2022 SA 午前1

📢 この記事は gemini-3-flash-preview によって翻訳されました

はじめに

2022 SA 午前1
01-02: https://blog.yexca.net/archives/184
03-05: https://blog.yexca.net/archives/185
06-10: https://blog.yexca.net/archives/186
11-15: https://blog.yexca.net/archives/189
16-30: https://blog.yexca.net/archives/190

ちょっとした雑談

最近、目がどんどん痛くなってきちゃって。画面を見て1時間もすると痛みだすし、おまけに視界もぼやけてるんだよね。そろそろ目を休ませないと、これ以上近視が進んで何も見えなくなったら本当に困るな（痛くなければ、この試験問題全部更新しきれたと思うんだけどね）。

第 11 問

OpenFlow を使った SDN(Software-Defined Networking) に関する記述として、適切なものはどれか。

ア　インターネットのドメイン名を管理する世界規模の分散データベースを用いて、IPアドレスの代わりに名前を指定して通信できるようにする仕組む

イ　携帯電話網において、回線交換方式ではなく、パケット交換方式で音声通話を実現する方式

ウ　ストレージ装置とサーバを接続し、WWN(World Wide Name) によってノードやポートを識別するストレージ用ネットワーク

エ　データ転送機能とネットワーク制御機能を論理的に分離し、ネットワーク制御を集中的に行う可能にしたアーキテクチャ

問題の解説：OpenFlow を使った SDN (Software Defined Networking) について、正しいものを選ぶ問題だよ。

ア：世界規模のデータベースでドメイン名を管理するのは、DNS の説明だね。
イ：回線交換ではなくパケット交換で音声通話をするのは、モバイル通信における VoIP（VoLTEなど）の説明。
ウ：ストレージとサーバーを接続して WWN で識別するのは、SAN (Storage Area Network) の説明だね。
エ：データ転送機能と制御機能を論理的に分離して、集中制御を可能にする。これがまさに SDN のアーキテクチャ。

ということで、答えはエだよ。

第 12 問

メッセージの送受信における署名鍵の使用に関する記述のうち、適切なものはどれか。

ア　送信者が送信者の署名鍵を使ってメッセージに対する署名を作成し、メッセージに付加することによって、受信者が送信者による署名であることを確認できようになる。

イ　送信者が送信者の署名鍵を使ってメッセージを暗号化することによって、受信者が受信者の署名鍵を使って、暗号文を元のメッセージに戻すことができるようになる。

ウ　送信者が送信者の署名鍵を使ってメッセージを暗号化することによって、メッセージの内容が関係者以外に分からないようになる。

エ　送信者がメッセージに固定文字列を付加し、更に送信者の署名鍵を使って暗号化することによって、受信者がメッセージの改ざん部位を特定できるようになる。

問題の解説：メッセージ送受信での署名鍵の使い方について、適切なものを選ぶ問題。

デジタル署名（RSA アルゴリズムなど）の話だね。署名は「送信者本人であること」を証明するために使うものだよ。

ア：送信者が自分の秘密鍵（署名鍵）で署名を作り、受信者が送信者の公開鍵で検証する。これで送信者本人であることを確認できる。これが正解。
イ：送信者の鍵で暗号化して、受信者の鍵で復号することはできないよ（ペアが違うからね）。
ウ：署名鍵は「本人の証明」に使うもので、機密保持（暗号化）のために使うわけじゃないんだ。公開鍵は誰でも手に入るから、機密性は保てないよ。
エ：署名で「改ざんされたこと」は分かっても、「どの部分が改ざんされたか」までは特定できないんだ。

答えはア。

第 13 問

クライアント証明書で利用者を確認するリバースプロキシサーバを用いて、複数のWebサーバにシングルサインオンを行うシステムがある。このシステムに関する記述のうち、適切なものはどれか。

ア　クライアント証明書を利用者のPCに送信するのは、Webサーバではなく、リバースプロキシサーバである。

イ　クライアント証明書を利用者のPCに送信するのは、リバースプロキシサーバではなく、Webサーバである。

ウ　利用者IDなどの情報をWebサーバに送信するのは、リバースプロキシサーバではなく、利用者のPCである。

エ　利用者IDなどの情報をWebサーバに送信するのは、利用者のPCではなく、リバースプロキシサーバである。

問題の解説：リバースプロキシとクライアント証明書を使ったシングルサインオン (SSO) システムについての問題。

この構成は実務でもよく見かけるね。大きな会社なんかで、ログイン専用の入り口があるようなイメージ。

ア・イ：クライアント証明書はもともと利用者の PC に入っているものだから、サーバーから送信するものではないね（配布の話なら別だけど、この文脈では不適切）。
ウ・エ：このシステムでは、リバースプロキシがまずクライアント証明書を検証してユーザーを特定するんだ。その後、リバースプロキシが「このユーザーは認証済みだよ」という情報（利用者IDなど）を後ろにある各 Web サーバーに伝える仕組みになっている。

だから、答えはエになるよ。

第 14 問

内部ネットワークのPCからインターネット上のWebサイトを参照するときに、DMZに設置したVDI (Virtual Desktop Infrastructure) サーバ上のWebブラウザを利用すると、未知のマルウェアがPCにダウンロードされるのを防ぐというセキュリティ上の効果が期待できる。この効果を生み出すVDIサーバの動作の特徴はどれか。

ア　Webサイトからの受信データを受信処理した後、IPsecでカプセル化し、PCに送信する。

イ　Webサイトからの受信データを受信処理した後、実行ファイルを削除し、その他のデータをPCに送信する。

ウ　Webサイトからの受信データを受信処理した後、生成したデスクトップ画面の画像データだけをPCに送信する。

エ　Webサイトからの受信データを受信処理した後、不正なコード列が検知されない場合だけPCに送信する。

問題の解説：DMZ にある VDI サーバー経由でブラウザを使うことで、PC へのマルウェア感染を防ぐ仕組みについての問題。

VDI（仮想デスクトップ）の最大の特徴を考えればすぐわかるよ。

ア：IPsec でカプセル化しても、中身がマルウェアならそのまま PC に届いちゃうよね。
イ：実行ファイル以外にもスクリプトとかで感染するから、これだけじゃ不十分。
ウ：VDI は「画面の書き換え情報（画像データ）」だけを転送する仕組み。実際のファイルやデータは DMZ 上のサーバーにあるから、手元の PC にマルウェアがダウンロードされることはないんだ。
エ：未知のマルウェアは検知できないから「未知」なわけで、この方法では防げないね。

答えはウ。名前の通り「仮想デスクトップ」は画面を送るだけ！

第 15 問

ファジングに該当するものはどれか。

ア　サーバにFINバケットを送信し、サーバからの応答を観測して、稼働しているサービスを見つけ出す。

イ　サーバのOSやアプリケーションソフトウェアが生成したログやコマンド履歴などの解析して、ファイルサーバに保存されているファイルの改ざんを検知する。

ウ　ソフトウェアに、問題を引き起こしそうな多様なデータを入力し、挙動を監視して、脆弱性を見つけ出す。

エ　ネットワーク上を流れるバケットを収集し、そのプロトコルヘッダやペイロードを解析して、あらかじめ登録された攻撃パターンと一致するものを検出する。

問題の解説：ファジング (Fuzzing) の説明として正しいものを選ぶ問題。

ファジングは、ソフトウェアのバグや脆弱性を見つけるための自動テスト手法のことだよ。

ア：これは FIN スキャン。ポートスキャンの一種で、どんなサービスが動いているか調べる手法だね（nmap とか）。
イ：これはログ解析による改ざん検知だね。侵入検知システム (IDS) の一部。
ウ：これがファジング。予測不能なデータや、あえておかしなデータをたくさん入力してみて、システムが落ちたり変な挙動をしないかチェックするんだ。
エ：これはシグネチャ型の侵入検知 (NIDS) の説明。登録されたパターンと照らし合わせる手法だね。

ということで、答えはウだよ。