接続のパスワード認証とパスフレーズ認証のメリデメリは下記にまとめます。
| 導入セキュリティー | ○メリット●デメリット |
| パスワード認証 | ○すぐにログインすることが出来る ●総当たり攻撃を受けると破られる可能性あり |
| パスフレーズを用いた公開鍵認証 | ○秘密鍵を持っていない端末からのログインはできない ●鍵作成のコスト高 ●端末が固定になるため、運用が難しい |
この問題では、パスフレーズを利用する理由を求められているので認証方式の3つ(所持情報、知識情報、生体情報)のうち「知識認証」を利用することのメリットを問われている。なので、解答としては秘密鍵「所持情報」が流出しいても問題ないことを示せばよい。
(2)dに入る語句を10字以内で答えよ
解答例:パスワード認証
解説:私は図5の初期登録手順を、認証方式の変更に伴なう作業手順と捉えました。作業としてはパスワード認証→公開鍵認証に変更するので、最後に拒否する必要があるのはパスワード認証になるということです。ただ、有効にする/無効にするという言い方がよく分かっていません。
(3)eに入る適切な字句を5字以内で答えよ
解答例:秘密鍵
解説:SSH接続に必要な情報は「秘密鍵」「パスフレーズ」の2つです。このうち、サーバーに保存できるのは所持情報だけであるので、秘密鍵が適切です。SSHAgentForwardingについては初見ワードを参照してください。
(4)fに入る適切な字句を20字以内で答えよ
解答例:送信元IPアドレスを固定にする
解説:要するにフィルタリングルールの送信元を「インターネット」から「PC-B」「PC-C」に固定することが端末以外からのなりすましを防ぐことが出来る。
コメント
Useful information. Fortunate me I discovered your website by chance, and I’m surprised why this coincidence did not
happened in advance! I bookmarked it.
Hello there! I know this is kind of off topic but I
was wondering which blog platform are you using for
this website? I’m getting tired of WordPress because I’ve had issues with hackers and I’m looking at options
for another platform. I would be awesome if you could point me
in the direction of a good platform.