基本情報技術者試験
今回は、科目Bの情報セキュリティの問題について解説します。
侮ってはいけない
科目Bは20問が出題されますが、データ構造及びアルゴリズムが16問で残り4問が情報セキュリティです。
であれば、情報セキュリティは捨てても良いのか?
そんなことはありません。
プログラムを読ませる問題の中には、時間がかかったり難しいものも紛れているため、セキュリティで少しでもカバーするのは有効な戦略です。
「あと1問だったのに!!」と、後悔しないためにも押さえておきましょう。
今回のサンプル
こちらの公開問題を使い、解説をします。
※出典:基本情報技術者試験(FE)公開問題(令和5年度 科目B)
科目B
この問題を使います。
ストーリーの要約
いろいろごちゃごちゃ書いてありますが、ものすごく簡単に要約します。
業務の流れ
- 作業者が、紙を複合機でスキャンしてPDFを作成する。
- 作成したPDFは、複合機から作業者にメールが飛ぶ。
- PDFのサイズが大きくて複合機からメールできないものは、内部のサーバに保存される。
- 上記の場合はPDFの代わりに内部サーバのファイルへのリンクがメールで飛ぶ。
設定など(ここが重要)
- 内部サーバへのアクセスは、従業員ごとのIDとパスワードが必要。
- 複合機から送信される際の送信元メールアドレスが初期設定のままである。
- 複合機の初期設定はベンダーが公開していて、誰でも見られる。
解き方
ポイント
押さえるポイントはこんな感じです。
キーワードは『Bサーバへのアクセスは~』『複合機の初期設定』ですかね。
設問
ほとんど、答えを教えてくれている気もします(笑)
『初期設定』の主張が強すぎますよね;
では、選択肢をひとつずつ見てみましょう。
ア:攻撃者が複合機になりすます
さっそくですが、これが正解です。
モロに初期設定の影響を受けています。
ベンダから公開されている初期設定の情報を、攻撃者が取得すれば簡単になりすましメールを作成できちゃいますよね。
宛先となる従業員のメールアドレスは、秘密の情報ではないので攻撃者にとって、入手は難しくないと思われます。
イ:『ある意味』正解なんだけど・・・
疑うのは良いことだと思いますが、これでは業務になりません;
これは初期設定を変えても、個人の判断でメールを消すかどうかを決める話です。
ウ:ランサムウェアっぽいことを
「お前の大事なファイルを暗号化した!復号したければ、お金を払え!!」
「いや、払わないよ。もう一回スキャンするから。」で終わり?
エ:盗聴と不正アクセス
サーバにアクセスですか・・・
突破するの大変だと思いますけど。
結論
正解
というわけで、正解は『ア』です。
ついでに
解くだけなら『ア』だけ見れば終わりでしたが、他の『イ』~『エ』からも学ぶことがあったのではないかと思います。
今後、皆様が上位の試験にステップアップする際に備えて、選択肢の内容と近い(?)用語を載せておきます。
- ア:『標的型メール攻撃』※ちょっと違うかもだけど、派生して勉強すると良い。
- イ:『ゼロトラスト』※信用しないという考え方だけは。
- ウ:『ランサムウェア』
- エ:『中間者攻撃』『不正アクセス』
さいごに
科目Bの『情報セキュリティ』は4問ですが、全て正解できるくらいの感覚であれば、残りの『データ構造及びアルゴリズム』はかなり気楽に挑めると思います。
また、上位の試験(応用情報や高度試験)はどちらかというと情報セキュリティの方が出題の頻度(比率?)は多いと思われます。
そのためにも、慣れておきましょう!
ここまでお付き合い頂き、ありがとうございましたm(_ _)m
Discussion