令和6年春期試験 午後問1(情報セキュリティ)についての投稿を受け付けるスレッドです。

ゼロトラスト
セキュリティパッチの定期的な確認と適用
パケットフィルタリングを行う
セキュリティインシデントの発生を迅速に検知するため
ア、イ
ア
二段階認証

二要素認証ではダメですかね？

他要素認証って解答速報見ましたけど二段階認証ですよね！？

知識情報と所持情報って記述なので二要素認証が正解だと思います。
（最初ひっかかって2段階って書いた…）

二要素認証か多要素認証で迷って2要素認証って書きました。。。

自分も二要素認証にしました。

2要素認証かなぁと思ったんですが
別のアプリケーション使ってますし
もう一つは知識情報ってあるので、要素２つですよね...??

二段階認証って書いちゃった……
終わった……

2要素認証だと思います

漢字わかんなくて２FAって書いてもうた

午前で訳わからん3,4文字の略称覚えさせるくせに5文字の指定があるのゴミ。以内だったらMFAってかけてたわ。

OTP認証にしました…orz

問1イ
問2(1)ゼロトラスト
(2)セキュリティパッチが提供されているか調査すること
(3)ア、ウ
問3業務上不要なサイトへの接続禁止
問4ア
問5二段階認証

叩かないで😇

イ
×
セキュリティパッチの確認と適応してよいかの判断
URLフィルタリングの導入
セキュリティインシデントの発生を迅速に検知
ア、ウ
ア
二要素認証

2要素、2段階、多要素
全部OKだと思います

ゼロトラスト忘れてたの悔しい…

3はフィルタと迷ったけど問題に「実現すべきセキュリティ対策」ってあったから業務上不要な〜の方にした
5はどちらもパスワードなので2段階にしました

最後の問題は厳密に答えるなら2要素認証なのかな。多要素認証で答えたけど。多要素認証は包含しているので、ギリokか？
2段階認証はどうなんですかね。最初そうかきましたが、要素として情報とアプリがインストールされた端末という点で「要素」にすべきかと思いました。
とりあえずお疲れ様でした！

問1イ
問2(1)ゼロトラスト
(2)セキュリティパッチの調査や適用判断の作業
問3(1) URLフィルタリング
(2)セキュリティインシデントの発生を迅速に検知するため
(3)ア、ウ
問4 ア
問5 多要素認証

令和2年秋午後のネットワークでも似たような問題がありましたが、2要素 でも 多要素 でも 2段階でも正解っぽかったですよ。

問4カッコ1ってアなんですか？
ファイルレスマルウェア攻撃にはプロセス停止では対処が難しいかと思いウにしたんですが

設問1 イ
設問2 （1） ゼロトラスト
(2） セキュリティパッチの調査や適用判断に時間を要する点
設問3 （1） URLフィルタリング
(2） セキュリティインシデントの発生を迅速に検知して防御できるから
(3） アウ
設問4 (1） ア
(2） 多要素認証

調べたらふるまい検知が対策だからイかな。全員不正解・・・。

asjkさん
振る舞い検知だとゼロデイ攻撃に対処できないのではと思いました、、

私も、EDRではむしろ組織内での通信が必要になるとか、フォレンジックの観点から、(手動の話ですが)マルウェア感染時に安易にネットワークを遮断してはいけないとセキュリティ講座で習った気がしたので、ウとしました…


でも普通にアなんでしょうね、、、変に裏をかいてしまった。

2段階認証はさすがにバツだと思います…

一番乗りの投稿でしたが、設問3(3)はア、ウの記載間違いでした

EDRはD(detect)とあるように検知をするだけで予防は出来ないと思ってアにしました。

わざわざ、知識情報と所持情報と本文中に記載しているので、2つの要素を要する認証と限定しているかと

アだと思います
edrの動作として過去問ではネットワークから遮断するとあるため

遮断後はedrクライアントが当該プロセスの終了を支持するのだと思います。

あぁ…ゼロトラストをど忘れしてノートラストと書いてしまった…

ゼロトラスト
セキュリティパッチ提供の調査及び適用の判断
URLフィルタリングを行う
セキュリティインシデントの発生を迅速に検知し対応するため
ア、ウ
ア
二要素認証

知識情報と所持情報という記述があるので想定されてる答えは二要素認証かなと

二段階認証は×にされそうな気がします

イ
ゼロトラスト
セキュリティパッチの調査と適用判断、及び適用作業
業務上不要なサイトへのアクセス禁止(なぜURLフィルタリングとかかなかった…)
セキュリティインシデントの発生を迅速に検知するため
ア、ウ
ア
2段階認証

設問3の(1)ですが、不要なサイトへの接続を禁止にしました。

他は皆さんとほぼ一緒でした。
URLフィルタリングとかなり迷ったんですよね、、、

業務上不要なサイトへのアクセス禁止
URLフィルタリング、

両方とも◯なんじゃないかな、、

多段階認証なんて言葉はないか、、

設問２（１）はオンプレではURLフィルタリングを行うソフトウェアを導入して業務上不要なサイトへの接続を禁止しているとあるので、SaaSに置き換えた際にもURLフィルタリングを導入しないといけないためURLフィルタリングとしました。

業務上不要なサイトへのアクセス禁止をするためにはURLフィルタリングをしないといけないため多分URLフィルタリングが正解な気がします

ワンタイムパスワードに引っ張られすぎて二要素認証だとは思いもしなかった…
ゼロトラストも出てこずトラストオフ…
セキュリティでコケるとあとに響きますね

3.1
実現すべきって書いてるから、方法じゃなくて結果だと思っちゃった。
でも、たしかに無理やり15文字にした感はあったのよね。

業務上不要なサイトへの接続禁止

これもフィルタリングも正解であってくれー！

ゼロトラストをリスクベースと書いてしまった
六文字って書かれると最初に思いついた六文字から抜け出せなくなる、、

イ
ゼロトラスト
セキュリティパッチが提供されているかの調査及び適用
業務上不要なサイトの接続禁止
セキュリティインシデントの発生を迅速に検知するため
ア、ウ
エ
二要素認証

設問4(1)はEDRでア〜ウができるのか？と思ってエにしてしまった

アウじゃなくてウだけ派いませんか？
全てなので2つ選択しなきゃと思いましたが、暗号化したら普段の作業大変そうだと思って。。

ゼロトラストを武装地帯と書いた勇者はいませんか？

URLフィルタリング、と書きかけたのを消して、
『不要なサイトへの接続を禁止する』と書きました。
実現すべきセキュリティ対策、という言葉の意味が指すものが『実現するための手段』ならURLフィルタリングが正解になりそうですが、問題文の意味が正直私はよく理解できません。

問1  イ
問2
(1)  回答できなかった
(2)  セキュリティパッチが提供と適用の調査
問3
(1)  URLフィルタリング 
(2)  セキュリティインシデント発生を迅速に検知する
(3)  ア、ウ
問4  
(1)  イ
(2)  二重認証

「実現すべきセキュリティ対策」という日本語の意味が全く分からず結局何も書けませんでした
綺麗な日本語を使ってほしい

2段階認証と多要素認証どちかが正解とおもいますか？
その根拠も書いてもらえるとありがたいです。

二要素認証か多要素認証じゃないと不正解でしょう

TTTMMMさん

「実現すべきセキュリティ対策」という日本語の意味が全く分からず結局何も書けませんでした
綺麗な日本語を使ってほしい

たしかにそうですよね
主語が抜けてるというか。。。
要は、プロキシサーバをT社に置き換えた際にT社のプロキシサーバを利用するので
従来のオンプレでは、プロキシサーバにURLフィルタリングを行うSWを導入して業務上不要なサイトへの接続を禁止していたと本文中にあります。

このとき、T社で利用するプロキシサーバにはURLフィルタリングが入っていないので
従来のセキュリティ対策であるURLフィルタリングを行うことが正解になるかと思います。

業務上不要なサイトへの接続を禁止の回答もちらほらありますが
それはURLフィルタリングを行うSWがあるからこそ成立しています
なので、URLフィルタリングがないと業務上不要なサイトへの接続禁止はできません。
あくまで努力義務となります。

1 イ
2 1 ゼロトラスト
  2 境界型防御では防御仕切れない攻撃への対策をする作業
3 1 不要なサイトへの接続を禁止する
  2 セキュリティインシデントの発生を迅速に検知する
  3 ア、ウ
4 1 エ
  2 多要素認識

採点お願いします🙇

>>ジャンピングサーブ林さん

個人的な見解になりますが

1 イ  〇
2 1 ゼロトラスト  〇
  2 境界型防御では防御仕切れない攻撃への対策をする作業  ×
3 1 不要なサイトへの接続を禁止する  △
  2 セキュリティインシデントの発生を迅速に検知する  〇
  3 ア、ウ  〇
4 1 エ  ×
  2 多要素認識  〇

になるかと思います。

設問1
イ
設問2
(1) 信頼型防御（←苦肉の策でしたが、そもそも「6字で答えよ」と書いてありました...）
(2) セキュリティパッチの提供有無や適用可否の判断作業
設問3
(1) URLフィルタリングを行う
(2) セキュリティインシデントを自動検知して迅速に対処する目的
(3) ア、イ（←ウのリモートロックとリモートワイプの聞き馴染みが無さ過ぎて脳死してしまった...）
設問4
(1) ア
(2) 二要素認証

意図された解答は二要素認証だと思うけど、二段階認識も読み方によっては正解だと思うんですよね。（〜に加えて、〜を行う二段階認証、を採用する。と解釈）
過去には正解になった事例があるみたいなので正解になることに期待

URLフィルタリングと書いてしまったが、これも模範解答は「業務上不要なサイトへの接続を禁止」っぽいな。正解になるかは合格率次第ですかね

手段と目的かなと思った
今回聞かれてるのは目的のほうかなーと
手段：URLフィルタリング
目的：業務上不要なWebサイトへのアクセス禁止

3(1)はURLフィルタリングでも業務上不要な～でもどっちでもいい気がします。てかそうあってくれ～
業務上～は文字数ギリギリだったのでURLフィルタリングにしました

最終問題を「多段階認証」っていうありそうで無い言葉を書いてしまいました...
おまけして欲しい...

URLフィルタリングが×で
業務上必要な〜が○、
またはその逆だというのは
ほとんど揚げ足取りだと思う。
IT技術者としてやろうとしてることは同じだし
IPAの自己満足にしか思えない。

>ゼロトラストを武装地帯と書いた勇者はいませんか？

めちゃくちゃ笑っちゃった。
セキュリティは満点に近そう。
他はうんち。半年後頑張ります。

今年秋受験予定のタマルと申します。今回は受験しておりません。
ここのスレが適しているか疑問ですが、教えてください。

今回の解答にあるゼロトラストという用語は、シラバスや市販のテキストにも出てきません。
最近のトレンドなのかと推測しますが、私が調べた限りではIPAのサイトのセキュリティ情報を見ても殆ど出てきません。
このスレを見た限り、回答できた方が多くいらっしゃるようですが、このような情報はどこから入手されているのでしょうか。
よろしくお願いいたします。

ゼロトラスト、自分は会社で覚えました。自分が会社に入った７年くらい前にはすでにそんな単語が飛び交っていました。
あと、応用情報の試験対策のひとつとしてIT系のサイトの記事を読む、というのもよく聞きます。最近話題のウイルスとか、たとえばですけど、そういうのが試験にも出たりするし、あとはそういった単語とも出会えるからなんだと思います。
IT系のサイトの記事ではゼロトラストはよく使われる、目にする単語の一つだとは思います。

> 最近のトレンドなのかと推測しますが、私が調べた限りではIPAのサイトのセキュリティ情報を見ても殆ど出てきません。
これですかね。
https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2021/zero-trust.html

IPAが公開している資料は一通り確認した方がよさそうですね。(量が多い。。)

設問1 イ
設問2
(1)ゼロトラスト
(2)機器の更新とセキュリティパッチ適用の作業
設問3
(1)URLフィルタリング
(2)セキュリティインシデントの発生を迅速に検知するため
(3)ア  ウ
設問4
(1)イ
(2)二要素認証


設問2(2)は機器の更新について触れてる方が少ないですかね
設問4(1)はEDRを使っていた経験では、誤検知多くて、いちいち回線遮断してなかった気がします。設定で可能なのかもしれないですが

URLフィルタリングは手段であって何も設定をしないとフィルタはかからない。正しく設定しないと業務上不必要なサイトの閲覧を禁止出来ないので、実現すべきセキュリティ対策とは言えないのではないかと思いました。

あくまで参考までにですが、昨日応用情報の参考書や動画講座を展開している方がYouTubeで解説ライブを配信していました。
その方は設問3の(1)について「業務上不要なサイトの接続を禁止」のほうにしていました。
ただ、これだけ皆さん解答が分かれると正直現状判断つかないですね、、、

自分は以下の解答にしました。

問1  イ
問2
(1)  ゼロトラスト
(2)  セキュリティパッチ提供の調査及び適用の判断
問3
(1)  不要なサイトへの接続を禁止
(2)  セキュリティインシデントの発生を迅速に検知するため
(3)  ア、ウ
問4  
(1)  ア
(2)  多要素認証

そんな屁理屈みたいなことで採点分けますかね？
普通に会話してて会社で行うセキュリティ対策は？って
実務上聞かれた時にURLフィルタリングっていって、
中身何もありませんでしたってのは「お前アホか？」って
言われるレベルだと思うけど。

ばたむさん、faaaaさん、ありがとうございます。

やはり試験用のテキストや過去問だけに貼り付いているのではなく、実践的、実務的なところからの情報収集が重要なのですね。
IT系サイトやIPAの情報にも目を広げて行くよう努力たいと思います。
が……、こりゃ大変ですね😅
IT全般に対する興味の有無に大きく左右されそうですし、IPAが出してる資料だけでもすっごい量ですもんね…むむむ、がんばります💪

全部目を通すまではできないにしろ、見出しだけでもさらっと読むのは効果的かも？と思いましたまる。

たそがれさん
そうですね。見出しだけに目を通しているだけでも、トレンドの動向や用語はなんとなく把握できそうですね。
ありがとうございます。

業務上不要なサイトへの接続禁止って本文に2回も出てきて、出題者が気づいて欲しいと明らかに意図していますよね。URLフィルタリングを導入したプロキシで、何を実現すべきかって聞いてるんですよ。

この投稿は投稿者により削除されました。(2024.04.22 15:27)

T社のプロキシにはURLフィルタリング機能があるかどうかは分かりません。プロキシで実現できる対策手段を回答すれば良いならURLフィルタリングじゃなくてFQDNフィルタリングでもIPフィルタリングでもOKということになりそう。
でも問題に対策手段なのか対策目的なのか書いてないから問題が悪いと思う。

二要素認証を二要素ってだけかいて提出してしまったんですが、点数もらえますかね。。

設問3(1)
 まず問われているのは「対策」、つまり方法・手段です。
そして条件として「本文中の字句を用いて15字以内」で「答えよ」とあります。
本文を検索すると、
 とあります。
つまり、
  URLフィルタリングを行うソフトウェアをプロキシサーバに導入  →  業務上不要なサイトへの接続を禁止
という構図になっています。

これを書くのを忘れていた。

なお、予想が間違っていても当方は責任を負いません。
「やーい間違ってやんの😁」と思って下さい🦑

設問3の(1)は「実現するべきセキュリティ対策」って書いてあるから、すでに導入してあるURLフィルタリングは対象にならないのでは？

ってか、そもそもこんな揚げ足取りみたいな議論をしないといけない問題ってどうなんですね。。

そうなんですよね。ほとんど揚げ足取り。ちなみに資格部サイトとYouTuberの解答ライブ配信では両者ともURLフィルタリングが回答でしたね。どちらもそれなりの賢者が解いてます。流石に両方正解になるような気がする。

本文を参照とあるので、
URLフィルタリングを行い業務上不要なサイトへの接続を禁止。

だと文字数オーバになりますので、
業務上不要なサイトへの接続を禁止する
の方が結果も書いてあって良い気がします。

URLフィルタリングを行うだと、何をフィルタリングするの？ってなりそう。
完全な素人だと、何をフィルタリングするのかわからないかと。

まぁ、相手にするのは情報技術に詳しい人だと思いますが。

難問ですね、これ。

設問3(1)で、ユーザー認証機能の追加と回答しましたが、誰もユーザー認証について話題に上げていないので不安になりました。

この回答だと点数は貰えない可能性は高いでしょうか。

ちなみにchatGPTで質問したところ、
ログの監視と管理、アクセス制御と認証、トラフィックの暗号化、コンテンツフィルタリング、
脅威インテリジェンスの活用が対策として挙げられました。

設問３
①URLフィルタリングの導入（"の導入"が余計）
②セキュリティインシデントの情報を管理し、発生を迅速に検知するため（"の情報を管理し"が余計）

どちらも余計な文言追加してしまった。
正解にしてくれますかね？

二段階認証？二要素認証？
どちらもパスワードだったので二段階にしたのですが二要素のほうが多いですね…

設問3の(1)は「業務上不要なサイトへの接続禁止」にしました。

問題文に"実現すべき"セキュリティ対策とあり、リモート方針にも業務上不要なサイトへの接続を禁止と記載されていたことから判断しました。
※URLフィルタリングは現在セキュリティ対策として行っていることも判断材料になりました

ただ、URLフィルタリングの仕組みが業務上不要なサイトへの接続禁止であることを考慮すると、やはりURLフィルタリングが正解だと思いました。
※文字数の観点からもURLフィルタリングが適切な気がしてます。

とはいえ、業務上不要なサイトへの接続禁止が不正解であるかというと、どうしても違和感があります。。。
この問題文では目的なのか、方法(手段)なのかが判別できないためです。

個人的には、URLフィルタリングの設定。もしくは業務上不要なサイトへの接続禁止。のどちらでも正解。
問題文からしてどちらでも意味が通り、どちらでも設問の意図とあっています。

この状況下でIPA様が片方を正答とするなら、IPA様の質を下げることになりかねます。
※IPA様が正解と判定するならば、正解である。という大前提は理解してます。

「不要なサイトへの接続を禁止する」で点数貰いたいわ…別にここが0点でも合格ラインだからいいんだけど、ケアレスミスが怖いから点数もらえるに越したことはない

既出だとは思いますが、
設問3(1)
業務上不要なサイトへのアクセス禁止

設問4(2)
多要素認証

って書いたんだけど、点数もらえないかなぁ

今更ですが、問いにある「本文中の字句を用いて」というのは、本文からまるごと抜き出してという意味なのでしょうか？

> 今更ですが、問いにある「本文中の字句を用いて」というのは、本文からまるごと抜き出してという意味なのでしょうか？

そういうわけではありません。

直近で言えば令和4年秋季の情報セキュリティ設問3(3)は「本文中の字句を用いて20字以内で答えよ。」という問いですが、模範解答は本番中の語句を組み合わせた文章になっています。

なので今回の問題も似たような内容なので多要素認証、2要素認証、多段階認証全て正解でいいでしょって思ってます。

＞chocoさん
回答ありがとうございます。もし抜き出しという意味なのであればURLフィルタリングしか答えにならないなあと思った次第です(^^;;

2 (1)リスクベース
って書いちゃった．．．本文中その後すぐに「信頼せず」ってあるのに．．．サービス問題過ぎたのに．．．

URLフィルタリングの記載で合否をフィルタリングされたら嫌だな。。。

けんたさん
過去にそんなことがあったんですね！
私は「多段階認証」と書いてしまったので、
○であればだいぶアツいです！！

大原も解答速報出ましたね

設問3(1)
業務上不要なサイトへの接続禁止
又は URLフィルタリングの実施

大原さん、流石です。
IPAさんも大原さんみたく、グレーな解答は複数の正解ありとして頂くよう宜しくお願いします。

二要素、多要素、二段階もお願いします。

二段階認証だめなんですか？
二段階認証お願いしますお願いします

【二段階認証】
二つの段階を経て認証を行う
【二要素認証】
認証の三要素の中から、異なる二つの要素を組み合わせて行う認証

問題の本文は、”知識情報” + "所持情報" での認証方法が何であるかを問うている。
二段階認証だと、"知識情報" + "知識情報" とかでもよくなっちゃうから、言葉の定義的にはNGなので不正解だよねっていうロジックが皆の考えていることだと思う。

しかし、二段階認証だとしても、"知識情報" + "所持方法" の認証できるよねって言われると否定できないのも事実。

二段階認証を不正解とするかどうかは
IPAの匙加減としか言いようが無いなー。

この投稿は投稿者により削除されました。(2024.04.25 01:24)

既出だったらすみません。
「多要素」なのか「二段階」なのか、ですがこのあたりの表記ゆれはIPA的にも認識している感はありますね。

↓IPA  不正ログイン対策特集ページ
https://www.ipa.go.jp/security/anshin/measures/account_security.html

以下、引用です。
--------------------------
各種インターネットサービスにおける不正ログイン対策として、認証を多段で実施する方式である「多段階認証」などが提供されています。 また、認証の際、複数の要素（記憶情報、所持情報、生体情報のうち2つ以上）を用いた方式は「多要素認証」と呼ばれることもあります。

個別のサービス毎に、使われているサービス名称は異なりますが、本質的に「多要素」で認証している方式について、本ページ内では総称として「多要素認証」と表記します。
--------------------------
「「多要素認証」と呼ばれることもあります」とか「個別のサービス毎に、使われているサービス名称は異なりますが」とか言ってますし、ページ内リンクには「二段階認証」「二要素認証」などの表現も使われています。

また、IPAのこちらのページ（https://www.ipa.go.jp/security/kokokara/measure/index.html）からリンクされているトレンドマイクロの記事では、ページ内の画像で「二要素認証も二段階認証と言えます」と言い切っています。

↓トレンドマイクロ記事（※掲示板の制限でリンク載せられずすみません）
「Facebook、Twitter、Instagram（インスタ）、LINEの乗っ取り対策に「二要素認証」や「二段階認証」を設定しましょう」

上記を踏まえると「多要素認証」以外の表現を少なくともバツにすることは難しそうです。厳しく見積もって「△1点」くらいなのかなーと思いたいですね。

設問2（2）
ネットワーク機器およびサーバ機器の更新作業
としたのですが、大まか過ぎて部分点貰えないかな。。

EOLになると、セキュリティパッチも提供されないのでww

設問4（2）
多段階認証
と書きましたが、とあるURLを確認して、
「二段階認証と多段階認証はほぼ同義」みたいな記載があったんだよな。

>kazumilky1さん
あくまで参考までに

問題本文の［リモート環境の構築方針］において
・クラウドサービスへの移行に伴い、ネットワーク機器及びサーバ機器は廃棄

とあるので、今回の設問で問われていることには当てはまらないのではと思いました。

課題には記載あるが、構築方針に記載のない、セキュリティパッチの提供調査と適用判断が問われていることの解答にあたるかと思います。

要素、段階の話ですが、令和二年秋期の午後問5で「2要素 又は 多要素 又は 2段階」という解答例がIPAから出ています
過去にこういった解答例が出てしまっている以上は、2段階でも正解にならないとおかしいでしょう

みなさん議論が続いてますが、いろんな方がプルーフを出してくださってるように、割と広く複数の名称で普及してるのが真相ですよね。

とりあえず、後は公式の結果が二ヶ月経てば出ますので…

上記の方も記載してますが、今回の問題は”知識情報” + "所持情報" での認証方法が何であるか？

であるため、二要素が正しくて、多要素も正しい。
二段階は正しくないと思います。

令和二年秋期の午後問5は表中で説明をしているだけですけど問うていることは多「要素」認証です。それなのに、解答例に「二段階」認証も含んでいますからね。
前回がマルで今回がバツとなるならそれはおかしいでしょう。

どちらでも正解で、合格率高くして下さい。
お願いします、IPA様。