【情報処理安全確保支援士試験 令和4年度 秋期 午後2 問1 No.5】

情報処理安全確保支援士試験 令和4年度 秋期 午後2 問1

【出典：情報処理安全確保支援士試験 令和4年度 秋期 午後2 問1（一部、加工あり）】

[運用に関する改善提案]
 討論会を終えたTさんは、最後の試験課題である、報告書の作成に着手した。図9は、Tさんが作成した運用に関する改善提案の報告書である。

 Tさんは報告書を完成させて提出した。数日後、試験の合格通知を受け取ったTさんは、今後はより重要な業務を担当できることになった。

下線⑦について、どのような状態か。30字以内で具体的に答えよ。：同一のMACアドレスのエントリが複数存在する状態

「例えば、各PC及びサーバのARPテーブルを常時監視して、⑦ARPテーブルの不審な状態を確認した場合には、システム管理者が当該PC又はサーバ、及びネットワークを調査し、ARPスプーフィングが行われていないかどうかを確認する運用が考えられる。」
 ARPスプーフィングが行われた場合の例として、表8（ARPスプーフィング機能実行後の標的PCのARPテーブル（抜粋））を確認します。

 本来であればIPアドレスとMACアドレスは1対1で対応しますが、ARPスプーフィング攻撃を仕掛けられた標的PCのARPテーブルには、h、iは共に「XX-XX-XX-fb-44-25」（X-PC）となりました。
 言い換えれば、同一のMACアドレスのエントリが複数存在する状態は、ARPスプーフィングが行われた可能性がある不審な状態ということになります。

q：デバッグログに認証情報を出力しないこと

 ログの観点とあり、ログについて問題文を探すと、図7（整理した情報）に「デバッグログには、ログインした利用者IDごとの、セッション情報、H文字列を含む認証情報、プログラムコードで用いられていると思われる関数名や変数の値などが出力されていた。」とあります。
 ここで、攻撃者に渡ると危険な情報として認証情報があります。
 デバッグログなどでは、安全を考慮し、認証情報を出力しないことが推奨されます。