[問題文・解答]
平成28年度4月に実施された情報セキュリティスペシャリスト試験の午後1試験の問題・解答はIPA公式ページからダウンロード出来ます。(以下リンク)
[H28春 午後1 問題文] [H28春 午後1 解答]
[問題概要]
題材はショッピングサイト用スマホアプリとサーバ間の認証です。開発中のショッピングサイトサーバと専用のスマホアプリでは、スマホアプリが商用認証局から発行されたサーバ証明書を使ってサーバの認証を行います。
検証試験として、試験環境でサーバ証明書に以下の3つの不正箇所がある場合にちゃんとスマホアプリが認証エラーとなるかどうかを確認しています。
・発行者不正
・有効期間不正
・サブジェクトのコモンネーム不正
設問のほとんどが「文中の字句を用いて答えよ」系で、複雑な内容を問われる設問も少ないため、あまり知識が無くても問題文をよく読めば6割は確実に取れる難易度低めの問題と思います。
[設問1]
(1)(2)
図2に「Sアプリ内に、SサーバのFQDNが組み込まれている」とあるため、SアプリはFQDNからDNSを用いてSサーバのIPアドレスを求めて、Sサーバにアクセスすると推定されます。
試験環境では、以下の流れでSアプリが試験用Webにアクセスすることになります。
SアプリがSサーバのFQDNで試験用DNSサーバに問合せ
⇒試験用DNSサーバが試験用WebサーバのIPアドレスを回答
⇒返ってきたIPアドレスを元にSアプリが試験用Webサーバにアクセス
[答] (1) Sサーバ (2) 試験用Webサーバ
(3)
表2 項番2より有効期間内でないことの検出が目的であるため、試験実施日には有効期間が終わっている必要があります。従って、有効期間の終了は試験実施日より前になります。
[答] 試験実施日より前の日時
(4)
図2よりSアプリのエラー時の動作は以下の通りです。
a) Sサーバと通信できなかった場合 ⇒ 通信エラー画面表示
b) Sサーバを認証できなかった場合 ⇒ サーバ認証エラー画面表示
P.16上部にSアプリと試験用Webサーバ間でHTTPS通信が確立することは確認済みとあり、試験自体がサーバ証明書の不正検出が目的であるため、上記b)の動作が望まれます。
[答] Sアプリがサーバ認証エラー画面を表示する。
[設問2]
(1)
各検証不備で認証が成功してしまうパターンは以下の通りです。
発行者の検証不備 ⇒ 発行者が商用認証局でなくても認証出来てしまう
コモンネームの検証不備 ⇒ コモンネームがSサーバのFQDNでなくても認証出来てしまう
[答] e) 1,2,3,4 f) 3 g) 1
(2)
この問3で唯一の自由記述問題ですが、公衆無線LANになりすます設定をW-APに入れればよいというのは自然と思いつくと思います。あとはどこまで回答を具体的に書くかですが、文字数が45字以内ですし、午後1の試験ではそこまで具体的な回答を求められることは少ないです。(必要な場合は「具体例を挙げて答えよ」などの文言がある)
従って、「SSID・暗号化方式・事前共有鍵を公衆無線LANに合わせる」程度で良いみたいです。
[答] SSID、暗号化方式と事前共有鍵に、公衆無線LANで使用されているものを設定する。
平成28年度春のSC午後1試験の他の問題の解説は下記投稿で行っています。
また、オススメ問題について下記投稿に記載しています。
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
0 件のコメント:
コメントを投稿