問題冊子、解答例、採点講評はこれ

本文(設問1)

問題文(設問1)

解説(設問1)

(1)はインターネットからプラットフォームし診断を受けるときにIPSを無効にすると、有効な時より脆弱性が多く検出されるのはなぜか。IPSが遮断した通信の分の検証ができるから以外の答えが思いつかない。
答え N-IPSで遮断されていたPF診断の通信が通過するから
(2)は(1)で実際に無効にすると本当の攻撃を受けた時に困るから設定を変えるだけにしようという話。表1でN-IPSの項目を見るとホワイトリスト判定という話があり、ここに登録したIPアドレスからの通信は通すようなので、ホワイトリストに診断者のIPアドレスを登録すればいいですね。
答え ホワイトリストに診断PCのIPアドレスを登録する

(3)はインターネットからの通信経路を考慮するとインターネットからのみではなく内部ネットワークからの診断も実施すべきということで、接続点[a]から本番Webサーバに診断を行うの穴埋め。本番Webサーバの診断をするなら同じセグメントの(a)で問題ないですね。
答え (a)

本文(設問2)

問題文(設問2)

解説(設問2)

(1)はWeb診断はステージング環境でやるとして、実施した時にFW1の設定を戻し、ステージング環境の[b]を削除するの穴埋め。これを実施するために用意するものは何かを考えると図4の下に「診断用の利用者IDを作成する」とあります。これが残っていると将来の問題にもつながるのでこれを消しましょう。
答え 診断者の利用者ID

(2)はプラットフォーム診断(サーバやネットワークにポートスキャンを実施、開いてるポートがあるとそれを使って検査する)は本番環境でやるが、サーバが異常停止した場合の影響を最小化するために表2の一部を変更する話。通信量を見ろとありがたいことに記載があるので、本文の通信量の記載を見ると0～8時は2%, 8時～16時は55%, 16～24時は43%というので、日時を0～8時にずらせばいいですね。
答え 
変更項目 : 日時
変更内容 : 診断時間を0時～8時の間にする。

(3)は表2の診断2(管理LANに侵入した攻撃者が本番DBサーバの情報を窃取する事態の想定)をやるときに警告灯が点灯することで混乱しないように運用グループに機器設定変更を依頼するという話。警告灯は図2にのみ記載があり、ホワイトリスト設定や侵入検知設定の判定で通信拒否があると警告灯が点灯する仕組みなので、こちらも本番DBサーバのホスト型IPSのホワイトリスト設定に診断者のIPアドレスを登録してあげます。
あくまで無効にするのは診断者の分のみです。警告灯そのものを点灯しないようにするとか、診断中はIPSごと無効にするとかしちゃうと本物の攻撃でやられます。ってさっきも書いたな
答え
機器 : 本番DBサーバ
変更後の設定 : ホスト型IPSのホワイトリスト設定に、診断PCのIPアドレスを登録し、侵入検知設定を無効にする。
(4)はプラットフォーム診断で(e)ではなく(d)から繋いでほしいという話で、これはWeb管理PC→本番DBサーバにログインしようとした結果、警告灯が点灯したことがあり、再発防止としてFW2の設定を変えて[c]宛の通信は[d]からの通信だけを[e]するようにしたための穴埋め。
元のFW2は管理PC→本番Web&DB, ステージングWeb&DBの通信のみを許可するものでした(表1)。で、本番DBはDB管理PCからでないといけないのにWeb管理PCからアクセスしたことへの対策をするためには本番DBサーバ(c)宛の通信はWeb管理PC(d)からの通信だけを許可(e)するようにした。でいいじゃないですか。
答え c : 本番DBサーバ, d : DB管理PC, e : 許可

終わりに

これはとても簡単。8割前後は固いでしょう

主な参考サイト

情報処理安全確保支援士 過去問解説【令和２年 午後1】