午後Ⅰ
問2
フル解答例
検討
SPFレコード
https://www.nisc.go.jp/conference/suishin/adviser/dai5/pdf/sankou.pdf
解答速報発表日
午後Ⅱ
問2
Webで見つけた解答例。
【SC】情報処理安全確保支援士試験 PART117 (909)
https://2ch.vet/re_ikura_lic_1523759954_z_0
午後Ⅱ 解答例
Imgur: The magic of the Internet
↑ 全体に自分の言葉で回答しすぎではないか?もっと問題文の言葉を使って回答すべきと思う。
自分の解答
青文字…おそらく正解だろう
赤文字…間違い or 自信がない
<午後Ⅱ 問2>
設問1
(1)
POSTで送信しHTTPのステータスが200で返される攻撃(30文字/35文字)
(2)
WebサイトYの全ファイルと比較(16文字/20文字)
(3)
公開鍵による認証方式(10文字/10文字)
設問2
b:Webサイトの構築に使用したWebアプリケーションフレームワークならびに使用したソフトウェア(44文字/50文字)
設問3
c:ディレクトリ(トラバーサル)
d:アカウント クロスサイト(リクエストフォージェリ)
e:HTTP(ヘッダインジェクション)
f:(クリック)ジャッキング
設問4
(1)
g:30
h:0
(2)エ <script>alert('NG');</script>
(3)
j:(う)のPOSTデータにcode=1000021を入力して選択ボタンをクリックする
(39文字/40文字) ※(う)は1文字として記入
(4)
k:一般会員と有料会員(9文字/15文字)
l:一般会員が限定商品を参照購入できないこと(20文字/20文字)
※ 「参照購入」ではなく「検索選択」とすべきだったかも。回答は全て問題文中の言葉を使って書くのが基本だから
設問5
レビューポイントに示されたセキュリティ対策がされた報告書提出を検収条件とする記載(40文字/40文字)
設問6
それぞれの脆弱性に対応する具体的な実装方法を記載することで誤った実装を防ぐ利用(39文字/40文字)
※ 「それぞれの脆弱性」ではなく「個々の脆弱性」とすべきだったかも。
<設問6の詳細>
※ P19の上の5行の言葉をできるだけ使った。
※ P19で、セキュリティガイド第1版から第2版を作る際に「誤った実装を防ぐ」ことを目的にしている。これが解答のキーになる(のでは)と思う。
問題文を追って行くと
P19 セキュリティガイド 第2版ができた ※ここで改善の目的に触れている
P21 診断書 第1版 ができた
P26 診断書 第2版 に改善された
P27 セキュリティガイド 第3版ができた(レビューポイント追加)
つまり
①個々の脆弱性が出てきたおかげで(それらに対処する診断書ができ、その結果)ガイドが改善されているわけだが、
②そのガイドの目的は「具体的な実装方法を記載する」ことにより「誤った実装を防ぐ」ことにある(P19)のだから
①+②すると
「個々の脆弱性のおかげでガイドに具体的な実装方法を記載することができ、それによって誤った実装を防ぐ」ことができているわけだ。
それを③問題文に聞かれていることに回答する形に変えていく。
問題文
「…ガイドを改善するためにどのように利用できるか?」
回答
「…という利用」で答えるべき。
最後に ①+②+③を問題文の指定(40文字)に合わせる と
「個々の脆弱性に対応する具体的な実装方法を記載することで誤った実装を防ぐ利用」(39文字/40文字)
になる。
参考)
直前に読んでおいてよかった。とても参考になった。
<5ch(旧2ch)の解答例まとめ>
https://2ch.vet/re_ikura_lic_1523759954_z_0#287
フル解答例
検討)
設問1
(1)アクセスログに残らない攻撃とは?POST送信か?
設問1
(2)WebサイトYの全ファイルと比較?差分比較?
設問2
各Webサイト担当者に報告させた「 b 」とは?
設問4
(1)bag' and '1'='1 の件数は?100件?30件?
設問4
(3)
(う)は3文字カウントか?1文字か?
画面遷移は?code値は?
「一般会員」「有料会員」の言葉は使っちゃダメ?
k にもあった…
「検証用の」という言葉は必要?
設問5
設問6
昨日2018/4/15(日)は情報処理安全確保支援士(SC)の試験があった。前回の試験で午前Ⅰはすでに通過してしまっているので、午後Ⅱ から受験した。自分なりの解答速報を残す。
<平成30年度 春期 午前Ⅱ 解答速報>
△が付いていないものは間違いなく正解(過去問で出ている)。
△が付いているものは不正解の可能性あり(過去出題なし)。後日で要確認。
問1:ウ △ → 正解はア(IPA)
問2:イ
問3:ア
問4:ア
問5:エ
問6:ウ
問7:エ
問8:エ
問9:エ △ → 正解はイ(IPA)
問10:エ △ → 正解もエ(IPA)
問11:ウ
問12:ア
問13:ウ
問14:イ
問15:ア
問16:ア
問17:エ
問18:ア △ → 正解もア(IPA)
問19:ウ
問20:イ
問21:エ
問22:ウ
問23:イ △ → 正解はエ(IPA)
問24:イ △ → 正解はウ(IPA)
問25:ア △ → 正解もア(IPA)
検証はこの本で実施。本当に良い問題集。
情報処理安全確保支援士試験 予想問題集 510題(東京電機大学編)
他の人の解答例はこのへん。
【SC】情報処理安全確保支援士試験 PART117 (909)
https://2ch.vet/re_ikura_lic_1523759954_z_0
後記)IPAからの解答速報が出たようだ。
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2018h30_1/2018h30h_sc_am2_ans.pdf
IPA 独立行政法人 情報処理推進機構:問題冊子・配点割合・解答例・採点講評(2018、平成30年)
なお足切りは60点。
https://www.jitec.ipa.go.jp/1_01mosikomi/29h_annaisho/29h_08.pdf
以下、順に見ていく。
問1)
ウが正解? → 正解はア(IPA)
初めて見る問題。
アもありえる?
イは「現状評価基準」ではないか?
エは「再評価」なので関係なさそう。
関連しそうなのは、H25春SC午前Ⅱ問10、H26秋SC午前Ⅱ問7 あたりか。
問2)
イが正解。
シェルスクリプトを書いていれば簡単すぎ。一発で分かる。
※ せっかくなら cat じゃなくて、以前発覚した最悪の脆弱性「ShellShock」バグで出題すればいいのに、と思うくらい。
問3)
アが正解。
過去問にあり。頻出すぎて答え丸暗記してる。1秒で回答できる。XMLはエレメントごとに署名できると知っておくだけでいい。
※ しかし、今の世の中でXMLなんて使うかね…json一択だと思うんだけど。
問4)
アが正解。
過去問にもあったが少し表現が変わった。平成29年 秋期 午後Ⅱ 問5 にも出題されている。
※ Metasploit Framework で ペネトレーションテストして遊ぶと実感が湧くと思う。
問5)
エが正解。
過去問にあり。頻出すぎて丸暗記。1秒で回答。
問6)
ウが正解。
過去問にあり。頻出だが表現が変わった。以前はエに正解が多かった問題。今回はウになっている。
※ ファイアウォールによるフィルタは仕事でもよく使うので。迷わず回答。
問7)
エが正解。
過去問にあり。丸暗記タイプ。
問8)
エが正解。
過去問にあり。平成27春SC午前II 問6 そのまま。X.509とくれば「ことがある」と覚えていて正解。
問9)
エが正解か?自信ない。→ 正解はイ(IPA)
ア:ありえない。
認証デバイスUSBにMACアドレスなんて仕込んだら、収集つかなくなるに決まっている。
イ:?
虹彩に経年変化が無いって?本当?白内障や緑内障になったらどうなの?この高齢化の世で?
ウ:?
指紋認証?iPhone5s をLED電球の部屋で使ってるけど何も問題ないし。違うと思う。
エ:これが正解と思う。 → 正解はイ(IPA)
仕事で使っている入室ICチップカード。充電なんて一度もしたことないが使えているし。
問10)
エが正解?自信ない。
正直いって、こういう10年後には絶対に存在しないであろう天下り団体や、そこの人らが考えた仕組みを出題にだすのは本当にやめてほしい。くだらなすぎる。せっかくの技術のための試験が汚れる。ほんとどうでもいい。
ア:ありえないと思う。
監査結果を共有?そんなことを、参加「組織間」でするか?監査なんてナイーブなものを(天下りのナァナァな)組織どうしで共有するようなことは、まずしない。某トーマツのISMS監査を以前受けたことがある経験からいっても、ありえないと思う。
イ:バックアップの取組みに「イニシアティブ」なんて名前つけたら、そりゃあんたナンセンスにも程があるでしょう。天下り老人の発想にはありえそうだから怖いけど。
ウ:セキュリティ「製品の評価」、つまり例えば「トレンドマイク口」とか「マカフー」とかの製品を「これいいね、ここ悪いね」と、製品の評価を共有して、さらに「公開する取組み」が存在すると?そんなことしたら、それらの会社からものすごいクレームが入るか、怪しい接待で評価を変えるようなことが起きそうだけど?天下り組織には無いとも言えないが、そんなことを前提にした出題を正解にはしないだろう。
エ:ということで、これが正解と思う。
問11)
アが正解
平成28年秋の問題そのまま。
※ ちょうど2年前の半期ズレの過去問をやっておくとカブりが多いのでは?と思ったり。
※ 実際にいま自宅で使っているPHPプログラムにもcookieで認証機能をつけようと思っているので、この問題は(暗記じゃなくて)実感になりそう。web系の仕事でコード書いてる人には簡単すぎる問題だろう。
問12)
アが正解。
頻出すぎる問題。予想問題集やってれば間違いようがない。
DKIM、SPF、SMTP-AUTH はセットで覚える。あとOP25Bも。
問13)
ウが正解。
これも上記の予想問題集で「よく出る」マークのある問題。ほんといい問題集だ。そこだけやってればいいんだもん。テンペストとくれば「放射」「電磁波」で即答。
問14)
イが正解。
これは直感でも間違いようがない。感染したPCの通信をブロックすればいいのだから。
問15)
アが正解。
平成28年の秋でも同じ問題が出ていたようが、そのときは「rootkitの特徴はどれか。」という問い方だった。問題文がカタカナになっただけ。これも予想問題集やってれば即答。
問16)
アが正解。
これもこの予想問題集で頻出とされている。
この問題集の良いところは 左ページに問題、右ページに解答 と書き方が統一されているので過去問がとても探しやすいところ。ページのどの辺にどんな問題があったか、どのあたりにメモしたか、直感でパラパラめくって探せるところが最高に良い。
問17)
エが正解。
予想問題集そのまま。解答の肢まで一緒。
問18)
アが正解?自信ない。
たぶん過去問にあったんだろうけど見落としている。調べる。TCPのヘッダには「ICMPか?」なんて情報は持っていなかったような。
→ 調べた。アで正解。プロトコル番号が1だとICMP。
ウが正解?自信ない。
たぶん過去問にあったんだろうけど見落としている。調べる。
→ 調べた。ウが正解 でOK。
問20)
イが正解。
自分でWebDAVを組んでいるので簡単すぎる問題。要は、ファイル共有(NAS)の機能を(エクスプローラに見えるフォルダやファイルとしてではなく)ブラウザから見えるようにする機能。
ア:SOAP連携のことだろう。例えば社内にある「とあるシステム(出張費用精算とか)が、別のシステム(予算システム)にデータを渡す時」に、ファイル(CSVとか)での受け渡しでなくて、システム的に通信して(プログラム的に)渡すのがSOAP連携、くらいの理解で良いと思う。
イ:これがWebDAV。要はファイル管理。
ウ:これはブラウザで開くメール機能。IMAPのこと。
問21)
エが正解。
過去問そのまま。ファイルへのコミット完了のとき、と覚えておけば即答できる。
問22)
ウが正解。
これも過去問そのまま。選択肢まで同じ。
※「時間の経過」と言ってるんだから、つまりは「順番の処理=シーケンシャルな処理=シーケンス(図)」と、ノー勉強でもたどり着けるレベル。
問23)
イが正解?。自信ない。→ 正解はエ(IPA)。
アジャイル開発の先駆者な方と働いていた時を思い出した。
問24)
イが正解?自信ない。→ 正解はウ(IPA)。
4月 30日間 x24時間
5月 31日間 x24時間
6月 30日間 x24時間
合計)91日間 x24時間 = 2184時間
停止時間は
システムバージョンアップ作業に伴う停止:84時間
ハードウェア故障(による予想外の停止):10時間
合計)94時間
2184時間フル稼働が100%として、稼働していなかった84時間は何%かを考えると
2184:100 = 94:X
両辺を掛けて
2184X = 9400
X = (9400 / 2184)= 4.3(%)
つまり
4.3%停止していた。
ということは、動いていたのは
100% - 4.3% = 95.7%
だと思うんだけど…
後記)
違った。システムバージョンアップ作業に伴う停止は停止時間に含めちゃダメ。顧客と合意している(予想された)停止なのだから。やり直すと
4月 30日間 x24時間
5月 31日間 x24時間
6月 30日間 x24時間
合計)91日間 x24時間 = 2184時間
ここから、停止を合意済みの84時間を引くと
2184時間 - 84時間 = 2100時間。これが「動くはずだった時間」。
うち
停止時間は
システムバージョンアップ作業に伴う停止:84時間 ←これ含まない!
ハードウェア故障(による予想外の停止):10時間
合計)10時間
2100時間フル稼働が100%として、稼働していなかった10時間は何%かを考えると
2100:100 = 10:X
両辺を掛けて
2100X = 1000
X = (1000 / 2100)= 0.476... = 0.48(%)
つまり
0.46%停止していた。
ということは、動いていたのは
100% - 0.48% = 99.52%
なのでウが正解。
その他解答例)
そもそも5月が30日か31日か分からない?(そんな人が現実にいるとは…)
問25)
アが正解か?。エか迷う。 → アで正解(IPA)。
ア:ログを加工している時点で「改ざん」。森友、加計じゃあるまいし。ログだとしても許されない行為。監査「報告」どころか、納品物なら犯罪になりかねない。
※ ちなみに公文書の改ざんは「虚偽公文書作成」「公文書偽造」。どちらにしても重罪。逮捕者が出ていないのが不思議でしようがない。
イ:変更結果の承認?別にいいじゃない。監査の対象になり得ない。
ウ:特権IDを無効にするのは良い管理。誤操作も防げる。
エ:「直接修正」という表現が気になる。監査では指摘されるかも。しかし「変更依頼書」で経緯が残っているので問題なしとされるだろう。
ということで、アだろう。
1月に申込みした情報処理安全確保支援士(SC)の受験票が届いた。
※ というか、だいぶ前に届いていた。忙しくて記事にするのが遅れてしまった。
昨年11月の試験(平成29年秋期)で 午前Ⅰ は通過したので
今回 午前Ⅰ の試験は免除になる。
俄然やる気が出る。予想問題集の「よく出る」だけ、直前まで繰り返す。
先日イギリスのサイト(Pimoroni)で購入した RaspberryPi 3 B+ 。
船便で Shipping していたが、わずか1週間ほどで届いた。Pimoroniさん仕事が速い。
合計 32.17 ポンド。
イギリスはEUから離脱しちゃったからユーロよりポンドが主流なんだろうなと。以前旅行行った時はまだEUに所属してたのに。
配送はメチャ無骨。海外のこういうところがシンプルで良い。無駄に丁寧すぎる日本の梱包きらい。
最初から箱が折れ曲がっているという。こういう無骨さ くらいでちょうどいいと思う。
モデル B+ 。ビープラス。最高。
日本の技適はまだ通っていないので(電波暗室以外では)使えない。まだしばらく電源も入れないでおこう。
見た目はこれまでの Pi3 と同じ。
チップは少し違うようだ。
電波暗室でいろいろ試す。まずはSDカード買わないと。