R7春 情報処理安全確保支援士 午後問2のメモ

はじめに

R7春 情報処理安全確保支援士試験 午後問2に関するメモです。 問題 および 解答例 はIPAの公式サイトを確認してください。

用語メモ

• %20
  半角スペースがURLエンコードされた値
  ブラウザは基本的に半角英数字しか使えないため、半角英数字に変換する必要がある。
• ECDHE(楕円曲線Diffie-Hellman)
  楕円曲線暗号を使った鍵交換アルゴリズム
• AttackComplexity(AC)
  脆弱性のあるコンポーネントを攻撃する複雑さ
• EPSS(Exploit Prediction Scoring System)
  FIRSTによって開発されている脆弱性対応の優先度を判断するための指標

設問2

設問2の解答例は、以下のようになっています。 この解答に至るまでの推測過程をメモしておきます。

f：新たな脆弱性が発見されたこと

• 初回リリース時の診断結果と今回の診断結果が異なっている。
• 2つの診断の間に使われているソフトウェアの脆弱性が発見された
• よって「新たな脆弱性が発見された」となる。

g：リスクが変わったと評価し、値を変えたこと。

• 脆弱性の深刻度レベルの分類の際に、「P社の診断では、P社が独自の知見でCVSS基本値を基に値を変え、分類している」と記載があります。
• この基となる値が初回リリース時と今回の診断結果で変わっていると思われます。

設問4 (2)

解答例は以下のようになっています。

WA-1：パラメータitemの値が容易に推測できること

• 5桁の数字を総当りで試行すればよいため

WB-1：発注確認機能のURLが推測困難であること

• 管理者用アカウントでログインすることが不可能なため

参考リンク

• URLエンコード・デコード
• TLS1.2と1.3での鍵交換/認証/暗号化に関する用語をまとめる
• 共通脆弱性評価システムCVSS v3概説
• 脆弱性対応におけるリスク評価手法のまとめ