2015年春の情報セキュリティスペシャリストを受けてきました

寝坊しないで受けられました!w

どうやって勉強したか、等々は既に書きました。

yu-log.hatenablog.com

簡単に所感

午前1

免除でした。
おかげで10:30(試験開始は10:50)ぐらいに着けばいいのが本当にありがたかった。

午前2

ほんとに過去問と同じ問題が出るんだなあと思いつつ解いてました。
問題文と選択肢まで同じというのはさすがに露骨ですw
もともと半分程度は過去問から出る、と言われてましたけれどね。

ただ、初見でよくわからなかった問題がいくつかあり、
見たことあったのに忘れてた問題が1問。
あとは過去問と似てるけど問われ方が違って、
多分合ってるだろうけど…ぐらいのものが6問くらい。

ダークネットとか始めて聞いた言葉でしたね。
最初正解選択肢を選んでたのに、考えた結果違うのにしちゃいました。

コールドアイルについては、
セキュリティスペシャリストなのにこんなもん聞くなよ、と思いましたw
たまたま聞いたことあったから知ってたけど、
データセンターについて知らないと厳しい感。
一応「Cold aisle」だから、言葉の意味を考えれば2択ぐらいまでには絞れるけれど。

後で採点したら18/25だったので、まあ大丈夫でしょう。
初見のものが思ったより多くてちょっと焦りましたけど。

午後1

まず、休憩時間が短すぎて焦りました。
会場が割とよく知ったところだったからといって、
外で食べようなんて考えなければよかった。
40分で飯食って戻ってってのはなあ。

午前2が途中退室不可なので先に出て食ってることもできません。

さて、午後1ですが、
セキュアプログラミングには全く自信がなかったので、
最初からそれ以外を選択するつもりでした。
普段からプログラム書いてる人なら
多分セキュアプログラミングやったほうが楽なんでしょうけど。

問2はネットワーク環境と運用が提示されてて、
情報漏えいインシデントが発生しましたよ、という問題。

過去問を解いて、そんなに難しいことを答えに書く必要はない、
というのはわかっていたので、
問題文に書かれている条件を落ち着いて整理して、
問われていることに対する答えをなるべく簡単に記述する、
ということを心がけました。

ただ、問2は少々時間がかかっちゃいました。
試験時間90分なので、多少余裕を持たせるとしたら、
それぞれ40分程度で解かなければいけないのですが、大体50分ぐらいかかったでしょうか。
http://www.itec.co.jp/auto_mark/
設問3の(2)で何を答えればいいかわからずにすごく考えこんでました。
アイテックの回答例*1ではVさんの利用者IDの無効化でした。
確かに、Vさんの利用者IDが無効化されてたのはファイル配信サーバだけで、
他のサーバではされてなかったですね。そこを読み取れなかった…。
考えてる時点で予定の所要時間をオーバーしてたので、
「セキュリティパッチの強制適用」とか書いちゃいました。
多分この問題に関しては点がもらえないでしょう…。
問3が早めに追えられたらまた考えようと思って問3へ。

問3はパスワードへの攻撃に対する問題。
最近ではtwitterのアカウントが不正ログインされて
レイバンのサングラスの広告を垂れ流すようになる、
という乗っとり攻撃が流行してましたけど、
情報セキュリティ10大脅威の中にもWEBサービスへの不正ログインがありましたし、
何らかの形で出題されるだろうとは思ってました。
10大脅威の1位がネットバンキングやクレジットカードの不正利用だったので、
またそのへんと絡めてくるかなと思ってましたけど、
今回は不正ログインからのポイント不正利用の話でした。
数字6桁、リバースブルートフォース攻撃、あれ、聞き覚えがありますね?*2

過去問でソルトを使用して対策するケースの話を見たばかりではありましたが、
具体的にどういう攻撃が防げるか、までちゃんと目を通しておけばよかったと後悔。
ソルトを使うとパスワードがどうなるか、は頭に入ってたのですが、
今回はそもそもそれが問題に書いてあるのであまり意味はなかったです。
ソルトを使うことによって防止できるのはレインボー攻撃でした。
なので、設問1にはそれらしいことを書けば正解になったと思いますが、ここもやや的外れ。

ここの設問1もわからなくてかなり時間使いましたね。
結果、問2を振り返る時間が足りなくなりました。

アイテックの回答例がもう出ているのでとりあえずそれと自分の答えを見比べてみました。
感触的に問2、3どっちも6割なら取れてるかなあ、という感じです。
問2は気になった設問3の(2)以外はほぼ正解っぽいです。
(3)が部分点ぐらいになりそうな感じ。

もっとも参考にしているのがアイテックの回答例なので、
公式のものではありませんけれど。
個人的にはTACよりアイテックのほうがIPAの解答に近いと思います。
TACの過去の回答例を見たら、やや素直でない印象を受けたので。
なので恐らく8割位は取れてそう。

問3は、設問1が0点として計算。
設問2の(1)は、SHA-256でハッシュ変換するということは、
256bit→32byteになるというのをちゃんと知らないと無理でした。
これぐらいは知っててね、ということか。
(2)は「単位時間あたり」という記述が抜けてたので多分少し減点。
設問3は全部合ってると思う。「適切な数式または実際の値」と書いてあったから、
やっぱり計算しないで106、808でOKみたいですね。
106は桁数を間違えないように慎重に計算しましたけど、
さすがに808を時間内に計算しようっていうのは馬鹿らしいし、
絶対に計算ミスするよなと思ったからやめました。
設問4は「使い回し」という観点は合ってるはずだけど、
アイテックの解答と少し書き方が違うのでそれがどう採点されるか。
単純に考えると6~7割くらいの出来でしょうかね。

後でアイテック、TAC両方の配点予想*3を使って具体的に点数計算はしてみます。
もっとも、IPAは難易度によって多少点数の計算を調整している説がありますが…。*4

ちょっと心配でしたが、多分大丈夫、と思いたい。
見なおす時間があまりなかったから記述ミスが怖い。

午後2

午後2は時間は沢山あるので、ゆっくり考えようと思っていました。

問1はWEBサイトのウイルス対策、問2はマルウェア感染対策を踏まえたネットワーク構築。

扱っている内容が結構似ていましたが、問われている内容が少し違うというもの。
問1はやや具体的な技術寄り、問2はやや運用寄り。

ここは問2を選択しました。
技術者としては問1を選んで合格点取りたいんですけど、
運用面に携わった期間のほうが長いもので…。

午後2の回答例はこれを書いている時点ではまだ出ていませんので本当に所感。

回答例を見るまではなんとも言えませんが、設問2くらいまではまあそう大きくは外してないかなあと。
設問3は何を書けばいいかはイメージ出来たけど、
それをうまく指定された文字数内に落とし込めたかがちょっと不安。
設問4は(1)は少なくとも片方は合ってると思う。
一応両方共問題文から根拠を得て書いてます。
(2)は認証局の中で登録局と発行局がどういう役割に分かれているかまでは知らなかったので、当てずっぽうです。
一応考えて書きました。協力会社って書くところがない気がしたんだけどどうなんだろう。
(3)はよくわからなかったのでちょっと考えて書きましたが正直自信がありません。
部分点がかすってれば御の字、くらい。
(4)は色んな正解例がありそうな気がしましたが、
少し考えてみて「こういう状況になったら失効させなきゃダメだよね」
というのを2つ書いたつもり。

これで100点満点中60点を取れば合格なわけですが、
観点が合ってさえいればなんとかクリアできそうな気はします。
感触的には7割ぐらい?
ともあれうまく行ってることを祈ります。

一応23日ぐらいにアイテックもTACも解答と配点例が出揃うので、
そこでまた見てみますかね。
アイテックは22日に午後2の回答例を出すようなのでまずはそれを見てどうかな、と。

*1:http://www.itec.co.jp/auto_mark/

*2:http://blog.tokumaru.org/2014/02/jal.html

*3:IPAからは問題の配点は公表されません。

*4:応用情報技術者に受かった時は自己採点がギリギリ60点届かないくらいだったので、多分調整が入っていたか部分点に救われたと思います。

コメントを残す