Take's Software Engineer Blog

TOEIC200点&プロマネな私が社内公募を経て、ソフトエンジニア&英語部門へ異動して奮闘していく話をしていきます

情報処理安全確保支援士試験 令和3年度 秋期 午後1 問2 その2

https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt8000000apad-att/2021r03a_sc_pm1_qs.pdf

以下のおすすめ問題の解説となります。

良書。

[問題への対策の検討]
Z主任は問題の解決に向けて、IRM(Information Rights Management)製品による対策を検討することにした。
Z主任は、導入実績の豊富なL社のIRM製品(以下、IRM-Lという)によって表1中の問題が解決できるかどうかを確認することにした。IRM-Lは、複数の利用者から成るグループ単位にアクセス権限の付与ができる。IRM-LはIRMクライアントとIRMサーバから構成される。IRMクライアントは、 PCにインストールされ、ファイルの 暗号化及び復号を行う。IRMサーバは、IRMクライアントの管理を行う。IRM-Lの概要を図1に示す。

Z主任は、次のようにIRM-Lを利用することによって、表1中の問題を表2のとおり解決できると考えた。

  • 各プロジェクトにグループを一つ割り当てる。
  • システム開発部門の従業員にIRM-Lの利用者アカウントを割り当てる。
  • 設計秘密は、IRM-Lで保護した上で、ファイルサーバに保管する。
  • T社のプロジェクトメンバもIRM-Lを利用し、IRM-Lで保護されたファイルを、クラウドストレージサービスにアップロードする。

問題2について、Pパスワードの利用状況を調査したところ、英数字と一部の記号を用いた10字程度のパスワードの利用が多いことが分かった。それに基づいて、Wソフトによって暗号化されたファイルとIRM-Lによって保護されたファイルの解読に必要な計算量を比較し、結果を図2にまとめた。

IRM-Lでは、一定時間当たりのログイン試行回数を制限する機能や、一定回数のログイン失敗でアカウントをロックする機能によって、攻撃者がログインに成功するリスクを下げることができる。しかし、利用者IDとパスワードによる認証だけでは、推測が容易なパスワードを利用者が設定してしまうと、長さが10字であったとしても()攻撃に対して脆弱となるので、(f)への変更が可能か検討することにした。

(1)ア、イ 

に対する解決策は

プロジェクト離任者の参照を禁止するためには、グループ管理者権限にあるグループから削除する操作が必要。この操作ができるのは、グループ管理者アカウント、IRM管理者アカウントの2つのみ。

(2) (ii)

 

参照不可にできるあるので、認証の可否を行うシーケンスを探すことになる。

(ii)に書かれている利用者アカウントが誰かということが分かった後参照権限があるかどうかを確認している。離任後はここを権限をなくすことでエラーとなるようになる。

エラーは工程の前半でやることが望ましいことを踏まえると、(ii)が最短で行っているため答えとなる

(3) c 60 d 196

午前の問題で問われたことがあるように、使用できる文字の数を64。パスワードの文字数を⑩とすると64の10乗が答えとなる。cに入るのは、2のxx乗という回答をする必要があるので、64=2の6乗と分解、6x10として60乗が答えとなる。

dはIRM-Lのファイル解読に必要な計算式は2の256乗
Wソフトは2の60乗必要

双方を割ると回答ができる

 

(4)辞書攻撃

パスワード認証を攻撃する手法としては、ブルートフォース攻撃、パスワードスプレー攻撃などがある。アカウントロックに有効な攻撃はパスワードスプレー攻撃と呼ばれる一定間隔ごとにログインを試みる方式である。

IPAなどの解答を見ると辞書攻撃とある。辞書攻撃の具体化した攻撃がブルートフォース攻撃やパスワードスプレー攻撃とある。ブルートフォース攻撃で正解になると思うがどうなんだろう。

 

(5)多要素認証

パスワード攻撃に対する防御策としては、副要素認証・多要素認証が友好的である

div #breadcrumb div{ display: inline;font-size:13px;}