時間をかける応用情報のセキュリティ対策(2)支援士の本(瀬戸本)で午後問題を解いてみると

前回の続き。

今回は問題のうち,支援士の教科書を見たら午後の答えがほぼ書けた,ということを取りあげる。支援士の教科書は

が主なものとしてあるが,ここではインプレスの瀬戸先生の本を使う。

なお,以下の引用画像下につける書名は「情報処理安全支援士教科書2019年版」で統一(著者名・出版社名はつけない)する。

なお,私の手元にある2019年度版を使う。予測力の検証という意味でも少し古めの方が良いかと思う。

瀬戸先生の本を使う理由としては,3冊の中で,これ支援士というか応用情報レベルにかなり近くない?と感じたから。

応用情報の本だと紙の関係でカットされそうで,しかし,これ答えそのまま教科書に書いてる,と思ったとこをピックアップしていく。

応用情報の本がどのレベルで書かれてるかの検証は詳細にはしていない(いちおう同著者の少し古い年度のものは少し確認してる。)。もしかしたら書かれてたらすいませんって感じ。ページ数的には難しいとは思うけど。

R1秋

マルウェア対策

8章がマルウェア対策になっていて,8-3のマルウェア対策,「8-3-1 入り口対策と出口対策」に「マルウェア感染後の対策」の部分(p477)に,流れが書いてある。

設問2(5) ユーザがやるべきこと

マルウェア感染後の対策」の部分(p477)のリードの部分で

  • 「セキュリティ管理者に報告」(太字)

f:id:baruku07:20201107001014p:plain

(「情報処理安全支援士教科書2019年版」p477)

とあって,設問2(5)の正答選択肢は

  • イ : 不審なメールが届いたことをP社の情報うシステム担当に連絡する

なので,相当に近い。

設問1(1) PCをネットワークから切り離した目的

マルウェア感染後の対策」の部分(p477)に書いてあるプロセスの説明の中で,

  • (ネットワークから切り離すのは)「他のPCに被害を広げないための対策」

f:id:baruku07:20201107001344p:plain

(「情報処理安全支援士教科書2019年版」p477)

とある。公式解答は

  • 社内の他の機器と通信させないため

なので,まあかなり近い。

H31 春

認証の3要素

  • 設問1(a)所有物: ディジタル証明書
  • 設問1(b)生体 : 虹彩

(選択問題)

関連部分は4章の情報セキュリティ基礎技術(暗号化,認証)。p235の認証の3要素のとこの生体認証の例のところ虹彩がある。(そして,手元の古いH26の同著者の応用情報には,生体の説明があるが例がついてない。)。

物理の例のディジタル証明書は知るか,と思ったが,これも本文にあった。p252の「認証デバイスでの認証方式」の中にディジタル署名が見出しとして書かれていて,その後で説明が少しついている。

なお,このトピックは支援士だと重箱の隅ではないと思う。例えば午前2の問題で,カードとか物的デバイスに埋め込める,を選択する問題とかあった気もするので。

パスワード攻撃に対する対策

パスワードに関する攻撃の対策(7章サイバー攻撃・p436)で,ブルートフォースに対しては

  • 「規定回数のログインに失敗したら一定期間アカウントをロックするなどの手法が有効です」

f:id:baruku07:20201107002121p:plain

(「情報処理安全支援士教科書2019年版」p436)

と書かれてる。かつ,パスワード設定ルール以外のサーバ側の対策はそれしか書かれていないのでえいっとやってしまえばいけるかも。

2018年の発行なので,リバースブルートフォースについては書かれていなかった。

ここは20字制限・パスワードという単語を使えという指示・リバースも絡む難しさはあるが,この知識で解答にはたどりつける。

パスワードリスト攻撃

ここは応用情報レベルなので,別にこの本でなくても。ただ,この本のパスワードリストの説明,紙の余裕を生かして,半ページを使って印象に残りやすい図(というかイラスト)が描かれている。

この図が頭にあると,解答はかなり導きやすい。(さすがにイラストなので,引用は控えておく。)

あと,説明の部分からも普通に導ける。

  • 「他のサイトで取得したパスワードのリストを利用して不正ログインを行う攻撃です」

f:id:baruku07:20201107003723p:plain

(「情報処理安全支援士教科書2019年版」p434)

公式解答が

  • 「他サイトから流出したパスワードによって,不正ログインさせる」

である。この類似度は何なのか(一般論だから当然と言えば当然だが)。。。。

このテキスト,暗記派にとっての記述のための単語集・例文集として本当に使い勝手が良いな・・・意外と「他サイトから取得」(公式解答は流出)・「不正ログイン」という単語は意識してないとすっと書けなかったりする(例えば,ログインの前に「不正」をつけずに書きそうとか)。

そして,極めつけは,2つの攻撃でセットの出題を予測したのか(応用情報でだが)「覚えよう」がこれである。

f:id:baruku07:20201107002813p:plain

(「情報処理安全支援士教科書2019年版」p436)

びびる。。。

パスワードをハッシュ値で保存する理由

4章より。

まず,ハッシュ関数の説明(p230)の説明で,

  • 「ハッシュは,暗号化(ハッシュ化)はできても元に戻せないという性質をもっているため,メッセージを復元させたくないときに役立ちます。」 f:id:baruku07:20201107004637p:plain

(「情報処理安全支援士教科書2019年版」p230)

とある。ここまでは,応用情報の本ではディジタル署名の文脈の中にある。

で,支援士の本の違いは,これがちゃんとパスワードに適用されることも書かれていること。

  • 「盗聴されても元のメッセージが復元できないので,盗聴防止(赤・太字)に役立ちます。」とある。

f:id:baruku07:20201107005238p:plain

(「情報処理安全支援士教科書2019年版」p231)

年度が新しいものだとあるかもしれないが,スペース的にここまで書けるかな。。。。

公式解答は

  • ハッシュ値からパスワードの割出しは難しいから」。

自分はここはテキストの「復元」とか字数があれば「元に戻せない」という用語を選択しそう。(要は不可逆が伝わるような単語を選ぶ)

3(2)については,レインボーテーブル攻撃とかソルトは別の項に書かれているものの,テキストの記述から解答が導けるかと言われればどっちとも。

H30秋

設問1・用語選択

いずれの用語も消去法とか雰囲気でいけるのだが,知ってると確信を持って時間をかけずに選べるという効果はある。

セッション管理(用語選択)

H26のインプレスの応用情報には,セッションハイジャックは2行だけ申し訳なさそうに書かれてる。応用情報だとセッションを押さえておくページ数まではない。一方,支援士の本だとセッションは押さえておかないとまずいので,セッションは何度も目に飛び込んでくるため,自然と覚えますよね。

UDPスキャン(用語選択)

ポートスキャンが応用情報の本にないのも意外(H26のインプレスの応用情報には)。

もちろん,ここはTCPと同じレイヤは選択肢にUDPしかないとか,インターネットからARPコマンドを実行するとかちょっとありえないし,とかで選べたりもするけど。ただ,この知識というか意識も,良く出てくるのはNWとかSCのような気がしないでも。

感想

一言でいうと応用情報午後のカンペ本としか言いようがない

とにもかくにも,あまりにも答えがそのままテキストに書いてありすぎるのにびびる。カンペレベルといっても過言ではない・・・書いてることはまあ常識なんだけど,応用情報午後記述解答にかなり近い形で書かれてるというか・・・

ここで取り出したことは,大量の説明の中から解答に使えるわずかな部分も取り出したわけでもない。単語の羅列から理解力を駆使して切り出したわけでもない。流れのあるコンパクトな説明から取り出してる。そんな感じで,率の良さにも驚いた。

基礎の積み重ねの重視によって応用情報に最適な本ができた

取り上げた瀬戸先生の本の大部分は,支援士の本にあるにも関わらずレベル4固有の難しいことはあまり書かれていない。著者の応用情報本と比べてもわかるが,導入部分は共通の説明がそれなりにある。

では何が違うかというと,レベル3だと紙幅の制約で単語の羅列になりがちだったことに対して,きちんと説明をつけた,といったイメージ。それゆえに,応用情報午後問題の解答とレベル感が一致してるのだと思う。

このあたりは著者のポリシーとも整合的で,著者は「SQLインジェクションの対策は?」と聞かれて「バインド機構」と単語単語で覚えていく受験者を苦々しく思っていると昔にブログに書いている。こういう一問一答単語暗記をどれほど積み重ねても,午後は全く解けないので無意味ですよね,と(これは前回の記事でも検証した)。

そして,そういう著者がどういう本を出してきたかいというと,

  • 5行説明を全範囲穴のないようにしていく
  • 細かく演習問題を積みかねていくことでそれを実現する

(注 : 5行という意味は,単語の羅列でもないが初心者に読み切れない詳細説明ではない,の比喩。)

という本を出してきた(注 : この本はわりと後発組)。

説明も出るとこだけを飛ばして説明するのでなく,基本から積み重ねて説明している(これも著者のポリシー)。そして,そのような説明をしているにも関わらず,読み切れるように分量の抑制も聞いている。結果として,基本情報~応用情報のレベルの部分の丁寧な説明が続いた本になっている。それゆえに,応用情報対策に最適の本に仕上がってる。

一般常識と切り捨てられることを教科書として書きおこしてる

この本をおすすめする別の理由としては,いわゆるできる人とか経験者が「生きてるうちに常識として頭に入ってくる」「過去問やってればなんとなく身につくでしょう」ということのいくつかを,ちゃんと文章として書いてることにある。

ここで取り上げた,マルウェア感染後の対策やパスワードに関する攻撃への対策などは,そんなの人によっては勉強じゃなくて常識では?になる。しかし,そういう常識を全範囲を網羅しつつ成文化したということそのものが業績なのである。

こういう(ほど良い)常識が成文化された書籍がないと,勉強しても解けない人がいつまでたっても解けるようにならない。こういう本がないと,いわゆる常識力とか過去問からの吸収力(抽象化力)の弱い人はいつまでも常識が身に付かない。

その意味で,この本は「その場力は弱い自覚はあるが勉強で通りたい人」には特にお勧めできる本だと思う。

例文集としての使い方

常識で身に付くだろう派もこの本は使える。応用情報午後解答は字数制限がきついので,それに合わせたお堅い言葉を出すのに時間を食うことがある。しかし,この本の言葉選びをぱらぱらとみておくと,時間が少し節約できると思う。

色々本はあるのだが,(応用情報)記述解答に転用できる解答粒度の説明という観点で,この本は良いと思う。短すぎず・詳しすぎずの程良いラインを行ってる(あくまで応用情報用として。支援士だと,この本に書かれていることが身体化されていることが前提で,もう一段階のものを求められる感じ。)。

ポケスタ系とか公式解答文言斜め読みとの違いは,ちゃんと順序だてて書いてあるとか,図をふんだんにいれてるとか,体系性とかを意識して書かれてるとかで,アドホックな暗記にならないようにされてること。

また,著者の方はIPA公式が出していること以外は信用しない,の超公式重視派の人なので,言葉もIPA寄りにちゃんとなっていると思われるし,信頼性もそれなりにあると思う。

応用情報でこれをやるのは非効率では?という意見はありえる

瀬戸先生の本を頭に入れておけば大丈夫というのは,以上の分析で得られた。

では,それが良いとしても,それはレベルにあってないとか,量が多すぎてこなすのに気合が必要すぎて挫折リスクが高いのではないか?というのが次に考えられる懸念である。その懸念の解消について,次回以降でいくつかの角度から考えて行く。