[平成２６年度秋] 午後1はどの問題を選択すれば良いか？

[問題文・解答]

平成２６年度４月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26秋 午後1 問題文]　　　[H26秋 午後1 解答]

情報セキュリティスペシャリスト試験の午後１試験では３問中２問を選択する必要があります。
90分という限られた時間内で問題を選択し、一通り解答する必要があるため、短時間で解きやすい問題や自分に合った問題を選択できる能力は重要となります。
理想は、問題文をざっと眺めるだけでおおよその難易度予想が出来るようになることだと思います。
以下では、各問題を解いたうえでの個人的なオススメ問題について記載しています。

[平成２６年度秋] 午後1 問3 解説

[問題文・解答]

平成２６年度10月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26秋 午後1 問題文]　　　[H26秋 午後1 解答]

[問題概要]

題材は、マルウェア感染への対応についてです。
社内ネットワークのPCからマルウェアが検出されたため、感染経路・被害の調査を行うとともに、今後の対策として社内機器のフィルタリングルールやアクセス制御、パスワード格納の設定を見直すという内容です。
フィルタリングルールやハッシュに関する知識が必要とされ、読解力も問われる問題です。難易度は普通〜やや高めです。

[平成２６年度秋] 午後1 問2 解説

[問題文・解答]

平成２６年度１０月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26秋 午後1 問題文]　　　[H26秋 午後1 解答]

[問題概要]

題材は、代理店販売支援システムの利用者認証についてです。
代理店販売支援システムの拡張にあたり、セキュリティ強化の方針として利用者認証強化、アクセス端末の限定、利用ガイドラインの作成について設計・検討するという内容です。
暗号アルゴリズムやディジタル証明書の知識は若干必要とされますが、そこまで難しい設問は無いため、難易度は普通です。

[平成２６年度秋] 午後1 問1 解説

[問題文・解答]

平成２６年度１０月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26秋 午後1 問題文]　　　[H26秋 午後1 解答]

[問題概要]

題材は、スマホのルート特権化についてです。
スマホのルート特権化の手段としてよく利用されるバッファオーバーフロー攻撃の詳細と対策について調査する、という内容です。
単語を知らないと答えられない設問が多く、記述問題も解答しづらい設問が多いです。難易度は高めです。

[平成２７年度秋] 午後1はどの問題を選択すれば良いか？

[問題文・解答]

平成２7年度１０月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H27秋 午後1 問題文]　　　[H27秋 午後1 解答]

情報セキュリティスペシャリスト試験の午後１試験では３問中２問を選択する必要があります。
90分という限られた時間内で問題を選択し、一通り解答する必要があるため、短時間で解きやすい問題や自分に合った問題を選択できる能力は重要となります。
理想は、問題文をざっと眺めるだけでおおよその難易度予想が出来るようになることだと思います。
以下では、各問題を解いたうえでの個人的なオススメ問題について記載しています。

[平成２７年度秋] 午後1 問3 解説

[問題文・解答]

平成２7年度１０月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H27秋 午後1 問題文]　　　[H27秋 午後1 解答]

[問題概要]

題材は、Webサイトにおけるインシデント対応についてです。
WebサイトにおいてDMZのサーバに不正侵入され、内部情報を取得しようとする攻撃を受けます。各種ログから侵入経路・原因を調査し、対策を講じるという内容です。
深い知識は不要ですが、FWフィルタリングやHTTPなど広く浅い知識があると解きやすい問題です。知識が無くても、問題文を読んでしっかり理解すれば解ける設問が多く、難易度は普通〜やや高めです。

[平成２７年度秋] 午後1 問2 解説

[問題文・解答]

平成２7年度１０月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H27秋 午後1 問題文]　　　[H27秋 午後1 解答]

[問題概要]

題材は、特権IDの管理についてです。
顧客情報管理システムの保守作業を委託しているが、委託用の特権IDの取扱いに以下の３点の問題があり、対策を検討するという内容です。
・IDが共用されており、使用者が特定出来ない恐れがある
・特権IDのアクセス制御が不十分で作業対象サーバ以外へのアクセスができてしまう
・作業計画と実際の操作履歴との突合チェックがない
専門知識はほとんど必要とされませんが、問題文をよく読み、想像力を働かせる必要がある問題がいくつかあるため、難易度は普通〜やや高めです。

[平成２７年度秋] 午後1 問1 解説

[問題文・解答]

平成２7年度１０月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H27秋 午後1 問題文]　　　[H27秋 午後1 解答]

[問題概要]

題材は、ソフトウェアの脆弱性への対応についてです。
ネット通販システムのWebサーバで使用しているWebアプリケーションフレームワークに脆弱性が発見され、対策を検討・実施するという内容です。
情報セキュリティの3要素や正規表現、フォールスポジティブなど基本的な知識があれば、後は問題文を読めば解答が予想出来る問題が多く、難易度は普通です。

[平成２７年度春] 午後1はどの問題を選択すれば良いか？

[問題文・解答]

平成２7年度４月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H27春 午後1 問題文]　　　[H27春 午後1 解答]

情報セキュリティスペシャリスト試験の午後１試験では３問中２問を選択する必要があります。
90分という限られた時間内で問題を選択し、一通り解答する必要があるため、短時間で解きやすい問題や自分に合った問題を選択できる能力は重要となります。
理想は、問題文をざっと眺めるだけでおおよその難易度予想が出来るようになることだと思います。
以下では、各問題を解いたうえでの個人的なオススメ問題について記載しています。

[平成２７年度春] 午後1 問2 解説

[問題文・解答]

平成２7年度４月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H27春 午後1 問題文]　　　[H27春 午後1 解答]

[問題概要]

題材は、情報漏洩インシデントの調査です。
セキュリティ情報共有団体からの連絡で社内機器がC&Cサーバと通信していた事が判明。調査の結果、ある従業員の業務PCがマルウェアに感染し、プロキシサーバを経由してC&Cサーバにアクセスしていた事が分かり、暫定対応や再発防止策を実施するという内容です。
難易度はやや高めの問題だと思います。

[平成２７年度春] 午後1 問3 解説

[問題文・解答]

平成２7年度４月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H27春 午後1 問題文]　　　[H27春 午後1 解答]

[問題概要]

題材は、パスワードへの攻撃です。
ショッピングサイトが大量のログイン試行により一部ユーザのIDとパスワードが破られるという攻撃を受けます。当該サイトでは以下のアカウント管理の問題点があり、改善案と改善案実装までの暫定処置について検討するという内容です。
・パスワードが数字6桁（固定長）と強度が不十分
・パスワードがハッシュ化しただけで保存している
難易度はやや低めの問題だと思います。

[平成２７年度春] 午後1 問1 解説

[問題文・解答]

平成２7年度４月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H27春 午後1 問題文]　　　[H27春 午後1 解答]

[問題概要]

題材は、Webサイトの脆弱性と対策についてです。
脆弱性検査サービス会社の社内技能試験で、受験者が試験用Webサイトを操作後、HTTPヘッダインジェクションやセッションフィクセーションなどのWebサイトが持つ脆弱性を指摘し、対策を提案するという内容です。
HTMLやHTTPヘッダインジェクション等の知識が必要とされ、難易度はやや高めです。

[平成２８年度春] 午後1はどの問題を選択すれば良いか？

[問題文・解答]

平成２８年度４月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H28春 午後1 問題文]　　　[H28春 午後1 解答]

情報セキュリティスペシャリスト試験の午後１試験では３問中２問を選択する必要があります。
90分という限られた時間内で問題を選択し、一通り解答する必要があるため、短時間で解きやすい問題や自分に合った問題を選択できる能力は重要となります。
理想は、問題文をざっと眺めるだけでおおよその難易度予想が出来るようになることだと思います。
以下では、各問題を解いたうえでの個人的なオススメ問題について記載しています。

[平成２８年度春] 午後1 問２ 解説

[問題文・解答]

平成２８年度４月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H28春 午後1 問題文]　　　[H28春 午後1 解答]

[問題概要]

題材はDMZ上の機器のセキュリティです。
情報セキュリティ強化のため、DMZに設置しているプロキシサーバや外部メールサーバの設定を確認したところ、DNSキャッシュポイズニング攻撃やマルウェア感染の脅威に対する脆弱性が見つかり、対策を実施するという内容です。
単語を知らないと答えられない問題が多く、難易度はやや高めです。

[平成２８年度春] 午後1 問３ 解説

[問題文・解答]

平成２８年度４月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H28春 午後1 問題文]　　　[H28春 午後1 解答]

[問題概要]

題材はショッピングサイト用スマホアプリとサーバ間の認証です。
開発中のショッピングサイトサーバと専用のスマホアプリでは、スマホアプリが商用認証局から発行されたサーバ証明書を使ってサーバの認証を行います。
検証試験として、試験環境でサーバ証明書に以下の３つの不正箇所がある場合にちゃんとスマホアプリが認証エラーとなるかどうかを確認しています。
・発行者不正
・有効期間不正
・サブジェクトのコモンネーム不正
設問のほとんどが「文中の字句を用いて答えよ」系で、複雑な内容を問われる設問も少ないため、あまり知識が無くても問題文をよく読めば６割は確実に取れる難易度低めの問題と思います。