情報処理安全確保支援士
厳選10問ドリル|午前II+午後ミックス
前回とはかぶらない分野を厳選。認証強化・VPN・セッション管理・標的型攻撃・特権ID管理を一気に潰します。
🔐 認証強化編(MFA・ハッシュ関数)
「多要素」と「多段階」の違い、ハッシュ関数の一方向性は午前IIで取り違えを狙われる定番ポイントです。
「言い切り表現」の選択肢をまず疑う
「最も安全」「一切〜ない」「必ず〜する」のような強い言い切りは、午前IIでは誤答であることが多いです。例外や限界がある技術ほど、こうした表現で罠が仕掛けられます。
多要素認証(MFA)およびパスキー(FIDO2/WebAuthn)に関する記述のうち、最も適切なものはどれか。
- アパスキーは、秘密鍵を端末内のセキュアな領域に保持し、サーバには公開鍵のみを登録する方式である
- イSMSによるワンタイムパスコードは、フィッシングやSIMスワップの影響を受けない、最も安全な多要素認証方式である
- ウ多要素認証とは、同じ種類の認証要素(例:2つの異なるパスワード)を組み合わせる方式である
- エパスキーは、サーバ側に秘密鍵を保存することで、複数端末からのログインを容易にする方式である
FIDO2/WebAuthn(パスキー)は公開鍵暗号方式を利用し、秘密鍵は常に利用者の端末内(セキュアエンクレーブ等)に留まり、サーバには公開鍵だけを登録します。サーバ側が「盗まれたら終わり」の共有シークレットを持たない設計のため、フィッシング耐性が高いとされています。
イのSMS OTPは、SIMスワップ攻撃やリアルタイムの中継フィッシングに弱いことが知られており「最も安全」とは言えません。ウは「異なる種類」の要素(知識・所持・生体)を組み合わせるのが多要素認証の本質で、同種を2つ使うのは「多段階認証」です。
「多要素(Multi-Factor)」と「多段階(Multi-Step)」の違いは頻出。知識(パスワード)・所持(スマホ、ハードウェアトークン)・生体(指紋等)の3要素のうち、異なる2つ以上を組み合わせるのが多要素認証です。
暗号学的ハッシュ関数に関する記述のうち、最も適切なものはどれか。
- ア同じハッシュ値を持つ異なる入力を見つけることが計算量的に困難である性質を、衝突耐性という
- イハッシュ値から元の入力データを復元できることが、暗号学的ハッシュ関数の要件である
- ウハッシュ関数は、鍵を用いて入力データを暗号化するための関数である
- エMD5は現在でも衝突耐性の観点から安全性が高く、デジタル署名への利用が推奨されている
衝突耐性(collision resistance)とは、異なる2つの入力から同じハッシュ値が生成される組を見つけることが計算量的に困難であるという性質です。これは暗号学的ハッシュ関数の重要な要件の一つです。
イのように「復元できる」のは一方向性(原像計算困難性)に反するため誤りです。ウのように鍵を使う点も誤り(鍵を使うのはMAC等)。「ハッシュ=暗号化の一種」という誤解に注意しましょう。
MD5やSHA-1は衝突攻撃が実用化されており、現在は安全性が低いとされています。デジタル署名にはSHA-256以降が推奨される、という時系列の知識もセットで覚えておきましょう(エは誤り)。
🌐 VPNと無線編
IPsecとSSL-VPNが「どのレイヤで動くか」、公衆無線LANで何が起きるかを押さえます。
レイヤ(階層)の取り違えに注意
IPsecとSSL-VPNは「どの層で暗号化しているか」がよく入れ替えられて出題されます。IPsec=ネットワーク層、SSL-VPN=アプリケーション層に近い、という対応を固定しておきましょう。
IPsec VPNとSSL-VPNに関する記述のうち、最も適切なものはどれか。
- アSSL-VPNは、Webブラウザを利用してアクセスできるため、専用クライアントソフトの導入が不要な構成にしやすい
- イIPsec VPNは、トランスポート層で動作し、アプリケーションを問わず透過的に利用できる
- ウIPsec VPNはアプリケーション層で動作するため、特定のアプリケーションのみを暗号化対象にできる
- エSSL-VPNは、IPパケット全体を暗号化するため、IPsec VPNより低いネットワーク層で動作する
SSL-VPNはTLS/SSLを用いてWebブラウザ経由でアクセスできる方式で、専用クライアントを必要としない(クライアントレス)構成にしやすいのが特徴です。
IPsecはネットワーク層(IPレベル)で動作し、上位のアプリケーションを問わず透過的に通信を暗号化できます。イは「トランスポート層」、ウは「アプリケーション層」としている点が誤りです。エもSSL-VPNとIPsecの説明が逆になっています。
IPsec=ネットワーク層・拠点間VPN(Site-to-Site)向き、SSL-VPN=アプリケーション層に近い・クライアントレスでリモートアクセス向き。レイヤと用途をセットで覚えましょう。
📄 ケース
社外で業務を行う従業員Aは、出張先のカフェで提供されている暗号化されていない無料Wi-Fi(SSID:「Free_WiFi」)に接続し、社内システムへHTTPでログインした。後日、同じネットワーク上で第三者が通信を傍受し、ログイン情報を窃取していたことが判明した。調査の結果、攻撃者は同じアクセスポイントに接続し、ARPポイズニングという手法を用いて従業員Aとアクセスポイント間の通信を中継していたことが分かった。
設問:従業員Aが今後、社外のネットワークから社内システムへ接続する際に講じるべき対策を、35字以内で述べよ。
「信頼できるVPNを経由して通信を暗号化した上で社内システムへ接続する」
ARPポイズニングによる中間者攻撃(MITM)は、暗号化されていない通信を盗聴・改ざんすることを狙います。VPNで通信全体を暗号化すれば、第三者が通信を中継できても内容を盗聴・改ざんすることが困難になります。
「HTTPSを使う」も部分点になり得ますが、根本対策としては「VPN等で通信経路全体を暗号化する」がより包括的です。「Free_WiFiを使わない」だけでは抽象的すぎるため、具体的な対策まで書くことが重要です。
公衆無線LANは誰でも同一ネットワークに接続できるため、ARPポイズニングなどによる中間者攻撃のリスクが高いです。社外から社内システムへアクセスする際は、VPNやゼロトラストネットワークアクセス(ZTNA)で通信経路自体を保護するのが鉄則です。
🖱️ セッション・クリックジャッキング編
「画面の見た目を操作する攻撃」と「セッション管理の不備」、対策を取り違えないようにしましょう。
権限が変わる瞬間に注目する
セッション管理の問題は「未ログイン→ログイン後」など、権限レベルが変化するタイミングで何が起きるかを問われます。このタイミングの処理を意識して読みましょう。
クリックジャッキング対策として、最も適切なものはどれか。
- アレスポンスヘッダにX-Frame-OptionsやCSPのframe-ancestorsを設定し、他サイトのiframeへの埋め込みを制限する
- イ入力値に含まれるHTMLタグをエスケープ処理する
- ウパスワードの保存にハッシュ関数を用いる
- エSQL文の組み立てにプレースホルダを使用する
クリックジャッキングは、攻撃者のサイトに透明化した正規ページをiframeで重ねて表示し、利用者に意図しないクリックをさせる攻撃です。対策の基本は、レスポンスヘッダでiframeへの埋め込み自体を制限することです。
イはXSS対策、ウは認証情報保護、エはSQLインジェクション対策です。クリックジャッキングとXSSはどちらも「画面の見た目に関わる」ため混同しやすいですが、対策はまったく別物です。
X-Frame-OptionsはCSPのframe-ancestorsディレクティブに置き換わりつつありますが、両方をセットで覚えておくと安心です。
📄 ケース
某社のWebサービスでは、利用者がログインに成功した後も、ログイン前から保持していたセッションIDをそのまま継続して使用する実装になっている。セキュリティ診断の結果、攻撃者が事前に取得したセッションIDを被害者に踏ませ(URLパラメータ等で誘導し)、被害者がそのセッションIDでログインすると、攻撃者が同じセッションIDを使って被害者になりすませることが確認された。
設問:このWebアプリケーションが実装すべき対策を、その理由も含めて40字以内で述べよ。
「ログイン成功時にセッションIDを再発行し、ログイン前のセッションIDを無効化する」
これはセッション固定攻撃(Session Fixation)と呼ばれる手法です。攻撃者が把握しているセッションIDがログイン後も有効なままだと、攻撃者は同じIDで成りすますことができます。権限が変化するタイミングでセッションIDを再生成するのが根本対策です。
「セッションIDをURLパラメータで渡さずCookieのみにする」も有効な補助策ですが、設問の核心は「ログイン時のID再発行」です。「セッションタイムアウトを短くする」は別の対策であり、この設問の根本対策にはなりません。
権限レベルが変化するタイミング(未ログイン→ログイン後など)では、必ずセッションIDを再生成する、というのがセッション管理の大原則です。
🎯 フィッシング・標的型攻撃編
送信ドメイン認証の3兄弟(SPF/DKIM/DMARC)と、標的型攻撃メール受信後の初動対応を押さえます。
SPFとDKIMの役割を入れ替えた選択肢に注意
SPF=送信元IPアドレスの検証、DKIM=電子署名による検証、DMARC=両者の結果をもとにした方針宣言。この3層構造をセットで覚えておきましょう。
SPF、DKIM、DMARCに関する記述のうち、最も適切なものはどれか。
- アDMARCは、SPFやDKIMの検証結果に基づき、認証に失敗したメールの取り扱い方針を送信側が宣言する仕組みである
- イSPFは、メール本文にデジタル署名を付与し、改ざんを検知する仕組みである
- ウDKIMは、送信元IPアドレスをDNSに登録し、許可されたサーバからの送信かどうかを検証する仕組みである
- エSPF・DKIM・DMARCはいずれもメール本文を暗号化し、第三者による盗聴を防ぐための技術である
DMARCは、SPFとDKIMの検証結果を踏まえて、認証に失敗したメールをどう扱うか(何もしない/隔離/拒否)を送信側ドメインの管理者がDNSで宣言する仕組みです。なりすましメール対策の要となります。
イとウはSPFとDKIMの説明が入れ替わっています。メール本文への署名はDKIMの役割、送信元IPアドレスの検証はSPFの役割です。この入れ替えは午前IIで非常によく狙われます。
SPF・DKIM・DMARCはいずれも送信元の正当性を検証する「認証」技術であり、本文の暗号化(秘匘)は目的としません。なりすましメール(フィッシング、ビジネスメール詐欺)対策の基本3点セットとして覚えましょう。
📄 ケース
従業員Bは、取引先を装ったメールに添付されていたWord文書を開き、「コンテンツの有効化」を許可したところ、PCの動作が急に重くなった。情報システム部門が調査したところ、当該PCから外部の不審なIPアドレスへの定期的な通信(C2通信)が発生していることが確認された。
設問:情報システム部門が、このPCに対して最優先で実施すべき対応を、25字以内で述べよ。
「当該PCをネットワークから隔離する」
C2(コマンド&コントロール)通信が確認されている時点で、すでにマルウェアに感染し攻撃者と通信していると判断できます。被害拡大(他端末への侵害拡大、情報の外部送信)を防ぐ最優先の対応は、ネットワークからの隔離です。
「PCを初期化する」は時期尚早です。フォレンジック調査や被害範囲の特定(横展開の有無、外部送信されたデータの確認)が完了する前に初期化すると、証跡が失われ原因究明に必要な情報が得られなくなります。
標的型攻撃メールはマクロ付きOffice文書(「コンテンツの有効化」を促す)が典型的な手口です。C2通信の検知は「すでに侵害が成立している」ことを意味し、対応は「隔離→調査→復旧」の順序を徹底します。
🗝️ 特権・アカウント管理編
最小権限の原則と、アカウントのライフサイクル管理(特に退職時の処理)を押さえます。
「使われるはずのない有効な認証情報」を作らない
特権ID管理も退職者アカウント管理も、本質は同じです。不要になった権限・アカウントを放置しない仕組みがあるかどうかが問われます。
特権ID(システム管理者権限を持つアカウント)の管理として、最も適切なものはどれか。
- ア業務上必要な利用者・利用目的・利用期間を限定し、利用記録を取得・レビューする
- イ運用効率を優先し、すべての利用者に管理者権限を付与しておくことが望ましい
- ウ特権IDは共用アカウントとして複数の管理者で共有し、個人を特定できないようにすることが望ましい
- エ一度付与した権限は、業務内容が変わっても見直す必要はない
最小権限の原則(Principle of Least Privilege)に基づき、特権IDは必要な人に、必要な期間だけ付与し、利用状況を記録・定期的にレビューすることが基本です。これにより不正使用や誤操作の影響範囲を最小化できます。
ウのように「共有すれば個人を特定できなくなる」点を、あえて肯定的なメリットとして書く選択肢に注意。実際は誰が何をしたか分からなくなる(アカウンタビリティの欠如)デメリットであり、不正の温床になります。
特権ID管理は「最小権限」「利用記録の取得・レビュー」「定期的な権限見直し」の3点セットで覚えましょう。エのように「見直し不要」という言い切りも誤答の定番パターンです。
📄 ケース
某社では、従業員が退職した際のアカウント削除・無効化の手続きが定められていなかった。退職した元従業員のアカウントが削除されずに残っていたところ、退職から3か月後、当該アカウントを使って社内システムに不正アクセスされ、機密情報が外部に送信される事案が発生した。
設問:このインシデントの根本原因と、再発防止のために整備すべき仕組みをそれぞれ30字以内で述べよ。
原因:「退職時にアカウントを無効化・削除する手続きが整備されていなかった」
対策:「人事の退職情報とシステムのアカウント管理を連携させ、退職時に自動的に無効化する仕組みを整備する」
アカウントのライフサイクル管理(入社・異動・退職に応じた権限の付与・変更・削除)が徹底されていないと、退職者アカウントのような「使われるはずのない有効な認証情報」が放置され、不正アクセスの温床になります。
「退職者にパスワードを変更させる」では不十分です。退職者本人による不正アクセスだけでなく、パスワード漏えいによる第三者の不正利用も想定する必要があり、本質的には削除・無効化が対策となります。「人事システムとの連携」「定期的なアカウント棚卸し」など、仕組み化のキーワードを含めることが採点上重要です。
アカウントのライフサイクル管理(入社時の付与、異動時の見直し、退職時の即時無効化)は、IDガバナンスの基本中の基本です。退職者アカウントの放置は実際のインシデントでも頻発する典型パターンとして、午後試験で繰り返し出題されます。
コメント