【SC】情報処理安全確保支援士試験 Part154
■ このスレッドは過去ログ倉庫に格納されています
!extend:on:vvvvv:1000:512
!extend:on:vvvvv:1000:512
!extend:on:vvvvv:1000:512
情報処理安全確保支援士試験(SC)
[ Registered Information Security Specialist Examination ]
http://www.jitec.ipa.go.jp/1_11seido/sc.html
情報処理技術者試験センター
https://www.jitec.ipa.go.jp/
情報処理技術者試験 総合統一スレ 3
https://kizuna.5ch.net/test/read.cgi/lic/1484740145/
情報処理技術者試験 高度試験共通午前Ⅰ Part3
https://kizuna.5ch.net/test/read.cgi/lic/1484740431/
関連スレ
【RISS】情報処理安全確保支援士 Part27
https://kizuna.5ch.net/test/read.cgi/lic/1658154820/
・スレを立てる時には>>1の本文1行目行頭に『!extend:on:vvvvv:1000:512』を入れて立てて下さい。
前スレ
【SC】情報処理安全確保支援士試験 Part153
https://kizuna.5ch.net/test/read.cgi/lic/1665313136/
VIPQ2_EXTDAT: default:vvvvv:1000:512:: EXT was configured 合否報告用テンプレ
【合否】
【午前Ⅰ得点】
【午前Ⅱ得点】
【午後Ⅰ得点/自己採点】
【午後Ⅱ得点/自己採点】
【午後選択問題】午後Ⅰ問123、午後Ⅱ12
【受験回数】 回
【学習期間】
【年齢】 歳
【保有資格】
【参考書】
【一言】 /::::)(:::)(:::::::::::)(::::::^::::::::::\
(::::::::::::::::::::::::::::::::::::::::::::::::::::: ::::::::::\
/::::::::::/ノ::::::::ノ::::::::ヽ:人::::::::::ヽ:::::::::::::::)
(::::::::::/ ):::ノ::::ノ ) ソ ヾ::::::::::::丶::::ヽ
(:::::::::/ 彡 ノ ノ :: 彡:/)) ::::::::::)
(::::::::::/彡彡彡彡彡 ミミミミミミミ :::::::::::)
( :::::::// ̄ ̄ ̄ ̄ヽ===/ ̄ ̄ ̄ ̄ヽ |:::::::::)
| =ロ -=・=- ∥ ∥ -=・=- ロ===
|:/ ∥ / /ノ ヽ \ ∥ ヽ|ヽ _________
|/ ヽ`======/ .⌒ ` ========ノ. ..| | /
.( 。 ・:・‘。c .(● ●) ;”・u。*@・:、‘)ノ / これからは
( 。;・0”*・o; / :::::l l::: ::: \ :。・;%:・。o ) < より細かい所まで覚える事で
(; 8@ ・。:// ̄ ̄ ̄ ̄\:\.”・:。;・’0.) \ 確実に合格してみせる
.\。・:%,: )::::|.  ̄ ̄ ̄ ̄ | ::::(: o`*:c /.. \_________
\ ::: o :::::::::\____/ :::::::::: /
(ヽ ヽ:::: _- ::::: ⌒:: :::::::: -_ ノ
\丶\_::_:::::_:::: :::::_/:::: /
| \ \ ::::::::::: :::::::::: ::: ::__/ |
 ̄ ̄\ 丶  ̄ ̄ ̄ ̄ ̄ ̄ ̄ / ̄ ̄
↑ワカヤマン@ntwkym008020.wkym.nt.adsl.ppp.infoweb.ne.jp 今回は合格率25%ぐらいになってそう。
支援士登録を増やさないとね。 応用に比べると問題がまともでワロタw
やっぱり応用はクソだわ ここで話すにはしょうもない話題だが、午前1だけ自信ない。辛い それが一番いいのだろうけどね
応用やデスペ取ったのが数年前なもんで。爆死したかもしれん >>13
自信もなにも午前は自己採点したらわかるやん 午後Ⅱで片方しか解答してなくても問題番号にマークしてないと採点されないってマジなの? 正直応用のほう支援士より難易度上なんじゃ
応用はネスペの午後Ⅰばりに時間がきつい 最近の応用って、合格難易度が上がってるよね
ここまで上がるとコスパが悪いと思う そういやなんで受験番号だけでいいだろうに生年月日も書かされるんだろう
受験番号を書き間違える受験者対策かな? >>24
誰が間違えて、同じ受験番号の答案が2枚になったら困るからじゃないの。 >>23
午前1が難しいというひとは本来この試験を受けてはいけない人
過去問と答えまで同じ問題がたくさんでて、ぱっと見でほとんどわかるIPAの4択ほど楽な試験はないと思うわ。 >>24
年齢が12歳だったら落とす為だろう。小学生が支援士登録できちゃうからなあ 会場行けんかったから採点申告欄に0次試験失敗て書き込んだった
そしたら会社の偉い人も見れるとこだったみたいで上司に0次試験なんだてガチギレされた
てか受ける前から場所遠すぎて今回は会場行けんかもて言ってたのにそん時は笑ってたのにヒデ~わ >>30
普段めちゃくちゃ実績上げてるトップ社員だっだら「いや~君は仕事も出来るがユーモアのセンスも抜群だな!
私の昇進は君にかかってるからつまらない事は気にしなくていいよ(^o^)」って言われるんだよな ネスペとか午前1の勉強しかせず受かったが最低点は午前1だったな 4年前にAP合格して来春に初受験なんですが、ネットワーク周りは基礎から勉強したほうが良いですよね?ネットワーク講座超入門を読み始めました。 マスタリングTCPIPと同じシリーズの情報セキュリティは購入済ですが、特に前者は読む必要があるか悩んでいます >>35
SeCurityじゃなくてShopping Centerだろ ネットワークがっつり勉強したことないなら、マスタリングTCP/IPはザッと読んでおいた方がいい
OSI参照モデルとか主要なプロトコルとかは知らないと話にならん
俺は確か伝送交換受けた時に一度読んだけどSCでも相当助けられたよ >>39
有難うございます。全部目を通してから臨むことにします。暗号技術入門も読まねばならないようで、さすが高度試験ですね。。 プロトコルのRFC番号とか待ち受けポート番号とか出るからな
少なくともIP、TCP/UDPは完璧にしておきたい
SSL/TLSの手順も毎回出るから押さえておかないと >>37
悩んでる時間があるなら読み終わればいいじゃん。 高度試験って何を勉強すべきか決めるのも含めての試験なのにそれを一々他人に聞かないと決められない時点で向いていないと思う 高度の何を勉強するのか決めるために
応用情報があるのでは? >>41
匙加減の当たりがつかなかったので助かります。有難うございました。 先月AP受験(自己採点でたぶん合格)して、先週にTACの支援士オールインワンテキスト買って読み進めてます。
APやり込んでれば厚いテキストも、たまに初見の細かい内容が出るけど
大筋は学習済みだから、さっさと一通り読んだらすぐ過去問道場に入った方が良さげですか? ネットワークの入門書読み終えるのに10時間も掛かった。。よく理解できたので良かったけども。。ネットワークはお休みして暗号技術入門読むわ。。 てか、ある程度ネットワークとセキュリティのこと分かってないとそもそも参考書が本質理解できないと思われる
どの参考書でも基本的なことまではいちいち説明してないんじゃない?DNSとはなんぞ〜とか、TCPとUDPの違いは〜とか >>48
まぁ100歩譲って応用情報技術者じゃなくても、最低でも基本情報かセキュマネぐらいの予備知識が無いと
SCの勉強しても単語が理解できなそうだよな 特に応用情報ぐらいのネットワークはわかってないとしんどいね。
全体的に応用情報の下地があるから普通にSCの参考書が読めてるなって実感するところは多い。 >>47
暗号技術入門よりネットワークの勉強の方が試験に10倍役立つよ 応用情報に受かってても、
ネットワーク選択してなくて、セキュリティが低得点なら
下地はないのと同じやんけ >>45
主にSC午後問題を解くための知識としては「ヘッダー項目が何か」を暗記するのが
全体的にネットワークのやり取りを理解する早道だし問題に正確に解答する事がきる
ヘッダーの項目の図はネットにいっぱいあるのでめんどくさがらずに最初にキッチリおぼえておけば後々楽だよ
①プロトコルのヘッダーの項目を覚えるとコネクションの範囲がや伝達の過程が理解しやすい
・イーサネットヘッダ→MACアドレス
・IPデータグラム→IPアドレス
・TCPセグメント→IPアドレス+ポート番号
②ISO7層でそれぞれどういうプロトコルが動くか?も①がわかってれば考えればわかる
・イーサネットフレームは何層?
・IPデータグラムは何層?
・TCPセグメントは何層?
※TCP/IPの「TCP」と「IP」の区別はつくように
③VPNとISO7層の関係(IPSEC-VPNとSSL-VPNはどの層とどう関係しているか)
・これもヘッダーの項目をトンネルモードの時、トランスポートモードの時それぞれ覚える
④WAFやIDSがどの層に関係して動作するかも理解しておくべき
ネットワークの事はISO7層をベースにして覚えるのが整理しやすくてよい(7層をベースにできてるんだから当たり前だが) WAFとFWの動作の違いはAWSのSAAの試験でも良く出るみたいね
今のトレンドはアプリケーションでインジェクション攻撃対策とかやると対策の完全性に欠けるので
WAFで一元対応するのが主流になりつつあるのでFWとWAFを組み合わせた対策でそれぞれの役割分担の問題は今後も出るのでは ダメとは言わんがWAFが万能ってわけではないからな
プレースホルダも使え
サニタイズもしろ
できる範囲で構わないから
というか抜け漏れをなくすという意図なら対策の完全性じゃなくて網羅性? >>51,53
有難うございます。マスタリングtcpipを優先することにします。スクショして参考にします >>52
そうやな。
なんでSCを受けようと思ったん?って感じや。 >>55
完全同意
WAFが障害起こしてフェイルオープンしたら誰が守るねん 「ルパン三世が侵入してくるかもしれないけど、警備は正面玄関だけでいいよね?」 そんなことより>>56にさだまさしが降臨しとるのみんなきづいてないな >>60
ルパンは無警戒なところからコソコソ侵入したりはしないんやで。 坂本さんが非公開になった動画を再アップしてくださったぞ
youtubeで見よう 来年初めて受験するから、過去問に挑戦してるんだけど論述を書くのが辛すぎる…
みんなシャーペン何使ってるの? >>66
HBだとちょっと薄いのでやめたほうがいい >>59
もちろんプログラムの対策を止めろという意味ではないが、
実際には「プログラムのコーディング規約」で対応しています。というレベルのベンダーがほとんとで
大きなベンダーなら「ソースコードレビュー」をやってちゃんとセキュリティ検証しているがそんな事は小さいところはやらない
またソースコードレビューやっててもリーダープログラマーが目視でコード確認するだけなので本当にプログラムで有効な対策ができているかを実証するには
セキュリティベンダーに依頼してインスペクション攻撃テスト依頼するしかない。
でもそんな費用がかかる事を実際にやる企業はあまりないでのWAFやIDS中心の対応が主になっているという事でしょう 自分達はセキュアプログラミング徹底して作ってるから
脆弱性診断もWAFもいらない
NAPTで守られてるしルータのフィルタだけあれば十分という考え
そういう組織もあるということは押さえておきたい コストかかるから対策しきれてませんってだけの話だよな
そんなリアルを問題に出すなら「足りない対策を入れるようになりました」から始まるストーリーぐらいでは 問題で出てきたら答えになるところだな
脆弱性診断を行なっておらず、WAFも導入していなかったため >>70
>セキュアプログラミング徹底して作ってる
WAFってそれだけじゃないけど イライラするなら反応しなきゃいいじゃん。
スルー力ない人増えたよな。 >>69
何年前の話?
今どきどこも静的解析ツールくらい使ってるでしょ... どのスレでもバカは紛れ込むから
まともに相手する奴は同レベルのバカ >>78
〇TT〇〇〇〇の現場ではエージェントも使ってたけど
それでもロジックを完全に解析できるわけじゃないので7割位の精度
静的分析ツールなんて全然ダメだぞ >>80
完璧なシステムなんてありえないのは同意だけど、コスパの観点で話がズレてる気がします。
ペネトレーションテストはコスパ悪いのでシステムの重要度によって選択すれば良いと思います。
静的、動的解析ツールはコスパいいので、試験で話題になるようなXSSとかメジャーな脆弱性はほぼ潰せて大変便利。それ以上セキュリティを高めるなら目視のコードレビューより、テストケースのレビューのが重要と思ってます。
ニュースになるのってパスワード平文で扱ってたり、論外の大抵最低限の対策すらできてないシステムだと思うので、ペネトレーションテストまでしなくても9割方防げるのでは? 個人情報流出の可能性に関するお詫びとお知らせ
2022年11月10日
UUUM
https://www.uuum.co.jp/2022/11/10/88263
> この度、ソフトウェア開発のプラットフォームである「GitHub」上で、当社グループ(グループ会社のP2C Studio株式会社、UUUM GOLF株式会社、NUNW株式会社、LiTMUS株式会社を含む、以下当社)の管理下全てのソースコードを取得可能な認証キーが公開状態にあり、ソースコードに含まれるデータベースへのアクセスキーを利用することでデータベースに保存されている個人情報へアクセスできる状態であったことが判明致しました。
(中略)
> 1. 経緯と対応
2022年10月21日、ソフトウェア開発のプラットフォームである「GitHub」の当社管理下全てのソースコードを取得可能な管理者権限を持つ認証キーが、当社が運営するWebサーバー内において閲覧可能な状態であることを確認致しました。 >>85
GitHubが悪いような印象を与えるなコレ >>67-68
クルトガアドバンス 0.3mm買った >>87
そう言われると「」付全角英数字に凄い作為を感じるな >>86
遅くなっている。
以前に比べ、試験日は1週間前倒しになっているのに、発表は遅くなっている。
受験料値上げしてるんだから、最低限前と同じにしてほしい。 AWSのアクセスキーがGithub上に落ちてないか、Amazonがbot使ってパトロールしてるみたいな話を聞いたことがある AWS のクレデンシャルキーをハードコードしたまま、Githubに上げちまうタコがいるから、採掘野郎はずっと前からやってることは既知の事実。 結局は合格率を2割程度にするってことだから、受験と同じで他人との競争だな
上位2割に入らないと合格できない 今回は簡単だったってみんな言ってるから、簡単だった言っていた集団で上位20%に入らないといけないから
結局落ちるやつは落ちる >>87
確かに
まるで世界的問題になっているかのよう >>89
他はちゃんと英数字が半角なのに、なんだこの強調ぶりw 結局午後Ⅱの問1設問1(2)はプログラムコードかc&cサーバのアドレスかどっちが正しいんでしょうか?
なんかtacとitecで解答速報割れてましたが… 出題者としてはプログラムコードが正解になる問題を作りたかったけどIPアドレスも正解だと取れるような問題文になってしまったと思ってる ■ このスレッドは過去ログ倉庫に格納されています
