資格

【解答例】情報処理安全確保支援士 平成30年度秋 午後2問2【速報】

もうぜんぜん速報じゃないよう…でも解いたの勿体無いから投稿します。
今更だし間違ってるかもしれません。気がついたら指摘していただけると幸いです。

問題文はここ

問2

設問1


(1)a:イ b:エ(順不同)
⇒https://www.ipa.go.jp/files/000025341.pdf
(2)c:ケ d:ウ e:コ

設問2


(1)
f:取得するログの種類
g:取得する対象の機器
h:保存期間
(2)
i:完全性 j:確保
⇒ハッシュ値を保全する とか
 タイムスタンプを確保する とかいくらでも言い方ありそうだけど…違うかなあ
 …まあ一番広い意味の言い方で…
(3)通常状態から逸脱した際アラートを上げ異常を早期発見できるようにする
⇒え…具体的に述べよってどういうこと…?

設問3

(1)プロキシサーバに残されたログのうちサイトMのIPアドレス宛に接続しているものを探し接続元IPアドレスから端末を特定する
⇒こんなに丁寧に説明しなくても解るだろ普通と思いつつ
 具体的に述べよシリーズなので丁寧に答えてみた。
 P15の記述でPCには固定のIPアドレスが振られていることがわかるのでDHCPとか見る手間がなくてよかったね
(2)
HTTPリクエスト:IPnのサイトにアクセスし指定のファイルを送信する
HTTPレスポンス:IPnのサイトの指示に従う
⇒表1そのまんまじゃないか。答え方がよくわからない。C&Cサーバとの通信なんだろう
(3) 
問題:マルウェアが異常を検知して証拠を消してしまうことがある
措置:フォレンジックの手法を用いてハードディスクのイメージコピーをとり証拠を保全する
⇒何この具体的に述べよ地獄…
(4)プロキシサーバのログのうちIPnのサイトに接続したものが他にないこと
(5)7回
(6)ハッシュ値
(7)行番号:28行目
⇒9月8日3時35分以降でPOSTメソッドが使われてるやつ
役立つ情報:FWのドロップログ
⇒送信データ量って答えもあるんじゃないかとか思っているが
 設問3長すぎ!役立つってなんだ知るか!(←飽きてきた)という気持ちになってきたので
 適当に答え。現にPC-Bは守られてたわけだし…

設問4

(1)ア:9/4 14:31 イ:9/4 14:37 ウ:9/5 10:41
(2)m:タ n:エ o:ソ p:ケ q:シ r:カ s:オ
(3)b
インシデント対応の作業手順を明確化し文書にする