合格率UP！情報処理安全確保支援士 令和３年春期 午後Ⅰ問１ 過去問解説

合格率アップの鍵は、過去問攻略にあり！

情報処理安全確保支援士試験の午後Ⅰ問１は、多くの受験者が苦戦したポイントも含まれていました。この記事では、令和３年春期試験の午後Ⅰ問１を徹底解説します。問題のポイントを理解し、確実に得点できるよう、一緒に攻略していきましょう！

現在の情報処理安全確保支援士試験では、午後Ⅰ・午後Ⅱが統一されて「午後」となっておりますが、午後Ⅰと午後Ⅱの中間くらいに位置する問題量・難易度となっております。そのため、午後Ⅰの過去問勉強は、決して無駄にはなることはなく、午後対策の最初として、午後Ⅰがスラスラと解けるようになることを基本となります。

今すぐ記事を読んで、合格への第一歩を踏み出しましょう！

• 午後問題の解き方を知りたい
• 過去問を効率的に学習したい
• 合格率を高めたい

• 問題のポイントを理解できる
• 解答テクニックを習得できる
• 自信を持って試験に臨める

多要素認証の実装をSサービス側に用意しなくてよい。

設問1(1)は、下線①である「S認証モジュールの代わりにＴサービスとのＩＤ連携を利用することにはどのような利点と欠点があるか」の利点に関して、具体的に述べる問題です。

さめじん

この問題の解答に必要な情報は[Sサービスの改修]の段落に２か所、記載されております。

• Ｓサービスの認証モジュールの認証方式を多要素認証にする方がよいとアドバイスを受けたが、その対処が課題であった。
• そこで多要素認証などの機能をもつＴ社のサービスとＳサービスとをＩＤ連携する改修をCEOのX氏に提案した。

上記２つを30文字以内でまとめると「多要素認証の実装をSサービス側に用意しなくてよい。」となります。

下線①の前にある文章から、解答を導きだすことできるラッキー問題です。セキュリティ知識がなくても、問題文をしっかりと読むことがでれば、解くことができるので、見落とさずにしっかりと点数を確保しましょう！

Tサービスの障害時にSサービスを利用できない

設問1(2)は、下線①である「S認証モジュールの代わりにＴサービスとのＩＤ連携を利用することにはどのような利点と欠点があるか」の可用性の欠点に関して、具体的に述べる問題です。

さめじん

ここでいう可用性とは、Sサービスを障害やメンテナンスよる中断・利用停止させずに稼働できることであります。

現在のSサービスの可用性は、Sサービス単体での可用性ですが、TサービスとのID連携により、Sサービスの可用性だけでなく、Tサービスの可用性の影響も受けるため、Tサービスの障害発生やメンテナンスによるTサービスの中断が発生すると、Sサービスが正常であったとしても、利用者はSサービスを利用できなくなります。

この内容を30文字以内で簡潔にまとめると「Tサービスの障害時にSサービスを利用できない」となります。

【a】ア

【b】イ

【c】ウ

さめじん

こういった穴埋め問題はセキュリティ知識が十分にないと解けない問題もありますが、この設問に関しては、本文中から推測して解答を導き出すことができるラッキー問題です。

1文目だけでは、OAuthを熟知していないと分からないのでスルーして、2文目の「【c】が、図3に示す権限を【a】に与える」を考えてみましょう！

図3は、Tサービスが提供する権限について書かれており、その中身と図2のシーケンスと合わせて読み解くと、「図2の(こ)アカウント名」が「図3(エ)利用者のアカウント名・・・権限」と紐づいていることが分かります。これにより、アカウント名＝リソースと読み替えることもできます。よって、アカウント名であるリソースを提供している【b】が(イ)Tサービスであり、アクセスしている【a】は(ア)Sサービスとなります。これで【c】は残った(ウ)利用者になりますが、念のため、【a：Sサービス】【b：Tサービス】【c：利用者】を入れて読んで違和感がないことを最終確認しましょう！

【α】（え）

さめじん

【α】には、【c：利用者】は【a：Sサービス】に与える権限をどのタイミングで確認するかを答える問題です。

図2で唯一、当てはまるのは、そのまんまですが「(え)：認証、権限付与の確認」となります。

【d】ウ

【e】ア

この設問は[一つ目の問題]に記載されてある「Sサービスにログインしていない利用者が攻撃者の用意した罠サイトにアクセスすると、図4中に示す…」の攻撃の仕組みについて解答する問題です。

さめじん

まずは考えやすい【e】から取り組みます。SサービスからTサービスへの【e】に対して、アクセストークンの応答があります。

これを図2で探してみると、【e】は「(き)アクセストークンの要求」と対応していることが分かります。

同様に【d】についても図2から探すと「(お)、(か)の認可コード」が対応していることが分かります。

あとは記号を間違えないように解答すれば得点できます！

・ファイルのアップロード：攻撃者

・ファイルのダウンロード：攻撃者

さめじん

この設問は「下線②：利用者が攻撃を受けているとは知らずにSサービスにファイルをアップロードすると、そのファイルを攻撃者にダウンロードされてしまう」おそれがある。という文章の中で出てくるファイルのアップロードとダウンロードがTサービスの誰のアカウントによって行われるかを答える問題です。

下線②の前には設問2(1)にも出てきた「Sサービスにログインしていない利用者が攻撃者の用意した罠サイトにアクセスすると、図4中に示す…」に気付いたうえで図4を読むと攻撃者のアカウントでログインしていることが図4中の「認証、権限付与の確認」から読み取ることができ、その状態でファイルをアップロードしていることから、まずアップロードは「攻撃者」のアカウントによって実施されていることが分かります。

また、ファイルのダウンロードに関しても下線②に示す通りで「攻撃者」となります。

【β】（い）

【γ】（か）

さめじん

まずは、βについて考えてみましょう！

上記の記述により、stateパラメタは、Sサービスがメッセージを付与することから、βの選択肢が(い)(き)(こ)に絞ることができます。

その中でも(い)は、図2では、「(い)認可の要求」の送信先と「(か)認可コード」の送信元は、どちらも利用者と一致しているのに対して、図4では、認可の要求の送信先が攻撃者、(d)認可コードの送信元は利用者と不一致であることが分かります。

その対策として、「(い)認可の要求」にセッションに推測困難な値であるstateパラメタを付与し、「(か)認可コード」のstateパラメタの値を検証することによって、(い)と(か)が同一であるか否かを確認できるようになります。

（エ）

さめじん

それぞれの権限について考えてみましょう！

(ア)　問1の問題文の序盤に「また、Sサービス内でメッセージや”いいね”を送信できる。」という記載があります。よって、Tサービスに要求する権限は不要と判断できます。

(イ)　(ア)と同様にTサービスに要求する権限は不要と判断できます。

(ウ)　この記述に関する文章は、本文中から見つかりませんが、Tサービスに要求する必要があるとは思えず、権限が不要と判断できます。

(エ)　SサービスとTサービスがID連携するためには、SサービスがTサービスのアカウント名やメールアドレスといった情報を取得する必要があり、利用者の認可に基づいて、その権限をTサービスに付与する必要があることから、(エ)が正解となります。

S認証モジュールに利用者IDとパスワードを登録していないS会員

SサービスとTサービスとのID連携については、問1の問題文の序盤にある[Sサービスの改修]の中に以下の記述があります。

さめじん

上記を要約するとID連携した後のS会員を２種類に分けることができます。

• TサービスとのID連携の対象外となる既存S会員
• TサービスとのID連携の対象となる新規S会員

さめじん

ここで「TサービスとのID連携の対象となる新規S会員」と答えたいところですが、もう少し考えてみましょう！

既存S会員は、S認証モジュールを用いて認証を行うのでSサービス利用することが可能です！

それに対して、新規S会員は、S認証モジュールに利用者IDとパスワードを登録せず、Tサービスでのアカウントを用いる必要があります。

そのため、TサービスとのID連携を一時的に停止となると、Sサービスが利用できなくなるため、IPA公式解答である「S認証モジュールに利用者IDとパスワードを登録していないS会員」と答えると満点です。

Tサービスで認証されたS会員のT-IDが、Sサービス内に登録されていることを確認する。

さめじん

この問題を解くには図2にこっそり隠れてある以下の注記を読み解く必要があります！

この内容から、全面改修によるS認証モジュールを停止した後は、全てのS会員がT-IDをSサービスに登録した状態となります。

また、図2の(こ)のメッセージにより、Tサービスから取得するT-IDをSサービス内に登録済みであるか？により、利用者を認証することになります。

よって、この設問の答えは「Tサービスで認証されたS会員のT-IDが、Sサービス内に登録されていることを確認する。」となります。