min117の日記

初期desireもち。趣味Mac,メインFedora,仕事xp。

情報処理安全確保支援士(SC)平成30年度 春期 午後Ⅰ 問2 解答例

午後Ⅰ

問2

フル解答例

f:id:min117:20180416220034p:plain

f:id:min117:20180416220236p:plain

f:id:min117:20180416222127p:plain

 

 

 

検討

f:id:min117:20180416215918p:plain

f:id:min117:20180416215931p:plain

f:id:min117:20180416220018p:plain

f:id:min117:20180416220648p:plain

f:id:min117:20180416220712p:plain

f:id:min117:20180416220745p:plain

f:id:min117:20180416221006p:plain

f:id:min117:20180416220951p:plain

f:id:min117:20180416221023p:plain

f:id:min117:20180416221029p:plain

f:id:min117:20180416230156p:plain

 

SPFレコード

https://www.nisc.go.jp/conference/suishin/adviser/dai5/pdf/sankou.pdf

f:id:min117:20180416220755p:plain

milestone-of-se.nesuke.com

 

解答速報発表日

f:id:min117:20180416220212p:plain

情報処理安全確保支援士(SC)平成30年度 春期 午後Ⅰ 問1 解答例

 

 

【SC】情報処理安全確保支援士試験 Part117 (1005)

午後Ⅰ

問1

フル解答例

f:id:min117:20180416215850p:plain

【SC】情報処理安全確保支援士試験 Part118

f:id:min117:20180416221321p:plain

検討

f:id:min117:20180417001122p:plain

f:id:min117:20180416221433p:plain

f:id:min117:20180416221448p:plain

f:id:min117:20180416230256p:plain

f:id:min117:20180416230305p:plain

f:id:min117:20180416230310p:plain

解答速報発表日

f:id:min117:20180416220212p:plain

 

情報処理安全確保支援士(SC)平成30年度 春期 午後Ⅱ(問2)解答例

午後Ⅱ

問2

Webで見つけた解答例。

【SC】情報処理安全確保支援士試験 PART117 (909)

https://2ch.vet/re_ikura_lic_1523759954_z_0

午後Ⅱ 解答例

Imgur: The magic of the Internet

f:id:min117:20180416112515j:plain

↑ 全体に自分の言葉で回答しすぎではないか?もっと問題文の言葉を使って回答すべきと思う。

自分の解答

 青文字…おそらく正解だろう

 赤文字…間違い or 自信がない

<午後Ⅱ 問2

設問1

(1)

 POSTで送信HTTPのステータスが200で返される攻撃(30文字/35文字)

(2)

 WebサイトYの全ファイルと比較(16文字/20文字)

(3)

 公開鍵による認証方式(10文字/10文字)

 

設問2

 b:Webサイトの構築に使用したWebアプリケーションフレームワークならびに使用したソフトウェア(44文字/50文字)

 

設問3

 c:ディレクト(トラバーサル)

 d:アカウント クロスサイト(リクエストフォージェリ)

 e:HTTP(ヘッダインジェクション)

 f:(クリック)ジャッキング

 

設問4

(1)

 g:30

 h:0

(2) <script>alert('NG');</script>

    

    f:id:min117:20180416172001p:plain

(3)

 j:(う)のPOSTデータにcode=1000021を入力して選択ボタンをクリックする

  (39文字/40文字) ※(う)は1文字として記入

(4)

 k:一般会員と有料会員(9文字/15文字)

 l:一般会員が限定商品を参照購入できないこと(20文字/20文字)

  ※ 「参照購入」ではなく「検索選択」とすべきだったかも。回答は全て問題文中の言葉を使って書くのが基本だから

 

設問5

 レビューポイントに示されたセキュリティ対策がされた報告書提出を検収条件とする記載(40文字/40文字)

 

設問6

 それぞれの脆弱性に対応する具体的な実装方法を記載することで誤った実装を防ぐ利用(39文字/40文字)

 ※ それぞれの脆弱性ではなく個々の脆弱性とすべきだったかも。

 

 

 

<設問6の詳細>

 ※ P19の上の5行の言葉をできるだけ使った。

 ※ P19で、セキュリティガイド第1版から第2版を作る際に「誤った実装を防ぐ」ことを目的にしている。これが解答のキーになる(のでは)と思う。

 

問題文を追って行くと

 P19 セキュリティガイド 第2版ができた ※ここで改善の目的に触れている

 P21 診断書 第1版 ができた

 P26 診断書 第2版 に改善された

 P27 セキュリティガイド 第3版ができた(レビューポイント追加)

 

つまり

個々の脆弱性が出てきたおかげで(それらに対処する診断書ができ、その結果)ガイドが改善されているわけだが、

 

②そのガイドの目的は「具体的な実装方法を記載する」ことにより「誤った実装を防ぐ」ことにある(P19)のだから

 

①+②すると

個々の脆弱性のおかげでガイドに具体的な実装方法を記載することができ、それによって誤った実装を防ぐ」ことができているわけだ。

 

それを③問題文に聞かれていることに回答する形に変えていく。

 問題文

  「…ガイドを改善するためにどのように利用できるか?」

 回答

  「…という利用」で答えるべき。

 

最後に ①+②+③を問題文の指定(40文字)に合わせる と

個々の脆弱性に対応する具体的な実装方法を記載することで誤った実装を防ぐ利用」(39文字/40文字)

になる。

 

参考)

直前に読んでおいてよかった。とても参考になった。

www.jouhoushori.com

 

<5ch(旧2ch)の解答例まとめ>

 https://2ch.vet/re_ikura_lic_1523759954_z_0#287

フル解答例

f:id:min117:20180416215335p:plain

f:id:min117:20180416215258p:plain 

f:id:min117:20180416215248p:plain

f:id:min117:20180416215216p:plain

f:id:min117:20180416234511p:plain

 

検討)

設問1

(1)アクセスログに残らない攻撃とは?POST送信か?

f:id:min117:20180416235350p:plain

f:id:min117:20180416235416p:plain

 

 

設問1

(2)WebサイトYの全ファイルと比較?差分比較?

f:id:min117:20180416232727p:plain

f:id:min117:20180416232735p:plain

f:id:min117:20180416232742p:plain

f:id:min117:20180416232754p:plain

 

設問2

 各Webサイト担当者に報告させた「 b 」とは?

f:id:min117:20180416233523p:plain

f:id:min117:20180416234223p:plain

 

設問4

(1)bag' and '1'='1 の件数は?100件?30件?

f:id:min117:20180416230538p:plain

f:id:min117:20180417000942p:plain

 

設問4

(3)

(う)は3文字カウントか?1文字か?

f:id:min117:20180416234638p:plain

f:id:min117:20180416234619p:plain

画面遷移は?code値は?

f:id:min117:20180416234019p:plain

f:id:min117:20180416234536p:plain

f:id:min117:20180416235446p:plain

f:id:min117:20180416234753p:plain

f:id:min117:20180416232246p:plain

「一般会員」「有料会員」の言葉は使っちゃダメ?

f:id:min117:20180416233941p:plain

f:id:min117:20180416234006p:plain

f:id:min117:20180416234033p:plain

f:id:min117:20180416234238p:plain

f:id:min117:20180416234447p:plain

k にもあった…

f:id:min117:20180416234132p:plain

f:id:min117:20180416233932p:plain

「検証用の」という言葉は必要?

f:id:min117:20180416230604p:plain

f:id:min117:20180416234104p:plain

 

設問5

f:id:min117:20180416234318p:plain

設問6

f:id:min117:20180416234348p:plain

f:id:min117:20180416234410p:plain

 

 

 

情報処理安全確保支援士(SC)平成30年度 春期 午前Ⅱ 解答速報

昨日2018/4/15(日)は情報処理安全確保支援士(SC)の試験があった。前回の試験で午前Ⅰはすでに通過してしまっているので、午後Ⅱ から受験した。自分なりの解答速報を残す。

min117.hatenablog.com

 

<平成30年度 春期 午前Ⅱ 解答速報>

 △が付いていないものは間違いなく正解(過去問で出ている)。

 △が付いているものは不正解の可能性あり(過去出題なし)。後日で要確認

 

問1:ウ △  → 正解はア(IPA)

問2:イ

問3:ア

問4:ア

問5:エ

 

問6:ウ

問7:エ

問8:エ

問9:エ △ → 正解はイ(IPA)

問10:エ △ 正解もエ(IPA)

 

 

 

問11:ウ

問12:ア

問13:ウ

問14:イ

問15:ア

 

問16:ア

問17:エ

問18:ア △ 正解もア(IPA)

問19:ウ

問20:イ

 

 

 

問21:エ

問22:ウ

問23:イ △ → 正解はエ(IPA)

問24:イ △ → 正解はウ(IPA)

問25:ア △ 正解もア(IPA)

 

検証はこの本で実施。本当に良い問題集。

情報処理安全確保支援士試験 予想問題集 510題(東京電機大学編)

 

他の人の解答例はこのへん。

【SC】情報処理安全確保支援士試験 PART117 (909)

https://2ch.vet/re_ikura_lic_1523759954_z_0

 

後記)IPAからの解答速報が出たようだ。

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2018h30_1/2018h30h_sc_am2_ans.pdf

f:id:min117:20180416185259p:plain

IPA 独立行政法人 情報処理推進機構:問題冊子・配点割合・解答例・採点講評(2018、平成30年)

 

なお足切りは60点

https://www.jitec.ipa.go.jp/1_01mosikomi/29h_annaisho/29h_08.pdf

f:id:min117:20180416090920p:plain

以下、順に見ていく。

f:id:min117:20180416085132j:plain

問1)

ウが正解? 正解はア(IPA)

初めて見る問題。

 アもありえる?

 イは「現状評価基準」ではないか?

 エは「再評価」なので関係なさそう。

関連しそうなのは、H25春SC午前Ⅱ問10、H26秋SC午前Ⅱ問7 あたりか。

f:id:min117:20180416200958j:plain

 

f:id:min117:20180416085136j:plain

問2)

イが正解

シェルスクリプトを書いていれば簡単すぎ。一発で分かる。

 ※ せっかくなら cat じゃなくて、以前発覚した最悪の脆弱性「ShellShock」バグで出題すればいいのに、と思うくらい。

blog.trendmicro.co.jp

 

f:id:min117:20180416085142j:plain

問3)

アが正解

過去問にあり。頻出すぎて答え丸暗記してる。1秒で回答できる。XMLエレメントごとに署名できると知っておくだけでいい。

※ しかし、今の世の中でXMLなんて使うかね…json一択だと思うんだけど。

 

f:id:min117:20180416085154j:plain

問4)

アが正解

過去問にもあったが少し表現が変わった。平成29年 秋期 午後Ⅱ 問5 にも出題されている。

Metasploit Framework ペネトレーションテストして遊ぶと実感が湧くと思う。

min117.hatenablog.com

 

f:id:min117:20180416085206j:plain

問5)

エが正解

過去問にあり。頻出すぎて丸暗記。1秒で回答。

 

 

 

f:id:min117:20180416085201j:plain

問6)

ウが正解

過去問にあり。頻出だが表現が変わった。以前はエに正解が多かった問題。今回はウになっている。

ファイアウォールによるフィルタは仕事でもよく使うので。迷わず回答。

 

f:id:min117:20180416132433j:plain

問7)

エが正解

過去問にあり。丸暗記タイプ。

 

f:id:min117:20180416132439j:plain

問8)

エが正解

過去問にあり。平成27春SC午前II 問6 そのまま。X.509とくれば「ことがある」と覚えていて正解。

 

f:id:min117:20180416132447j:plain

問9)

エが正解か?自信ない。→ 正解はイ(IPA)

 ア:ありえない。

  認証デバイスUSBにMACアドレスなんて仕込んだら、収集つかなくなるに決まっている。

 イ:?

  虹彩に経年変化が無いって?本当?白内障緑内障になったらどうなの?この高齢化の世で?

 ウ:?

  指紋認証iPhone5s をLED電球の部屋で使ってるけど何も問題ないし。違うと思う。

 エ:これが正解と思う。 → 正解はイ(IPA)

  仕事で使っている入室ICチップカード。充電なんて一度もしたことないが使えているし。

 

f:id:min117:20180416132456j:plain

問10)

エが正解?自信ない。

 正直いって、こういう10年後には絶対に存在しないであろう天下り団体や、そこの人らが考えた仕組み出題にだすのは本当にやめてほしい。くだらなすぎる。せっかくの技術のための試験が汚れる。ほんとどうでもいい。

 ア:ありえないと思う。

  監査結果を共有?そんなことを、参加「組織間」でするか?監査なんてナイーブなものを(天下りのナァナァな)組織どうしで共有するようなことは、まずしない。某トーマツISMS監査を以前受けたことがある経験からいっても、ありえないと思う。

 イ:バックアップの取組みに「イニシアティブ」なんて名前つけたら、そりゃあんたナンセンスにも程があるでしょう天下り老人の発想にはありえそうだから怖いけど。

 ウ:セキュリティ「製品の評価」、つまり例えば「トレンドマイク口」とか「マカフー」とかの製品を「これいいね、ここ悪いね」と、製品の評価を共有して、さらに「公開する取組み」が存在すると?そんなことしたら、それらの会社からものすごいクレームが入るか、怪しい接待で評価を変えるようなことが起きそうだけど?天下り組織には無いとも言えないが、そんなことを前提にした出題を正解にはしないだろう。

 エ:ということで、これが正解と思う。

 

 

 

f:id:min117:20180416132500j:plain

問11)

アが正解

 平成28年秋の問題そのまま。

 ※ ちょうど2年前の半期ズレの過去問をやっておくとカブりが多いのでは?と思ったり。

 ※ 実際にいま自宅で使っているPHPプログラムにもcookieで認証機能をつけようと思っているので、この問題は(暗記じゃなくて)実感になりそう。web系の仕事でコード書いてる人には簡単すぎる問題だろう。

 

 

f:id:min117:20180416132506j:plain

問12)

アが正解。

 頻出すぎる問題。予想問題集やってれば間違いようがない。

DKIMSPFSMTP-AUTH はセットで覚える。あとOP25Bも。

 

 

f:id:min117:20180416132511j:plain

問13)

ウが正解。

 これも上記の予想問題集で「よく出る」マークのある問題。ほんといい問題集だ。そこだけやってればいいんだもん。テンペストとくれば「放射」「電磁波」で即答。

 

f:id:min117:20180416132524j:plain

問14)

イが正解

 これは直感でも間違いようがない。感染したPCの通信をブロックすればいいのだから。

 

f:id:min117:20180416132530j:plain

問15)

アが正解。

 平成28年の秋でも同じ問題が出ていたようが、そのときは「rootkitの特徴はどれか。」という問い方だった。問題文がカタカナになっただけ。これも予想問題集やってれば即答。

 

 

 

f:id:min117:20180416132535j:plain

問16)

アが正解。

これもこの予想問題集で頻出とされている。

この問題集の良いところは 左ページに問題、右ページに解答 と書き方が統一されているので過去問がとても探しやすいところ。ページのどの辺にどんな問題があったか、どのあたりにメモしたか、直感でパラパラめくって探せるところが最高に良い。

 

f:id:min117:20180416132540j:plain

問17)

エが正解。

予想問題集そのまま。解答の肢まで一緒。

 

f:id:min117:20180416132546j:plain

問18)

アが正解?自信ない。

たぶん過去問にあったんだろうけど見落としている。調べる。TCPのヘッダには「ICMPか?」なんて情報は持っていなかったような。

 → 調べた。アで正解プロトコル番号が1だとICMP

f:id:min117:20180416170311p:plain

www.infraexpert.com

 

f:id:min117:20180416132554j:plain

ウが正解?自信ない。

たぶん過去問にあったんだろうけど見落としている。調べる。

→ 調べた。が正解 でOK。

f:id:min117:20180416151655p:plain

www.infraexpert.com

 

f:id:min117:20180416132559j:plain

問20)

イが正解。

 自分でWebDAVを組んでいるので簡単すぎる問題。要は、ファイル共有(NAS)の機能を(エクスプローラに見えるフォルダやファイルとしてではなく)ブラウザから見えるようにする機能。

 ア:SOAP連携のことだろう。例えば社内にある「とあるシステム(出張費用精算とか)が、別のシステム(予算システム)にデータを渡す時」に、ファイル(CSVとか)での受け渡しでなくて、システム的に通信して(プログラム的に)渡すのがSOAP連携、くらいの理解で良いと思う。

 イ:これがWebDAV。要はファイル管理。

 ウ:これはブラウザで開くメール機能。IMAPのこと。

 エ:ftpでのデータやりとり。WebDAVではない。

 

 

f:id:min117:20180416132603j:plain

問21)

エが正解。

 過去問そのまま。ファイルへのコミット完了のとき、と覚えておけば即答できる。

 

f:id:min117:20180416132610j:plain

問22)

ウが正解。

 これも過去問そのまま。選択肢まで同じ。

 ※「時間の経過」と言ってるんだから、つまりは「順番の処理=シーケンシャルな処理=シーケンス(図)」と、ノー勉強でもたどり着けるレベル。

 

f:id:min117:20180416132615j:plain

問23)

イが正解?。自信ない。→ 正解はエ(IPA)。

 アジャイル開発の先駆者な方と働いていた時を思い出した。

f:id:min117:20180416153007p:plain

エクストリーム・プログラミング - Wikipedia

 

f:id:min117:20180416132620j:plain

問24)

イが正解?自信ない。 正解はウ(IPA)。

 4月 30日間 x24時間

 5月 31日間 x24時間

 6月 30日間 x24時間

 合計)91日間 x24時間 = 2184時間

停止時間

 システムバージョンアップ作業に伴う停止:84時間

 ハードウェア故障(による予想外の停止):10時間

 合計)94時間

2184時間フル稼働100%として、稼働していなかった84時間何%かを考えると

 2184:100 = 94:X

両辺を掛けて

 2184X = 9400

   X = (9400 / 2184)=  4.3(%)

つまり

 4.3%停止していた。

ということは、動いていたのは

 100% - 4.3% = 95.7%

だと思うんだけど… 

 

後記)

 違った。システムバージョンアップ作業に伴う停止停止時間に含めちゃダメ。顧客と合意している(予想された)停止なのだから。やり直すと

 4月 30日間 x24時間

 5月 31日間 x24時間

 6月 30日間 x24時間

 合計)91日間 x24時間 = 2184時間

ここから、停止を合意済みの84時間を引く

 2184時間 - 84時間 = 2100時間。これが「動くはずだった時間」。

うち

停止時間

 システムバージョンアップ作業に伴う停止:84時間 ←これ含まない!

 ハードウェア故障(による予想外の停止):10時間

 合計)10時間

2100時間フル稼働100%として、稼働していなかった10時間何%かを考えると

 2100:100 = 10:X

両辺を掛けて

 2100X = 1000

   X = (1000 / 2100=  0.476... = 0.48(%)

つまり

 0.46%停止していた。

ということは、動いていたのは

 100% - 0.48% = 99.52%

なのでウが正解

その他解答例)

f:id:min117:20180417001648p:plain

f:id:min117:20180417001653p:plain

f:id:min117:20180417001852p:plain

そもそも5月が30日か31日か分からない?(そんな人が現実にいるとは…)

f:id:min117:20180417001749p:plain

 

f:id:min117:20180416132625j:plain

問25)

アが正解か?。エか迷う。 → アで正解(IPA)

 ア:ログを加工している時点で「改ざん」。森友、加計じゃあるまいし。ログだとしても許されない行為。監査「報告」どころか、納品物なら犯罪になりかねない。

 ※ ちなみに公文書の改ざんは「虚偽公文書作成」「公文書偽造」。どちらにしても重罪。逮捕者が出ていないのが不思議でしようがない。

 イ:変更結果の承認?別にいいじゃない。監査の対象になり得ない。

 ウ:特権IDを無効にするのは良い管理。誤操作も防げる。

 エ:「直接修正」という表現が気になる。監査では指摘されるかも。しかし「変更依頼書」で経緯が残っているので問題なしとされるだろう。

ということで、アだろう。

情報処理安全確保支援士(SC)平成30年度春期 受験票が到着

1月に申込みした情報処理安全確保支援士(SC)の受験票が届いた。

※ というか、だいぶ前に届いていた。忙しくて記事にするのが遅れてしまった。

f:id:min117:20180415041450p:plain

 

 

昨年11月の試験(平成29年秋期)で 午前Ⅰ は通過したので

min117.hatenablog.com

今回 午前Ⅰ の試験は免除になる。

f:id:min117:20180415041608p:plain

俄然やる気が出る。予想問題集の「よく出る」だけ、直前まで繰り返す。

新モデル RaspberryPi 3 B+ がイギリスから到着

先日イギリスのサイト(Pimoroni)で購入した RaspberryPi 3 B+

min117.hatenablog.com

船便で Shipping していたが、わずか1週間ほどで届いた。Pimoroniさん仕事が速い。

f:id:min117:20180415033836p:plain

合計 32.17 ポンド

f:id:min117:20180415034302p:plain

イギリスはEUから離脱しちゃったからユーロよりポンドが主流なんだろうなと。以前旅行行った時はまだEUに所属してたのに。

min117.hatenablog.com

配送はメチャ無骨。海外のこういうところがシンプルで良い。無駄に丁寧すぎる日本の梱包きらい。

f:id:min117:20180415034342j:plain

最初から箱が折れ曲がっているという。こういう無骨さ くらいでちょうどいいと思う。

f:id:min117:20180415034349j:plain

モデル B+ 。ビープラス。最高。

f:id:min117:20180415034354j:plain

日本の技適はまだ通っていないので(電波暗室以外では)使えない。まだしばらく電源も入れないでおこう。

f:id:min117:20180415034359j:plain

見た目はこれまでの Pi3 と同じ。

f:id:min117:20180415034403j:plain

チップは少し違うようだ。

f:id:min117:20180415034408j:plain

電波暗室でいろいろ試す。まずはSDカード買わないと。

 

 

MacbookAir を喫茶店Wi-Fiで使う(大宮駅 カフェ・ベローチェ)

海外でも喫茶店はよく行った。Wi-Fiと充電は、異国の地では死活問題。それくらいのインフラになっていると思う。

min117.hatenablog.com

国内でも移動が定期的にあるので、行く先々での喫茶店を記録してみる。

まずは大宮駅西口 カフェ・ベローチェ

 

f:id:min117:20180331222530p:plain

営業時間:夜23:00まで開いている。

電子マネー払い:対応していない。現金払いのみ。

無線LAN:あり。無料。速度良好。

電源:なし。

トイレ:あり。そこそこキレイ。

全席禁煙:されていない。2階に喫煙ルームあり。煙も漏れる。

コーヒー:ふつう。

お菓子:普通においしい。

f:id:min117:20180331222535p:plain

コーヒーはふつう。無線LANがあるのとトイレ使えるのは良いかな、くらい。

f:id:min117:20180331222619j:plain