Introduction

2022 SA am1

01-02: https://blog.yexca.net/archives/184
03-05: https://blog.yexca.net/archives/185
06-10: https://blog.yexca.net/archives/186
11-15: https://blog.yexca.net/archives/189
16-30: https://blog.yexca.net/archives/190

Quick Ramble

My eyes have been hurting lately. It starts after barely an hour of screen time, and everything gets blurry. I definitely need to rest them; it would be a disaster if my vision gets any worse. (If they didn’t hurt, I probably would have finished this entire exam paper by now).

Question 11

OpenFlow を使った SDN(Software-Defined Networking) に関する記述として、適切なものはどれか。

ア　インターネットのドメイン名を管理する世界規模の分散データベースを用いて、IPアドレスの代わりに名前を指定して通信できるようにする仕組む

イ　携帯電話網において、回線交換方式ではなく、パケット交換方式で音声通話を実現する方式

ウ　ストレージ装置とサーバを接続し、WWN(World Wide Name) によってノードやポートを識別するストレージ用ネットワーク

エ　データ転送機能とネットワーク制御機能を論理的に分離し、ネットワーク制御を集中的に行う可能にしたアーキテクチャ

Translation: Which of the following descriptions regarding SDN (Software-Defined Networking) using OpenFlow is correct?

A: Using a global distributed database to manage internet domain names so that communication can be performed using names instead of IP addresses.
B: A method in mobile communication networks that realizes voice calls via packet switching instead of circuit switching.
C: A storage network that connects storage devices and servers, identifying nodes and ports via WWN (World Wide Name).
D: An architecture that logically separates the data forwarding function from the network control function, enabling centralized network control.

Analysis: Option A describes DNS. Option B describes VoIP (Voice over IP) in mobile networks. Option C describes SAN (Storage Area Network). Therefore, the correct answer is Option D.

Question 12

メッセージの送受信における署名鍵の使用に関する記述のうち、適切なものはどれか。

ア　送信者が送信者の署名鍵を使ってメッセージに対する署名を作成し、メッセージに付加することによって、受信者が送信者による署名であることを確認できようになる。

イ　送信者が送信者の署名鍵を使ってメッセージを暗号化することによって、受信者が受信者の署名鍵を使って、暗号文を元のメッセージに戻すことができるようになる。

ウ　送信者が送信者の署名鍵を使ってメッセージを暗号化することによって、メッセージの内容が関係者以外に分からないようになる。

エ　送信者がメッセージに固定文字列を付加し、更に送信者の署名鍵を使って暗号化することによって、受信者がメッセージの改ざん部位を特定できるようになる。

Translation: Which of the following descriptions regarding the use of signature keys in message transmission is correct?

A: The sender creates a signature for the message using their own signature key and attaches it to the message, allowing the receiver to verify that the signature was generated by the sender.
B: The sender encrypts the message using their signature key so that the receiver can restore the original message using the receiver’s signature key.
C: The sender encrypts the message using their signature key to ensure the message content remains unknown to anyone except the parties involved.
D: The sender attaches a fixed string to the message and encrypts it with their signature key, allowing the receiver to identify the specific part of the message that was tampered with.

Analysis: Digital signatures usually refer to RSA algorithms here. Generally, you decrypt with a public key; the private key (signature key) is never leaked, so Option B is incorrect. Signature keys aren’t used for message confidentiality because the public key is public—anyone can decrypt it—so Option C is incorrect. Cryptographic keys cannot pinpoint which specific part of a message was tampered with; they only detect if tampering occurred. Thus, Option D is incorrect. The correct answer is Option A.

Question 13

クライアント証明書で利用者を確認するリバースプロキシサーバを用いて、複数のWebサーバにシングルサインオンを行うシステムがある。このシステムに関する記述のうち、適切なものはどれか。

ア　クライアント証明書を利用者のPCに送信するのは、Webサーバではなく、リバースプロキシサーバである。

イ　クライアント証明書を利用者のPCに送信するのは、リバースプロキシサーバではなく、Webサーバである。

ウ　利用者IDなどの情報をWebサーバに送信するのは、リバースプロキシサーバではなく、利用者のPCである。

エ　利用者IDなどの情報をWebサーバに送信するのは、利用者のPCではなく、リバースプロキシサーバである。

Translation: There is a system that uses a reverse proxy server to verify users via client certificates and perform Single Sign-On (SSO) across multiple web servers. Which description of this system is correct?

A: The reverse proxy server, not the web server, sends the client certificate to the user’s PC.
B: The web server, not the reverse proxy server, sends the client certificate to the user’s PC.
C: The user’s PC, not the reverse proxy server, sends information such as the user ID to the web server.
D: The reverse proxy server, not the user’s PC, sends information such as the user ID to the web server.

Analysis: This setup is common in large enterprises. Client certificates are stored on the client side; the reverse proxy handles the certificate verification (Options A and B are logically flawed regarding “sending” certificates to the PC in this context). Once the reverse proxy completes verification, it forwards the user information to the backend web servers. Therefore, the answer is Option D.

Question 14

内部ネットワークのPCからインターネット上のWebサイトを参照するときに、DMZに設置したVDI (Virtual Desktop Infrastructure) サーバ上のWebブラウザを利用すると、未知のマルウェアがPCにダウンロードされるのを防ぐというセキュリティ上の効果が期待できる。この効果を生み出すVDIサーバの動作の特徴はどれか。

ア　Webサイトからの受信データを受信処理した後、IPsecでカプセル化し、PCに送信する。

イ　Webサイトからの受信データを受信処理した後、実行ファイルを削除し、その他のデータをPCに送信する。

ウ　Webサイトからの受信データを受信処理した後、生成したデスクトップ画面の画像データだけをPCに送信する。

エ　Webサイトからの受信データを受信処理した後、不正なコード列が検知されない場合だけPCに送信する。

Translation: When a PC on an internal network accesses a website on the internet, using a web browser on a VDI (Virtual Desktop Infrastructure) server located in the DMZ can prevent unknown malware from being downloaded to the PC. Which characteristic of the VDI server produces this security effect?

A: After processing received data from the website, it encapsulates it with IPsec and sends it to the PC.
B: After processing received data from the website, it deletes executable files and sends other data to the PC.
C: After processing received data from the website, it sends only the generated desktop screen image data to the PC.
D: After processing received data from the website, it sends it to the PC only if no malicious code strings are detected.

Analysis: The answer is Option C. By definition, a virtual desktop setup only transmits the visual screen data to the client, preventing the actual transfer of malicious binaries to the local host.

Question 15

ファジングに該当するものはどれか。

ア　サーバにFINバケットを送信し、サーバからの応答を観測して、稼働しているサービスを見つけ出す。

イ　サーバのOSやアプリケーションソフトウェアが生成したログやコマンド履歴などの解析して、ファイルサーバに保存されているファイルの改ざんを検知する。

ウ　ソフトウェアに、問題を引き起こしそうな多様なデータを入力し、挙動を監視して、脆弱性を見つけ出す。

エ　ネットワーク上を流れるバケットを収集し、そのプロトコルヘッダやペイロードを解析して、あらかじめ登録された攻撃パターンと一致するものを検出する。

Translation: Which of the following corresponds to Fuzzing?

A: Sending FIN packets to a server and observing the response to discover running services.
B: Analyzing logs and command history generated by the server OS or application software to detect tampering with files stored on a file server.
C: Inputting various data that might cause problems into software and monitoring its behavior to find vulnerabilities.
D: Collecting packets flowing over the network and analyzing their protocol headers and payloads to detect matches with pre-registered attack patterns.

Analysis: Fuzzing is an automated software testing technique that provides invalid, unexpected, or random data as inputs to a computer program to find security vulnerabilities. The goal is to see if the program crashes or behaves unexpectedly. Therefore, the answer is Option C.

Option A describes a FIN scan (similar to nmap). Option B describes part of an Intrusion Detection System (IDS). Option D describes a Network Intrusion Detection System (NIDS) using signature-based detection.