【SC】情報処理安全確保支援士試験 Part149
レス数が1000を超えています。これ以上書き込みはできません。
!extend:on:vvvvv:1000:512
!extend:on:vvvvv:1000:512
!extend:on:vvvvv:1000:512
情報処理安全確保支援士試験(SC)
[ Registered Information Security Specialist Examination ]
http://www.jitec.ipa.go.jp/1_11seido/sc.html
情報処理技術者試験センター
https://www.jitec.ipa.go.jp/
情報処理技術者試験 総合統一スレ 3
https://kizuna.5ch.net/test/read.cgi/lic/1484740145/
情報処理技術者試験 高度試験共通午前T Part3
https://kizuna.5ch.net/test/read.cgi/lic/1484740431/
関連スレ
【RISS】情報処理安全確保支援士 Part26
https://kizuna.5ch.net/test/read.cgi/lic/1614640584/
・スレを立てる時には>>1の本文1行目行頭に『!extend:on:vvvvv:1000:512』を入れて立てて下さい。
前スレ
【SC】情報処理安全確保支援士試験 Part148
https://kizuna.5ch.net/test/read.cgi/lic/1644934814/
VIPQ2_EXTDAT: default:vvvvv:1000:512:: EXT was configured 合否報告用テンプレ
【合否】
【午前T得点】
【午前U得点】
【午後T得点/自己採点】
【午後U得点/自己採点】
【午後選択問題】午後T問123、午後U12
【受験回数】 回
【学習期間】
【年齢】 歳
【保有資格】
【参考書】
【一言】 『紀伊水道航路殺人事件』
ネット掲示板に謎の書込みがあった。
「もし島嶼部ならストーカーが船便もしくは航空便で来島し殺害されているでしょう 」
それは紛れもなくこれらの離島を往来する旅客に対しての無差別殺人犯行声明だ。
この書き込みを追跡していくとあるキチガイにたどり着いた。
IT関係の国家試験に11年連続で落ち続ける偏差値35未満の男の正体はまさにストーカーだった。
以前もネットで言い負かされた恨みから全世界に向けて対して殺人の依頼をしている事件が判明。
この殺人依頼との因果関係は?
犯人の意図はなにか? ?
最後に追い込まれた犯人がとった意外な行動とは?
痛快ラブコメディ殺人事件は米韓大統領、北の独裁者、日本の政治家を巻き込む
自爆テロ覚悟のキチガイ・ワカヤマンが暇人に贈るレクイエムに全米は泣かない。 ,, -─-∧ ∧-─-、
/ ─ \ ハァ? / ─ \
/ (●) ヽ / (●) ゙i
| , -''(、_,.) | > < | (、_,.)''ー 、 |
ヽ ( (´\ ( (●)/ | (●) ) /`) ) /
/\ヽ`ニ´ ノ / \ ヽ `ニノ /\
/ `ー- 、一'' `''ーr -一'´ ゙i
| | 、 | | 、 | |
ワカヤマン「これからはより細かい所まで覚える事で確実に合格してみせる。」
979 :名無し検定1級さん:2012/09/13(木) 23:34:15.12
なぜ、どこぞの野球スレに行かないのか不思議な問題児。
野球の話する奴の試験情報なんていらねぇーよ、○ねごみくず
っとか言われたいのだろう。なんか不憫・・・
出題範囲ある程度基本は覚えた。
これからはより細かい所まで覚える事で確実に合格してみせる。
シラバス的にはライブマイグレーションとか出題されそうじゃね?
http://ikura.2ch.net/test/read.cgi/lic/1344659507/979 おはようございます。あと150分ほどとなりました。最後まで諦めず全力でいきましょう。 今ついた。午前1免除って一回落ちてるのバレバレでハズカシイなあ(^^) 初見も多いけど過去問まんまのも結構あった印象
まあ手応えなしって感じなんだけどな 9時半頃、横浜の試験会場近くのマックでこれのテキスト片手にコーヒー啜っていた兄ちゃんに遭遇した 完全ノー勉だけど午前2ほとんど過去問流用?見たことある問題ばっかだったわ
全問は無理かもだけど6割は流石に行った >>25
毎回そうじゃない?
大体午後どっちかクソ簡単でもう片方が捻くれてる いつも大学とかでクソな会場だったけど今回はプリンスホテルとかいう天国 可用性計算するのに間違えて60かけて合わなくて焦った
3分前にウと合ってて安心した 試験会場高校だけどめっちゃ音聞こえてくる
ウンコのブリブリ音勘弁してくれ >>20
データーウェアハウスのは過去問に無かったような? 問2むずそうだったから問1、3にした
プレースホルダあっててよかった 午後Iむずくて死んだわ
java知らんc++プログラマなので問一は自動捨て
問2もweb関連の実装詳しくなくておわた
問3も手応えなくてこれでいいの感がすごい 午後1終了時点で教室内10人以上居たのが3人になったんやがwwwwwwwww
いや確かに難しかったし問2とか俺もやらかしたけどそこまで絶望的でもなかったような >>47
ネスペ受けたんだけど支援士セキュアプログラミングでたの? 午後ニ微妙だなこれ
たぶん前回と同じく58くらいで落ちてる やっと帰宅。なんか専門外ばっかでびみょんだったわ。 ◆◆◆◆━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆◆◆ \\ ≪ ワカヤマンとは和歌山のIT系資格試験マニアです ≫ //
◆◆
@和歌山県和歌山市出身の40代後半で都会に対して強い憧れを抱いている。脂性である。
A自称和歌山大学システム工学部卒(偏差値48程度)の自宅警備員(引きこもり)である。※https://www.facebook.com/profile.php?id=100015107231671
B社会復帰を目指しているが社会適応能力が著しく欠如しており、実質2chに明け暮れている。レスポンスの早さには定評がある。
C就業に支障を来たす程、語彙が乏しく、貧弱な一行レスを多投する。資格試験においても読解問題や記述問題で相当苦労している。
DパソコンやIT系資格試験に強い関心があり、お勧めの本はないかと話題を振ることが多く、自作自演でレスをする。書込みID確認に強い拘りを持つ。
E首都圏在住の資格合格者に根強い憎しみを抱いており、とりわけコテハン9氏やアナル男爵氏に対する思い入れが強く、「氏ね」等連呼する。
FH24NW試験において9氏に直接対決を挑むも惨敗を喫する。9氏は野球やTVゲーム等に夢中になりながらも合格。この年の和歌山県合格者はわずか1名。
GNW試験の出題予想を披露するがあまりにもスカタンであり、嘲笑の的となる。H22〜R3年度NW試験11年連続不合格である。
HH25〜29,31年度AU試験を受験する。語彙力、文章能力が著しく欠如しているため、受験自体見当違いであり、不合格となる。和歌山県合格者は2年連続ゼロ。
INW試験前後は男性の性器を象ったAAでスレ住人、とりわけ合格者に対して度重なる挑発行為を行う。
J気に入らないことがあると発狂し、AAの連投、スレの乱立、過疎スレへの誘導、センスを感じさせない煽りや一行レス自演を披露する。
KH26年度秋期合格発表時に他人の合格に便乗しようとするが和歌山県の壊滅的な合否統計情報に阻まれ、嘗てないほど精神不安定に陥っている。
L真昼間から頻繁に自宅ADSL回線でntwkym0*****.wkym.nt.adsl.ppp.infoweb.ne.jpというホストを利用して書き込みをしている。
◆━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ /::::)(:::)(:::::::::::)(::::::^::::::::::\
(::::::::::::::::::::::::::::::::::::::::::::::::::::: ::::::::::\
/::::::::::/ノ::::::::ノ::::::::ヽ:人::::::::::ヽ:::::::::::::::)
(::::::::::/ ):::ノ::::ノ ) ソ ヾ::::::::::::丶::::ヽ
(:::::::::/ 彡 ノ ノ :: 彡:/)) ::::::::::)
(::::::::::/彡彡彡彡彡 ミミミミミミミ :::::::::::)
( :::::::// ̄ ̄ ̄ ̄ヽ===/ ̄ ̄ ̄ ̄ヽ |:::::::::)
| =ロ -=・=- ‖ ‖ -=・=- ロ===
|:/ ‖ / /ノ ヽ \ ‖ ヽ|ヽ _________
|/ ヽ`======/ .⌒ ` ========ノ. ..| | /
.( 。 ・:・‘。c .(● ●) ;”・u。*@・:、‘)ノ / これからは
( 。;・0”*・o; / :::::l l::: ::: \ :。・;%:・。o ) < より細かい所まで覚える事で
(; 8@ ・。:// ̄ ̄ ̄ ̄\:\.”・:。;・’0.) \ 確実に合格してみせる
.\。・:%,: )::::|.  ̄ ̄ ̄ ̄ | ::::(: o`*:c /.. \_________
\ ::: o :::::::::\____/ :::::::::: /
(ヽ ヽ:::: _- ::::: ⌒:: :::::::: -_ ノ
\丶\_::_:::::_:::: :::::_/:::: /
| \ \ ::::::::::: :::::::::: ::: ::__/ |
 ̄ ̄\ 丶  ̄ ̄ ̄ ̄ ̄ ̄ ̄ / ̄ ̄
↑ワカヤマン@ntwkym008020.wkym.nt.adsl.ppp.infoweb.ne.jp |┌──────────┐ 経歴書
|| / \ | ┌─────────────────────
|| / ─ ─\ | |氏名:ファイトキチガイ連呼終身名誉死刑囚バカヤマン
||/ (●) (●) \ | ├─────────────────────
||| (__人__) |. | |年齢:40代後半 現住所:和歌山県
||\ ` ⌒´ ,/. | ├─────────────────────
||...イ.ヽヽ、___ ーーノ゙- 、 | |ホスト情報:ntwkym008020.wkym.nt.adsl.ppp.infoweb.ne.jp
|| | '; \_____ ノ.|ヽ i....| ├─────────────────────
|| | \/゙(__)\,| i | | |一言:よく使っている難解な熟語は「不憫…」です
|└──────────┘ └─────────────────────
| ┌───┬─┬───────────────────────────
| | | | 経歴
| ├───┼─┼───────────────────────────
| |・低学歴ニートであることが完全にバレているにも関わらず隠し続けてきた。
| |・うっかり者で天然ボケである。重篤なコミュ障害。
| |・かねてより恨みを持つ野球好きアホコテ9氏に喧嘩を売り、試験で返り討ちに遭った。
| | 以後、荒らしなどを必ず9氏の仕業にする。他人に濡れ衣を着せる習性がある。
| |・スレ立て時に合格宣言を強要したため住人から強い反発と総スカンをくらう。その後、強要しなくなる。反省の色がうかがえる。
| |・唯一得意な熟語に「不憫…」があり、↓11年前wから天敵の9氏を罵る際などに使用する。指摘されて使用を躊躇する。
| | http://school7.2ch.net/test/read.cgi/lic/1173064400/280
| | http://ikura.2ch.net/test/read.cgi/lic/1344659507/979
| |・ファイトキチなる敵を作り出し一人芝居でスレッドの保守をしている。
| |・聞き及ぶところによればファイトには元ネタ(自分自身の発言)があり、
| | 揚げ足を取られたためファイトスレを頑なに拒むようになった。
| ├───┼─┼─────────────────────────── |┌──────────┐ 経歴書
|| / \ | ┌─────────────────────
|| / ─ ─\ | |氏名:ファイトキチガイ連呼終身名誉死刑囚ワカヤマン
||/ (●) (●) \ | ├─────────────────────
||| (__人__) |. | |年齢:40代後半 現住所:和歌山県
||\ ` ⌒´ ,/. | ├─────────────────────
||...イ.ヽヽ、___ ーーノ゙- 、 | |ホスト情報:ntwkym008020.wkym.nt.adsl.ppp.infoweb.ne.jp
|| | '; \_____ ノ.|ヽ i....| ├─────────────────────
|| | \/゙(__)\,| i | | |一言:誘導する奴等は全員ファイトキチガイと見なします。
|└──────────┘ └─────────────────────
| ┌───┬─┬───────────────────────────
| | | | 経歴
| ├───┼─┼───────────────────────────
| |・本スレに誘導が行われると間を置かず無差別にファイトキチガイ、ファイキチと罵る。
| | ファイトキチガイは特定の人物ではないらしい。
| |・スレ乱立40代無職。実務に関する話題が苦手である。実はファイトネタの生みの親である。
| |・トラップでIPを抜かれる。その際、何が起こったのか理解できず沈黙の後、
| | 「怖い」と動揺を隠し切れない様子であった。
| |・ホスト情報を晒してまでよく運営に殴り込んだが悉くスルーされた。
| |・資格スレではご丁寧に試験会場(近畿大学和歌山キャンパス)を晒す。
| |・発狂。誰と戦っているの。ワカヤマンはもういない。ワカヤマンではないと泣き付く。
| |・見ての通り文章能力が乏しく論述試験でも不合格を繰り返している。
| |・無関係のスレ住人複数を有名コテと見誤り、罵る等迷惑行為を重ねてきた。
| |・被害に遭った住人にHPや試験委員を通じてIPAに通報される。
| | 自分でうっかり晒した画像やホスト情報等も提供されており、IPAに人物特定される。
| ├───┼─┼─────────────────────────── ま た お ま え か ! 11年前から不憫… キ チ ガ イ ワカヤマン
テクニカルエンジニア【情報セキュリティ】Part8
280 :名無し検定1級さん:2007/03/24(土) 15:34:36
9って専門学生なんだ
かわいそう…
不憫…
http://school7.2ch.net/test/read.cgi/lic/1173064400/280
.l''',! .r-、 .,、=@ .l''',! ./ー、,,,_ .r-,
.广''''″.¨゙゙! .,,,丿 {,,、、, .v-l゙ .!-r/i、 广''''″.¨゙゙! .!、, l゙ | .} ,
.゙l---, ぃ" .| .| .| _,,{゙l .ヽ ヽ--i、 .ぃ" .,,,,,,,,二i" .,..-" .ヽl、゙l
r---┘.―'i、 "',! ./ニニニ、  ̄| .L,,,,,゙l,,i´ .r---┘.―'i、 .| :,! | .l .|、
|__ ._,,,,} ノ .| | l゙ ./ ゙'i、 .|__ ._,,,,} "''''ツ ./ "''ト .|゙i、 ||、゙l
.,―-" | .ノ .l゙ `"゙゙゙'" ,i´,〕゙゙^'i、 | .,―-" | ../ `i、 l゙ ,l゙ | |.゙l.,ノ
.l゙ .,,,,,, .\ .l゙ .l゙ ,, .l゙ .|.} | | .| / .,,,,,, .\ ../ .,.i、 | l゙ .l゙ .| .,! .゛
| し,,l゙ .、 ゙,! ,l゙ ,l゙.i".゙゙'''''"! ゙l .″.|.,!'''゛ l゙ | .l゙,,,,l゙ .、 ゙,! ,/`/ .| ."'゙゙l ./ .l゙r┘,l゙
.゙l, .,/`∪ ゙〃 .`ー--丿 .゙'--ヽ{,,,./ .゙l,, _/`∪ .゙l.,i´ .!,_,,,/ .l゙../ | .,i´
∪ ̄ ∪ | | ∪ | | ∪ ∪
.∪ ∪
‐ニ三ニ‐ ‐ニ‐‐ニ三ニ‐ ‐ニ‐ ‐ニ三ニ‐ ‐ニ‐ ‐ニ三ニ‐ ま た お ま え か ! キ チ ガ イ ワカヤマン
437 :まとめなおし:2015/12/26(土) 14:03:42.46 HOST:ntwkym008020.wkym.nt.adsl.ppp.infoweb.ne.jp
.l''',! .r-、 .,、=@ .l''',! ./ー、,,,_ .r-,
.广''''″.¨゙゙! .,,,丿 {,,、、, .v-l゙ .!-r/i、 广''''″.¨゙゙! .!、, l゙ | .} ,
.゙l---, ぃ" .| .| .| _,,{゙l .ヽ ヽ--i、 .ぃ" .,,,,,,,,二i" .,..-" .ヽl、゙l
r---┘.―'i、 "',! ./ニニニ、  ̄| .L,,,,,゙l,,i´ .r---┘.―'i、 .| :,! | .l .|、
|__ ._,,,,} ノ .| | l゙ ./ ゙'i、 .|__ ._,,,,} "''''ツ ./ "''ト .|゙i、 ||、゙l
.,―-" | .ノ .l゙ `"゙゙゙'" ,i´,〕゙゙^'i、 | .,―-" | ../ `i、 l゙ ,l゙ | |.゙l.,ノ
.l゙ .,,,,,, .\ .l゙ .l゙ ,, .l゙ .|.} | | .| / .,,,,,, .\ ../ .,.i、 | l゙ .l゙ .| .,! .゛
| し,,l゙ .、 ゙,! ,l゙ ,l゙.i".゙゙'''''"! ゙l .″.|.,!'''゛ l゙ | .l゙,,,,l゙ .、 ゙,! ,/`/ .| ."'゙゙l ./ .l゙r┘,l゙
.゙l, .,/`∪ ゙〃 .`ー--丿 .゙'--ヽ{,,,./ .゙l,, _/`∪ .゙l.,i´ .!,_,,,/ .l゙../ | .,i´
∪ ̄ ∪ | | ∪ | | ∪ ∪
.∪ ∪
‐ニ三ニ‐ ‐ニ‐‐ニ三ニ‐ ‐ニ‐ ‐ニ三ニ‐ ‐ニ‐ ‐ニ三ニ‐ 【10年以上前から“不憫…”大好きワカヤマン氏のスカタン出題予想(大爆笑)】
==================スカタンレス・オブ・ザ・イヤー2012==================
ネットワークスペシャリスト Part29
340 :名無し検定1級さん:2012/08/19(日) 22:07:56.06
結局まだ1時間しか勉強してないっす →何時間勉強したら気が済むんだぁ
今から集中して頑張ります。
このスレで野球?の話してる人って田舎の暴走族みたいで不憫 →田舎の暴走族ってどんなんだぁ
大人に成長するまでは、ストレス発散大変だよね
早くキッカケでもつかめるといいね!ファイト*^o^* →ファイト*^o^*元ネタ。キモい、キモすぎる。
http://ikura.2ch.net/test/read.cgi/lic/1344659507/340
979 :名無し検定1級さん:2012/09/13(木) 23:34:15.12
なぜ、どこぞの野球スレに行かないのか不思議な問題児。
野球の話する奴の試験情報なんていらねぇーよ、○ねごみくず
っとか言われたいのだろう。なんか不憫・・・ →同じ「不憫」使って9さんに粘着。
出題範囲ある程度基本は覚えた。
これからはより細かい所まで覚える事で確実に合格してみせる。 →キチガイ合格宣言も虚しく結果不合格。これこそ不憫・・・
シラバス的にはライブマイグレーションとか出題されそうじゃね? →ないない。出題されてない(笑)
http://ikura.2ch.net/test/read.cgi/lic/1344659507/979
テクニカルエンジニア【情報セキュリティ】Part8
280 :名無し検定1級さん:2007/03/24(土) 15:34:36 →15年前から同じ「不憫」使って9さんに粘着。
9って専門学生なんだ
かわいそう…
不憫…
http://school7.2ch.net/test/read.cgi/lic/1173064400/280
================================================================= 公式解答
午前I、午前II
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2022r04.html
令和4年度春季高度情報共通
午前I
アアエイウ
イウウアイ
エアエウウ
イアエウエ
イアイウエ
ウエウイエ
令和4年度春季情報処理安全確保支援士試験
午前II
イエイアイ
エエイイア
イウアエウ
イイアウエ
ウアイウウ あとは4/20-21で出てくるアイテックやTACの解答例を見て絶望するだけだな
合格発表は6/26ぐらいだろうから 前スレにリプ
前スレ993へ
https://kizuna.5ch.net/test/read.cgi/lic/1644934814/993
俺は午前Iの勉強しなかった
午前I 19/30=63点
午前II 20/25=80点
前スレ968へ
https://kizuna.5ch.net/test/read.cgi/lic/1644934814/968
うちだと名刺使う機会ないからなー(涙目)
組み込みソフトエンジニアでSC持ってたら確かにいいよな 19問で通過してた
途中ボーダー前に怒涛の5問連続ミスしてて顔引きつったわ >>50
かなり開発よりだった印象だった
見事に捨てた分野で
無事死亡 記号一発間違えたら立て続けにアウトだし、終わったわ Xvideoに動画アップすると概要をTwitterに自動で書き込む午後U-問2はイメージし易い良問だったな 今まで落ちてる人って落ちた時の試験直後の手応えはどんな感じだったのか聞きたい
ちな自分は今日初めて受けて、午後Tまではいけそうだけど午後Uで50点くらいで落ちそうだなって感触 午後2で帰るヤツは問題取りに来たアルバイトか?
おかげで前の席いなくなって快適だったけど 部分点あったり調整入ったりするけど50点だと微妙かな まあ高度科目を受けに来る人で20%しか合格できないんだから相当な難関だよな。 午前1 24/30
午前2 22/25
午前1で「NTP」で正解だったけど午前に「NNTP」にしてしまった。
午前1で「完全化保守」と「適応保守」で迷ったけど正解だった。
「PBP」って知らなかったので間違えた。
「PM理論」を「SL理論」と勘違いして不正解。 頭使ったせいかすげー腹減った。帰りにパスタ大盛食べてまだ足りないから家で低カロリーのこんにゃくラーメンとキムチ。 午前1 17/30
午前2 26/30
おちた。。 申し込みギリだったからか、おまけみたいな部屋で10人くらいだった。
おまけに4人は来てないし、すかすか。 そういや午後2で退出時間きてすぐ帰ったのいたな
エスパーのように答えられたか捨てたのか
退出時間のときなんてY-CDNの範囲で詰まってたわ >>87
間違えました
17/30
23/25
午前1がとおらないw
どの過去問暗記すればいいのですっけ? >>88
認証得意だったから午後2はかつて無いほど暇だったわ
なお午後1 >>89
とりあえず15年分暗記してると新問を全部間違えてもギリギリとおるかと。 >>89
3回前から過去5年分くらいのAP午前過去問を丸暗記
80×5年分だから400問。これでなんとかなった >>92
ありがとうございます。15年分なのですねw >>89
アッー!あと1問だったね
俺なんか、午前I 19/30=63点でギリギリ午前I免除もらった
午前IIは20/25=80点 通過できていますかね??
午後1-問2
設1
(1)a)アb)エ
(2)インバウンド通信を全て許可され侵入されるリスク
(3)Web操作機能でもアクセスできないroot配下のファイルが暗号化されたため
設2
(1)ディレクトリトラバーサル
(2)OSコマンドインジェクション
(3)イ、ウ、ア
設3
(1)Postは、リクエストURLにコマンドが記載・表示されないため
(2)許可されていないオプションの場合は処理を停止する
設4
分からなかった。
午後1-問3
設1
イ、ア
設2
(1)他人のIDでログインして〜
(2)-
(3)ウ、イ
(4)署名用電子証明書
(5)タイムスタンプを付与みたいなことを書いた
設3
(1)スマートフォンを盗難された場合
(2)Qアプリ起動時に、生体認証にによって起動を行う。 >>93
APって応用情報でしたっけ?基本情報?
15年分は無理なので5年分暗記します。
ありがとうございます。
>>95
おめですw! >>87
朝起きて応用の過去問道場で80問解いたら1問OpenFlowのSDNの問題がそのまま出て正解でした。
毎日2問解いていれば、復習なんて早いですよ。6問間違えましたけど。 >>88
どの高度受けても毎回いるよ
メンサとかのやつだろ >>98
Qアプリの生体認証ってスマホに依存しない? 午後1の問2は去年のQNAPのNASのランサムウェアの件を思い出させるわ >>100
過去問道場やりこみます、秋受かりそうです(午前だけなら まさるのAPPGOAT回を3本見た俺は多分合格だ
まさるのお陰でXSSとCSRFとディレクトリトラバが完璧に解けた 会社からの指示でイヤイヤ受けさせられてるやつとか受けた証として問題冊子だけ回収して帰るやつ結構いるよ >>99
応用情報
前回前々回の分は今回出ない法則があるみたいで、それより前の5回分を脊髄反射で答えられるようにしてた
すっかり忘れたけど。午前1免除が秋までだから、秋も落ちてたらまてやり直し 午後の勉強の仕方がわからんな。過去問やってもあんまり意味ないな。 >>107
指示というより、休日出勤扱いになるから、その証拠で問題用紙持参ってことね >>108
5回分を脊髄反射、やってみます。
ありがとう
>>112
まさるさんはyoutubeです。過去問せずにこれをチラ見していました。 >>99
ごめん、若干期間間違ってた。
ここ見て。ただし暗記モノなので今やっても忘れると思う
https://www.jouhoushori.com/entry/2週間でできる午前T対策 午後1 問2の デコード、比較、正規化 のやつの正しい順番教えて >>115
ウアイ にしたけど他の人と全然ちゃうな >>102
これ一定時間操作がなかったら画面をロックするって書いたな
前問のパクリみてぇだから自信ねぇけども 重点対策問題ってあんま使えないなって思ったわ
他にないかな 実は転職して無理して取る必要無くなったので受かっても受からなくてもIPAの資格は引退する予定だったので折角なので供養するわ
とりあえず午後1まで
記述問題はこんな感じで書いたってだけで原文ママではない、※は完全にテキトー
インフラエンジニア上がりの情シス兼総務なので専門家からしたら笑っちゃうような回答ばっかだと思うけど
下には下がいるって安心してくれたら嬉しい
午前2 19/25でパス
午後1
問2
設問1
(1)aア bエ
(2)第三者が社内のNASやPCにアクセスできてしまう
(3)/root配下が暗号化されていたから
設問2
(1)HTTPインジェクション ※
(2)OSコマンドインジェクション
(3) eア fウ gイ
設問3
(1)pingはUDPなので実行サーバを検知できないから ※
(2)tarコマンドのディレクトリをchrootに変更しsudoで実行できないようにする ※
設問4
forbidden ※
問3
設問1
aイ bア
設問2
(1)
・銀行などでキャッシュカード番号と暗証番号を盗み見る
・Webページを偽装して利用者にカード情報や暗証番号を入力させる
(2) 顔写真
(3) dウ eイ
(4) 署名用電子証明書の正当性
(5) 一定時間内にその数字を入力するとカメラアプリが起動し、その場で撮影して送信
設問3
(1)スマートフォンを紛失した時
(2)指紋や顔認証などの生体認証を決済時に要求する >>115
デコード→埋め込んだ処理がパスとして表示される
正規化→問題文の通りのパス形式にする
比較→拒否リスト以外なら弾く
この順番以外にありえるか? >>116
おれもこれだなぁ
まず正規化してからデコードしないと相対パスで書かれてるとぐちゃぐちゃになりそうだし >>114
ありがとう
夏ごろからはじめようと思いましたが
脊髄反射レベル回答できるように今からやります。。 ここのところ暫くFWのポリシーとかマルウェアのインシデント発生とかネットワーク屋や社内運用系の問題ばかりだったから、あと3回くらいは開発系の問題くるかもね。エモテットPPAPとかくらいなら次あたり来るかもしれんが。 設問3
>(2)tarコマンドのディレクトリをchrootに変更しsudoで実行できないようにする ※
ファームウェアUPでは使用しないtarオプションを無効にする
にしてしまった。--restrictで無効化できるので。。 まぁ、午後1は二つで60以上あればいいから…ははは >>115
デコードしてから正規化、比較だと思う。
正規化の前にデコードしないと、../とかがエンコードされてるかもしれないしいし、それらを正規化してからじゃないと比較しても意味がないはず。 >>123
ネスぺで良いやつはあっちに任せればよいと思う 午後1冷静に考えたら、問3でもっと取れたなぁ
何書いたかわからんぐらいぐちゃぐちゃな回答しちまった
完全に問2のtarとかなんもわからなくて心乱されちまった 午後1設問2(3)
ア、ウ、イ
にしたけど、POSTをデコードしてから正規化して比較では??? >>128
そもそも問題文のサンプルにエンコード値入れてる時点で気付くよねw >>107
そういうことなのか
でも午前2だけでOKなのか?
会社も個人も一番意味無さそうだけど >>119のつづき
俺もう5回くらい落ちてる不合格のプロだけどぶっちゃけ今回の午後2が過去一難しかった
午後2
問2
設問1
(1)キャッシュ
(2)DoS
(3)DNS ※
(4)CDNを利用しているY社のWebサイト全部 ※
(5)宛先のFQDN ※
設問2
(1)認証サーバはSTを発行しているだけで検証している訳ではないから
(2)STの復号化に対しての攻撃であってログイン試行している訳ではないから
設問3
(1)ウ
(2)ア
(3)改ざん
(4) h:1 i:3 j:4
設問4
(1) kウ lイ mア
(2) エ
(3) o9 p10
(4) ウ※
設問5
(1) rウ sエ tオ
(2) 4
(3) ア※
(4) wトークン要求 xトークン応答 情報番号 = ? and プロジェクトid = ?
が正しいってみてマジ?って思って問題文再確認したけどたしかにそうだわこれ
ちゃんと周りの文もみるべきだった😣
やけに簡単だなと思ったら… >>126
いや俺のは参考にもならんぞw
とはいえこのスレですら答えが固まってないようなレベルなのでかなりの難問か悪問だった事には間違いない 午後1設問2(3)
ア、ウ、イ
にしたけどPOSTの内容ってデコードできるのかな???
中が見れるの???GETだけでは??? 行政書士の試験とかでは合格率低くなりそうなら、配点に調整入るけど、この試験も期待できる? なんかもう午後の試験受けて、今後受かる気がしないんだけど。
どういう勉強すりゃあいいのよ。 >>138
真偽は不明だけど情報処理試験の午後の配点は調整されてるのが濃厚 普通に採点されてて59点とかで落ちまくってたまるか なんかここ見てると午後だめくさいし、次どうしようかなぁ……
受けるの辞めるか、気分転換で他の高度受けるか 村山本はアテにならないことがよーく分かった
今回は「こう出たらこう答える」どころか知識を問うものばかりだし
TACの重点対策本も結局過去問の解だしね
なんだかんだ、上原本から知識を深めるのが一番か >>139
高度の午後は基本的に実務やってなきゃ厳しいよ
しかも実務やってたとしてもその分野が出るかどうかは運
応用取った時もその時担当してた客と怖いくらい同じような構成の問題出てきたお陰で取れたくらいだし ネスペ多分落ちたから次こっち受けるけどおすすめの本ない?
教科書は分厚すぎて読む気せんわ…
あと過去問解説はどれ見てる?
ネスペシリーズ的なのないの? >>138
>>140
濃厚どころかほぼ確定だね
59点報告がここまで続出してるのを見ると裏で合格率が何パー以上になっちゃいけないみたいなのがあるんだと思う
適当な理由付けて落としとけばまた受験料でガッポガッポだしな
受験料大幅に上げてきやがったし結構露骨だよ 普段からAWS触ってるとCDNはCloudFrontをイメージはできたんだけど、
認証系はイメージできなかった。言葉は分かっててもシーケンス辺りは応用の知識ないとしんどい TACの解答速報なんか普通に間違いだらけだし何にも信用出来ないわ キャッシュサーバーのとこでエッジって書いちゃった
だめかなー? 結局、午前の知識完璧にしたところで
午後でソリが合わないと落ちるんだよなぁ そもそもこの試験の合格者の受験率ってどのくらいなのだろう?
維持費払う代わりに3年に1度受験をして合格すれば維持しているのと同じでは?
合格者の受験率が多いと合格が難しくなる。 やべ、デコードの流れのやつ全部間違えた。これ3つ完全正当式かな?それとも1つあたり小さな点数が与えられるやつかな? 諦めずに4回くらい受けたら運で受かるかな。もちろん毎回全力で準備して。正直運の要素結構ありそう。 午前1 19/30
午前2 14/25
午前1とれたのでヨシ! 今回受験者めっちゃ減ったんじゃなかったっけ
それで合格率20%切って、それで政府だっけか「情報セキュリティの資格者を増やす」って、なぁ…
毎年受験者減ってるのに ノー勉の俺でもぎりぎり通った午前試験に落ちるやつはなんなんだ!? >>157
俺午後2で59とかで2回落ちてるしそりゃもう嫌になるよ
リターンもさしてあるわけじゃないし 午前1 17/35
午前2 14/25
午前1難し過ぎんか…? こんな難しくする意味あるんかな。どんどんハードル上がっていく。 >>157
いきなり受験料1.5倍じゃ増える訳無いわね…
口ではそう言ってるけどもう増やす気無いと思うぞ
コロナ禍の今更新毎に30万で特定業務も無い支援士に何の価値があるのかさっぱり分からんし
支援士持ってる事を条件に年収1000万残業月20以下みたいな仕事があれば人生懸けて頑張るけどw 時間余ったから、見直し訂正してたら
答案用紙回収時間になって、試験管に注意されたわ
減点処分ありそうだな、これ 試験は年ごと難しくなっていって
高額な登録料の上専業でもないくせに罰則はしっかりつく安全確保支援士って何なんだろうか。 >>144
相性の良い問題出てくるまで待つしかないか 登録者数が初の前年割れ、「情報処理安全確保支援士」の人気獲得に秘策はあるか
https://xtech.nikkei.com/atcl/nxt/column/18/00138/030100992/
結局、資格として魅力があまりないみたいだね。
登録してても辞退する人が多くなったってことでしょ? 受験料が上がったから↑受験者数が下がる↓だから難易度を上げなくてはいけない↑
なんかもう負のループになりそうな気がするな 参考までに、午後II問1書いてみる。
選択肢は設問3(1)以外は自信なし。
設問1
(1)イ
(2)利用するライブラリの脆弱性を日々収集し、必要に応じて対応する。
設問2
a:JSESSIONID
b:利用者ID
※順不同
設問3
(1)c:イ
d:ア
e:ア
f:ア
g:イ
h:イ
(2)i:エ
j:イ
設問4
クエリ文字列のtopicの値をサイトYのDBサーバの
WebインターフェースのURLに変更した
設問5
(1)k:V氏が用意したサイト
(2)リクエストのHostヘッダの値を特定のサイトに制限
設問6
(1)脆弱性1:セッション管理の脆弱性
脆弱性2:認可・アクセス制御の脆弱性
(2)改良フェーズの休止期間中に実施する
(3)改良リリース周期を長くし、周期内に
専門技術者による脆弱性診断をできるようにする
(4)CSRF対策用のパラメタをデフォルトでセッションIDや
利用者IDなどのユーザ固有のIDとひも付ける機能 わからん
午後II 問2
設問1(1) キャッシュ (2) DoS (3) GET (4) CDN-Uを利用するすべてのWebサイト (5) Y-CDN-U-FQDN
設問2(1) 認証サーバへSTが送られないため (2) STを復号して検証すればパスワードが有効なのか確認できるため
設問3(1) エ (2) ア (3) かいざん (4) h 2, i 3, j 4
設問4(1) k ウ, l イ, m ア (2) エ (3) o 2, p 6 (4) エ
設問5(1) r オ, s エ, t ウ (2) 8 (3) ア (4) w トークン応答, x メッセージ投稿 SCは受験料より維持費が高過ぎる。更新する気が起きないもん。 >>168
ホストヘッダでよかったのかなー
ホスト名確認する改修でカバーされてるなって思ったのと、わざわざAuthヘッダ云々書かれてたからリダイレクト時にヘッダを引き継がないようにするって書いたわ
authヘッダが渡らないようにすればいいのかなって思って ネスペ多分落ちたから次こっち受けるけどおすすめの本ない?
教科書は分厚すぎて読む気せんわ…
あと過去問解説はどれ見てる?
ネスペシリーズ的なのないの? 現RISSに今回の試験解答してほしいなとも思ったり >>163
ないないw
試験官つったって日雇いのバイトだぞあいつらw
明らかな不正行為で退場はあるけど減点とかそんな細かい事できる人達じゃない >>174
ないよ
午後が変わってどうにもこうにも >>170
あーやらかした。。
一回書き直したんだよね。
計12点失点てとこかな。 >>168
1-2
結局これ誰がやるのって話だと思ってて、
それぞれに管理させてたら絶対また漏れが出てくると思うから、担当者を付けて定期的にチェック&更新するにしたわ >>172
迷った
でもDDoSって結局DoS攻撃の一種ってイメージだから広い方を書いちゃった 午後1 問3
設問1 a:イ b:ア
設問2
(1)・利用者が入力する情報を盗み見る方法
・安易な暗証番号で、口座番号を総当たりで変える方法(?)
(2)c:容貌の画像
(3)d:ウ e:イ
(4)f:署名電子証明書の有効性
(5)g:ランダムな数字をおでこに書いて、利用者自身を撮影
設問3
(1)スマートフォンを紛失した場合
(2)ログイン状態でも、Qアプリの機能利用の際にパスワードを要求する機能(?)
こんな感じだな?
>>172
仲間だな
DDoSでも正解を祈ろうじゃないか >>179
自己レスだけど、やっぱこれであってない?
制限なしを押させるのが目的だよね? >>181
DoSって書いたけどはたしてあってるのか >>176
そうなのか
若いのに、えらい貫禄があったぞ
逆らったらヤヴァイオーラが滲み出ていた >>172
DoSにした
DDoSでも分散してるかどうかの違いだしなぁ >>183
おでこに書くでちょっとクスッと来てしまった
言いたい事は分かるぞ >>179
わかんない。俺が全部逆なのかも。
なんかどっちでも通じそうなんだよね。 >>184
信じられないが本当だ。役に立つ本はない。午後はもはや何をすればいいか意味不明。 >>187
キャッシュサーバが多数存在してる状況なら仮にDoS食らっても他のキャッシュサーバで代行できる(距離の問題だけで)
逆にキャッシュサーバが無くて単一のサーバならそこにDoS食らったら一発アウト
って理論で多分DoS攻撃の対策って部分は合ってると思う 試験終了10分前から退出禁止てなんの意味があるんだろうといつも思う 午後に役立つ本ってないの?
左門書みたいにわかりやすく説明されてるやつ…
午前と午後は教科書で補って
午後は自己学習? >>186
サイトxの画面=αでしょ
つまりf=ア >>200
情報セキュリティ白書
日経ネットワーク Cisspとか海外の資格取った方がいいかも。数十万円の講習受けたらほぼ取得できるって聞いたよ。 午前@18
午前U20
午前@の途中採点吐き気がした。
午前は逆下駄無いと信じてます。 >>200
たとえば今日出された問題について、学習に最適な本はあっても
試験対策として包括的に役立つ本があるかというとない
やりこんでる分野が運良くでれば勝ちみたいなイメージ >>174
他の人も言ってるけど、ホントに「これ」という本はない
今回で相当数やられたと思う >>206
今日はネスペも大概だったぞ…
なにがそんないけなかったの? 改めて問題見たけど攻撃者が容易する画面がβでサイトXがαだからイイイアアアでいいよな? >>207
探偵気分でまずいところを探して直す試験じゃなくなった >>175
気力があったら解いてみるよ
でも、解答速報のほうが早いと思われる SSO流行ってんのかな
ネスオペの午後1もSSOだわ 午後、今までは問題文から答えになりそうな箇所を見つけて書けば合格できた。
今回は知識があるか、一から考えないと無理。
何これ? 全然できんかったわ 設問5のラストとかも違うと分かっていながら仕方なしに埋めてた
午後2問2
設1
(1)キャッシュ (2)DDoS (3)Host (4)? (5)HTTPリクエスト送付元のFQDN
設2
(1)STの検証はアクセス対象のサーバで行われるから
(2)STに対する総当たり攻撃でパスワードがすでに割れているから
設3
(1)ウ (2)ア (3)改竄 (4) h:1 i,j:2,4
設4
(1)k:ウ l:イ m:ア (2)エ (3)o:2 p:6 (4) ウ
設5
(1)r:オ s:エ t:ウ (2)8 (3) ア (4)w:トークン要求 x:トークン応答 >>207
本はだいたい過去問を解いて、答え方を鍛えるようなものが多くて
国語の問題なんて言われるSCだけど、今回はその国語力ではなく広範囲の知識力を問うものだった
まぁ高度試験だからそれが当たり前ではあるんだけど。 人少なかった
もしかしてオワコンか?
せっかく頑張って取ろうとしてるのにそれはやめてや >>208
Xの画面(画面α)を手前に透明に表示して
実際には、利用者には罠サイトの画面(画面β)の奥の可視画面をみて
クリックさせるってことで、イアアアイイかと。 知識問題出すなら、あらかじめ試験範囲のスコープを決めてほしい。毎回ガチャじゃやる気なくなるぜ サイトXの画面がβだとおもって全部逆にしちゃった。。。図3 攻撃者が用いる画面でαとβにまたがって書いてあるからまじで分かりにくい 午前II1問しか間違えなかったのに、午後の問題で無事オワタ
特に午後IIは知識問題出すぎで全く歯が立たなかったわ >>184
傾向がクラウドサービスへの移行やそのための認証系が増えて今までの対策本とかじゃ足りない感じだな重点なんたらは数年前で止まったまんまな感じだし >>163
乙
問6(2)
休止期間か大規模改修時か迷ったけど
休止期間にやったらこっちの休暇とか長期研修潰して対応するのかと思ったから
大規模改修にしたんだけどこっちは頻度少ないんだよなあ >>160
午前は過去問暗記で7割取れるから、何も考えずに覚えるだけでいいよ
計算問題も全部答え暗記でいける
残りの3割は業務の範囲なら大体いけるし、そうでなければ鉛筆転がして25% 個人的に、認証やりこんだから午後2はわかりやすかったけど
その代わりwebコーディング普段してないから午後1はなんもわからんかった
午後2ガチャ成功で午後1ガチャ失敗みたいな感じだけど、今後はそういう試験になるんかな? 今回の午後は、ssoをspenegoで実装した平成25年試験並みに意味不明でした。 >>219
あーなるほど理解したわ
なんで勘違いしてたんだろうな… 時間余ったから出てくんじゃなくて見直しするべきだったわ >>225
今日の99.52とかまんま過去問と同じだしな >>220
あー言いたかったのはそれ
シラバスは範囲がぽやーっとしすぎてて
情報セキュリティ白書は旬なネタになってて試験対策とはちょっと違うし >>216
9割同じでしたw
頼むからカスってほしい。 >>232
掛け算の筆算はともかく割り算の筆算なんかIPAの試験でしかやらなくなったわ.. ゼロトラストをIPAが出してこないけど、結局日本社会に今あるシステムがクラウドはおろかオンプレミスで稼働しているものが大量にあるからなのかね
今後移行するとしても >>219
ん?わからないぞ??
罠サイトを手前に透明表示じゃないの? 午後2の問3の3
五文字以内になっててIPAの優しさを感じたね
改竄なんて漢字で書けるわけねーだろ でもあんな画面他人のサイトに用意できるならクリックジャンキングじゃなくて普通にサーバーサイド叩くようにすればいいんじゃねって思った
あんな攻撃実在するんか 自信はない。
午後2問2
設1
(1)キャッシュ
(2)DoS
(3)Host
(4) Y社Webサイトのうち、Y-CDN-U-FQDNが割り当てられているサイト
(5) Y-CDN-U-FQDN?
設2
(1)STの処理はアクセス対象のサーバで行われるから
(2)奪取されたSTへの攻撃時に、ログイン試行が行われないため
設3
(1)ウ (2)ア (3)改ざん(4) h:1 i,j:2,4
設4
(1)k:ウ l:イ m:ア (2)エ (3)o:3 p:5 (4) ウ
設5
(1)r:オ s:エ t:ウ (2)8 (3) イ (4)w:トークン要求 x:APIを使った投稿 >>237
イアア
アイイ
でも、
アイイ
イアア
でもどっちでも成立しない?
αもβもサイトXの画面だし >>168
JSESSIINIDはセッションIDでもどっちでもいいよね? >>237
手前に攻撃対象のページを透明表示
奥に偽物のページと可視化表示 >>243
参考書を読み直したら理解した
イイイアアアにしてしまったわorz 特に記述部分は自信ないです。
問1
設問1
(1)ア
(2)プレースホルダ
(3)特殊文字
設問2
(1)GETリクエストのクエリ文字列を変更し、未参加のプロジェクトIDを指定する
(2)情報選択機能において、プロジェクトIDをチェックするため
(3)ウ
(4)stmt
(5)情報番号=? AND プロジェクトID=? >>249
αも透明にしたことで罠サイトかもしれないし
βのような画面がサイトXにあるかもしれないですよね
とか考えた >>251
今いちイメージできてないんじゃないかな。
αを知った攻撃者がβに誘導して、
透明化したαを後ろに重ねることで、
利用者に気づかれないように公開範囲設定を
制限なしにすることが目的 >>253
ごめん、透明化したαが前ね(実際にクリック対象が手前) >>250
ほとんど一致。設問2(2)以外、俺と一致。 今回は問題の日本語は汚くなかったな
ただ難易度がすごく上がってた
みんなそんな体感? 午前問題でまじ死ぬかと思った。午前Iむずすぎ。
午前I:19/30
午前II:17/25
マジ危ねえ この試験合格してなんのメリットあるんだろ
なんとなく就職で使えるのかもと思って勉強してるけどもしかして自分には必要ないのか? クリックジャッキング脆弱性の対策方法、レスポンスヘッダに
X-Frame-OptionsまたはContent-Security-Policyを
含めるであってたぽいな。
ちなみに、後者がW3Cで推奨だから、標準化されてるってことかな。 >>198
30秒前とかに、手を挙げられると混乱するからでしょ 応用ではドットコムを席巻してたAgentTakaてどうなったのかな
SCドットコムでも入学挨拶とか投稿してたけど
おやおやおやおや〜、がははは〜とか懐かしい >>263
マジか…それなら勘があたった
Frameっぽかったけどデフォルトなんて言われたらSecurity と名のつくもの選択するよな… >>266
エイで正解ってこと?
適当が当たったぜw 毎回思うけど開発、ネットワーク、ガバナンスの3種から選択制にしてほしい。分野ガチャは萎える。 情報セキュリティ白書読んでるよね?感が全くなかった今回 >>269
そっちかよww
自信満々からボーダーラインまで落ちたわww
半年後に頑張ろ いや、Category: Informationalだから、ただの情報かもしれん。 セキュリティ部門と品質管理部門、どっちの方が嫌われ者なん? クリックジャックの件、手前は画面αだよなああああ!ミスった…
画面αを透明にして手前に置くことで画面イベントが発生、可視は奥にある画面βか…
やべええ、わかってなかったけど回答的にはd、gだけ間違ってることになっててどうなるんだ。全部×だろ理解度的には。 >>274
透明なのを前にして押させて、見えるのを奥にしておく。という意味では
自分は理解してたはずなのに全部逆にしましたw
なので自分よりかはマシよw ちょっと奥さん!
初めて受けたけど午前1からして難しいわよ! >>272
Content-Security-PolicyはW3C勧告されてるから
標準化されてるように見えるけど、どっちかわからんな。
こんな細かいポイント押さえて解答できる奴いるのかよ。。 前回午後IIで Content-Security-Policy 出てるからそっちでいいよ。 > This document is not an Internet Standards Track specification; it is
> published for informational purposes.
標準じゃないとちゃんと書いてあった。 >>275
透明なのは手前だよね。押させたいのはサイトXの画面だから、これを透明にして手前に置かないと画面イベントは発生しない。
奥に入れるのはただの誘導だけの「ここをクリックして」だから可視にして奥に配置。 6割いけてそうだなーと思ってたけどここの識者の回答例みてるとアウ…ってなるわ やっちまった…「ここをクリックして」の「ここ」に下線引いてあったから不覚にもリンク付きで画面イベント起こすのかと思い手間だと勘違いした…泣きそう Content-Security-Policyってもう非推奨になってるから標準じゃないと思ってた。
イ、エにしちゃったなぁ 今年の大学センター数学とかもそうだったけど段々出題者が知識ひけらかして難度上げてドヤ顔したいだけの試験になってるよな
出題がニッチすぎるしどうせニッチにするならもっと細分化しろって言いたい
今回のSCなんてゴリッゴリに開発やってないと絶対解けないだろ まあ所詮6割取れてれば受かる試験だし年2回あるし気楽に構えるしかないな >>262
多分一番効くのは転職or就職
履歴書に高度試験受かったなんて書いたら余程のポジションじゃない限りまず受かるよ
ちなみに実務入ったら一切クソの役にも立たないから気を付けろ
会社によっては報奨金出るけど Aの再発防止策何答えたか忘れたけど、上に出てた脆弱性情報を収集して最新化ってのはしっくりくるね。
ということでこのように答えていないなあ。埋めてないのは無かったはずだけど記憶がごっそり抜けてる。 >>285
ほんそれ
上でも書いたけど俺インフラからの情シスだから全くの畑違いで詰んだわ
セキュリティとはって感じだし
いや確かにセキュリティなんだけど殆ど実装部分の話じゃねえかよ 開発やってる連中にとっては普段の回が畑違いでアウェイだとも言える >>276
午前1は過去問暗記で楽勝な回とやたらムズい回があるので、何回か受けて楽な回引いたときに午前1免除を勝ち取っとくしかない。
午前1ムズいときは午前2の難易度低い気がする。 【安全確保支援士試験リベンジに向けたお知らせ】メズム東京でもほぼいつも通り勉強するアラサー女が情報処理安全確保支援士に本気になる休日2日間ルーティン_#75
https://www.youtube.com/watch?v=CwlLlp9k2vQ
俺たちのアイドル、さーちゃんもリベンジ受験したみたいだけど受かってるといいね 昔あった午後オリジナル問題集みたいなの復活しないかな 前回NW取って午前免除だったんだけど、午前免除続く条件って受かることしかないんだっけ?
午前2は80点いってた >>299
高度で午前1だけ通れば後ろで落ちても免除になるよ。 午後に関しては市販のテキストやってもほぼ無意味
日々認証の業務をやってるとか、日経とかで認証系の記事を読み込んで流れや抜けを熟知させてるくらいじゃないと
業務に関しては完全にガチャだから、やはり普段からセキュリティニュースや技術をいかに読み込んでるかだね。あとは文章力 開発の知識問題をSCの午後に出題する必要あるかどうかは疑問だよね。知識量を求めるのは午前試験だと思うし、午後に出すならせめて選択肢にしないと。前回のCRYPTRECですら結構叩かれてたのに今回のHTTP系はニッチすぎて論外。午後試験は設計とか考え方とかを論述で答える試験であってほしい。 >>300
今回は午前2からの受験になるわけだけど、その場合は午後2まで合格しないと午前免除は続かないよね? >>305
あざーす
つか免除って二年あるんだな、春秋二回分しかないと思って焦ってた
SCはまた秋に頑張ろw >>302
今日の午後ほど具体的すぎるのはダメだと思うわ SAMLもKerberousもOAuth2.0も、俺は実務で見たことないから、過去問やってなきゃスタートラインにすら立ててなかったぞ いつもの5chスレなら「悪問とか言ってる奴は勉強不足なだけ」って言われてむしろ叩かれるのにここまで出題への不満が続出するって事は皆考えてる事一緒だったんだな
少し気が楽になったよw
今日マジで何の試験受けに来たんだっけって本気で思ったもん
もう二度と受けないからどうでも良いんだけどなw >>309
言葉だけなら応用でもちょこちょこ出てきてたよな
ただ今日のSCの午後はマジでダメ
それを主題に置いて果たしてセキュリティの何の知識が問えるのかと 今回の午後は、たとえ勉強時間あってもここに時間は掛けないなって所がガッツリだったね。
ニッチな環境でのセキュリティ機能の実装検討が多くて、インシデントへの対応のリテラシー問うシナリオは無し。
問題選択の意味もあまり無かったな。 午前I 免除
午前II 22/25
午後Iはいけたとおもうけど
午後IIはどう考えてもだめ、、、
3回目の受験だけど毎回午後II落ちは国語力の問題ですか、、、 実際クラウドファーストの現在においては、エスケープ処理とか細かい開発知識はシリコンバレーの天才が作ったベンダー任せで、むしろどう自社ユーザーの利便性とセキュリティのバランスを取っていくかが重要だったりするわけで。
今回の技術よりの試験は10年前の試験て感じ。 午前2ってシンプルに1問4点で考えていいのかな
自己採ギリギリで落ちた人いる? これは上位二割を合格にしないと収まりがつきませんな 問題自体がダメとは思わんけど、今回の午後2の問題出すなら、選択問題の数増やせよって話
2問ともHTTP通信の知識問う問題だったけど、、
「サイバーセキュリティリスクを分析・評価し、組織の事業、サービス及び情報システムの安全を確保するセキュリティエンジニアや、技術・管理の両面から有効な対策を助言・提案して経営層を支援するセキュリティコンサルタントを目指す方に最適です。」
のIPA公式に書かれている内容と乖離しすぎている 午後2 問1の設問6(1)って表1内の言葉ではなく、知識ベースの具体的な脆弱性を答えろって事? 午前U採点したら24/25
問16だけ間違ってた… IPAからのこのご時世にHTTPすらろくすっぽわからないやつはセキュリティエンジニア失格だからITパスポートからやり直せとのありがたいお達し
普段はこんなのただの日本語能力試験じゃないかって叩かれてるんだから一理ある
まぁセキュマネだと簡単すぎて泊が付かないのか難関文系資格持ちには敬遠されてるしセキュアドとセキュスペ統合しなきゃよかっただけだと思うけどな 今年から合格率は15%に戻します
サービス期間は終わったのさ >>320
そうなると表1の脆弱性に対する対象/対象外の書きっぷりが情報として無意味だし、
模範解答としては
セッション管理の脆弱性
認可・アクセス制御の脆弱性
で大丈夫では?
逆に、これ以上詳細に書ける状況にないと思う。 >>322
すごい。
自分が言わんとしたいこと全部言ってくれた。
問題5分ぐらい見たけど、PreparedStatementというインタフェース名を答えさせる問題だけはマジで愚問だと思った。 >>328
そういうのはベンダー資格で問うべきだと思った。 今回の問題もアプリ開発者を対象にしてるなら良い試験かもしれないけど、安全確保支援士ってこういうのだっけ?って違和感あるよね。 たしかにPreparedとstmtはPGしかわからない愚問だよな
しかもセキュリティと関係薄いし何で出したかわからんわw >>326
>>327
同じだ。IPAの公式解答待ちだな結局。。。 >>322
海外資格と差別化したいならこれで良いのかも 7歳児も文句言わずにIパス取得してるというのに
おまいらと来たら・・・ ちなみに今回のネスペは簡単だったので合格率高そうです なんか文句言ってる人多いけど
知識も応用力も無い奴に資格与えたって仕方ないのよ… >>331
元PGだけどPreparedStatementは確かにって感じだがstmt なんてあの数行コードからしたらどう見てもあれしかない。
他に回答にしようがないくらい点くれ問題に近かったな…
そもそもJavaなんて最近の人はやってるか怪しいからもはや総合力に近いものがある >>337
野菜についての知識を証明する資格ですって言われて受けてみたら野菜の育て方それも土作りの方法問われたとしたらお前納得できんの? 情報処理安全確保支援士を受験しに来たら、HTTP スペシャリスト試験だったでござるの巻。 まあでも午後Tは予想より10点高いから大丈夫よ
他の試験でも下駄を履かせてくれてるからね 最近はただのコーディングバグでも、セキュリティインシデントにされちまうんでな。スレッドセーフになってない、レースコンディションなんて、そのさいたるもの。
そんなのもわからないセキュリティ屋は要らんって気がついたんじゃないの? >>336
前回のネスペはルーティングのそこまで聞くの?って感じのハズレ回よ
最低合格率だし仕方ない
シラバスの範囲なんだから文句言えないけどなw そんなにHTTP大事なんだったらそういう試験を作ってくれ
良いじゃんHTTPスペシャリスト
IPAがここまで重要だと考えるなら作ればいい
今回のは間違っても「情報処理安全確保支援士」の内容では無かった、それだけ
シラバスに書いてありゃ何やっても良いってもんじゃねえよ preparedstatementの件は、確かにピンポイントだけど、
H29秋の午後I問2でも近い話出てるし、
SQLインジェクション対策としては定番のものだから
直近数年の過去問やってれば普通に解けるのでは?とも思う。
まぁ、応用情報みたいにもう少しマネジ系とかと
細分化して問題選択できるようにしたらベターなんだろうけど。 >>347
コロナで慌てて導入したテレワーク関連もそろそろ認証関係を整理しないとね!ってのは情報セキュリティ白書にも書いてるし、日経ネットワークでも直近一年は認証やHTTP関連のネタはかなり多く載ってるし、なんならTACの講座でもSAMLは重点的に説明してたぞ
これだけ伏線貼られててノーマークなのは明らかな勉強不足w
セキュリティの“プロフェッショナル”になるならニュースくらい読もうよ? まさるが説明してくれるだろって思ったけどプログラムは苦手と言ってたし期待しない方がいいな 一応レベル4っていう最高ランクなんだから
難しい難しいってギャーギャー騒ぐのはどうかと思うね メールヘッダーインジェクションの対策で制御コードと書いたけど正解でいいよね
IPAのサイトにも書いてるし
> 外部からの入力の全てについて、改行コードを削除します(*2)。あるいは改行コードだけではなく、制御コード全てを削除してもよいかもしれません。 午後2の認証問題でグループウェアにアカウント仕込まれて勝手に予定入れられる状態ならもっと酷い事起きてるだろうにというツッコミ入れたくなった >>148
>普段からAWS触ってる
cognitoでSAMLするでしょ、今時は普通に。 >>356
どちらかと言うと運用よりもインフラ周りが多くてね
ネスペ系統のほうが自分には合ってるのかもしれない
まぁ、秋まで受けて考える noindexとか知らねーよマジで。SCってそういう試験なのか?w ネスペもTLS1.3やらケルベロス認証やらが出題されてたしSCとNWは相互補完できるくらいじゃないと厳しいか 今回は国語のテストじゃなかった。。。普通に知識ないと無理 午後2の問2
一番謎だった最後のwとxは、
それぞれIDトークンと認証要求というところか?
いい感じのまとめサイトみたところによると
uは(8)だし、oは(3)。pは(7)?
https://qiita.com/m28/items/10c3a1de1bdcfda874b1 ネスペ受かったっぽいので、SCの勉強法教えてください。
ネスペは左門本があったので迷わなかったが、こちらはよい参考書も無さそうで 結局、答えは時刻だ。でなければマルウェアは動かん。 顔の画像に付箋をどこに付けるんだよ。
口紅で頬にコード書くのか? 受験料も上がったし、試験も実務的になってきたし、ますます受験者のやる気が必要になってきたな Web系のベンチャーがコピペ開発みたいなSaaSを数打ちゃ当たるでリリースしてて、色んなところでインシデント起きてるから今回の分野選定に繋がってるんだろうけど、維持費3年で14万かかる資格に細かいWeb開発能力求められてもなとも思う。
この路線で行くなら国もSaaS企業の上場要件にSC取得者数を組み込むくらい本腰入れればいいのにね。 今後はこのレベルの技術問題が出るようになるのは良いけど、それなら試験名変えてほしいな。
過去のふんわりした国語試験と同じ資格じゃ割に合わない。 比較的高難度に位置するIT資格でありながら、非IT系の人間がほぼ国語力で突破できる試験だったのが
終わったってことだろう >>369
技術的な問題になってきたなら、情報処理安全技能士とかがふさわしい気がする 今回Web畑の人は楽勝だっただろうから、来年はネットワーク分野でお願いします。いつものインシデント発生ストーリーで、IPパケットの細かい仕様とか、ルーターのコンフィグ例を知識問題で出していこう。IPAも開き直って毎年分野ガチャで畑違いが騒ぐ試験として成り立たせようぜ。 午後2問2
ロードバランスサーバーかと思ったけど、
キャッシュサーバー??
キャッシュってそんな機能あるんだ。 ゼロトラストネットワークになるとネット屋では対応しきれないから時代の流れかな。
しかしSJC-PあるしばりばりPrePare使ってたけどimport java.sql.*だから覚えてねーわクソ。考えてしまって間違えた 何で各所から不満が出てるか理解してない奴多すぎ
難しいからとかそういう問題じゃない
難度上げようとして目的と手段がおかしくなってるのよ
シラバスに乗ってるから文句言うなっていう意見の人間はたまたま出来たからそう言えるだけだろうな
まあ今回の件が無くてもIPAの試験特にSCなんてゴミ中のゴミだし会社から指示出たとかじゃない限り別のもっとちゃんとした資格目指せばいいだけの気はするけど 午後2は半分取れたら合格?そこまで甘くは無いよな? WIFIのMACアドレス指定ってどうよ。
攻撃者なんだから「盗聴」、第三者なら「傍受」では? いつも問題文で登場するセキスペみたいなインシデント分析スキルが求められるならまだしも、今回みたいに登場してHTTPのヘッダやらnoscript指摘することまで求められるのは中々ブラックな資格。 >>361
元々ネットワーク寄りだとは思ってたけどここまでやられたらSCの認識改めなきゃいけなくなったな
開発経験がマストになった
>>376
合格率調整の謎逆下駄があるから肌感覚で7割行ってないとほぼノーチャンス
9割弱でようやく確信ってとこかな 知識問題や技術的な問題が増えるのは別にいい。
ただそれだと現在出回っている対策本では対策にならないので、
午後試験の勉強方法を教えてくれ。
ちなみに、俺の仕事はIT系とは全く関係ない職種だから、実務経験が
ないとわからないような問題は本当にわからん。CDNとかnoindexとか、
どうやって勉強すればいいんだ? クリックジャッキングて手前の透明の偽画面をクリックさせるて思い込みがあったなぁ
そんであの稚拙な画面を誰がクリックするかよってのもあった
これで失点したのは痛い痛すぎる >>378
業界自体そういう業界だもんなエンジニアって
出来ない事があっちゃいけないってスタンスだし >>384
キャッシュサーバが丸でエッジサーバが三角が濃厚 そういえばうちの部署にQNAPあるけどファームウェアアップデートしてないだろうな 1. noindexの名前も概要もわかる ←いいね
2. noindexの名前は知らないが、そういう概念があることは知っている ←まあわかる
3. noindexの概念すら知らない ←こんなのに支援されたくない
2と3の違いを判別するような設問にすればよかったのに。 上位2割がどうのって話あるけど、
そうなるように点数に重みが付けられて、
個人としては全部6割超えれば受かるんよね? >>388
午後一は八割ぐらい、午後二は五割じゃ落ちるよね、合計点数が上位2割だとしても >>380
情報セキュリティ白書と日経ネットワーク読んでれば実務は別にいらないし、それに今時AWS資格くらい普通にとるよね >>391
普段開発してなくて過去問で対策してた人にとっては難易度かなり高く、Web系の開発経験者にとっては対策無しでも合格狙える試験だった。 たまたま自分がその分野の開発やってたからマウント取りまくる痛い奴湧いてるな 午後で電子署名用証明書の正当性を確認する…みたいなのが(たぶん)答えになる問題あったじゃん
電子署名用証明書の正当性はどうやって確認するの? >>385
CDNサーバは部分点すらもらえませんか 支援士とかって新技術とかは基本的に説明あるんじゃないのか?
それをもとに基礎知識で答えるってのが過去からそうだったと思うが >>398
今回のニコニコとTwitterの連携例みたいなのは新しくは、ない技術たからなあ.. >>398
昔からその年のトレンドばかりだぞ
2、3年もすると一般人にもセキュリティ教育とかで周知されるから過去問じゃ分かったつもりになれても本番じゃ解けない
スレを見ても情報セキュリティ白書すら読めてないやつばかり
これで“プロ”を名乗るつもりとか噴飯ものw ゼロトラストがでねーのにトレンドのわけないじゃんw >>398
新しくはないが言わんとしてる事は分かる
あれを記述で解かせるのはやりすぎだね
選択で知識の有無を判別するなら分かる 毎回過去問やってれば解けるのを期待するほうが変だと思うけどね
他の人も言ってたように、HTTPくらいわかっててほしいっていうお達しだよ
でも所詮6割取れてれば受かる試験だから他がほぼ完璧なら合格ラインはなんとか乗るんじゃないか 今回の午後はトレンドじゃないとこから出題されたから叩かれてるのかと。HTTPの分野とか何年前の話だよ。周回遅れの雑誌とか書いてる人が作った問題なのか? ゼロトラストの問題作りにくいだろうよ
今の日本イット事情ではな 俺はランサムウェアとかemotetとかあの辺から来ると思ってたわ
ランサムウェアは当たったけどあんなHTTPが多いのは流石に読めなかったw >>385
やはりキャッシュサーバーなんですね。
実は代理サーバーと書いてしまいました。
NFVサーバーでもなくキャッシュですか…。 >>404
そうだよねw
これからはHTTP3の時代だって直近の日経ネットワークで特集組まれるくらいなんだから、今世の中で広がってるHTTP1.1なんてもはや誰もが知ってて当然だったよねwww >>396
どの問題かわかんないけど、それこそ認証局の公開鍵とデジ署名で一致を見るんじゃね?
しかし疲れすぎて頭が回らぬ >>400
お前は"プロ"なのかも知れないし技術も秀でてるのかも知れないけどお前とだけは絶対仕事したくないわ エモテットPPAPとか、攻撃受けて業務停止した某会社たちのストーリーでBCP関連とか、べただけど大事なところだし大筋はそんなのでいいと思うけどね。ヘッダ問題はかなりニッチ。 HTTPの細かい所は実務では参照しながら考えるので記憶しておく必要ないよな。 キャッシュサーバーとリバースプロキシサーバー。
文字制限がなければどっちでしょうか? >>415
CDNはあくまでもコンテンツを効率的に世界中に配信するサービスだからキャッシュが正解。リバプロは不正解かと。 cdnはfastlyの障害があったからむりやり問題に詰め込んだ感じだったな
それならランサムやemotetあたりを問題にしろよっていう
ゼロトラストから逃げ続けるのはなぜなんだ 午後1
問2
設問1
(1)エ、ウ
(2)
(3)ファイアウォールが設定変更されインバウンド通信が許可される
設問2
(1)ディレクトリトラバーサル
(2)OSコマンドインジェクション
(3)ウ、イ、ア
設問3
(1)コマンド実行後に実行ログを消去したから
(2)tarコマンドからOSコマンドを実行できるオプション権限を削除する
設問4
whoami
問3
設問1
(1)イ、ア
設問2
(1)
・他人の口座情報を不正に入手する
・他人名義の口座を不正に作成する
(2)顔写真
(3)ウ、イ
(4)電子証明書の正当性
(5)数字を紙に書いて顔と一緒に撮影
設問3
(1)スマートフォンを紛失した場合
(2)アプリ起動時に指紋認証による当人認証を行う機能
午後2
問1
設問1
(1)ア
(2)ライブラリのバージョン管理を行い脆弱ライブラリがある場合はアラートを上げる
設問2
(1)セッションID、利用者ID
設問3
(1)
イ、ア、ア
ア、イ、イ
(2)エ、ア
設問4
TOPICパラメタにサイトYのDBサーバのURLを設定するように変更する
設問5
(1)P社宿泊サイト
(2)レスポンスにP社のURLが含まれないようにする
設問6
(1)セッション管理の脆弱性、認可・アクセス制御の脆弱性
(2)新規リリースの開発フェーズと休止期間中
(3)開発フェーズと休止期間の開発プロセスにタスクとして組み込んでスケジューリングする
(4)最新の脆弱性情報を定期的に取得してコードと突合する
だめぽ ゼロトラストの導入事例って多いの?
中小だから知らねえや >>420
ゼロトラスト導入する前にコロナによって急ごしらえで作ったテレワークやらの認証関連を整理しないといけないよねw 俺の書いたゼロトラストが響いてしまったけど、5年前はセキュリティの会社の重役さんもコード解析とかは海外にお任せでビジネスとしては境界防御とサービスや海外製品で充分みたいに言ってたけど変わったんだろうね。 >>419
受かってそうだな…午後II死んだわ。難しい問題では無かったはず泣 結局、口座番号の紐づけを不正にやる2つの方法って何だったのだろう? >>424
俺はスキミングとフィッシングだと思ったけど出題者様の意向に合ってなきゃ容赦無くドボンだし何とも言えんね 午後2問1の最初ってアとイのどっちなの?全然わからなかったから適当にアにしたけど >>424
フィッシングとリバースブルートフォースって書いた >>424
・盗んだキャッシュカードの氏名で新規会員追加
・暗証番号で総当たり >>424
私は捨てアカを多数作成と、
暗証番号の総当たりで当りを探す
の2点にしたけどどうだろうね?
捨てアカは必要だと思うから半分は取れてると思うけど。 >>424
不正入手する方法2種類でなくて、
不正な紐づけ方法を2種類と読み解いてしまい
不正入手したアカウントと自口座を紐づける。
自アカウントと不正入口座を紐づける
と書いてしまった。
後者のメリットがないと突っ込まれ撃沈中。部分点無いかな >>424
不正入手、フィッシングって書いたけどフィッシングも不正入手だよな〜 >>424
スキミングで取った口座情報で後からサービス側のアカウントを作って紐付けとリスト攻撃の2つを書いた。アカウントロックがあるから総当たり系は部分点な気がする。 不正入手の手段を2つかけばよいのでは。
ソーシャルエンジニアリングとか中間者攻撃とか。 >>424
どうすっかね。中間者攻撃的な意見がないけど変なのかな。
1.ひも付け中の通信に割り込んで、口座情報を書き換える的な、中間者攻撃
2.不正に入手したID・PASSでログインして口座情報書き換える的な、なりすまし 午後1の設問2の最初の問題はAレコードとTTLじゃないの?
ア、エ >>427
多分それで正解と思う。リバースプルートフォースはドコモ口座事件の時にひろみちゅ先生がいろいろ検証してた。 妙にマウント取ってくるのがいるね
どっかの大企業のシステム屋さんか?
あくまで「試験」スレなんだから
マウント取るのは別の支援士スレで今回の試験は阿鼻叫喚らしいなwwwでやればいいんでないか?
白書読めとかそういうのは受験者として既に分かりきってると思うし熟読してる人もいるだろ
色々手を尽くして納得できなかった結果を「お前は何も勉強できてない。プロ失格だ」呼ばわりするのは如何なものかと >>440
自分が解けて他の人が阿鼻叫喚だから気持ち良くなっちゃってるんだろ
主語が大きくなって失礼を承知で言うがエンジニアとか技術者って本当そういうのが多い
俺がエンジニア辞めたのまさにそういう理由だし
そういう性格なら友達も居ないんだろうし生暖かい目で見てあげて どのように紐付けするのか30字でって問われてるから、取り方と紐付けまで書かないといけないと思う。
リバースブルートフォースは自分も最初思い付いたけど、サービスにログインできても、そのあと口座番号と暗証番号が分からないと思ってやめた。そこもロック対象だし。最終的にはリスト攻撃と、口座情報はスキミングして得た個人情報からサービス側のアカウント作って紐付けかなあと考えた。 攻撃者のアカウントをどうやって他人の口座と紐付けるかって話じゃないのか 午後2は設問2がハズレみたいだね
問題を見て知らない単語ばかりだったから避けて正解だったわ >>443
だね。wwwとかつけてくるのはロクなのがいないしウチの会社にも言動でそういうエンジニアがいるわ
社員からユーザーから嫌われてる。
反面教師として捉えておく (オッペケ Sr8b-qzCI)
クズってこいつか >>380
マジレスするとレンタルサーバー借りて試験対策のアフィブログ作る >>440
えっw待ってwww
別に勉強不足だった!ヤマが外れた!というただの勉強不足にはなんとも言ってないけど?w
HTTP問題を出すな!とか、こんな内容どこにも書いてないぞ!とかは明らかに“真面目に”勉強した受験生に対して無礼なクレームに対して見るべきところを示したに過ぎないけど?www ニッチな領域で知識問題が多いのはどうかと思うよ。そのために午前Uの枠があるんだから、過去問の流用ばかりしてないでそこをもっと作り込めよと思う。午後は考え方とかをアプローチを問うことに特化した試験にしないとどんどん運要素が増して資格が廃れる。 ニッチな問題出すならせめてシラバスでもっとスコープを狭めてほしいわ IPAの総評が楽しみだね
〇〇は正答率が低かった。基本的な技術なので知っておいて欲しい。
とかって書かれそう
銀行口座の紐付け問題は何が聞きたいのかわからんかったわ デベロッパ寄りを避けて推理ゲームに近い感じで「ヌルゲー」だろと舐めてかかって、
やられた、という感じなのだろうか。今回の問題を鍛えても対策になるかどうか。
>>436
それにした。 銀行口座の問題は、ドコモ口座問題を参考に作ったんだと思う。 >>35
同じく・・・
試験中に監督員の女が用を足すときに水を流さなかったので
「ジョボジョボ・・・」っていう音が教室まで聞こえてきた。
興奮して、集中できなかった・・・ PayPay、YouTube、Twitter、QNAPの中の人なんて日本じゃ少数だし
ここらへんの人たちは自前のルールがあるだろう
情シスのセキュリティ推進という資格創設の目的からずれてるよ >>459
QRによるIoT通信もサービス間のAPI連携も国策で推してる産業イノベーションの中核技術ですけど?w 今更になってサボったことを後悔している
日曜は11時間眠っちまったよ・・・ >>460
あなたひとりだけ論点ズレてますよ。
そもそもこの資格はITと全く関係ない事業やってる会社の情報システム部門の人も取得を目指すような資格。それなのに急に開発者向けに振ったら資格が廃れるって話。
日本全体でアプリ開発者なんて1%いるかいないかなんだから、そこのセキュリティに関する試験じゃなくて、某アニメーション会社や車系、電気系で発生したようなインシデントから何を学び、如何にしてセキュリティを担保するか、それのための支援士だろ。
どこどこに書いてあるから云々とかじゃなく、そもそも資格の軸がブレてるねっていう話をしている。 >>462
開発に関する専門知識が必要なことは“明確”に記載されてるわけだけど、君の出してほしい問題はどこに書いてあるんだい?w
https://www.jitec.ipa.go.jp/1_11seido/sc.html
1.対象者像
サイバーセキュリティに関する専門的な知識・技能を活用して企業や組織における安全な情報システムの企画・設計・開発・運用を支援し、また、サイバーセキュリティ対策の調査・分析・評価を行い、その結果に基づき必要な指導・助言を行う者
2.業務と役割
情報セキュリティマネジメントに関する業務、情報システムの企画・設計・開発・運用におけるセキュリティ確保に関する業務、情報及び情報システムの利用におけるセキュリティ対策の適用に関する業務、情報セキュリティインシデント管理に関する業務に従事し、次の役割を主導的に果たすとともに、下位者を指導する。
(1) 情報セキュリティ方針及び情報セキュリティ諸規程(事業継続計画に関する規程を含む組織内諸規程)の策定、情報セキュリティリスクアセスメント及びリスク対応などを推進又は支援する。
(2) システム調達(製品・サービスのセキュアな導入を含む)、システム開発(セキュリティ機能の実装を含む)を、セキュリティの観点から推進又は支援する。
(3) 暗号利用、マルウェア対策、脆弱性への対応など、情報及び情報システムの利用におけるセキュリティ対策の適用を推進又は支援する。
(4) 情報セキュリティインシデントの管理体制の構築、情報セキュリティインシデントへの対応などを推進又は支援する。
3.期待する技術水準
情報処理安全確保支援士の業務と役割を円滑に遂行するため、次の知識・実践能力が要求される。
(1) 情報システム及び情報システム基盤の脅威分析に関する知識をもち、情報セキュリティ要件を抽出できる。
(2) 情報セキュリティの動向・事例、及びセキュリティ対策に関する知識をもち、セキュリティ対策を対象システムに適用するとともに、その効果を評価できる。
(3) 情報セキュリティマネジメントシステム、情報セキュリティリスクアセスメント及びリスク対応に関する知識をもち、情報セキュリティマネジメントについて指導・助言できる。
(4) ネットワーク、データベースに関する知識をもち、暗号、認証、フィルタリング、ロギングなどの要素技術を適用できる。
(5) システム開発、品質管理などに関する知識をもち、それらの業務について、セキュリティの観点から指導・助言できる。
(6) 情報セキュリティ方針及び情報セキュリティ諸規程の策定、内部不正の防止に関する知識をもち、情報セキュリティに関する従業員の教育・訓練などについて指導・助言できる。
(7) 情報セキュリティ関連の法的要求事項、情報セキュリティインシデント発生時の証拠の収集及び分析、情報セキュリティ監査に関する知識をもち、それらに関連する業務を他の専門家と協力しながら遂行できる。 >>463
だからどこに書いてるとかじゃなくて、これまでの試験の内容的にそうだったし、世の中の需要的にもそうだろって話。まだ開発向けの単語問題を午前Uで出すなら分かるよ。今回みたいに午後問でそこを知識問題として合否に関わる割合で出題し始めたらみんな受験しなくなる。 >>424
「リバースブルートフォース攻撃」「パスワードスプレー攻撃」の2つかもね >>464
これまでそうだったから!なんてセキュリティエンジニアとして最も考えちゃいけないアンチパターンだよね?w
それに世の中の需要はITオンチのユーザーと下請けエンジニアの壁を取り払って、全ての業務を内製化する開発体制な訳で、動きの速い小売業界や自動車業界じゃ実際に子会社ITを本体に吸収してるトレンドがあるわけだけど?w
こんなことすら分からんとは試験受ける以前に業界人として失格だわなw >>467
会話にならんから控えるけど、人として失格よりマシ >>467
受験者の意見でなく、IPAがどう思っているかが問題では?
今後の出題動向で明らかになるとおもうけど まぁ、そうやって人を小馬鹿にするような人に頼みたくもなければ聞きたくもないよ
失格なんてもってのほか
一気に資格に対しての気持ちが冷めたわ
こんな人ばっかりなんだね 午後2問2で配点予想してみた。
記号は3点(複数選ぶときは2点)
単語は4〜5点
文章は8点
問題数が多いから文章以外はいっぱい間違えてても影響少なそう
設問1
(1)5
(2)5
(3)5
(4)8
(5)8
設問2
(1)8
(2)8
設問3
(1)3
(2)3
(3)5
(4)2×3
設問4
(1)2×3
(2)3
(3)2×2
(4)3
設問5
(1)2×3
(2)3
(3)3
(4)4×2 プログラマこそセキュリティ知識持ってるとは限らないんだから
安全確保支援士が知識持ってなきゃダメなんじゃ無いの? 午後1の問題を広い分野で解かせた方がどのぐらい知識をカバーでてきてる分かりそうだけどな
午後2は掘りすぎてて当たり外れがでかい これだけ午後の苦戦報告多いなら下駄はかせも期待できそうだな 苦戦以前に途中退出者が多かった
午後U開始までに3割以上減ってて心が折れそうになった 午前Uをもっとトレンドな問題にすればいいのにね。あれもう過去問暗記ゲーになってて機能してない。
午後はせっかく記述なんだから知識問題じゃなくて与えられた状況から考えさせる問題でいいと思う。 ワンチャンもないやつはもう秋に向けて勉強始めてる? >>474
日経ネットワーク薄くなったよね
前は連載記事豊富だったのに >>480
それでも合格発表あるまで手がつけられない 知識の復習だけはしたけど >>480
回避してたセキュアプログラミング、秋までにがんばってマスターしたい >>35
>>458
終了時間間際で「これからは退出出来ません」は
ラストスパートに水を差さないように
気を使ってくれていると言うIPAの親心って事だな >>479
午前2に関してはSCだけじゃなく他の高度も5〜6割は過去問からっていう同じスタイルだし
午前1や応用もそこらは同じだね 同じ内容で使い回すにしてもせめ不正解のパターンを変えるとか数値を変えるとか
前回は間違っだったやつが正解になる質問に変えるとかいろいろやり方はあると思うが
頑なに一言一句そのままで選択肢の順番変える事すらしないのは謎 >>475
まだ廃刊していないのか
なんつー粘り腰だ もう次はCISSP目指そうぜ
こんな日本の資格で満足するなよ これで HTTP の対策しても、秋の試験は物理セキュリティ対策だったり社内ポリシーの改善案だったりして梯子はずされるかもしれんしなあ。
つまりどんな球が来ても打てるようになれってか? 個人的印象だけど、支援士の午後2は専門技術+読解+短答記述と論述、両方から選択できるようにするのがいいんじゃない?と思う
この資格自体はマネジメント畑の人も対象ではあるっぽいし なんかさ、資格分ければいいのにね
開発の知識求められるのも俺はいいと思ってるけど、そういうの触りたくない人もいるだろうし
そっちの人向けのも作ってあげればいいよね 広く深掘りするにはまた教科書ぜんぶ読みなおなさいかんのよね さらっとだが大昔の過去問見たが今よりだいぶテクニカルで文系お断りな感じなんだよね
その頃に戻るだけだし、今回以降もこの傾向は続くんじゃないかと思う
まぁ登録者純減だしテコ入れだろうね
やっぱり世の中の人が求めるITセキュリティ専門家像っていうのは広く浅くIT技術に詳しい人だろう >>500
先やね。モヤモヤする(´-ω-`)
秋に備えて日経ネットワークとか読んだ方がいいのかな。
読んだことないけど。 午後U問2の記号部分の確定版がほしい
ここと過去問道場じゃみんな回答バラバラ
記号なんだから有識者の答えは割れないはずなのに 今回難しかったんだな
前回受かっておいて良かったわ >>507
ITECとTACの回答がおおむね一致すればそれが公式解答となるぐらいには 去年はほとんどブレなかったな
ホント言い回しぐらいでほぼほぼ公式解と一緒だった そういや日経ネットワークはあるけど日経セキュリティってのは未だにないのか 日経ネットワーク 最新号 2022年4月号
特集1 基礎から学ぶTCP/IP
特集2 MACアドレス14の謎
ビギナーズクエスチョン
・PowerShellって何?
イラストで学ぶ ネットワークキーワード
・ルーター 異なるネットワークをつなぐ中継器
うーん、いらん・・w >>508
>>509
ありがとう
精度はなかなかよさそうだね 前回のTACはこれじゃ受講生へるんじゃねーのみたいな答案晒してたぞ
問題:認証器なくしたらどうする?
模範解答:アカウントを無効にする
TAC:がんばってさがす APの午後の4択問題でITECとTACの回答が割れてどっちも不正解だったこともあるし公式が来るまで何があるかわからんね
名だたる先生方でも意見が一致しないような問題は左門先生からいつものように聞き方が悪いと言ってほしい 「ポケスタだけで合格した。」「SCなんて国語の問題やん。」を排除したら、
マルウェアインシデント中心に過去問をじっくり回していたガバンナス管理職が退場になりましたとさ。
早めに合格しといたらよかった。まさにモタモタしたらヤラレた。 noindex答えられなくたって他のところでカバーして合格できるでしょ
「○○インジェクション書けない」とかいうわけじゃあるまいし(論外) 今回初めて受験したんですが、知らなきゃ解けない知識問題が多くて、事前に想定していた問題と全然違いました。
上原本を2周+7年分の過去問2周したんですが、特に午後2はほとんどわかりませんでした・・・
ただ自己採点してみると、次回は午前1が免除になる予定なので、また秋に向けてがんばります。 ストレージの保守サポートやってた身としては、セキュリティパッチ適用忘れてランサムウェア感染したお馬鹿さんなユーザー会社のケースは結構リアルだった
その後どうクロージングしたのかがまったく書かれてなかったけど、そっちの方が気になった 次回受ける人は午後対策として教科書ちゃんと読み込んで
認証のフローとかをしっかり把握しておけぐらいだな
過去問回すだけじゃだめだな >>519
SAMLもOAuthも直近の過去問で出てるけど?w >>520
ほんとだw
知ったかぶりしちゃったスマソw 昨年秋試験で応用情報合格した勢いで申し込み、そのままほぼ無勉で受験。
午前2は鉛筆転がしてギリセーフだったけど午後は厳しかったなぁ。
まぁ勉強不足のまま運良く合格しても仕方ないんだけどね…… 過去にセキュリティスペシャリストを持っていた基盤屋です。
率直に昔(2014年)よりも難しくなってると感じました。
特に今回の午後Tは基盤屋には厳しかったです。
午前T 27/30
午前U 22/25
午前T 50〜60点
午後U 60〜70点
午後T
問2
設問1
〇(1)ア、エ
△(2)インターネット側からファイアーウォール機能が変更される問題
△(3)一般利用者がアクセスできないディレクトリ配下のファイルも暗号化されていたため
設問2
〇(1)ディレクトリトラバーサル
〇(2)OSコマンドインジェクション
×(3)ア、イ、ウ
設問3
〇(1)Postの場合はURLにリクエスト内容が表示されないため
×(2)ファームウェアのアップデートはrootアカウントで実施し、tarのオプションは使用させない
×(3)Private
問3
設問1
〇(1)イ、ア
設問2
△(1)不正入手した銀行口座の氏名を使用してアカウントを作成する、成功するまでパスワードを繰り返し変更する
△(2)証明写真
〇(3)ウ、イ
△(4)署名用電子証明書の有効性
△(5)ランダムな数字をハンドジェスチャーで示した写真を写
設問3
△(1)攻撃者にスマートフォンを盗まれた場合
×(2)普段と違う場所や時間帯からの利用を検知し追加認証させる機能 続きです。
午後U
問2
設問1
〇(1)キャッシュ
〇(2)DDos
×(3)Send
△(4)Y社Webサーバのキャッシュを保持するCDU-Uのキャッシュサーバを共用しているWebサイト
△(5)宛先IPアドレスから逆引きしたFQDN
設問2
△(1)STの検証はGrWサーバで実施されるため
△(2)STを持っていればID・パスワードの認証を経ずにログインできるため
設問3
×(1)ウ
〇(2)ア
〇(3)改ざん
〇(4)1,3,4
設問4
〇(1)ウ、イ、ア
×(2)エ
×(3)2,5
〇(4)ウ
設問5
×(1)オ、エ、ウ
×(2)8
〇(3)イ
×(4)トークン応答、動画の概要の投稿 >>40
今更ながらデータウェアハウスは平成27年秋の問21で出てたわ 午後1問3ラスト問題だけど、
クレカとかでよくある、いつもと明らかに違うカード利用があった場合に利用を保留する仕組み
について回答したのだけど、脈ありますか? >>480
Web技術の基本というタイトルの本を
アマゾンで購入済み
本日より読書開始だな >>529
あれは読み物として面白いが試験対策にはならんぞ
というか深みにハマるだけなので読み物として終わらせておくんだ そんなに難化したんか?パッと見た感じだとあんま違いがわからん。
難度に関してはまいど意見がわかれるから様子見が吉。 難化というより午後Uの設問2だけが難しかったみたいだよ
設問1は文章を書く回答が多かったけど内容は「脆弱性の情報を収集してなかったから脆弱性があるライブラリを使ってた。その再発防止策を答えよ」程度の内容だったし 受験料上げて受験者数が減るから、
数回受けてもらってから合格できるような難易度に上げたならお笑い草だよな NWから来ました
秋にSC受けるのですがおすすめの参考書教えてください >>535
高校の現代文のテキストと問題集
わりとまじで >>530
そういう情報助かります!
免疫付ける程度のスタンスで読みます! >>535
NWの基礎知識あればベースは問題ない。過去問集で10年分解く、あとはセキュリティ白書とか読んで山を張る。3回くらい受ければ合格するかと。 秋に受けるけどとりあえず今月号から日経ネットワーク買って読んでみようかな 情報セキュリティ白書2022欲しいけど出るの7月かよ。。 日経ガイジあれからずっとグダグダ噛み付いてたのか
そこまで自信あるなら解答晒せば良かったのにね 20代は維持費かからないとかにしないと、この資格は流行らないよな。士業だけど何かが出来るわけでもないのに3年で14万って。初めから学生お断りしてるようなもんだし本当に国は増やす気あるのかな。 ただ幅広くアンテナ張っておかないといけないのは間違いないと思う。
noindexとか出す意図はそういうことよね 採点の基準に設問の相関を見るとかってあるのかな
例えば全体的にこの人は理解してそうだっていう解答だったら甘めの採点するとか
この人はあんまわかってなさそうだから全体的に辛めにして部分点少なめにするとか
採点は人がやるからそういうのありそうな気がするんだよね でも、WAFとか使ってWebアプリ防御したりするなら、これくらいの知識はあるべきなんだろうなと思ったわ。
ちゃんとテクニカルな面も知っておかないとこの資格は名乗れないわな。 robot.txtとかでまとめて設定するから、すぐに思い出せないんだよな >>484
確かに。
毎度、あの時間帯は最後の設問の2問くらい残っててラスボスと格闘してる時間帯。
正直、「あと10分で・・・」のアナウンスすら、止めて欲しいと思う時がある。
焦りが倍増する気がする・・・ 方針変えるなら次も同じ路線にしてほしいわ
範囲・難易度を変えるのは支援士の価値が定まらなくなるからやめて 難易度はともかく時代に応じて要求範囲が変わるのは必然かな。
更新なし資格なんて取得時点での知識量を測るだけで永続的に評価されるものでもない。 まずnonce値を生成し○○に含めて送信します。次に送られてきた○○に含まれるnonce値を検証することで。
午後2問2のラス問のこれ何が正解だったん?各10字 nonce値は
HTTPリクエスト
HTTPレポンス
もしくは
トークン要求
トークン応答
かな? 午前U、午後Tが余裕の点数で
午前Tと午後Uで落ちた。。
1回目受験でこれなら、いつか合格できるかなあ 書店で日経ネットワーク見たけどうっす!
これで2000円かよ。。 アイテックで午後1の解答速報出てたけど
問1設問2の(3)がア Connection って本当?
ウ PreparedStatement じゃないの? >>549
これだな
同じ試験やってんのに年によって問題の傾向がここまでブレていい訳が無い
ただの問題ガチャになってしまう 貧弱な学習コンテンツしか提供できないのによく3年で14万円なんて強気な値段設定できるな >>558
当初はもっと高かった気がする
それだけ金取って支援士になるメリット未だに0ってのがなんともIPAだなって感じ connectionにsetintなんてメソッド持ってないからアではないよ IPAさんメールヘッダインジェクション対策は改行コードだけではなく制御コードの削除も正解にしてください
IPAのサイトにも制御コードでも良いと書いてるので >>562
問3の回答で「他人の口座番号と暗証番号を推測して入力する。」ってあるが、これでいいのか… >>562
ログインすれば配点予想付きのも手に入るぞ アイテックので採点してみたら60点以上ではありそう
だけどニュアンスは合っているけど違うやつが多くて安心できない…
午後2も早く公開してくれー ITEC、connectionとpreparedstatement間違えとるやん。 アイテックもリアルタイム確認が「紙で書いた数字と一緒に自撮りする」なのかよw
IT後進国にも程があるだろ日本w
それこそ写真盗まれて数字書いた紙の画像合成されたら何の意味も無くないか…? アイテック基準だと午後1問2が2割問3が9割って所だわ
合計で6割届いてりゃいいが 午後1の回答です。忘れている部分もあるため、こんなニュアンスで書いたという
感じの回答を掲載します。
通過できていますかね??
午後1-問2
設1
(1)a)アb)エ
(2)インバウンド通信を全て許可され侵入されるリスク
(3)Web操作機能でもアクセスできないroot配下のファイルが暗号化されたため
設2
(1)ディレクトリトラバーサル
(2)OSコマンドインジェクション
(3)イ、ウ、ア
設3
(1)Postは、リクエストURLにコマンドが記載・表示されないため
(2)許可されていないオプションの場合は処理を停止する
設4
分からなかった。
午後1-問3
設1
イ、ア
設2
(1)他人のIDでログインして〜
(2)-
(3)ウ、イ
(4)署名用電子証明書
(5)タイムスタンプを付与みたいなことを書いた
設3
(1)スマートフォンを盗難された場合
(2)Qアプリ起動時に、生体認証にによって起動を行う。 >>567
他人の口座番号と暗証番号を推測して入力する
超能力者かな 何かIPAもこういう変な解答例出してきそう
回答が抽象的過ぎて部分点あるのかないのかわからない >>575
確かに暗証番号はまだ分かるとして口座番号推測はやべえw どちらかというと参考書はITEC信者だけど
二日たってから、会社としてこのクオリティの速報出すって
なかなかヤバくないか? ネスペの方でもTTL:43200は何分だの問題で72分とか出してるし
iTECさんも大変なんだね >>572
実際に警察が推奨してるって引用元が示されてる訳じゃん スマホって盗難されなくても他人が操作したらダメだろ アプリの生体認証ってよくIPAの回答にもあるけど、実際のアプリで生体認証だけってある?
パスワード認証とかとセットで生体認証でもいけるみたいのしか思い浮かばんのだけど 結構別解があり得る聞き方してるせいで答え合わせも捗らないね。
iPAが用意した答え以外は無理矢理減点してきそうで怖い。 where句に情報番号とプロジェクトid指定する問題、予想配点10点か。。部分点なさそうだしこれ落としたの辛いなあ >>584
公式解答例かITECかTACのどれかと同じ程度でオケー
6割取れればいいんだからさ >>562
情報提供多謝
noindex以外の穴埋めが正解しとるな
が、記述問題がやはり微妙過ぎる
何だかんだで、過去問を多少弄ったような
回答になっている感がある >>551
下にもあるけど、リクエストとレスポンスだと
問題文の穴埋め部分と合致しそうだな 午後2の最後の問題wとxでリクエストとレスポンス反対に書いてしまったかもしれん・・・
解答の写し間違いであってくれ・・・ 午後1、Itecの解答例だと、6割は十分超えてそう?
もしかしていける? リクエストとレスポンスとか言ってる奴はセンスなさすぎ
急に問題文に沿ってない一般的な言葉がハイルわけ無いじゃん
それで正解なら送信データと受信データでも正解になるわ >>591
マジか
ならワンチャンありそうなんだが 紙に数字書いた顔写真で会員登録てさらって言うけど、ユーザ目線でどうなん?
登録されるのが無精髭、すっぴん、パジャマ、背景ごみ部屋はやだよね。
直ちに送信しろってことは女性なら事前にきちんとした格好に着替えてメイクしてから手元に紙とペンを置き会員登録作業開始。。そんな使い勝手の悪いサービス売れんぞ。 itecさー、「他人の口座番号と暗所番号を推測」って5回間違えたらロックするって前提無視すんなよ。
リバースブルートフォースだろ。
itecよりお前らの方が点取れてそう。 >>593
“警察の推奨方針”を答えよっていう問題なわけで、別にユーザー体験の話は聞いてないから 5回でブロックはリバースブルートフォルス対策にはならんよね。 >>594
仮にリバースブルートフォースでサービスにログインできたとして、そこから更に口座番号と暗証番号わからない状態でリバースブルートフォースするってこと? いまいち分からん問題なんだよな
攻撃者のアカウントに紐付けるわけだから口座番号と暗証番号だけでいいのかと思いきやアカウントの名前を銀行側が確認するみたいな文言あるし 私も勘違いしてたけど
アカウントの名前と口座の名前の一致が必要なら、口座番号を総当りするリバースブルートフォースは意味ないんだよな。 >>593
ネット銀行開設とかクレカのオンライン申し込みとか普通に部屋で顔写してUPするよ >>536
>>538
ありがとう!ネスぺと一緒でSCも国語力なんだね 口座情報、氏名、生年月日などは不正に入手した前提で、サービス側のアカウントを後から作成して紐付けすることを言ってるんだと思う。
となると口座情報等を取れる手段は、物理的に入手、フィッシング、あとはリストしかないと思う。スキミングは氏名や生年月日まで取れない気がするから微妙。 俺、1個は⬇の感じにした気がする。
不正に入手した生年月日等の情報処理から暗証番号を推測して認証を試みる 午後1の問3の最後のやつ画面を表示する意味でアプリ起動時て書いたけど
アプリ起動て書いたらログイン前の意味だよなぁ
日本語力ないわー >>605
これ確定だな
1不正に入手した口座番号暗証番号でログイン
2リバースブルートフォース攻撃
あーあ、落とした ワイの解答
1偽サイトを作って入力させる
2ATMの操作を覗き見
あかんでこれほんまに >>611
1はフィッシング詐欺そのものだから俺なら部分点で8割やる。 >>572
顔を正面から横を向き、そこからさらに上を向かせる >>609
AQサービスにログインした状態を保持することにした上で〜
なので、ログインはしてる。
画面ロックなしかつログイン維持状態での不正防止策だから、アプリ起動時は間違ってはいないと思う >>605
わざわざ試験問題にすると言うことは
ドコモはRBF攻撃で確定なのかな? >>605
今回の前提条件だとリバースブルートフォースではできない気がするんだよな。リバースブルートフォースでサービスにログインした後に、口座登録Web画面で口座番号と暗証番号が分からない状態で5回以内にリバースブルートフォース成功しないとダメだよね?
それか、銀行側に架空のログインページがあることを想定して、そっち側に攻撃仕掛けてログインできたポータル上から個人情報抜いてサービス側に同じユーザー作る? 午後1問3の最後のやつ、ITEC解答は
「チャージおよび決済時に利用者が選択した方法で認証を行う機能」
ってなってるけど、こんなんでいいの?
何らかの条件でユーザーにひと手間かけさせるような答えはどれも「利便性のためにログイン状態を保持」っていう当初の目的と逆行する気がする。利便性とセキュリティはトレードオフとは言うけれども。「認証を行う」って言ってる時点でログインしなおしてるのと似たようなものだし。
と思って、「ユーザーの通報によりアプリを使用不可にする機能」って書いたけど、ユーザーが紛失に気付いて通報する前に不正利用されたらダメだからこれも違うか。
そもそも決済の時に認証なんてしたら、店員さんに「QRコード出してください」って言われて見せようとしたら認証画面になるわけで、すごくイライラしそう。 >>618
7payの社長がなんで世間から叩かれたのかよく考えてみよう! 何かシンプルに画面ロックを掛けるか、時間制限的なやつなのではと思ったが、遠い解答だろうか。 起動時とか重要操作時に生体認証挟む機能あるアプリとかもう一般的だと思うが >>617
いやいやログインIDに相当する口座番号を変えてロックアウトを回避するのがリバースブルートフォースだから。
名前のチェックは知らん。 ちなみにIPAが出してる情報セキュリティ白書にもドコモ口座のこと書いてあるよ。
dアカウントはメールアドレスだけで開設可能。
本人確認は銀行口座の登録を持って本人とみなしていた。
まさにこれじゃんけ。
書いてて思い出したけど、
ドコモ「銀行側がちゃんとチェックしてんだろ?ヨシッ!」
銀行「ドコモ側がちゃんとチェックしてんだろ?ヨシッ!」
だからリバースブルートフォースでよく使われる暗証番号を軸に使ってる口座番号を探していけば、暗証番号1つにつき1回の失敗でたくさん試せるわけですよ。たしか。 >>605
2つの手法のうち、1つはこれで暗証番号をよくあるやつに設定して、口座番号を変えまくる方法
もう1つはカードの「所持」がなくても「記憶」だけで認証が通るのが問題って文脈から、盗み見てしまえばOK系の解答(偽の入力サイトで入力させる、物理的に入力するところを直接盗み見るなど)
で良さそうだね Qサービスで他人の銀行口座とのひも付けを成功させる方法を答えようとしてる人と
単純に一般的な他人との銀行とのひも付けを成功させる方法を答えようとしてる人で食い違ってそうだな >>617
そもそもサービスアカウント自体は攻撃者が他人の名前で作る前提でしょ そもそも、Qサービスのアカウント作成に、氏名の他に生年月日も要求する癖に、銀行口座を紐づける時は銀行には氏名しか連携されないってのがよく分からんって思ってた
リバースブルートフォース攻撃も、他人の名前と暗証番号を固定して、口座番号のみを総当たりで変えるの確度低そうなんだよな
でも生年月日が連携されないのをヒントだと考えると、口座番号の総当たりも十分答えになりうる気がしてる 良いセキュリティ啓蒙が出来たと
IPAの中の人がここ見てニヤニヤしてそう リバースブルートフォースするにも氏名と口座番号のリストを入手しておくのが前提でないと間違いだな
使い方を理解していないと見なされるだろう >>606
秋がんばw
今回はボロボロ脱落していくなwww ITEC解答速報通りなら午後1までは通過。鬼門は午後2の問2だなぁ。
次回、今回みたいなHTTP開発・技術系になるのか、
前回までのネットワーク設定&インシデント運用管理になるのか、
傾向がまるで読めないから勉強しづらいんよ・・・ connpassで春の解説やるから登録したら7月かよ >>536
同感。
基本的な問題集で十分なので解いてみることをお勧めしたい。
問われていることを勘違いすることが減るよね。
仕事でも役立つ。 >>636
同感良かったです
NW→SCの場合は基礎知識持ってて単なる国語の試験になるから、無勉でもちゃんと問題が読めて問われてることが把握できたら答えられるはず
私もそうだったけど、やるとしても前日に午前2問題の過去問チェック程度かな? >>589
あるあるだな
前々回、IPとMACを互い違いに書いて
轟沈したわ なんであると思ったのか、30字以内で具体的に理由を述べよ。 おまいら試験終わって今まで勉強してた時間ナニしとるん? Webを支える技術とか言う本読んでる
次でこのスレから抜け出したい ワンチャンあると思ってPMの勉強始めた
落ちたらSCやり直しや 今から勉強はやめとき6ヶ月モチベーション維持はつらすぎる。
2,3ヶ月前からエンジン掛けたほうがいい。 6割相当の手応えはあったのに午後IIの記号が全滅でオワリかな。良いとこ50点
いっそ午後Iで落ちてたら諦めがつく >>641
仕事してるよ。
資格を持っていても仕事ができないと話にならないだろ。
来年は若き管理職さ。 >>650
登録したら見れる配点予想付きのも公開された 午後2は6割はいけたな
Hostをhostって書いたのは部分点はあると思ってる >>650
問1
セッションIDとユーザIDかよ
セッションがわからず利用者AとBにしたよ。
ダメか… 俺も小文字で書いたけど、HTTPヘッダフィールドは大文字でも小文字でもいいらしいから○になると思う 問2設問1(2)、DDosかあー
DoSって書いたんだけど、DoSだと×なのか?間違いとは言えないと思うんだけど >>654
ありがとう
あとはTACで全然違う解答が来ないことを祈る 午後1さえ通れば午後2は余裕だわ
問1は当たりで簡単だったから逆下駄がコワイけど iTECの速報だと半分は一致したけど6割には届かんか…
痛ええええええ >>657
なんか下駄はもうなくなったとか聞いたけど 午後II問1の(5)だけど、駅名非存在がわかった時点でP社宿泊サイトに照会をかけないと書いたけどアプリ目線ではそうかもしれんがCSRF目線では題意を満たした答えではないよな。
とりあえずV氏が用意したサイトは合ってたが… クリックジャックの透明パネル配置が痛えええ
冷静に考えれば誘導画面が裏で可視なんてそれ以外にねーじゃねーか泣泣泣 今回も午後1は余裕だけど午後2か半分ぐらいだ
何したらええんやろ 午後2問2選択でアイテックの解答通りなら選択と短答で48だ
結局記述取れてるか次第で全然安心できない…
>>655
一回DDoSって書いたのに何故かDoSに書き直しちゃったよ… 俺が受験した時は、午後1がTACの模範解答で32点。でも実際の結果は62点だったから、TACにしろ、民間の模範解答の配点ってマジで参考にならんよなぁ。 午後1が6割で午後2が8割くらいだー。
あー2ヶ月間もやもやするー。 問1
アアアイイイをイイイアアアに変えなければ良かった。。
痛いな 午後1 56点くらい
午後2 70点くらい
下駄が欲しい >>673
マジで逆下駄だったよ。
そもそも過去問が全然解けなくて、もちろん本番(特に午後1)も全然解けなくて、諦めの記念受験だったから、合格して喜びより驚きの方が勝った記憶がある。
自慢みたいになってすまん。 午後1は思ってる点数のプラス10点と言われてるけど30点はスゴイな マジな話、現職者でなくて午後一や午後2対策って、何か実際のPC使ってやってる?
それともTACやITECの講座頼み? 配点が実際は択一問題が高くて、
記述問題が低いってこと? 合格率を調整するために正解率の高い問題は下げられ、みんなが不正解してる問題の配点を上げたりするからなあ。自己採点6割強あっても58とかで悲しい思いする。7割あればほぼ確実かな。 わい、問3の配点が低いことをただ祈るのみって感じか >>679
そんなことしないで公開されてない配点で順位つけて合格者に60〜100点を割り振ってるだけじゃない。 >>666
俺もDoSに書き直した。
DDoSとは限らないだろうと… 午後1問2設問1(3)
itecの解答だけど、/rootにPCからアクセス出来ないってどこから読み取るの? >>685
問題冊子10Pの最初に書いてあるこれじゃない?
>ファイル共有機能でもWeb操作機能でもアクセスできない/rootディレクトリ配下 むしろDoSが適切。
わざわざDつけるならDRも有りだしSmurfも有りになる。
文脈的にはどれでも正解だろうけど。 >>686
やっぱりそこか。
気になったのが、その2つは一般利用者権限だってこと。管理者権限のweb管理機能ならアクセスできないのかな。 >>688
rootって管理者権限のことなんだけど… >>688
Web管理機能でNASの設定変更はできるが、ファイルの操作ができるとは書いてないね
イメージ的には一般権限+管理者権限なので、ファイルの操作も出来ると思うけど。。。 Host じゃなくてSNI ヘッダーだと思うよなぁ >>693
問題文には「/rootディレクトリ」って書いてますよ
ここで指しているのは権限の話ではなく、ディレクトリの話と私は読み取りましたが
後で出てくる権限の話では「root アカウント」って分けてますし 午後2、50後半か。。。
前回午後1で敗退して、今回はそれなりに勉強して戦えたのは良かったが、くやしいな 午前1、18/30の正解率60%だったんだけど、配点は均等なのかな? ヘッダなんてひとつもわからなかったから、適当に問1を見てたらHostってのがあったからそれを書いてみたら正解しててワロタ >>696
均等だと小数点以下が発生するけど、そんな点数の人を見たことないから、3点と4点があるんじゃないかな >>694
>/rootディレクトリ
root専用なんですよ、そこ。 >>694
ファイル共有機能でもWeb操作機能でもアクセスできない。ってだけでPCの可能性排除していいのかな >>699
/はroot専用だと思いますが/rootってあるんでしたっけ?私は解答欄には”/rootディレクトリ”とは書かず一般利用者アカウントがアクセスできないディレクトリ”と書きました。間違ってたらショック大。 >>700
「可能性が高い」だからこの時点では他の可能性は排除してないよ >>698
それなら小数点以下を四捨五入じゃないのかな >>706
問題文の中から答えを探す試験だからなw
ちゃんと全部の問題文をよく見よう >>697
持っていやがるな
同じく、山勘でBase64urlが当たったわ
ギリで合格すると、喜びもひとしおだな >>708
確かに"問題文"をきちんと確認できてなかったw
時間余ったからって途中退席してる場合じゃなかったw >>696
1問3.4点の102点満点だったような。 >>309
「GitHub」から非公開リポジトリなどのデータが流出 〜「npm」にも被害
「Heroku」「Travis-CI」発行のOAuthトークンが盗難・悪用される
https://forest.watch.impress.co.jp/docs/news/1404282.html
午後ボロボロでOAuthのセキュリティ対応するよりインフラのセキュリティだろと批判的だったけど、
これ見て少し納得した
分析した結果、セキュリティ事故起こしてるのはインフラ屋ではなくアプリ屋だったってIPAも気付いたのだろう 認証絶対でると思ってやったから、午後2かつて無いほど点取れてたけど
午後1で落ちてる臭いので悲しい……
午後1毎回80点超えてたから完全に油断してたわ rootは「webからアクセスできない〜」とか書かなくて
インバウンドはインバウンド通信とはわかりつつ「インターネットからアクセスできる〜」
みたいに書いたけど許されないかな? >>701
linux未経験ですか?
この設問はlinuxサーバの話なんですよね。
>>718
>みたいに書いたけど許されないかな?
誰も答えられないと思いますよ。 この試験はlinuxの知識も必要だよな
午後1のコマンドはオプションを禁止できるなんて知らなかったわ >>722
社内システムとかだとWindowsのところも多いんだろうけど、webにおけるサーバーってLinuxと同義だからな >>720
PCからNASに横展開したなら脅迫ファイルはまずPCに表示されると思うけど
そういう記載はないし。NAS内に脅迫ファイルがある。って言い回しからNASオンリーと考えられないかな
的外れだったらごめん >>572
IT先進国はどうしてるのか知りたいのではよ 口座番号と暗証番号が分からない状態で認証5回ミスるとロックされるのにリバースブルートフォースが解答になるのは解せぬ。 午後Iの記述は色々だけど、記号選択は完答の場合はどれくらいの点数が稼げるのだろうか。 アカウントロックアウトされるわけじゃなく
わざわざ"当該口座"との紐づけができなくなるって言ってるから、
他人の名前のアカウントで任意の銀行*口座の組み合わせを試行することは
容易に見えるし、まさにこれを答えるように誘導しているようにすら見えるけどな。 どうせ上位20%弱しか合格させないのであれば午後の問題選択式やめて全部答えさせて上位何%合格ってやればいいのに
ここでは簡単扱いされている午前1や2でも通過率は6割程度なんだよね 午前2は80%以上通って
午後はそれぞれ55%ぐらいが通ってるぞ >>730
記号の配点結構しょっぱいよ特に最近は
基本的に記述が的を得てないとアウトっぽい ここいつも思うけど答えも晒さないでマウント取ってるガイジは何なんだろうな 応用情報ではsiemがでたらしいな
こっちも次来るで 午後2問1
記号の選択問題がほぼ壊滅
知らないものは解けない(涙目
記述問題は最後の設問6(4)
トークンと結びつけるところまで思いつかなかった。
こんなことを答えたわ。
フレームワークが用意しているテンプレートを用いて定
数を埋めるなど動的プログラミング処理を行う機能
うーん6割に届いてほしい。
合格しておりますように。 午後2 21/27
だった。配点を考慮してもまあいけるだろ。 模範解答を見て気分悪くなった。
試験を受ける人が減るのでは?
顔写真と一緒に手書きの紙ってどうなの?
はっきり見えるの?はっきり書いてるの?陰影は?
自撮でさえ20回位撮影してなんとか大丈夫だったのに。
試験当分受けない方が良いかな。 そもそも手書きの紙と自撮りを実際に実施している所があるの?
どこのサイトか教えてほしい。
顔写真に入れる紙とはどのくらいの紙の大きさ、色、文字なの???
教えてほしい! 試験前に問題と答えが漏洩していると聞いているけど、知っていたら超簡単な試験だよ、この試験。 暗号通貨系の口座とか窓口無いネット銀行ではやらされるよ。数字と顔の自撮り。 >>733
それは試験の趣旨に合わない
知識や技能が一定の水準に達しているかどうかを問われているわけで
比率で決めたら毎年基準がバラバラになってしまって品質が保てない
入試じゃあるまいし >>727
PCに脅迫ファイルがあるという記載がないのは、NASの調査結果しか書いてないから
PCの調査結果は書いていないので、PCに脅迫ファイルがあるかもしれないし
ないかもしれない >>737
登録セキスペさんだろ
>>740
情報が古いわ! >>743
マジックで顔に直接数字を書き込めば問題なし >>744
地鶏エロ画像とか揚げてる女神が住んでるようなとこじゃね?w 犯収法規則の改正において意見公募した際の「警察庁及び共管各省庁の考え方」
https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000180509
15ページに書いてるな。。。
国家試験の解答に5ch方式の本人証明方法を書くのは・・・ってなったから
「数字を入力後に起動するカメラアプリによって写真を撮影」
と書いてしまった。7ページ項番21に近しいこと書いてるし部分点もらえないかな、、、 >>748
過去の結果みると比率で調整してそうだけどな。記述式問題で得点だけで合格判断してたら、合格率が毎回同じような値するになるのは有り得んと思うわ。
簿記の試験の合格率の推移データとか恐ろしい事になっとるよ。まさに試験ガチャ。 >>754
手書きはさすがにないだろうと
同じ回答にした
撮影は当たっているし、半分は貰えるといいなあ >>755
比率ではない。
出題の難易度が極端に想定よりズレていたときに点数調整するのであって
比率が似たようになるのは結果。
仮に記念受験者が増えるとかして受験者のレベルが
極端に下がったときは点数調整はない。 >>739
(4)同じようなこと書いた。Single Page Applicationの説明。
そういうフレームワーク扱った仕事してたので
ただSPAの用語が思い出せなかったのでSPAの内容を説明する記述にしたけど。 >>759
点数調整した結果として比率が同一になってるなら、比率で調整してるのと同義やん。
一定理解度以下を落としたいなら、IPAが想定した点数到達できなかっやつを無慈悲に落とせばいいだけ。 ITECの解答速報で、
問2 設問1 (2)WAN側からPCにもパケットがフォワードされる問題
ってあるが、この模範解答間違ってません?
UPNPはパケットフォワードだけじゃないと思ってます。
問題文に「認証なしでリクエストを受け付ける仕様のプロトコル」と書いてあるし、
「インターネット側からファイアーウォール機能を変更される問題」という回答じゃ点数もらえないですか?
これ合ってれば、午後1ぎりぎり60%超えそうなんですが。 >>763
TACによるとやや難しかったみたいだから、相対評価でいえば60点超えてるかもよ SCに限らず高度は合格率がある程度一定なので得点調整して合格率の調整をしているって認めているのに比率じゃないってどういうこと
絶対評価じゃなく相対評価なんよ 午後1や午後2は偏差値一定以上を通してるんだろうけど
明らかに白紙の人とかは母集団に入るんだろうか 午前2は合格ラインまで解答して、午後に出席してワザワザ白紙で出すイレギュラーは母集団に入れても無視しても全体にさしたる影響ないんじゃない。 >>764
情報サンクス。相対評価の要素もあるんですか。まぢでそれに期待したい。 IPAの試験要綱のP14に書いてありますね。
「試験結果に問題の難易差が認められた場合には,ITパスポート試験以外の試験区分では基準点の変更を行うことがある。」
試験要綱
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/_index_hanni_skill.html#yoko >>754
>>757
仲間がいたわ良かった
ちなみに最近遭遇した認証はカメラアプリ起動してリアルタイムに顔枠の大きさ変わるからそれに合わせて顔近付けたり遠ざけたりしてくれってやつ
ここ2年で証券口座とかネット銀行とか何個か開設したけど紙に数字書いて自撮りはマジで見たことない >>763
俺もインターネット側からの不正なアクセスにより設定変更される、って書いた 絶望的に手書きの数字が下手くそな輩はどうしろと
マジで識別出来んぞ >>763
この問題は特に別解がいろいろあると思う。どう減点するかはIPA次第。 >>772
IPAの事だし何も考えてないでしょ
過去何回もそういうモヤモヤする模範解答あった
IPAの意向を汲み取る所までが高度試験だからなw >>763
私はファイアウォールによる通信の制限機能が無効化されてしまう、とか書きました
そこまで間違って無いと思うので部分点ほしい。。。 インターネットからWAN側にアクセスされてしまう
じゃだめですかね? >>776
ダメだねえ
そもそも公開はされてるサーバだからアクセス自体はされるものだからねぇ
部分点も期待できないでしょう >>775
具体的に書かれているので私よりも正解に近いと思いました。
今日TACの模範解答が出るのでそれを早く見たい。 WAN側じゃない、LAN側の機器でした
まあどちらにしてもバツですね >>775
わたしもそう書きました〜
合ってると思うんですけどね、、 >>780
私は会社が登録費用などを負担してくれないので登録はしません。
講習とか受けてみたいですけどねー 登録は悩むなー
感想見た感じ結構理不尽な試験みたいだから受かってからまた受けたくないわ
試験合格って履歴書に書けるみたいだけど何年くらい効力発揮するのかね >>780
登録してもデメリットしかないから絶対にしない
会社が金出してくれるなら話は別なんだが >>784
理不尽っていうか問題の傾向も難度も回によってメチャクチャ差がありすぎてその内「何年度の春(秋)試験の合格者」っていう単位で資格に価値の差が出そう 合格してしまったら、他人が受けた年度なんかどうでも良くなるから大丈夫。 >>762
受験者のレベルが極端に下がったときは点数調整はない。
合格率も下がることになる。
同じではない。そこ順序変えちゃダメ。 IPA側からしたら1年毎に受験者のレベルが下がったかなんか判断のしようがないだろ。基準点に到達しなかった人数が少なかった時に問題が難しかったのか、受験者のレベルが下がったのかどうやって判断するねん。
受験年齢とかに制限がない試験なんだから短期的にに受験者レベルに大きな変化なんか起こらんよ。長期的な視点では調整が必要だと思うが。 合格率が安定しすぎてるからな
配点で調整してるはず
簡単な問題と難しい問題が大問内に混在してるのはそのため 採点基準はともかく配点すら公表しないのも公式解答が2ヶ月後なのも調整するため以外にどんな理由があるんだ 簡単な問題しか解けてないと自己採点6割超えてても55〜59で調整される。これはマジ。ここには経験者たくさんいるはず。 TAC 解答例でたね。
午後1 問2と3 78点
午後2 問1 56点
部分点無しの辛目
合格しておりますように。 午後1 問2と問3 63点
午後2 問2 51
ダメみたいですね うーんTACのだと午後2はギリギリアウトだなー
合格発表まで辛い。。。 ITECでの採点
午後1 問2と3 57点
午後2 問2 70点
TACでの採点
午後1 問2と3 61点
午後2 問2 70点
単純に正解数÷問題数で計算。途中点なしの辛め。途中点ほしい。 TACは配点まで出ますね。
TACでの採点
午後1 問2と3 辛め採点:52点 甘め採点:67点
午後2 問2 辛め採点:60点 甘め採点:66点
午後1が8点足りない。さすがに途中点で8点はもらえないか。 午後II問2の設問3(4)は
ITECとTACで解答違うね
どっちが正解なんだろう? >>799
午後II問2の設問3(4)のiとjは順不同なので、どちらも正解です。 >>799
失礼、違いますね。先の書き込みはご放念ください。 >>799
処理2の「SaaSからの認証要求であることを検証する」でディジタル証明書を使う想定でITECの「i,j:2,4」のほうが正しいかなと思った TACでの自己採点
午後I 70点
午後II 54点
はああああああああああああ >>803
3と4で使う証明書は同じなので、ITECの解答が正しそうですね。
これにより私は3点下がり辛めだと57点になりました。だめぽ うーん50点台中盤ぐらいかなぁ
甘めに採点でギリかも
まぁ次はいける 今まで合格率高すぎたからな
ここらで引き締めに来たんやろな
下駄は今回は無い 受験1回目
午前1:22/30
午前2:21/25
午後1:45点(部分点なし
午後2:55点(部分点なし
午前免除ついたので次回出直します。 Orz >>816
午後1逝っタ━━━━━(゚∀゚)━━━━━!! TAC基準で午後2 厳しめ62点…
これは発表まで苦しい とりあえず気持ち切り替えてCISSPの勉強始めるわ。また2ヶ月後に戻ってくるわ。アディオス、チャオ! 配点と解答もあくまで例なので合否発表を待て、だな。 午前1: 25/30
午前2: 22/25
午後1: 77〜87
午後2: 76〜84
午後はTACの解答と配点。幅は部分点の有無。
ここ見てると午後1問2と午後2問2が難しそうだから両方回避したのはラッキーだった気がする。 午後IIの問1で、駅名を手入力できないようにする、と書いた方いませんか?
それでもreturn URLは操作できるのでしょうか。 >>825
それだと、不具合でもなんでも結局駅名が見つからないことがあれば
問題は発生するので根本的な解決にならないと思う ツイッターとか見る感じ、記述問題って部分点とか結構もらえる感じか? 記号問題の場合は全部あってないと不正解になる可能性もあるのか >>827
得点となるキーワードがいくつかあって、
そのキーワードが書かれていれば部分点がもらえると思えばいいよ。
部分点は結構あるから記述式は何か埋めておくことをおススメ。
「これは部分点がありますか」と尋ねられても誰も答えられない。
しかしこの掲示板は採点者もそこそ見ているらしいから、
問〇設問▲ こういう理由で自分は正解と考える
くらいはきちんと投稿しておくといいよ。 >>824
>午後1: 77〜87
>午後2: 76〜84
スゲー >>824
これは午前の得点もすごいね
だいぶ勉強したんじゃない? 過去の経験から推測して記述式の部分点は有るね
満点を出すキーワードは問題作成中に決めて
答案回収してから部分点を与えるキーワードを決めてそう 答案改修後にIPAの想定と違う別解もあるだろしね
模範解答には出ていない別解や部分点はかなりありそう ライブラリって脆弱性検査はやってるんだろうけど動作確認はどうなんだって思って最新版て書かなかった
まだまだ読み込みが足らないな 専門家による脆弱性診断は新規リリースの開発フェーズにはやらなくていいの? 専門家の診断が必要な脆弱性の中で、不適切なライブラリの利用はダメかな
問題文には書かれてなかったけど実務で指摘されたことあって
近々EOSのライブラリ使ってるとか そんなことより受かったとしてお前ら3年で10万円以上の登録費払うの? 払えないわ...
うちの会社SIerでもないから講習代とか絶対出してくれないし安月給だし 別サイトでも質問しましたが、納得できる回答がつかないようなので。
CDNについて、教えていただきたいのですが、
1つのキャッシュサーバ(=IPアドレス)に複数のサービス利用者のキャッシュが格納されている。
(=CDN-UがY社以外も利用する)
って言うのが調べてみてもはっきりしませんでした。
ここについて解説されている記事など有りましたらタイトルとか教えていただけないでしょうか?
ご意見だけでもOKです。
たとえばakamaiはエッジサーバの数が世界中で24万ほど有るとのことですが、パッと調べた限り、
APNIC内でも最低20万以上のIPv4を保有しています。
IPv6になると1垓以上保有しています。
となると、FQDNごとは無理でも、サービス利用者のドメインごとにIPを割り当てることは可能かと思います。 民間にも講習の権限与えるとか言ってたけどそこも8万ぐらいしたな >>841
複数のユーザのキャッシュっていうのが何を指してるのかイメージし難いのですが、CDNはユーザからのGETに対してキャッシュの有効期限内であればキャッシュしたデータを応答して、キャッシュされてなかったり有効期限外であればオリジンからデータを取得してキャッシュしつつユーザに応答するだけだと思います。
CDN自体でユーザ毎個別データを管理する訳ではなく、キャッシュされてるデータで返せるならかえす、なかったらオリジンに問い合わせるだけかな。 >>841
>>841
意見だけです。
CDNに限らず、クラウドサービスにおいてはPublic IPアドレスを複数のテナントで共有することはよくあることです。
もし仮にテナントごとにIPを割り振らないといけない場合、AkamaiのEdgeサーバが全世界に24万台あるとしたら、1テナントにつき24万個のIPを払い出すことになりますよね。
そんなことをやる必要性がないです。IPが分かれていなくてもHTTPならホストヘッダ見れば、HTTPSならTLS証明書のCommon Nameを見ればどのテナントか識別可能です。 午後Uの問1の設問6(2)だけど、
大規模改修中に実施と書いてしまった。
ゼロ点かな?
設問に専門家と協議するとあったので、
開発担当が長期休暇中で不在だったら、
診断しても協議ができないかと思って。 >>846
下線部6には時期を決めて実施することと書いてある
大規模改修はおよそ20回に1回となっていて、いつやるのかはっきりしない
だから解答速報は1か月の休止期間の方を選んだと思っている 1ヵ月の休止期間で我が社は休暇とか長期研修とか担当者居ないかもしれない中、脆弱性診断やらせてもいいのか?金もそんなにあるのか?と迷った挙げ句、大規模改修にしてしまった
スレ見てるとIPAのお好み解答は休止期間っぽいから駄目っぽいな すごい迷ったあげくに大規模改修にしてしまったんだよね。
協議のところがなければ
休止期間中にしてたわ。 >>846
そこ迷った。
けどあの1か月はどう考えても勿体ないからそこでやりたいと思って、「休止期間中に(協議の手前まで、という気持ちを込めて)診断を行う」って書いた。
あるいは、休止期間中は長期休暇以外にも研修とかいろいろ書いてあったから、誰かしら協議に対応できる、という想定なのかもしれない。
何が公式の正解だとしてもあの部分は表現が中途半端ですっきりしないと思う。 やべ、v氏が用意したサイトのfqdnって書いたかもしれない >>851
間違ってはないけど減点かな?不正解ではないよ 実際にこういうシーンになったら経営層にお金かかるけど最悪@@円ぐらいの損失を防げるかもしれませんがいかがしましょうかって説明するわ
案1 業者による脆弱性診断をやる
案1−1 休止期間中にやる
お金 大
脆弱性対策効果 大
案1−2 大規模改修時にやる
お金 小
脆弱性対策効果 小
案2 業者による脆弱性診断をやらない
お金 なし
脆弱性対策効果 なし
って選択提示して判断してもらうわ
IPA様は費用対効果無視してやるのがお好きだからな そういう意味では、
改良の規模が比較的少ないタイミングで専門家による脆弱性診断を行うと答えた私にも部分点は欲しい。
だって、それも案3くらいにノミネートして良いはずだし。 難易度が高かった午後2あたりでは点数調整入るんじゃない? >>857
でしょうねぇ。上から3000人に
60~100を毎度ながら割り振るのでしょう。 午後問で100点取ったスクショ見たことあるやついる?
いねーよな! 次回受けたいから勉強しようと思うんだけど
午後対策ってなにがいいの?
うかる!情報処理教科書は買ったけど
日経ネットワーク取ろうか迷ってる高いしうすぺらいの12冊で2万円は高いわ… 登録したらもっと薄っぺらなものに毎年2万払うから。 >>860
日経クロステックで契約すれば安く済むよ 無駄だとまではいわんけど、合格点取りたいだけなら中古でもいいから何個か参考書かって見比べたほうがいいかも。
合格したやつとかちょうどよく売り出してるから買いやすいかも。基本的な知識は1,2年落ちの本でも問題なし。 >>860
前回試験までは合格教本の午後一と二の解説が参考になった 日経ネットワークってらくらく購読コース(17500円)
で過去のバックナンバーも見れるんか? 図書館行くの面倒だし
なによりスマホで読めるのがありがたいわ 日経ネットワークはネスペでも有用だしネスペ受けるならいいんでない 日経クロステック契約すれば、月2500円で、初月無料で計2ヶ月、過去の記事も含めて全部読めるだろ。
2ヶ月読み込んで、ラスト1週間で読みきれてない記事は全部保存すりゃいいじゃん。 日経ネットワークは最近の情報を得るためには有用だけどネスペ合格には直結しないから資格取りたいだけの人には不要
仕事でネットワーク触ってる人ならありかも >>873
つまり
二ヶ月未満で解約して
日経ネットワークのHTML版を読みまくれってこと? でもそういう職場ならすでに定期購読して棚に置いてあるんじゃない?
うちにも日経〇〇がいくつか置いてある >>877
もしそうなら、わざわざ日経ネットワークにお金と時間使わずにTCP/IPの基礎本買ってそれに注力するのが良いと思うぞ >>874
そうかね
OSPFやBGPなどのルーティング記事やVLANなどの記事は勉強になったけどね >>878
いや、そこらへんはもうマスターしとるよ
ネスペの範囲は一通り基礎はわかっとる
だから+アルファで支援士分とネスペの応用分を伸ばしたい >>880
勉強熱心やなぁ
既に資格持ってるなら日経ネットワークありかもね
資格まだなら過去問詳細解説みたいなの読み込むのがいいよ ネスペの基礎力と情報処理教科書は良書だったわ
マスタリングTCP/IPは微妙…
情報処理教科書のが綺麗にまとめてくれてるわ で、日経ネットワークは
クロステックの初月無料登録してHTML版を読み漁って2ヶ月以内に解約がいいんだな? >>883
それで十分
直近のネットワーク関連のトレンド掴むだけで、セキュリティの知識自体では大して深い内容書かれてないし 試験対策なら日経なんて読まんでいいわ。適当な参考書一冊買って過去問とけば60点はとれる。 >>885
今まではそれで済んでたのかもしれないけど、
SCの午後を見てると通用しなくなってきてるかもな。 そんなに難しくなった気がせんのだが。。
今回に限っていえば寧ろ日経載ってないような細い用語理解が重要だったり、ネスペより基礎知識が重要視されてない? >>887
☓ ネスペより
○ ネスペよりの わざわざ日経ネットワークなんか買わなくても、セキュリティ雑誌ならムック本でよくない?
結構いいまとめ本出してると思うけどな 午後II問1
設問3(1)
>>246
透明化 画面は見えないがクリックできる
可視化 画面が見えてクリックできる
手前 最前面
奥 最後面
一見、可視化され奥に表示されている画面を操作できるように見える。
しかし、実際は透明で手前に表示される画面がクリックされることになる。
とすると
>>194
>>208
c:イ d:イ e:イ f:ア g:ア h:ア
だよ。 >>891
私もそういう理屈で答えて、自信満々だったが、これは知らないと答えられない問題だったのだと理解した。
正直解説を見ても、納得はできていない。
最終的な正解を確認してから、その理屈で、改めてインプットするしかない。 婚活女性も年収のことはよく言うが、資産のことはあまり言わない
また、貯金額のことは言うが、その金額は年収に比べるとかなり少ないことが多い
実際は年収1000万でも手取730万、年収500万でも手取370万しかないのに 代表的なクリックジャッキングの手口よね。webアプリ系の人にはサービス問題じゃないの? 企業理念 ここは、多様な人々がオープンに集まる場所。
誰もが、どこからでも、イノベーションを起こすことができる場所。
創造力と実現力が重なり合い、無限の可能性が生まれる場所。
そして、まだ誰も見たことがない景色を、見ることができる場所。
さぁ、起業家精神あふれる世界中の挑戦者とともに。
あらゆる困難や変化さえも味方につけて。
未知の世界へ、ようこそ。
an invitation to the never before. 連絡先
〒105-7001
東京都港区東新橋1-8-1
人事局 採用2部
問い合わせは下記メールアドレスにて受け付けます。
saiyou2022@dentsu.co.jp
平日10:00〜17:00(土日・祝日は除く)
■電通ウェブサイト
https://www.dentsu.co.jp/ 3週間以内に開催予定の説明会
イオンフィナンシャルサービス(株) 【傘下各社合同…
説明会・
面接予約
新東電算株式会社
説明会・
面接予約
富国生命保険相互会社 新卒キャリア営業職
説明会・
面接予約
株式会社日本アシスト
説明会・
面接予約
一般財団法人成田国際空港振興協会
説明会・
面接予約 攻撃者が用意する画面→可視、eはア
説明文の「クリックイベントは利用者から見て手前に、、、」→手前、gはイ
であとは自動的に
イアアアイイになるやん >>901
>攻撃者が用意する画面→可視、eはア
問題文には以下の記載がある。
クリックイベントは利用者からみて手前にある画面で発生する
サイトXの画面αを奥に可視化した状態でおき、
その上へ被せるように利用者絡みて手前に透明化した状態で置く。
そう考えると攻撃者が用意する画面は透明eでよくeはイになるという話なのです。
エクセルで矩形を透明で被せた場合、クリックすると透明の矩形のプロパティが出てきますよね。
あれですよ。 私も同感ですね、大企業に就職するという事は後々の仕事において物凄い価値が出てきます
転職の時も有利です 公務員がクビになるような経済状態なら、民間企業は全部潰れてるよね、、、 【ひろゆき 最新】※低学歴の毒親は、正直●●です※間違った知識で育てるので子供は低学歴・低収入になりやすいんですよねー・【切り抜き 論破 毒親あるある 低学歴 子育て】
https://www.youtube.com/watch?v=jCyFzAh24go 親が放任主義だったので自分の事は自分で考えて行動するクセがついたから感謝してる F1のルール拡大解釈合戦は面白いぞ
ルール内でベストを尽くすのは当たり前で姑息にプラスアルファをどう稼ぐかに全力投球してる F1のルール拡大解釈合戦は面白いぞ
ルール内でベストを尽くすのは当たり前で姑息にプラスアルファをどう稼ぐかに全力投球してる 攻撃者の画面が抽象的でわかりにくいのかな
「ここをクリック」は実際にはエロ画像のサムネとして考えろ ITECでの採点(記述問題は辛口採点)
午後1 問1と2 74点
午後2 問2 68点
TACでの採点(記述問題は辛口採点)
午後1 問1と2 65点
午後2 問2 71点
頼む合格来てくれ・・・・ >>903
本当に全く同じイメージ。
奥の見えているものをクリックしたつもりが、その手前に透明で重ねられているイベントをクリックしことになって、別なアクションを実行させられてしまうと。
でも、クリックジャッキングという仕組み自体がこういう理屈のものではないっぽい。
だから、自分では何度考えても、辿り着かない。正解を聞いてストンと落ちる人の理屈が全く分からない。
ワンチャン、今回の試験は応用で、公式に紹介されている方法を捻ったパターンだったとしたら嬉しい。 >>913
いや、クリックジャッキングそののもじゃない?広義の意味でのクリックジャッキングは様々な隠蔽でユーザが意図してない操作を発生させるだけど、これもクリックジャッキングの一種であるのは間違いない。
https://cybersecurity-jp.com/security-measures/6935 攻撃者は、偽サイトのクリックイベントじゃなくて、画面αのクリックイベントを走らせたいから、手前はαじゃない?
手前が可視化してたら奥の偽サイトが見えないから、そういう意味でもαを透明にする必要があるって考えれるな 真面目な人をいかに働かして搾取するか、みたいなシステム作られちゃってるからね。労働者というより、社会構造の問題。契約で縛ったり同調圧力で縛ったり新卒からのレール構造だったり。 僕なら離婚しますね。※この職業の人と結婚するなら覚悟してください※気をつけた方がいい結婚相手と結婚相手の見つけ方を語るひろゆき
https://www.youtube.com/watch?v=337bM... ホリエさんやゴーンさんを逮捕したことから日本がまともな国ではないと分かる 堀江さんがフジテレビ買収理由を「ネトフリみたいなテレビとネットの融合を考えてた」って言ってて、2004年にその発想をもとに行動したのは本当にすごい。
出る杭を打つのが得意な国、日本。 >>913
頭柔らかくしないと理解できないよ。
これはクリックジャッキングで、考えてわかる問題だから。
そもそもその理屈に攻撃者の目的は考慮してる? みんなが頭良くなったら大半の商売は成立しなくなって、失業者だらけになりますね
人間の錯覚やバイアスを利用して、いらない物を必要と錯覚させるのが大半の商売なので
本当に必要ですか?と冷静になられたら困るんですよ >>921
画面βなのだろう。
頭が硬いようだが、
視点を変えるとふた通りの解答が出来るんだよ。 画面αが透明じゃなかったら、権限を変えようとしてるのをユーザが意識できてしまうがな。
なんか言われる間にクリックしたら権限が変わってるって攻撃でしょ。 AIが人類を消しそしてAIは進化をし続けやがて生物となる
そして歴史は繰り返され、今の人類は何回目なのかと言う話好き。 >>927
安全なウェブサイトの作り方 - 1.9 クリックジャッキング
https://www.ipa.go.jp/security/vuln/websecurity-HTML-1_9.html
これは見ているけれどね。
クリックジャッキングとは利用者が誤操作し、意図しない機能を実行することでしょ。
だから>>903もあり得るでしょ。
利用者情報の公開範囲を変更させられるってことだからね。
いわゆる「国語力」ですよ。 フランスで差別に苦しむ男性フランスで差別に苦しむ男性フランスで差別に苦しむ男性フランスで差別に苦しむ男性 間違ってても間違ってなくても、その先の未来を予測して動ける人って大体人生上手く生きてるよね。 >>931
いやα可視化してたら公開範囲を公開にさせられないでしょ 実際、きちっと検証もせずに、拾い物のデータや聞きかじった知識で
いい加減(間違い)な内容を伝えているメディアは散見されるし、
それを更に誘導したい方向に向けた作意の溢れる伝え方(言葉)を
しているケースは、日常的にあるけどね。
『嘘つきだ』 と決めつけるのは頭悪いけど、読んだ通り、聞いた通りに
そうなんだ、と理解、信じるのは馬鹿のやることだね。 あるコメンテーターはプロデューサーから「このような意見を言ってください」って指示があるって言ってたぞ。ヒロミも、テレビでは自分の意見が言えないと、自分のYouTubeで言ってた
そんな言論統制のあるテレビの情報なんて価値なんてねーわ メディアの影響力というのはものすごく強いので、
彼らが虚言を発した時には、彼らが土下座をするまで引き金を引き続けるという対応が正しいはずだが、
まあ、世間一般、みんながみんな、メディアの嘘を許さないという空気にはならないので、
世間を舐めたメディアが、再び、虚言を発するわけですよ。
他業種がやらかしたときは、その会社が潰れるまで叩くマスコミが、自分たちがやらかした時には不誠実な態度。
電波が止まるわけでも、出版停止になるなることなく、しれっと商売を続ける。
そういった態度に、ガチで怒る人たちが存在して当然 せっかくフランスにいるのに日本にいる若者にしか相手にされず
フランス語もできず、かといってフランスでビジネスしているわけでもなく、
フランス人の友達さえいなそうな彼が一生懸命「フランスでは〜」とか言ってるのをみると
日本相手にしかビジネスできない 「これは見ているけれどね。」って>>931に書いた上で
>>931
α可視化でも題意は満たします。
そういうあやふやな問いなんですよ。 もしかして攻撃者が創ったサービス上の公開範囲を換えたつもりが、別のサービスの公開範囲を変えさせられたって事をいいたいのか? 情報収集を進めていくにつれて、私の今までの実務経験を生かしながら、知識をより深める、より時間を有益に過ごせる最適な道は、今まで従事してきた不動産に関する実務や学問について体系的に専門知識を学ぶことではないかという結論に至りました。 金や名誉より「頭悪い人」を語るのが好きなんだと思う
何よりも気持ち良いんでしょう 先日のテレ朝の朝のワイドショーで「ウクライナからの避難民が連れて来たペットの犬、最悪の場合殺処分か?」って嘘報道してたけど? ネトウヨって基本的にフジデモの頃から何も成長してないよな。
いや、自分もフジデモの頃は同レベルだったよ?
でもそのあとこっちがグローバリズムや新自由主義、緊縮財政、大衆化した民主主義の弊害を勉強している間、ネトウヨ連中は何も変わらなかった。
安倍政権の売国をスルーして「メディアや野党を叩けばいい」ってだけの姿勢を何年も貫く姿を目の当たりにして、ネトウヨという連中はこの世で最も嫌悪する存在となったわ。
こいつらこそがこの国をダメにした主犯格だよ 忖度政治を批判して、自社は有力芸能事務所に忖度しまくり。
学歴社会を批判して、自社は有名大卒のみ採用。
格差社会を批判して、製作は下請けに格安で丸投げ。
女性差別を批判して、下請け女性社員にはセクハラし放題。
派遣労働を批判して、派遣を使い捨てる。
隠蔽体質を批判して、自社の不祥事はもみ消す。
談合社会を批判して、記者クラブで馴れ合う。
世襲政治を批判して、自社はコネ入社を許す。
許認可権を批判して、放送免許の自由化は絶対阻止。 全部ウソより虚実混ぜられる方が厄介でな
そうするととりあえず基本的に嘘だろう、と思わざるを得なくなる 両社とも取材ソースは、ほぼ同じ
なのにバイアスによって、真逆な内容になる
国民には、取材ソースの中身だけあればいいんじゃない?
って思うわ
そもそも取材ソースの真偽調べないで垂れ流し報道しておるところが多いだろうな この土日1歩も外に出ないでゴロゴロして暇暇言いながら過ごした。
試験勉強取ったら何も残らない。
つまらん人生。 >>941
題意満たす論理がないんだけど。
攻撃者がどういう攻撃したいか本当に分かってる? >>952
安全なウェブサイトの作り方 - 1.9 クリックジャッキング
https://www.ipa.go.jp/security/vuln/websecurity-HTML-1_9.html
わざわざ>>931へ書いていますよ。
>攻撃者がどういう攻撃したいか本当に分かってる?
読んでいないのだろうなあ。
ITECやTACの解答例を見たり、このスレの過去記事をみているだけかな。
「国語力」ですよ。 MBA入学順序
@The Stanford Graduate School of Business
AHarvard Business School
BThe Wharton School of the University of Pennsylvania
CColumbia Business School
DThe MIT Sloan School of Management
EThe University of Chicago Booth School of Business
FThe Kellogg School of Management at Northwestern University
GINSEAD
HLondon Business School
IThe Haas School of Business
JThe UCLA Anderson School of Management
KThe Yale School of Management
LThe Tuck School of Business
MThe New York University Leonard N. Stern School of Business
NThe Fuqua School of Business
OUniversity of Virginia Darden School of Business
PThe Samuel Curtis Johnson Graduate School of Management
QThe Stephen M. Ross School of Business @The Stanford Graduate School of Business
AHarvard Business School
BThe Wharton School of the University of Pennsylvania
CColumbia Business School
DThe MIT Sloan School of Management
EThe University of Chicago Booth School of Business
FThe Kellogg School of Management at Northwestern University
GINSEAD
HLondon Business School
IThe Haas School of Business
JThe UCLA Anderson School of Management
KThe Yale School of Management @The Stanford Graduate School of Business
AHarvard Business School
BThe Wharton School of the University of Pennsylvania
CColumbia Business School
DThe MIT Sloan School of Management
EThe University of Chicago Booth School of Business
FThe Kellogg School of Management at Northwestern University
GINSEAD
HLondon Business School
行く価値があるのはこれだけかな >>971
だからできる人はできない人を教えられない 有り得ないことを書いてみる
なぜか株式会社電通を受けたら内定が出て
学校も次の3月で卒業できる >>953
国語力があればイイイアアアなんて言わないと思うけど Harvard Business Schoolも無理 MIT Sloan School of Managementなんか行ってもなあ 本来のページ見せてもユーザにクリックを促してないからね
自分で貼ったURLも読み取れない国語力 極論するなら学歴はほぼ「受験能力の高さ」しか証明しとらんし
研究者としてならF欄からでもすげー論文出たりするし
コミュ力も頭の良さ必要やし
人と人のチームワークに作用するコミュ力と
人に何かを説明する・教えるコミュ力と
女を口説くコミュ力はそれぞれ別やし
「頭がいい」ってのを万能スキルみたいな括りにするから話おかしくなるんちゃうけ ひろゆきは間違ったことでも胸張って言うからすごい
切り抜きとかで「ここが間違ってる」とか言ってキャイキャイ言ってる勢力居るがその場の口論で言い返せないならそれはもう勝ちではないからな 「本当に頭が良いやつ」、本当に頭が良いやつじゃなくて、
頭が悪いやつにとっての「本当に頭が良いやつ」では? 本当に頭良いやつ?は伝える相手側の事情とかも考えた上で伝えるから、比較的伝わりやすい・伝えるのが上手いってことやないんけ? 本物の天才は人に教えるの下手なイメージあるわ
自分の習得速度が早いから出来ない奴の気持ちが理解出来てないというか 理系って説明する能力は欠如してるよな
数学の参考書とかよくこんなわかりにくく書けるなって感じやもん 2022年04月22日22:30
今の若者を不幸にしている元凶で打線組んだwwww
1: 名無しさん@おーぷん 22/04/22(金) 19:47:45 ID:cG9p
1(中) 政治家
2(一) マスコミ
3(遊) 女
4(投) 年寄り
5(捕) 中年
6(三) 教師
7(二) ブラック企業
8(右) 体育会系
9(左) 親
もう今の日本で若者が心の拠り所として頼れるのはSNSだけという事実 26: 名無しさん@おーぷん 22/04/22(金) 19:57:55 ID:nkFl
女にどないせえっちゅうねん
35: 名無しさん@おーぷん 22/04/22(金) 19:59:30 ID:cG9p
>>26
高望みをせずに弱者男性とも付き合うことや
ワイは閉経寸前のデブスにすらフラれた男を知ってるぞ 遺伝子研究が進んだ事で発達障害とか自分の力で何も変える事が出来ない、人生のネタバレを食らって意気消沈している
みたいな記事をどこかで見た 遺伝子研究が進んだ事で発達障害とか自分の力で何も変える事が出来ない、人生のネタバレを食らって意気消沈している
みたいな記事をどこかで見た 26: 名無しさん@おーぷん 22/04/22(金) 19:57:55 ID:nkFl
女にどないせえっちゅうねん
35: 名無しさん@おーぷん 22/04/22(金) 19:59:30 ID:cG9p
>>26
高望みをせずに弱者男性とも付き合うことや
ワイは閉経寸前のデブスにすらフラれた男を知ってるぞ 50: チー牛 22/04/22(金) 20:03:54 ID:EiUg
マジレスすると能力主義による専制社会や
機会が均等に与えられれば人々は自身の才能や努力の許す限り出世が許されるという考えが、低所得者の自信を奪い高所得者のおごりを生み出す ボクシングで世界チャンピオンになって大金持ちで大人気になっても虚しいだけだ ボクシングで世界チャンピオンになって大金持ちで大人気になっても虚しいだけだ i語や将棋のプロになってタイトルを取って虚しいだけだ 囲碁囲碁や将棋のプロになってタイトルを取って虚しいだけだ 囲碁や将棋のプロ棋士になってタイトルを取って虚しいだけだ 囲碁や将棋のプロ棋士になってタイトルを取っても虚しいだけだ 野球やサッカーのプロ選手になって活躍しても世間から評価されても虚しいだけだ 猿は青と緑しか見えなかったが、たまたま赤も見える猿が現れた
それが人間の祖先である 猿は青と緑しか見えなかったが、たまたま赤も見える猿が現れた
それが人間の祖先である このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 7日 18時間 27分 11秒 5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php レス数が1000を超えています。これ以上書き込みはできません。