お久しぶりです。9月の大規模な学会の準備および、修士論文の作成によって非常に忙しい日々を送っていました。
2023/10/8(日)に情報処理安全確保支援士試験(以下SC試験)を再受験してきました。前回は午後Ⅰが60点合格のところ59点で惜しくも不合格ということになってしまいました。
今回から午後ⅠとⅡが統合され、午後が一つの試験に変わりました。今回は合格目標というよりも偵察が目的です。9月の学会のせいで、学習に時間がほとんどとれず、前回から100時間も追加で勉強できていないのではないでしょうか。むしろ忘れるほうが早い。
SC試験は午前1、午前2、午後の3段階のテストでそれぞれ60点以上をとることで合格となります。
午前1はAPレベルのIT全般に関する知識が身についているのかを確認するテストです。4択形式であり、学習をできている人は基本的に落ちません。私は前々回APに合格していたので免除されました。
午前2はセキュリティに関する知識の基本が身についているのかを確認するテストです。こちらも4択形式であり、過去問の流用も多々あります。午後の筆記の採点をしなくてはならない数を減らすために行っているようなもので、基本的に合格ラインの人は落ちません。
午後はセキュリティに関する実務を模した話を通して、その内容に必要な知識、今回用いられている機器の設定、攻撃に対する対応、インシデントに対する対処等、総合的かつ実務的な能力を問われます。
以下は今回のSC試験の所感です。
午前1:免除
午前2:公式解答により64点。2択に絞って悉く外しました。難易度は簡単4割、標準3割、高難易度3割といった感じに思えた。単語から推測することができる問題が少なく、2択までしか減らせないものが多かった。前回と変わらずセキュリティ以外は捨てているため、高得点は無理。
午後:4つの大問から2つ選び答える問題。統合にあたりほとんど記号問題が消えており、始まる前の解答用紙配布で絶望を感じていた。感覚としては午後Ⅰをやや発展させたもしくは午後Ⅱの重要な問題をピックアップしたという問題難易度であり、大問4を除き、どの大問でも小計200文字以上の回答欄となっている。大問4は文字数制限はないものの「あなたの知見に基づき(リスク元による行為又は事象・機密情報の機密性への影響に至る経緯等)、答えよ」という特殊な問題が出てきた。大問1はECサイトのセキュアプログラミング関係、大問2はオフィスネットワークセキュリティ(主に通信と認証)、大問3は見ていない、大問4はある百貨店の配送に関するのリスクアセスメントの問題であった。大問2と4を選択した。
以下は午後の自分の解答(後日、TACやITECの解答速報を確認しながら自己採点した結果を報告します。)本試験の結果と合わせて、このような解答だとこれぐらいの点数になるということを確認するためにも使ってもらえると幸いです。
午後
大問2
設問1(1) a 利用者ID
b パスワード
(2) c このサーバ証明書は、その有効性が確認できる状態ではない
d このサーバ証明書は来客用無線LANのAPの正規のものではない
(3) HTTPで接続しようとした場合でも、Secure属性を有効にし、HTTPSとし
て接続するように切り替える。
設問2(1) 従業員個人のメールアドレスを用いて、ファイル共有の申請を行う方法
(2) e MACアドレス
設問3(1) OCSP
(2) f 秘密鍵
(3) g ディジタル署名の作成を可能に
(4) 個人所有PCに対して、クライアント証明書を不正に取得できないため。
(5) 項番1に関して、送信元IPアドレスが業務PC以外のもののNAT設定を無効
にしたものを項番のより小さいルールとして加える。
(6) a DNS
(7) 表3. 1
表4. 1,4
大問4
設問1ア 10, 11, 12, 13
イ 大
ウ C
エ G百貨店のSサービスの設定で、G百貨店のSサービスアカウントに関し
てアクセス元IPアドレスを配送管理用PCのもののみログインを許可する。
設問2 (1) あ 従業員が外部で使用しているUSBを介してマルウェアがW社PCに感染
し、W社PCを不正に操作する。
(2) い 不正に操作されたPCが踏み台にされて配送管理用PCに不正にログイン
される。そのあと、定期的なスクリーンショット画像のW社外への送信
により、Z情報がW社外のPCに流出し、保存される。
う 1,2,3,4,10
え 大
お 低
か C
き USBは会社用のものを用い、必ずウイルスチェックをしてから利用する
設問3 a 5, 10, 12
b 1,2,3,4,5,9,10,12