QRコード
QRCODE
アクセスカウンタ
読者登録
メールアドレスを入力して登録する事で、このブログの新着エントリーをメールでお届けいたします。解除は→こちら
現在の読者数 1人
プロフィール
javapower

2019年09月09日

令和元年度 中小企業診断士 一次試験の結果・・・






受けてきたのです、令和元年度中小企業診断士試験第一次試験。

結果はというと

運営管理と経営情報システムで科目合格をゲットしました!!


一応、IT業界に身を置いているので、経営情報システムは勉強しなくても合格できると踏んでいました。

逆に言うと、それ以外は無理だろうと思っていました。

なにせ、2日間を通して、勉強不足感がハンパなかったですから、いや、マジで。

何事も経験だ、という言葉だけが頼りでした。

なので、運営管理が科目合格になったのはうれしい誤算です。

まぁ、直前の2週間ほど勉強はしましたが、逆に言うとそれだけしかしてないのです。


一応分析すると、私は以前、ERPパッケージを手掛けていました。なので、生産管理とか在庫管理とか、少しだけ(ほんの少しだけですよ)身近だったのです。

なので、勉強も他科目に比べてスムーズでした。

あとは、運ですね。


これでわかったのは、それぞれの科目に対しいかに親密になれるか、が鍵の一つのような気がしてきました。

ERPやってたんだから、実は財務会計も得意だろう、って思いこむとか、

仕事で契約書とか読むことあるから、産業財産権とか知ってると知ったかぶりできるぞ、とか。

うん、これで少しは勉強に身が入るかな。



とか言いながら、10月に情報処理技術者試験が控えているので、しばらくはそっちに集中してしまうんですけどね・・・

  

Posted by javapower at 21:57Comments(0)中小企業診断士

2019年06月26日

情報処理安全確保支援士2019年春 合格しました!




合格しましたー

情報処理安全確保支援士です!

これで、受験に向けた勉強法を記事にできる!


ということで、まずは書籍紹介




私、実はセキュリティについてはほとんど知識がなく、SQLインジェクションという言葉は知っていても、それがどんなことなのかは全然知らない、っていう程度でした。

なのでまずは基本的知識を身につけることから始めました。

この参考書は全般的に知識を身につけるのにちょうどよかったですね。

これは3月上旬くらいからだったと思います。



この書籍を一通り読んだ後は、過去問にトライすることにしました。

過去問はIPAのサイトからゲットすることができるのですが、解説がほとんどないのでいきなりトライするのはちょっとハードル高いです。



過去問さらうのにはこの本が良かったですね。


この参考書はいくつかの分野に分かれて、分野の説明があったのちに、2~3問の午後問があり、さらに解答と解説があります。

解説がかなり充実しているのでとても重宝しました。

この参考書は2回繰り返しました。

ここまで来ると、午後問の傾向がわかってくるので、あとは時間の許す限りIPAの午後問の過去問をあさりました。

とにかく徹底的に午後問をこなすって感じです。



では、午前問はどうやったかというと、皆さんご存知の「過去問道場」です。「情報処理技術者試験、道場」あたりでググると一発で見つかります。

午前Ⅰ対策として、応用情報処理の過去問道場をこなし、午前Ⅱ対策として情報処理安全確保支援士の過去問をこなしました。

いずれも過去3年分ぐらいは全く間違えない、くらいまではやりこみましたね。

午前問対策は1月くらいから、通勤電車の中でひたすらやりこんでました。


ということで、このくらいやれば合格をもぎ取ることができるようです。  

Posted by javapower at 21:56Comments(0)情報処理技術者試験

2019年04月30日

情報処理安全確保支援士 2019年春 午後Ⅰ 問3 考察



2019年春の安全確保支援士を受験してきました。

ということで、ちょっと振り返ります。技術的な正しさは保証しません。「私はこう考えた」をひたすら記述してみました。

ちなみに2019年4月24日 17:30時点で、ITECから解答速報が出ていますが、IPAの公式解答は出ていません。


今回は2019年春 午後Ⅰ 問3についてです。

問3はIoT機器の開発に関する問題です。Nintendo Switchのような、専用端末を用いた、ネット接続型ゲームシステムが対象となっています。なるほど、こういったゲームもIoTっていうんだね。

では

----------------------------------------
設問1 全く分かりませんでした。MD5ではないよね。答えはエのHMACのようです。実はヤマ勘が当たりました!



----------------------------------------
設問2(1) 下線②について、対策として認証トークンに追加する必要がある情報を15字以内で。

これは、下線の直前に答えがある典型的なパターンですね。この直前に「ゲームプログラムA用の認証トークンがゲームプログラムBにおいても認証に成功してしまう」とあるので、ゲームプログラムAとゲームプログラムBを分けるための情報があればよいのです。

表1に「ゲームプログラムには、固有のゲームプログラムIDがある」との記載があるので、ここでゲームプログラムIDがあれば、この問題は回避できるわけです。

ということで答えは「ゲームプログラムID」ですね。



----------------------------------------
設問2(2) 下線③について、その原因となるゲームサーバの仕様を30字以内で。

これは良くわかりませんでした。認証トークンは、利用者ID以外に異なる部分が無いので、それに関連して記載をすればよいのだと思われます。これは公式解答を待ちたいですね。



----------------------------------------
設問2(3) 下線④について、その原因となる認証トークンの仕様を20字以内で。また、不正に生成した認証トークンで利用できるゲームプログラムの範囲を35字以内で。

下線④の前提は、当該箇所の直前に記載の「ゲームプログラムごとに別の共通鍵を利用するという設計」です。つまり、ゲームプログラムは個別に識別が可能という前提です。

ゲームサーバはゲームプログラム開発会社のゲームサーバ管理者が運用しています。つまりゲームサーバ管理者が運用しているゲームサーバ上の複数のゲームプログラムは、すべて同じゲームサーバ管理者の運用下にあります。したがってそれらのゲームプログラム用共通鍵はすべて同じゲームサーバ管理者が管理することになります。

ということは、これは共通鍵を使っているのが良くないのかな。そうか、そうですね。これは下線④のすぐ下に答えがありました。ディジタル署名だと対策になるって書いてあります。これはつまり共通鍵を使うのが良くないってことですね。ディジタル署名ということは、秘密鍵と公開鍵の仕組みを使えば良いということですから。

ゲームサーバ管理者は自分の運用下にあるゲームプログラム用の共通鍵をすべて入手することが可能です。したがってゲームサーバ管理者はその共通鍵を使って不正に認証トークンを作成可能です。また、共通鍵なのでその鍵をゲーム機Vに設定することでゲーム機Vで不正な認証トークンを検証することが可能となります。

ということで、原因となる仕様は「共通鍵を使うという仕様」、範囲は「ゲームサーバ管理者の運用下にあるすべてのゲームサーバで稼働するゲームプログラム」ということになるのではないかと思われます。(かなり適当・・・)



----------------------------------------
設問2(4) 本文中のa~cに入れる適切な字句を解答群の中から選択
ア:共通鍵、 イ:ゲーム機V、 ウ:ゲームサーバ
エ:公開鍵、 オ:認証サーバ、 カ:秘密鍵

「cを使って認証トークンに署名」なので、cはカの秘密鍵ですね。
「bを使って署名の検証」ですからbはエの公開鍵ですね。
あとは鍵ペアをどこで生成するかですが、鍵ペアを生成するのは厳密に管理できる機器であるべきです。ということでオの認証サーバですね。なのでaはオの認証サーバです。



----------------------------------------
設問2(5) 下線⑤について、どのようにするとクライアント証明書と鍵CをPCなどから使用可能にしてしまうことができるか。攻撃者が使用前に行う必要があることを25字以内で。

これは全くわかりませんでした。公式解答を待ちます。



----------------------------------------
設問2(6) 本文中の下線⑥について、この性質を何というか。10字以内で。

下線部⑥とは「内部構造や内部データを解析されにくい性質」です。これは、耐タンパ性ですね。

専門用語を書く系の問題は意外と難しいですよね。耐タンパ性の意味は理解していても、いざその用語を書けと言われると思い出せない。選択問題なら余裕なのに書き問題だと突然わからなくなってしまいます。確か過去問のどこかに耐タンパ性を書かせる問題があって、それで覚えていました。



----------------------------------------
設問3 下線⑦について、保護するための適切な方法を本文中の用語を使って25字以内で。

これは少し悩みました。が、設問2(6)でポイントでしたね。ここでTPMが耐タンパ性を持つということが導出されています。であればそれを使えば良くね、ってことです。ということで、「ハッシュ値リストをTPMに保存する」となると思われます。


  

Posted by javapower at 01:08Comments(0)情報処理技術者試験

2019年04月28日

情報処理安全確保支援士 2019年春 午後Ⅰ 問2 考察



2019年春の安全確保支援士を受験してきました。

ということで、ちょっと振り返ります。技術的な正しさは保証しません。「私はこう考えた」をひたすら記述してみました。

ちなみに2019年4月24日 17:30時点で、ITECから解答速報が出ていますが、IPAの公式解答は出ていません。


今回は2019年春 午後Ⅰ 問2についてです。

午後問題は、どこかの会社の情報システムとかの説明があり、インシデントが発生し、その対策を行う、といったストーリーの中から問題が提示される形の試験です。

問題に対しての当たり方は人それぞれだと思いますが、私は、ストーリーを読みながら、随時設問を解いていくというスタイルを取っています。過去問をさらっていると、安全確保支援士の午後問題は、ストーリーに合わせて設問が出されており、後ろのストーリーを読まなくても解ける場合が多い、ということがなんとなく感じられたのでそうしています。


では早速

----------------------------------------
設問1(1) 下線①について、攻撃者が用意した無線LANアクセスポイントには何が設定されてたと考えられるか。30字以内で答えよ。

ホテルのWI-FIに接続し、メールサービスPを利用したのちに、不審メールが送られてきていることを考えると、このホテルWi-Fiが怪しいですね。攻撃者が用意した無線LANアクセスポイントには、ホテルWi-Fiと同じ設定がなされていたと考えるのが順当と思われます。

ということで、問題文の記載を活用し、「ホテルWi-FiのSSID及び事前共有鍵と同じ設定」と記載しました。

この辺りは、そもそも問題文が怪しかったですからね。「ホテルWi-Fiは宿泊客共通」とか、「事前共有鍵は共有スペースに張り出されていた」とか。


ちなみにITECでは、DNSサーバ情報も設定する旨の記載となっていました。DNSサーバ情報・・・確かに設定することあるけど、ホテルWi-Fiの設定とは違うDNSだよなぁ。これ解答に必要かなぁ・・・



----------------------------------------
設問1(2) 図2のa、bに入れる適切な字句を、本文、図1または図2の字句を用いて答えよ。

メールサービスPにアクセスしたつもりで違うサイトにアクセスしたとすると、DNSが、メールサービスPのFQDNに対し、違うサイトのIPアドレスを返したのだと想像できます。とすると、aは「メールサービスP」です。bは図2に記載の「攻撃者が用意したWebサーバ」です。



----------------------------------------
設問1(3) 図2中の下線②について、この時、サーバ証明書が信頼できない旨のエラーが表示されなかったのはなぜか。メールサービスPにHSTSが実装されていないことを踏まえ、理由を20字以内で述べよ

これはHSTSがわからないとちょっと難しいかも。HSTSもどこかの過去問にあったと思います。確か、必ずHTTPSに置き換えるとかそんな感じだったと思います。 

ということは、HTTPSに置き換わらない、つまり、HTTPでアクセスしたんだろうなぁ、と推測しました。ということで問題文の「HTTPでアクセスした場合はHTTPoverTLSのURLにリダイレクトされる仕様」という記載を利用し「HTTPSにリダイレクトされなかったから」と答えました。

この辺りITECの解答はもっとストレートですね。



----------------------------------------
設問2(1) 本文中の下線③について、偽サイトにおいてどのような処理が行われればメールサービスPへの不正アクセスが成立するか。行われる処理を35字以内で述べよ

分かりませんでした・・・。何と解答したかも覚えていません。

取り急ぎは、ITECの解答をご参照ください。




----------------------------------------
設問2(2) 図5及び図6中のc~fに入れる適切な字句を、解答群の中から選び、記号で答えよ
ア 公開鍵A、 イ 公開鍵K、 ウ 秘密鍵A、 エ 秘密鍵 K

これは署名作成と署名の検証の対になっているので、署名作成側が秘密鍵、検証側が公開鍵と分かればある程度推測できます。また、秘密鍵と公開鍵はペアなので、秘密鍵Aによる署名は公開鍵Aで検証となります。

あとはAを使うかKを使うかです。通常、AとKがあればどちらか片方しか使わない、ということはないと思われるので、どちらかがA、どちらかがKと思われます。

図5はオーセンティケータの登録です。オーセンティケータの登録は証明書Aの検証で登録することができます。なぜなら公開鍵Aは「信頼された認証局が発行している」から。一方秘密鍵Kと公開鍵Kは、オーセンティケータが作成しています。したがってまだ信頼されていません。送付された公開鍵Kは改ざんの可能性を否定できないのです。ということで、署名Lを秘密鍵Aを用いて生成することで、署名自体の正当性を維持しているのだと思います。

これにより、署名に含まれる公開鍵Kが信頼され、ここで初めて鍵ペアKを利用できるようになる、ということではなかろうかと推測しています。

ということで、解答はウアエイとなると思われます。




----------------------------------------
設問2(3) 本文中の下線④について、理由を図5又は図6中の字句を用いて、40字以内で述べよ。

分かりませんでした。「オリジンbとオリジンsの一致を確認してるから」的な答えを書いた気がします。

取り急ぎは、ITECの解答をご参照ください。



ということで、午後1の問2は微妙な結果となりそうです。

うーん、午後Ⅰ難しいなぁ。午後Ⅱに比べると過去問あまりやってないからなぁ。
  

Posted by javapower at 15:24Comments(0)情報処理技術者試験

2019年04月24日

情報処理安全確保支援士 2019年春 午前Ⅱ 考察



2019年春の安全確保支援士を受験してきました。

ということで、ちょっと振り返ります。技術的な正しさは保証しません。「私はこう考えた」をひたすら記述してみました。


今回は2019年春 午前Ⅱについてです。

まずは解答。これはすでにIPAのサイトに出ています。

問1:エ、 問2:ウ、 問3:ア、 問4:エ、 問5:ア
問6:ア、 問7:ア、 問8:ウ、 問9:ウ、 問10:エ
問11:イ、 問12:イ、 問13:エ、 問14:イ、 問15:ア
問16:イ、 問17:エ、 問18:イ、 問19:ウ、 問20:エ
問21:ウ、 問22:ウ、 問23:エ、 問24:ア、 問25:ウ


問1:エ、問2:ウ 個人的にはサービス問題。CRLもOCSPも過去問に当たっていれば何度も出てくる基本的知識ですね。

問3:ア OASISと言ったらSAML! っていうぐらいの鉄板です。

問4:エ ハッシュ関数の衝突発見困難性も、ド過去問。問題を見た瞬間に解答がわかる、というぐらい同じ問題です。

問5:ア クリプトジャッキングです。これは外しました。おそらく初出の問題ではないでしょうか。
これはアの「他人のPCまたはサーバに侵入して計算資源を不正に利用し、台帳への追記の計算を行う」でした。
仮想通貨出てきたかー。 仮想通貨全然知らないですよね。

ちなみに私はウを選択したのですが、これ、多分、クリックジャッキングですね・・・

問6:ア これもド過去問ですね。smurfと言えばICMPです。ちなみにイはSYN Flood、ウはUDP Floodですね。多分。エは何て呼ぶんだろう。

問7:ア サイドチャネル攻撃問題です。これ、確か過去問にあったなぁ・・・ でも、間違えたなぁ。
解答はアの「暗号化装置における暗号化処理時の消費電力などの測定や統計処理によって、当該装置内部の秘密情報を推定する攻撃」です。
これ、テンペストと勝手に思い込んでしまいました。テンペストと言えば電磁波、って覚えていたのに、なんで電磁波関係ないアをテンペストって思いこむかなぁ。
サイドチャネルは、装置の外から観測することで内部を推測する、的な理解をしてたので、思わずウと答えてしまいました。

問8:ウ ハードウエアトークンの問題です。これはちょっとだけ悩みましたね。
この処理だとどこが弱いのかなぁ、とか、考えながら問題を読んでいたのですが、回答の選択肢を見たらほぼほぼ一択でした。
改ざん個所を訂正したり、盗聴者を特定したりはできません。盗聴されていないことの確認なんてどうやったら出来るんだ?
ということで、ウの「振込先口座番号と振込金額が改ざんされていないことを確認できる」が答えです。

問9:ウ これも確か過去問にあったと思います。CRYPTRECといえば電子政府推奨暗号リストです。運用監視とか証明書失効リストは(多分)関係ありません。そうするとウかエなのですが、エは「互換性維持目的に限った」などと特徴のある言い回しになっていてかなり怪しい選択肢です。ということでウですね。

問10:エ クロスサイトリクエストフォージェリの問題です。午後1か午後2の過去問で「○○○リクエストフォージェリ」の○○○を埋めよ、みたいな問題があったので覚えていました。一通り選択肢は見ましたが、これもエの一択ですね。エはSQLインジェクションの対策です。

問11:イ DNSキャッシュポイズニングの問題です。これも、午後1か午後2の過去問に出てきます。詳しい理屈は説明できませんが、とにかく何かを固定せずにランダムにする、ってだけ覚えていました。そうすると、ウ、エのポートを53番に固定する的な選択肢は排除されます。DNSキャッシュポイズニングはマルウエアは関係ないのでアも排除されます。

問12:イ これも過去問です。これは実はちょうどテストの始まる前に見てた過去問だったのでラッキーでした。何も考えずにイの一択です。

問13:エ これも過去問だったと思います。RADIUSは認証技術なので暗号化通信の話をしているイはちがいます。SSIDはPCごとの秘密キーではないのでウも違います。アとエは悩んだのですが、「動的な暗号化キー」がキーワードだったような気がしたのでエを選択しました。これもラッキーでしたね。
ちなみに後から調べて思い出したのですが、EAPはExtensible Authentication Protocolの略で、はPPP(Point-to-Point Protocol)を拡張したプロトコルなのです。これは認証技術であり、暗号化技術ではないんですよね。

問14:イ OP25Bの問題です。これも頻出過去問ですね。内から外への通信を制限する、25番ポートなのでメール関連、ということが分かっていればイ一択です。

問15:ア SPFの問題です。過去問で同じ問題は記憶にないのですが、SPFは午後問では割と良く出てきてたと思います。なので、仕組みの概要を理解していればア一択です。

問16:イ VDIの問題です。これは過去問にあったかなぁ。なんとなくどこかで見た感はありますが、もしかしたら午後問の一部だったかもしれません。これは、「内部ネットワークのPCを外部から守るために、WEBを利用する場合にVDIを利用する。この時に必要な条件は?」といった主旨の問題です。ウは論外ですね。VDIサーバがプロキシって、VDIの意味なくね? ってことです。エは、VDIサーバがプロキシとして画面転送プロトコルを中継する必要性が不明です。そうするとアかイなのですが、アは、PC内のファイル流出を防止したいのにファイル転送を利用してどうする?って話なので、結論はイになります。

問17:エ ステートフルインスペクション型FWの問題です。これも過去問だったと思います。選択肢エの記載「パケットフィルタリングを拡張した方式であり、過去に通過したパケットから通信セッションを認識し、受け付けたパケットを通信セッションの状態に照らし合わせて通過させるか遮断させるかを判断する」はまさにステートフルインスペクション型の説明ですね。
ちなみに、ステートフルとはステートレスの逆で、状態を保持する、と言った意味です。

問18:イ 無線LANの隠れ端末問題です。これは間違えました。過去問で見たことないです。午後問でも私は見たことないです。WIKIPEDIA見たら「CSMA/CA、IEEE 802.11などのプロトコルで発生する有名な問題である」とか書いてある・・・。有名な問題なんだ。どうも私は無線LAN系が弱いみたいです。
無線LANで、アクセスポイントに接続する2つの端末がある。2つの端末はお互いに離れていて、お互いを認識できない。なので、お互いを気にせず通信を行うのだが、同じアクセスポイントにアクセスしているので、そこで通信の衝突が起こる、って感じの意味らしいです。


問19:ウ これは悩みました。え? シリアル回線? 待て待て、どれがシリアルでどれがパラレルだっけ? とか混乱しました。ただ、問題をよく読むと「LAN上で実現するプロトコルはどれか」とか書いてあるじゃないですか。ということでウのPPPoEにたどり着きました。

問20:エ 全く知りませんでした。しかも、これは無いな、って最初に消したエが答えとは。SNMPv3で使われるプロトコルでSNMPv2なんてないよなぁ。なんか出題者の引っかけに見事に引っかかった感じです。

問21:ウ 過去問では見たことないですが、ロジカルに考えていけば解答にたどり着けます。参照制約を正確に理解してなくても、在庫表と製品表であれば、「在庫は無くても製品は存在し得る、でも、製品が無いのに在庫があるってことはない」、ってわかると思います。そうするとウの「”在庫”表への行追加」は、存在しない製品を在庫にしてしまう可能性が発生するので拒否される可能性がある、ってことです。

問22:ウ これも過去問では見たことないです。でも、ソフトウエアの脆弱性検出であれば、消去法でウにたどり着きますね。

問23:エ これも過去問では見たことないです。そしてマッシュアップの定義も知りません。でも、わりと最近の言葉だったような気がします。アはリバースエンジニアリング、イとウは昔からごく普通に行われたこと。だとすればエだな、って感じです。

問24:ア これは過去問ですね。でも、過去問さらってなくてもわかるのではないかと思われます。フルバックアップにかかる磁気テープ使用量は、対象データの量に依存するので、取得する時間間隔には直接関係はありません。なのでイとウは排除されます。フルバックアップ取得の平均処理時間も通常は対象データの量に依存するので、これも排除されます。なので消去法でアですね。ちなみに、データの追加、変更、削除が一定の頻度で行われているので、ログも一定の頻度で増加します。なので、フルバックアップ取得の時間間隔が2倍になればログ情報も2倍になり、復旧時のログ情報反映時間も2倍になります。

問25:ウ 監査調書といえば、監査した人が監査した結果を記入するもの。とするとウ一択です。



ということで、おそらく午前Ⅱは通過してるのではないかと思われます。やっぱりポイントは「過去問に当たれ」ですね。

どんな風に勉強したかもそのうち書きたいと思いますが、落ちてたら書かないかなぁ・・・  

Posted by javapower at 15:55Comments(0)情報処理技術者試験