本日(2023年4月16日)IPAが実施している情報処理安全確保支援士試験を受けてきました。試験前の検温や手指消毒が無くなり、試験中のマスクの着用も任意になるなど、情報処理試験でも新型コロナウイルス感染対策の緩和がはじまっていたのが印象的でした。午後試験の解答例の公表は6月下旬予定になりますので、午後1試験の問2と問3、午後2試験の問2で、自分が書いた解答をメモしておきました。
午前1・午前2
午前1試験および午前2試験の解答は、試験当日に公式の解答例が公表されています。
令和5年度春期試験 問題冊子・解答例・採点講評・配点割合(PDF)
午前2の問7のCTR(Counter)モード、問11のタイミング攻撃あたりは勘で解答して、しっかり外しました、、、
午後1問2
攻撃者によってサーバが侵害されて、C&Cサーバからの指示により暗号資産マイニングの実行プログラムを仕込まれてしまった、、、というセキュリティインシデントに関する問題です。
設問1
パッシブ
設問2
(1)コミュニティ
(2)バインド
2-3、3-3よりバインドモードが実行されているが、1-3で接続が拒否されたから
(3)コネクト
2-4よりコネクトモードが実行され、1-4、3-4により接続が確立しているから
(2)(3)の判断した理由は、このような書き方でいいのか悩みました。項番だけで9文字も取られるのは正直きついですね、、、
(4)1365
設問3
(1)TXTレコードの値には、文字列などを自由に設定できるから
(2)受付サーバで実行されたlogdのファイルと異なる可能性がある
(3)受付サーバ
午後1問3
IDaaS(SAML認証)とCASBの導入に関する問題です。
設問1
(1)
a ア
b イ
c ウ
(2)送信元が本社のUTMのグルーバルIPアドレス以外からのアクセスは拒否されるから
設問2
(1)
d ア
e ウ
f イ
設問3
(1)プロキシサーバによる中継から、Pサービスによる中継に変更する
(2)営業所のUTMのグルーバルIPアドレスからのアクセスを許可するように設定する
(3)(ア)
おそらく間違いです。P14表2の要件2に、Lサービスに接続できるPCを「R-PCに制限する」とあるのを見落としました。冒頭に「Q社の従業員にはPC及びスマートフォンが貸与」とありましたので、それにひかかって(ア)のSMSワンタイムパスワードにしてしまいました、、
(4)
h 6
i 2
(5)
あ 4
j https://△△△-a.jp/
k 研究開発部
l 許可
い 3
m 外部ストレージサービス
n 全従業員
o 禁止
午後2問2
Webサイトのクラウドサービスへの移行と、ソースコードの管理プロセスの改善に関する問題です。紙に鉛筆でJSONコード書くのはいい経験でした(笑)
設問1
a○ b× c×
d○ e○ f×
g○ h○ i○
設問2
(1)
j ウ
k エ
l イ
(2)
{
"system" : "4000",
"account" : "11[123456789][0-9]",
"service" : "オブジェクトストレージサービス",
"event" : "オブジェクトの削除"
}
利用者IDの正規表現は、P15の注記に「正規表現は次の規則に従う」とありましたので、それに忠実に解答しましたが、普通に 11[1-9][0-9] でよかった気がします、、
設問3
(1)
m 新日記サービス
n サービスT
o サービスT
(2)
p (3)
q (7)
(3)ウ、エ
設問4
(1)codeパラーメータの値に、認可コードを設定する必要があるから
(2)検証コードをSHA256でハッシュ化し、そのハッシュ値をbase64urlエンコードした値とチャレンジコードが一致することを確認する
設問4は、さっぱり分からなかったので、いいかげんな解答です、、
設問5
(1)変更履歴をダウンロードして、ファイルZ削除の前後の差分からXトークンを取得する
(2)開発者に与えている承認権限を削除し、承認権限は開発リーダーのみに与える
(3)Xトークンには、リポジトリWのソースコードのダウンロード権限のみを付与する
おわりに
試験おつかれさまでした。合格発表は、6月下旬の予定です、みなさまの合格をお祈りします!
コメント