5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

情報セキュリティスペシャリスト Part4

1 :名無し検定1級さん:2009/04/19(日) 21:33:22
情報セキュリティスペシャリスト試験(SC : Information Security Specialist Examination)
旧テクセ+旧セキュアド

高度IT人材として確立した専門分野をもち、情報システムの企画・要件定義・開発・運用・保守において、
情報セキュリティポリシに準拠してセキュリティ機能の実現を支援し、又は情報システム基盤を整備し、
情報セキュリティ技術の専門家として情報セキュリティ管理を支援する者

情報処理技術者試験センター
http://www.jitec.jp/index.html

平成21年春開始!

2 :名無し検定1級さん:2009/04/19(日) 21:35:29
>>1

いちもつ

3 :名無し検定1級さん:2009/04/19(日) 21:36:15
>>1乙。
早速さらします。
午後IIは、問1、問2両方やってみて問1に○つけた。
あきらかに間違っている解答もあるが、
まあ6〜7割はいけてるんじゃない?

問1
設問1
a128 bMD5 cハッシュ値 fディジタル
設問2
問題:ウイルス定義ファイルが古いままになりウイルスに感染する。
対策:社内ネットワーク接続時にウイルス定義ファイルが最新かチェックする。
設問3
・業務に関係のないソフトをインストールしない。
・他人にテレワークPCを利用させない。
設問4
推測した秘密鍵を用いて対象データのハッシュ値を暗号化したものを
署名として送信すると、受信側はそのデータを正当なものと判断してしまう。
設問5
(1)自営CAが発行する公開鍵証明書が偽造できるので、
  偽の注文票に正当な署名をつけて送信される。
(2)dイ eケ
(3)発行だけでなく失効や鍵の交換についても定めておく。
設問6
問題:署名の検証が失敗する。
理由:受信側がA社自営CAを信頼しない又は接続できないから。
つづく。


4 :名無し検定1級さん:2009/04/19(日) 21:36:15
午後のIPA回答ってまだまだ先?

5 :939:2009/04/19(日) 21:36:19
9しね

6 :名無し検定1級さん:2009/04/19(日) 21:36:21
こっちでいいんだよな・・・

7 :名無し検定1級さん:2009/04/19(日) 21:36:42
じゃこっちあげ。

8 :3:2009/04/19(日) 21:37:00
つづき。こっちが却下した問2の回答
問2
設問1
(1)セキュリティ委員会
(2)プログラムの修正に対応してもらえない
  又は別途費用を請求される。
  発生した損害の補償を要求できない。
設問2
(1)b維持審査 cNTP
(2)ウイルス対策ソフトのログを収集して確認する。
(3)必要なサービスが使用するもの以外のポートに対しての
  コネクション要求が拒否されること。
(4)災害などでサーバ室が被害を受けた際にバックアップを含めた
  全データが失われるリスク。
(5)対策者がテストをすると観点に漏れが生じやすいから。
設問3
(1)DDoSのようにシグネチャでは攻撃かどうか区別がつかないものがある。
(2)正当なアクセスで脆弱性を突かれるとWAFでは防ぐことができない。
設問4
(1)ア
(2)DBサーバにアクセス可能な従業員と機密保持契約を結ぶ。
設問5
対策の実施状況と効果をチェックし、
それに応じた適切なアクションを実施する。


9 :名無し検定1級さん:2009/04/19(日) 21:37:04
おつ

10 :名無し検定1級さん:2009/04/19(日) 21:37:23
今までの試験だったら、相対評価で各試験で半分落とされたから
0.5×0.5×0.5 = 0.125
よって12〜13%の合格率付近で推移してきた。
(多少、年度によりバラツキはあるが)
今回、試験が4つにバラけたことにより、
0.6×0.6×0.6×0.6 = 0.1296
つまり、各試験6割くらいの通過率と予想していたが
受験した感じは以下のような感じか。
0.55×0.7×0.65×0.6 = 0.15

午前Tは簡単という意見があったが、まんべんなく広い範囲から
出題されており、対策していない人にとっては60%といっても
取得は難しいのでは。2chに書き込んでいる人はそこそこ
取れていると思うが、結構できてない人はできていない。
今回、私が受けた会場では受験率が以上に高かった(欠席が
少なかった)。初回試験ということでとりあえず受けようという
人が多かったと思うのだが、そういう人はやはり落とされている
と思う。

午前Uはやはり簡単であった。少し過去問/対策本を見ていれば
余裕で合格ラインに届くような問題。よって7割は通過するかと。

午後Tは例年旗門になるが、今年は問題が少なくなっただけで
問題レベルが上がったわけでもないのでやはり簡単になった感はある。
よって6割5分は通過と。

午後Uはいつもと同じで、時間は十分。レベル的にも答えられない
ことはないのだが、解釈がいろいろあって悩ましい。
採点方法によるのかもしれないが、当初予想通り6割通過とした。

11 :名無し検定1級さん:2009/04/19(日) 21:37:50
こっちで

12 :名無し検定1級さん:2009/04/19(日) 21:37:59
うだうだ感、いいよね。

>>989
会場は渋谷のフォーラム8?
なんか、別の部屋では、結婚セミナーだかなんだかをやってた様子だが(w

13 :名無し検定1級さん:2009/04/19(日) 21:38:08
午前T免除だからって余裕ぶっこいてたら遅刻したwwwww

14 :名無し検定1級さん:2009/04/19(日) 21:38:25
午後問題は回答欄全部埋めたけど、教科書的な回答が全然できなかった
採点のされ方次第だなぁ

15 :名無し検定1級さん:2009/04/19(日) 21:39:10
フォーラム8のエレベータうぜぇ
なんだよ4F止まりって

16 :名無し検定1級さん:2009/04/19(日) 21:39:33
>>10
に同意した

17 :名無し検定1級さん:2009/04/19(日) 21:40:03
受験票の封筒ごと無くした…
せめてIDとパスワードだけでも控えときゃよかった

18 :名無し検定1級さん:2009/04/19(日) 21:40:12
>>12
俺そこだった
東京って他にどこがあったんだ?
赤羽とか池袋が良かったんだが

>>15
わかるwww

19 :名無し検定1級さん:2009/04/19(日) 21:40:23
午後2上位6割か。。。厳しいなw

20 :名無し検定1級さん:2009/04/19(日) 21:41:25
午前T 17/33
午前II 28/30

/(^o^)\まさか午前Tでオワタとは
午後問題で散々悩んで回答したのが水の泡に
午前舐め切って大して対策しないで午後ばっかやってたせいだな

どうかマークシート記入間違えて午前T通っててくれ・・・

21 :名無し検定1級さん:2009/04/19(日) 21:41:52
はぁみんなの答えを見てると鬱になるわ・・・
どうしたらそう適切な言葉がびしびしと出てくるのかねorz

22 :名無し検定1級さん:2009/04/19(日) 21:42:19
>>20
お前なんの試験受けたの?

23 :名無し検定1級さん:2009/04/19(日) 21:42:42
フォーラム8
室内女性受験者1名。
この男女比はフォーラムだけだったのか。

24 :名無し検定1級さん:2009/04/19(日) 21:42:47
>>20
何の試験受けてきたんだ?

25 :名無し検定1級さん:2009/04/19(日) 21:43:05
>>20
だよな! 午前Tは第一関門にしては難しい

26 :名無し検定1級さん:2009/04/19(日) 21:43:11
>>20
どこの試験だ?

27 :名無し検定1級さん:2009/04/19(日) 21:43:13
午後2はなあ・・・、答えられないってことはないのだが、いつも微妙に
ずれた解答して失敗する。

28 :名無し検定1級さん:2009/04/19(日) 21:43:20
>>21
どうしたらって、、、決まってるじゃないか
勉強したらだよ

って言ってみてぇなー

29 :名無し検定1級さん:2009/04/19(日) 21:43:25
ねーちゃんなんか一人もいねえ!

30 :名無し検定1級さん:2009/04/19(日) 21:44:21
正解不正解はともかく、時間が余りまくった。
午後1なんかすげー楽になった。ゆとり教育ですかね

31 :名無し検定1級さん:2009/04/19(日) 21:44:21
八王子会場(首都大学)は木とかも多くまったりしてて良かった。
天気もよかったし、外でのんびり昼飯食ってリラックス。
席は狭いけど。

>>23
10:1 くらいだった

32 :名無し検定1級さん:2009/04/19(日) 21:44:25
>>27
わかる!! その感じ!

33 :名無し検定1級さん:2009/04/19(日) 21:44:46
フォーラム8は女いなかったなー
スタッフ以外には1人も見つけられなかったよ

34 :名無し検定1級さん:2009/04/19(日) 21:44:51
会場こんなんだった・・・

人空空俺空人
人人空空空人
人人空人人人

35 :名無し検定1級さん:2009/04/19(日) 21:44:52
午前Uの答え合わせをしたいのですが、ipaのサイトがずっとService Temporarily Unavailableで接続できません(T_T)
皆さんすぐアクセスできましたか?

36 :名無し検定1級さん:2009/04/19(日) 21:45:16
午後Iは2と4をやりだして途中で4やめて3にしたわ。
時間がありすぎるがゆえにできる技だな。

37 :名無し検定1級さん:2009/04/19(日) 21:45:18
>>20
お前は何と闘っているんだ?

38 :名無し検定1級さん:2009/04/19(日) 21:45:34
>>30
わかる!! 午後T楽に感じた。

けど、ラインが上がるだけです><

39 :名無し検定1級さん:2009/04/19(日) 21:46:01
>>34
ぼっちwwwwww

40 :名無し検定1級さん:2009/04/19(日) 21:46:01
俺の部屋は性別不明者が5人くらいいた
多分皆男だけど

41 :名無し検定1級さん:2009/04/19(日) 21:47:04
午後1は過去問といてるときは1問15分ぐらいで終わるのに
本番になると30分かけても終わりゃしねえ!

42 :名無し検定1級さん:2009/04/19(日) 21:47:27
>>35

593 名前:名無し検定1級さん[sage] 投稿日:2009/04/19(日) 18:13:27
IPA公式解答例

午前1

問1 ア   問11 ウ  問21 ウ
問2 ウ   問12 イ  問22 イ
問3 イ   問13 ア  問23 ア
問4 エ   問14 イ  問24 エ
問5 エ   問15 ウ  問25 ア
問6 ウ   問16 イ  問26 イ
問7 イ   問17 イ  問27 ウ
問8 イ   問18 ア  問28 イ
問9 ウ   問19 エ  問29 ウ
問10 ア   問20 ア  問30 イ


午前2

問1 イ   問11 イ  問21 ア
問2 ア   問12 エ  問22 エ
問3 エ   問13 ウ  問23 イ
問4 イ   問14 イ  問24 ウ
問5 ウ   問15 イ  問25 エ
問6 ア   問16 エ
問7 ア   問17 ア
問8 ウ   問18 ウ
問9 ア   問19 エ
問10 ア   問20 ウ

43 :名無し検定1級さん:2009/04/19(日) 21:47:33
>>35
歳時記に載ってるってばJK

44 :名無し検定1級さん:2009/04/19(日) 21:47:58
俺の前に座ってた奴は少なくとも男か女ではなかったな

45 :名無し検定1級さん:2009/04/19(日) 21:49:19
男しかいなかったよ。
セキュアドと勘違いっていうけどあんまりセキュアドと変わらなかった気がするよ。
セキュアド持ってるんだけど果たしてコレ受かるかなあ。

46 :名無し検定1級さん:2009/04/19(日) 21:49:42
>>34
避けられてるww

47 :名無し検定1級さん:2009/04/19(日) 21:49:52
>>35
コレそのものがセキュリティ問題だったりしてな。




48 :名無し検定1級さん:2009/04/19(日) 21:49:52
男と女で会場分けてたんじゃないの

49 :名無し検定1級さん:2009/04/19(日) 21:49:57
アイタックのサイトには「8割程度と考えてください」って書いてあるけど、あんなんで8割とれてんの????

50 :35:2009/04/19(日) 21:50:00
すみません&ありがとうございます。_o_

51 :名無し検定1級さん:2009/04/19(日) 21:50:04
午後2退出時間になったらソッコー帰る奴ってなんなの?
合格してんの?

途中で投げ出すにしては中途半端だし。

52 :名無し検定1級さん:2009/04/19(日) 21:50:14
>>27
わかるぞその気持ち・・・答えをみたら
それそれ!俺はそれが言いたかったんだよ!
と言いたくなるorz

53 :名無し検定1級さん:2009/04/19(日) 21:50:44
>>49
_

54 :名無し検定1級さん:2009/04/19(日) 21:51:14
アイタックにはよくあること

55 :名無し検定1級さん:2009/04/19(日) 21:51:21
>>51
問題持ち帰るバイトだから、午後2までの問題が手に入ったらもう用は無いよ

56 :名無し検定1級さん:2009/04/19(日) 21:51:31
去年のテクセに比べて若い事務系女が多かった
去年と会場違うけど
セキュアドが無くなったからだと思った

57 :名無し検定1級さん:2009/04/19(日) 21:52:17
午後の正回答はいつくる?

58 :名無し検定1級さん:2009/04/19(日) 21:52:17
午後IIのbでSHA-1って回答してる人いるけど、MD5だよな
2011年以降調達できなくなるってのが条件なんだから

59 :名無し検定1級さん:2009/04/19(日) 21:52:32
そうそう、言われれば分かるとか普通に考えれば当たり前ってのを
いかに引き出して文字数制限内に収めるかが勝負なんだが
試験中は全く出てこないのが困る

60 :名無し検定1級さん:2009/04/19(日) 21:53:09
どう考えてもMD5
winny→MD5
share→SHA-1

61 :名無し検定1級さん:2009/04/19(日) 21:53:24
>>55
その日に公開されるのに持ち帰るだけで金払う人がいるの??

62 :名無し検定1級さん:2009/04/19(日) 21:53:33
午後Uさらします。
答えを問題用紙に書き写す時間がなかったので記憶回答で。
問2
設問1
(1)経営層による意思決定orz
(2)PCIDSSの要求する水準のセキュリティレベルを
 満たさない成果物に対して、修正を指示すると
 追加要求となる
設問2
(1)b事業継続 cNTP
(2)全てのPCとサーバのウイルス対策ソフトのログを確認する。
(3)応答があったポートに対して、システムが提供している
 サービスが使用しているものか確認
(4)火災などのサーバ室全体に影響を及ぼす災害があったときに
 まるごと消失しちゃうリスク
(5)監査者の第三者性が確保できない
設問3
(1)実際に攻撃があってから、攻撃パターンを分析し、
 シグネチャを作成するから
(2)未知のパターンで攻撃が通過する場合があるとWebサーバがやばい
設問4
(1)ア
(2)DBのアクセスログを定期的に確認する。
設問5
 管理策を文書化し、記録を残し、
 確実に実施されていることを定期的に内部監査で確認する。

63 :名無し検定1級さん:2009/04/19(日) 21:54:03
>>61
ITECみたいな商売やってるところの刺客

64 :名無し検定1級さん:2009/04/19(日) 21:54:06
文章もそうだけど漢字が出てこなくて困る

65 :名無し検定1級さん:2009/04/19(日) 21:54:10
>>58
>>60

MD-5って書いた俺に謝れ


66 :名無し検定1級さん:2009/04/19(日) 21:54:12
午後1・問2の自分の解答晒してみる。細かくは覚えていないのでノリで。

設問1
(1) システム管理者権限でWebサーバで任意のOSコマンド動かされりゃ情報漏れたり機能停められたりするわな
(2) Exploitコードもう公開されてんじゃん
設問2
(1) INPUTって言ったらINPUTだっつーの!ヽ(`Д´)ノ ゴルァ
(2) 利用者が入力した情報をクエリストリングに含ませたらURLに残るしその情報解析されたらどーすんだコラ
(3) HTTPリクエストでヘッダに"X-Sender"があったら叩き潰す
(4) (f)Webサーバプログラムは限定された権限でも動作可能なんだからそーしろよボケ
設問3
(1) ロードバランス対象から外す
(2) システム開発部の動作試験用システムで予め適用テストぐらいしてもバチは当たらんだろ

67 :名無し検定1級さん:2009/04/19(日) 21:54:50
また合格発表までドキドキしながら過ごすのか・・・。

68 :名無し検定1級さん:2009/04/19(日) 21:54:53
つか、合ってるのか間違ってるのかわからない他人の答えをみると
変に頭にインプットされて良くないね

69 :名無し検定1級さん:2009/04/19(日) 21:55:10
10文字以内で3文字で出すなよwwwつられるわww

70 :名無し検定1級さん:2009/04/19(日) 21:55:23
>>63
うーん、15:10と18:00の差にお金出すのか。。。

71 :名無し検定1級さん:2009/04/19(日) 21:55:49
http://dev.sbins.co.jp/cryptography/cryptography11.html
しゃー1じゃねえの?
俺2を選んだからよくわからんが

72 :名無し検定1級さん:2009/04/19(日) 21:56:20
時計持ってくの忘れたんだが、
いつも時間一杯かかる午後Iが、二問選択になって余裕だった。

午前II途中退出できないとは!
コンビニ弁当無くなるじゃないか!

73 :名無し検定1級さん:2009/04/19(日) 21:56:36
始まったころを見計らってバイト先の人に電話かけてもらって退出したほうが早くね?

74 :名無し検定1級さん:2009/04/19(日) 21:57:58
>>71
RSAの鍵長を勘で1024って書いた俺歓喜w

75 :名無し検定1級さん:2009/04/19(日) 21:59:20
>>71
マジかよ。
試験どころじゃなくて、
うちの会社の製品どうするんだ…


76 :名無し検定1級さん:2009/04/19(日) 22:00:13
1024 と SHA-1 だね

おれは128、MD5って書いたがorz

77 :three_eight:2009/04/19(日) 22:00:34
午前1 27/30 午前2 25/25 

午後1

問1
設問1
a128 bMD5 cハッシュ値 fCAの公開鍵
設問2
問題:ウイルス定義ファイルが古いままになり新種のウイルスに感染する。
対策:インターネット経由でメーカのサーバから定義ファイルを更新できるようにも設定する
設問3
・P2Pなど、許可されていないソフトウェアをインストールしない。
・ログインパスワードを設定するとともに、外へ持ち出さず、厳重に管理する。
設問4
対象データのハッシュを求め、推測した秘密鍵で暗号化し電子署名することで、改ざんしたファイルでもなりすまして送信できる
設問5
(1)自営CAの関与無く、自営CAに認証済と見られる公開鍵証明書を作成でき、情報漏洩が起きる。
(2)dイ eケ
(3)鍵ペアが危たい化した場合の手続きを定めることで速やかに失効させる
設問6
問題:受信者はメールの署名の正当性を確認できない。
理由:自営CAの公開鍵証明書が入手できず、署名の検証が出来ないため

78 :名無し検定1級さん:2009/04/19(日) 22:00:44
>>71
まじだ。SHA-1だな。くそ・・・。

79 :名無し検定1級さん:2009/04/19(日) 22:00:47
午後は考え方の問題だから、合ってるか間違ってるかなんてどうでもいいよね

80 :名無し検定1級さん:2009/04/19(日) 22:00:50
幕張のマクドナルドに秋葉系が50人も列作ってたぞ。

またおまえらか



81 :名無し検定1級さん:2009/04/19(日) 22:01:01
午後Uの設問5(3)って、利用者に鍵ペアを引き渡した後に、CA運用者は
その鍵ペアを確実に破棄するとかそんなこと書いたけど間違いかね?

82 :名無し検定1級さん:2009/04/19(日) 22:01:03
>>72
何回受けて何回落ちてるんだかってレスだね

83 :名無し検定1級さん:2009/04/19(日) 22:01:19
私は間とって、1024とMD5だった。

しかし、SHA-1もうだめぽか…。
時代の流れって怖いね。

84 :名無し検定1級さん:2009/04/19(日) 22:01:47
まあ、128、MD5って書きたくなるよな。俺もだ…

85 :three_eight:2009/04/19(日) 22:02:06
午後1 問2

設問1
(1)システム管理者権限でOSコマンドを実行することが出来、顧客情報漏洩やシステムの機能停止の危険がある
(2)Exploitコードが公開されており、実行が容易

設問2
(1)form
(2)クエリストリングのデータがURL末尾に付加されリファラに記録されるため、外部へのリンクを開いた際や、XSS攻撃を受けた際、情報が漏洩する
(3)HTTPヘッダ内にX-Senderヘッダフィールドを含むリクエスト
(4) (f)−Webサーバプログラムを最小限の権限で動作させる

設問3
(1)付加分散の対象外にする
(2)適用しても問題ないかを、動作試験用システムにて適用し、確認する。

86 :名無し検定1級さん:2009/04/19(日) 22:02:08
>>66
>(4) (f)Webサーバプログラムは限定された権限でも動作可能なんだからそーしろよボケ

FWでHTTPヘッダを参照させてX-senderの野郎をブロックだとダメかい?

87 :名無し検定1級さん:2009/04/19(日) 22:02:13
>>62
ところどころに話し言葉があるぞwwww

88 :名無し検定1級さん:2009/04/19(日) 22:03:11
>>81
公開鍵は持ってて良いんじゃないの?

89 :名無し検定1級さん:2009/04/19(日) 22:03:20
>>81
間違い

90 :名無し検定1級さん:2009/04/19(日) 22:03:29
次回からの持ち物
腹巻、耳栓、壁掛け時計、座布団、目薬

91 :名無し検定1級さん:2009/04/19(日) 22:03:58
>>66
>(1) INPUTって言ったらINPUTだっつーの!
ワロタw


92 :名無し検定1級さん:2009/04/19(日) 22:04:03
回答例
「残業代をちゃんと出さないと従業員のやる気がおちてセキュリティが低下する」


93 :名無し検定1級さん:2009/04/19(日) 22:04:36
>>86
いずれのFWもアプリケーション層を解釈する機能はもっていない
って問題に書いてあるよ

94 :名無し検定1級さん:2009/04/19(日) 22:05:09
共通鍵暗号 ・ 2-key Triple DES
公開鍵暗号(電子署名)
鍵長 1024 bit の RSA
・ 鍵長 1024 bit の DSA
・ 鍵長 160 bit の ECDSA
ハッシュ関数 ・ SHA-1


これまじかよwwwwwwwwww

95 :名無し検定1級さん:2009/04/19(日) 22:05:33
秋に向けて勉強を始めようと思うのですが、
お勧めの本ってありますか?

96 :名無し検定1級さん:2009/04/19(日) 22:05:54
>>92
これは切実・・・

97 :名無し検定1級さん:2009/04/19(日) 22:06:34
>>81
文字通り「公開鍵」だから「確実に破棄する」必要は絶対にない。

98 :名無し検定1級さん:2009/04/19(日) 22:06:59
>>88
公開鍵を持っててもいいけど、証明書があればいいじゃん、
と思って鍵ペアを破棄と書いてしまいました・・・。

うーん、合格したと思ったけど自信なくなってきたぜ…。

99 :名無し検定1級さん:2009/04/19(日) 22:07:04
フォーラム8、10Fまで階段で昇ったら、試験監督のおねえさんが真鍋かおり似だった。

100 :名無し検定1級さん:2009/04/19(日) 22:08:50
>>98
俺も破棄するって書いたよ。
認証局側で利用者の鍵ペアを所有する必要性がわからなくて。
証明書は持っているわけだし。

101 :名無し検定1級さん:2009/04/19(日) 22:09:02
>>62
厳しいんじゃないかと。

102 :名無し検定1級さん:2009/04/19(日) 22:10:20
早く模範解答作れよボケ↓

103 :名無し検定1級さん:2009/04/19(日) 22:11:20
SHA-1がセキュリティ的にもう駄目って、
今日初めて知ったわ。

日ごろから、アンテナをもっと広げないと駄目だね。

104 :名無し検定1級さん:2009/04/19(日) 22:11:27
答えわからなくて人類補完計画って書いた

105 :名無し検定1級さん:2009/04/19(日) 22:11:56
>>93
IPSが1個居るよね。そいつでやるんじゃないかい?

106 :名無し検定1級さん:2009/04/19(日) 22:12:02
>>104
おめでとう

107 :名無し検定1級さん:2009/04/19(日) 22:12:46
>>104
システム境界全部破壊して、無セキュリティ化?

108 :名無し検定1級さん:2009/04/19(日) 22:13:03
>>100
ここは上の方で誰かが書いている「鍵の危殆化」
これがキーワードじゃないか?
俺は書いてないけどw


109 :66:2009/04/19(日) 22:13:37
>>66に続いて午後1・問4の自分の解答晒してみる。同じくノリで。

設問1
(1) イ
(2) 特権IDの共用
(3) ログと申請書の照合
設問2
(1) ア
(2) syslog
(3) ログサーバは特権IDの共用をやめて、特権IDだけ削除やリストアできるようにしよーよ。
(4) 特権IDによるログイン失敗が発生したとき
(5)4 不正な特権利用に対する抑止効果っつーかそんな感じ
(5)5 アラートを回避する不正な特権利用の防止っつーかそんな感じ
(6)確認 いつどんな変更がどんな方法でどこから行われたのか的なこと
(6)立証 DBの機密性・完全性が担保され不正なDB変更やデータ改ざんが行われていないこと

>>86
>>93 の通り。これは引っ掛けだろーな。条件明記されているから部分点もないだろうけど。。。

>>104
吹いた(w

110 :three_eight ◆HLQ5CqvE9Q :2009/04/19(日) 22:14:34
午後2と午後1間違えた


午後1

問1

設問1 (1)a-r (2)b-ウ, c-偽装
    (3)e-U, f-X, 再帰的な問い合わせは社内からのみ受付け、外部へは登録されたゾーン情報のみ回答する
設問2 (1)ア、 社内のDNSサーバではなく、不特定多数の外部のDNSサーバへ直接問い合わせをしている
    (2)ア,ウ
設問3 (1)DNSクエリのみを不特定多数の外部DNSサーバへ大量送信し続けているプロセス
    (2)ウイルス定義ファイルの更新を確認し、更新があれば適用する通信のパケット


午後1問1の 設問2(1)と 設問3(1)が微妙にかぶるのが気持ち悪い以外は、いける

111 :名無し検定1級さん:2009/04/19(日) 22:14:41
午後の解答例公開やけに遅いよね。
模範解答はあるんだろうけど実際の漏れたちの答案見てから解答決めてるのかな。

112 :名無し検定1級さん:2009/04/19(日) 22:15:25
>>105
それは設問2の(3)の答えじゃん
設問2の(4)に書いちゃダメでしょ

113 :名無し検定1級さん:2009/04/19(日) 22:16:50
中途半端に勉強してるから、今更やめられないし、今年で受かってくれないかなぁ・・・。

114 :名無し検定1級さん:2009/04/19(日) 22:17:35
>>103

参考書見直したら

アイテックの「高度専門セキュリティ技術」の 221ページに
その辺ほとんど解説がされてあった

ははは、教材選択は正しかったがそれが得点に結び付けることが出来なかったようだ orz

115 :名無し検定1級さん:2009/04/19(日) 22:18:13
>>111
それはあるんじゃないかな?
ちょwこれも正解じゃね?みたいなやり取りをしてるはず。。。

116 :名無し検定1級さん:2009/04/19(日) 22:18:21
午前1のボーダーって、なんぼですか?

117 :名無し検定1級さん:2009/04/19(日) 22:18:41
>>81
>>108

危殆化の際の失効に関しての注意以外に、取り扱いで注意すべきことが思いつかなんだよ。

後、午後U問1の設問3は「運用する上で」の注意だから、PC全部暗号化は重すぎて除外した。

118 :名無し検定1級さん:2009/04/19(日) 22:19:07
>>116
お前っていつもそうだよな

119 :名無し検定1級さん:2009/04/19(日) 22:19:46
18問

120 :名無し検定1級さん:2009/04/19(日) 22:20:15
>>116

60% 18/30 じゃね
苦手なデータベースからの出題少なくて助かったわ
秋のNWの時もほとんど勉強しない分野だし

121 :名無し検定1級さん:2009/04/19(日) 22:21:03
情報セキュリティスペシャリストって秋にもあるんだな。
たった今知ったぜ。

122 :名無し検定1級さん:2009/04/19(日) 22:21:28
455 名前:名無し検定1級さん[sage] 投稿日:2009/04/19(日) 16:31:04
ダンボールは中にスネークが入れるから危険って
おじちゃんが言ってた。

123 :名無し検定1級さん:2009/04/19(日) 22:22:11
>>122
ワロタ

124 :名無し検定1級さん:2009/04/19(日) 22:22:42
利用者で鍵が危殆化したときの、認証局側の証明書の失効手続きに
元々の鍵ペアって必要だっけ?

俺も取り扱いの注意点が思いつかなかったから破棄するとか書いちゃったな


125 :名無し検定1級さん:2009/04/19(日) 22:24:18
>>122
理由はどうあれ、正解だな…

126 :名無し検定1級さん:2009/04/19(日) 22:24:39
>>120
データベースでろでろと思っていたおれ涙目

127 :名無し検定1級さん:2009/04/19(日) 22:25:19
失効手続きは、公開鍵証明書のシリアル番号があればよかったはず
なので、元々の鍵ペアは必要ないと思う。

128 :名無し検定1級さん:2009/04/19(日) 22:26:05
必要ないと思うけど、必要なかったら何で正解にならんの?

129 :名無し検定1級さん:2009/04/19(日) 22:26:20
>>126

SQL文の穴埋め問題対策に時間かけ過ぎて涙目かw

130 :名無し検定1級さん:2009/04/19(日) 22:28:33
>>124
正直CSR(証明書署名要求)とか初めて聞いたけど
それを作成するために鍵ペアが必要で、申請書だして発行してもらう物だということだったから
危殆化したら再発行は必要だろうなぁと。
これが「鍵ペア」の取り扱いにおいて注意すべきことだろうなぁと。

ここは正解だと確信できない部分の一つですが
唐変木なことはいってないとおもいます。

131 :名無し検定1級さん:2009/04/19(日) 22:29:49
うわあああああ印鑑忘れあああああ

132 :名無し検定1級さん:2009/04/19(日) 22:30:14
>>112
指摘ありがとう。
(3)と(4)を勘違いしてました。

まぁ、Webサーバプロセスの動作権限は、試験問題でなくても
ありがちな、セキュリティ上のポイントであり、必ず確認すべきポイントだからねぇ。
ルートで走らせるのが楽だし、やっちゃう人多いけど、やめてきちんとしたほうがいい
というのは、お約束だし、セキュリティレビューするときに必ず見るポイントだし。

133 :名無し検定1級さん:2009/04/19(日) 22:30:51
>>124
Revokeすんの大慌てなんだから
鍵なんて不要だろJK

クレジットカードやスイカイコカなくした時と同じな。

134 :名無し検定1級さん:2009/04/19(日) 22:31:36
>>130
CSRって、鍵から作るんだから、危殆化した鍵からは作れないだろ。
その場合は、新しい鍵ペアを再作成するのでは?

135 :名無し検定1級さん:2009/04/19(日) 22:33:26
>>130
危殆化したら、新しい鍵ペアを作成するから何にもいらないでしょ。

136 :名無し検定1級さん:2009/04/19(日) 22:33:50
>>134
ああ、主語がたりなくてすいません。
そうです、危殆化したら失効手続きをして、鍵ペアを再発行(再作成)してもらうということです。

137 :名無し検定1級さん:2009/04/19(日) 22:36:37
危殆化した鍵があったところで、無いのと同じだからね。
しかし、私はこの問題間違えた。

「鍵ペアがNシステムの利用者以外に知られないようにする」とか、
わけわからん答えを書いてしまった。
だからそれをどうやるのかだっつーの>ヲレ


138 :名無し検定1級さん:2009/04/19(日) 22:36:49
鍵の危殆化云々の話よりも取り扱いにおいて注意すべきことは、
CA運用者が利用者の秘密鍵をいつまでも持っていてはならないということだろ。

139 :名無し検定1級さん:2009/04/19(日) 22:37:22
rootkitってなんだよ!
ウインドゥサイズってなんなんだよ!

140 :名無し検定1級さん:2009/04/19(日) 22:38:24
んじゃ、

利用者の鍵が危殆化したら鍵ペアを再作成すること

って単純に書けばよかったのかね。

認証局側で利用者の鍵ペアを無駄に所有して、そこから漏洩するリスクとか
考えてしまったよ。

141 :名無し検定1級さん:2009/04/19(日) 22:38:54
> ウインドゥサイズ

ちょっとカコイイ


142 :名無し検定1級さん:2009/04/19(日) 22:40:19
>>137
そのための郵送か手渡しなんじゃね?>ヲレ


143 :名無し検定1級さん:2009/04/19(日) 22:40:36
>>140
> 認証局側で利用者の鍵ペアを無駄に所有して、そこから漏洩するリスク

それ、まさに危殆化リスクなんじゃない?


144 :名無し検定1級さん:2009/04/19(日) 22:41:08
↓に期待。

午後I ・ II :4/23(木)16:30公開予定
ttp://www.tac-school.co.jp/sokuhou/joho/joho0904.html

145 :名無し検定1級さん:2009/04/19(日) 22:41:22
マスターウィンド

いいたかっただけだ

146 :名無し検定1級さん:2009/04/19(日) 22:41:26
おまえらIPA攻撃するなよwwwwwwwwwwwwwww

147 :66:2009/04/19(日) 22:41:55
>>66>>109に続いて午後2・問2の自分の解答晒してみる。これもノリで。

設問1
(1) 情報セキュリティ委員会
(2) セキュリティ要件に合うように契約内でやり直しさせられんしー、P社の責任で追加契約対応必要になるしー。
設問2
(1)b 業務継続 英訳すれば事業継続と同じ意味です。だから何卒、何卒。。。
(1)c SNTP うちの可愛いW2K君たちはWindows TimeサービスでSNTP喋るんです。だから何卒、何卒。。。
(2) ウイルス対策ソフトの管理ツール及び各PC・サーバのログの確認。
(3) ポート開いてんの?開いてたらヤバいサービスが応答しとるの?
(4) サーバ室が罹災したらバックアップ媒体ごとヤられて復旧できねー業務継続できねーと泣くことになるぞ。
(5) 客観性・網羅性・妥当性が担保されないだろーが。第三者が見ないと。
設問3
(1) 正常な通信を装いサーバで任意のコードを実行する形態が多く個別の対応は困難だから。
(2) Webアプリの脆弱性放置するとWAFを超える脅威が結びつくことによるリスクはいつまでも残るんじゃね?
設問4
(1) イ
(2) トランザクションログへのアクセス権をDBMSのサービスアカウントに限定する。
設問5
追加した対策の実効性を含め、ポリシーから対策手順までPDCAサイクルで継続的に見直そうね。

一応、6月末を待ちたいんだけど、待っていい?(´・ω・`) ショボーン

148 :名無し検定1級さん:2009/04/19(日) 22:42:20
IPA更新連打してるとすぐつながるよ

149 :名無し検定1級さん:2009/04/19(日) 22:42:23
普通は利用者が鍵ペアを作成するけど、今回の場合は、A者のCA担当者が鍵ペア
を作成するっていう話の流れで、Z課長が>>140のように、「危殆化したら鍵を再作成する」
とか当たり前の発言をするとは思えません。


150 :名無し検定1級さん:2009/04/19(日) 22:42:33
午後1の問3解答ってどっかに上がってる?

151 :名無し検定1級さん:2009/04/19(日) 22:42:44
>>146
合格発表と公式回答の発表美見たいんだけど
さっきから繋がらんのよね。

152 :名無し検定1級さん:2009/04/19(日) 22:42:48
>>139

過去問に出てたから問題集見直せば?

153 :名無し検定1級さん:2009/04/19(日) 22:42:59
>>142
それは正しいと思う。
リアルな本人性確認が必要、認証経路の組み合わせが必要というのは、
セキュリティでよく出てくる話題だよね。


154 :名無し検定1級さん:2009/04/19(日) 22:43:02
午前1だけしか勉強してなくて、22点で合格してるっぽいんだが、
途中で抜けると、午前1の科目合格はもらえないの?

155 :名無し検定1級さん:2009/04/19(日) 22:43:16
「危殆化」という言葉自体初めて見た俺は
多分落ちている。

156 :名無し検定1級さん:2009/04/19(日) 22:44:47
この時期のIPAのservice temporary unavailableはもはや恒例だな

157 :名無し検定1級さん:2009/04/19(日) 22:45:22
ベリサインとかの普通のCAを考えると、少なくともCSRさえあればCRLを出すのは可能。
だから、鍵ペアを確実に破棄する、で正解。

158 :名無し検定1級さん:2009/04/19(日) 22:47:59
ちひろちゃんは元気かな?!

159 :名無し検定1級さん:2009/04/19(日) 22:49:00
午後1が微妙っぽいな。。。

160 :名無し検定1級さん:2009/04/19(日) 22:51:04
647 名前:632[sage] 投稿日:2009/04/19(日) 18:38:00
>>639,642
2,3,4回答してて、3消したよ・・・
まるは2,3,4についてるよ・・・
あとは採点員のとんち次第か!?



6月末まで生暖かくヲチしていたい

161 :名無し検定1級さん:2009/04/19(日) 22:52:30
>>121
ネットワークは秋にしかない
秋はネット、来年セキュ再挑戦だな

162 :名無し検定1級さん:2009/04/19(日) 22:52:37
>>114
SE 翔泳社のP399に載ってた
近年SHA-1に対する攻撃手法に関する論文が発表された
しかもSHA−2のところに・・・

RSAのビット数とかかかれてない・・・

163 :名無し検定1級さん:2009/04/19(日) 22:53:30
>>139
初歩だろ
IPからやり直せ

164 :名無し検定1級さん:2009/04/19(日) 22:53:35
CAでは依頼者からCSR(証明書要求)を受け取って、証明書を発行するわけですが
すべてのCSRに対して証明書を発行するべきではありません。
全く知らない人から来たCSRを本人の身元を確認もせずに発行された証明書は信用度があまりないからです。

これからすると、身元確認のための鍵ペアが危殆化すると、証明書が第3者に簡単に要求できちゃうから
失効手続きっぽいね。

165 :名無し検定1級さん:2009/04/19(日) 22:54:36
>>162
そこまですらたどり着けなかった

166 :名無し検定1級さん:2009/04/19(日) 22:54:45
>>147
大丈夫っぽい。
うらやましい

167 :名無し検定1級さん:2009/04/19(日) 22:55:18
>>94
思うんだけど、これMD5で不正解な理由にはなるの?

168 :名無し検定1級さん:2009/04/19(日) 22:55:56
>>162
その教科書使ってて、SHA-1は分かったけど
RSAのビット数は適当に書いたけど間違った。
ちらっとでも書いてあれば意外と覚えてるもんなんだけど、残念。

169 :名無し検定1級さん:2009/04/19(日) 22:56:13
初歩的でばかばかしい質問かもしれないけど
これって午前1通れば「応用情報技術者」って名乗ってもいいの?

170 :名無し検定1級さん:2009/04/19(日) 22:57:18
>>169
ヒント:応用情報技術者の午前Iの問題テキスト

171 :名無し検定1級さん:2009/04/19(日) 22:57:32
は?

172 :名無し検定1級さん:2009/04/19(日) 22:57:35

模範解答とかけ離れてても、
「あー、そういう考え方もあるね」っていう解答だったら、
部分点はもらえるんかね。

173 :名無し検定1級さん:2009/04/19(日) 22:57:37
俺さー
128 SHA-1 シノニムって書いたよ。
でも午前1が16問正解、午前2が19問正解だったけどな・・orz
SHA-1は進化したのがあったよ。SHA-のなんちゃらとかバジョンアップの

174 :名無し検定1級さん:2009/04/19(日) 22:57:49
>>169
生きている意味が分からない。
存在意義が分からない。

( ^ω^)「そうだ、死のう」

僕は、あまりにも感情が希薄だった。
何をやっても喜べない、怒れない、哀しめない、楽しめない。
心が揺れることなど一度もなかった。

僕は異常だった。

それでも普通であろうとして、周囲の人間とは上辺だけの付き合いをしてきた。
そんな見せ掛けの関わりに意味なんかない。

何も感じないから、生きていない。
だから、死のう。



その日、僕は道を踏み外した。


175 :名無し検定1級さん:2009/04/19(日) 22:58:13
>>169
> 初歩的でばかばかしい質問かもしれないけど
> これって午前1通れば「応用情報技術者」って名乗ってもいいの?

名乗った瞬間恥さらしです。。。

176 :名無し検定1級さん:2009/04/19(日) 22:58:28
名称独占でもないし勝手にすれば?
ぼくプロマネもってますーあばば

177 :名無し検定1級さん:2009/04/19(日) 22:59:05
鍵ペアは利用者本人が作成しないんだ
だからCAがちゃんと利用者毎に異なる鍵ペアを作っていることをCP/CPSに書いておいた方がいいと思うんだ
どうかな?

178 :名無し検定1級さん:2009/04/19(日) 22:59:21
>>169

応用情報は 80問あるんだが
午後も当然別途試験あるぞ

179 :名無し検定1級さん:2009/04/19(日) 23:00:36
>>167


MD5は論外じゃね?
2010年になるまで待たなくてもすでにツールでクラッキングされている
事例あるらしいし

180 :名無し検定1級さん:2009/04/19(日) 23:01:29
午前1はIRT適用かな?
適用してよ・・。お願い。

181 :名無し検定1級さん:2009/04/19(日) 23:02:08
なんでレベル4の中でセキュリティだけ年2回あるんだ?
希少価値減るじゃん

182 :名無し検定1級さん:2009/04/19(日) 23:02:10
午前1だけしか勉強してなくて、22点で合格してるっぽいんだが、
途中で抜けると、午前1の科目合格はもらえないの?

183 :名無し検定1級さん:2009/04/19(日) 23:02:27
午後Uの問1
MD5とSHA-1どっちもOKな気がするのよ
表からだと、NISTは、SHA-1やめる・・
文章だと、ハッシュ値の衝突は、MD5・・


184 :名無し検定1級さん:2009/04/19(日) 23:03:34
>>167
2011年という時期が書かれているからね。

CRYPTRECではMD5は今もう既に除外済みだと思う。

185 :名無し検定1級さん:2009/04/19(日) 23:03:35
>>183
ハッシュ値の衝突はSHA-1でも起きるぜ
既に論文がでている
MD5なんてとっくに危殆化してる

186 :名無し検定1級さん:2009/04/19(日) 23:03:38
合格率20%で「スペシャリスト」かw
えらく安いスペシャリストだなww

IPA乙

187 :名無し検定1級さん:2009/04/19(日) 23:04:20
>>177
> だからCAがちゃんと利用者毎に異なる鍵ペアを作っている

あまりにも当たり前のことなので思いつかなかったよ。

188 :名無し検定1級さん:2009/04/19(日) 23:05:05
午前1の合格ライン教えて。

189 :名無し検定1級さん:2009/04/19(日) 23:05:19
>>186
個人的には率の問題じゃないと思うんだがな。
ま、そういうことになっているみたいだからな。

190 :名無し検定1級さん:2009/04/19(日) 23:06:10
>>186

午後の採点基準を厳しくして(部分点なし)
合格率を調整してくるってことも考えられない?

191 :名無し検定1級さん:2009/04/19(日) 23:06:14
う〜ん微妙だ、、、

・問2
設問1
(1) OSコマンドがシステム管理者権限で実行できるので、システムの機能が全面的に停止する可能性があるため
(2) Exploitコードが公開されているため
設問2
(1) form
(2) クエリストリングに含まれる利用者情報が、リファラなどによって外部のサーバに送信してしまう可能性があるから
(3) X-Senderヘッダフィールドを持つHTTP通信をブロックする
(4) (a) WebサーバプログラムでX-Senderヘッダを禁止する(なんじゃこれw)
設問3
(1) システムから切りはなす
(2) 動作検証用システムに修正プログラムを適応し、不具合のないことを確認する。

・問4
設問1
(1) エ
(2) 特権IDの共用
(3) 特権IDのログ監査
設問2
(1) ア
(2) syslog
(3) 特権IDでのみ削除可能として、通常は一般権限で作業する。
(4) ログインに数回失敗したとき
(5)
下線4:特権IDの利用を監視していることで、システム管理者の不正をよく止する (抑止が書けなかった、、)
下線5:発生条件をシステム管理者がすりぬけてしまうことを防ぐ
(6)
確認:財務情報が特権IDによって不正に改ざんされていないこと
立証:企業活動が正しく行われていること

192 :名無し検定1級さん:2009/04/19(日) 23:06:18
なんでさ。おまえらネットワーク受けないのさ?

193 :名無し検定1級さん:2009/04/19(日) 23:06:24
合格率、12%超えられると厳しいな。

194 :名無し検定1級さん:2009/04/19(日) 23:07:05
>>192
春だからさ。

195 :名無し検定1級さん:2009/04/19(日) 23:07:14
□午後U
設問1
(1) a. 128(正解は1024) b. SHA-1 c. ハッシュ値 f. CA
設問2
問題:社内にVPN接続しないとウイルス定義ファイルが更新されないため、感染する危険性が高まる。
対策:定期的に社内ネットワークにVPN接続してウイルス定義ファイルの更新をチェックするしくみを導入する。
設問3
テレワークPCは安全な場所に保管し、盗難などに十分気をつける。
秘密鍵を保存しているディスクを暗号化し符号にはパスコードを必要とする。
設問4
改ざんや、なりすましたデータに推測した秘密鍵で電子署名して送信する。
設問5
(1) メール送信に使用する証明書を作成し、A社やグループ販者になりすましたメールを送信する。
(2) d. イ e. ケ
(3) 公開鍵にくらべて秘密鍵の取り扱いには十分注意する。
設問6
問題:公開鍵の正当性が確認できない。
理由:第三者にはA者CA証明書が導入されていないため。

196 :名無し検定1級さん:2009/04/19(日) 23:09:20
つか、ここでグダグダ議論してても時間の無駄な気がしてきた
回答が出ればそれまでだもんな

197 :名無し検定1級さん:2009/04/19(日) 23:11:08
グダグダ議論が楽しいんだよ

198 :名無し検定1級さん:2009/04/19(日) 23:11:08
今頃気付いたのかよ
俺なんか数年前から気付いてるぞ

199 :名無し検定1級さん:2009/04/19(日) 23:11:16
>>196
意外と勉強になって秋につながるよ

200 :名無し検定1級さん:2009/04/19(日) 23:11:19
いや、大分煮詰まってると思う。
大体模範解答っぽい物も、浮かんできてるし。
俺は疲れたからまとめないけど。

201 :名無し検定1級さん:2009/04/19(日) 23:11:42
自分も表は確かにSHA-1だけど、ハッシュ値の衝突はてっきりMD5だと思って
自信を持って「MD5」って書いた。

あと、「〜脆弱性が発見されていることです。」っていうのも、MD5じゃね?
SHA-1の脆弱性は論文ベースで、マイナーな脆弱性だよね。

ソース
つ http://jp.techcrunch.com/archives/20081230md5-collision-creates-rogue-certificate-authority/
つ http://jvn.jp/cert/JVNVU836068/index.html

202 :名無し検定1級さん:2009/04/19(日) 23:11:57
プロ棋士は感想戦をすることで、実力を磨く

203 :名無し検定1級さん:2009/04/19(日) 23:12:08
むしろ、IPAのオジン達はココ見て回答作ってるし

204 :名無し検定1級さん:2009/04/19(日) 23:13:31
>>203
アクセス制御してきてくれない?

205 :名無し検定1級さん:2009/04/19(日) 23:13:51
これか?
http://www.atmarkit.co.jp/fsecurity/rensai/crypt01/crypt01.html

206 :名無し検定1級さん:2009/04/19(日) 23:13:56
おれもMD5に一票。
さすがにSHA-1はまだ使えるだろ。ほかに何がある? PHPやっててもSHA-1が王道だろ。

207 :名無し検定1級さん:2009/04/19(日) 23:14:15
なんでIPAの職員たちはあんなに態度がでかいの?
携帯なったくらいで退出させるとか
試験時間以降書き込んだやつは、採点しないだとか。

IT時代で流行の資格だと思ってあぐらかいてんじゃねーぞ

208 :名無し検定1級さん:2009/04/19(日) 23:15:04
ところでおまいら何歳?
おれ28。

209 :名無し検定1級さん:2009/04/19(日) 23:15:53
24

210 :名無し検定1級さん:2009/04/19(日) 23:15:55
>>71でSHA-1って結論出たのでは


211 :名無し検定1級さん:2009/04/19(日) 23:15:55
だからさー
午前1の最低正解回答数を答えてよ

212 :名無し検定1級さん:2009/04/19(日) 23:16:09
23

213 :名無し検定1級さん:2009/04/19(日) 23:16:19
何でそのくらいのルール守れないの?
携帯切れって言ってるのに切らないとか
試験時間決まってるのに守らないだとか。

受験者だからと思ってあぐらかいてんじゃねーぞ

214 :名無し検定1級さん:2009/04/19(日) 23:17:02
>>182
おまえしつこいw
今回初なのにここのやつがしってるわけないだろ

215 :名無し検定1級さん:2009/04/19(日) 23:17:13
>>207

将来的にISO/IEC17024の認証を受けて、資格制度として
格上げしたいんじゃないかな?

216 :名無し検定1級さん:2009/04/19(日) 23:17:54
今のままボッタクリ続けるんじゃないの

217 :名無し検定1級さん:2009/04/19(日) 23:18:06
午後1、間違えて3問解答しちゃった。。。
まあ、自動的に前の2問になるようだけど。

218 :名無し検定1級さん:2009/04/19(日) 23:18:49
俺今日試験開始前ぎりぎりまで携帯さわったり音楽聴いてたりしてたら
しまってくださいって注意された
10分前からみんな座ってて問題と解答用紙も配り終わってやることなし
拷問だろ・・・

219 :名無し検定1級さん:2009/04/19(日) 23:18:54
午後1で4問、午後2で2問回答した俺様が通りますよ

220 :名無し検定1級さん:2009/04/19(日) 23:19:10
217
おまえ、よく時間あったなw
今回は午後は余裕があったな。

221 :名無し検定1級さん:2009/04/19(日) 23:19:39
午後U問1
設問3
ファイル共有ソフト入れて配布しちゃダメ
暗号化しとけばHDDを中古屋に売られても大丈夫
設問5の(3)
鍵は利用者が管理し紛失時には失効させたるとか。


222 :名無し検定1級さん:2009/04/19(日) 23:20:00
午後Tって3問回答して2問を選べって意図な気がする。
午後Uもおそらく2問とも回答して1問選ぶっていう。

それにしても午後Tの1問減ったのはでか過ぎるな。

223 :名無し検定1級さん:2009/04/19(日) 23:20:33
>>206
だから、何度も過去スレで2011年について触れてるジャンか
http://www.itmedia.co.jp/enterprise/articles/0811/21/news022.html

224 :名無し検定1級さん:2009/04/19(日) 23:21:14
>>218

20分前に着席で10分以上待機だったぜ
さすがに室内で携帯いじっていたら駄目だろ

注意だけで済んで良かったね。
試験監督の特記事項にかかれてしまったら採点結果なくなるし

225 :名無し検定1級さん:2009/04/19(日) 23:21:25
>>207
確かに
他の資格試験とくらべて試験執行員の言動が厳しい感じがする

226 :名無し検定1級さん:2009/04/19(日) 23:21:30
携帯鳴ったら採点されないって事前に言われてて鳴らすのは
この試験の脆弱性を確認してくれたんだよな?

227 :名無し検定1級さん:2009/04/19(日) 23:21:50
21

228 :名無し検定1級さん:2009/04/19(日) 23:22:07
>>218
試験開始までやることないから、監督者の30代のチョイ太目・貧乳気味のお姉さんを眺めていたが
ピクリともしなかった

当然教室内にもおにゃのこはいないし

229 :名無し検定1級さん:2009/04/19(日) 23:22:28
>>222

いつも時間が足りなくて配分が厳しく
3問目は15分くらいで解いていたから
今回は時間的には余裕があった

230 :名無し検定1級さん:2009/04/19(日) 23:22:36
>>201
でもまあ衝突が見つかってるのは確かだし。
今見つかってる衝突だと、
「この脆弱性を攻撃されると、電子署名の信頼性が損なわれます」
というのはちょっとおかしいけどね。

231 :名無し検定1級さん:2009/04/19(日) 23:23:37
>>154
だめ
IPAのサイトみてごらん

232 :名無し検定1級さん:2009/04/19(日) 23:24:07
おまえら、午前1通ったのか?

233 :名無し検定1級さん:2009/04/19(日) 23:24:16
>>225

CBTのプロメトリックじゃそもそも試験室内に
身分証とIDカードと受験キット以外持ち込めないし
ポケットに手を入れた時点で不正行為と見なされて
退場だぜw   それに比べれば国家試験なのに
緩いと思うよ

身分証の提示もいらないしね

234 :名無し検定1級さん:2009/04/19(日) 23:24:36
みんな半年の時間を無駄にするリスクにチャレンジしすぎw

2011年はアナログ停波だよね?

235 :名無し検定1級さん:2009/04/19(日) 23:24:31
>>218
俺が受けたとこでは、「あと5分ほどで開始です。(お待たせして)申し訳ありません」って低姿勢だったけどな。

236 :名無し検定1級さん:2009/04/19(日) 23:25:00
Exploitコードが公開されているっての分からなかったけど
問題文そのままでいいのかよ。そんな問題ありなのかよ

237 :名無し検定1級さん:2009/04/19(日) 23:25:46
>>236
おれも思った。 まんまじゃんww って。

238 :名無し検定1級さん:2009/04/19(日) 23:26:02
>>233
プロメだと俺いつもポケットに手入れてチンコいじってるけど?

帰ってからオナニーのネタを考えるだけで試験がはかどる

239 :名無し検定1級さん:2009/04/19(日) 23:26:54
午前1の2年間免除って午前2以降不合格でも午前1だけ6割超えてればいいの?

240 :名無し検定1級さん:2009/04/19(日) 23:27:33
>>231
採点されないとは書いてなくない?


241 :名無し検定1級さん:2009/04/19(日) 23:27:35
俺、午後Uで落ちた気がする
知識なさ過ぎて凹んできた

()とかが心配事です
お願い誰か色々指摘して!!!!
60%はやっぱり無理?

午後U
設問1
(1) a. 128 b. MD5 c. ハッシュ値 f. 自営CA

設問2
問題:社内にVPN接続出来ない場合、最新のウイルス定義ファイルを取得出来ない為ウイルスに感染する恐れがある
対策:社内のVPNに接続出来ない場合は自前のインターネット回線を通じてウイルス定義ファイルを取得する

設問3
第三者の不正な操作を防ぐ為、テレワークPCにはパスワードロックをかける
テレワークPCを一定時間操作しなかったらロックがかかるように設定する

設問4
盗聴したデータを推測した秘密鍵で暗号化して対象者に送信する(暗号化じゃ駄目?)

設問5
(1) 漏えいした秘密鍵を用いてA社になりすまり、グループ販者に接触する
(2) d. イ e. ケ
(3) 鍵ペアの漏えい・共有をしないように気をつけてもらう

設問6
問題:メールを復号出来ず、正常に読み取る事が出来ない(復号じゃ駄目ですよね)
理由:自営CAの為、A社の証明書が第三者のPCに組み込まれていないため

242 :名無し検定1級さん:2009/04/19(日) 23:27:42
Exploitコードが公開されているからどうなんだって書かないとだめだろ

243 :名無し検定1級さん:2009/04/19(日) 23:27:50
>>236
情処の午後問題ってまんまを答える問題多くね?

244 :名無し検定1級さん:2009/04/19(日) 23:27:51
破られたとはいえちゃちなシステムならしゃーでいいね
結局この分野はいたちごっこなのか

245 :名無し検定1級さん:2009/04/19(日) 23:28:00
>>236
気になるなら、字数制限厳しいけど「既に」とか付け足してヤバイヨヤバイヨ風を漂わせればそれでよし。

246 :233:2009/04/19(日) 23:28:29
>>238

うちの会社 試験会場もやっているから受けに来てよw
モニタリングしてみたいw

247 :名無し検定1級さん:2009/04/19(日) 23:29:28
採点者様
午後T、通常2問のところを3問回答させて頂きましたので、
ちょっとだけ御配慮ポイント頂けますでしょうか・・

248 :名無し検定1級さん:2009/04/19(日) 23:29:33
>>241
設問4 暗号化は違うでしょ。ハッシュでしょ?

249 :名無し検定1級さん:2009/04/19(日) 23:29:57
午後2問一設問5(3)だけど、
鍵ペアを利用者側で生成する方式ではなく、会社側(管理者側)で生成する方式を選択したときの
鍵ペアの取扱について注意すべき点について解答するのが主旨と考えると

鍵ペアの受け渡し時に秘密鍵が漏えいしないように注意する


どう?

250 :名無し検定1級さん:2009/04/19(日) 23:30:01
科目合格とか免除って話でてるけど、そんなの新しくできたの?
今まで無かったよね。一部上位試験のはあったけど。

251 :名無し検定1級さん:2009/04/19(日) 23:30:07

目薬をさす必要がある人は、
手を上げて試験監督官に申し出てください・・・


ハア?目薬さすくらいでなに言ってんだ。
人を疑う仕事かおまえらは、って感じだなw

252 :名無し検定1級さん:2009/04/19(日) 23:30:27
自動採点まだないの?
解答もう出てる?

253 :名無し検定1級さん:2009/04/19(日) 23:31:07
さぁおまえらACKかえすのやめようぜ

254 :名無し検定1級さん:2009/04/19(日) 23:31:39
既出かもですが、
午前の合格基準点とそのソースを
誰か教えてくれませんでしょうか?

255 :名無し検定1級さん:2009/04/19(日) 23:31:58
128 MD5 って書いちゃったのは俺のミス、うん。
でもあんな上の方の設問、どうせゴミ配点だから気にしない。


256 :名無し検定1級さん:2009/04/19(日) 23:32:29
>>242
字数制限だな。「Exploitコードが既に公開されているから。」だけで23字。それで十分。
これが40字制限なら「容易に実行され得る状況であるから。」とか付け足す必要もあるだろうけど。

257 :名無し検定1級さん:2009/04/19(日) 23:32:36
>>242
Q課長が攻撃が実際に行われる可能性が高いと考えた根拠だから、どうなるかは問題文に書いてある

258 :名無し検定1級さん:2009/04/19(日) 23:32:39
IPAのサイト落ちすぎだろ。

259 :名無し検定1級さん:2009/04/19(日) 23:34:06
そうかそろそろゆとりも高度試験を受ける時代になったか・・・

260 :名無し検定1級さん:2009/04/19(日) 23:34:19
>>241
設問6 理由「A社の証明書」

違くない? その証明書って利用者の公開鍵を証明するものでしょ

261 :名無し検定1級さん:2009/04/19(日) 23:34:27
以下、どうでしょう? それ以外はあきらかに間違い(128bitと書いたところ)と
みなの解答とよく似たのだったので・・。

午後2 問1
設問1のCハッシュキー

設問3
・秘密鍵生成に使用するパスフレーズは複雑で長く推測しにくいものにする
・PCそのものが盗難されないようにすると同時に可能であればHDDを暗号化する。

設問5の(1)の下線Bの被害について、
「販社からA社に送られたS/MIMEで暗号化された注文票を
盗聴された場合に復号できてしまうから」


262 :名無し検定1級さん:2009/04/19(日) 23:35:12
Windowsはウィルスか?
そんな思い込みをしている人がいるが答えはもちろんNOである
ウィルスとはどういうものかを考えればわかることだ

1. ウィルスはあっという間に増殖する - Windowsもする
2. ウィルスはシステムリソースに負担をかけ、重くする - Windowsもする
3. ウィルスはハードディスクを勝手にむしばむ - Windowsもする
4. ウィルスは他のプログラムの動きを悪くする - Windowsもする
5. ウィルスはユーザーのことは考えない - Windowsも考えない

ここまでは同じだが、Windowsとウィルスが決定的に違うことがある。

ウィルスはほとんどのシステムで走るように作られ、コンパクトで効率的。
さらにバージョンアップするにつれて洗練されてくる。

よってWindowsはウィルスではない


263 :233:2009/04/19(日) 23:35:23
>>258

アイテックのサイトも駄目だなw

264 :名無し検定1級さん:2009/04/19(日) 23:35:27
>>261
パスフレーズは会社が指定していたような

265 :名無し検定1級さん:2009/04/19(日) 23:35:36
目薬うんぬん何度も言っててアホかと

266 :名無し検定1級さん:2009/04/19(日) 23:37:11
>>241
設問6
おまえ・・・誰だよ・・・
自営CA・・・だと・・・しらんがな・・・

267 :名無し検定1級さん:2009/04/19(日) 23:38:06
>>261
>「販社からA社に送られたS/MIMEで暗号化された注文票を
>盗聴された場合に復号できてしまうから」

自営CAの秘密鍵だから、符号はできないんじゃないかな

268 :名無し検定1級さん:2009/04/19(日) 23:39:10
>>241
俺とほとんど一緒でワロタw

269 :名無し検定1級さん:2009/04/19(日) 23:39:14
>>261

> 設問5の(1)の下線Bの被害について、
> 「販社からA社に送られたS/MIMEで暗号化された注文票を
> 盗聴された場合に復号できてしまうから」

CAの秘密鍵持ってたって販社からの注文表を複合することはできんよ


270 :名無し検定1級さん:2009/04/19(日) 23:39:25
試験管もマニュアルに従わにゃならん衆だからしゃーない
受験者もマニュアル的に回答することが求められてるのだから諦めれ

ただ目薬だけ特別扱いに点鼻薬も嫉妬w

271 :名無し検定1級さん:2009/04/19(日) 23:41:04
そーいや4回も目薬の説明したんだなw

272 :名無し検定1級さん:2009/04/19(日) 23:41:17
>>261
高確率で合格は_

273 :名無し検定1級さん:2009/04/19(日) 23:42:52
>>251
いや、その通りでしょ

274 :名無し検定1級さん:2009/04/19(日) 23:42:57
>>241
おまえ俺の回答レベルに近いちょっと安心した
設問2はウィルス定義アップデート用の検疫ネットワークを別途構築するって書いたけど

275 :名無し検定1級さん:2009/04/19(日) 23:43:06
>>261
設問3
・秘密鍵生成に使用するパスフレーズは複雑で長く推測しにくいものにする
・PCそのものが盗難されないようにすると同時に可能であればHDDを暗号化する

俺も殆ど同じだ。これに、秘密鍵の活性化のパスワードって事と、別媒体に格納し適切に管理ってのを加えた。

276 :名無し検定1級さん:2009/04/19(日) 23:43:07
241です

色々突っ込んでくれてありがとう
御指摘の通り浅はかな誤りが多いです

また秋に頑張ります;;

277 :名無し検定1級さん:2009/04/19(日) 23:43:13


で、午後の回答がIPAに出るのはいつだい?



278 :名無し検定1級さん:2009/04/19(日) 23:43:54
>>264
確かに。

>>267
>>269
確かにorz
完全に販社の秘密キーだと思い込んでいた....o .....rz

279 :名無し検定1級さん:2009/04/19(日) 23:43:56
俺受けなかったんだが、問題はどんな感じかね?
今までのテクニカルセキュリティに近い感じ?

280 :名無し検定1級さん:2009/04/19(日) 23:44:29

>>274
おまえ俺のケツの中でションベンしろ


281 :名無し検定1級さん:2009/04/19(日) 23:44:35
とりあえず免除の条件はっておきますね。


高度試験の午前T試験については,次の(1)〜(3)のいずれかを
満たすことによって,その後2年間受験を免除する。

(1)応用情報技術者試験に合格する。
(2)いずれかの高度試験に合格する。
(3)いずれかの高度試験の午前T試験で基準点以上の成績を得る。

(試験要綱Ver1.1 13ページ)

282 :名無し検定1級さん:2009/04/19(日) 23:45:49
>>274
その方が会社からしたらコストかかってしまうんじゃないか?


283 :名無し検定1級さん:2009/04/19(日) 23:45:58
>>274
俺もそれ一瞬思ったけどやめた
そんな規模の話求めてるんじゃないだろうなって

284 :名無し検定1級さん:2009/04/19(日) 23:46:28
>>281
(3)の基準点って何点なんだろね?
合格ラインが6割だから免除基準は8割ぐらい?

285 :名無し検定1級さん:2009/04/19(日) 23:46:35
>>281
(3)があるなら(2)はいらなくね?

286 :3:2009/04/19(日) 23:46:57
>>3
完全スルーされててワロタorz


287 :233:2009/04/19(日) 23:47:01
>>281

春に午前1合格していたら 今年の秋と来年の春、秋の3回免除
受けられるんだよな

秋に受かると来年の春、秋の2回しか免除出来ないっていうのが
納得いかないが

288 :名無し検定1級さん:2009/04/19(日) 23:47:53
>>241
設問3、俺も似たような答え書いたんだけどさ、
「秘密鍵の漏洩という観点」という問題文から考えると
チラ見対策とかを書いたんじゃダメなような気がしてきたんだ。

289 :名無し検定1級さん:2009/04/19(日) 23:48:04
>>287
合格じゃなくて基準点以上の成績な

290 :名無し検定1級さん:2009/04/19(日) 23:48:09
>>285

>>284
と考えれば意味があるといえる。

291 :名無し検定1級さん:2009/04/19(日) 23:48:50
午後U問1
クライアント証明書って大事だよな
回答に使わなかったけど・・


292 :名無し検定1級さん:2009/04/19(日) 23:49:26
合格ライン6割はどこの情報です?

293 :名無し検定1級さん:2009/04/19(日) 23:49:27
>>282-283
いや俺も現実はそんなことしねえええyoと思いながら
ただ間違いじゃねえだろあーん?と書いた

294 :233:2009/04/19(日) 23:49:38
>>284

基準点ってのは満点の60%らしい

295 :名無し検定1級さん:2009/04/19(日) 23:49:42
>>292
IPAのシラバスとか

296 :名無し検定1級さん:2009/04/19(日) 23:49:48
>>290

ありがとう わかった

297 :名無し検定1級さん:2009/04/19(日) 23:50:10
合格=午前1、2、午後1、2の全てで基準点(60%)を取る

298 :名無し検定1級さん:2009/04/19(日) 23:50:36
社員それぞれに定義ファイル更新させたら
ウィルス対策ソフト会社が困るだろうが



299 :名無し検定1級さん:2009/04/19(日) 23:50:38
>>294
それは合格ラインだろ?ほんとに免除基準と一緒なのか?

300 :名無し検定1級さん:2009/04/19(日) 23:51:16
午後Iの問2の設問2(4)さあ
dでアプリケーション層を解析できるFWを利用するってのはだめかねえ

いや、Webサーバの権限を絞るってのも考えたんだけど、権限絞っても
動作するってことは結局攻撃されたらやられちゃうんじゃないかと
思ってねえ

301 :名無し検定1級さん:2009/04/19(日) 23:51:29
>>290

やっぱありがたくないわ まちがってるやん

302 :名無し検定1級さん:2009/04/19(日) 23:52:00
>>300
FWにその機能があるって書いてあったら、OKだったな。
残念。

303 :名無し検定1級さん:2009/04/19(日) 23:52:14
>>300
設問の脆弱性はWebサーバの権限でしかOSコマンドが実行されなかったはず

304 :名無し検定1級さん:2009/04/19(日) 23:53:27
>>300
rootとられるのとapacheとられるのとでは大違いだと思う。
apache(名前は別でも良いが)とられても再起動すらできないと思われ。

305 :233:2009/04/19(日) 23:53:50

っていうか合格基準のことを基準点 って表現しているらしいが

時間区分  配点   基準点

午前     100点   満点の60%



306 :名無し検定1級さん:2009/04/19(日) 23:53:54
明確に免除基準点は書かれてないね。
おそらく結果を見て決めんじゃね?上位2割とかで。

そんなに免除出すと次回から採点が大変になるし。
発表まで待ってもいいんでない?

307 :名無し検定1級さん:2009/04/19(日) 23:54:00
>>300
ダメだね、アプリケーション層を解釈できるFW≒IPS
IPSはすでにあるし、問題文でIPSによる対策に加えてできることって書いてあるから
それは不正解

308 :名無し検定1級さん:2009/04/19(日) 23:54:09
>>300
問題見た瞬間それ浮かんだ。
でも、適当に回答するのも怖かったから権限絞りにしておいたよ。

309 :名無し検定1級さん:2009/04/19(日) 23:54:34
Webサーバにsudoとかインストールされていた日にはもう

310 :名無し検定1級さん:2009/04/19(日) 23:54:53
apache権限でもOSコマンドが実行されるのはいまいちってことなんじゃない?

311 :名無し検定1級さん:2009/04/19(日) 23:54:57
>>302
買っちゃだめなのかい

>>303
Webアプリも制限された権限で動くんだからDB内容読み取れちゃうんじゃないの

312 :名無し検定1級さん:2009/04/19(日) 23:56:01
>>304
WebサーバとられたらOSコマンドが何でも実行できるんだろ?

313 :名無し検定1級さん:2009/04/19(日) 23:56:10
>>305
IPAが合格基準点と免除基準点が一緒だと言ってるソースはあるのか?


314 :名無し検定1級さん:2009/04/19(日) 23:57:10
なんで午後II-1のfって公開鍵じゃないの?
見てると全然その答え書いてる人いないけど。

315 :名無し検定1級さん:2009/04/19(日) 23:57:25
>>287
「その後2年間」と書いてあるから、秋でも春でも同じ回数免除できるんじゃない?
2年間のカウントもいつからか詳しく書いてないから3回なのか4回なのかわからないけど・・・

316 :名無し検定1級さん:2009/04/19(日) 23:57:33
>>295
ありがとうございました^^

317 :名無し検定1級さん:2009/04/19(日) 23:57:59
>>312
Webサーバってマシン丸ごとって意味だと思ってないか?
Webサーバサービスって意味だと思うが。たとえばApacheとか

318 :261:2009/04/19(日) 23:58:28
思い出したので一応。
恥の上塗りかもしれないが・・

>>267
>>269
設問5の(1)の下線Bの被害について、
「販社からA社に送られたS/MIMEで暗号化された注文票を
盗聴された場合に復号できてしまうから」

A社の秘密鍵が漏れる→公開鍵は当然販社に送られているため
S/MIMEでは販社はA社の公開鍵で注文票を暗号化する→盗聴でウマー

というのを考えたのでした。やはり間違いですか?

319 :名無し検定1級さん:2009/04/19(日) 23:58:53
>>315
もっとよく見ろ

320 :名無し検定1級さん:2009/04/19(日) 23:59:15
>>317
Webサーバサービス経由で任意のOSコマンドが実行できる脆弱性なんじゃないの?

321 :名無し検定1級さん:2009/04/19(日) 23:59:16
うっかりWebサーバがrootで動いてたら、どーするよ?

322 :名無し検定1級さん:2009/04/19(日) 23:59:22
午前1のみ合格点に達してて
そのあとの試験を受けなくても、
午前1は基準点に達しているので、以下免除となります。

323 :名無し検定1級さん:2009/04/19(日) 23:59:29
>>313
ttp://www.jitec.ipa.go.jp/1_13download/youkou_ver1_1.pdf
ここの12ページと13ページを読んで自分で判断してみるといい。

324 :名無し検定1級さん:2009/04/20(月) 00:00:49
>>321
だから権限を制限=root以外にするんじゃないの?

325 :名無し検定1級さん:2009/04/20(月) 00:01:08
28/30と24/25だが午後2即死臭い


326 :名無し検定1級さん:2009/04/20(月) 00:02:11
おまえら問題正しく読めてるのか?

327 :名無し検定1級さん:2009/04/20(月) 00:02:26
>>300
そうなってくると何が正しいのか分からなくなってくるな
対策案に機器更新とか、設備増強なんては基本的に間違いになるのかね?
だったら問題にそう書いておいて欲しい

328 :名無し検定1級さん:2009/04/20(月) 00:02:34
>>318
CAの秘密鍵、公開鍵ペアと同じものを利用者も使うわけじゃないぞ


329 :名無し検定1級さん:2009/04/20(月) 00:02:40
午前Tは気になってたけど、勉強ほとんどしなかった。
ITACの回答即答で、16問しかあってなくて愕然としたけど、
正式発表だと、23問正解していた。

危うく、午後帰るとこだった。

330 :318:2009/04/20(月) 00:03:12
やはり恥の上塗りだったorz

A社の秘密鍵じゃなくおれおれCAだったかorz

331 :名無し検定1級さん:2009/04/20(月) 00:03:24
>>324
rootじゃなくてもWebアプリからDBにアクセスできるんだから
意味ないんじゃないの?

>>307のいう問題の解釈により×ってのが一番しっくりくるな
ありがとう

332 :名無し検定1級さん:2009/04/20(月) 00:04:20
>>330
いや、俺も最初そう考えたもん。
考え直して違う答えに結びついたってのが意外と多い。

333 :名無し検定1級さん:2009/04/20(月) 00:05:02
>>320
Webサーバプログラムの権限以上のコマンドを実行できるなら、それはOSの脆弱性。
Webサーバプログラムとは関係ない。
任意のってのは脆弱性のあるプログラムの権限内での話。

334 :名無し検定1級さん:2009/04/20(月) 00:05:07
設問3
・テレワークPCを他人に使用させない
・テレワークPCに勝手に業務に使用しないプログラムをインストールしない

ってしたよ

335 :名無し検定1級さん:2009/04/20(月) 00:05:34
>>331
システム全体に及ぶ 云々じゃなかったか? つまりshutdownとか

336 :名無し検定1級さん:2009/04/20(月) 00:05:41
>>318
いやだから、CAの公開鍵で暗号化はしない。
CAの秘密鍵で署名された公開鍵で暗号化するので、対になっている秘密鍵で符合する。

337 :名無し検定1級さん:2009/04/20(月) 00:05:59
>318
設問5の(1)の下線Bの被害に・・
CAの秘密鍵と、出回ってる公開鍵を使って、利用者の鍵のペアを新たに作って・・・



338 :名無し検定1級さん:2009/04/20(月) 00:07:01
>>329

ITACのは悪意のあるくらいに毎回誤答が多いから参照していないw

339 :名無し検定1級さん:2009/04/20(月) 00:07:24
設問3
・パスフレーズが印刷してある紙は捨てる
・テレワークPCにパスワードを設定する

これならどうだ!


340 :名無し検定1級さん:2009/04/20(月) 00:07:26
そろそろまとめサイト作ってくれないか?

341 :名無し検定1級さん:2009/04/20(月) 00:07:26
>>328
>>336
d

これで8割取れている保証がなくなったので
あとは6割あることを祈るです。。
もう二度と東京女学館には行きたくないorz

342 :名無し検定1級さん:2009/04/20(月) 00:07:49
>>330
いや、おれおれとか関係ないから。。。
CAの鍵ペアっつーのはCAが発行する証明書の正当性を確保するために使うものであって
利用者はCAと同じ鍵ペアを使って暗号化とか署名するわけじゃないの
利用者は自分の鍵ペアを使って暗号化と署名をするのさ

343 :名無し検定1級さん:2009/04/20(月) 00:08:42
こんな試験のなにを纏めるんだよ

344 :名無し検定1級さん:2009/04/20(月) 00:08:45
>>331
DBにアクセスするのはWebアプリケーション。
WebサーバプログラムをWebアプリケーションが同一プロセスとは
どこにも書いてないよ。
むしろ (a) の記述から別プロセスと考えるのが自然。


345 :名無し検定1級さん:2009/04/20(月) 00:08:51
>>292
これを見てヴェスペリアが思い浮かんだのは俺だけ

346 :名無し検定1級さん:2009/04/20(月) 00:11:09
この試験の唯一の救いは、受験料がたったの5100円であること。

問題集も参考書も低廉で助かる。


347 :名無し検定1級さん:2009/04/20(月) 00:11:39
>>339
なんか設問3は、ここまででてるどれも正解な気がする。

348 :名無し検定1級さん:2009/04/20(月) 00:11:43
午後Uの問1

もうわけわかんね。 公開鍵だの署名だの証明書だの ぐちゃぐちゃ

349 :名無し検定1級さん:2009/04/20(月) 00:12:25

おれも>>300にしてしまったが、やはり>>307の意見が正しいと思う

あと、おれはformじゃなくてbodyにしちった。

あじゃぱぁー。

350 :名無し検定1級さん:2009/04/20(月) 00:12:36
ここ見てるとPKIについてちゃんと理解してないのに午後2問1余裕とか言ってる奴いそうだな。

351 :名無し検定1級さん:2009/04/20(月) 00:12:44
>>333
Users権限でもDBにアクセス可能なら問題あるだろ?
Webサーバの権限を絞るとそのユーザではWebアプリは触れないって事なんだろうか
でも連携する仕組みである以上まったく触れない事はないんだろうしなあ
最近のWebサーバならそういう機能があるんだろうか

>>335
任意のOSコマンドを実行させることが可能である、としか書いてないな

352 :名無し検定1級さん:2009/04/20(月) 00:13:16
>>313

ソース

http://www.jitec.ipa.go.jp/1_00topic/topic_20080422_shinshiken.html

の30ページ  基準点




353 :名無し検定1級さん:2009/04/20(月) 00:13:17
>>342
うん、いまは理解できた。ありがとう。
>>3のとおり公開鍵証明書が偽造し放題になり偽物発注票が届くってことだね。

354 :名無し検定1級さん:2009/04/20(月) 00:13:31
とりあえず今日はもう寝ようぜ?みんな頑張ったんだぜ?

355 :名無し検定1級さん:2009/04/20(月) 00:13:34
俺はfromにした






うそ

356 :名無し検定1級さん:2009/04/20(月) 00:14:42
>>355
今日一番和んだ

357 :名無し検定1級さん:2009/04/20(月) 00:15:06
>>348
俺もだ。
試験受けたのにも関わらず
皆についていけない。
同じ問題解いたはずなんだけどな・・

358 :名無し検定1級さん:2009/04/20(月) 00:15:20
ドーピングしすぎでギンギンで眠れません!

359 :名無し検定1級さん:2009/04/20(月) 00:15:28
みんなお疲れー。
俺はこんなだった。

午前T 23/30

午前U 19/25

午後T
問2
設問1
(1) システム管理者権限で任意のOSコマンドを実行され、システムの機能が全面的に停止する恐れがあるため
(2) Exploitコードが公開されているため
設問2
(1) INPUT
(2) 利用者がWEB販売システムで入力した内容がクエリストリングとして平文で通信され、新たな情報漏えいの可能性が生じるから
(3) "X-Sender"をHTTPヘッダに含むデータを処理しない
(4) (f) Webサーバプログラムを限定された権限で動作させる
設問3
(1) 利用者からアクセスさせない
(2) 動作試験用システムに修正プログラムを適用して動作確認する

問3
設問1
(1) ログイン日と会員番号を偽り、cookie情報を改ざんしてなりすますことができる
(2) 24 "http:"を"https:"に修正する
(3) SPANタグのid属性
  INPUTタグのvalue属性
設問2
(1) エ
(2) C社独自の文字列(ドメイン名など)をパスワードに付加した文字列に対してハッシュ値を算出する

360 :名無し検定1級さん:2009/04/20(月) 00:16:18
勉強足りなかったからめっちゃ微妙orz

とりあえず午前Iと午前IIは解答発表されてたから計算したら

午前I  21/30(70%)
午前II 19/25(76%)

合格基準が6割だからとりあえず午前は合格っぽい
午後はもっと勉強すべきだったなぁ・・惜しかった

361 :名無し検定1級さん:2009/04/20(月) 00:16:45
オレは血迷ってhiddenにした

ちくしょー!!!

362 :名無し検定1級さん:2009/04/20(月) 00:17:11
>>353
違うだろ。
「グループ販売社と御社に被害が及ぶ」ってあるぞ。

363 :名無し検定1級さん:2009/04/20(月) 00:17:22
>>359
SPANタグのid属性


そりゃピンポイントすぎないか?www

364 :名無し検定1級さん:2009/04/20(月) 00:17:22
>>361
俺漏れもw

365 :名無し検定1級さん:2009/04/20(月) 00:18:36
HTMLの属性って何なんだろう
要素とは違うのか?

とりあえずINPUTタグのvalue属性とか書いてみた

366 :名無し検定1級さん:2009/04/20(月) 00:19:26
onclick属性とか書いてみた

367 :名無し検定1級さん:2009/04/20(月) 00:20:06
src属性とvalue属性にしたんだが。

src属性はクロス・サイト・リクエスト・フォージェリできるし、valueはデータ抜けるしと思って。

368 :名無し検定1級さん:2009/04/20(月) 00:20:17
</ 要素 属性="属性値">
じゃないのか?

369 :名無し検定1級さん:2009/04/20(月) 00:20:24
これって部分点とかあるんすかね?

370 :名無し検定1級さん:2009/04/20(月) 00:20:28
そりゃ思わずhiddenて書いちゃうだろjk

371 :名無し検定1級さん:2009/04/20(月) 00:20:29
回答結果が少ないので、聞きます。
午後I - 問3 - 設問2 - (2)
はどんな答えなんでしょ?

俺は会員番号とパスワードを暗号化してハッシュ値を計算・・・のような感じに答えたけど

372 :名無し検定1級さん:2009/04/20(月) 00:20:30
srcにどうやってデータ渡すの

373 :名無し検定1級さん:2009/04/20(月) 00:20:46
>>361
>>364
(´・ω・`)人(´・ω・`)人(´・ω・`)

374 :名無し検定1級さん:2009/04/20(月) 00:20:51
午後T、最初3問全部解いて出来がよさそうな2つに丸つけようと思ってたけど、
解答用紙に○つけた問以外の答え書いちゃダメっていわれてあわてて消したw

375 :名無し検定1級さん:2009/04/20(月) 00:21:03
午後I 問1、問4と午後II 問2て少ないのかな?
セキュアド上がりには鍵とか技術よりに細かい話はスルーだったんですが

376 :名無し検定1級さん:2009/04/20(月) 00:21:10
>>311
仮にFWを買ってきたとしても、インターネットに近い側のFWだとパケットがSSLで暗号化されてるから、
アプリケーション層を解釈してフィルタリングなんて真似はできないんじゃないか?
DBサーバに近い側のFWじゃフィルタリングしても意味ないしな。

377 :名無し検定1級さん:2009/04/20(月) 00:21:11
>>368,370
よしきた把握

378 :名無し検定1級さん:2009/04/20(月) 00:21:19
>>362
わかったつもりだったがだめかorz
根性なしですまん。もう寝るっす。

379 :名無し検定1級さん:2009/04/20(月) 00:22:05
>>372

<img src="' $data '">

だめ?

380 :名無し検定1級さん:2009/04/20(月) 00:22:31
権限絞っても結局限定権限で動作しちゃうんだよなぁ
結局あれ何が正解なの

381 :名無し検定1級さん:2009/04/20(月) 00:22:41
>>374

そんな指示あったの?
12年間受けているがそんなことは初めて聞いたぜ
○付けていないと何書いてあっても採点してくれない
ってのはあるが

382 :名無し検定1級さん:2009/04/20(月) 00:23:10
>>378
観点は間違ってないぞ、要は自営CAをなりすまして証明書を発行できてしまうことが問題

383 :名無し検定1級さん:2009/04/20(月) 00:24:09
ああやっぱ午後Uの問1は不合格だわ

384 :名無し検定1級さん:2009/04/20(月) 00:24:14
>>379
ああーそういうのアリだったのかorz

385 :名無し検定1級さん:2009/04/20(月) 00:24:48
>>381
俺の会場で質問してるやつがいたが
選択した問以外は書くなと回答があった

386 :名無し検定1級さん:2009/04/20(月) 00:24:55
午後IIで駄目っぽいなやっぱり

なんつーか明らかに難しくなってるんだけど皆簡単だったのか?

387 :名無し検定1級さん:2009/04/20(月) 00:25:53
午後Tは簡単になったが午後Uは同じくらい

388 :名無し検定1級さん:2009/04/20(月) 00:26:04
>>376
あー、それ考えて無かったわw
FWはなしだな

しかし権限についていまいち納得いかないんだよなあ

389 :名無し検定1級さん:2009/04/20(月) 00:26:31
Webサーバの権限の話は、
OSインジェクションの対策漏れが仮にあったとしても
Webサーバのプログラムを必要最低限で動かしていれば
被害がなく(小さく)済むでしょ
という意図の問題なんじゃないかと思う。

390 :名無し検定1級さん:2009/04/20(月) 00:27:36
>>389
そーなのか
適当に書いたけどよかった

391 :名無し検定1級さん:2009/04/20(月) 00:27:42
>>359
>(2) 24 "http:"を"https:"に修正する

../使うんじゃないの?

392 :名無し検定1級さん:2009/04/20(月) 00:27:44
>>389
rootじゃなくてapacheで動かすのは常識じゃない? そういうことだろう?

393 :名無し検定1級さん:2009/04/20(月) 00:28:27
>>386
何と比べて難しかったんだ?
セキュアド?テクセ?

394 :名無し検定1級さん:2009/04/20(月) 00:29:03
>>391
おれもそれ迷ったが、
../使うとそのファイル自体がhttpsだから多分同じことだろう。

だからhttpsも../も正解

だよね?

395 :名無し検定1級さん:2009/04/20(月) 00:29:11
>>392
確かに常識だけど、担当者だとついrootでやっちゃうんじゃ?

396 :名無し検定1級さん:2009/04/20(月) 00:29:11
午後I - 問3 - 設問2 - (2) わ、
利用者IDも合わせて使えば〜って書いたよ
その方がプログラマさんも開発的に楽だったりしませんか?

397 :名無し検定1級さん:2009/04/20(月) 00:29:55
>>393
手癖

398 :名無し検定1級さん:2009/04/20(月) 00:30:18
>>394
DNSキャッシュなんたらを考慮して相対パスで指定する方がいいのかな

399 :名無し検定1級さん:2009/04/20(月) 00:30:27
>>395
うん。だからそれがダメだよって。

400 :名無し検定1級さん:2009/04/20(月) 00:30:49
>>394
ソースの下の方に https: 版も ../ 版も両方あるから両方正解。

401 :名無し検定1級さん:2009/04/20(月) 00:30:55
子プロセスはデフォルトで apacehになるからなあ

402 :名無し検定1級さん:2009/04/20(月) 00:31:19
>>397
同じぐらいじゃね?

403 :名無し検定1級さん:2009/04/20(月) 00:31:38
>>382
どんな被害が出るの?

404 :名無し検定1級さん:2009/04/20(月) 00:32:16
>>398
じゃあ、それが書いてあるファイル自体はどうやって呼び出すの?
そのファイル自体がhttps:〜で書いてるんだから、もう一回書こうが同じでしょ

405 :名無し検定1級さん:2009/04/20(月) 00:32:38
>>386
セキュアドのときと比べたら同じくらいだと思うよ
過去2回受けたときと同じくらい手応えを感じてる

もちろん過去2回は落ちたが・・・

406 :名無し検定1級さん:2009/04/20(月) 00:32:59
VPNで社内ネットワークに接続されて
情報を持ち出されるって書いたが

407 :名無し検定1級さん:2009/04/20(月) 00:33:20
IPAは「限定された権限」がどんなものかを書いておくべきだったな

408 :名無し検定1級さん:2009/04/20(月) 00:34:57
>>403
CAをなりすまして証明書を発行できるってことは
いくらでも嘘鍵ペアを作ってそれに証明書を付けれるということ
後は嘘の公開鍵を渡して暗号させたデータを複合したり、
嘘の秘密鍵で署名したデータを送りつけたり何でもし放題だよ

409 :名無し検定1級さん:2009/04/20(月) 00:35:00
>>407
そりゃrootは全部でapacheとか平民は限定された権限でしょ



410 :名無し検定1級さん:2009/04/20(月) 00:35:02
>>382
もまえいいやつだ。・゚・(ノД`)

みなさんももつかれさま。

411 :名無し検定1級さん:2009/04/20(月) 00:35:21
あれもちろん問題ごとに配点違いますよね?

412 :名無し検定1級さん:2009/04/20(月) 00:35:48
>>408
で、どんな被害を書けば正答なの?

413 :名無し検定1級さん:2009/04/20(月) 00:36:18
>>407
root権限奪取されるよりはマシぐらいにしか考えてなかったんじゃね?

414 :名無し検定1級さん:2009/04/20(月) 00:36:50



root = 根っこ



415 :名無し検定1級さん:2009/04/20(月) 00:37:11
ルートだから道じゃねーのか?


416 :名無し検定1級さん:2009/04/20(月) 00:37:26
>>415
それはroute

417 :名無し検定1級さん:2009/04/20(月) 00:37:42
隣の席のやつ、消しゴム使う時
机ゆらしスギ





418 :名無し検定1級さん:2009/04/20(月) 00:37:47
ツリーの根っこ



419 :名無し検定1級さん:2009/04/20(月) 00:38:44



root = 根っこ


これ豆知識な

420 :名無し検定1級さん:2009/04/20(月) 00:39:03
隣の席のやつ鼻をすすりすぎ
ティッシュぐらいもってこい

421 :名無し検定1級さん:2009/04/20(月) 00:39:51
貸してやれよ

422 :名無し検定1級さん:2009/04/20(月) 00:40:09
そろそろ疲れてきたぞ

423 :名無し検定1級さん:2009/04/20(月) 00:40:12
>>412
漏洩した秘密鍵を使用して嘘鍵を作成し、
利用者がそれを使用する事により情報が漏洩する可能性がある。
って内容を書いたけどどうでしょ?

424 :名無し検定1級さん:2009/04/20(月) 00:40:18
roots

425 :名無し検定1級さん:2009/04/20(月) 00:41:20
>>412
販社からの注文メールの復号とか偽の署名が付いた請求書メールの送信とか

426 :名無し検定1級さん:2009/04/20(月) 00:41:58
ふぅ〜

ギンギン収まったので、寝ます!

427 :名無し検定1級さん:2009/04/20(月) 00:42:32
>>426
ソース

428 :名無し検定1級さん:2009/04/20(月) 00:44:34
午前1 17じゃNGだよね・・・・・・
午前2は23あったのに・・・・・・・・

429 :名無し検定1級さん:2009/04/20(月) 00:44:37
>>427
イカリソース株式会社  (大阪市福島区、明治29年創業)http://www.ikari-s.co.jp/
カゴメ株式会社     (名古屋市中区、明治32年創業)http://www.kagome.co.jp/
ブルドックソース株式会社(東京都中央区、明治35年創業)http://www.bulldog.co.jp/
オリバーソース株式会社 (神戸市中央区、大正12年創業)http://www.oliversauce.com/
コーミ株式会社     (名古屋市東区、昭和25年設立)http://www.komi.co.jp/
日本デルモンテ株式会社 (東京都中央区、昭和36年設立)http://www.delmonte.co.jp/
ポパイ食品工業株式会社 (東京都品川区)

430 :名無し検定1級さん:2009/04/20(月) 00:45:07
>>429
d

431 :名無し検定1級さん:2009/04/20(月) 00:45:11
◆受験生ならこれくらい解けるよな?

A:What's the matter?
B:(   ) I said made her very angry.

問:(   )に入るものを次の4つから選びなさい
A:How B:Why C:That D:What

432 :名無し検定1級さん:2009/04/20(月) 00:45:12
>>428
マークミスしてない限りアウト

433 :名無し検定1級さん:2009/04/20(月) 00:45:22
>>409
平民だと問題ありそうなのだろう?
apacheみたいなWEBサーバ限定アカウントならセーフかなと思うけど
そのへんを書いておくべきだったんじゃないかと

434 :名無し検定1級さん:2009/04/20(月) 00:45:59
>>431
受験生じゃないから解けません><

435 :名無し検定1級さん:2009/04/20(月) 00:46:33
午後1なんすけど

問1 70%
問2 50%

ってアウト方面っすかね…?

436 :名無し検定1級さん:2009/04/20(月) 00:47:52
もう寝ろ

437 :名無し検定1級さん:2009/04/20(月) 00:48:24
>>436
オマエモナー

438 :名無し検定1級さん:2009/04/20(月) 00:48:40
>>408
何でもし放題ってことは、担当者間のメールが漏洩するという類の解答は
だめかな?

皆、主になりすましについて書いているようだけど。

439 :名無し検定1級さん:2009/04/20(月) 00:49:57
>>435
たぶんアウト。午前の生き残り多そうだから、積極的に足切ると思う。

ていうか今回の採点業者は、午後の数が多くて地獄だな。
細かい配点なんてしてる暇無さそう。

440 :名無し検定1級さん:2009/04/20(月) 00:50:59
俺は

A社とグループ販社の担当者間のメールが第三者に閲覧される可能性がある

て書いたけど、皆の解答を見ると飛躍しすぎかなと思ってた。
普通に改ざんされたメールが届くとか書けばよかったかな。

441 :名無し検定1級さん:2009/04/20(月) 00:51:37
スネークの犠牲者



968 名前:名無し検定1級さん[sage] 投稿日:2009/04/19(日) 21:26:11
午前2問25のダンボール
見事に引っかかったw
指摘事項だったのか…死にたい



442 :名無し検定1級さん:2009/04/20(月) 00:52:22
>>440

自分は問題文中の文章を流用して閲覧や改ざんがされる って書いた




443 :名無し検定1級さん:2009/04/20(月) 00:52:23
itecって今落ちてる?
http://www.itec.co.jp/

444 :名無し検定1級さん:2009/04/20(月) 00:53:05
>>438
アリじゃね?
嘘公開鍵を渡して暗号化させたメールを復号できることについて
書いていれば正解だと思う

445 :名無し検定1級さん:2009/04/20(月) 00:53:37
>>443

ネームサーバは生きているがWEBサーバは死んでいるっぽい
DDoS攻撃受けているんじゃね?w

446 :名無し検定1級さん:2009/04/20(月) 00:54:29
下のバーにIPアドレスが出てるから名前解決はできてるなwwww

447 :名無し検定1級さん:2009/04/20(月) 00:55:19
たぶんパッチ適用のためのロードバランシング失敗だな

448 :名無し検定1級さん:2009/04/20(月) 00:55:48

telnet で80ポート叩いたら一応接続はできた。
そういえばIPパスポートの受験者って数万人いたんだっけ。
スレの勢いもあるし

449 :名無し検定1級さん:2009/04/20(月) 00:56:26
HTTP POST で送信できない HTML 要素って何?
textarea じゃあ収まらんし、input じゃあ漠然としてるし。

450 :名無し検定1級さん:2009/04/20(月) 00:56:37
>>440
嘘鍵ペアが作り放題でも、さすがに他人の鍵ペアを使った暗号化通信は復号できないからなあ
それしか書いてないと飛躍しすぎかも

451 :名無し検定1級さん:2009/04/20(月) 00:56:52
>>385
いや、以前からそんなことやってるので
今回方針が変わらない限り大丈夫。

452 :名無し検定1級さん:2009/04/20(月) 00:56:53
>>447
いやWebサーバプログラムに不必要な権限が付与されていたからじゃね?(w

453 :名無し検定1級さん:2009/04/20(月) 00:56:53
俺もダンボールには引っかかったが、
21/25 だったから何とかなると思ってる。

しかしひどい問題だ。

454 :名無し検定1級さん:2009/04/20(月) 00:58:31
サーバがダンボールの中に設置されている

455 :名無し検定1級さん:2009/04/20(月) 00:59:15
ちなみにダンボールじゃなくて何使えばいいんだ??

456 :名無し検定1級さん:2009/04/20(月) 01:00:07
>>455
まじめに答えると鍵付きの丈夫なケース

457 :名無し検定1級さん:2009/04/20(月) 01:00:53
カギ付きのボックスとか

458 :名無し検定1級さん:2009/04/20(月) 01:00:54
>>456
ああ、なるほどね。。。

459 :名無し検定1級さん:2009/04/20(月) 01:01:16
なんという可用性の低さ
さすがitec

460 :名無し検定1級さん:2009/04/20(月) 01:01:23
ダンボールに引っかかったってどういう意味だw

461 :名無し検定1級さん:2009/04/20(月) 01:01:28
正直、ダンボール以外の突っ込みどころが見つからなかった。

ダンボールだと、耐火耐水面で見ても問題ありだしね。

462 :名無し検定1級さん:2009/04/20(月) 01:01:28
昔はアルミホイルを巻いてたけど意味あったのかな?

463 :松山 赤○○字 病員 清 掃 商 事:2009/04/20(月) 01:02:22
  愛媛県松山市民です パワハラで再発した鬱が原因で死にたいです
用意できるもの
車 練炭 睡眠薬 酒 車二台

464 :名無し検定1級さん:2009/04/20(月) 01:02:39
ダンボールは無くなっても紛失したのか盗難したのか、
そもそも渡してないのかがわからなくなるからだめ

465 :名無し検定1級さん:2009/04/20(月) 01:03:31
エロDVD入れとくならスポーツバックだろjk

466 :名無し検定1級さん:2009/04/20(月) 01:03:50
>>455

これ過去問だからアイテックの解説を参照すると

梱包を十分な強度にする
媒体の配送においては。施錠されたコンテナの使用を考慮すること

ってある

http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex01.pdf

情報セキュリティ管理基準 ってやつに書いてあるらしい

467 :名無し検定1級さん:2009/04/20(月) 01:06:33
ダンボールは容器云々よりも業者に渡すだけで記録つけてないから
機密情報持ち逃げされてもシラネってことじゃね?

あ、俺も128bit / MD5って回答したorz

468 :名無し検定1級さん:2009/04/20(月) 01:06:36
>>462

静電気防止じゃないかな? 

469 :名無し検定1級さん:2009/04/20(月) 01:09:23
>>462
テンペスト防止?

470 :名無し検定1級さん:2009/04/20(月) 01:12:19
ダンボールに入れたバックアップ媒体から電磁波出るのか?w

471 :名無し検定1級さん:2009/04/20(月) 01:12:28
開始直前「照明が暗い」
ってクレームつけたのがいた。
午前Tの終了20分前に試験官が
「あと10分」って叫んであせった。
…ってワケで午前は集中力かき乱されて
  25/30
  20/25
  午後Tでオワタ… orz

472 :名無し検定1級さん:2009/04/20(月) 01:16:01
指摘事項
→やらなきゃならないこと
→やっちゃだめなこと

前者の意味で解釈した不幸な奴は、イの機密契約?の誤答が多そうだな。

473 :名無し検定1級さん:2009/04/20(月) 01:17:01
アルミホイルで、磁気遮断できるんじゃなかったっけ。

474 :名無し検定1級さん:2009/04/20(月) 01:17:15
まあ、午前なんかどうでもいいんだけどな。
問題は午後だ。
ボーダーが跳ね上がりそう。
午後2なんかいろんな解答パターンがありそうだしw

475 :名無し検定1級さん:2009/04/20(月) 01:19:39
>>467
俺もだw
以外に多くてワロタ

476 :名無し検定1級さん:2009/04/20(月) 01:22:01
>311
WebサーバとWebアプリが同一の権限(ユーザ)とは
どこにも書いていないから、Webサーバの権限奪取で
DBアクセスし放題とは限らなくね?

477 :名無し検定1級さん:2009/04/20(月) 01:24:59
ボーダーは60点固定ですよ

478 :名無し検定1級さん:2009/04/20(月) 01:26:28
そいや hidden って書いた。。 orz

479 :名無し検定1級さん:2009/04/20(月) 01:57:24
真っ黒な服の女の試験官の説明の声が小さすぎてほとんど聞こえず、
指摘されてもすぐに元通り。おめー誰の葬式だよ。

480 :名無し検定1級さん:2009/04/20(月) 01:59:57
これ、公開情報

合格基準:
午前1 満点100点 満点の60%
午前2 満点100点 満点の60%
午後1 満点100点 満点の60%
午後2 満点100点 満点の60%

今回から相対評価じゃないでしょ。
問題難易度・受験者の出来関係なく
すべて60点以上とった者が合格でしょ?

481 :名無し検定1級さん:2009/04/20(月) 02:21:20
ダンボールの問題ゴミと間違われて捨てられるからかと思ったら違ったのね
ほら、よく証拠を間違って捨てちゃったりとかあるるでしょ

482 :名無し検定1級さん:2009/04/20(月) 02:32:57
ここの人達ってなんだかみんな優秀なんだなぁ
このスレに限って言えば平均点も合格率も高いだろな

483 :名無し検定1級さん:2009/04/20(月) 02:46:01
試験会場やこんなスレに顔出す人は、ある程度やる気ある人だよ。
合格率を下げてるのは、会場にすら来ない人。

ちなみに高度情報処理何回か受けてるけど、午後にこんなに人が残ってたのは初めてだ。
みんな午前に手応えあったんだろうなぁ。

484 :名無し検定1級さん:2009/04/20(月) 02:50:20
>>481
ダンボールに入れただけなのが問題だよ
普通はインデックス貼るなりして中身の内容はどんなものかわかるようにする。

って 過去問の解説に書いてあった。


485 :名無し検定1級さん:2009/04/20(月) 02:52:51
午後2の問2を選んだ人が少ないようなので自分も解答例の概要(文字数適当)をアップ。
出題の意図を良く読まないと、案外的外れな解答になりやすい落とし穴的な問題ばかりだと感じた。

設問1
(1)経営陣を交えた全社的な会議
   (理由:どの会社でも情報セキュリティ委員会という名称でもないだろうし、承認は経営者会議の議題の一つでも良い)
(2)以下の内容を混ぜて記載
   ・責任区分が明確にならず、瑕疵対象に関する紛議に発展する
   ・脆弱性の解消作業に伴い、運用開始・スケジュール・納品などが遅れ、場合により追加費用が発生する
設問2
(1)b 更新審査(理由:「2年前に取得し・・・」と問題文にあるので、翌年の更新時期に備える)
   c ntp
(2)ウイルス対策ソフトが出力する動作ログの集約と分析
(3)設定仕様書に明記された提供サービス以外のサービス提供を検出した場合
(4)各種災害により消失や水没などした場合、サーバ内のデータとバックアップデータを一度に失う
(5)社外の第三者の視点による調査の方が客観性があり、調査結果に精度と信頼性が伴うため
設問3
(1)Webアプリケーションの開発言語や各種フィールドが千差万別であるため統一的なシグネチャを生成することが難しい
(2)WAFはすべての攻撃を防げないので、Webアプリケーション側の対策も同時に行わないと攻撃を受ける危険性が残る
設問4
(1)エ(イかも)
(2)ファイルに対するアクセス制限をかけて従業員による内容の閲覧を不可能にする
設問5
作業:PDIDSSの各項目をISMSの管理策として追加し、PDCAの運用サイクルに組み入れる
(理由:管理策は133個以外にも自由に追加が可能であるので、PCIDSSの項目も追加する)

設問2の(3)は、ポートスキャンの振る舞いではなく、不要なサービスか否かを見極めるための判断基準を問われているととらえています。


486 :sage:2009/04/20(月) 03:09:39
> 合格率を下げてるのは、会場にすら来ない人。
会場に来ない人の数は、合格率算出から除かれてますよー


今回、午後1・午後2共に、何とでも解答を書ける内容の
問題ばかりで逆に慎重になった。

過去にないくらい、大勢の人が早々と退出したけど、私は
逆に時間ギリギリまで粘って文章に推敲を重ねた。

今回は文章の言い回しの差がシビアに出るのでは・・・。

487 :名無し検定1級さん:2009/04/20(月) 03:15:42
午前T合格したらその後2年間午前T免除ってあるが2年間っていつまで?
来年の秋まで免除? 来年の春まで免除?

488 :名無し検定1級さん:2009/04/20(月) 03:25:29
>>487


2010年の秋までじゃね?

489 :名無し検定1級さん:2009/04/20(月) 03:34:39
>>488
ありがとう。多分、午前Tは受かってると思うから・・・
今後、NWの受験が駱駝よ


490 :名無し検定1級さん:2009/04/20(月) 04:52:22
午後の回答って五月に発表だっけ?

491 :名無し検定1級さん:2009/04/20(月) 06:22:20
昨年の統計を見てたら、
情報セキュリティスペシャリストを高校生が受験してて、
しかも一人受かってる

492 :名無し検定1級さん:2009/04/20(月) 07:24:23
は、昨年?

493 :名無し検定1級さん:2009/04/20(月) 07:25:43
午後Uの問2選んだ人少ないのかな・・・
確かに、後から見ると判断に迷う問題が多かったね。
特に最初とかorz
こんな感じで書いたけどどうだろうか。

午後U
設問1
(1) 経営陣による会議
(2) 開発委託先に対してセキュリティ脆弱性の修正を求められず、P社負担で修正しなければならない可能性がある
設問2
(1) b 設備投資, c NTP
(2) ウィルス対策ソフトの設定確認とアプリケーションログの確認
(3) サーバ設定書、システム設計書で使用しているサービスとポートスキャンツールの結果により判断する
(4) 地震や火災により、サーバ室のサーバ内データとバックアップデータが同時に使用不能となる恐れがある
(5) システム管理担当であり、不都合な結果を隠す可能性がある
設問3
(1) 不特定多数の利用者のあらゆるアクセスを想定して、遮断するシグネチャを設定するのが難しいため
(2) SQLインジェクションやクロスサイトスクリプティングなどアプリケーション上の脆弱性に対応されていないため
設問4
(1) イ
(2) DBサーバのトランザクションログに対するアクセス制限を強化する
設問5
インシデント対応計画の見直しとテスト、従業員および派遣社員向けの情報セキュリティーポリシー整備と教育

494 :名無し検定1級さん:2009/04/20(月) 07:42:45
449
要素って意味わからんがFORMにした

495 :名無し検定1級さん:2009/04/20(月) 07:48:08
RSAの1024、学生のころ、1024はミリタリーグレードだとか書いてあって、
おースゲーとか思ったのに、それから13年経っちまったよ。もう。

ただ、ECDSAが160bitと書かれているので、
そこから類推するにRSAが128bitってのは、まぁありえないよね。

496 :名無し検定1級さん:2009/04/20(月) 07:49:39
ダンボールは底が抜けるからダメだよ!
配達員が落としたことに気づかないじゃん

497 :名無し検定1級さん:2009/04/20(月) 07:59:20
元テクニカル系の試験の合格ラインが6割って本当?

498 :名無し検定1級さん:2009/04/20(月) 08:01:27
試験要綱読んでない奴多いな

499 :名無し検定1級さん:2009/04/20(月) 08:03:40
セキュアド持ちの俺は、この試験合格者と同等の評価になるのか?

500 :名無し検定1級さん:2009/04/20(月) 08:05:05
>>499
セキュアドのほうが格下じゃないかな

501 :名無し検定1級さん:2009/04/20(月) 08:06:08
えー、そうなのか
じゃあ、来年この試験を受けてみるかな

502 :名無し検定1級さん:2009/04/20(月) 08:13:17
セキュアドはソフ開とほぼ同じだっけ?

503 :名無し検定1級さん:2009/04/20(月) 08:18:19
研究者が「SHA-1」のセキュリティを破る手法を発見 : セキュリティ - Computerworld.jp
http://www.computerworld.jp/news/sec/11541.html

2005年かよ・・・これは勉強不足だったとしか言いようがない

504 :名無し検定1級さん:2009/04/20(月) 08:34:31

合格発表まで2ヶ月以上要するということは、
部分点をどうするかいろいろ検討するからなんだと
思っているんですが、みなさんはどう思いますか。

505 :名無し検定1級さん:2009/04/20(月) 09:05:11
一般的にはそだよ。
解答例は事前に作成されてるが、答案サンプリングして、別解、部分点の検討が行われ、最終的な採点基準ができる。

506 :名無し検定1級さん:2009/04/20(月) 09:09:03
>>492
テクニカルエンジニア 情報セキュリティだったごめん

507 :名無し検定1級さん:2009/04/20(月) 09:09:05
午後2 問2 設問4(2)
「アプリケーションでカード番号を暗号化してから、DBに書き込む」と回答。
トランザクションログにも暗号化された状態で出力されるので、見られても問題なし、と考えたんだが…。

508 :名無し検定1級さん:2009/04/20(月) 09:09:19
午前1が一番難しかったね

509 :名無し検定1級さん:2009/04/20(月) 09:11:29
午後2の問2は無理して問題文を長くしてるよね

510 :名無し検定1級さん:2009/04/20(月) 09:14:09
1日たったねぇ
みんなおつかれさん

発表までいい夢見ようぜ

511 :名無し検定1級さん:2009/04/20(月) 09:19:36
トランザクションログの話、分からんかったから、ハッシュ関数に通すって書いてしまったorz

暗号化できないだけでハッシュは通せるのかなと…

512 :名無し検定1級さん:2009/04/20(月) 09:21:40
>>507
暗号化ダメだから他の案考えて、って話じゃなかった?

513 :名無し検定1級さん:2009/04/20(月) 09:28:38
暗号化とハッシュ化はロジックが異なるし、間違いではないと思うよ。

514 :名無し検定1級さん:2009/04/20(月) 09:40:26
ハッシュ化したら元のトランザクションログの内容が
確認できなくならないか?

515 :名無し検定1級さん:2009/04/20(月) 09:40:56
午前T免除になる「基準点」は80点ぐらいだろーな。

516 :名無し検定1級さん:2009/04/20(月) 09:49:26
ハッシュも暗号化も×
過去のログについて言及出来てない

517 :名無し検定1級さん:2009/04/20(月) 09:53:17
試験要綱くらい読めよな…

518 :名無し検定1級さん:2009/04/20(月) 10:06:25
午後ニの問2のトランザクションログの答えに、ログをバイト単位で分散してディスク(れいどみたいに)に記録するって書いたけどどうかな?

519 :名無し検定1級さん:2009/04/20(月) 10:08:55
怒らないでマジレスしてほしいんだけど
なんでこんな時間に書き込みできるわけ?
普通の人なら学校や会社があるはずなんだけど
このこと知った親は悲しむぞ?
現実見ようぜ

520 :名無し検定1級さん:2009/04/20(月) 10:11:11
合格発表いつだっけ

521 :名無し検定1級さん:2009/04/20(月) 10:13:56
6月30日だったかな

522 :名無し検定1級さん:2009/04/20(月) 10:15:50
>>508

過去問勉強してない奴はそう思うのかw

523 :名無し検定1級さん:2009/04/20(月) 10:18:32
>>519
大学生だからいいんだお^ω^

524 :名無し検定1級さん:2009/04/20(月) 10:44:14
>>519
鏡みてみな

525 :名無し検定1級さん:2009/04/20(月) 10:53:36
今回も午後でおわったな・・・
ネスペから本気出す

526 :名無し検定1級さん:2009/04/20(月) 11:03:26
試験終わったときは反省をこめて勉強やる気があるけど
試験前にはなくなってる俺ってなに

527 :名無し検定1級さん:2009/04/20(月) 11:09:27
>>519
http://www.mmm.co.jp/develop/story2-2.html


528 :名無し検定1級さん:2009/04/20(月) 11:23:30
>>526
あれ?俺書き込んだっけ

>>519
ヒント:代休

529 :名無し検定1級さん:2009/04/20(月) 11:26:59

別解や部分点の裁量は、受験者側は絶対に分かり得ないよね。

今回の午後U問2は、どう解答書いても部分点があるような
問題が多かったと思うし。

6月30日まで長いな。

530 :名無し検定1級さん:2009/04/20(月) 11:33:43
合格点が60点なんだから、免除の基準点も60点だろ。

531 :名無し検定1級さん:2009/04/20(月) 11:45:24
Form優勢か
BODYと書いた俺はアウトか

532 :名無し検定1級さん:2009/04/20(月) 11:52:03

俺様もbodyって書いた。

だって、postの場合、利用者の入力値はbodyに登録されて転送されるって、
アイテックの午後重点対策に書いてあったし。

533 :名無し検定1級さん:2009/04/20(月) 11:56:58
午前1免除は合格発表時に併せて教えてくれるのですか?

534 :名無し検定1級さん:2009/04/20(月) 11:59:53
節子、それHTMLの要素やないHTTPの要素や

535 :名無し検定1級さん:2009/04/20(月) 12:02:53
>>532
お前htmlとhttpの区別も付かないのに高度受験してんの?

536 :名無し検定1級さん:2009/04/20(月) 12:10:35
誰か書いてたけど、トランザクションログのはアクセス権で制御しろってことじゃね?

537 :名無し検定1級さん:2009/04/20(月) 12:25:48
お 前 ら 仕 事 は ?

538 :名無し検定1級さん:2009/04/20(月) 12:27:15
BODYワロタ
そりゃHTMLにも<body>は有るけど話が違うでしょw

539 :名無し検定1級さん:2009/04/20(月) 12:32:38

そんなこと言って、僕のこといぢめないで!

540 :名無し検定1級さん:2009/04/20(月) 12:42:42
んなこといったら<html>でも正解か?

541 :名無し検定1級さん:2009/04/20(月) 12:44:23
>>507

同じく。Webアプリケーションでカード番号を暗号化して管理するって書きました。

理由は、
・「2.目的」のところで「判読困難にすることによって」って書いてある
・ログを暗号化できないのはあくまでもDBMSの制約
・「3.特定されるリスク」の「DBサーバにアクセス可能な従業員」にはrootも含まれる

いいとこどりすぎ?

542 :名無し検定1級さん:2009/04/20(月) 12:52:28
午後2の2の設問4(1)はエだろ
リスク回避ならログを取らないとかそういうことにならないか

543 :名無し検定1級さん:2009/04/20(月) 12:56:30
初歩的な質問なんですが
DNSの正引きってPCから直接インターネットへDNSパケットを飛ばすものなのでしょうか?
PCに設定してあるDNSサーバーへ問い合わせて、見つからなかったらDNSサーバーが代理でインターネットへDNSパケットを飛ばすのではないのですか?

544 :名無し検定1級さん:2009/04/20(月) 13:07:04
>>543
どの問題のどの部分のことを言ってるの?

545 :名無し検定1級さん:2009/04/20(月) 13:07:05
>>147
SNTPって、通信の遅延の補正をはしょってなかったっけ?

546 :名無し検定1級さん:2009/04/20(月) 13:10:51
>>543
yes

547 :名無し検定1級さん:2009/04/20(月) 13:11:29
あ、一番下がYesね
2行目は違うよ

548 :名無し検定1級さん:2009/04/20(月) 13:11:42
午後1問1のipaに何度も問い合わせている件です

549 :名無し検定1級さん:2009/04/20(月) 13:16:19
>>548
社内クライアントはDMZのDNSに問い合わせをするように構成されている
んでもって、DMZのDNSに問い合わせをしている
それだけなんだが。

どこにPCからインターネットにDNSクエリを投げてるって情報書いてあるんだろ。


550 :名無し検定1級さん:2009/04/20(月) 13:39:04
>541
俺はアクセス制御で書いた。

>・「2.目的」のところで「判読困難にすることによって」って書いてある
そこは「元のコントロールの目的を定義し」だから、そもそもの目的と解釈した。

>・ログを暗号化できないのはあくまでもDBMSの制約
これはそうだけど、問題文中に「できるだけ追加投資をしたくない」とある。
Webアプリで暗号化できるとは問題文中に書いてないから、開発に追加投資がかかるよね。

>・「3.特定されるリスク」の「DBサーバにアクセス可能な従業員」にはrootも含まれる
図2の要件7でDBへのアクセスは業務上必要な範囲に制限されているから
従業員に対してrootは割り振らないと判断した。

551 :名無し検定1級さん:2009/04/20(月) 13:45:42
DBと別経路でログ暗号化したらDBMSがログかけねーだろ
アホか

552 :名無し検定1級さん:2009/04/20(月) 14:06:03
午後1問1の図4で
a1a2a3a4からb1b2b3b4へDNS投げてますが
a1a2a3a4はα部内なのでDNSサーバーではないですよね

b1b2b3b4はインターネットのIPアドレスなのでPCが直接インターネットへクエリーを投げてると思ったのです



553 :名無し検定1級さん:2009/04/20(月) 14:09:50
うん、それで正しい。内部DNS挟まないのは異常動作。

554 :名無し検定1級さん:2009/04/20(月) 14:12:07
要は設2の問1の30字以内で答えよは
「PCからインターネットへ直接名前解決しようとしている」にしたのですよ

555 :名無し検定1級さん:2009/04/20(月) 14:12:39
>>537こそ大人しく
仕 事 し て な さ い

556 :名無し検定1級さん:2009/04/20(月) 14:13:29
>>537

先週休日出勤しているし、有給取ったわ

557 :名無し検定1級さん:2009/04/20(月) 14:14:26
>>552 >>554
なるほど。b1b2b3b4がDMZ DNSだと勘違いして回答してたわ俺。

>>554でも合ってそうだね。
俺はMX問い合わせてるにしたけど。

558 :名無し検定1級さん:2009/04/20(月) 14:16:25
ここで正しいって言われても当てにならないからな

559 :名無し検定1級さん:2009/04/20(月) 14:20:22
なら見なくていいんだぞ。

560 :名無し検定1級さん:2009/04/20(月) 14:21:27
>>558

アイテックの解答とIPAの公式解答ですら
結構な開きがあったりするからなー

561 :名無し検定1級さん:2009/04/20(月) 14:23:27
問題があいまいだから解答もいっぱいなんだよな

562 :名無し検定1級さん:2009/04/20(月) 14:31:24
ITACの回答速報に情報セキュリティだけ掲載されないのはなぜ?
やっぱり悪問で回答が分かれているからとかだろうか。

563 :名無し検定1級さん:2009/04/20(月) 14:35:51
アイテックの講評きた

564 :名無し検定1級さん:2009/04/20(月) 14:45:01
ITEC講評
http://www.itec.co.jp/auto_mark/comment/index.html

ざっくり要点だけ引っ張ってくると・・・

午後1
 難易度が少し高くなった印象(1がやや難、他は標準)
午後2
 難易度は標準
 字数が増加したため、分かりやすい文章表現で解答を作成できたかが60点に達するかの分かれ目

565 :名無し検定1級さん:2009/04/20(月) 14:47:58

午前1突破できるやつなら午前2は問題なく通過できるだろう って評価か


実際今回午前1で落ちるやつは相当少ないみたいだな

566 :名無し検定1級さん:2009/04/20(月) 14:55:28
おまえら、IPAから郵送物があってもうかれるなよw

今回から「午前1合格者は2年間の午前1免除制度」が開始される。

IPAに確認したところ、郵送で午前1免除通知が届けられるそうだ。

合格証書と勘違いしないようになw

567 :名無し検定1級さん:2009/04/20(月) 15:01:11
合格証書在中ってかいてらるから判断付くだろ

568 :名無し検定1級さん:2009/04/20(月) 15:02:37
残ってるのは馴れ合い厨だけか

569 :名無し検定1級さん:2009/04/20(月) 15:12:43
午前1
16問しかあってない・・・

570 :名無し検定1級さん:2009/04/20(月) 15:20:23
>>569

基本情報レベルの問題ばっかだったんだが

571 :名無し検定1級さん:2009/04/20(月) 15:21:19
マジですか?

572 :名無し検定1級さん:2009/04/20(月) 15:29:40
>569
前日に午前の過去問やってれば余裕レベルだったのに……。

573 :名無し検定1級さん:2009/04/20(月) 15:31:09
まあこれでも落ちる人がいるから、このレベルで済んでて助かってる。
ここ5年くらいで、3割程度しか高度試験合格はしてないけど、
午前で落ちるってのが考えられんわ

574 :名無し検定1級さん:2009/04/20(月) 15:51:01
聞いてみたいんだけど、午後1の問1の答え合わせしない?
設問1
a.r
b.ウ
c.偽装
(3)
イ(DNS reflection)
(4)
2,5(ローマ数字)
修正:ipアドレスが登録されていないドメインに対するレスポンスをしない

設問2
g.ウ(ゾーン伝送)
(2)ア

設問3
(1)異常にコネクションの数が多いプロセスや、プロセス名及びポートが知られていないプロセス
(2)パターンファイルの更新チェックなどのパケット

575 :名無し検定1級さん:2009/04/20(月) 15:54:22
そもそも社内PCがMXレコード引くこと自体おかしいだろ
普通のメーラはSMTPサーバが固定で設定されているから引くのはAレコードだけ

576 :名無し検定1級さん:2009/04/20(月) 15:59:25
>575
そこ!、そこを答えたよ。
答えに書き漏らした

プロセスの異常な動作については

あるドメインの全てのレコードをDNSサーバに要求している(MXレコード)

577 :名無し検定1級さん:2009/04/20(月) 16:03:30
えっち・てー・てー・ピー

578 :名無し検定1級さん:2009/04/20(月) 16:04:02
いや俺もうまく書けなくて書き漏らしたんだけどな(w
MXレコードが解決しているのに何度も繰り返し引いてる、みたいな回答した

後から冷静になって考えたら、
・そもそも社内PCがMXレコード引くこと自体おかしい
・(まずないが百歩譲って)万が一引いたとしても、次に引くのはAレコード
じゃないとおかしいはず

579 :名無し検定1級さん:2009/04/20(月) 16:10:42
午後2 設問4-(1)の答えは??  
回避っての多いけど、どうなの
もともと、暗号化(低減)かログから消去(回避)を考えて
結局、代替手段でアクセス制限したって流れでしょ。

"要件を満たさない場合でも、代替手段を行うことで***出来る場合には
代替管理策とすることで、要件の目的を実現することが可能"〜問題抜粋〜

普通、リスクは回避するか受容レベルまで落とすかの選択で
ログは残すから回避は出来てないよね。
受容レベルまで落とす手段として、低減か移転があるだよね?
これ、、
受容できる場合? 低減できる場合??

580 :名無し検定1級さん:2009/04/20(月) 16:15:04
>>574
> 修正:ipアドレスが登録されていないドメインに対するレスポンスをしない
文章としておかしい気がする。ドメインって何?
再帰クエリ、再帰検索に触れてないと×だと思う

> g.ウ(ゾーン伝送)
エだよ。Queryって書いてあるのにゾーン転送なわけない

> (1)異常にコネクションの数が多いプロセスや、プロセス名及びポートが知られていないプロセス
設問無視してない?図4の情報を元に答えたとわかる文章にしないと。

581 :名無し検定1級さん:2009/04/20(月) 16:15:07
>>571

基本・祖父開発・高度区分の過去問やってれば
8割は普通に取れる問題ばっかだよ

582 :名無し検定1級さん:2009/04/20(月) 16:22:44
>580
図4でプロセスを特定するのではなく、プロセスモニターで特定するのだぞ
つまり、具体的なパケットよりもプロセスモニターで見れる特徴で特定する必要が
あるわけだ。パケットの解析によってPCを特定し、プロセスモニターによってプロセス
を特定するというわけだよ。

エについては、smtpを用いて送信するパケットがキャッチされていないから
ちょっと判断できないのでは?と思った。確かにゾーン転送でもなさそうな気が
したけど。。

また、試験中に実際書いた文書をメモってないので、似たようなやつを書いてみただけ

583 :名無し検定1級さん:2009/04/20(月) 16:25:53
>>570
旧セキュアドのテキストや過去問には無い問題が結構あった
セキュアド浪人で文科系の人には少々辛い問題だった

584 :9:2009/04/20(月) 16:31:39
>>582
激同ヽ(`Д´)ノやっとわかる奴が現れたよ(ノ∀`)
プロセスモニタで捕捉できる情報として、宛先のIPアドレスやポート番号というのがわざわざ本文に記してあるm9(・A・`)
それに即して解答しなきゃなんねーってのにこいつらときたら(ノ∀`)

585 :名無し検定1級さん:2009/04/20(月) 16:37:19
>>582
図4で通信と端末を特定して、それを元に割り出された端末を見に行ったんだから
対応した通信を発生してるプロセス見なきゃだろ。
これに外れる通信ってのは、ルータ越えしてない通信だけなんだが。

> 584
図4の情報とマッチングできる、って意味。


午後1って、ほぼ書かれているものから抜粋して解答が基本だと思ってるんだが。

586 :名無し検定1級さん:2009/04/20(月) 16:38:07
やばい、さき気づいたけど、設問2の(2)は二つ選択しろだったか。1つしか選んでないorz

587 :585:2009/04/20(月) 17:06:22
つか、不審な通信を行うプロセスを止めても、
それが図4に関する通信じゃなかったら、今回の問題って解決しないだろ。
確かに不審な通信一般で書けば、図4の通信も含まれはするが、
あえて広くとらえる意味がわからん、ってだけだ。

588 :名無し検定1級さん:2009/04/20(月) 17:14:26
回答用紙にコンマが付いていただろうに

589 :名無し検定1級さん:2009/04/20(月) 17:24:26
>>471
同じ部屋だ、たぶんw

590 :名無し検定1級さん:2009/04/20(月) 18:03:17
>>565
午前1が16問正解で午前2が19問正解だけど?文句ある?

591 :名無し検定1級さん:2009/04/20(月) 18:08:49
落ちてくれてありがとう

592 :名無し検定1級さん:2009/04/20(月) 18:27:53
午前1も2も、20問から足切りでいいよ。

593 :名無し検定1級さん:2009/04/20(月) 18:36:19
ttp://app.m-cocolog.jp/t/typecast/166489/147507/

594 :名無し検定1級さん:2009/04/20(月) 18:41:56
>>593
この人は有名な人なん?
午後2の2、リスク移転はねーよ絶対

595 :名無し検定1級さん:2009/04/20(月) 18:49:25
>>593
午後2問1の解説もヒドイな
PKIについてよく理解していないと思われる解答がチラホラ

596 :名無し検定1級さん:2009/04/20(月) 18:51:45
今年は業務柄仕方なくエンベデッド試験を受験したが、
無事合格できてたら、来年こそはセキュリティ試験を受けようと思う
セキュアド合格程度の知識しかないが、大丈夫だろうか?

597 :名無し検定1級さん:2009/04/20(月) 18:53:32
しかも特撮いうわりには仮面ライダーディケイドのカテゴリーねーし。。。

598 :名無し検定1級さん:2009/04/20(月) 18:54:04
>>596
秋は別の受けるの?

599 :名無し検定1級さん:2009/04/20(月) 19:06:48
netbios って tcp-syn 使って外部通信しても良いのか(できるんか)?
もともとLAN内通信のプロトコルだろ?

600 :名無し検定1級さん:2009/04/20(月) 19:09:35
>>598
秋はネットワーク試験を受ける予定。
まだ合格できていないなら。

601 :名無し検定1級さん:2009/04/20(月) 19:11:54
over TCP/IP

602 :名無し検定1級さん:2009/04/20(月) 19:14:10
家庭用のルータにはNetBIOSのルーティングを禁止する設定があるとおもうんだが

603 :名無し検定1級さん:2009/04/20(月) 19:14:53
>>599
NetBios over TCP/IPって書くのがめんどくさかったらNetBiosって書いたとか
だとしたら、IPAやりすぎだが

604 :名無し検定1級さん:2009/04/20(月) 19:16:38
>>599
NetBEUIと勘違いしてないか
>>601の書いてる通りNBTならルータも超えるし

605 :名無し検定1級さん:2009/04/20(月) 19:21:11
itecの珍解答マダー?

606 :名無し検定1級さん:2009/04/20(月) 19:30:19
今年25だけど知識がまったく身についてないことを実感した
ちょっと本気だすわ
ネスペとってリベンジしよう

607 :名無し検定1級さん:2009/04/20(月) 19:31:01
うちのBBルータYAMAHAだけど、NetBIOSは外向き(LAN→WAN)もデフォルトで止めるフィルタ入ってる

608 :名無し検定1級さん:2009/04/20(月) 19:33:29
午後1最初の(c)の穴埋め

IPアドレスに[ c ]した場合・・・

この場合答え「なりすまし」にしたら「なりすましした場合・・・」でなんか違和感あったので
で「なりすま」と答えたんだがどうかな?

609 :名無し検定1級さん:2009/04/20(月) 19:34:12
>>608
ITACの人乙

610 :名無し検定1級さん:2009/04/20(月) 19:53:39
ところでさ、午前受かってる自信あるのか?

611 :名無し検定1級さん:2009/04/20(月) 19:56:20
みんな午前チョロイチョロイ 午前2簡単っていうけど
俺はギリギリだった
すまないみんな 俺は・・・

612 :名無し検定1級さん:2009/04/20(月) 19:57:58
なあ

ショルダーハックによってブラウザのアドレスバーに表示しているクリトリスを盗み見る

これ正解だよな


613 :名無し検定1級さん:2009/04/20(月) 19:58:22
>>610
http://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2009h21.html#21haru

素点方式の6割合格なんだから、自己採点すれば分かるだろ。
まあ、終わった瞬間合格を確信するぐらい簡単だったけどな。

614 :名無し検定1級さん:2009/04/20(月) 20:02:25
>>613
仲間だな。
Nwの時と同じで、終わった瞬間受かったと思ったわ。

615 :名無し検定1級さん:2009/04/20(月) 20:03:23
午前2なんか満点続出でしょ?
うちの同僚も満点か1問間違えが多かった

616 :名無し検定1級さん:2009/04/20(月) 20:04:36
>>611

いいんじゃね? 人それぞれだし
午前対策に時間かけなくて午後対策に時間をかけられた
っていうのなら逆にうらやましいぞ

617 :名無し検定1級さん:2009/04/20(月) 20:09:06
試験中、ずっと頭の中でアマガミのテーマ曲が流れ続けていた俺がきましたよ
集中力なさすぎ orz

618 :名無し検定1級さん:2009/04/20(月) 20:09:24
受験者の99パーセント
冴えないファッションのおっさんばかりだった

てことは此処もおさーんばかり?

ミニはかないでよかった



619 :名無し検定1級さん:2009/04/20(月) 20:11:15
この中で20代前半イケメンは俺くらいだろうな

620 :名無し検定1級さん:2009/04/20(月) 20:13:40
この中で30代前半イケメンは俺くらいだろうな


621 :名無し検定1級さん:2009/04/20(月) 20:18:11
とブサメン2トップが申しております

622 :名無し検定1級さん:2009/04/20(月) 20:18:40
>>608
偽装じゃねーかな?

623 :名無し検定1級さん:2009/04/20(月) 20:25:17
うわ、マジレスかよ

624 :名無し検定1級さん:2009/04/20(月) 20:32:19
>>618
チラホラ見かけた女も結婚出来そうに無い容姿のオバハンばっかりだったけどなw

625 :名無し検定1級さん:2009/04/20(月) 20:35:13
監視員のバイトのねーちゃんはかわいかったけどな
話しかけるきっかけがなかったのが残念だ

626 :名無し検定1級さん:2009/04/20(月) 20:36:11
きっかけは作りだすものだよ

627 :名無し:2009/04/20(月) 20:36:26
午後2 問2
RDBMSのログの出力項目って指定できないの?

628 :名無し検定1級さん:2009/04/20(月) 20:38:33
>>626
名前は覚えたんだけどな
話しかけるのはセキュリティ的にOKなのか?

629 :名無し検定1級さん:2009/04/20(月) 20:40:29
>>579
回避だろ
日本語的に

630 :名無し検定1級さん:2009/04/20(月) 20:40:44
book-offで、数年前のセキュアドの問題集、参考書が100円であったから、
それを5冊ほど買って、今回に望んだけど、過去問多かったね。

でも、微妙に範囲が違うんだね。今回の試験。
Perlが出るなんて、知らなかったよ。

631 :名無し検定1級さん:2009/04/20(月) 20:42:25
オレオレCAって結構メジャーな単語だったのね..
oresignワロタ

632 :名無し検定1級さん:2009/04/20(月) 20:44:52
情処の試験は毎回秋葉にもいねーよって感じの超絶キモオタばかりでマジどん引き
だが今回明治学院で受けたら3割くらいはまともな格好をしてた
5回くらい受けて初の快挙だ

633 :名無し検定1級さん:2009/04/20(月) 20:51:12
午後1めっちゃ難しかったから、問1,2を解いた後
 「毎日採点お疲れ様です。」
って問3の解答欄に書いておいた。

634 :名無し検定1級さん:2009/04/20(月) 20:55:04
>>633
なんて卑怯なやつだ

635 :名無し検定1級さん:2009/04/20(月) 20:57:53
午後1めっちゃ難しかったから、問1,2を解いた後
 「まピョーン☆」
って問3の解答欄に書いておいた。

636 :名無し検定1級さん:2009/04/20(月) 21:00:34
午後1めっちゃ難しかったから、問1,2を解いた後
 「あとは家に帰ってご飯食べてオナニーして寝るだけ」
って問3の解答欄に書いておいた。

637 :名無し検定1級さん:2009/04/20(月) 21:01:46
http://www.jitec.ipa.go.jp/1_09faq/_index_faq.html

の「日ごろの学習の成果を無駄にしないために」のリンク先、
昨日みたときは、最終更新日が試験日の前日だった記憶が
あるんだけど、あれは幻だったのかなぁ…。

638 :名無し検定1級さん:2009/04/20(月) 21:11:41
午前1、見覚えのない問題ばかりでこりゃだめだ、と思ってたが
27/30
24/25
だった。
午後も期待していいもんかのう。
しかしみな簡単、簡単いっているが
めちゃめちゃ合格率あがるんじゃないの?下手したら。
IPAが合格基準を変更する可能性もあるのではないでしょうか。

639 :名無し検定1級さん:2009/04/20(月) 21:12:19
hu

640 :名無し検定1級さん:2009/04/20(月) 21:13:06
>>637
http://www.jitec.ipa.go.jp/1_00topic/topic_20090419.html
これか?

641 :名無し検定1級さん:2009/04/20(月) 21:15:02
情報セキュリティスペシャリスト Part 2
http://namidame.2ch.net/test/read.cgi/lic/1232458241/l50

情報セキュリティスペシャリスト Part4
http://namidame.2ch.net/test/read.cgi/lic/1240144402/l50
http://namidame.2ch.net/test/read.cgi/lic/1240144463/l50

情報セキュリティ検定part1
http://namidame.2ch.net/test/read.cgi/lic/1234607588/l50


642 :名無し検定1級さん:2009/04/20(月) 21:15:32
合格基準かえるのやめて
俺午前II60%ちょうどなんだw

ところで午後IIの問2のeに入る新たな対策って、権限絞るんだと思ってたが
ITProみてたらなんか違うのかもと思いはじめた
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20080609/307014/
PCI DSSの細かい要件まで覚えてないわ・・・

643 :名無し検定1級さん:2009/04/20(月) 21:19:56
試験官のお姉さんに、重大なセキュリティホールが発見された。


644 :名無し検定1級さん:2009/04/20(月) 21:29:42
あーITPro続けて読んでたら回避じゃなくて低減が正解みたいだな
ITProには軽減って書いてあるけども

空欄bも事業継続じゃなくて障害復旧とか書いちゃったし、
こりゃ俺案外やべーな午後II

645 :名無し検定1級さん:2009/04/20(月) 21:37:55
>>642
要件7,8,9を見る限りアクセス権限の適切な設定で良さそうなんだけど
http://itpro.nikkeibp.co.jp/article/COLUMN/20080728/311634/?ST=system

646 :名無し検定1級さん:2009/04/20(月) 21:38:16
速報 米 Oracle 、 Sun Microsystems を 56 億ドルで買収
http://journal.mycom.co.jp/news/2009/04/20/061/

647 :名無し検定1級さん:2009/04/20(月) 21:43:39
ciscoが涙目

648 :名無し検定1級さん:2009/04/20(月) 21:44:13
解答のまとめとかってまだないの?

649 :名無し検定1級さん:2009/04/20(月) 21:45:06
>>645
3.4 少なくともカード番号は,どこに保管されていても(携帯デジタル媒体やバックアップ媒体上のデータ,ログ内データ,無線ネットワークから受領した/経由で保管しているデータを含む),次のいずれかの手段を使用して判読不可能な状態にしておく。
・強固なワンウェイ・ハッシュ機能(ハッシュ・インデックス)
・トランケーション(文字の一部を非表示にする)
・インデックス・トークンやPAD(PAD は安全に保管)
・関連する鍵管理プロセスと手順を伴う、強力な暗号化

と、あるのでカード番号だけ特殊なんじゃね?

650 :名無し検定1級さん:2009/04/20(月) 21:46:23
>>649
ほんとだ
オワタ

651 :名無し検定1級さん:2009/04/20(月) 21:48:39
で、こたえはなんなんだよw

652 :名無し検定1級さん:2009/04/20(月) 21:49:44
>>648
んなもんが存在したことがあったんだっけか

653 :名無し検定1級さん:2009/04/20(月) 21:51:25
>>652
ソフトとかだと2chでまとめとかあったけど。
itacのも待ちきれないし、ちょっときたいしてたんだ〜。

654 :名無し検定1級さん:2009/04/20(月) 21:52:47

「カード番号の部位は、意味の持たない文字列に置換する」でも、
言ってることは近いと思うんだが、どうでっしゃろ……。

うちの会社で、本番環境をもとにデバック環境構築する時に実際やってるやり方なんですが。
「マスクする」って言い方してるんだけど。

655 :名無し検定1級さん:2009/04/20(月) 21:54:37
>>642
これを見る限り、アクセス権云々って解答は部分点すら貰えなさそうだな

656 :名無し検定1級さん:2009/04/20(月) 21:56:01
おまえらのレベルの高い議論を聞いていると永遠に受からんな。


657 :名無し検定1級さん:2009/04/20(月) 22:03:52
あれあれ?
午後2の問2地雷ですか?
ねえ地雷ですか?

658 :名無し検定1級さん:2009/04/20(月) 22:04:52
2009年4月20日
【お詫び】サーバー負荷の件について 2009年4月19日(日)21:00頃よりサーバー及びネットワークの過負荷の為、
www.itec.co.jpへのアクセスが困難な状態が発生しておりました。

これにより、自動採点サービス・本試験講評などの利用できにくい状態になっておりました。

ユーザの皆様には不便をおかけし、誠に申し訳ございません。
アイテックのサービスを快適にご利用頂けますよう、引き続き努めて参ります。

今後とも、アイテックをよろしくお願いいたします。





おまえら自重しろよwwwwww

659 :名無し検定1級さん:2009/04/20(月) 22:06:06
pcidssの詳細用件暗記と理解必須なら、相当レベル高いんじゃないかセキュスペ
そこまで書いてあった参考書ねーべ

660 :名無し検定1級さん:2009/04/20(月) 22:07:17
DoS攻撃仕掛けるうようじゃ
セキュリティスペシャリストとは言えんがな・・・。

今は解放された喜びに浸っとけ・・・。

661 :名無し検定1級さん:2009/04/20(月) 22:08:32
アクセスの大多数はFEかIPの連中だろうけどね。ww。

662 :名無し検定1級さん:2009/04/20(月) 22:09:55
個人的には午後Tが難易度高かった。
たぶん落ちてる…
勉強が足りなかったな…   ・゚・(つД`)・゚・

663 :名無し検定1級さん:2009/04/20(月) 22:12:48
午後Uの設問単位で配点考えて見たけどどうだろう
設問1 15点
設問2 35点
設問3 20点
設問4 15点
設問5 15点

664 :663:2009/04/20(月) 22:13:33
ごめん午後Uの問2だった

665 :507:2009/04/20(月) 22:20:25
午後2 問4 設問(2)は、G部長の「できるだけ追加投資を必要とせずに」と設問4 (1)の回答がポイントだな。
トランザクションログへのアクセスを制限すれば、漏えいのリスクは「回避」できなくても「低減」には繋がる。
費用の面でも、プログラムの改修に比べたらアクセス制限の方が追加費用の発生は最小限に抑えられると思う(DBMSの設定変更にかかる人件費のみ?)。

ただ、試験ではそこまで頭が回らず「DBに書き込む前にプログラムで暗号化する」と回答した。
プログラム側での暗号化はpcidssの要件は満たしているようなので、部分点だけでもくれないか・・・。


666 :名無し検定1級さん:2009/04/20(月) 22:24:34
>>642
G部長はPCI DSSを読んだけどソフトウェアの制限で暗号化ができないから
他の方法をFさんに考えさせたんだろ。
だからアクセス権限の必要最低限の設定が正解だろ。
君が正解だよ。

667 :名無し検定1級さん:2009/04/20(月) 22:26:11
費用と過去ログの存在を考えるとアクセス制限にしか行き着かなかった。
ログ取るの止めて回避すると用件満たせないし。

668 :名無し検定1級さん:2009/04/20(月) 22:27:02
ログの暗号化はソフトウェア的に無理みたいだけど
どう無理なんだろう
暗号化して出力するのが無理なのか出力したログを別途暗号化するのも無理なのか

ハッシュ化は可能なのか?



669 :名無し検定1級さん:2009/04/20(月) 22:27:43
>>665
トランザクションログの暗号化は無理って言われてるのに
暗号化を代替案としてあげるの?おかしくね?

670 :名無し検定1級さん:2009/04/20(月) 22:29:40
>>651
どうしても解答が思いつかなかったオレは
「ログの暗号化を行うツールをDBサーバに導入する」
って書いてやったぜ

過去問だったか予想問題だったかに、
問 従業員用PCで外部記憶媒体への書き込みを禁止するにはどうすればよいか?
答 外部記憶媒体への書き込みを禁止するセキュリティツールを導入する
ってのがあって、「そんなんアリかよ」と思ったもんだけど・・・・・・

671 :名無し検定1級さん:2009/04/20(月) 22:30:34
>>666
なるほど

672 :名無し検定1級さん:2009/04/20(月) 22:30:38
暗号化できないのはログであって
番号自体をあらかじめ暗号化することは出来ると思ったんだけどなぁ・・・

673 :名無し検定1級さん:2009/04/20(月) 22:32:05
「ログの直接閲覧を禁止してパスを隠蔽するツールを通して見る」ってのは考えた。

費用かかりそうだし血迷いすぎだと思ってやめたが。

674 :名無し検定1級さん:2009/04/20(月) 22:33:07
ログそのものではなくて中身なら、か
あとから中身の部分を暗号化可能なくらいなら全体の暗号化もできそうなもんだが、
まったく無いケースともいえんなあ
毎度解釈が難しいなw

675 :名無し検定1級さん:2009/04/20(月) 22:34:41
Fさんが要件を満たせ無くても他の手段で回避できる場合にはその手段を代替策に出来るって言ってる

676 :名無し検定1級さん:2009/04/20(月) 22:34:43
>>666
ところがPCIDSSでは暗号化とワンウェイハッシュは別と考えられてるようで
ってまあPCIDSS詳しくないからITProの解説だけが根拠なんだけど
いや、俺もアクセス権で正解であってほしいんだけどね…

677 :名無し検定1級さん:2009/04/20(月) 22:36:08
>>675
つまりPCI DSSで挙げられている対策である必要は無いって事?

678 :名無し検定1級さん:2009/04/20(月) 22:36:35
>>675
その「回避だか低減だかできる代替策」にアクセス権を絞るってのが
PCIDSS上で当てはまるかどうかってのが問題なわけで
実際は多少なりとも低減されると思うけどな

679 :名無し検定1級さん:2009/04/20(月) 22:36:46
>>675
それであって欲しい

680 :名無し検定1級さん:2009/04/20(月) 22:37:13
問題文に
「DBMSが作成するトランザクションログについては
 暗号化を施してカード番号を判読困難にすることは難しい」
とあるんだよな

DBMS自身が暗号化を行うのが難しいのであって、
>>672が言うような予め暗号化する方法や、
DBMSが出力したログを書き換える方法は有効だと解釈したんだけど・・・・・・

681 :名無し検定1級さん:2009/04/20(月) 22:37:18
ただ、既存のログから除去するのはなんちゃらかんちゃらといってる点が気になる
そりゃ暗号化したらこれからはいいけど取ったログはそのままだからねえ
そうなるとやっぱアクセス権かなという気もしないではない


もしかしたら全然違う斜め上の案が正解なのかも

682 :名無し検定1級さん:2009/04/20(月) 22:38:31
>>678
希望を持ちたいんだよ・・・

683 :名無し検定1級さん:2009/04/20(月) 22:39:21
午後のなにがダメって漢字がびっくりするくらい書けないw


684 :名無し検定1級さん:2009/04/20(月) 22:41:23
日本語的に考えたら低減だろうよ。。。
なんで移転とか回避になるのか意味不明

685 :名無し検定1級さん:2009/04/20(月) 22:44:36
他の方法で経営者の承認を得ることが目的だから
「受容」の可能性もあるぞ

686 :名無し検定1級さん:2009/04/20(月) 22:45:36
PCIDDSの要件の目的を満たせる代替案を考える問題って事でおkだよな?な?


687 :名無し検定1級さん:2009/04/20(月) 22:48:23
要件の【目的】を実現しなきゃ駄目なんだよ?
要件に準拠しなきゃ駄目なんですよ。
移転とか回避、受容は、要件の目的に達してないよ。


688 :名無し検定1級さん:2009/04/20(月) 22:50:45
リスク分析の専門用語として考えるべき。ISMSに限定しようがRMSだろうが基本的に同じ。
リスク低減、などという言葉はない。これを選んだ奴は不勉強と断定されても仕方がない。

残る3つはある訳だが、その中でこの場合の正確性・妥当性を有するのは「リスク回避」のみ。

689 :名無し検定1級さん:2009/04/20(月) 22:50:45
もう勘弁してくれ

690 :名無し検定1級さん:2009/04/20(月) 22:51:47
間を取って保険会社にリスク移転お願いしようぜ

691 :名無し検定1級さん:2009/04/20(月) 22:55:25
トランザクションログの話で結局よさげなのは>>147

> トランザクションログへのアクセス権をDBMSのサービスアカウントに限定する。

これじゃね? 「簡単にヒトが見れてしまうのを避けたい」というニュアンスにも合っているし。

692 :名無し検定1級さん:2009/04/20(月) 22:56:17
http://itpro.nikkeibp.co.jp/article/COLUMN/20080609/307117/?ST=system
ここを見ると暗号化できない場合、アクセス制限が有力

693 :名無し検定1級さん:2009/04/20(月) 22:56:45
[トランザクションログに対する代替管理策]で
”P社では〜改善を図っていたが”とある。
つまり、これはG部長とFさんだけの問題ではなく
経営陣も知っていることだと言える。
代替案で経営陣の承認を得るのは「受容」だ。

694 :名無し検定1級さん:2009/04/20(月) 22:57:12
今回から絶対評価になるというのは確かなのか?

695 :名無し検定1級さん:2009/04/20(月) 22:57:58
こんな時は・・
    P部長を呼べっ!

696 :名無し検定1級さん:2009/04/20(月) 22:59:13
>>694
60%越えると合格なのは確かだけど
配点とかはこれまで通り受験者の正解率によって変動するんじゃね?
じゃなきゃ今回の試験なんて3割くらい合格するぞ

697 :名無し検定1級さん:2009/04/20(月) 23:00:16
ダンボールの問題は、過去問でみたことあるよ
俺も一度引っかかった経験があったから、
今回はひっかからなかった

698 :名無し検定1級さん:2009/04/20(月) 23:00:46
もうダンボールはいいよ

699 :名無し検定1級さん:2009/04/20(月) 23:02:48
ほかの情報処理試験の板に比べてこの板は妙に伸びてる
試験までは全くだったのにな…

つまり、考えられるのは
@みんな、思ったよりできがよかった
A粘着質な性格のやつがセキュスペ目指す
B落ちてムカついたから自信のあるやつからかってる
C他の区分よりセキュスペが簡単だったから、他の区分のヤツらがからかいにきてる

どれだ?

700 :名無し検定1級さん:2009/04/20(月) 23:04:33
>>699
Dのダンボールの底が破れてこの板に落ちてきた

701 :名無し検定1級さん:2009/04/20(月) 23:05:12
もうダンボールはいいよ

702 :名無し検定1級さん:2009/04/20(月) 23:05:21
>>696
結局は受験者の状態によって調整されてしまうというわけだな。
合格率をを調整するという点では、実質的には相対評価と変わらんね。

703 :名無し検定1級さん:2009/04/20(月) 23:07:09
P部長をダンボールに入れて送ってくれ

704 :名無し検定1級さん:2009/04/20(月) 23:07:15
お前らの中で牛乳、デビットカード世代の奴いる?

705 :名無し検定1級さん:2009/04/20(月) 23:08:36
牛乳はナナコ

706 :名無し検定1級さん:2009/04/20(月) 23:11:49
http://www.nttdata-sec.co.jp/article/pcidss/02.html
> 例として挙げられているのはデータベースに保管されたデータの判読不能化で、
> これが実現できない場合に、代替コントロールとして、セグメンテーション、
> ネットワークアクセス制御、データベースへのアクセス制御、データベースへの
> 攻撃の防止と検知、これら全ての対策を施すことで代替コントロールとしています。

ということで、トランザクションログの件についてはアクセス制御でFAかと。

707 :名無し検定1級さん:2009/04/20(月) 23:14:37
ttp://www.mitsue.co.jp/case/glossary/p_009.html

リスク受容でFAかと。

708 :名無し検定1級さん:2009/04/20(月) 23:21:10
今回落ちたらもう自殺する

709 :名無し検定1級さん:2009/04/20(月) 23:24:10
ttps://www.pcisecuritystandards.org/pdfs/pci_dss_japanese.pdf

胴元の文章な訳だが、ページ61。

> その他の(つまり代替の)コントロールを通じて要件に関連するリスクを十分に軽減している場合、

この「十分に軽減」というのは、「低減」か?「回避」か? 元の英文の和訳方法によってはどちらでも通るぞ?
むしろ「低減」と「十分に軽減」では温度感というかニュアンスが相当異なるんじゃないの?m9(・∀・)ビシッ!!

710 :名無し検定1級さん:2009/04/20(月) 23:25:59
>>633

それ使えるな

711 :名無し検定1級さん:2009/04/20(月) 23:27:59
http://www.mitsue.co.jp/case/glossary/p_012.html

リスク回避ってのは、この場合で言うと
「カード情報が漏洩するリスクをなくすためカード情報の収集自体をやめる」
ってことだと思うぞ。
やっぱり正解は「低減」だろ

712 :名無し検定1級さん:2009/04/20(月) 23:28:18
                     ───        、ヽ l / ,
                 /.::::::::::::::::::::::::ヽ      =     =
                 !.::::::::::::::::::::::j::: !     ニ= タ. そ -=
                  | :r ̄´´´ ̄ヽ::}     .ニ=. モ れ =ニ
                 |:} __ 、._ `}f'〉n_  =- さ. で -=
  、、 l | /, ,         ,ヘ}(;;;;;;;;)=(;::;;;;;)' |ノ:::|.|  ヽ.ニ.. .ん も  ニ
 .ヽ     ´´,      ,ゝ|  ̄ ,_ _、 ̄l|ヽ:ヽヽ  } =-. な    ヽ`
.ヽ し き. タ ニ-     /|{/:ヽィ-=-ゝ./| |.|:::::| |  | ニ .ら.   ニ
=  て. っ モ  =ニ /:.:.::ヽ、  \二/ | |.|:::::| |  /´r.  :    ヽ`
ニ  く. .と. さ  -= ヽ、:.::::::ヽ、._、  _,ノ/.:::::| | /|   ´/小ヽ`
=  れ.お ん -=   ヽ、:::::::::\、__/:‐┬┐:|' :|
ニ  る 断.な  =ニ.  | |:::::::::::::::::::::::::::::::::: ノ:. ’Y ::ト、
/,  : り .ら  ヽ、  | |:::::::::::::::::::::::::::::::::::ノ::L:::|  '゙, .\
 /     ヽ、  .  | |::::::::::::::::::::::::::::::::::┌┐:.ト、.    \
  / / 小 \    r¬|ノ:::::::::::::::::::::::::::::::::::’フ:::::| \


713 :名無し検定1級さん:2009/04/20(月) 23:35:33

カード番号の解答は、
アクセス制御で正しいような気がする。

「カード番号は、意味の持たない他の文字列に置換する」
にしてしまったが、
部分点がゼロってことはないと祈る。

714 :名無し検定1級さん:2009/04/20(月) 23:44:55
桑田佳祐が死んだって本当?

715 :名無し検定1級さん:2009/04/20(月) 23:47:18
専門用語で答えるとか、不勉強と断言とか変な人いますね。
うちの会社のハゲたおやじ世代かなぁ。
なんで回避なのか。
アクセス制御系の解答で、低減で
正解だから。


716 :名無し検定1級さん:2009/04/20(月) 23:48:04
販売システムはポリシ上も機能上も職責に応じて権限を与えられた
担当者だけがアクセスできるようになっている、

ってDBサーバ(のトランザクションログ)含まないの?

717 :名無し検定1級さん:2009/04/20(月) 23:52:03
>>716
そこの下のほうに「販売システムのデータベースサーバ」って書かれてたから
当然一部だと思ってたけど違うんかなあ

718 :名無し検定1級さん:2009/04/20(月) 23:52:54
>>716
権限を与えられた担当者はアクセスできてしまっているんだよ。
権限を与えられた担当者にはカード番号が露呈されてしまっている状態。

だから、DBのサービスアカウントだけにアクセス権を絞り込むとかすればいい。

719 :名無し検定1級さん:2009/04/20(月) 23:55:16
          γ⌒)
           |.|"´    2ヶ月後に行って結果を見てこよう!
           |.|  ./⌒ヽ____¶___
           |.| /( ・∀・ )   ¶//|  /|
           U_⊆__⊆_ )_   / ̄|///
          /┌────┐|. /'`) //
       /( / ≡≡≡ .//(__///
       |  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ |/


        ( 'A`)
     ≡  ( っ∩っ∩
   ≡  (ニ二二二ニ)


720 :名無し検定1級さん:2009/04/20(月) 23:57:04
あー、これ既存のログ(すでに吐かれたログ)も考慮しなきゃダメなのか
確かにアクセス権限だわ

721 :名無し検定1級さん:2009/04/21(火) 00:05:13
麿ハ回避カ低減カノ問題ニ就テ是ノ解答ヲ低減トスル事ヲ受諾シ茲ニ降伏ス 但シ部分点ヲ請フ

722 :名無し検定1級さん:2009/04/21(火) 00:07:37
試験疲れがまだ残っててねみぃ
そろそろ寝るわー
おやすみ ノシ

723 :名無し検定1級さん:2009/04/21(火) 00:07:46
かなり前に午後1の問3の設問2(2)で、こんな回答例があったんだけどさ。

>(2) ランダムな値をパスワードに付加してからハッシュ値を算出し、同一のパスワードでも異なる結果になるようにする

乱数付加してたら、正しい会員でもハッシュ値照合できなくね?


724 :名無し検定1級さん:2009/04/21(火) 00:12:36
午後I 問1を誰かの回答見る度に自分の点数が減っていくorz
記述でまともに自信あるのが1問だけ・・・

725 :名無し検定1級さん:2009/04/21(火) 00:16:23
>>723
俺はその問題は「ソルト」って明記した。

「ソルトと呼ばれるランダムな文字列をパスワードにがっちゃんこして云々・・・」

って回答にしてみた。

726 :名無し検定1級さん:2009/04/21(火) 00:17:04
>>725
同じだよね?乱数と

727 :名無し検定1級さん:2009/04/21(火) 00:30:15
>>726
乱数っちゃ乱数だな

ハッシュとソルト
http://itpro.nikkeibp.co.jp/article/COLUMN/20071031/286012/?ST=lin-os&P=4

728 :名無し検定1級さん:2009/04/21(火) 00:31:11
>>726
http://itpro.nikkeibp.co.jp/article/COLUMN/20071031/286012/?ST=lin-server&P=4

計算に使った乱数はもちろん、どっかに保存しておくよ
で、認証の際にその乱数を読み出してくる

729 :名無し検定1級さん:2009/04/21(火) 00:31:43
>>723
レインボーテーブルでぐぐれ

730 :名無し検定1級さん:2009/04/21(火) 00:39:42
>>727
>>728

あぁそうだったぁ・・・ちょっと考えればわかるよなぁ・・・

731 :名無し検定1級さん:2009/04/21(火) 00:50:56
ユーザIDをパスワードに付加してハッシュ値・・
だったような気がする。


732 :名無し検定1級さん:2009/04/21(火) 00:51:51
>>731
意味ねーw

733 :名無し検定1級さん:2009/04/21(火) 00:54:42
毎回名前書き忘れたやつとかいるんだよな
特に午後Iの裏面とか

734 :名無し検定1級さん:2009/04/21(火) 00:57:05
>>733
毎回名前書き忘れたとかそのネタ出すやついるんだよな

飽きたしつまらない

735 :名無し検定1級さん:2009/04/21(火) 00:57:33
>>734
あーあ

736 :名無し検定1級さん:2009/04/21(火) 01:03:58
午後Tって4問中2問選択だったのね
3問選択って減点?

737 :名無し検定1級さん:2009/04/21(火) 01:05:04
人権擁護法案もそうだが、差別だ人権だなどと唱ってある法律や条約で、あまりろくなものを見たことがない。

日本に存在する女性団体や、人権団体、平和団体は、コリアンとの結びつきが強く、はっきりいうと、

日本の社会や道徳、風紀を乱すための工作団体である。キチガイフェミニストで9条教徒として有名な社民党の辻本清美議員は、

かつて自分の役目は、日本を解体すること、というような発言をしたことがあるが、つまりはそういうことなのだろう。

今回、この女性差別撤廃条約なるものが批准されると、これら工作団体が国連を通して日本政府に圧力を掛けてくることが可能になるわけだ。

皇室の皇統問題にも関わることで、こんな条約を間違って批准でもしたら差別撤廃の名目で女系天皇推進論が息を吹き返しかねない。

国籍法改悪で悪法を無理やり通された経緯があるので、もし自宅にFAX等のある方は、国籍法改悪で動いてくれた議員宛か、

地元の自民党議員宛、もしくは信頼出来る自民党保守議員宛にFAXをしていただければと思う。抽象的な表現で申し訳ないが、

日本は白人支配者層や反日勢力から狙われており、彼らは最終的には皇統の断絶を目論んでいる。女系天皇と女性天皇の違いを隠して、

マスコミぐるみで小泉首相が皇室典範改正を企んだように、民主党や野党は論外だが、自民党とて100%安心出来ないのが現状である。

本当に油断も隙もない世の中になってしまったようだ。

ちなみに現在の国連総長は韓国人。
--------------------------------------------------------------------------------------------------------------------

↓に対する隠れ蓑なのが明白だ!!反対のFAXをするんだ!!

緊急「女性差別撤廃条約」が危険(水間政憲)
http://www.nicovideo.jp/watch/nm6783825

【情報拡散】日本防衛軍より援護要請 〜女性差別撤廃条約が危ない〜
http://www.nicovideo.jp/watch/sm6790137

738 :名無し検定1級さん:2009/04/21(火) 01:08:07
P部長のPってプーなのか、ペーなのか、はっきりしろよ

739 :名無し検定1級さん:2009/04/21(火) 01:09:17
ポーの一族だろ

740 :名無し検定1級さん:2009/04/21(火) 01:10:09
採点者笑わして得点ゲットだぜ〜

741 :名無し検定1級さん:2009/04/21(火) 01:10:35
>>738
北さんだろ

742 :名無し検定1級さん:2009/04/21(火) 01:16:45
通販かよw

743 :名無し検定1級さん:2009/04/21(火) 01:20:43
>>732
意味無くないだろ。
IDとパスワードを連結することで辞書に載ってない文字列をハッシュ化することになるから、レインボー攻撃を防げる。


744 :名無し検定1級さん:2009/04/21(火) 01:21:12
>>668

リスクはマネジメントは「回避」「低減」「移転」「受容」だよ。
「低減」はある。おまいが勉強しなおせ。

745 :名無し検定1級さん:2009/04/21(火) 01:31:34
ココのやりとりを見ていて、昔高校生のころ文系志望の奴に
「俺が国語のテストが嫌いなのは、答えが一つじゃねえのに正解とか不正解とかつけられるからだ!」
と言っていたのを思い出した・・・おれは情報処理試験が嫌いだ!

746 :名無し検定1級さん:2009/04/21(火) 02:25:12
設問2 (4)は災害とか書いてるアフォがいるけど、
問題文にサーバ室の現状の問題点が書いてあるだろ。

出入り可能こっそり持ち出し可能な状態にあるリスクについてかけよ。

747 :名無し検定1級さん:2009/04/21(火) 05:08:41
>736
3問以上○印で囲んだ場合は,はじめの2問について採点します。


748 :名無し検定1級さん:2009/04/21(火) 06:57:12
暗号化されている方が、漏洩の可能性は低いじゃん。
アクセス制御にしたら、代替案だけど漏洩の可能性は高くなる。
つまり、「低減」になってない。
代替案で経営陣に承認を得させることが目的なら「受容」じゃないか。

749 :名無し検定1級さん:2009/04/21(火) 07:22:44
>>745
屁理屈捏ねてないで次の試験の準備でもしていろよ

750 :名無し検定1級さん:2009/04/21(火) 07:31:04
>746
> 出入り可能こっそり持ち出し可能な状態

サーバ室カメラで監視されてんじゃん。
んなことしたら即通報されるわ。



751 :名無し検定1級さん:2009/04/21(火) 07:36:32
>>608
「なりすま」くらい漢字で書けよ









「成増」

752 :名無し検定1級さん:2009/04/21(火) 07:55:24
なりすま

なんか

ぷっすま

みたいだ

753 :名無し検定1級さん:2009/04/21(火) 07:58:43
あたりまえだけど

乱数じゃ減点

擬似乱数かまたはソルトだろ




754 :名無し検定1級さん:2009/04/21(火) 08:07:09
段ボール

755 :名無し検定1級さん:2009/04/21(火) 08:48:53
>>753
別に乱数でも問題ないと思われ

756 :名無し検定1級さん:2009/04/21(火) 08:49:13
合格していたら
次何を受けますか?

IPAだとネスペなんだけどその間にオススメありますか?

シスアドと基本とソフ開は持ってます。

特にコダワリは無くなんとなく簡単そうなものから受けてます
脳みそ老化防止と奨励金目的です。

落ちても受験料と交通費と参考書は会社からでます。

757 :名無し検定1級さん:2009/04/21(火) 09:00:43
>>756
明石蛸検定がおすすめだお

758 :名無し検定1級さん:2009/04/21(火) 09:01:31
>>756
年末なら 京都検定がおすすめだお

759 :名無し検定1級さん:2009/04/21(火) 09:08:12
CompTIA Security+

760 :名無し検定1級さん:2009/04/21(火) 09:09:51
午後2の4-2だが、ディスク全体の暗号化はないのか? 俺、そう書いたんだけど。
ちなみに、低減だ。
ちなみに、事業継続でNTPだが。


761 :名無し検定1級さん:2009/04/21(火) 09:24:58
>>756

自分はCCNA受けようかなと思ってる

762 :名無し検定1級さん:2009/04/21(火) 09:31:56
>>756
次は 北海道フードマイスター検定 だな!

763 :名無し検定1級さん:2009/04/21(火) 09:34:52
>>760
予算請求は却下されました。

764 :名無し検定1級さん:2009/04/21(火) 09:39:46
>>756
実務でネットワークに携わってないなら、ひたすらネスペの勉強。

765 :名無し検定1級さん:2009/04/21(火) 10:17:50
午後2問2設問3(2)の問題「Webアプリケーションの見直しを行わずにWAFを導入することによって
発生するセキュリティ上の問題点」の件なんですけど、

模範回答は「WAFではWebアプリケーション自体の脆弱性は発見できないため」となっていますが、
それってWAFを導入しなくても見直さなくてはならない内容ではありませんか?

設問が「WAFを導入しても発生するセキュリティ上の問題点」としての回答なら分かるんですが、
WAFの導入時に見直す必要があるのですか?

深く読みすぎるのが悪いのでしょうか?情報処理の試験ってそういうものですかね?

766 :9:2009/04/21(火) 10:30:13
>>765
どんなに深読みしてんだよおまえは(ノ∀`)
出題者の気持ちになれよ(ノ∀`) 出題者は単にWAFでも検知できないものがあることを知っているかどうかを知りたいだけなんだよ(ノ∀`)
じゃあおまえはここなんて解答したんだよ(ノ∀`)それ以外解答のしようがねーだろがよ(ノ∀`)

767 :名無し検定1級さん:2009/04/21(火) 10:35:05
午後問題だが、前提があいまいすぎて、どれも複数解が存在しそうに思えるよなぁ。
というか、IPAも問題を試験に出す前に内部の複数の人間で解いてみて、意見が分かれる場合は問題のあいまいさを修正するとかの手段は打たないのだろうか。

大学入試でこんな理不尽な問題が出たら、普通全員正解だよな。

768 :名無し検定1級さん:2009/04/21(火) 10:37:18
トランザクションログを暗号化するとか言ってる人、障害時にトランザクションログからロールフォワードとかすることの可能性考えてないよね。
よって不正解。

769 :名無し検定1級さん:2009/04/21(火) 10:40:24
俺はWAF導入によるFalse Positive False Negativeが起きないようにって感じで書いたよ。
問題の前文がヒントになってる気がして

770 :名無し検定1級さん:2009/04/21(火) 10:54:47
>>766
私の回答は「WAFにより通信が遮断されたあとの振る舞いについて確認する」にしました
でも、それで発見できるのはセキュリティ上の問題点だけではないでしょうけど

771 :名無し検定1級さん:2009/04/21(火) 11:03:48
WAFも完全無欠じゃないからすり抜けてきたらやべーんじゃね?って書いた

772 :名無し検定1級さん:2009/04/21(火) 11:13:19
>>766
その通りだと思うが、>>584とか見てると不安になってくる

773 :9:2009/04/21(火) 11:48:41
>>769
それってWAF導入しか考えてなくて、「Webアプリケーションの見直しをせずに」ってのをまったく度外視してるよね(ノ∀`)
>>770
それがなんで「セキュリティ上の問題点」の答えなんだよ(ノ∀`) もう日本語の受け答え以前の問題じゃねーかよ大丈夫かよお前(ノ∀`)9m
>>772
(´・ω・)?

774 :名無し検定1級さん:2009/04/21(火) 12:00:51
「アプリケーションの見直しをせずにWAFを導入することによって発生する
セキュリティ上の問題点」

WAFを導入「する」ことによって「発生」するセキュリティ上の問題点なのであり、
WAFの導入「する」「しない」とは関係無しに「発生」する
Webアプリケーションの脆弱性について言及した人は間違い

775 :名無し検定1級さん:2009/04/21(火) 12:04:55
出題者のアホさを見抜く試験なんですね

776 :9:2009/04/21(火) 12:22:49
>>774
じゃあわざわざ「Webアプリケーションの見直しをせずに」なんて書かないわな(ノ∀`)
そんなにWAFりたいなら単にWAFの問題点を述べよみたいに出題するに決まってるw
よって単にWAFの問題点について言及した人は間違いw

777 :名無し検定1級さん:2009/04/21(火) 12:25:53
で、答えはなんなのよ

778 :名無し検定1級さん:2009/04/21(火) 12:28:25
検察や国税がガサで使う段ボールって

779 :名無し検定1級さん:2009/04/21(火) 12:30:01
777 Getだぜ!!

780 :名無し検定1級さん:2009/04/21(火) 12:32:33
アイテック、模範解答きた

781 :名無し検定1級さん:2009/04/21(火) 12:34:28
きっと防弾仕様の特殊ダムボールだよ。

ちゃんと名前と内容物を記載する欄があるからモーマンタイ!

782 :名無し検定1級さん:2009/04/21(火) 12:35:34
アイテックwww
インプットはないわ

783 :名無し検定1級さん:2009/04/21(火) 12:39:19
この問題、脆弱性のあるWebアプリ+WAFという構成独自の問題点をきいてるんだよな?
Webアプリだけ、WAFだけのどちらの問題点を書いても間違いだろ
9も言ってるがWAFを魔法の箱と盲信してWebアプリの脆弱性を放置してしまった場合のことを指摘すべき

784 :名無し検定1級さん:2009/04/21(火) 12:51:44
アイテックほんとにきてた
午後1

785 :名無し検定1級さん:2009/04/21(火) 14:28:02
ソルトじゃなくてハッシュ値じゃだめ?

786 :名無し検定1級さん:2009/04/21(火) 14:39:38
>>785
ハッシュ値を算出するのにハッシュ値を使う?

787 :9:2009/04/21(火) 14:52:03
>>785
なんだこいつ(ノ∀`)

788 :名無し検定1級さん:2009/04/21(火) 16:11:39
アイテックのどこにある?回答?

789 :名無し検定1級さん:2009/04/21(火) 16:47:43
ttp://www.itec.co.jp/siken/sokuho/2009s/pdf/2009sSCpm1.pdf

790 :名無し検定1級さん:2009/04/21(火) 17:07:05
Aタグのhref属性とimgタグのsrc属性ができなかった。
つかXSS対策って入力されたタグを全無効化することしか頭になかったから
そういう発想が出てこなかった。

791 :名無し検定1級さん:2009/04/21(火) 17:28:32
>>788
それくらい探せないようじゃ不合格確定だな

792 :名無し検定1級さん:2009/04/21(火) 17:33:57
ねえこの試験って難しいの?
20代でこれ取るのってすごいほうなの?

793 :名無し検定1級さん:2009/04/21(火) 17:37:34
>>792
セフレが出来やすくなるっぽい。
ぶっちゃけ婚期は遅れます


794 :名無し検定1級さん:2009/04/21(火) 17:38:10
20代で取ってる奴なんてたくさんいるよ

795 :名無し検定1級さん:2009/04/21(火) 17:38:43
>>792
Jitecで、年齢別や職業別の受験統計情報あるから、それ見て判断。
この試験はテクニカルエンジニア(情報セキュリティ)の後継(+セキュアドも吸収)くらいだから、
テクニカルセキュリティの情報で判断。

凄いと思う人もいるだろうけど、別に凄くはないとは思ってる。
特に20代後半で合格は。

796 :名無し検定1級さん:2009/04/21(火) 17:48:16
ふーん
なんかよくわかんないけどすごくないんだ
いつも超エラソーなやつが受けるっていってたんだよね
ヤッパああいうやつは中身はたいしたことないんだな

797 :名無し検定1級さん:2009/04/21(火) 17:50:36
受けもしないやつよりは偉いと思うよ
こんなのはただの自己啓発

798 :名無し検定1級さん:2009/04/21(火) 18:38:55

アイテック解答で採点したら、感覚的に6割は越えてそうで嬉しいが、
こればっかは結果が出てみないと分からんな。

しかし合格発表がいつもより2週間も遅いって、
どんな理由があるんだろうか。

絶対評価になったんだから、逆に2週間早まってもいいくらいの気がするが。

799 :名無し検定1級さん:2009/04/21(火) 19:05:26
ITECの解答速報は相変わらずカスだな
ど素人が書いてるとしか思えない

予想屋としては優秀なのに、何で解答はこんなにクソなんだ?

800 :名無し検定1級さん:2009/04/21(火) 19:18:10
>>798
絶対評価にしちゃったら午後の採点増えるに決まってるからだろう
論文採点がきっと涙目だな

801 :名無し検定1級さん:2009/04/21(火) 19:20:42
クエリストリングスはいつ見ても、クエストリングに見えて、
クエストで指輪もらえる種族っていたっけ…と思う、36歳の春。

802 :名無し検定1級さん:2009/04/21(火) 19:28:11
36でそれはやばいw

803 :名無し検定1級さん:2009/04/21(火) 19:28:25
午後2問1の最初の穴埋め○○証明書ってなんなの?
サーバ自身の証明書のことだよね
オレオレ?

804 :名無し検定1級さん:2009/04/21(火) 19:47:25
>>798
アイテックで6割もあたっちゃったのか
まあ秋もあるしな

805 :名無し検定1級さん:2009/04/21(火) 19:49:04
>>804
どういういみだwww

806 :名無し検定1級さん:2009/04/21(火) 19:59:16
>>804は盛大に評価されるべきだと思うよ

807 :P部長:2009/04/21(火) 20:33:03
肝心なときに役に立たんな、アイ○ックは。

808 :名無し検定1級さん:2009/04/21(火) 20:35:47
アイタックですね

809 :名無し検定1級さん:2009/04/21(火) 20:37:04
ITECの午後2の問2はここで議論されてた内容とはまるで違ったな

810 :名無し検定1級さん:2009/04/21(火) 20:40:50
ITECの午後2の解答は日本語を読めない人が作ったとしか思えない

811 :名無し検定1級さん:2009/04/21(火) 20:44:30
ITEC、午後IIの2の最後の方、チェックポイント通過後は
トランザクションログを消すて…
その間見放題やがな…

しかしそれ以外はほぼ似たような解答したぜ!
やった!俺も秋があるさ!

812 :369:2009/04/21(火) 20:46:02
午前T以外受かったお( ^ω^)

813 :名無し検定1級さん:2009/04/21(火) 20:50:30
ITECの何に期待してるんだ?毎度毎度珍解答じゃん

814 :名無し検定1級さん:2009/04/21(火) 20:53:28
ITECの午後2問1これ不合格だろw

815 :名無し検定1級さん:2009/04/21(火) 20:56:53
ITEC 午後2問一設問6
問題:受信したメールを復号できない。

爆笑

816 :名無し検定1級さん:2009/04/21(火) 20:57:25
アイタックも群盲のうちの一人なのさ
象がどんなものかわかれば、合否なんてどうでもいい

817 :名無し検定1級さん:2009/04/21(火) 20:57:51
お前らITACと間違えてるんじゃないか?


818 :名無し検定1級さん:2009/04/21(火) 21:00:03
>>817
ITECの解答読んでみれば?
ttp://www.itec.co.jp/auto_mark/answer/index.html

今回だけじゃなくて毎回このぐらいひどいよ。

819 :名無し検定1級さん:2009/04/21(火) 21:02:25
アイタックよりはTACの方がいいかもよ。
午後1の1と4が俺の答えと選択の答えも違うからさ。

820 :名無し検定1級さん:2009/04/21(火) 21:02:25
ITACは論外だが、ITECも解答速報はクソ

821 :名無し検定1級さん:2009/04/21(火) 21:07:01
なんだここの連中だけじゃなくてitecも間違いかよ。

午後T問3設問1(2)の正解は

行番号 29
../を./にするか絶対パス指定にする。

だよ。

https通信の中でhttpで画像表示は可能。厳しいブラウザだと警告がでるがな。
見えなくなってるなんてありえん。

29行めはこの相対パス指定だと上の1階層上のフォルダでimageフォルダを探しに行っちゃうよ。

822 :名無し検定1級さん:2009/04/21(火) 21:22:03
午前1のボーダー教えて

823 :名無し検定1級さん:2009/04/21(火) 21:24:52
>>822
18 メートル

824 :名無し検定1級さん:2009/04/21(火) 21:30:37
トランザクションログを削除するとはまた斜め上の解答を出してきやがる・・・

825 :名無し検定1級さん:2009/04/21(火) 21:34:32
午後2の1はさシノニムじゃダメか?
国語苦手なんだ・・・

826 :名無し検定1級さん:2009/04/21(火) 21:39:54
>>821
> https通信の中でhttpで画像表示は可能。厳しいブラウザだと警告がでるがな。
> 見えなくなってるなんてありえん。
警告でないWebブラウザ教えてくれ
デフォルトでな。

827 :名無し検定1級さん:2009/04/21(火) 21:43:04
>>821
このcgiはcgi-binフォルダにあるんじゃないの?

828 :名無し検定1級さん:2009/04/21(火) 21:44:18
午後2問1で
ITECでかなり厳しめに採点して6割くらいだな。

CA運用担当者が鍵ペアを取り扱う際の規定を明確にする
受信したメールを復号できない

というITECのがあってると、部分点もらえなさそうだ。
でもS/MIMEの復号できないってのはありっぽいなぁ。

設問3のテレワークPCの運用で気を付けることも、ITECに合わせると半分くらいしかもらえなさそうだ。

829 :名無し検定1級さん:2009/04/21(火) 21:44:20
午後UのITECの珍解答を
表3に当てはめると

>チェックポイント経過後はトランザクションログを削除する。
>これによりトランザクションログに含まれるカード番号の露呈を防ぐ。

不自然な対策だって事がわかりそうなものだが・・・

830 :名無し検定1級さん:2009/04/21(火) 21:44:46
>>826
公明ブラウザ

831 :名無し検定1級さん:2009/04/21(火) 21:46:10
>>826
WebBoyとかじゃね?

832 :名無し検定1級さん:2009/04/21(火) 21:47:08
>>829
表3の目的には「トランザクションログに含まれるカード番号を判読困難にすること」って書いてあるのになw
ITECの対策じゃ削除前のログ見れればカード番号丸わかりなんだが

833 :名無し検定1級さん:2009/04/21(火) 21:54:10
トランザクションログが生成された直後に別アプリで暗号化じゃだめなの?

834 :名無し検定1級さん:2009/04/21(火) 21:56:59
だめに決まってんだろ


835 :名無し検定1級さん:2009/04/21(火) 21:58:03
>>833
ソフトウェアの制約とやらで暗号化は無理。


836 :名無し検定1級さん:2009/04/21(火) 22:00:29
それだったらログを取らないほうがまだ納得できる

837 :名無し検定1級さん:2009/04/21(火) 22:01:42
>>828
>でもS/MIMEの復号できないってのはありっぽいなぁ。

ねーよ
送信者の秘密鍵で署名したメールを受信者が復号できないのが問題って
どんな珍解答だよ

838 :名無し検定1級さん:2009/04/21(火) 22:04:29
送信者の秘密鍵で署名したメールを受信者が復号できないのが問題
回答 改ざんされた秘密鍵で複合できないじゃね?

839 :名無し検定1級さん:2009/04/21(火) 22:09:27
>>838
釣りだよな?

840 :名無し検定1級さん:2009/04/21(火) 22:12:07
>>837
S/MIMEには電子署名機能に加えて暗号化機能も選択できる。
さて、その暗号化鍵はどうやってやりとりされるでしょうか。

841 :名無し検定1級さん:2009/04/21(火) 22:13:24
>>840
お前もう一回問題読んだ方がいいよ

842 :名無し検定1級さん:2009/04/21(火) 22:23:03
>>841
ヒント:署名の検証は「復号後のメッセージのハッシュ」を材料に行う

843 :名無し検定1級さん:2009/04/21(火) 22:23:23
暗号化と署名は別物。
それぞれ秘密鍵公開鍵どっちを使うかなんて、午前問題のレベルじゃん。

844 :名無し検定1級さん:2009/04/21(火) 22:26:18
>>842
じゃあ、署名を復号できないって書こうな
まあ、署名を検証できないって書かないと正解じゃないだろうけど
メールを復号できないなんて論外
公開鍵暗号方式を理解してないと思われるだけ

845 :名無し検定1級さん:2009/04/21(火) 22:26:51
署名を検証するために、メール本文を復号しようとしても
メール本文の暗号化につかった「暗号化された共通鍵」を自営CAの公開鍵で復号して取り出せないから
そもそもメール本文が復号できないって話だな。

846 :828:2009/04/21(火) 22:28:37
細かいことは知らんが俺はITECが間違ってると厳しめで7割になるから
その方が助かる

847 :名無し検定1級さん:2009/04/21(火) 22:28:50
>落ちても受験料と交通費と参考書は会社からでます。
おまいの会社行くわ
会社の金で参考書買いまくり

NWかSCか迷う

848 :名無し検定1級さん:2009/04/21(火) 22:28:58
>>845
お前午前からやり直せよ。
署名したら本文も暗号化されると思ってるんなら大間違い。

849 :名無し検定1級さん:2009/04/21(火) 22:29:20
エンベデッドシステムスペシャリスト2009年(平成21年)春の試験での名言:
 T君:排他制御については、意識していませんが。



ジョセキは何か面白いのなかったのか?

850 :名無し検定1級さん:2009/04/21(火) 22:29:55
今後午後2の問1の話は禁止
俺が受けてないから

851 :843:2009/04/21(火) 22:30:40
すまん、それ以前に、今回は署名はしたと書いてあるが暗号化したとは書いてないので
それ以前の問題でした。結論は変わらんが。

852 :名無し検定1級さん:2009/04/21(火) 22:30:54
>>848
暗号化はオプションですよ。三井住友のサービスとか、確か署名機能だけ提供してるし。
http://www.smbc.co.jp/security/smime/index.html

でも暗号化も出来るってだけで、問題本文では"メールの暗号化"も実施してることが読み取れるね。
http://www.atmarkit.co.jp/fsecurity/special/04smime/smime01.html

853 :名無し検定1級さん:2009/04/21(火) 22:31:43
>>851
12ページ読めよw

854 :名無し検定1級さん:2009/04/21(火) 22:32:12
>>852
もう一回問題読め。
設問6には署名したとしか書いてない

855 :名無し検定1級さん:2009/04/21(火) 22:33:38
>>854
つ 12ページの受注フロー
さらに下線5は12ページ内にあるね。

856 :名無し検定1級さん:2009/04/21(火) 22:37:25
>>855
図2はNシステムの受注フロー
設問6はの受信者は第三者つまりNシステムの利用者じゃない
したがって設問6と図2の受注フローは関係ない


857 :名無し検定1級さん:2009/04/21(火) 22:38:56
俺はむしろITECの解答で正解だと嬉しいw
9割ほど合ってるよww

858 :名無し検定1級さん:2009/04/21(火) 22:39:37
こんな解答でいかがですか?

問題:メールと署名の正当性を確認できない
理由:A社の自営CAの証明書の正当性を判断する材料がないから

他の回答が違う理由
@「メールを復号できない」が違う理由
・設問文では、署名したとは書いてあるが、暗号化したとは書いていない。
・メールを暗号化する場合、受信者の公開鍵で暗号化する。
受信者は自分の秘密鍵で復号するので、復号できないことはない.
A「署名を復号できない」が違う理由
・受信者が、送信者の公開鍵を持っていなければ、復号はできない。
しかし、それはグループ内でも同じである。
現にP12にて「当社営業担当者の証明書をグループ販社の発注担当者に送っておく必要がある」と言っている。
なので、第三者にも、送信者の証明書(公開鍵が含まれる)を送っていることが前提であろう。
そうであれば、署名は復号できる。

859 :名無し検定1級さん:2009/04/21(火) 22:40:29
>>858
ま、そんな感じでしょ

860 :名無し検定1級さん:2009/04/21(火) 22:42:18
これで何点くらいだろう
問1設問1
(1)r(2)ア 問い合わせ
(3)イ(4)U X 
 インターネット上のIPアドレスからの問い合わせを受け付けない設定にする
設問2
(1)ア(2)イウ
設問3
(1)メールサーバを探すためにDNSサーバへの問い合わせを繰り返す
(2)DNSサーバへの問い合わせ

問4設問1
(1)エ(2)IDの共用(3)ログ確認
設問2
(1)ア(2)syslog
(3)ログの修正、削除権限を管理者以外のIDのみとする
(4)管理者所有端末のIPアドレス以外の接続
(5)監視していることを伝えることで犯罪を未然に防止する
  監視方法を伝えると監視を逃れて犯罪が行いやすくなる
(6)誰がいつどのような操作をDBに対して行ったか
  不正な改ざんが行われていないこと

861 :828:2009/04/21(火) 22:43:03
>>856
システムの埒外でグループ販社の担当者が送ったなら
条件は設問の中の"署名したメール"だけだから、ITECの勘違いor間違いで決まりっぽいな。
これで間違いなく合格だ。

862 :名無し検定1級さん:2009/04/21(火) 22:44:05
>>861
その通り。
お前の合格が間違いないのは知らんがw

863 :名無し検定1級さん:2009/04/21(火) 22:46:44
>>858
本筋に関係ないところで@だけど、あくまでS/MIMEで暗号化を実施する場合、個別の共有鍵使うと思うんだけど。
公開鍵と秘密鍵はそれの受け渡しに使うだけでしょ。

・メールを暗号化する場合、受信者の公開鍵で暗号化する。
受信者は自分の秘密鍵で復号するので、復号できないことはない.

864 :名無し検定1級さん:2009/04/21(火) 22:48:32
暗号化自体は共有鍵だな。
公開鍵とかは受け渡しに使う。


865 :名無し検定1級さん:2009/04/21(火) 22:50:16
それSSLじゃね?
S/MIMEも公開鍵暗号と共通鍵暗号のハイブリットだっけか?

866 :名無し検定1級さん:2009/04/21(火) 22:51:30
アイテックの午後T問1設問3(2)って解答文字数少なすぎだろ
パターンファイルが抜けてんじゃね。

867 :名無し検定1級さん:2009/04/21(火) 22:51:49
>>865
S/MIMEもハイブリットだったと思った。

868 :名無し検定1級さん:2009/04/21(火) 22:52:39
ハイブリッドっぽいね

869 :865:2009/04/21(火) 22:52:56
ぐぐったら、S/MIMEもハイブリットだった
メールなんかエンドツーエンドで考えたらリアルタイム通信じゃないのに
どうやってハイブリット使うんだろ?

870 :865:2009/04/21(火) 23:00:02
なるほど、メール送信と鍵交換を同時にやるのか
自己解決

871 :名無し検定1級さん:2009/04/21(火) 23:01:40
>>858
後、Aだけど、自営CAの秘密鍵での署名の検証には
A社自営CAの公開鍵証明書(P12でいうと空欄fのやつ)が必要になるってP12内で示唆されてるから、そこも違うかな。
ただ、最終的にどうやってその証明書を導入して入手できるようにするのか、問題の本文では検討の段階だから
外部の人間が絶対入手できないとはいえないけど。

872 :名無し検定1級さん:2009/04/21(火) 23:08:36
PKIなんて廃れるだけなのに何必死こいたんだかコイツら。

873 :名無し検定1級さん:2009/04/21(火) 23:11:59
IPAに言えw
毎年毎年PKIばっか出題しやがって

874 :名無し検定1級さん:2009/04/21(火) 23:13:30
VPNの問題もなにげに出題多い気が。。。

875 :名無し検定1級さん:2009/04/21(火) 23:14:40
要は国にとってPKIはビジネスになるから。
JIPDECとか。CAが認証受けるために監査料を国(JIPDEC)に払う必要がある。
だからPKIを普及させたいわけ。

876 :名無し検定1級さん:2009/04/21(火) 23:15:49
これね。

http://www.jipdec.or.jp/esac/agency/pdf/jipdectejyun.pdf

877 :名無し検定1級さん:2009/04/21(火) 23:41:38

アイテックの模範解答はあんま信用できないのか。
ソフ開の時は、タックよりアイテックの方が
信頼できるという意見が多かったと記憶してましたが。

ところで今回合格率30%くらい行っちゃうんじゃねーのか…?

878 :名無し検定1級さん:2009/04/21(火) 23:48:31
こりゃ、秋の試験ではP部長に頑張ってもらうしかないな

879 :名無し検定1級さん:2009/04/21(火) 23:49:56
自己署名証明書。ルート証明書じゃだめ?

880 :名無し検定1級さん:2009/04/21(火) 23:52:36
>>869
数MBなメールを暗号化処理する負荷を
公開鍵のみの処理とハイブリッドで考えてみれば。


881 :名無し検定1級さん:2009/04/22(水) 00:11:36
自営CA証明書じゃだめなのか?

882 :名無し検定1級さん:2009/04/22(水) 00:15:51
自己証明書だと、なにの証明書かはっきりしないから、自営CA証明書のほうが妥当なきがするけどな

883 :P部長:2009/04/22(水) 00:17:03
おまえら全員不合格。

884 :名無し検定1級さん:2009/04/22(水) 00:18:04
自営CAは高い

885 :名無し検定1級さん:2009/04/22(水) 00:25:41
itec模範解答で午後TUとも6割ちょい、、、あきらめがつかないとこがつらいなあ。

あと午後U問1設問3 模範解答「テレワークPCに格納された秘密鍵をコピーされないようにする。」
そりゃそうなんだけど、こりゃあんまりじゃないかw

886 :名無し検定1級さん:2009/04/22(水) 00:26:49
そだねw そのための方法を聞いてるんだよね

887 :名無し検定1級さん:2009/04/22(水) 00:28:20
itecの回答ひどいなwあれだとせいぜい7割程度だろう
itec6割で悲観してるヤツはあてにならないから元気だせ

888 :名無し検定1級さん:2009/04/22(水) 00:30:43
セクスペの鉄板な参考書・問題集ってなんですか?

889 :名無し検定1級さん:2009/04/22(水) 00:32:00
結局メール復号できないってのはどうなったんだよ
あれは本文も暗号化してるのか?

890 :名無し検定1級さん:2009/04/22(水) 00:50:28
 [[メール + 電子署名(送信者の秘密鍵)]暗号化(共通鍵)] + [共通鍵]暗号化(受信者の公開鍵)
→[共通鍵]復号(受信者の秘密鍵) + [[メール + 電子署名(送信者の秘密鍵)]復号(共通鍵)]
→電子署名検証(送信者の公開鍵)
→受信者が公開鍵を持っていないので送信者の正当性を検証できない

メール文は読めてるよね?

891 :名無し検定1級さん:2009/04/22(水) 00:57:31
俺、共通鍵を送信者の公開鍵で暗号化するのか、受信者の公開鍵で暗号化するのか
ごっちゃになってたわ
メール分暗号化してたとしても、読めてるんじゃない

892 :名無し検定1級さん:2009/04/22(水) 00:59:27
解答の解説は出ないのか?

893 :名無し検定1級さん:2009/04/22(水) 01:19:44
>>821
俺は一応そんな感じで回答したけど、
最初はhttps〜とか書いてたよ。
警告うんぬんはわからんけど、パスをちゃんと見たらわかった。

894 :名無し検定1級さん:2009/04/22(水) 01:21:09
署名は「メール本文のハッシュ」を暗号化して、メールに付加して送るだけ。

そもそも署名の目的は、
⇒送信者の真正性を確認することで、なりすましを防ぐ。
⇒メールに付加されたメール本文のハッシュ値から、完全性を確認することで、
 メール本文自体に対する改ざんの有無を確認する。

なので、メール本文自体はなんら処理されていないので、暗号やら復号やら
全然関係ないので、読めない、ということはない。

895 :名無し検定1級さん:2009/04/22(水) 06:22:24
CA担当者が鍵ペアを扱う規定を明確にする・・・



アバウトwwwwwwwwwwwwwwwwwwwwwwwwwwwww

896 :名無し検定1級さん:2009/04/22(水) 06:23:22
メールに電子署名を付加しただけなら、メール本文は平文。
S/MIMEを使用していたらメール本文は暗号化されてるんじゃないの?
問題文から読み取れるのは前者の方のような気がする。

897 :名無し検定1級さん:2009/04/22(水) 06:41:44
> [設問5]
> (1) 公開鍵証明書を偽造されると,不正アクセスが可能となり社内の機密情報などが漏 えいする。

これ、大間違いっぽくね?


898 :名無し検定1級さん:2009/04/22(水) 06:44:17
> Copyrights by ITEC,inc. 2009

Copyrights ってのもおかしいよな。

899 :名無し検定1級さん:2009/04/22(水) 06:46:09
証明書偽造で不正アクセスの意味がわからんのだけど・・・
俺に詳しく教えてくれないか

900 :名無し検定1級さん:2009/04/22(水) 08:05:15
Tシステムから侵入するんじゃないの
もっとも秘密鍵入手できる時点で機密情報は漏洩してるだろうけど
ここは偽の注文をされるが正解だと思う

901 :名無し検定1級さん:2009/04/22(水) 08:25:50
それもそうだが、認証局の秘密鍵が漏洩されれば偽の公開鍵も
送付することが可能なわけで、そうなれば情報漏洩関連の解答も
間違いではないな。

902 :名無し検定1級さん:2009/04/22(水) 08:43:45
問題には、「A社とグループ販社に被害を、、、」 とあるから、
Tシステムからの不正アクセスではA社のみの被害になるので不適当じゃないかな?

903 :名無し検定1級さん:2009/04/22(水) 08:45:16
ウィルス対策は、ベンダサイトからのダウンロードが正解なのか。

俺の感覚だと、会社PCを自宅の回線から直接インターネットに繋ぐ
こと自体あり得ないと思ってたから、深読みしすぎたな。

904 :名無し検定1級さん:2009/04/22(水) 08:56:10
>>899
これは!ってのが思い付かなかったから
「不正アクセス、情報漏えい、全ての証明書の再発行の手間といった被害」
って書いた。

905 :名無し検定1級さん:2009/04/22(水) 08:57:27
午後U問(2)のWAFは
WAFを通過しない内部のPCを不正に操作されたときに問題になる
では?

906 :名無し検定1級さん:2009/04/22(水) 09:00:54
午後U(2)のポートスキャン(PS)は
「同一のネットワークセグメントからPS」なので
内部の業務で必要なサービスのポートと
外部の業務で必要なサービスのポートとを
確認して判断しないといけないのでは?

907 :名無し検定1級さん:2009/04/22(水) 09:04:48
簡単簡単ってお前ら言ってたけど
今までのセキュアドテクセってここまで解答分かれてたっけか

908 :名無し検定1級さん:2009/04/22(水) 09:07:24
午後U問(2)のシグニチャが難しい理由は
一つの攻撃に対して文字コードを変えて攻撃される場合、
複数のシグニチャが必要になり現実的でないから
って書いた

909 :名無し検定1級さん:2009/04/22(水) 09:22:36
>>896
S/MIME=暗号化+デジタル署名
電子署名したとS/MIMEを使用した、って並べるのがなんかおかしいぞ

910 :9:2009/04/22(水) 09:47:39
>>904
おいおいCAの秘密鍵が漏洩するんだぞ(ノ∀`) それって大変なことなんだぞ?偽のCAを構築できるくらいに
偽の証明書とか発行し放題だしな(ノ∀`) そういう根本的なところを考えろよ(ノ∀`)9m

>>905
話になんねーよ(ノ∀`)ノ≡ノ

>>906
いい線行ってるm9(・∀・`) そう、「同一のネットワークセグメント」=FWで守られたセグメント
なのでFWでアクセスが許可されていないサービスは不要なサービスと思っていいはずm9(・∀・`)

>>908
(・∀・`)イイ! 要はここは攻撃一つ一つにいちいちシグネチャ作ってたら切りがないってのを言えてればいいのだm9(・∀・`)

911 :9:2009/04/22(水) 09:56:28
なあ俺実は午後1問1の偽装のところ偽造って書いちゃったんだがセーフだよね(;ノ∀`)
まあぷっすまよりはマシか(´,_ゝ`)プッ
なんだよIPアドレスになりすますって日本語(プゲラwwwwwwwwwwwwwwwwww

912 :名無し検定1級さん:2009/04/22(水) 10:01:09
>>907
少なくとも前回のセキュアドはすげー議論してたぞ

913 :名無し検定1級さん:2009/04/22(水) 10:38:08
今回は難易度上がってると思うけどな。
PKIも以前は表層的な部分しか問題に無かったし。

今回は一歩踏込んだ技術的な設問に加え、
運用管理面(これはセキュアドより?)の観点からの設問もあったからなぁ。

まぁ6割は問題無いと思うけどね。

914 :名無し検定1級さん:2009/04/22(水) 11:04:48
>>911
偽造でも十分日本語としておかしいわw

915 :名無し検定1級さん:2009/04/22(水) 12:07:08
みんな秋は何受けるんだ。俺は秋のITストラテジストの勉強開始する。
セキュスペ見たいに旧資格が合体した奴だけど、上級シスアドとシスアナ合体って
勉強の負荷半端ないな。

916 :名無し検定1級さん:2009/04/22(水) 12:15:01
午後2問一の意見が分かれてるのは、
PKIについてよくわかってない奴が駄レスしてるから。
そんな難易度の高い問題じゃない。

917 :名無し検定1級さん:2009/04/22(水) 12:20:41
秋かあ
ネスペにしようかITストにしようか迷うわ〜
まあセキュスペになる可能性もあるなw

918 :名無し検定1級さん:2009/04/22(水) 12:24:58
午後2の問2は意見割れるの仕方ないと思う
問題が悪いよありゃ


919 :名無し検定1級さん:2009/04/22(水) 12:26:33

今回落ちる気がしないんだが、
それが逆にこわい。

920 :904:2009/04/22(水) 12:31:55
>>910
ん〜 言いたい事はわかるんだが
具体的な被害を答える必要があり
ぱっとしたのが思い付かなかったという話だ。

なので思い付く具体的な内容を
文字数の制限内で3つ書いてみた。

9なら具体的な被害は何書くよ?

921 :名無し検定1級さん:2009/04/22(水) 12:32:33
二年前のセキュアドがそうだった
簡単でみんなわかったせいか午後2よくできたのにギリギリで落ちた
合格率調整が入る試験は問題は難しいほうがいい

922 :名無し検定1級さん:2009/04/22(水) 12:42:32
午前1 冷や汗
午前2 鼻くそほじりながらできた
午後1 時間的には余裕だった。
午後2 楽しめた。

923 :9:2009/04/22(水) 13:44:47
>>920
だから言ったじゃん(ノ∀`)つ 偽の証明書を発行されたり、自営CAになりすまされたりする

924 :9:2009/04/22(水) 13:55:11
この人の解説あってんの(´・ω・)?つ ttp://ncc-1701.air-nifty.com/vsa/2009/04/21-d82f.html

925 :名無し検定1級さん:2009/04/22(水) 13:57:04
A社の被害はわかるんだけど、販社の被害って何?

926 :名無し検定1級さん:2009/04/22(水) 14:53:36

昨秋のソフ開の午後Uの合格率が確か68%くらいだったと思うが、
今回のセキュスペは、4ステップとも通過率がそれくらい行くような気もします。

927 :名無し検定1級さん:2009/04/22(水) 15:04:50
合格率20%とかありえん。
資格の価値が無くなる。

928 :名無し検定1級さん:2009/04/22(水) 15:51:15
>>923
んなこた〜わかっとるよ。
そこからもう一歩踏み込んだ被害を書かないとダメじゃね? と言っている。

>>923
って要は不正アクセスが被害って事?

CAの信用失墜ってのも考えられなくないが、
>>925のいっている販社の被害としては弱い気がする。

んで販社に手間を取らせてしまう
証明書の再発行と情報漏洩を書きたかったわけだが
字数の制限で詰め込めるむだけ詰め込む
位しか思い付かなかった

929 :名無し検定1級さん:2009/04/22(水) 15:57:45
何で合格率上げようとしてるかというと、有効期間を定めようとしてるから

930 :名無し検定1級さん:2009/04/22(水) 16:00:51
「偽の証明書を発行されてなりすましされる」
の「なりすましされる」くらいまでは書かなきゃダメじゃね?ってことね。
「被害は偽の証明書を発行されることです(キリッ」
「それってどういう被害?」
「なりすまされてry」
なんてやり取りが容易に想像つくわ。

俺はなんて書いたっけか
偽CAが構築可能で発行済み証明書の信頼性が保証できず、証明書破棄と再発行の手間が必要になる
みたいなこと書いた。

931 :名無し検定1級さん:2009/04/22(水) 17:29:28
これ明らかにレベル下がってるよな。とりやすくなってる。
しまお春秋2回実施する時点で・・・w
マジで有効期間設けて何度も受験させるんだろうなw
資格商法乙www

932 :名無し検定1級さん:2009/04/22(水) 17:52:35
午後2問2の「個々の攻撃に対してシグネチャを作成することが難しい理由」ですが、
攻撃手法が多様であり、少し手法を変えられると新たなシグネチャを再作成しなければならないため
としましたが、OKかなあ?
ニュアンス的には外してないと思うけど

933 :名無し検定1級さん:2009/04/22(水) 17:56:41

>>932

ええんじゃん?

934 :名無し検定1級さん:2009/04/22(水) 18:15:34
直接攻撃に強くても、魔法攻撃に弱くては、すぐにやられてしまう。

935 :名無し検定1級さん:2009/04/22(水) 18:16:01
午後2の問2は正解の回答パターンがたくさんありそうだな。

アプリの仕様変更の際のシグネチャの対応漏れによるセキュリティホールのリスクとか…

パッケージと比較してカスタム開発のアプリは固有性が高くシグネチャ対応が困難とか…

二つ目は若干要点逃してるかもだが…

936 :名無し検定1級さん:2009/04/22(水) 18:57:21
>>935
若干どころか大外れだろそれは。

937 :名無し検定1級さん:2009/04/22(水) 19:01:52
野蛮人に情報セキュリティを理解しろと言っても無駄だろ

938 :9:2009/04/22(水) 19:03:20
午後U問1こんなん出ました〜(´・∀・)ノシ

設問1
a.128 b.SHA-1 c.ハッシュ値 f.自営CA

設問2
問題:普段のインターネット利用時にウイルス感染し、社内ネットワーク接続時にウイルスが蔓延する。
対策:社内ネットワーク接続時には必ずウイルス検査を行い、最新のウイルス定義ファイルを配布するようにする。
設問3
・秘密鍵はテレワークPCとは分離して持ち歩くようにする。
・テレワークPC起動時にパスワードを設定し定期的に変更する。

設問4
改ざんしたデータに秘密鍵で暗号化を行い、電子署名を作成し、改ざんしたデータと一緒に送り付ける。

設問5
(1)偽の証明書を発行されたり、自営CAになりすまされたりする。
(2)d.(イ) e.(ケ)
(3)鍵ペアは別々に保管し、秘密鍵が漏えいしないように管理する。

設問6
問題:証明書に関する警告が表示される。
理由:自営CAによる自己署名証明書であるから

問1のキモはまさに最後の設問6だろうね。ここで出題者がオレオレ証明書のことに気付いて欲しいといっていることに気付けるかどうか
オレオレで署名されたメールは、当然正しい検証ができないので警告が出る
これはブラウザでオレオレ証明書によるHTTPSページを見に行ったときに出るのと同じだよね(´・∀・)ノ

939 :名無し検定1級さん:2009/04/22(水) 19:05:59
これMARCHくらいのレベルの資格って聞いたけどほんと?

940 :名無し検定1級さん:2009/04/22(水) 19:08:06
いやいや、地方国立程度でしょ

941 :名無し検定1級さん:2009/04/22(水) 19:08:51
>>939
>>940

同じじゃんw

942 :名無し検定1級さん:2009/04/22(水) 19:16:56
マジでどーなの
簿記より難しいの

943 :名無し検定1級さん:2009/04/22(水) 19:19:10
簿記みたいなカス資格と比べんなよw

944 :名無し検定1級さん:2009/04/22(水) 19:19:38
簿記()笑

945 :9:2009/04/22(水) 19:21:15
今回の午後2問1の話に近いのはこれかな(´・∀・)つ
PKIの適用事例(2)〜試験運用から全社展開へ
http://www.atmarkit.co.jp/fsecurity/rensai/pki07/pki01.html
PKIの適用事例(3)〜PKIで電子調達システムを構築
http://www.atmarkit.co.jp/fsecurity/rensai/pki08/pki01.html

946 :名無し検定1級さん:2009/04/22(水) 19:21:33
簿記2級よりは難しかったな
でも、簿記の方が役に立つわな

947 :名無し検定1級さん:2009/04/22(水) 20:29:49
秋試験受ける予定ですが、おすすめの本ありますか?
基本情報とか持ってないです。

948 :名無し検定1級さん:2009/04/22(水) 20:31:36
>>947
なんだかんだで基本情報から受けた方が良いよ

949 :名無し検定1級さん:2009/04/22(水) 20:33:11

明日16時半にタックの模範解答だな

950 :名無し検定1級さん:2009/04/22(水) 20:33:25
この資格をレベル4に持ってくることが間違い。
ITパスポートすら受けずにいきなりレベル4から受ける奴が続出する。
セキュリティの資格はレベル2まで落とすべきだな。

951 :名無し検定1級さん:2009/04/22(水) 20:34:44
TACは無難に解答してくるからツマラン
ITECみたいな尖った解答してくれないとネタにならんw

952 :名無し検定1級さん:2009/04/22(水) 20:36:10
>>938
設問6
発行された証明書自体は自己署名では無い

受信者のPCでルート認証局が信頼されていないだけ

そもそもルート認証局の証明書は全て自己署名だからね

953 :名無し検定1級さん:2009/04/22(水) 20:56:49
テクデやテクネより難しかったがなあ

954 :名無し検定1級さん:2009/04/22(水) 21:04:14
>>953
技術より知識を問われるからじゃないかな


955 :名無し検定1級さん:2009/04/22(水) 21:07:42
デやネは実務に限りなく近そうだが
これは職場に応じて全然違いそうだからなぁ

956 :名無し検定1級さん:2009/04/22(水) 21:19:03
勃起の方が役に立つ罠

957 :名無し検定1級さん:2009/04/22(水) 21:28:24
> (Webアプリの脆弱性については)セキュリティ要件が提示されていなければ委託先の責任ではない

ITEC様には申し訳ないけど、これを真に受ける人が出ると社会問題になりかねない。
裁判になって、それで勝てるとでも? 瑕疵とならないとでも? まさか!

958 :名無し検定1級さん:2009/04/22(水) 21:42:32
開発者じゃないので、基本情報や応用は敷居が高く感じられるが、
試験そのものの難易度としては、SCよりも簡単なの?

959 :名無し検定1級さん:2009/04/22(水) 21:43:00
論文集ですら、試験に規定された文字数に達していない会社だからなあ・・・・

960 :名無し検定1級さん:2009/04/22(水) 21:57:17
>>957
勝てるよ
ただし、たいがい要件は盛り込まれてる
…すごく曖昧な形で

961 :名無し検定1級さん:2009/04/22(水) 22:08:31
>>917
(゚∀゚)人(゚∀゚)ナカーマ

今回受かってりゃネスペ
今回落ちてりゃセキュスペ再挑戦だわ

962 :名無し検定1級さん:2009/04/22(水) 22:10:41
シスアー派はいないのけ?

963 :名無し検定1級さん:2009/04/22(水) 22:16:52
>>917>>961に関連して
既にテクネを持ってて、
今回の情報セキュリティスペシャリストに受かったら次何を受けようか迷ってる

どうしていいかさっぱり分かんない


964 :名無し検定1級さん:2009/04/22(水) 22:17:43
午後2問1設問4
「どのようにすれば改ざんやなりすましができるか」って質問に「電子署名の対象のデータに対し署名アルゴリズムを適用してハッシュ値を求め,そのハッシュ値に対して推測した秘密鍵で暗号化する。 」とアイテックは言ってるんだが、なんか理解できないのは漏れだけなのか?

965 :849:2009/04/22(水) 22:24:50
お前らはツマランやつらだな。
やはりDBの連中の方が優秀。

http://namidame.2ch.net/test/read.cgi/lic/1240317379/16,18,19n

966 :名無し検定1級さん:2009/04/22(水) 22:26:21
スルーでお願いします

967 :偽貝発射:2009/04/22(水) 22:34:11

           ///)
          /,.=゙''"/
   /     if ,.r='"-‐'つ____   >>965,966細けぇ事はいいんだよ!!
  /      /   _,.-‐'~/⌒   ⌒\
    /   ,i   ,二⊃( ●)(●)(●)\
   /    ノ    il゙フ:::::::⌒(__人__)⌒:::::: \
      ,イ「ト、  ,!,!|      |r┬-|      |
     / iトヾヽ_/ィ"\       `ー'´      /

968 :名無し検定1級さん:2009/04/22(水) 22:34:56
>>966
悔しいですね。

969 :名無し検定1級さん:2009/04/22(水) 23:16:45
>>938
設問4に関して質問!

暗号化を行うことって書かないとまずい?
俺「データを改ざんした後で秘密鍵で署名を行った場合、受信者は正当なデータだと思うから・・・」ってなニュアンスで書いたよ

970 :名無し検定1級さん:2009/04/22(水) 23:24:18
むしろこのケースだと暗号化って書いてる方がまずい気がする
電子署名はデータのハッシュ値を暗号化するのであってデータを暗号化するわけではないし
普通に電子署名するだけでOKかと

971 :名無し検定1級さん:2009/04/22(水) 23:36:57
>>969
よくわかって無ければ書かないのが吉。通常は署名してから暗号化だから >>938 は墓穴ほったかも

972 :名無し検定1級さん:2009/04/22(水) 23:41:10
>>969
むしろお前さんの方が妥当
データそのものを暗号化するわけじゃないからね

しかしこの設問は曖昧で字数が多いから何を書けばいいか悩むね
俺は中間者攻撃にも少し触れておいたが

973 :名無し検定1級さん:2009/04/22(水) 23:48:10
午後II 問1の設問5(3)について、まだ答えがまとまってないようだけど、どんなんが正解の候補でしょう?


「鍵ペアと利用者を関連付けておく」って書いちゃった。

974 :名無し検定1級さん:2009/04/23(木) 00:08:44
IPAの午後Uの解答が 6/16 って。。
その頃には自分が何て書いたかなんてすっぽり忘れてるわーw
4日前の事だって覚えてないのに・・

975 :名無し検定1級さん:2009/04/23(木) 00:15:21
試験は終わったんだ忘れよう
次の勉強始めようぜ

976 :名無し検定1級さん:2009/04/23(木) 00:16:46
次スレの事も忘れてくれ

977 :名無し検定1級さん:2009/04/23(木) 00:21:43
今回の問題100点取れれば、次回は高確率で合格するがな

978 :名無し検定1級さん:2009/04/23(木) 00:22:45
>>973
俺もそこばっかりはわからん。
まー、その後に発行フローの話が出るあたり、「秘密鍵を削除する」が妥当かな。
漏洩しないよう厳重に管理する、でもありっちゃあり。

ただ、文脈的には、鍵ペアをサーバで作成する場合に固有の注意点を挙げるべきようにも思える。

979 :名無し検定1級さん:2009/04/23(木) 00:49:18
利用者側で作成しないってのが通常と違うって書いてあるからそれがらみだね。
さらに下線直後に運用フローに触れてるのがポイント。

980 :名無し検定1級さん:2009/04/23(木) 01:20:14
部分点って本当にあるのかな?
単なる都市伝説、ということはなかろうか?

981 :名無し検定1級さん:2009/04/23(木) 01:23:49
絶対ある
俺の過去の出来から見て間違いない
それに0か1かだったら相当厳しいから合格率は格段に下がる

982 :名無し検定1級さん:2009/04/23(木) 01:27:43
そうか、安心した

983 :名無し検定1級さん:2009/04/23(木) 02:02:55
>>973
部分点あるかわからんね

984 :名無し検定1級さん:2009/04/23(木) 07:31:13
部分点なんてある訳がない
そんなものがあったら、合格者が倍増してしまう

985 :9:2009/04/23(木) 10:00:43
>>970>>971>>972
てめーらヽ(`Д´#)ノ

986 :名無し検定1級さん:2009/04/23(木) 10:01:12


987 :名無し検定1級さん:2009/04/23(木) 10:39:10
部分点あるみたいよ
予め設定されたキーワードがどの程度含まれるか、でやってるらしい
採点やってる中の人複数に直接聞いた

988 :名無し検定1級さん:2009/04/23(木) 11:38:16
次スレです
http://c.2ch.net/test/-/lic/1240144463/

989 :名無し検定1級さん:2009/04/23(木) 12:06:54

部分点がなかったら、合格発表がこんなに遅いわけなかろう

990 :名無し検定1級さん:2009/04/23(木) 12:47:47
情報セキュリティスペシャリスト Part4
http://namidame.2ch.net/test/read.cgi/lic/1240144463/

これ?

991 :名無し検定1級さん:2009/04/23(木) 13:01:17
うめ ウメ 産め 生め 楳 宇目 梅 績め 埋め

992 :名無し検定1級さん:2009/04/23(木) 13:59:57
ログを追う問題が多いですよね

993 :名無し検定1級さん:2009/04/23(木) 16:24:23
タックきたよー

994 :名無し検定1級さん:2009/04/23(木) 16:24:47
ume

995 :名無し検定1級さん:2009/04/23(木) 16:26:49
そうか今日はTAC発表の日か

996 :名無し検定1級さん:2009/04/23(木) 16:47:39
tacもあんまりあてになんないね

997 :名無し検定1級さん:2009/04/23(木) 16:49:16
JITEC解答例を待つしかないのかな

998 :名無し検定1級さん:2009/04/23(木) 17:11:30
タックの解答は独自性があるから好きだ

999 :名無し検定1級さん:2009/04/23(木) 17:12:28
1000ゲット

1000 :名無し検定1級さん:2009/04/23(木) 17:13:39
午前1問1あってた

1001 :1001:Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。

209 KB
★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)