令和7年春の過去問の問2の解説をします。
題材は脆弱性管理です。
では早速解説に移ります。
【情報処理安全確保支援士 オススメ書籍】
セキュリティについてが細かく解説されています。
テキストで学習した後すぐに問題を解ける構成になっているので効率よく勉強できます。
また午後問題もいくつか掲載されていて、解説までついてきます。
ダウンロード特典もあるので非常にオススメの一冊!!
問1
a~eに入れる応答を解答群から選ぶ
【解答群】
ア:”コンテンツがありません”というメッセージが返される
イ:2025年1月1日のキャンペーンのコンテンツが返される
ウ:サーバから応答が返されない
エ:内部サーバエラーが返される
| 空欄 | 解答 | 解説 |
| a〜c | ア | SQL構文エラーが発生し、コンテンツが表示されない |
| d | ア | 1=0 → 偽条件でコンテンツなし |
| e | イ | 1=1 → 真条件でコンテンツ表示あり |
SQL構文エラーは「コンテンツがありません」のメッセージが返されるので注意です。
問2
f、gに入れる適切な字句
| 空欄 | 解答例(20字以内) |
| f | 新たに発見された脆弱性 |
| g | 脆弱性診断ツールのアップデート |
ソースコードを変更していなくても、脆弱性定義やツール精度の変化で診断結果が変わることがあります。
問3
(1)h~kの組合せ
ウ
| 空欄 | 解答 | 解説 |
| h | 128 | ECDHEの推奨ビットセキュリティ |
| i | 曲線 | 楕円曲線暗号の使用 |
| j | 112 | DHEの推奨ビットセキュリティ |
| k | 鍵長 | DHEは鍵長に依存 |
(2)検知する方法
認証タイムアウトの出力が多数あったサイト担当者に電子メールでアラートを送る
多数のタイムアウトが出ているということは、攻撃者が何度も認証施行をしているということ。
(3)採用した対策
クライアント認証を行う
アクセス元のPCにクライアント証明書をインストールしておけば、アクセス時に証明書を検証して認証できる。
問4
(1)脆弱性の評価根拠
| 脆弱性 | AC | 根拠 |
| WA-1 | L | 数字5桁の変更だけで攻撃可能 |
| WB-1 | H | 管理者ログインが必要で攻撃難易度が高い |
(2)サイトCの仕様
3
項番3に一般利用者権限の専用アカウントでプロセス実行しなくてはならないからです。
問5
(1)現状値は手間がかかる理由とEPSS値は手間が掛からない理由
現状値 | 利用者が脅威情報を収集し評価値を算出する必要があるから
EPSS値 | 外部機関が統計的に算出し提供する評価値であるから
現状値は利用者が人物で情報を収集しないといけない手間があります。
反対にEPSS値は外部機関が統計をとっているので、それを参考に評価すればOKです。
(2)lに入る適切な字句
EPSS値更新のモニタリング
EPSS値が更新されているかを継続的に確認することで被害を防げます。
(3)妥当である理由
CVSS基本値によって分類されているため
問5
m~tに入れる対応優先度
| 空欄 | 優先度 | 解説 |
| m | A | EPSS高+CVSS高 |
| n | A | 同上 |
| o | C | EPSS低+CVSS低 |
| p | A | EPSS高+CVSS高 |
| q | B | EPSS高+CVSS中 |
| r | B | 同上 |
| s | A | CVSS高(EPSS対象外) |
| t | S | CVSS極高(EPSS対象外) |
関連記事
コメント