【4/22 21:22 追記】

タイトルを【超仮版】→【公式反映済み】に変更。

IPA の公式回答ってこんなすぐに出てましたっけ、っていう疑問。以下にありますので、自己採点には公式をお使いくださいm(__)m

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2019h31.html#31haru

---

午前の記事をあげましたら、ありがたいことに午後のご要望をいただいたので、そちらも自分の回答と自分なりの調査結果をあげていきたいと思います。

というか、ひとつ前の記事の冒頭に書くべきだったんですが、今日受験された皆様、本当にお疲れさまでした！

自己回答 (自分用メモ)

公開するのが恥ずかしいレベル

問1

設問1 (1) カ (2) イ (3) オ

設問2 (1) カ (2) ウ (3) ウ (4) オ

設問3 (1) ウ (2) キ

設問4 オ

問2

設問1 ア・イ・カ

設問2 (1) ウ (2) オ (3) カ

設問3 (1) エ (2) ケ (3) イ (4) ウ

設問4 (1) キ (2) オ

問3

設問1 ウ

設問2 (1) キ (2) イ

設問3 (1) イ (2) キ (3) ケ (4) オ

設問4 キ

設問5 エ

設問6 (1) ア (2) ク

予想正答

午後になると自信のない部分も多いので「ここは違うんではないか」などもコメント大歓迎ですm(__)m

問題	設問	枝問	正解(仮)
問1	設問1	(1)	コ
		(2)	イ
		(3)	オ
	設問2	(1)	カ
		(2)	ウ
		(3)	ウ
		(4)	オ
	設問3	(1)	ウ
		(2)	キ
	設問4		オ
問2	設問1		ア・イ・カ
	設問2	(1)	ケ (公式公開まで「ク」って記載、誤答でした)
		(2)	オ
		(3)	カ
	設問3	(1)	エ
		(2)	ケ
		(3)	イ(公式公開まで「カ」って記載、誤答でした)
		(4)	ウ
	設問4	(1)	キ
		(2)	オ
問3	設問1		ウ
	設問2	(1)	キ
		(2)	イ
	設問3	(1)	イ
		(2)	イ
		(3)	ケ
		(4)	ウ
	設問4		キ
	設問5		エ
	設問6	(1)	エ (公式公開まで「ア」って記載、誤答でした)
		(2)	カ

調べたことや回答の軌跡など

問1

設問1

(1)

正解はおそらく「コ」となります。

問われている欄に入れるものはシミュレーションかそれに類する用語です。これは私は知りませんでした。調べてみたところ、どうも「レッドチーム演習」が該当しそうです。

レッドチーム演習では、実際の攻撃者が用いるツール・戦術・手法をもって、擬似的な攻撃を実施し、あらかじめ設定した目標（例：特権の入手、機密情報へのアクセス、社長のメールアカウントの奪取等）への到達を試みます。攻撃に用いる手法はTechnology（技術）領域のみならず、Human（人・組織）、Physical（物理）の3つの領域全てをカバーします。

レッドチーム演習 / 株式会社スプラウト

• ア「広域災害対策演習」ちゃんとした定義は把握していませんが、リアルの災害に備えた訓練の印象
• イ「情報セキュリティ監査」これは演習ではなく監査チームが監査するアレです
• ウ「脆弱性診断」アプリケーションの脆弱性を見つける方法
• エ「パンデミック対策演習」感染症などのパンデミックに備える演習の印象
• オ「ビジネスインパクト分析」業務が災害などで停止した場合の影響の分析
• カ「ファジングテスト」対象ソフトウェアに問題を起こしそうなデータを入れて挙動を観察するテスト
• キ「ホワイトボックステスト」中の構造も網羅して行うテスト
• ク「マルウェア解析」読んで字のごとく、マルウェアを解析すること
• ケ「リバースエンジニアリング」アプリケーションからコードや仕様を解析すること
• コ「レッドチーム演習」上記にある通り、おそらくこれが正解選択肢

知っているものを除外していったのですが、ファジングの意味をすっかり忘れていたので、最後に 1/3 くらいの確率で外しました。

(2)

正解は「イ」と考えました。

「インターネット上の情報を用いて組織や人物を調査し、攻撃対象の組織や人物に関する情報を取得する。」という内容に対応するもの。

ここで「インターネット上の」とあったため、私はまず真っ先に社内ポータルの選択肢 (v) を削りました。また、個人的には (iii) の SNS は (使い方によりますけど) 情報の宝庫となりえる場所。 (iv) のダーク web も、攻撃をするような人であればアクセスするだろうと考え、(iii) (iv) が含まれる選択肢を検討したら「イ」しか残らなかったという過程です。

なお、ここの回答の中に (iii) が含まれるであろうことは、表 4 の「"1 偵察" 段階の対策としては、次が考えられる。→ SNS 利用におけるルールを作成する」となっていることからも、あとで検算できるかと思います。

(3)

正解は「オ」と考えました。

シナリオ 1 は「標的型メールが送りつけられた」段階、シナリオ 2 は「標的型メールによりマルウェアに感染した」段階。シナリオ 2 については、マルウェア対策ソフトが「マルウェア感染らしき異常が認められた」という内容です。

そのためシナリオ 1 は「3 配送」、シナリオ 2 は「5 インストール」で、その組み合わせである「オ」かなと思って回答をしました。

設問2

(1)

正解は「カ」と考えました。

「証拠保全した機器の調査」にかかわるものは、選択肢の中では「デジタルフォレンジックス」しかありません。

(2)

正解は「ウ」と考えました。

シナリオ 1 において、それぞれのグループの対応を以下のようにとらえました。

• グループ 1
  • 「標的型メール攻撃であるか否かを確認するために」ということはインシデントの可能性を認識しているが、確認のためにメールの URL をクリックするアクションをとっているのがダメ
  • この場合、クリックせず報告するべき
  • しかもなにもなかったら報告せず、問題が起きたら報告するというのもダメ
• グループ 2
  • 特に問題点見当たらず
• グループ 3
  • 怪しいメールの可能性を認識しているが、メールを完全消去してしまっている
  • インシデントかどうかを自己判断しており、報告していない

(3)

これも正解は「ウ」と考えました。グループ 2 が優秀。

シナリオ 2 において、それぞれのグループの対応を以下のようにとらえました。

• グループ 1
  • 再起動をしてしまっているので「通常の OS の終了処理」を行ってしまっている
• グループ 2
  • 特に問題点見当たらず
• グループ 3
  • NPC のカバーを閉じてしまうと「省エネルギー対策の一つとして、すべての NPC は、カバーを閉じると自動的にスリープモードに切り替わるように設定されている」の記述から、スリープモードになってしまう

(4)

正解は「オ」と考えました。

通常の OS の終了処理では、不揮発領域の中でも起動時に利用した情報など不要になったものは消されます。なので (iii) がまず該当しそうです。また、私は Windows を使っていますが、終了処理しても閉じていいアプリケーションかどうか聞いてくるし、なかなかシャットダウンしない…その間にもおそらく処理は進みます。ということで (ii) も対象と思いました。

余談ですが他の選択肢について、記憶媒体の異常やバッテリ・マザボの故障、メーカサポート対象外などは、おそらく通常の終了処理を行わないケースのほうが発生可能性が高いのではないかと思います。

設問3

(1)

正解は「ウ」と考えました。以下で絞り込んだ (ii) (iii) の組み合わせです。

• (i)「"1 偵察" 段階の対策」なので、発生後なら効果はありますが、この段階で CSIRT は効果がありません。
• (ii) 例えば 5ch などに会社情報や内情を書いてしまうと情報源になりえるので、正解選択肢候補。
• (iii) 上記と同じ発想です。外部に依頼することで、意図していないものも見つけられるかと。正解選択肢候補。
• (iv) インターネットからの情報収集が主だと考えたので、社内サーバやプロキシサーバは対象から外しました
• (v) これは "1 偵察" ではなく "3 配送" に対する対策になりうる
• (vi) これは "6 遠隔制御" の対策になりうる
• (vii) これは "5 インストール" の対策になりうる、かも？　少なくとも "1 偵察" ではない

(2)

正解は「キ」と考えました。以下の正解選択肢候補の組み合わせです。

企業の偽サイトができている状況において：

• (i) 本物を閉鎖してしまったら、偽物だけが公開されている状態になってしまう
• (ii) よく銀行などでも「弊行を装った偽サイトがあります」というような注意喚起をしているが、偽サイトが作られてしまっていることを知ってもらい、自己防衛してもらうのは大切と考えました。正解選択肢候補。
• (iii) 自分たちがすぐコントロールできる範囲でフィルタリングをかけても、守れるのは社内だけです。表 4 を見ると、守らないといけないのは取引先や顧客ですが、その人たちがみなフィルタリングできる状況にいるとは限りません。
• (iv) 偽サイトを攻撃したら、本物を運営している側もサイバー攻撃という犯罪を行ってしまいます。
• (v) 明らかな類似サイトなどは犯罪に問えるので、プロバイダに依頼できるはずです。正解選択肢候補。

設問4

正解は「オ」と考えました。

演習が年に 1 回では足りない理由、それはそれ以上の頻度で変化が起きているからです。毎月 3-4 名を採用しているということは、年に 1 回しか演習を行わない場合、最大で 50 名弱が演習を経験しないまま業務にあたっている状況が発生する可能性があります。

なお「ウ」の「事業に深刻な影響を与えるようなサイバー攻撃を過去に受けたことがあるから」は問題文中に記載がありません。今回の演習の提案のきっかけはニュースと書かれています。

問2

設問1

正解は「ア」「イ」「カ」だと考えました。1 つの問題に複数マークをするケースが初めてで戸惑いました…。

問題になっているのは情報資産目録への記載内容の過不足。情報資産目録には「名称」「管理責任者」「重要度」「保管場所」「保管期間」が含まれます。この目録自体の取り扱いではなく、記載内容を最新に近い状態に保つことが大切と考えました。

• ア : 新規追加への対応で「名称」「管理責任者」という対象項目なので、正解選択肢候補。
• イ : 「重要度」の内容を確認するものなので妥当。正解選択肢候補。
• ウ : リスク低減は目録作成や目録の記載内容とは関係なし
• エ : 目録自体のアクセス権も特に問題になっていない
• オ : 目録自体の評価も話題ではない
• カ : 廃棄されたものを反映するのも最新化に必要、正解選択肢候補。

設問2

(1)

正解は「ケ」らしいです！まったくわからんかったというか、どこを調べたらここにたどり着けたんだろう…。

• 特定商取引に関する法律
• 適用法規制一覧

正解はおそらく「ク」となります。

「電気通信事業法」は通信事業などの時に関係する法律であり、今回は無関係。通信販売ということなので、ユーザの個人情報を扱う…と思い「個人情報の保護に関する法律」かと思ったが、通信販売だと「特定商取引に関する法律」も対象になる。

ただし、問題をよく読むと、「個人情報の保護に関する法律」は表 2 の「個人向け通信販売」ではなく「X 社 Web サイトの改修」のほうにあてはまりそうなので、この問題の意図としては対象の法律は「特定商取引に関する法律」なのではないかと思いました。

これはぜひ詳しい方コメントでご教示ください＞＜

↓この例を見ると「特定商取引に関する法律」と「適用宣誓書」の組み合わせになる「ク」か？

ISMS認証実績【株式会社ヴァーナル北海道】・ICMS(国際マネジメントシステム認証機構)

(2)

正解は「オ」と考えました。

クレジットカード決済といえば PCI-DSS というくらいの脳死ぶり。

(3)

正解は「カ」と考えました。

人がキーになっているところから「ソーシャルエンジニアリング」しか選択肢がありません。

• ア「キーロガー」キーボード操作を記録するソフトウェア。仕込まれてデータ転送されるとパスワードなどが漏洩
• イ「クリプトジャッキング」仮想通貨のマイニング (採掘) を不正に行うこと
• ウ「サイドチャネル攻撃」暗号を解読しようとする攻撃のこと (雑)
• エ「セッション固定攻撃」攻撃者の取得済みのセッション ID を被害者に使わせる攻撃
• オ「総当たり攻撃」ブルートフォース攻撃のこと
• カ「ソーシャルエンジニアリング」正解選択肢候補。
• キ「ディレクトリトラバーサル」不正なパスでアクセスすることで想定外のファイルを表示させようとする攻撃
• ク「パスワードリスト攻撃」脆弱性のあるサービスから流出した ID/パスワードの組み合わせで他のサービスへログインしようとする攻撃
• ケ「バッファオーバーフロー攻撃」演算結果が極大・極小になるような値を入力してシステムに不具合を起こさせる攻撃
• コ「レインボー攻撃」ハッシュ化されたパスワードのデータをもとに、パスワードを解読しようとする攻撃

設問3

(1)

正解は「エ」と考えました。(i) (iii) (iv) の組み合わせ。

表 4 の記載は「X 社からの公式な情報発信であることの明示」なので、それを示す必要があります。

• (i) SNS アカウントのプロフィールに書くのは、詐称も可能ですが明示にはなります。正解選択肢候補。
• (ii) 個人アカウントと相互フォローしても、X 社からの公式な情報発信であることの明示にはなりません
• (iii) SNS の提供業者による審査は有効と考えられます。個人がやっているのではなく、公式アカウント扱いということ。正解選択肢候補。
• (iv) 別の媒体である Web サイトにも記載してリンクするのは効果があると思いました。正解選択肢候補。
• (v) メールを送信するわけではないので SPF は今回関係しません。

(2)

正解は「ケ」と考えました。(ii) (iv) (v) の組み合わせ。

表 4 の記載は「アカウント乗っ取りの防止」。

• (i) 投稿のアクセス状況をレビューしても意味がありません。
• (ii) パスワードを他と共有しなければ「パスワードリスト攻撃」による被害の可能性が下がります。正解選択肢候補。
• (iii) 利用者 ID の宣伝は関係ありません。Twitter をイメージした場合、そもそも ID は公開情報だし…。
• (iv) 自宅の PC などから行わないことで、意図しない流出を防げます。正解選択肢候補。
• (v) 例えばパスワード＋セキュリティトークンなどにすれば、パスワードが万一漏れてもログインできません。正解選択肢候補。

(3)

正解やっぱり「イ」だった模様です。考えてみれば (v) はソーシャルエンジニアリングというよりは標的型メールの対象になるのかな。ううーん。

正解は「カ」と考えました。(試験の時は「イ」を選びましたが…)

表 5 の記載は「SNS の個人利用における順守事項」。対応する問題は「社の信用や評判を損う不用意な投稿」「投稿がソーシャルエンジニアリングのきっかけとなる」でした。

• (i) 内容的に当たり前だと思って選びましたが、…いや、守秘義務的な内容だと、信用にかかわるかな？正解選択肢候補。
• (ii) 業務用 PC で個人用 SNS を使わないのは正しいと思いました。ですが、今から見直すと問題には関係ないかも。
• (iii) 個人の投稿を会社の公式見解にはできません。
• (iv) 侵害する投稿は不用意な投稿に当たると考えられます。正解選択肢候補。
• (v) これも好ましくないとは思いましたが、試験の時は (ii) を選んでいました。むしろ取引先の情報もつながってしまうので今から考えるとよりこちらのほうがソーシャルエンジニアリングに弱くなるかもしれません。正解選択肢候補。

(4)

正解は「ウ」と考えました。以下の選択肢を除外して (i) (ii) (v) の組み合わせです。

• (iii) URL を短縮サービスにしてしまうと、その先の飛び先がわからず、危険なサイトへ誘導される可能性があるため
• (iv) SNS の醍醐味かもしれませんが、ソーシャルエンジニアリングを考えると、こういうところから徐々に侵入してくる可能性があります

設問4

(1)

正解は「キ」と考えました。

ここで問われているのは「アカウント管理ロール」に対して「売上」「アカウント」それぞれの機能で与える権限です。「アカウント管理ロール」はアカウントの管理ができればよく、売上は見る必要すらないと考えました。一方「アカウント管理ロール」なのでアカウントに対しては編集の権限も必要です。

よって「売上」→「×」、「アカウント」→「◎」です。

(2)

正解は「オ」と考えました。

ここで問われているのは「モニタリングロール」に対して「売上」「アカウント」それぞれの機能で与える権限です。「モニタリングロール」は各機能の利用状況のモニタリング用なので、全機能に対する参照権限は必要です。

よって「売上」→「〇」、「アカウント」→「〇」です。

問3

設問1

正解は「ウ」と考えました。(i) (ii) (iii) の組み合わせです。

共用しているものは「NPC、ID、パスワード、メールアドレス」。

• (i) 共用しているので操作者の特定が (後からは特に) 困難。正解選択肢候補。
• (ii) 管理員でなくても Q 社社員は立ち入れるので、異動者などは十分ありえる。正解選択肢候補。
• (iii) パスワードのメモは確かにありそうだと考えましたが、今から考えると、パスワードだけ漏洩しても、というところはあります。とはいえ、共用していなければ発生しない事象なので、正解選択肢候補。
• (iv) クリアスクリーンをし忘れた場合、共用にかかわらずリスクがあり、共用により高まるものではないので対象外。

設問2

(1)

正解は「キ」と考えました。

監査人は監査対象部署とは独立していないといけないので、a1 は「独立性」。ISMS の運用にかかわるのは「文書管理規定」だけではないので a2 は「情報セキュリティ関連規定」全般。評価時には監査対象部署へのヒアリングも発生するので a3 は「監査対象部署」。

(2)

正解は「イ」と考えました。

ランサムウェアはファイルを暗号化し、復号のためにお金などを要求する攻撃。以下のように考えていくと、関係しそうなのは「3」「4」「8」だったためです。

• 1 デジタルファイルが対象なので、クリアデスクは関係ない
• 2 クリアスクリーンも関係なし
• 3 OS が最新になっていれば、脆弱性を突かれるケースが減る
• 4 インストールアプリケーションも最新になっていれば、脆弱性を突かれるケースが減る
• 5 ロックは物理的対策であり、ランサムウェアには効果なし
• 6 クリアデスク、個人情報漏洩対処
• 7 上記と同じ、個人情報漏洩対処
• 8 PC に保存しないことで PC にランサムウェアが感染しても被害を防げる可能性がある
• 9 個人所有 PC は関係なし

設問3

CVSS v3 については、基本的に以下の URL に掲載があります。

設問3 セクションで引用している文章や画像は、特に断りがなければすべて以下からとなります。

共通脆弱性評価システムCVSS v3概説：IPA 独立行政法人 情報処理推進機構

(1)

正解は「イ」と考えました。

問題文中にある「時間の経過や利用環境の差異によって変化せず、脆弱性そのものを評価する」という表現から「基本評価基準」という言葉にたどりつくことができます。

上記と対になるように「現状評価基準」は時間の経過に影響を受け、「環境評価基準」は環境の差異に影響を受けます。

(1)基本評価基準(Base Metrics)

　脆弱性そのものの特性を評価する基準です。情報システムに求められる3つのセキュリティ特性、『機密性(Confidentiality Impact)」、『完全性(Integrity Impact)」、『可用性(Availability Impact)」に対する影響を、ネットワークから攻撃可能かどうかといった基準で評価し、CVSS基本値(Base Score)を算出します。この基準による評価結果は固定していて、時間の経過や利用環境の異なりによって変化しません。ベンダーや脆弱性を公表する組織などが、脆弱性の固有の深刻度を表すために評価する基準です。

(2)現状評価基準(Temporal Metrics)

　脆弱性の現在の深刻度を評価する基準です。攻撃コードの出現有無や対策情報が利用可能であるかといった基準で評価し、CVSS現状値(Temporal Score)を算出します。この基準による評価結果は、脆弱性への対応状況に応じ、時間が経過すると変化します。ベンダーや脆弱性を公表する組織などが、脆弱性の現状を表すために評価する基準です。

(3)環境評価基準(Environmental Metrics)

　ユーザの利用環境も含め、最終的な脆弱性の深刻度を評価する基準です。脆弱性の対処状況を評価し、CVSS環境値(Environmental Score)を算出します。この基準による評価結果は、脆弱性に対して想定される脅威に応じ、ユーザ毎に変化します。ユーザが脆弱性への対応を決めるために評価する基準です。

(2)

正解はおそらく「イ」となります。

基本評価基準値は問題文中にあるように「9.8」です。CVSS v3 の基準は以下に貼り付けた図の通りです。

(3)

正解は「ケ」と考えました。

問題文を見ると「攻撃条件の複雑さ」「攻撃に必要な特権レベル」「利用者の関与」の全てにおいて、攻撃が成功する恐れが最も高い状態とあります。

「攻撃条件の複雑さ」普通に考えて、複雑さが低いほうが攻撃はしやすいです。なので「低い」。

「攻撃に必要な特権レベル」普通に考えて、特権なしでも攻撃できるほうが楽です。なので「不要」。

「利用者の関与」利用者の関与が無いほうが、攻撃者も任意のタイミングで攻撃可能。なので「不要」。

なお、これらの評価結果により計算するときに利用する値は以下の画像の通りです。

(4)

正解は「ウ」と考えました。(いや、勘違いして「オ」って回答書いちゃったけど…)

• ア「BI ツール」ビッグデータを分析して意思決定の役に立てるためのツール
• イ「CASIB」クラウドサービスのセキュリティを強化するためのツール
• ウ「IT 資産管理ツール」正解選択肢。
• エ「UEBA」 ユーザなどのふるまいを分析してセキュリティ的に不安なものがあれば気付けるようにするツール
• オ「ソフトウェア構成管理ツール」SCM のこと。
• カ「特権 ID 管理ツール」特権 ID の管理は今回の件とは無関係。
• キ「ポートスキャナ」不要なサービスが立ち上がっていないか調べるもの。今回は無関係。

設問4

正解は「キ」と考えました。

下線部は「管理されていないツールを」「会社として許可していない個人端末で」業務のために利用しているという内容。管理できていないツールを利用すること→シャドー IT、個人所有のデバイスを持ち込んで使うこと→BYOD となります。

• 「シャドー IT」企業側が把握していない状態で従業員が IT 活動を行うこと
• 「グリーン IT」IT による/IT により環境負荷を減らす、という思想
• 「サンクション IT」組織が許可している IT のこと
• 「BYOD」Bring Your Own Device 個人所有のデバイスを業務利用すること
• 「CDN」Contents Delivery Network コンテンツを配信するための専用ネットワーク
• 「VPN」Virtual Private Network プライベートネットワークを拡張し、インターネット上でも使えるようにしているもの

設問5

正解は「エ」と考えました。

「これまでの報告を受けての見直し案」ですが「これまでの報告」には以下のものがあります。

• アプリの更新漏れ
• 個人所有スマートフォンの業務利用

それに従い選択肢がどれかの解決になるかを見ていきました。その結果 (ii) (iii) の「エ」です。

• (i) 3 と 4 を統合してしまうと OS の更新が確認できないので、不適切
• (ii) 問題となった「アプリの更新漏れ」に対応できる
• (iii) 問題となった「個人所有スマートフォンの業務利用」に対応できる

MyJVN - MyJVN バージョンチェッカの対象ソフトウェア製品（詳細）

設問6

(1)

正解、あれ、「エ」なの？「エ」ということは (i) と (iii) だけど…。

問題文のここら辺にヒントありそうですね。

M アプリのアカウントは、スマホの電話番号に対応付けて登録される。

正解は「ア」と考えました。該当は (i) のみ。

• (i) M アプリは個人向けアプリなので、普通に起こりえる
• (ii) JPEG ファイルに撮影時に格納される各種データは自動的に削除される仕組みなので、これは発生しない
• (iii) スマホのアドレス帳に相互に登録されていなければ M アプリに登録されることもないので、見知らぬ人が登録されることはない

(2)

正解は「カ」になります。

リスクアセスメントは「リスク特定」「リスク分析」「リスク評価」を含むプロセスのため。試験を受けていた時は「リスク特定」は前に終わっていると思い込んでおりました。

リスクアセスメント（英: Risk assessment）とは、リスク特定、リスク分析、リスク評価を網羅するプロセス全体を指す [1] [2] [3] [4] [5] 。

リスク特定 (risk identification) - リスクを発見し、認識し、記述するプロセス

リスク分析 (risk analysis) - リスクの特質を理解し、リスクレベルを決定するプロセス

リスク評価 (risk evaluation) - リスク（とその大きさ）が受容可能か（許容可能か）を決定するためにリスク分析の結果をリスク基準と比較するプロセス

リスクアセスメント - Wikipedia