お久しぶりです。
先日2023/4/16(日)に情報処理安全確保支援士(以下、SC)を受けてきました。
こちらの試験はIPAが主催する情報試験のうち、セキュリティ関係に関する最高峰の国家資格試験です。前回合格した、応用情報技術者(以下、AP)の一つ上のレベルであり、かつ、情報試験で唯一の士業登録が可能な試験であるため、セキュリティ関係で働こうと考えている人(私とか)は実力証明に欲しいと思う資格です。
SCは午前1、午前2、午後1、午後2の4段階のテストでそれぞれ60点以上をとることで合格となります。
午前1はAPレベルのIT全般に関する知識が身についているのかを確認するテストです。4択形式であり、学習をできている人は基本的に落ちません。私は前回APに合格していたので免除されました。
午前2はセキュリティに関する知識の基本が身についているのかを確認するテストです。こちらも4択形式であり、過去問の流用も多々あります。午後の筆記の採点をしなくてはならない数を減らすために行っているようなもので、基本的に合格ラインの人は落ちません。
午後1はセキュリティに関する各分野の大問3つの中から2つ選び解答する筆記形式の問題です。各大問は主に知識や一般的に用いられる図表の読み取り能力を問われます。
午後2はセキュリティに関する実務を模した話を通して、その内容に必要な知識、今回用いられている機器の設定、攻撃に対する対応、インシデントに対する対処等、総合的かつ実務的な能力を問われます。
以下は、今回のテストの所感です。
午前1:免除
午前2:公式解答により68点。標準的なレベルだと思われる。有名どころであるDKIMやKaminsky攻撃を思い出せないというあり得ない事態が発生。マネジメント系は捨てていたため、やや低いが妥当な点数。
午後1:もっとも落ちた可能性が高い。選択は問1セキュアプログラミングと問3クラウドサービスセキュリティ。問3は良く解けた印象だが、問1と問2はどちらも知識がないという状態であったため、読み取りながら解ける可能性もある部分点狙いでセキュアプログラミングを選択。ちなみにJavaでコードはあまり書いたことはない。
午後2:問2のクラウドへの移行と認証(OAuth 2.0)を選択。基本的な問題が多く。書き問題もほとんど一意に定まる問題が多い印象である。一部分からないものがあったが、合格レベルには達していると思われる。(本当だろうか)
以下は午後の自分の解答(後日、TACやITECの解答速報を確認しながら自己採点した結果を報告します。)本試験の結果と合わせて、このような解答だとこれぐらいの点数になるということを確認するためにも使ってもらえると幸いです。
午後1問1(セキュアプログラミング:ほぼ分からない、20点取れれば万々歳)
設問1(1) 13
(2) buf (後から見返すとinな気がする)
(3) WHERE head. order_no = ?
Statement stmt = sql.createStatement (やけくそ)
設問2(1) orderNo
(2) private (staticと迷って間違えた)
(4) orderNo
new
getOrderInfoBean(orderNo)
(5)得意先コード
午後1問3(IDaaSとSaaSとSAML認証:よくできた、できれば40点以上を取得で来ていてほしい)
設問1(1) a ア、b イ、c ウ
(2) Lサービスが本社UTM以外のIPアドレスからの通信を拒否するから(「送信元制限機能によって」、「送信元のIPアドレスが(本社UTM以外の)グローバル(IPアドレス)」という風に書きたかったが、文字数制限に引っかかった)
設問2(1) d ア、e ウ、f イ
(2)オ (イとオで迷って間違えた)
設問3(1)本社のUTMではなく、Pサービスを介してアクセスする。
(2) 多要素認証機能を有効にし、営業所PCのIPアドレスからの通信を許可する
(3)イ (アだと思われる)
(4)h 6, i 2
(5) あ 4
j https://△△△-a.jp/
k SaaS-aへのアクセスが業務上必要である従業員(単純に研究開発部の従業員でよかったかも?)
l 許可
い 3
m 外部ストレージサービス
n すべて
o 禁止
午後2問2(Webサイトのクラウドの移行に関するあれこれ:よくできた、70点は固いのでは?もし採点されるならだけれども)
設問1 〇××
〇〇×
〇〇〇
設問2 (1) j ウ、k エ、l ウ
(2) {
"system": "4000"
"account": "11[2-9][0-9]"
"service": "オブジェクトストレージサービス"
"event": "オブジェクトの削除"
}
設問3 (1) m 新日記サービス、n サービスT、o サービスT
(2) p (1), q(3) (知らない子ですねぇ・・・)
(3) ウ、エ
設問4 (1) codeパラメータ値が十分に複雑で推測困難であるから (適当言ってます)
(2) 検証コードパラメータのS256によるハッシュ値をbase64urlエンコードした値とチャレンジコードの値を比較し、一致するか確認する。(分からない)
設問5 (1) OSSリポジトリからファイルZをダウンロードする。(すべての権限があるからダウンロードの履歴も消せる?と思ったけど、変更履歴からファイルZをダウンロードするが正しそう)
(2) 開発リーダーのみに承認権限を与え、そのほかすべての利用者には、必要に応じて、そのほかの権限を与える。