【SC】情報処理安全確保支援士試験 Part154
■ このスレッドは過去ログ倉庫に格納されています
!extend:on:vvvvv:1000:512
!extend:on:vvvvv:1000:512
!extend:on:vvvvv:1000:512
情報処理安全確保支援士試験(SC)
[ Registered Information Security Specialist Examination ]
http://www.jitec.ipa.go.jp/1_11seido/sc.html
情報処理技術者試験センター
https://www.jitec.ipa.go.jp/
情報処理技術者試験 総合統一スレ 3
https://kizuna.5ch.net/test/read.cgi/lic/1484740145/
情報処理技術者試験 高度試験共通午前Ⅰ Part3
https://kizuna.5ch.net/test/read.cgi/lic/1484740431/
関連スレ
【RISS】情報処理安全確保支援士 Part27
https://kizuna.5ch.net/test/read.cgi/lic/1658154820/
・スレを立てる時には>>1の本文1行目行頭に『!extend:on:vvvvv:1000:512』を入れて立てて下さい。
前スレ
【SC】情報処理安全確保支援士試験 Part153
https://kizuna.5ch.net/test/read.cgi/lic/1665313136/
VIPQ2_EXTDAT: default:vvvvv:1000:512:: EXT was configured >>24
誰が間違えて、同じ受験番号の答案が2枚になったら困るからじゃないの。 >>23
午前1が難しいというひとは本来この試験を受けてはいけない人
過去問と答えまで同じ問題がたくさんでて、ぱっと見でほとんどわかるIPAの4択ほど楽な試験はないと思うわ。 >>24
年齢が12歳だったら落とす為だろう。小学生が支援士登録できちゃうからなあ 会場行けんかったから採点申告欄に0次試験失敗て書き込んだった
そしたら会社の偉い人も見れるとこだったみたいで上司に0次試験なんだてガチギレされた
てか受ける前から場所遠すぎて今回は会場行けんかもて言ってたのにそん時は笑ってたのにヒデ~わ >>30
普段めちゃくちゃ実績上げてるトップ社員だっだら「いや~君は仕事も出来るがユーモアのセンスも抜群だな!
私の昇進は君にかかってるからつまらない事は気にしなくていいよ(^o^)」って言われるんだよな ネスペとか午前1の勉強しかせず受かったが最低点は午前1だったな 4年前にAP合格して来春に初受験なんですが、ネットワーク周りは基礎から勉強したほうが良いですよね?ネットワーク講座超入門を読み始めました。 マスタリングTCPIPと同じシリーズの情報セキュリティは購入済ですが、特に前者は読む必要があるか悩んでいます >>35
SeCurityじゃなくてShopping Centerだろ ネットワークがっつり勉強したことないなら、マスタリングTCP/IPはザッと読んでおいた方がいい
OSI参照モデルとか主要なプロトコルとかは知らないと話にならん
俺は確か伝送交換受けた時に一度読んだけどSCでも相当助けられたよ >>39
有難うございます。全部目を通してから臨むことにします。暗号技術入門も読まねばならないようで、さすが高度試験ですね。。 プロトコルのRFC番号とか待ち受けポート番号とか出るからな
少なくともIP、TCP/UDPは完璧にしておきたい
SSL/TLSの手順も毎回出るから押さえておかないと >>37
悩んでる時間があるなら読み終わればいいじゃん。 高度試験って何を勉強すべきか決めるのも含めての試験なのにそれを一々他人に聞かないと決められない時点で向いていないと思う 高度の何を勉強するのか決めるために
応用情報があるのでは? >>41
匙加減の当たりがつかなかったので助かります。有難うございました。 先月AP受験(自己採点でたぶん合格)して、先週にTACの支援士オールインワンテキスト買って読み進めてます。
APやり込んでれば厚いテキストも、たまに初見の細かい内容が出るけど
大筋は学習済みだから、さっさと一通り読んだらすぐ過去問道場に入った方が良さげですか? ネットワークの入門書読み終えるのに10時間も掛かった。。よく理解できたので良かったけども。。ネットワークはお休みして暗号技術入門読むわ。。 てか、ある程度ネットワークとセキュリティのこと分かってないとそもそも参考書が本質理解できないと思われる
どの参考書でも基本的なことまではいちいち説明してないんじゃない?DNSとはなんぞ〜とか、TCPとUDPの違いは〜とか >>48
まぁ100歩譲って応用情報技術者じゃなくても、最低でも基本情報かセキュマネぐらいの予備知識が無いと
SCの勉強しても単語が理解できなそうだよな 特に応用情報ぐらいのネットワークはわかってないとしんどいね。
全体的に応用情報の下地があるから普通にSCの参考書が読めてるなって実感するところは多い。 >>47
暗号技術入門よりネットワークの勉強の方が試験に10倍役立つよ 応用情報に受かってても、
ネットワーク選択してなくて、セキュリティが低得点なら
下地はないのと同じやんけ >>45
主にSC午後問題を解くための知識としては「ヘッダー項目が何か」を暗記するのが
全体的にネットワークのやり取りを理解する早道だし問題に正確に解答する事がきる
ヘッダーの項目の図はネットにいっぱいあるのでめんどくさがらずに最初にキッチリおぼえておけば後々楽だよ
①プロトコルのヘッダーの項目を覚えるとコネクションの範囲がや伝達の過程が理解しやすい
・イーサネットヘッダ→MACアドレス
・IPデータグラム→IPアドレス
・TCPセグメント→IPアドレス+ポート番号
②ISO7層でそれぞれどういうプロトコルが動くか?も①がわかってれば考えればわかる
・イーサネットフレームは何層?
・IPデータグラムは何層?
・TCPセグメントは何層?
※TCP/IPの「TCP」と「IP」の区別はつくように
③VPNとISO7層の関係(IPSEC-VPNとSSL-VPNはどの層とどう関係しているか)
・これもヘッダーの項目をトンネルモードの時、トランスポートモードの時それぞれ覚える
④WAFやIDSがどの層に関係して動作するかも理解しておくべき
ネットワークの事はISO7層をベースにして覚えるのが整理しやすくてよい(7層をベースにできてるんだから当たり前だが) WAFとFWの動作の違いはAWSのSAAの試験でも良く出るみたいね
今のトレンドはアプリケーションでインジェクション攻撃対策とかやると対策の完全性に欠けるので
WAFで一元対応するのが主流になりつつあるのでFWとWAFを組み合わせた対策でそれぞれの役割分担の問題は今後も出るのでは ダメとは言わんがWAFが万能ってわけではないからな
プレースホルダも使え
サニタイズもしろ
できる範囲で構わないから
というか抜け漏れをなくすという意図なら対策の完全性じゃなくて網羅性? >>51,53
有難うございます。マスタリングtcpipを優先することにします。スクショして参考にします >>52
そうやな。
なんでSCを受けようと思ったん?って感じや。 >>55
完全同意
WAFが障害起こしてフェイルオープンしたら誰が守るねん 「ルパン三世が侵入してくるかもしれないけど、警備は正面玄関だけでいいよね?」 そんなことより>>56にさだまさしが降臨しとるのみんなきづいてないな >>60
ルパンは無警戒なところからコソコソ侵入したりはしないんやで。 坂本さんが非公開になった動画を再アップしてくださったぞ
youtubeで見よう 来年初めて受験するから、過去問に挑戦してるんだけど論述を書くのが辛すぎる…
みんなシャーペン何使ってるの? >>66
HBだとちょっと薄いのでやめたほうがいい >>59
もちろんプログラムの対策を止めろという意味ではないが、
実際には「プログラムのコーディング規約」で対応しています。というレベルのベンダーがほとんとで
大きなベンダーなら「ソースコードレビュー」をやってちゃんとセキュリティ検証しているがそんな事は小さいところはやらない
またソースコードレビューやっててもリーダープログラマーが目視でコード確認するだけなので本当にプログラムで有効な対策ができているかを実証するには
セキュリティベンダーに依頼してインスペクション攻撃テスト依頼するしかない。
でもそんな費用がかかる事を実際にやる企業はあまりないでのWAFやIDS中心の対応が主になっているという事でしょう 自分達はセキュアプログラミング徹底して作ってるから
脆弱性診断もWAFもいらない
NAPTで守られてるしルータのフィルタだけあれば十分という考え
そういう組織もあるということは押さえておきたい コストかかるから対策しきれてませんってだけの話だよな
そんなリアルを問題に出すなら「足りない対策を入れるようになりました」から始まるストーリーぐらいでは 問題で出てきたら答えになるところだな
脆弱性診断を行なっておらず、WAFも導入していなかったため >>70
>セキュアプログラミング徹底して作ってる
WAFってそれだけじゃないけど イライラするなら反応しなきゃいいじゃん。
スルー力ない人増えたよな。 >>69
何年前の話?
今どきどこも静的解析ツールくらい使ってるでしょ... どのスレでもバカは紛れ込むから
まともに相手する奴は同レベルのバカ >>78
〇TT〇〇〇〇の現場ではエージェントも使ってたけど
それでもロジックを完全に解析できるわけじゃないので7割位の精度
静的分析ツールなんて全然ダメだぞ >>80
完璧なシステムなんてありえないのは同意だけど、コスパの観点で話がズレてる気がします。
ペネトレーションテストはコスパ悪いのでシステムの重要度によって選択すれば良いと思います。
静的、動的解析ツールはコスパいいので、試験で話題になるようなXSSとかメジャーな脆弱性はほぼ潰せて大変便利。それ以上セキュリティを高めるなら目視のコードレビューより、テストケースのレビューのが重要と思ってます。
ニュースになるのってパスワード平文で扱ってたり、論外の大抵最低限の対策すらできてないシステムだと思うので、ペネトレーションテストまでしなくても9割方防げるのでは? 個人情報流出の可能性に関するお詫びとお知らせ
2022年11月10日
UUUM
https://www.uuum.co.jp/2022/11/10/88263
> この度、ソフトウェア開発のプラットフォームである「GitHub」上で、当社グループ(グループ会社のP2C Studio株式会社、UUUM GOLF株式会社、NUNW株式会社、LiTMUS株式会社を含む、以下当社)の管理下全てのソースコードを取得可能な認証キーが公開状態にあり、ソースコードに含まれるデータベースへのアクセスキーを利用することでデータベースに保存されている個人情報へアクセスできる状態であったことが判明致しました。
(中略)
> 1. 経緯と対応
2022年10月21日、ソフトウェア開発のプラットフォームである「GitHub」の当社管理下全てのソースコードを取得可能な管理者権限を持つ認証キーが、当社が運営するWebサーバー内において閲覧可能な状態であることを確認致しました。 >>85
GitHubが悪いような印象を与えるなコレ >>67-68
クルトガアドバンス 0.3mm買った >>87
そう言われると「」付全角英数字に凄い作為を感じるな >>86
遅くなっている。
以前に比べ、試験日は1週間前倒しになっているのに、発表は遅くなっている。
受験料値上げしてるんだから、最低限前と同じにしてほしい。 AWSのアクセスキーがGithub上に落ちてないか、Amazonがbot使ってパトロールしてるみたいな話を聞いたことがある AWS のクレデンシャルキーをハードコードしたまま、Githubに上げちまうタコがいるから、採掘野郎はずっと前からやってることは既知の事実。 結局は合格率を2割程度にするってことだから、受験と同じで他人との競争だな
上位2割に入らないと合格できない 今回は簡単だったってみんな言ってるから、簡単だった言っていた集団で上位20%に入らないといけないから
結局落ちるやつは落ちる >>87
確かに
まるで世界的問題になっているかのよう >>89
他はちゃんと英数字が半角なのに、なんだこの強調ぶりw 結局午後Ⅱの問1設問1(2)はプログラムコードかc&cサーバのアドレスかどっちが正しいんでしょうか?
なんかtacとitecで解答速報割れてましたが… 出題者としてはプログラムコードが正解になる問題を作りたかったけどIPアドレスも正解だと取れるような問題文になってしまったと思ってる プライベートリポだからって雑にパスワードなどもぶっ込んでる俺は安全確保支援士失格ですわ IPA試験だと替え玉受験してる人もいそうだな
写真を替え玉のにしたら100パーバレないしな 今だと自宅受験する試験の一部は本人確認ないと言ってもいい
例えばAI関連のG検定はそんな感じだったよ
あ、私はちゃんと自分で受けたけどな >>106
そんな高度なもの使ってるんですか?
替え玉の写真を受験票に貼って替え玉が受験したらバレない気はしますがそれを防ぐ手段てあるんですか? 顔写真付身分証明書にすればいいのに。
写真用意する時間も金もかかる ITと言いながら試験は超絶アナログなんだよな
コロナで渋々テストセンター使うようになったぐらいだし、天下り機関だからやる気ないのはわかるけどさ >>108
使ってるかは知らんが
写真回収して登録しとけば
顔認証通るレベルで同一の顔の奴は
落とすか呼び出して確認すれば良いだろ できる と 実際にお金と時間をかけてやるのはまた別だからね
なんとも言えん
合格者の写真ぐらいはスキャンして保存してるかもしれん 本人が合格レベルまで知識あれば別だが
コネは出来ても、無能とバレるのでは >>114
105 名無し検定1級さん (ワッチョイ 36eb-XcPf)[sage] 2022/11/23(水) 14:36:22.36 ID:rzxuFcSP0
IPA試験だと替え玉受験してる人もいそうだな
写真を替え玉のにしたら100パーバレないしな
替え玉の写真貼っときゃ100パーバレないと書いてあるのに反論しただけだ 何度も受験するわけでなければ99%はばれないだろう でもそれ、替え玉の人が本人名義で受けたらバレるのでは? 合格発表、遅いよな。
早くネスペの勉強にかかりたい。 >>120
そうそう
TCP/IPの基礎学習を進めとけば支援士落ちたときにも役立つから良いと思うぞ 理屈で言えばそうなんだけど、モチベ上がらん気持ちはわかるわ |┌──────────┐ 経歴書
|| / \ | ┌─────────────────────
|| / ─ ─\ | |氏名:ファイトキチガイ連呼終身名誉死刑囚ワカヤマン
||/ (●) (●) \ | ├─────────────────────
||| (__人__) |. | |年齢:40代後半 現住所:和歌山県
||\ ` ⌒´ ,/. | ├─────────────────────
||...イ.ヽヽ、___ ーーノ゙- 、 | |ホスト情報:ntwkym008020.wkym.nt.adsl.ppp.infoweb.ne.jp
|| | '; \_____ ノ.|ヽ i....| ├─────────────────────
|| | \/゙(__)\,| i | | |一言:誘導する奴等は全員ファイトキチガイと見なします。
|└──────────┘ └─────────────────────
| ┌───┬─┬───────────────────────────
| | | | 経歴
| ├───┼─┼───────────────────────────
| |・本スレに誘導が行われると間を置かず無差別にファイトキチガイ、ファイキチと罵る。
| | ファイトキチガイは特定の人物ではないらしい。
| |・スレ乱立40代無職。実務に関する話題が苦手である。実はファイトネタの生みの親である。
| |・トラップでIPを抜かれる。その際、何が起こったのか理解できず沈黙の後、
| | 「怖い」と動揺を隠し切れない様子であった。
| |・ホスト情報を晒してまでよく運営に殴り込んだが悉くスルーされた。
| |・資格スレではご丁寧に試験会場(近畿大学和歌山キャンパス)を晒す。
| |・発狂。誰と戦っているの。ワカヤマンはもういない。ワカヤマンではないと泣き付く。
| |・見ての通り文章能力が乏しく論述試験でも不合格を繰り返している。
| |・無関係のスレ住人複数を有名コテと見誤り、罵る等迷惑行為を重ねてきた。
| |・被害に遭った住人にHPや試験委員を通じてIPAに通報される。
| | 自分でうっかり晒した画像やホスト情報等も提供されており、IPAに人物特定される。
| ├───┼─┼─────────────────────────── ■ このスレッドは過去ログ倉庫に格納されています