【SC】情報処理安全確保支援士試験 Part161
!extend:on:vvvvv:1000:512
!extend:on:vvvvv:1000:512
!extend:on:vvvvv:1000:512
情報処理安全確保支援士試験(SC)
[ Registered Information Security Specialist Examination ]
https://www.ipa.go.jp/shiken/kubun/sc.html
情報処理技術者試験センター
https://www.ipa.go.jp/shiken/
情報処理技術者試験・情報処理安全確保支援士試験 マイページ
https://itee.ipa.go.jp/ipa/user/public/
情報処理技術者試験 総合統一スレ 4
https://kizuna.5ch.net/test/read.cgi/lic/1710192109/
情報処理技術者試験 高度試験共通午前1 Part5
https://kizuna.5ch.net/test/read.cgi/lic/1710192113/
関連スレ
【RISS】情報処理安全確保支援士 Part28
https://kizuna.5ch.net/test/read.cgi/lic/1710191652/
・スレを立てる時には>>1の本文1行目行頭に『!extend:on:vvvvv:1000:512』を入れて立てて下さい。
前スレ
【SC】情報処理安全確保支援士試験 Part160
https://kizuna.5ch.net/test/read.cgi/lic/1706713727/
VIPQ2_EXTDAT: default:vvvvv:1000:512:: EXT was configured 合否報告用テンプレ
【合否】
【午前T得点】
【午前U得点】
【午後得点/自己採点】
【午後選択問題】
【受験回数】 回
【学習期間】
【年齢】 歳
【保有資格】
【参考書】
【一言】 水道橋の日大会場だけど、部屋の一覧表をしては入口のみで各フロアにない
フロアの部屋数多くて案内
代わりに案内の職員多数
試験監督は別にいたし、案内の職員半分に減らして一覧表貼り付ければ試験料値上げしないでも済みそうだ 午前2
エアエアウ エウアアア
イエエエエ アウアエア
エアエウウ
ちょっと怪しい 午前2
エアエアウ エウアアア
イエエエエ アウアエア
エアエウウ
ちょっと怪しい >>6
これが100点ならギリで受かるw
回答速報は公式待つのがいいのかな 問5
送信元Aは偽装でしょ。
アドレスAは攻撃元じゃない。 >>9
どういうこと?
なんか中継させられてるにせよ、その先でsyn/ack受け取ってるなら攻撃元ではあるんじゃないの? >>9
攻撃先aとするサービス妨害攻撃やで
宛先なしのパケットでaのサービスがしぬから >>11
そうだよね。
アドレスAに「おまいのパケットはおかしいだろ」が大量に殺到する。 >>14
終わった
午後2がむずい
認証ばかり出しやがって 問1と4選んだけどやけに簡単だったな
2も解いたけどちょっとあいまいな回答多くて止めた 問①②答えた。
てか前回あったリスク分析ないのね。。。 エアエアア エアアエア
イエエエエ アウアエイ
エアエウウ
ぽい エアエアア エウエエア
イエエイア アウアエイ
アアウウエ エアエアア エウエエア
イエエイア アウアエイ
アアウウエ 馬鹿を晒しておこう
ウエエウウ
イウエエイ
エウイアア
イウイアエ
アイウエエ
ウイアウウ
考えてもわかんないから適当に選んだ奴多しw
多分初っぱなから間違ってる >>5
とんでもない数のスタッフいたよな
案内員はバイトとして試験監督はIPA関係者なのか?
やけに年いってそうな人多かったけど 問1設問2(1)の秒数間違えたわ
500が正解っぽい 受かったかどうかわからんけど、CISSPの勉強を始めます! 開始前に配られた解答用紙の解答欄が字数制限なさそうなものばかりで配られたので
R5秋の問4みたいなものばかりと思ったら全然そんなことなかった 無理すぎワロタ
これおれの正答6割いってなくてもおまえらがカスなら合格なんだよな?
頼む、おまえら大問選択のマル付け忘れててくれ 前回って午後受けた人の何割が合格したんだろう。相対評価だからチャンスあるかも >>32
ありがとう。今回もそうなれば、もしかしたら合格してるかもしれない!難しいのはみんな一緒 備忘を兼ねて
問2
設問1
(1)公開用Webサーバー、取引先向けサーバーを攻撃対象に偽のIPアドレスから大量のGETリクエスト ← 「偽のIP」は余計だった
(2)不正なアクセスが異常として検出されない場合がある 普通に間違えた
(3)
b:DNS-K ←反対に書いた可能性
c:DNS-F
設問2
(1)
d:
偽サイトに利用者のIDパスワードを入力させ、それを利用して攻撃者が正規サイトにログインを試行
e:
利用者に届いたセキュリティコードを偽サイトに入力させる
(2)
メールリンクから開いたサイトではID、パスワード、セキュリティコードを入力しないよう注意
設問3
(1)設定Pで設定された順番でポートに通信要求
(2)盗聴したパケットから得たランダムデータを含めたSPAパケットは破棄されるから
設問4
(1) 外部ネットワーク上のファイアウォール
←FWaaSをイメージ
(2)インターネットから取引先向けWebサーバーへの通信が拒否されるから >>9
普通に過去問に同じの出てたから楽勝だったぞ
過去問道場1000回まわせ >>34
設問3(1)は順番関係なく突破できると書いてある >>36
その通り
できんかった人は過去問ぶそくやな 問3
設問1
(1) 9
(2) 問合せ機能で不正なスクリプトを含むリクエストを送信
問合せ管理機能でその問合せを表示して不正なスクリプトを実行して利用者情報を取得
設問2
(1) 窃取した利用者のSESSIONIDと攻撃者アカウントが正規に取得したcsrf-tokenを
セットしたリクエストにより利用者の意図しない操作を実行
(2)
a:×
b:×
c:× ← 〇が正解
d:〇 ←×が正解
設問3
(1)注文管理番号の英大文字6桁を総当たりで推測
(2)注文履歴閲覧はログインした利用者の注文だけを表示可能にするよう変更
設問4 ← よくわからなかったので問題文の書き写し中心
(1)SSRF攻撃はPOSTメソッドを使えないから
(2)クラウドWのクレデンシャル情報を表示するURLをパラメータの値にセットしてリクエスト
(3)トークンを発行するIDMSのURLをPUTメソッドでアスセスするようパラメータの値にセットしてリクエスト
得たトークンとクラウドWのクレデンシャル情報を表示するURLをパラメータの値にセットしてリクエスト
(4) パラメータを変更してもアクセス先は変わらないよう固定 てか午前1と2受けたけど過去問道場さまさまって感じだったわ
むしろこんなに出るのかよとビビったくらい >>39
設問4はURLを可変にしないということを中心に書けばすぐ終わった( >>42
フェイクかも
全ポート叩けば戻りデータで空きポートわかるんじゃね? 農工大のやつおる?試験に似合わないえちえち女おったやろ >>47
ネスペやエンベより多いと思う
2割くらいいたかな 3.期待する技術水準
情報処理安全確保支援士の業務と役割を円滑に遂行するため、次の知識・実践能力が要求される。
・情報システム及び情報システム基盤の脅威分析に関する知識をもち、情報セキュリティ要件を抽出できる。
・情報セキュリティの動向・事例、及びセキュリティ対策に関する知識をもち、セキュリティ対策を対象システムに適用するとともに、その効果を評価できる。
・情報セキュリティマネジメントシステム、情報セキュリティリスクアセスメント及びリスク対応に関する知識をもち、情報セキュリティマネジメントについて指導・助言できる。
・ネットワーク、データベースに関する知識をもち、暗号、認証、フィルタリング、ロギングなどの要素技術を適用できる。
・システム開発、品質管理などに関する知識をもち、それらの業務について、セキュリティの観点から指導・助言できる。
・情報セキュリティ方針及び情報セキュリティ諸規程の策定、内部不正の防止に関する知識をもち、情報セキュリティに関する従業員の教育・訓練などについて指導・助言できる。
・情報セキュリティ関連の法的要求事項、情報セキュリティインシデント発生時の証拠の収集及び分析、情報セキュリティ監査に関する知識をもち、それらに関連する業務を他の専門家と協力しながら遂行できる。 >>48
会場によって違うか
しかしエンベデッドよりかは、さすがに多いのかw 応用までは女子それなりにいたがやっぱり減るんやな
たぶん支援士とかプロマネは他よりまだいる方だと思うけど 俺の目の前が女子でロン毛をふわっさーするもんだからおいおい俺の顔にぶつかるだろと思った
あとうしろのおっちゃんがずっとため息ばかりついてたw 午前解答うpマダァ?(・∀・ )っ/凵⌒☆チンチン いつだったか、IPAのセキュリティ10大脅威や日経ネットワーク読んどきゃこんなの楽勝ってほざいてたのいたな
その時はそれで良かったんだろうけど、風向きが変わってきた感じかな
秋に受けて今回と同じようなら考えどきだなー 午後の問題の文字数が去年の秋の試験のときよりもめちゃ多い気がしたけど。どう? よしこいつらなら今回の試験は余裕だな
次回のSCの準備するか... 今売ってる参考書ってどれもセキュアプログラミングが薄いから改版するときにかなり分量増やさないといけなくなるだろうな
またはそこだけ独立して1冊作れるかもしれんが
JavaとJavaScript(とHTMLとHTTP)は避けて通れなくなるかもね Java開発者なのに全然解けませんでした足元見直します 午前2が10分で終わったが満点ではない
ISMAP-LIUとかSIM3とか知らん >>63
さすがにbyte列のメモリ開放はできたよな、、?
過去問にもあったし >>68
エラー処理部
try catchの二つ目 >>68
問4設問2(6)
try
catch
( )
当てはまるソースコードを書け
選んでないならしゃーないが、Java開発者ならほぼ満点だと思う 皆のコメントから察する得点率
午前
80%
午後
問1 50%
問2 65%
問3 50%
問4 45%
合格率40%だとすると、下駄はあってもプラス10点かな? finallyをfinalyって書いちゃいましたが、お情けないですかね。 実際はこう言うSyntaxErrorみたいなのは調整要員かもね
他の得点がボーダーから乖離してたらバツ、ボーダー近傍なら下駄か逆下駄かも 午後の問1の計算問題
これ舐めたら駄目だと思う
エンベデッドスペシャリストでもこれ系の計算問題あるんだが、結果と正当箇所照合する限り、1問10点あったことも
おそらく4点以上は確定で、8点の配点の可能性もある 午前2ってもしかして全部エって書いたら48点もらえる試験だった? あーだから問11の答えはもともとの過去問ではエだったのをイに変えたのか
さすがに半分以上エだとまずい大人の事情でもあったのやろうか 午前2、15/25のぴったり60点で首の皮一枚繋がったわ…
午後は正解かは別として解答欄は全部埋めたし頼むぞ 成績照会すると午前の得点が4の倍数になってないときがあったんだが、あれはなんなんだろ? >>90
午前Iは30問で1問当たり3.4点だから
ただし満点は100点とする 今回の午前IIは過去問道場ループだけでほぼ瞬殺できたで
唯一間違えたのが新問のISMAP-LIU 午前1,2はなんとか合格
午後は20点くらいだが、採点してもらえるだけでもありがたいわ 俺は午前2は18かな
まあ午後の問4が壊滅的なんだがね… わい今年で30代終わるんやが30代で取れなきゃアウトなんやろか... 午前1 20/30
午前2 15/25
今回は免除狙いだから、これで良いわ 午前落ち
午後が分かる内容ばかりだったのがもったいない 仮に合格したとて、高い金をお布施しないと支援士は名乗れない(不合格と一緒)の認識であってます? ipaが出す午前の解答は解答例だから、ipaの解答で60%いってなくても突破する可能性は1ミリあるよ 午前Ⅱ 16問取れてた…!
7/4まで生きる希望が湧いたよ 午前免除で三回落ちました。
無理そうなのでcisspに行きます。 15/25はセーフ、、で良いのかな
思った以上に間違ってた
午後は分からんかったから、午前通ってても仕方ないが気持ち採点はして欲しい cisspの方が難しいんじゃないの?
高いお金払ったぶん、合格した人はみんなそう思いたいだけ? >>112
確かにcisspは難しいと聞きますがマーク式なのとipaの変なさじ加減(下駄)で悩まなくてすみそうなので。 セキスペから支援士に移行した後は
合格率が20%超えたり午後が統合されたりしてたから
「2025年までに登録者数3万人」の目標を達成するために難易度下げているのかと思ってた
2019年に2万人くらいで頭打ちになって全然増えないから
諦めてセキスペ時代の難易度に戻す方向にシフトしたのかな 俺は答え合わせしないぞおおおお
7月まで寝て暮らすんだああああ 今回の午後問題、これまでの支援士ではなく、2008年以前のSV試験みたいなものだった
技術側全振り 午後がどうしてもクリアできず、もうこの試験に拘るのをやめます。 昨秋は午後問4が蓋開けたら大盤振る舞いだったからな
今回も午後は案外なんか書いてあれば点つく感じかも 俺、三回目だけど午前2は全部8割超えなんだよね……
今回は21/25だった。
午前2の難易度上げて、午後を易化してくれないかな。
令和5年秋はよかった。 >>117
マネジメント系はセキュマネができた
支援士は技術全振りで正解なんだよ セキュ真似と支援士の中間難易度の試験を新設してほしい。セキュマネと難易度の差がありすぎ。。 >>122
そこは基本と応用のセキュリティでカバーできてるでしょ
必須選択なんだから合格者はその知識を持ってると証明できる >>46
農工大だったけど、教室違いか見掛けなかった
試験落ちたことより悔しいよ 午前1(19/30)
午前2(15/25)
うひょーぎりぎり
午後無勉で問2以外全く分からずで絶対落ちてるからもったいなかったけど
>>103同様今回は午前1免除狙いだったのでまあ良し SC無理だからCISSPとか言ってるやついるけど、CISSPバカにしすぎだろ APのセキュリティ問題みたがゼロトラスト書かせる問題があるな これあれだな
プログラムから逃げるなってことなんだろ?
Javagoldとるか >>46
東農大だったけど、帰り講義棟から出るときに見かけたかも。
後ろ姿がかなりセクシーだった。
同じ教室にも可愛い感じの女の子がいたな。 >>106
〇 支援士は名乗れない
× 不合格と一緒
履歴書に試験合格は書ける(士業にならない他の高度資格と同等に扱われることもある) 税理士も科目合格で就職有利になったりするし
登録するしないは別にどうでもいいのでは? 受かっても登録する気は無いけど、合格から3年とかで登録資格も失うんだよね 一応全部埋めて提出したが時間ぎりぎり
問3
1-1 8
1-2 画面を開くとHTMLを攻撃者に送信するスクリプトを問い合わせ機能画面の名前入力欄に埋め込む。
サイトXの管理者が会員管理機能(閲覧、変更、削除)画面を開くと、利用者情報を含んだHTMLが攻撃者に送信される。
2-1 攻撃者は、アクセスすると意図しない会員機能(編集)のPOSTリクエストが送信される罠サイトを設置する。
サイトXにログイン中の会員が罠サイトにアクセスすると、意図しない利用者情報の変更が発生する。
2-2 ××××
3-1 英大文字6桁を総当たりで生成するリクエストを繰り返す
3-2 注文管理番号・SESSIONIDに紐付く利用者が一致しているかを確認し、一致時のみ応答を返す
4-1 GETメソッドで管理ログイン画面にアクセスしてもログインは不許可だから
4-2 パラメータの値をhttps://○○○.○○○.○○○.○○○/meta-data/credientialにしてGETメソッドで通信
4-3 パラメータの値にCRLFを挟むことでHTTPリクエストを分割する。
後続のHTTPリクエストは任意のメソッド・ヘッダを指定できるため、
トークン発行URLにアクセスしてトークンを入手後、そのトークンをリクエストヘッダに含めて特定のURLにアクセスする。
4-4 サイトYが受け付けるURLを、△△△.jpに限定する 問2は回答にNGワードが入ってるとか言われて書き込めん >>138
凄いな
問3ちんぷんかんぷんで適当に書いたせいで全く違うこと書いてたわ
また秋頑張るか… 問4とかをサクッと解ける人たちをIPAは欲しいんだろうな
自分は無理でした 合格しても3年経ったらなかったことになるのか。それは辛いな。そしたらもう1回合格すればいいのか。 ipaのサイトで調べたけど、登録期限はないって書いてあったぞ。ただし、登録してないのに名乗ったら罰金とのこと めっちゃかぶったなw
まあ知らないで受験してたのかよとは思うけど >>133
サーバサイドのjavaより、フロント系のjsとかhtml勉強したほうがええで 誰か採点してくれ
問2
設問1
(1)公開Webサーバに対して多数のアクセスを行う。または大容量データを途中まで送信する。
(2)正常なアクセスも異常と判断してしまう
(3)
b DNS-K
c DNS-F
設問2
(1)
d 攻撃者がVPN-Hに対して利用者IDとパスワードを使用して接続要求を行う。VPN-Hが正規利用者のスマートフォンのSMSにセキュリティコードを送る。
e 使用者が罠Webサイトにセキュリティコードを入力、攻撃者はVPN-Hにそれを送り接続する。
(2) IDとパスワードはVPN接続時のアプリ起動時以外は入力しないようにする
設問3
(1)パケットを盗聴することでアクセスに成功したIPアドレスからのアクセス順を割り出す。
(2)ワンタイムパスワードが含まれているので、再送では対応できない。
設問4
(1)公開WebサーバをCDNを使用する
(2)IPS機能によって不正なパケットを破棄できるから 続き
問4
設問1
(1)ア
(2) personal
(3) 6
設問2
(1) 7
(2) オーバーフロー ←不明な例外(発生)が正しいだろうなあ
(3)
システム運用担当者
ウ
氏名 住所 電話番号 郵便番号w
開発者
オ
氏名 郵便番号 パスワード
(4) SHA-256 ←ハイフンはいけるのか?
(5) this.passwordをクリアする
(6) finaly←finally w
(7) ア 2回連続で午前2を13/25で落とした…
過去問道場足りてないだけなんだろうけど、前回と同じザマで泣きたい
午後の答案はそれなりに埋めたつもりだったし、午後対策よりも午前2対策にもっと注力した方が良かったのかな…
午前1免除は次回がラストだけど家の都合で受験できなさそうだし、もう駄目だ 過去問道場やってるなら知ってると思うけど
過去2回分は出ない、みたいな統計は知ってるよね?
あと10回分程度でそれ以降はでても1,2問みたいなことも
高度の過去問は問題数が1回25問だから、午前1より回しやすいと思う
10回分やっても250問だし分野を指定で過去問すれば167問に削れるし >>151
設問1の(3)は4かな(作ったCSV使うのはそこ)
設問2の(2)はNoSuchアルゴリズム
設問2の(7)はイ
アはsaltがそのままパスワードハッシュ値に連結されるため漏れたらおしまい(saltの意味がない) javaはオワコンだよな
今はサーバーサイドでもjavascriptが主流
nodeってのがあってC++にコンパイルされるからクソ速い >>154
今回で言うとr5年のはでてなかったな
r4年以前のはかなりでてたイメージ 午後2自己採点したら16/25だった
でも午後はダメそうだなぁ personalに変えると重要情報にアクセスできる状態が解決しないからdevelopで正解だと思いたい >>155
ありがとう、全然ダメそうだね...
finallyとか郵便番号とか、くだらないところでも間違ってるし... 問4の設問2
(1)は5と7どっち?
(2)例外っていう回答は0点?
なんか下のコード見てたら、回復不能な例外発生って日本語で書かれたから釣られちゃったが
コードって書いて欲しかったな
字句だから日本語かと思ってた personalでええんやで
表内の一つ下の項目もpersonalや
そもそもデベロップでできることは限られててキツイで (5) this.passwordをクリアする
↑部分点きそうだね
一応ハッシュ化されないという問題は解決できている
まあエラーはかないから、どんどんパスワード空のゴミ会員増えて来そうだから丸はないけどな >>160
アクセスできるべき重要情報も見えなくなってしまわない?
/var/dataの770が問題だから他に変えるとしたらpersonalしかない感じ
だと思った >>162
5、該当のexceptionが発生するメソッドを使用してるから スレ見てると問2と4選んでる人多そうだね
やっぱ1と3は難しかったのかな? >>162
(1)は支援士ドットコムの掲示板でChatGPTに聞いてみたって言ってる人は5行目って書いてたよ
(2)は自分も”字句”って書かれてたから「アルゴリズム参照での例外」って解答した >>146
支援士はそういう責任だけはきっちり決められてるのに何も権限がないのがなあ SHA-256か
SHA256と迷ってごまかすためにSHA-2と書いてしまったw(がリストにはないな、、、) 問1と問3は皆回答がバラバラなんだよなあ
こんなので平均点が高いわけがない
これは厚い下駄に期待
問2は逆に皆できてるから逆下駄
問4は去年のノリで釣られた人が凄惨な点数とってる一方で開発やってれば8割いける内容なので、下駄逆下駄ともに無しとみた >>162
>(1)は5と7どっち?
「g」がexit(とか)なら、5でNoSuchAlgorithmExceptionが
発生したら終了するだけなので平文で格納される問題はなく、
""まで書いてあるからヌルポもない気がしたので7にしたけど、
あってるかどうかは分からない。 >>160
operatorが同一の所属グループなのが問題であって、batchappuserが重要情報を見れることに問題はないと思いました。 特に問1なんて500秒の計算問題すら間違えてる人が多く、平均点は3割とかじゃないのかな
点数2倍は言い過ぎだが1.5倍にはなりそう 各サイトでの予想回答は明後日くらいからかな?
それまで寝てるわ >>170
cryptrec暗号化リストに、ってあるのとプログラム的に動かんからリストにあるやつかかんとあかんね >>165
>>173
ありがとう。personalが正解だわ
operatorユーザで重要情報を見れるのが問題だと言ってたのか
あとレビューには書いてなかったけど重要情報を見る必要があるpersonalユーザが/var/data/の重要情報を見れないのも問題だったのか 午後も6割取れなきゃダメって認識だったんだが、今回みたいに午後難化した場合でも6割取れなきゃダメ? この試験受かっていてもCISSPの方が2倍くらい難しい。 支援士のな
まさか他の試験の過去問もやれいうんか?😡 問3
1-1 9
1-2 問い合わせ管理から管理者のsessionIdを盗んでなりすまし会員管理機能で普通に取得
2-1 XSSからのtoken奪ってなりすまし
2-2 ×○××
3-1 ハイフン以降で総当たり
3-2 リダイレクトに回数制限を設定
4-1 POST送信しか許さないから
4-2 FQDN+meta-dataうんぬんをURLにしてアクセス
4-3 改行ぶち込んでスクリプトでトークン発行→もっかい改行からのスクリプトで発行したトークンを埋め込み
4-4 リクエスト送る時ヤバそうな文字をエスケープする
問4
1-1 ア
1-2 develop
1-3 10
2-1 8
2-2 NoSuchなんたら
2-3 氏名、住所、電話番号、メアド(どっちも)
シス運:エ、シス開:オ
2-4 AES-256(なにそれ?)
2-5 エラーメッセージ通知して処理を終了
2-6 catch( IOException e)(無理)
2-7 ア
ツーアウトってとこか……? >>182
問4の採点結果 22点
問4
1-1 4点
1-2 4点
1-3 0点
2-1 0点
2-2 多分4点
2-3 項目 パスワードが抜けているので0点×2
記号 2点×2
2-4 0点
2-5 6点
2-6 0点
2-7 0点 問3で38点取れてればまあ合格でしょう
おめでとう 今秋この試験受けよう思いますが、
情報セキュリティマネージメント試験受けておいたほうがいいですか。
(本命はNW昨日の試験で午前1免除は確保したと思うけど、午後ダメで間違いなく不合格) 低減課金方式に関していえば応用情報の令和2年秋にあるね
午前I免除じゃないひとはとけたかもね 逓減課金は気象の逓減率知ってたから書けたな
一般常識の範囲じゃない? 低減課金は生活してたら何となく分かるっしょ
まとめ買いしたほうが安くなる的な >>187
正直意味はないと思うけど、試験に受かったという自信を付ける為には
ちょうど良いかもしれないねえ。毎日のように受けられるし。 今回あまりにも勉強時間が確保できなかったからスキップしたけれど午後難化だったんだ
受けなくて正解だった 午後問2の外部サービス、CDNのことか
通常のアクセス数がたいしたことなさそうと思って完全に外した >>195
この中のどれかならいい
SHA-224
SHA-256
SHA-384
SHA-512/224
SHA-512/256
SHA3-224
SHA3-256
SHA3-384
SHA3-512
MessageDigest Algorithms
https://docs.oracle.com/en/java/javase/13/docs/specs/security/standard-names.html 午後の問2、設問2(1)のDNS-FとDNS-Kの違いがまだ整理できず、教えてください。インターネット(社外)から社内の通信を一旦、フルサービスリゾルバ(キャッシュDNSサーバ)で受けてから社内(H社)の権威DNSサーバに送るのではないでしょうか? 事前にここに書かれてたセキュリティ10大脅威読んだけどマルウェアなんか一個も出なくてワロタ
問一のjndiとか何やったら出てくんの?w
未知の技術すぎて笑ったわ 問題作ったオジサンたちは、このスレ見ながらニヤニヤしてそう >>200
インターネットからフルリゾルバへの通信を受け付ける(オープンリゾルバ)のは攻撃の踏み台にされるので良くない構成なのよ
なのでDNSを分割して社外へは権威DNSのみ公開する もう時代はマルウェアからセキュアプログラミングなんや!! 来期はWeb少なくなってAIが追加されるんだろうなあ レインボーアタックへの対策だからイだよ
平文のパスワードにsalt付けてハッシュ化するだけ
平文のパスワードが脆弱だと、ハッシュ化しても公開されてるリストで逆引きできちゃうから
パスワードpassw0rdのハッシュなんて普通に出回ってるからね
平文のパスワードに複雑なsalt付けてハッシュ化すれば、元のパスワード分からないでしょ
そしてデータ定義はかえないと問題の指示
パスワードに256文字入ったあとにsaltを付けると字数オーバー
だからオも正しそうでダメ
そもそもアなんて、皆同じsalt付けてるのバレバレだからsaltが意味をなしてない 「パスワード」が抜けている解答が多いですね。
ハッシュ化されているからセーフとでも思ったのでしょうか。
「パスワード」は重要情報に該当し、重要情報にはアクセスしてはならないとあります。
素直に読めば、「パスワード」はアクセスしてはならないと読めますよね?
百歩譲って、ハッシュ化されていればセーフだとしても、
修正前のプログラムに対する指摘事項なので、
パスワードがハッシュ化されていない可能性があることも考慮すると、
やはりアクセスしてはならないとしか読めないです。
全て書け系は完答で点数が得られます。
この問題は4点✕2から6点✕2までの可能性があり、
「パスワード」が抜けた方々は、8点から12点までの失点です。
不合格の大きな一歩を踏み出したと言えるでしょう。 >>210
saltは呼ばれる度に変わるのでは!? https://it-trend.jp/encryption/article/64-0068
ハッシュ値から元のデータを割り出す方法がないわけではありません。そのため、第三者に元のデータを知られるおそれがあります。そのリスクに備えて、ハッシュ値の強度を高めるために付加されるのがソルトです。
ソルトはハッシュ化前のパスワードに付加する文字列で、これによって不正な復号を困難にします。
ソルトはハッシュ化前のパスワードに付加する文字列で、これによって不正な復号を困難にします
ハッシュ化後にとってつけるものではない そもそもハッシュ化したやつにsaltくっつけるやり方したら、文字数的な問題で
先頭と末尾の何桁かがsaltか疑うね
ランダムな文字列だろうと、桁数が分かってしまうのは危険 攻撃者
わざとpassw0rdのような舐めたパスワードで登録
ハッシュ化したものは持っている
salt+(パスワードのハッシュ化)できたものを入手できたとする
文字列比較して、(パスワードのハッシュ化)部分が分かるので、残りがSALT
以降は攻撃者はSALTを除外した文字列
つまり(パスワードのハッシュ化)したものでレインボー攻撃できちゃう
これはいけない
よって、ハッシュ化したものにsaltをつけるのは非常にナンセンスであり死に値する >>216
ワイも最初そう解答しようとしたが、今回の場合saltがコロコロ変わる+DB変更出来ないからsalt覚えられないから、ハッシュ前に使ったら復号出来なくなると思って変更した…… 秋に向けて徳丸本とやらを勉強しようと思うけど、それを理解しても次は別の軸の問題に回答出来ない不安しかない >>207
200です。理解できました。踏み台攻撃対策なのですね。ありがとうございます。 パスワードのハッシュ化の問題、パスワードの検証時(ユーザーのログイン時)にハッシュ化前のsaltが必要。
今回はDB定義の変更がないかつ他の方法も記載がないからパスワード列に入れておく必要がある。
そのため、ハッシュ化前のsaltをセットしているアかエ。
エはハッシュ化にsalt使ってないからレインボー攻撃対策にならないからアが正解だと思う。
他の選択肢はハッシュ化前のsaltがどこにも保存されてないからダメだと思うんだよね。 >>223
ハッシュ時にsalt使ってるからレインボー攻撃は出来ないんじゃない?
他はsaltを保存してないからログイン時の検証が出来ないし。 アは適当なワードで何回か試行したら平文のソルトが解析できちゃうのでは?
どこまでがソルトか解析できたところ平文のパスワードが解析できるわけじゃないから問題ないという話?
ユーザーマスターテーブル以外でソルトは管理するものだと勝手に思ってたわ cissp持ってますが、今回受けてみて普通に難しかったです。午前は通りましたが、午後は自信ありません。
逆にRISSの勉強だけでcissp取れるかと言われたら、範囲が被ってないところもあるし、どっちがより詳しいというか、この分野はこっちが詳しいみたいなイメージです。
ちなみにcisspは今回の改正前に受けてます なんだかやることなくなって寂しい
(まだ受かってないけど)
お昼休みはいつも過去問道場をポチポチしてたのに
(まだ受かってないけど) IPAの試験って前提条件や定義が曖昧な問題が多くて相性悪いわ レインボー攻撃への対策でsalt使うってなったら、
基本的にイなんだよ
アだと、桁数が増えた分がsaltだとバレたら終わり
ユーザごとにsaltは異なるようだが、
同じユーザであればsaltは変わらんようにも見える
パスワード変更を試し、ハッシュ化後の文字列見比べて、同じ部分がsaltと見分けられちゃうね >>228
それどころか解答例すら「ぼかす」のか「具体的なのか」の線引きが曖昧すぎる ソルト自体は同じDBに平文で見えてても、ユーザーごとに変わるからユーザー数xパスワード分のレインボーテーブル作るのは至難だし、対策はできるってことか
まぁアが正解なんだろうな 登録期限は3年って何かで見た気がしてたけど勘違いだったのね、スマン
>>200
リゾルバは社内の人間がアドレス解決に使うDNSで、社外の権威サーバに問い合わせた返答をキャッシュする
権威サーバは社外のリゾルバからの問い合わせに対して社内の公開サーバのアドレスを返答する
外からの通信が必要なのは権威サーバだけ キャッシュDNS(フルサービスリゾルバ)を外部からのアクセス許可にすると、外から名前解決しまくる攻撃でパンクするとのこと
権威DNSは外部のキャッシュDNSからのリクエスト受け付けないとHPが見れなくなっちゃうのでアクセス許可は必須 リゾルバ自体が解決って意味だからな
内部から解決するにはパブリックDNSへの名前解決をキャッシュしておく必要があると言う理解だ 権威サーバ=外部公開するんだからパブリックな環境である必要がある 問題1の問3(2)どっちもheaderが正解って話マジ?
意味不明だったからどっちか当たってること祈ってどっちもheaderって書いたんだけどワシめちゃくちゃ得してる? 問2の設問2(1)のdとeってどうやって分けて書くんだ?
ノリか? >>229
>パスワード変更を試し、ハッシュ化後の文字列見比べて、同じ部分がsaltと見分けられちゃうね
どうやって?
塩も含めてハッシュ化するんだから、ハッシュ値見たところで区別出来ないと思うのだが 外部サービスとか意味不明すぎてオートスケール可能なクラウドサービスって書いちゃったしその理由はCDNで負荷分散って書いちゃった CDNやWAFだとDNSへの攻撃を防げないからFWaaS的なサービスが必要じゃないかと思った >>225
ユーザーのデータだけ漏れても攻撃者はどこがsaltかわからないよ。saltもハッシュも規則性のない文字列だから。
プログラムの実装も漏れていたらsaltは判別できる。ただレインボーテーブルは使えないからユーザー数×レインボーテーブルのハッシュ化が攻撃者に必要になる。
プログラムの実装も漏れているケースは、saltをユーザーのデータとは別に保存する仕組みが必要になるけど今回はそこまでする必要性の記載がないからアで十分ということだと思う。 >>238
headerじゃない?
俺は最初分からなくてanyにして終了10秒前くらいにheaderに気付いたけど書き直せなくて損したわ
多分落ちた >>242
輻輳だけを解決したいように見えたんだけど。
根本解決も狙ってたんかな。
題意が読み取りにくいね。 プログラムの実装やテーブル定義がもれてなくても、ユーザーごとに100%異なるものじゃなければ重複チェックである程度のソルトの文字列長の推測はつきそう
それでもソルトxパスワードの数だけテーブル作らないといけないことには変わらないのでアですかね… 問2設問4(1)は、CDNかWAFかで迷ったから「DDoS攻撃を遮断可能なクラウドサービス」って書いたわ CDNって書いちゃったけど、問題読み返したら対策対象にDNS が含まれてるからプロバイダーのDDoS対策サービスとかの方が正解になる気がした >>247
saltはユーザー毎に異なる固定長の文字列と問題文にあるからsaltの重複は想定しなくていいよ。
あとsaltがわかってもハッシュ化の実装がわからないとどうしようもない。
今回は「salt+パスワードの文字列」をハッシュ化していたけど「パスワード+salt」でハッシュ化したらハッシュ値は全く異なるものになるからね。 >>250
ユーザーごとじゃなくてメソッドの呼び出しごとって書いてあるから生成のアルゴリズム次第では厳密には重複する可能性は否定できないんじゃないかと
まぁ32バイトだからほぼかち合わない想定なんだろうけども 「ユーザーマスタテーブルの定義に変更はないものとする」って書いてあるから、ハッシュ化したパスワードに32バイトのsaltを連結してDBに保存しようとすると、文字数オーバーでエラーになりそうですけど…… 前スレで叫んでいるやついるけど午後簡単やろ
最初意味不明だったがよくよく読むと簡単だった 午前一も考えればわかる問題
午前二は単なる知識問題
午前2では絶望感したよ ネスペの午後2問2はセキスペそのもの
じゃあこの資格はなんなんだっていう 今回、標的型サイバー攻撃とネットワーク周りを一生懸命勉強して臨んだ人と仲良くなりたいな。
手元の参考書を見る目も変わってきそうだ。 >>245
サンガツ
最後の最後でも理解できるだけマジですごいと思う、ワシにゃ問題2しか自信持って解ける問題なかったワ TACの講評では難化ってなってるね
問題選択の幅の無さ、細かい技術知識そのものが問われる、問題冊子のページ増などが理由 SC2回目だけど
昨日ので、問題選択の幅がないとかイミフだけどなw 午後のガチプログラムは問4だけで、残りは普通の情報セキュリティの問題
プログラミング関係ない >>243
問4設問2(7)
パスワードだけハッシュしても逆引きでばれちゃう。
そこで塩をかけてハッシュする。そしてそれを取っておく。
認証の時は、同じようにパスワードに塩をかけてハッシュする。
つまり塩は平文でなければならない。
イ:塩が不明(固定じゃないので)
ウ:塩のハッシュがあっても戻せない
エ:塩かけないでハッシュしてる。塩の意味なし。
オ:何をしたいのか分からない。
ア:ハッシュをお漏らししても大丈夫なように塩するのに、塩と一緒に保存するの?
正解はアとエ。ハッシュに塩されているかだけの違いw
エはレインボーテーブルで正解が見つかっちゃうけど、
「塩されたハッシュ値とタマタマ同じなんじゃないの?」
と攻撃者が混乱するので効果は同じ。どや。 午前2
10問も間違えた。おわた。秋よろしくな\(^o^)/ 初受験で午前1と2それぞれ18問16問正解でギリギリ通ってたわ
午後の解答は合格発表直前まで見られないから落ちてる前提でComptia CASP取って基礎知識固めて秋の午後に備えよう >>266
10問間違い15問正解ならギリセーフやぞ 別にハッシュ値と一緒にソルト保存してもいいよ
Bcryptでもそうしてる 午前IIは3回前の出題から頻出ルール
朝起きてすぐR4秋の午前IIやって助かった
新問以外は対応できる ユーザマスターテーブルの桁数定義あったんか。完全に見落としてた 2ヶ月以上は長いな
いつまで紙の試験やるつもりかね >>252
SHA-1が160bit、SHA-256が256bit、この段階であふれないんだから、
ソルトを連結しても大丈夫そう >>272
これやネスペはCBTより筆記型のほうがいいと思う(書いて覚える=写経)
AUやPMなどの論文式はCBTがよいが(書く文字数が違う) いろんな方の意見見てたら、設問2の(7)はイじゃなさそうですね。
自信満々に書いた所なので残念です。 >>274
勉強時に覚えるために手で書くのと本番でPC入力できるかはまた別の話では >>276
CBTだと白紙だけ渡されて問題文に手書きもできない >>272
セキュマネをCBTで試しに受験したことあるけど、9割超だったもののUX的に結構しんどかったから高度系でCBTはきついと思う。 アが答えなのか絶句
もう終わりだよこの試験
データ定義うんぬんのとこは桁数変えないという意味だと思ったわ
上限桁数設けてたら長くなるからダメだと思ってイにしたんや
しかもナマsaltを見せびらかせずにすむしね
大体ナマsaltを保持するクソ設計にするなや
あーちんぽ そうそうちんぽと言えば、俺午前2が満点だったんや
7分でな
ここは褒めてくれ誰か >>279
こんな変なデータ構造を本番に適用するのがおかしいと思うのは正論 セキュアプログラミングを完全に捨てて前回合格した文系脳の俺、低みの見物 >>281
大事なsaltを晒すのが正解の問題なんか作るなや
桁数の問題は完全にクリアだと思ってない
ワンチャン不適切問題で全員不正解になるように調整したいレベル
死なば諸共 あと項目列挙する問題
あれパスワードも入れるであってるよな?
禁止リストに入ってるけど、まさかこれにも罠あるの?
問4が30点いけるかどうかで、ワンチャンかノーチャンか分岐なんや
問1が20点、下駄10点で救われたい、救いはないのdrすか >>279
>データ定義うんぬんのとこは桁数変えないという意味だと思ったわ
塩フィールドを追加しないの意だろう
そもそも桁数書いてないし
生塩取っておかないと認証時にハッシュできないし
>>281
引っかけ問題のような気がするね。
塩残したらダメじゃん?と思わせておいて、
でも残しておかないと意味ないという。 意地くそ悪くて草
ただ幸いだったのが、大半の人がイやオだったので、そこまで大きなハンデにならないこと そもそもソルトの取得元の記述って問題にあったっけ?
ペッパー化を前提に環境変数から取得とか
自動発番されて更新されないID系カラムを特定のアルゴリズムでチェックディジット化するような実装が別途あるような感じで
周辺の実装は深く考えずに当然イだろうってしたけど
問われているのはレインボーテーブル対策なんで
ソルトをどうストアするかは本題じゃない気がすんだよね >>288
メソッド呼び出し時に毎回違う値が渡されると書いてある。
データ定義を変えない(別メソッドで更新されることを臭わせていない)、
別途保存するとも書いてない。すると保存しないとダメなのでは。 ソルトもハッシュ化(ストレッチ)して使うので、通常は同じテーブルに保存しても問題ないよ。天文学的な計算を一瞬で実施するようなコンピューターが現れるまで問題ない 逓減課金方式の逓が、読めなかったwww
情けない。(涙) SIM3がなにかは知らないけどセキュリティインシデント管理がどうこう書いてあるから
これなんだろうと思い選んだら合ってたわ 午前1:19/30 午後2:21/25
なんとか午前1免除獲得できたけど午後通ってる気が全くしない
SCの合格発表まで他の高度の勉強して落ちてたらSCの勉強もっかいするか なんでもかんでも暗号化やらハッシュ化してセキュアにすればいいってもんちゃうぞ
パフォーマンスとコストを考えた設計じゃないと現実世界では通用しない >>291
日本人?
それとも高卒?
本気で知りたい >>270
そうなのか
くだらん暗記問題yめればいいのに 1パターンのハッシュ化なんて、ストレッチ回数が万単位でもパフォーマンスに影響なんてないわ
パスワードファイル奪ったあとのオフライン攻撃で総当りの組み合わせ検証をするときにストレッチがきいてくる 逓減はまあまあ難読。というかど忘れぐらいあるだろ。
俺はCDNコンテンツデリバリーネットワークという単語がどうしても出てこなかったわ。 >>291
①はあり得ないとして他に減ってるの1つしかなかったから読めなくても問題ない! プログラム読めないやつはいらんはわかるんだけど
そうなると今度はなんでJAVAなんだよって話になるよな >>299
読みのど忘れであっても意味はわかるだろ
そもそも万一言葉を知らないとしても漢字でわかる 秋も受けるつもりだが、次Pythonになったりしたら泣くわ セキュアプログラミングは避けて通れないようなので一から勉強します。初心者向けのお勧め本を教えてください。徳丸本でしょうか? >>304
まったくの初心者なら
JavaでもCでもなんでもいいから言語の基礎からやったほうがいい
いきなり徳丸本なんか読んだら詰む 徳丸本はシステム設計における攻撃と防御の方法が書かれてある
セキュアプログラミングとは関係ない
今回だと問3のような問題には対応できるが、そのほかは違う >>301
Java専門ではないが、C++との親和性は高い
書けなくてもなんとなく読める SCに限らずIPAの試験って意図がわかりにくい設問出しときながら「気付けない奴が多かった」みたいな講評出すからな
性格悪いコミュ障かよ
午前もISMAP-LIUとかSIM3みたいに設問文の内容から英単語思いつくかどうかみたいなのばっかだし
真面目に勉強するのアホらしくなるわ >>309
そういうたまに出る悪問を含めても実力があればちゃんと6割は行くようになってるから行かないんなら単なる実力不足。 >>310
4割がそういう意味不明な運ゲー問題、4割が意味わからなくても過去問丸暗記で解ける問題
まともに考えさせる問題なんて2割あるかないか
その2割も半分くらいは意図曖昧なのだし
これで何を測るんだって話
運かな コードが書いてある問4だけ少し易しめに作ってその他鬼難易度
プログラミングから逃げるなと訴えたいような >>309
これ、実際困った人が気がつく気がする。
苦労共感問題 普通にIPAの資料でセキュアプログラミングのpdfあったはずよ いやー問4のプログラミングも別にやさしくないな
最後の問題とかレインボー攻撃の対策に加えて、変な前提条件で答えさせる嫌がらせみたいな問題だったし
そもそも全て書きなさい問題もあったので、満点はそうそういないはず
問2が比較的簡単
問4普通
問1問3 やや難(解答がバラバラ) 問題に登録セキスペが登場して色々指摘するけど資格取れてもこんなに網羅的にコンサルできるものかな。
会社にもホルダーはそこそこ居るけどセキュリティの仕事なんかほとんどやってないしな。
逆に激落ちしてる俺がそれ系の仕事させて貰ってるのも妙な話だ。 >>317
問2も設問2(1)の満点は難しそうだし、設問2(2)、設問4(1)の正答はいまだ割れてるという
多少ミスっても6割はいけるかという感じではあるけれど 講評予想
問1 全体として正答率は低かった。
問2 全体として正答率は平均的であった。
問3 全体として正答率は想定以上に低く、誤解が多く見受けられた。
問4 全体として正答率は平均的であった。 基準予想
正答率が
高い 70%程度 (35点)
平均的 60%程度 (30点)=合格ライン
低い 40%程度(20点)
想定以上に低い 20%程度(10点) >>296
午前IIの問題対応
R6春 R4秋
問2 問1
問3 問2
問4 問3
問5 問5
問11 問10
問16 問16
これだけで24点取れる
その他、R6春午前I問15がR4午後II問13に対応 暗記しなくても午前2くらい問題少ないし余裕だろ
そこで苦労するってなんなんだよw いくら取れてるか全然わからん
例えば問3が40点、問4が10点だとして、3の平均点が異常に低かったら下駄がついて合格、とかもあるの? この資格を受験するマジョリティって上流メインの大手、準大手のSIer所属だろうからコードを基本書かないもんな
新人のときに請負にまじって少し書いたことある程度では 入札に参加できる規模の企業だと入札要件にSCかCISSP保有者何人とかあったりするので必然的に大手SIerが多くなる
実案件での有用性ではベンダー試験のほうが役に立つと感じることは多い >>305、他
304です。アドバイスありがとうございます。 午後問2の最後から2番目はCDNなん?
書いてないが毎日数十万リクエストあるわけでもない、たかが企業サイトでCDN??
コスト的に割に合わんと思う
サーバ側での対策ではなく、通信に限定したものではないと正解にはならないと思うが 大問3のラストってhttpリクエスト内にエスケープ処理を施すじゃダメ? 大問3のラストってhttpリクエスト内にエスケープ処理を施すじゃダメ? ジャンプURLを固定値にしないと変なサイトに飛ばされるから×と思う WAFってDDoS対策か?
どちらかと言うとアプリケーションレイヤーのファイヤウォールだからSQLインジェクションとかXSSとそっちのイメージなんだけど 普通のWAFにはそんな機能ないけど、クラウド型ならDDoS対応オプションサービスもやっているところがある >>328
CDNやWAFだとUDP Flood攻撃やSYN Flood攻撃の通信を通しちゃうから部分点になりそう 得点予想してみた
問1
設問1 3点
設問2 25点
(1) 4点
(2) 4点×2=8点
(3) 6点
(4) 2点
(5) 5点
設問3 22点
(1) 6点
(2) 1点×2=2点
(3) 6点
(4) 4点×2=8点 問2
設問1 12点
(1) 6点
(2) 4点
(3) 1点×2=2点
設問2 18点
(1) 5点×2=10点
(2) 8点
設問3 10点
(1) 5点
(2) 5点
設問4 10点
(1) 4点
(2) 6点 問3
設問1 8点
(1) 3点
(2) 5点
設問2 10点
(1) 6点
(2) 1×4=4点
設問3 12点
(1) 4点
(2) 8点
設問4 20点
(1) 5点
(2) 5点
(3) 5点
(4) 5点 問4
設問1 10点
(1) 2点
(2) 4点
(3) 4点
設問2 40点
(1) 5点
(2) 5点
(3) (4+2)×2=12点
(4) 4点
(5) 6点
(6) 3点
(7) 5点 >>322
うわ酷い
>>323
単なる丸暗記問題は良くない
午後は知らなくても解ける
大きな違いだ >>305
詰むということは達成できたということだな
いいじゃん 午前ⅡのCache-Controlの問題って結局no-storeが正解だったんだね
あてずっぽうだけど正解してた >>329
はい
もうひとつ、問4設問2(3)
図2のユーザーマスターテーブルのパスワードの注に「パスワードのハッシュ値が格納される」とある。
問題文は、「ユーザーマスターテーブルの列名で全て答えよ。」
パスワードは重要情報だが、テーブル列のパスワードはただのハッシュ値で、ハッシュ値は重要情報とはされていないと考え、
アクセスできる情報から除外してOK?
これだけで10点は変わってきそう >>348
なるほど。
問題開始時点では、平文でパスワードが格納されちゃう問題があったので、
それが解決した後なのか前なのかでも違いそうな気がする。 >>329
採用されたかは謎だが提携企業500社に接続専用PC配るよりは安く済みそう >>348
たぶんそれでいい
注)がなければ機密情報として入れるべき情報 >>348
「データ項目」がパスワードであれば、格納された中身がハッシュしてようが平文だろうが重要情報に該当する気がする 問われているのはアクセス制御の話なので、パスワードがハッシュ化されているかどうかは関係ないと思います。
また、図3のハッシュ化処理だと
@ハッシュ化されずパスワードが平文のまま保存される可能性がある
Aハッシュ関数に推奨されないものを使用している
B(後述される)レインボーテーブル攻撃でハッシュ値からパスワードが解析される可能性がある
といった問題点があるため、ハッシュ化を行っているからといってユーザーマスタのパスワード列は見えて良い情報とは思えません。 >>352-353
そう思えるようになった
これを落としても大やけどはしないからまだいいけど
プログラムの処理をする上で注)をわざわざつけたのか、紛らわしい
関係ないが、例外で落ちてパスワードに平文を格納したとしても、次の検証で失敗する トラフィック増加対策について「通信回線の帯域を大きくするという方法のほか、」って書いてるから
総合的セキュリティを提供するクラウドサービス全般の話を聞きたいんじゃないだろうと判断はした
SYN FloodやUDP Floodは別途UTMで対応するみたいだし、トラフィック増加はCDNで解決するんじゃないですかね
まぁなんにしろ設問が曖昧すぎてわからんが >>356
速い回線にする だったりして
帰って被害が広がるかw >>358
問題文読んで即頭に浮かんだのがこれ
メインはWAFなのだが、ホスト側の作業はDNSの設定変更だけだから 多分ネスペ通ったと思うので支援士を秋に受けようと思うんだけど
おすすめの勉強法はある?
ひとまず3000円くらいの網羅してる参考書買って午前2までは道場回して勉強するけど
午後も過去問解きまくる感じ? ネスペ持ちは何もしなくてもOKとは言わんが、
過去問の数が年2回で多いから問題数には困らん
適当にループでOK >>360
今ここにいるのは、受かったかどうかわかんない奴だらけなので
合格発表後に来た方が良いと思うよ。
ちなみに俺は過去問一個もやらなかった(できなかった)。 >>360
NWギリで取れなかった頃でもSCは安定して過去問は7割超えてたし実際問題なく受かったので参考書読んで過去問解くだけで大丈夫。 >>360
これからはセキュアプログラミングをガッツリやらないとダメ
Cとjavaは捨てていいから、javascriptとhttp周りを集中的にやる >>361-363
なるほど。ネスペは過去問10年分やったが、そこまでガチらなくても良さそうだな・・
>>364
これは本当なのか?
セキュアプログラミングを回避してる人が多そうだったけど
ワイはWEB系じゃないけど、コード読む方が分かりやすいので、プログラミングでもいいと思ってるけど 自分もネスペから来たけど、とりあえず馴染みのある左門、次に午後の重点対策、最後に村山本って感じで進めたな コンプラや情報セキュリティ厳しくなって取引先企業にpcやモバイル端末支給するのは割と当たり前になったな
昔のノートpc1台支給するのにもクッソ渋ってた時代からしたら隔世の感がある
今から思うとあれは当時のIT音痴経営層の嫉妬が大きかったと邪推してる >>367
責任逃れが大きいと思うよ。
壊したらどうするなくしたらどうする vs 法律違反は上の人の責任だよ?
前者は保険でもかけておけば済む話w 問4の設問2(2)で回復不能な例外って書いた兄貴いる?
あそこ日本語で入れるんじゃないんか ネスペSC持ちだけど長文でネットワークネタ来たら勝ち
あとは主要な暗号方式とかセキュリティ的に必要な語句押さえとけばいい
ネスペのアドバンテージは大きいので余程舐めてかからなければ通る
過去問3年分やれば60点ラインにはのるよ >>369
Java開発してたけど回復云々とか言ったことないね
「例外」としか書かなかかったわ。
あのメソッドにはthrowsとかないし呼び出し元には例外が飛ばない。System.exit();してもサーブレットだと思うのでなんか上手く行かないと思うんだよね。 下のコードのコメントに引きずられたな
普通にコードかいときゃよかったら
回復不能な例外が0点でないことを祈るだけ >>369
同じく日本語書くと思って
「アルゴリズム参照での例外」
って書きました。 >>369
絶対間違った俺が言うのもなんだけどw
catchできるんだから回復可能なのでは... 利用する外部のサービスにCDNじゃなくて、サーバ類のホスティングサービスって書いたけどダメかな? 会場出たころは9割くらいいけたと思っていても
後でボロが出てきて70点前後かと考えるようになった
それでも59点以下はないと思う
60点でも100点でも合格には変わりないが
7月までこの状態が続くのは健康によくない 合格ラインの素点はこの辺?
問1 15から25点
問2 25から30点
問3 20から25点
問4 20から30点
今回は白紙に近いズタボロの人が多いので、素点6割あれば大丈夫
問1は答えが分かれてる上に、計算問題、用語問題すら正答率が2割程度
相対評価なんで25点あれば合格ラインだわ
問の組み合わせにもよるが、
素点35点あれば奇跡が起こる可能性ありで、
素点55点あれば合格 >>378
ポスティング使うとfwの通信量下がるよ >>377
IPSがない環境でサーバーが攻撃を受けてしまうような >>383
ipsの画面って見たことないんだけど。
常時オペレーターが監視してる感じ?
それともインシデント発生時にメールとかで発報してくれる感じ? >>384
有料のSoCはゼロデイに備えてにらめっこしてるが
IPS取り付けてるだけの運用はメールなりパトライトなりで担当SEに連絡の電話するくらいだよね。
まぁ9割誤検知 >>390
そうなんだ。誤検知でも報告書とか作ることになるんだよね。大変すぎるな。
問2の規模の会社だと、専任のオペレーターさんを貼り付けとくのは難しそうだな。 https://www.itec.co.jp/auto_mark/
なぜかリンク貼れないからここから
問2
設問4(1) クラウド型DDoS対策サービスって何?
問4
設問2(3) パスワードなし
これなら80点いけるわ ID入れると予想配点も出てきた
厳しめに見ても75点あるわ クラウド型DDOS対策サービスwww
すごいな。そんなのあるのか。
クラウドからトラフィック監視してインシデントがあったらFWを自動で操作?
ものすごい脆弱性がありそうなサービス。絶対に使いたくない。 cloudflareのDDOS緩和サービス知らねぇのかよ
ある程度信頼できるしちゃんとしたサービスだよ
攻撃阻止までは使えない、あくまでも緩和だけと考えたほうがいい
あとDDoSのトラフィックで従量課金されるので、テラバイト級の攻撃が来たらサーバ運営者の資金はショートする
つまり攻撃者札束で勝負することになる
…いやぁDDoS対策は大変ですね 支援士会の解説にもあるけど予備校の正答例はだいたい8~9割と思っておけばいい
それで80点あれば下振れしても60はある 正解かもしれんがddos対策の答えとしてクラウド型ddos対策サービスを想定しているとはとても思えない >>400
問「うんこをもらさなくする方法は何か、具体的に答えよ。」
答「うんこを出さない」
これと同じレベル、まだ「おむつをつける」のほうがまし 問3設問2(1)はCSRFでなく中間者攻撃っぽく書いてしまったが部分点もらえるだろか 次回は手書きでコーディングさせられるんじゃないのw アイテックの通りなら問2は7-8割、問3は5-6割でなんとか合格や! あっ問2()
逆下駄で10点以上下がりそう
皆の出来がいい唯一の問2は点取れてなきゃ終わりでしょ
itec答えが酷すぎて草w
問4のチェック例外ってなんやろかw 会社の信頼を落とすことをわざわざやって恥にならないのか>itec DB受けた時もitecので採点したら60前半だったけど、実際には80後半あったしあんまりあてにしない方が良いかも。 問1
\W j|J n|N d|D i|I \W
えぇ
これで良いのかitec >>404
去年は手書きでJSON書かされたからあり得なくはない itecの解答よりもこのスレの有能兄貴の解答の方が普通に良さそうだわ
TACしか勝たん https://itpfdoc.hitachi.co.jp/manuals/3020/30203K1060/RLSY0227.HTM#ID01071
OR条件の縦線「|」は正規表現の中で優先度が低いため,OR条件が掛かる範囲を明示的に指定する必要があります。範囲を指定しない場合,動作しない,または誤動作する原因になることがあります。OR条件の範囲は,条件が掛かる範囲を小括弧「( )」で囲むことで指定できます。
誤作動起こすこともあるけど実はダメでもないということなのか >>365
3年6回分もやればほぼ全てで6割超えてるだろうから、その時点で問題ないなと感じると思う。
道場はやろう。
セキュアプログラミングは、分かってる人間からしたら当たり前の話(というかセキュアプログラミングの方がレベルが低いのではと思ってもおかしくない)ばかり出る。
出題レベルを理解してないでコード書いてるならバグの温床でヤバいだろというくらいの話も多い。
自分はインフラ系でプログラミングはほぼやらないんだけど、参考書や過去問見てそういう印象を持った。 セキュアプログラミングは本職ならほぼ満点とれて当然のような出題しかない
なお今回は2つ落とした(理解していてもしょうもないミスはする) itecみたけど、問1と3。ワイの選んだ解答に近いわ。DBは持ってるし、次はpm受けるか。 RISS10月登録の締め切りが8/15で、7/4合格発表だと
原本の証書の到着まで1ヶ月とみて、余裕が2週間弱しかないのだが・・・
もっと早く送ってくる可能性ある? >>423
登録した方が良いのですか?
実際に士業として役立つことってありますか?
以前、中小企業のIT投資減税の条件にはあったようですけど >>424
今の仕事内容による
不要と思うなら登録しなければいい
持っていても金食い虫だから >>424
支援士の登録証の写しと押印
ちゃんとコンサルタントしましたよの証明書
等の面倒くさい奴で最大5000万円減税されたやつかな?
あれは通った件数とか支援士側に実際に払われる報酬額とかはどうだったのだろうか… マジで申し訳ないんだけど普段eclipseが諸々勝手にやってくれるからあんま理解してない アレだけど普段eclipseが諸々勝手にやってくれるからあんま理解してない itecの速報だとそこそこ点数取れてそうだけど…7月まで合否がハッキリしないのは気持ち悪いなあ 絶対落ちてるけど午前は通ってるから期待しちゃうよな
どうせ落ちてるんだけど >>410
これ普通に考えたら\Wj、Jn、Nd、Di、I\Wのいずれかになるよな
[Jj][Nn][Dd][Ii]て書くのが普通だと思う
ステートレスが出てこなくて問1外したけど結構簡単だったかも TAC、アイテック両方見たけど、問3やべーなー
良くて5割やわ… 問2選んだ人は6割取れてる人多そうだけど、もう片方で爆死してる人が多い感じかな
俺も問1はダメダメだ irecとTAC、記述は多少のブレは仕方ないとして問1の2-4選択問題なのに一致しないのやばくないか。
掲示板上の解答はサービスMが多かった印象だけど、共通モジュールPとサービスLで全部バラけてんじゃん 実務と重なっていた方、おめでとうございます。
今回の学習に高いお金を支払っての対策講座などを
考えなくて良かったと思える。 甘々に採点して55点。ダメか〜
finalyって書かなければ59点でまだ希望があったのにw 問3も問4もギリ30点ぐらい
まあ合格やろ(慢心) 問4 設問2(3)の重要情報にパスワードは含まれるでいいのか?含まれないのか?
これで合否変わりそうなんだが >>436
ipaは問題文はすぐれてるけど設問はぶっちゃけ糞やからね
時々ipa信者がいるけど…… 甘々採点で問1が31、問4が28、、、
これ重要情報パスワードの有無で8〜10点変わるのデカすぎる、まあワイは郵便番号入れてしまったので関係ないが
にしても下駄は存在しない派だったんだけど本当に存在するならやってくれ、難化なんだろう!? >>436
サービスLに定義された共通モジュールPが呼ばれてサービスMを呼ぶからどれも正解に見えるんだよな... >>441
問題忘れちゃった。ハッシュ化してるんだっけ。 >>445
ハッシュ化する処理はあるけど、平文で登録されてしまうような杜撰なコードになっている。 >>446
平文で登録されてしまう"可能性がある"だ >>447
あー。まじかよ。
どっちが判断つかないな。 >>443と同じく郵便番号をいれてしまったので
パスワード入る入らないは低みの見物... TACので自己採点してみた
ほぼセキュリティの勉強せずに突撃したげどワンチャンある…?
午前1 免除
午前2 20/25
午後問2 40点
午後問4 30点 アイテックだと不合格確定だったけど、TACだと希望が持てる
ただ出来が良かった問2が逆下駄だと終わる……問1は前半は全滅だったわ……
午前2でもっと落としてくれよ。70%合格でも全然構わん。
午前2で40%以上落としてくれ。
午前1 免除
午前2 21/25
午後問1 18〜25点
午後問2 35〜42点 >>438
ITやってるやつは英語出来ないから、finallyがfinalyになったって気付かんわ >>455
try catch finallyは例外処理の基礎の基礎や
本職で間違える方がおかしい >>456
finalyがfinallyになってるからバツ(0点)にするやつがいたら、そいつは単価の安いプログラマーだな。問題の意図が分かってない。
finalyって書いても考え方は間違ってないし、実際finalyって書いてもコンパイルエラーですぐ気づくわ。 過去問は上原本の解説がある平成25年秋から勉強した。
今回問題構成変わりすぎだ。
管理側に対応した問題、全体の8割ぐらいしかないじゃん(問2全部&問1の2/3)
こんなクソ仕様になってる回はなかったぞ。 >>456
JavaはSunの頃しか書いたことないw
try cache finary
でも気づかない気がする。 今回、外食チェーンで例えるならバーミヤン試験だったな >>454
自慢じゃない
村山直紀さんのYouTubeで春の安全確保支援士はネスペと一緒に問題が作られるから
ネットワーク系の問題が増える傾向にあると言っていて
今回は午前2だけ突破できればいいやと過去問道場しかやってなかった >>465
午後は練習のつもりだったんだ
午前2受からないと午後採点されないから
落ちるにしても点数が分かるようにしておきたかった >>464
午後2まで受けたのがエラい!
ただ認識として午後Ⅰまではただの足切り試験なのでそこ目指しても意味ない
午後Ⅱをどうやって超えるか、それだけ 胡蝶しのぶ「ほんとあたまにくる ふざけるなIPA」
「(IPAに対して)とっととくたばれクソ野郎!」
自己採点
問1 3点
問4 46点
49点チーン 問1の計算問題が8点
問4の全て書け問題が12点
だったら、結構合否入れ替わりそうだな
計算問題3点はありえんので ちなみにわいは問1の3点は計算問題なんや
500しか合ってない
問4は凡ミスしたが46点
どうしてこんなことに >>468
昨年の秋期から支援士試験は午後1と2が統合されて午後だけになったんだ
応用情報より早い時間に終わる試験になったんだ どのくらい部分点くれるんだろう。
tac自己採点で60~75点。
前回秋季の59点よりは出来た感がある。 秋何出るか分からんしセキュアプログラミング勉強した方がいいのかな
ちなみにプログラミングはCが大学1年レベルのみ >>474
セキュアプログラミングといっても、ライブラリ覚えるだけだから学部1年のCで十分対応できる TACの問3設問4(4)
URLの検証だけではSSRFは防げない
ITECは固定値にすると書いてあるからこっちが正しい
予備校の解答もあまり当てにしない方が良い 問1のアカウントロックの問題、迷った挙句に「認証失敗とする」にしたんだけどロックしないとまずい?
そりゃ運用上は当然ロックだよなと思いつつ、それに関連する要件が見当たらなかったからやめたんだけど、、、 ワロタ
閾値超えたら認証失敗ができなくなるんやろか?
当然0点に決まってる
アカウントロックはキーワード
あとは連続もかな
1回でも認証通ったら失敗回数リセットが普通かと 問4は下駄なしやろ
簡単だし、普段プログラム選ばない人でも選んでいるくらいだから なおしょうもないミスが3回もあった模様
なんでこんな間違いした >>481
じゃ、じゃあ問3はあるかもってことだな
そうだよな 問3も全く歯が立たないくらい難しいというものではなく、
過去問ちゃんとやっていれば普通に解けるレベルやと思う
平均点悪そうだけど
ならなぜ問3を選んだかという話だ 落ちたか受かったかわからないから、秋に受けるのが支援士かデスペか決まらない
IPAの採点が遅いせいでは7月まで勉強止まるわー 問4講評にこんなのありそう
設問2(6)は、正答率が低かった。空欄や誤ったキーワードが散見された。例外処理は、プログラミングの基本である。受験者は、言語仕様をしっかりと理解してほしい。 >>457
過去にはIPA講評で漢字間違ってるやつどうにかしろってのもあったから
助からんやろなあ 徳丸本ってIPAのAppGoat完了済でも買う意味ある?
まあAppGoatは今どきphpなのがうんこだけど >>496
10頁程度の試験問題を大きな工数かけて作成したのに、講評は漢字間違いとか笑える 専門学校とか参考書作ってる業者は大変そうだね。
Javaの文法とか正規表現も叩き込むのかな?
俺の予想だと春からはプログラム、秋は今まで通りになるんじゃないかと。
RISS資格もいずれプログラムとフォレンジック、認証基盤や機器構成のように分かれていく気がする 正規表現や基礎的なコマンドもわからないのに支援士名乗るのは恥ずかしすぎる
細かいことまで覚えなくても使えるレベルまでないと >>497
買う価値ある
てかAppGoat程度じゃ足りなさすぎ
大事なことは全て徳丸本に詰まっている 徳丸本とやらをやると今回の問3完璧に答えられるようになるの?
実体験者の感想求 徳丸本はSSRFまで書いていない
それでも他の内容が理解できたらSSRFへの展開も容易だが 徳丸本って初版が2011年で第2版が2018年だけどそろそろ改訂されたりしないかな? 問2設問1(2)
IDSではなくIPSだから、検知ではなく、遮断と書かないとアウト(合否に影響なし) ITECの解答例が検知で、TACの解答例が遮断になっていたからあれと思って問題見返した さらにみると表1は「検知」とあり、それだと「検知」でもいいのかもしれない(UTMのIPS機能)
検知「方法」だからその後遮断するのだろうけど 午後問2設問2(2)
ブラウザーに表示されたドメイン名を確認する。では?
答えはたくさんあるという例だね。 >>510
vpnソフトのログイン画面ってブラウザとは別物なのでは?
ブラウザに表示された時点でおかしい。 メールのURLリンクのクリックは不可避、罠サイトはVPNダイアログと見分けが付かないってことが前提 >>498
講評が受験者に対して漢字間違いするなと指摘した、という話 徳丸本、前の会社のお金で全員買えって言われて買ったの持ってるけど
第1版なので古すぎるかな?
ubuntu10.04を使ってるし・・ TACで自己採点したら
問2 35点
問4 30点
ギリギリで余計に気になりすぎる >>516
今回難しかったから受かってると思います!
おめでとう 問1問2で甘く採点しても50点
午前1免除だし秋受bッるか R5春
午後I-1 開発系
午後I-2 管理系
午後I-3 管理系
午後II-1 開発系
午後II-2 管理系
管理系一本だけでも選択余地はないがすべていけた
今回は管理系は問2しかなく、嫌でも開発系を1つは選択しなければならない(合格率低下か?)
ちなR5秋
1 開発系
2 管理系
3 開発系
4 管理系 来年はeKYCをディープフェイクで突破する問題が出るな 来年というか秋でしょ
eKYCも次からのシラバスの用語に追加された 今回は生成AIがでる生成AIが出るって色々な人が色々なところで言ってたけど
出たっけ? >>525
AI関係も次シラバスから、つまり秋
現シラバスは今回がラスト、AIから逃げた駆け込みを殺しにきたのがこの問題 駆け込みを殺すと言うかインフラエンジニアを殺しにきたなw URLは読めないものとするって前提条件書かれてるの理解してたのに、なんで俺は「FQDNやドメインで自社のものをしっかり覚えさせる」みたいなことを書いたんだ(´д`|||) 冷静に考えたらすぐわかることが、なぜか本番でできない 分かってるはずの前提が解答書く際には抜け落ちてるのはよくある 問4はJAVA以外のプログラマーも解けるものなの? 支援士の過去問でしかJAVA読んだことないけど問4選択したよ
正答率は5〜6割だけど >>526
定期的にシラバス変わるのに一度合格したら失効しない情報技術の国家資格って凄いな >>531
Javaのコード書く部分3問落としたけど7割取れたよ >>531
Javaのコード書く部分3問落としたけど7割取れたよ >>499
これ以上参考書分厚くしてるとキリがないなw 問4とか眼中になかったから選んだ人すごい、問1も割とそうだったけど いろんな会社や組織や人がごちゃごちゃ出てくる問題よりは
問4の方が楽だったなあ。 >>499
以前は資格名を分けてそれをやっていたな セキュアプログラミングを専門に扱った参考書が出てもおかしくないが
内容は薄いと思う プログラムのド素人用に支援士の勉強向けテキスト出して欲しい。
コーディングから逃げるな、という主張は理解できるけど、いきなりJava, C, ECMAScript勉強しろと言われても手を付けにくい。 左門は9割の受験生がセキュアプログラミングを選択しないし、他の分野に集中したほうがいいと言ってるね >>544
誰だよ
どれだけ能力あるうえで発言力あるんだよ 秋はdnssec dmark(mail) インシデント管理 内部不正だけパーフェクトにやれば午後は受かるんじゃ無いか?
今までのセキュアプログラミング分野はメモリ破壊とかアセンブラかじる程度だったけど今回の試験はアプリ開発者向け過ぎるね。teratermマクロを自在に作れる人とかこの界隈で言われるpythonやりましょうでも通用しない。既存の勉強に全振りがよいかと セキュアプログラミングを避けろと言われてたのにセキュアプログラミングしかなくなるは盲点だったねw 秋はこんな感じですか
問1 セキュアプログラミング
問2 生成AI
問3 コンテナセキュリティ
問4 webアプリ関連のインシデント 秋はまた普通にセキュアプログラミング、ネットワークセキュリティ、Webアプリ脆弱性、インシデント対応などバランス取ると予想 セキュアコーディングに関する本なら沢山あるからそっちで勉強すればよいのでは
わざわざ支援士特化の本を作るまでもないような 問2以外の組合せで全体5割いってる人はワンチャンあるかもね >>550
finallyってセキュアコーディングなのかなぁ
コネクションを閉じる処理を確実に書くのはヒープが爆発しないようにするためとかリソースを枯渇させないため。
Javaというかstrutsで脆弱性オンパレードなのはリフレクションだし、こんなものにゼロから取り組むのは時間の無駄だと思う。 そう考えると支援士のセキュアプログラミングは中途半端極まりないね 問3が厳しめ25点、甘め38点
問4が厳しめ20点、甘め28点
応用情報のときはこんくらいのできてなさ感で60点ぴったりの合格だったから夢を見てしまう
体感としてはこれは落ちてるな、という感覚 問4はセキュアプログラムというよりはユーザ側の要件や意図に沿ってない箇所の改修指示のように思えた。支援士になりきってや、運用管理者目線で修正箇所の指摘やどうしたいのかを開発側に指示する問題ならわかるけど、修正プログラムまで書かせるのはどうかとは思うが。 >>544
左門先生があんなこと書くから作問者も意地になってんだろう >>556
参考書書く人ら害悪じゃん
仕事に乃木坂46ネタぶち込んできたりするしさ プログラミングと設計をごちゃ混ぜにしているレスが多いな >>554
自分は高度で受かってるか受かってないか微妙な手応えの時で受かったときないわ。そういうときは50点台後半で落ちてる。
逆に受かったときは午後II(SCはもう午後だけど)が終わった瞬間に勝利を確信してる状態。 今回って数年前の応用の、文系科目が総じて簡単でテクノロジ系が難化とか言われてた回みたいな感覚? 攻撃はインフラで起きてるんじゃない、コードで起きてるんだ
どんなタイプの問題にもセキュアプログラミングを入れることが可能なのさ でもこれからは無害なコードから自動生成AIにアクセスさせて有害なコードに作り変えるからね >>559
まあ落ちてる前提で秋に向けて勉強するかな
それこそAIをどうするかってのがあるが…… >>559
まあ落ちてる前提で秋に向けて勉強するかな
それこそAIをどうするかってのがあるが…… 教科書よりも技術書を買って勉強したよ。
◯◯エンジニアの教科書とか◯◯入門とか
メルカリとかヤフオクで中古で安く買えるし。 午前1免除権の為に受験して午前1と2は合格してたので秋に備えて知識の足しも含めてComptia CASP+の勉強してる
無事秋に受かったら来年春NW受けるんだ 俺は過去問を2回分やって試験の傾向をつかんだ後、武田塾方式でセキュリティ技術の教科書を読みつつ、理解できないところははまさるの勉強部屋で補足してる 試験勉強だけなら参考書一冊+過去問道場しかやってない 合格することを一番に考えるなら
過去問やって分からないところを調べるのが定石 午後過去問ループだけでOK、間違えたところは徹底的にggr
重点対策買ったけどキーワード抽出くらいしか使ってない
あと試験前日に村山本 >>571
とりあえず読み始めてわからない単語があったらググる
章末テストみたいなのやって間違えてたら再確認
を、できたら3週やるだけだ
なお今回1週しかせず臨んだ結果無事爆死した 上原本1周読んで過去問3年分くらいだけだったな
上原本読むと急激な眠気に襲われてたので半分も頭に入ってないと思う
索引が貧弱なので過去問で間違えところはネットで調べた方が早かったな 次はHTTP/3とQUICプロトコルについて詳しく出るな😎 >>568
CASP+は維持RISS以上にメンドそう >>577
それはネスペだろう
支援士はそこまでプロトコル追求しない
出ても午前IIの選択 認証プロトコルはガッツリ出るが通信プロトコルはそんな出ないよね 重点対策は 過去問分析は役に立つが
過去問解説は 人に読ませるレベルじゃないと思う
あんなのでよく論文指導できるな >>581
ワイも読んでない、文字が多すぎる
過去問もIPAサイトからダウンロードして使うだけ
正解不正解とその理屈は読めばわかる >>583
何の話かと思ったら、みよちゃんの話かいな
あの人相当すごいけど最近はもう歳だから一歩引いてる感じがする >>589
立ち読みで読んでみただけだが、ネスペ前にはワークブックを買おうと思う >>588
関西で関関同立は落ちこぼれ
クワンセイはその中でも最下位に転落 (例年実施日からの推定)
7月*4日 合格発表(確定)
7月19日 官報公示 (合格発表+約15日)
7月24日 合格証書発送 (公示日+約3開庁日)
8月15日 10月RISS登録締切日 SC AM1 AM2 PM 合格率
R05秋 47.9% 68.6% 42.2% 21.9%
SC AM1 AM2 PM1 PM2 合格率
R05春 52.5% 80.3% 55.8% 57.5% 19.7%
R04秋 52.6% 73.0% 63.2% 60.2% 21.1%
R04春 56.6% 87.4% 49.9% 58.0% 19.2%
R03秋 47.9% 80.4% 57.7% 60.2% 20.1%
R03春 55.9% 90.2% 55.5% 57.7% 21.2%
R0210 52.8% 85.2% 55.1% 55.8% 19.4%
R01秋 51.9% 86.1% 67.1% 45.4% 19.4%
H31春 50.8% 79.8% 53.8% 59.1% 18.9%
H30秋 51.7% 71.2% 60.5% 57.6% 18.5%
H30春 58.2% 78.2% 50.7% 55.8% 16.9%
H29秋 47.9% 76.8% 61.2% 49.9% 17.1%
H29春 53.0% 77.8% 54.4% 52.3% 16.3%
H28秋 46.3% 76.6% 45.8% 53.4% 13.5%
H28春 65.8% 66.6% 51.5% 58.5% 16.5%
H27秋 51.2% 81.0% 51.9% 52.4% 16.6%
H27春 59.6% 61.4% 55.3% 53.8% 14.5%
H26秋 56.2% 65.0% 58.5% 46.3% 13.7%
H26春 62.0% 73.6% 46.8% 52.8% 14.4%
H25秋 54.1% 78.0% 45.2% 54.3% 14.9%
H25春 48.7% 66.9% 43.9% 58.2% 13.1%
H24秋 41.4% 60.6% 52.0% 59.1% 13.9%
H24春 57.1% 64.9% 47.0% 55.5% 13.7%
H23秋 69.1% 67.1% 42.4% 57.8% 13.5%
H23特 50.4% 74.9% 50.1% 47.1% 13.9%
H22秋 37.1% 72.5% 48.5% 55.5% 14.2%
H22春 60.1% 69.4% 56.0% 51.1% 15.3%
H21秋 36.1% 81.4% 61.6% 55.8% 18.5%
H21春 77.2% 88.8% 47.3% 51.3% 16.0% 午前1、2で5〜6割が落ちるってことはやっぱ午後は上位半数に残ればいいのか 午前1は数学に殺される人がいるのは仕方がないとして2は本当に勉強したのか怪しいレベル H21春~R05春のどの午後通過率より、R05秋の午後通過率42.2%という数字は低いな。
ⅠとⅡを統合したから、簡単に午後通過させられないんだな(´・ω・`; ) これまで午後1でフィルタされていた午後を受けるレベルじゃない受験者を含んでるので 今回の午後の試験は作問に問題があった。
また問題全体を制御する機能が働いていなかった。
これはひとえに作問メンバーの作問能力に課題があったと言えよう
秋からは作問メンバーの入れ替えが望ましい。 このままプログラマー資格になってしまうのかこの試験 今はセキュリティマネジメント試験があるからな
支援士はエンジニアに特化すべき 試験制度の趣旨を理解しているとは言い難い出題であった。
作問者は今一度試験要項を確認するべきであった。
作問者の能力を測る試験が必要である。 俺はバカたから令和元年春から連続10回も試験受けてるんだけども午後の試験でみんな最後まで残ってるの初めてだったわ。去年の秋も俺も含めてパラパラ帰ってたけど セキュリティ本職の人はCISSPやGSEを受験するし、国もそれらの有資格者を求めているから
この資格の立ち位置よく分からないんだよな IPAは罪深い問題を作ったよね
今回の問4の最後はアですか
レインボー攻撃の基本を聞く問題にして欲しい
どれだけ罪深いかというと
ハッテン場で寝ているイケメンのお尻に、片っ端からイチジク浣腸を通づるこんだワイよりも罪は深い
IPA許さない プログラムでいいけど、JAVA、JS、C言語、Pythonの4問選択にしろ IPAの公式のシラバス見てるんだけどなんで支援士だけ追補版っていうのがあるのに他ないの?
問われる用語が細かく書いてあって他の高度試験のバージョンも欲しいんだけどこれ 今回の午後はちょっとやり過ぎだった気はしなくもないが
教科書だけの知識でプログラミングやプロトコル解析なんかの経験がない人間が
支援士を名乗ってほしくないというのはある テクニカルエンジニア(情報セキュリティ)時代がそんな感じだったな
午後1が4問中3つ選択で時間も足りん 昇進のため高度資格を取る必要がある場合、一番コスパとタイパが良い資格が支援士だからな >>607
エンジニアって別にプログラマーのことじゃないぞ
もっと上流を指す
例えばお前特許何件持っている? >>614
cisspは民間資格のマークシートだろ 午前IIなんか午後やっていれば何もしなくても6割とれるわ 午後の1と2は、プログラミングじゃなくてhttpの仕組み。webアプリに携わってるならプログラマーじゃなくても知っておけ よくわからんがJWTっていうの勉強すればええんか? >>629
別に登録しなくても資格合格だけでもいいんじゃない?
資格合格と登録するかどうかは別物 問2にhttpの知識はほぼ要らない気がするけども... >>611
色々資格取ってるけどIPAはいつも一発で受からない
SGだけかな。
取ったら期限ないしね。 今回みたいな開発系が3/4を占める場合
今までに加えて何を覚えりゃええんやろ 2023年の秋試験で問4のリスクアセスメントを選ぶ奴が多すぎたんだろうな
確かにまともに技術を勉強しない人を合格させるのは良くないよ 昨日、登録支援士の講座受講しろメール来たけど講座一覧に表示ないんだけどまだなのかな? 3年ごとに試験合格して、失効申請と登録申請繰り返せばぼったくり講習受けずにRISS維持できそうだがやっている人いる?
いつまでたってもゴールドにならない >>643
情報処理安全確保支援士合格というステータスは今のところ永久にキープできるでので登録しない人が多数でしょ >>643
それどころか、「合格から3年以降の登録者は1年以内に高い方の講習受けろ」っていう規定が数年前になくなったから、2回合格するだけでスイッチ戦法は理論上できると思ってる。 午前2は午後の対策やれば自然に入るはずの知識なんですかね 午前1の対策でセキュリティとNWだけ少し厚めに学習すれば余裕で突破できる
翔泳社の高度共通の午前本でその二科目だけLv4までやる感じ 50文字みたいな長めの記述の配点はどれくらいなんでしょうね?
応用だと30文字~40文字で4/20くらいが相場だとして、10/50くらいなのかな? むしろ転職くらいにしか使える人少ないと思う
セキュリティベンダーとかなら入ったあとでも昇進・昇給に関わるかもしれないけど
他の分野の企業なら必ずしも評価されるわけではない
転職してから取ったけど事業に関係がないのでほぼほぼ無視されたw 面接官やるなら
NW,DBのほうが評価してる
もちろんSCも高得点だけどね SESだからマジで無意味だけどなんとなく箔をつけるために受けてる 自分も転職したくて取った
100の言葉より1つの資格 法令上の必置、まして業務独占資格じゃないからね
漫然と遊んでるわけではないというアピールにはなるが、これ持ってりゃ転職できるとか言うことにはならない ないよりマシではあるが、一般人が苦労してとっても実効性は大変低い
書類選考で武装できるだけと考えたほうがいい >>650
字数なんか飾り
IPAの公式解答すらガン無視するぐらいだから >>653
NWを必要とする職種とDBを必要とする職種はぜんぜん違うだろ
どんな仕事だよ いずれ宅建のように持ってないと出来ない業務とか出来そうなので頑張ってとるようにしてるわ。
とは言え昔から人手不足で原発の制御プログラムくらいはFE必須にしないといけない提言も聞き入れられてないからなぁ >>661
昨今のインフラエンジニアは両方わからんと使えんだろw 午後問2設問1(2)フォールスポジティブが発生する。
って、書いたけど、点数くれるかな? >>665
どうやってが書かれていない
0点か1点 >>0666
iTEC の回答とか、どうやってなんて書いていないよねw みんなこの資格取ったら次何取取るの?
他のIPA高度?技術士?中小企業診断士?海外資格?MBA?海外大修士? >>669
秋受けるものもないから遊びでES
次の春はNW 他の資格は受験料が高いのがね
来年のNWのために地道に勉強してようかな GWにセックス1回もしてない奴は、資格勉強してる場合ではないぞ。 >>665
遮断されることに触れてないから駄目なんじゃね >>677
高度だったら支援士かNWくらいしか取る資格なくね? >>677
意味があるかどうかは直属の上司に聞いてみたら
知らん奴の知らん会社の人事評価基準なんて分かるわけないし DBスペシャリストはマジ鬼門
あれできる人間尊敬する DB取ったのもう10年前だけどあの頃からなんか変わったんかな 情シスだったらスペシャリスト系よりPMやAUなどのマネジメント系がいいかも 自社で運用やってるならITサービスマネージャーもいいかも
論文試験の入門としてもちょうどいい 受けたいのが春に偏りすぎなんよなあ
NWも秋にもどしてくれ 内製できない規模の情シスならベンダーにカモられないレベルの広く浅い知識があればいい IT系の資格は就職の箔付以外に取る理由ないからな
転職する気ないなら受ける必要ないぞ インフラ系入札だと
SCかCISSP
NWかCCIE
PMかPMP
の保持者がプロジェクトメンバーに居ることが要件であることが多い
あとは昇格要件だったり資格手当だったりもあるし てかSC取れるならNWとれるでしょ
勉強範囲だいたい被ってるし >>690
逆じゃないかな… NW取れるならSCも取れる >>693
私もそう思う
NW→SCは楽に取れるけど
SC→NWはなかなかの壁
順番に知識つけていくのならSC先のほうが取りやすいだろうね >>694
ネット屋さんはCCNA LPIC ネスペ SC PMP 金と時間の余裕があればCCIEってのが出世コースだよね。 >>695
それって下流底辺インフラSEというやつでは >>697
上流インフラSEのことを聞いてもどうせ俺には無関係でした。
定年後に(いずれ登録セキスペ在籍必須な業種がでてきて)名前貸しで年金の足しになるかなぁくらいで必死に受験してる程度の下流SEなので。 技術一辺倒はまずい
客先で自分で仕事とってくるようなコミュ力なかったら追々厳しくなる
できるやつってやっぱり客先で経営陣と長々雑談できたり人間関係構築がうまい 自分はNWを先に取ったな
難易度はともかく内容的には基礎になる 技術もない奴が技術一辺倒とか言ってるの笑える
それは技術があって初めて言って良いことですな 技術者は技術に詳しくなることが優先
このくらいの資格を勉強する人は若手の部類だろうから技術中心でいいと思うよ
営業スキルつけるならもっと上流ができるようになってからで良い >>698
登録に必要な金の分取れるかというと...、難しくないか? >>704
そうね。今の状態ならそう思う。
登録するかどうかも含めて未定(合否も不明だし) >>661
一社の全部を受け持ってる感じだから
インフラもアプリ開発も両方取るけどなー
つーか両方とってる人結構多いよ >>661
インフラやってるとそらもちろんNWのがメインだけど、DBも絡むことがあるにはあるからあってもいいと思う。
まあ自分はインフラ系でDBは(まだ)持ってないが。 円安で海外案件を請け負うオフショア的な働き方になるのかな未来の日本 SCの勉強してみて思うんだけど
かりに受かったとして、僕セキュリティの専門家ですって言える自信ないなぁ
この資格、NW、DB、PMなどに受かった人のための上位資格みたいにするべきではって思う
それだと難しすぎて不人気になるからこんな感じなのかな 午後の解説本でAmazon評価が高い左門本について教えてください。
自分の行動範囲には彼の著作ではネスペの本しかなかったのでそれに目を通したのですが、構成が読みにくく感じました。情報処理安全確保支援士の本でも同じような構成でしょうか。 >>708
英語できないとオフショアなんか無理だろ このままプログラミング中心の試験ならネスぺの方が受かりやすくなるかも >>709
専門家を名乗るには実績が必要だよ。
それを言うと資格なんか無駄だというアホがわくけど
こんな簡単な試験にすら受からなくて専門家とかwww
という話なわけで。 >>709
上の人と同意見だけど
この試験のレベルは各区分の最低限の基礎知識を持ってるか見る試験なんだと思うぞ
NWだってPMだってこの試験受かって即戦力とは言えず、経験積みながら1人前になっていくんじゃないかなぁ
基礎知識の認定試験 >>709
良く言われるのは
これはスペシャリスト試験であって
プロフェッショナル試験ではない いやこのレベル受かるなら十分だろ
受からん奴いっぱいおるわw >>718
目標としてはいいくらいのレベルかもしれないね
ただ私の感想は、これは知識というより国語の試験だった
知識は取得後につけていかないといけないなって思うし、毎年毎年講習が義務になってるのもその流れに沿うもの >>718
FEだけ持っててAP持ってません(実際にAPレベルの知識も獲得できていない)とかすらいっぱいいるしな。 APは取る意味なさすぎるからなぁ
飛ばして高度受けた方がマシなレベルだし 順番にFEとかAPを20代中頃までに取って
20代後半からSC等高度区分にチャレンジするのが標準的じゃないかな
確かに取れる人と取れない人がいるけど、仕事の様子を見てる限り概ね結果通りの違いを感じる 高度持っててAP持ってないのは専門バカ的なイメージが 資格試験、とくに法規制上必要ではない検定試験の場合によく言われる、
仕事は資格でするものではない
を、仕事ができる人が言う例を聞いたことがない
仕事も勉強もできない人の負け惜しみ感がすごい
例外は、資格も持ってて仕事ができる人が謙遜して言う場合 そりゃ努力もしないで資格も取れない人間がそもそも有能なわけないからな FE、APは大学在学中に取ったわ
高度は情報セキュリティ初回に落ちてから去年ES取るまで10年以上放置してた >>721
面倒臭いから別に理由とか書かないけど、その考えはやめた方がいいよ。 >>721
そういうのをね、専門用語で「負け惜しみ」っていうんだ。
覚えておくといいよ。語彙は多いほうが人生豊かになるよね。 高度の受験機会を潰してまでAP受ける意味はないよ
俺はAP取ったけど…もったいないことした。 SWはソフトウェア開発技術者
今の応用情報の位置にあった古い区分
それ持ってるならAPは春秋の他高度区分を全部取ってからで良いかもね 今当時のSW試験やったら合格率1桁やろ
問題の選択余地が一切ない、苦手分野を避けたらその場で敗退
高度と同じ午後IIまである 私もSW持ってるけど当時は程々の難易度でサラッと合格できた気がする
当時仕事で使ってたSQL絡みの問題が出てやりやすかったのかも
明らかにNWの方が手こずった記憶が強く、そこにはかなりのレベル差があったよ >>735
旧一種とSWはデータベースとアルゴリズムで死ぬようになっていた(´・ω・`)
応用になってから合格したw 当時はDB苦手だったから、春にDBが出たことを確認して秋に受けて一発合格
今見てもよくわからん 前回ので多分、AP,SC,NW受かったから
次はDBだなぁ。その先はどうするんだろう? AUとかSMとかまともな実務経験ないのに合格できるのか疑問
受験資格はないが、経験がなければ論文がどんなによくてもD判定にされるとか >>740
経験有無は論文に書いた範囲で評価される
そこに経験無いけどって書いたら一発D判定
経験ありそうに演じられる知識や能力を問われてると思えば書けるんじゃないかな
私が自身の経験で書いたのはPMだけで、あとはお客さんとかの様子をイメージして書いてる 問 あなたが携わった~システムについて…
答 経験はありませんが~…
まぁ、駄目だろうな(^_^;) 施工管理技士ももってるけど、実地試験での経験記述書かせたら
現場未経験なんだなというのはすぐわかる 何個か関わったことはあるけど
設問に対応できるプロジェクトなのかって運ゲーなのか? >>740
別に上司から聞いた話を書いてもいいんですよ?あなたの経験ですから。 論文なんてchatGPTに自動生成してもらってそれ書けば受かるやろw 問われるのは経験でなく知見
AIを利用した新ビジネス企画や事業継続計画の監査とか経験した人はほとんどいないはず
経験ありませんが、と書くと落ちるのは設問の要求事項に沿ってないから _,, -''''" ̄´  ̄ ̄''ー ,,
,..-'"゛ `'‐
/ _ -ー¬-、 \
/ / `'‐ ヽ,
/ .,, / ̄ ̄ ̄ヽ .、 .\.,_ ヽ
/ ゛ ./ ● ゝ ` ′ `'-.ヽ
/ ヘ ヽ, ,ノ .,! .___.'.!
,! `―――/ .丿 ! ● `.リ
│ -ー¬' ゙弋___ 〉 確実に合格して見せるだと?
| l\ 、 `'-、 "ヽ
ヽ "`.ァ._.( .l |
ヽ | ゞ弋,,,、 ± -'、 .} !
\ !`'''-、,.`'`-ニ二__'';;i__ソ .!
/\ | .、¬'''`-ニ―- ....二 / |
._,,, ───/ `'-、 l ヽ、 .゙ ̄″.r‐./ !
._.. ー'"゛ `''-、、 \ ゙' ...,,___/ ./ ,./
''" `''ー..、 `'ー.____ノ . /
... r''ヽ..,,、
 ̄ ̄ ̄ ̄ ゙ `゙''ー 、、
`ヘ、 
