情報処理安全確保支援士
R7春 午後Ⅰ 問1「サプライチェーンリスク対策」—問題文のていねい解説 1) 物語の設定(登場人物とシステム) L社は外部ベンダーやオフショア拠点も関わる開発・運用体制を持ち、設計書は「プラットフォームG」に保存、静的解析ツール「F」は開発端末とプラッ…
R元秋2-2「工場セキュリティ」問題文の要点と流れ(丁寧解説) 1) 物語の舞台(A社/A‑NET/規程) A社は本社+3工場を持つ製造業。事業所内外をつなぐ基幹ネットワーク「A‑NET」をシステム部が管理しており、社内機器の多くが接続されています。各工場は独…
問題文の詳説(R元・秋 午後Ⅱ 問1) この問題は、WebアプリをDevOps体制で継続開発・運用している企業において、構成管理の甘さを突かれてマルウェア感染が起きた事例を素材に、インシデントの読み解き・原因特定・妥当な対策・開発運用プロセスの改善までを…
以下は、令和元年度 秋期 SC 午後Ⅰ「問2」設問2(対策の検討)の狙い→考え方→根拠→最終答案の順での詳解です。最後に字面そのままの公式解も添えます。 (1) 署名検証に使う証明書は? 狙い「正規“実行ファイル”かどうか」を署名で見極めるなら、どの証明書か…
全体像(舞台設定) N社(従業員500名)のメール基盤が題材。DMZに「外部DNSサーバ」「外部メールサーバ」、社内に「内部DNS」「内部メールサーバ」がある一般的構成です。社外とのメールは外部メールサーバが受け持ち、公開DNSは n-sha.co.jp のMXとそのAレ…
以下は、令和元年度 秋期 SC 午後Ⅰ「問3 標的型攻撃への対応」の問題文を、流れと狙いがつかめるように噛み砕いて整理した解説です。まず“どんな状況で何を導入し、どう対応したか”の全体像を押さえると読みやすくなります。 全体像(どんな話?) J社の素性…
全体像(舞台設定) E社(従業員5,000名)が働き方改革でテレワーク環境を整えたい。セキュリティ(特に情報漏えい防止)が大テーマ。推進役は登録セキスペのF次長と部下Gさん。 既存クラウド:メール/スケジュールのSaaS‑XとID基盤のIDaaS‑Yを使用中。IDaaS…
全体像(どんな話?) U社(半導体メーカー)が、協力会社40社と設計書や生産計画ファイルをやり取りするための自社開発Webシステム(Dシステム)を運用中。ある日トップページ改ざんが起き、調査するとHTTPサーバの既知脆弱性が悪用されていたことが判明。…
1. 物語の舞台(誰が・何を・どこで) 会社とシステム L社はECサイトを運営。買い物額に応じてポイントを付与する「Pシステム」をポイントサービス部が運用しています(図1参照)。問題文は、このPシステムのネットワーク構成と運用を前提に、脆弱性診断の計…
全体像(何の話?) テーマは「S/MIMEを使ったメール暗号化と送信者検証」。問題は“委託先とのメール”に限定され、設計・運用の要所を読解する構成です。 既存のメール・ファイル受け渡し運用 R社の自社ドメインは r-sha.co.jp。普段はF社の「ファイル交換サ…
まず全体像(出題の狙い) この問題は「スマホ決済」を題材に、(1) なりすまし防止の設計(メッセージ認証/HMAC)と (2) パスワードリスト攻撃の“スクリーニング”対策、さらに (3) 店舗Wi‑Fiやサーバ証明書検証の基本を総合的に問う構成です。モバイル決済で…
全体像(何の話か) 150名規模の投資コンサル会社C社が、SaaS活用やテレワークを進める中で、①社内LANのDHCPトラブル、②無料チャットSaaSでのアカウント乗っ取り疑い、という2つの出来事をきっかけに、無線LANの企業認証(802.1X)、IDaaS(SAML/SSO)、プロ…
全体像(舞台設定) 主人公はドラッグストアチェーンのN社。B社ブランドのライセンスで店舗と通販を展開。セキュリティは経営直轄の委員会とシステム部が担い、「消費者に影響が出るインシデントは速やかに情報開示」という基本方針を掲げています。ここが後…
物語の流れ(読み取りの道筋) G社の環境従業員1,500名の製造業。Webとメールを日常利用。情報セキュリティポリシを整備済み。以後の図表(図1・表1・図2)に社内ネット構成、機器・ソフト、既存のパッチ配信手順が載ります。 図1の要点:DMZだけがインター…
全体像(舞台設定) A社は中規模(従業員500名)。ネットワークは図1・表1で示され、社外に公開Web、社内に業務・内部Web・内部DNS、DMZに公開系を配置。外部DNSサーバは「権威DNS」兼「フルサービスリゾルバ(再帰解決)」として使われています(ここが重要…
全体像(舞台設定) S社(従業員10名のベンチャー)は、写真等のファイル共有・URL共有・メッセージ・「いいね」機能を備えたWebサービス(Sサービス)を運営。ユーザ(S会員)はログイン後に自分のフォルダへアップロードし、URLで他者と共有できます。セキ…
全体像(舞台設定) A社(化学素材メーカー、従業員8,000名)は、本社と6支社を持ち、基幹システムとVPNサーバはDC(データセンタ)に設置。メールはオンプレからクラウドのWebメール(Bサービス)へ移行済み。移行でインターネット向け通信が増え、DC側UTM…
全体像:どんな状況設定? 舞台は半導体メーカーU社。国内拠点のU社と国内40社の協力会社が、生産計画・設計書類などの“受発注以外”のファイルをやり取りするために、社内開発のWebベース交換システム「Dシステム」を使っています。アクセスは協力会社側とU…
