[平成２８年度秋] 個人的解答速報③（午後２問１）

[はじめに]

2016/10/16に情報セキュリティスペシャリストの平成２８年度秋の試験が実施されました。受験された皆様、お疲れさまでした。
今回行われた試験の問題文は、既にIPAの下記ページで公開されています。解答については、現時点では午前試験のみ公開されています。午後試験の解答は例年通りなら、合格結果発表がある１２月頃になると思われます。

情報セキュリティスペシャリスト平成２８年度秋問題・解答

そこで個人的解答速報ということで、実際の試験で私が記入した午後１、午後２試験の解答を載せていきたいと思います。
今回の試験では、午後１は問２と問３、午後２は問１を選択しました。今回は午後２問１の解答です。
あくまで個人的解答であり、正解とは限りませんのでご注意ください。また正式な解答が公開された際には、解説記事を書きたいと思います。

[平成２８年度秋] 個人的解答速報②（午後１問３）

[はじめに]

2016/10/16に情報セキュリティスペシャリストの平成２８年度秋の試験が実施されました。受験された皆様、お疲れさまでした。
今回行われた試験の問題文は、既にIPAの下記ページで公開されています。解答については、現時点では午前試験のみ公開されています。午後試験の解答は例年通りなら、合格結果発表がある１２月頃になると思われます。

情報セキュリティスペシャリスト平成２８年度秋問題・解答

そこで個人的解答速報ということで、実際の試験で私が記入した午後１、午後２試験の解答を載せていきたいと思います。
今回の試験では、午後１は問２と問３、午後２は問１を選択しました。前回に続いて今回は午後１問３の解答です。
あくまで個人的解答であり、正解とは限りませんのでご注意ください。また正式な解答が公開された際には、解説記事を書きたいと思います。

[平成２８年度秋] 個人的解答速報①（午後１問２）

[はじめに]

本日(2016/10/16)、情報セキュリティスペシャリストの平成２８年度秋の試験が実施されました。受験された皆様、お疲れさまでした。
本日行われた試験の問題文は、既にIPAの下記ページで公開されています。解答については、現時点では午前試験のみ公開されています。午後試験の解答は例年通りなら、合格結果発表がある１２月頃になると思われます。

情報セキュリティスペシャリスト平成２８年度秋問題・解答

そこで個人的解答速報ということで、実際の試験で私が記入した午後１、午後２試験の解答を載せていきたいと思います。
本日の試験では、午後１は問２と問３、午後２は問１を選択しました。まずは午後１問２の解答です。
あくまで個人的解答であり、正解とは限りませんのでご注意ください。また正式な解答が公開された際には、解説記事を書きたいと思います。

[平成２６年度秋] 午後2はどの問題を選択すれば良いか？

[問題文・解答]

平成２６年度１０月の情報セキュリティスペシャリスト 午後２試験の各問題を解いたうえでの個人的なオススメ問題について記載しています。
平成２６年度１０月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26秋 午後2 問題文]　　　[H26秋 午後2 解答]

[平成２６年度秋] 午後2 問2 解説②

[問題文・解答]

平成２６年度１０月に実施された情報セキュリティスペシャリスト試験の午後２問題 問１の解説を２回に分けて行います。今回は２回目（後半）です。
平成２６年度１０月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26秋 午後2 問題文]　　　[H26秋 午後2 解答]

[平成２６年度秋] 午後2 問2 解説①

[問題文・解答]

平成２６年度１０月に実施された情報セキュリティスペシャリスト試験の午後２問題 問１の解説を２回に分けて行います。今回は１回目（前半）です。
平成２６年度１０月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26秋 午後2 問題文]　　　[H26秋 午後2 解答]

[問題概要]

題材は、グループ企業のセキュリティインシデントとWebサイトのセキュリティ対策についてです。

概要は以下の通りで、今回は前半部分の解説を行います。
（前半部分）P.16〜P.22上段　設問1〜2該当範囲

• 多様な業種を展開するA社グループ（A社〜G社）では、Webサイト構築に関してグループ全体でのセキュリティ対策推進計画を立案した。
• F社の運営するショッピングサイトがSQLインジェクション攻撃を受け、調査したところ、被害は無かったもののサイト全体に脆弱性があることが判明。
• F社のセキュリティ事故を分析し、Webサイトの脆弱性診断ガイドラインを作成し、グループ各社に展開する。

（後半部分）P.22上段〜P.25下段　設問3該当範囲

• 今後Webサイトに最近の脆弱性（DOMベースのXSS、クリックジャッキング）対策や新技術（HSTS）の使用についてセキュアサイト構築ガイドラインに追加することを検討する。

[平成２６年度秋] 午後2 問1 解説③

[問題文・解答]

平成２６年度４月に実施された情報セキュリティスペシャリスト試験の午後２問題 問１の解説を２回に分けて行います。今回は３回目（終盤）です。
平成２６年度４月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26秋 午後2 問題文]　　　[H26秋 午後2 解答]

[平成２６年度秋] 午後2 問1 解説②

[問題文・解答]

平成２６年度１０月に実施された情報セキュリティスペシャリスト試験の午後２問題 問１の解説を３回に分けて行います。今回は２回目（中盤）です。
平成２６年度１０月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26秋 午後2 問題文]　　　[H26秋 午後2 解答]

[平成２６年度秋] 午後2 問1 解説①

[問題文・解答]

平成２６年度１０月に実施された情報セキュリティスペシャリスト試験の午後２問題 問１の解説を３回に分けて行います。今回は１回目（序盤）です。
平成２６年度１０月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26秋 午後2 問題文]　　　[H26秋 午後2 解答]

[問題概要]

題材は、海外展開する金融機関におけるIAMの統合についてです。

概要は以下の通りで、今回は序盤部分の解説を行います。

（序盤部分）P.3〜P.8中段　設問1該当範囲

• 海外支店を展開するN社は、各地域（日本、欧米、アジア）の社内情報システムの共通機能および利用者IDの管理・認証を一本化することにした。

（中盤部分）P.8下段〜P.11中段　設問2〜4該当範囲

• 各地域の現行システムを拡張する形でグローバルなID・アクセス管理システムの構成と利用者認証の通信シーケンスについて設計・検討する。
• 設計レビューを受け、一部修正を行った設計案で各地域の関係者に設計内容の説明を行う。

（終盤部分）P.11中段〜P.14　設問5〜6該当範囲

• 説明時に欧米地域から、以下の要求があり、全地域で全要求を実現するために拡張システム案を検討する。
• 一度ログオンすれば、グローバルシステム及び地域システムへのシングルサインオンが出来るようにしてほしい。
• 自宅や出張先から、個人所有のPC・タブレットを使って仮想デスクトップから社内システムにアクセスできるようにしてほしい。

[平成２６年度春] 午後2はどの問題を選択すれば良いか？

[問題文・解答]

平成２６年度４月の情報セキュリティスペシャリスト 午後２試験の各問題を解いたうえでの個人的なオススメ問題について記載しています。
平成２６年度４月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26春 午後2 問題文]　　　[H26春 午後2 解答]

[平成２６年度春] 午後2 問2 解説②

[問題文・解答]

平成２６年度４月に実施された情報セキュリティスペシャリスト試験の午後２問題 問２の解説を２回に分けて行います。今回は２回目（後半）です。
平成２６年度４月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26春 午後2 問題文]　　　[H26春 午後2 解答]

[平成２６年度春] 午後2 問2 解説①

[問題文・解答]

平成２６年度４月に実施された情報セキュリティスペシャリスト試験の午後２問題 問２の解説を２回に分けて行います。今回は１回目（前半）です。
平成２６年度４月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26春 午後2 問題文]　　　[H26春 午後2 解答]

[問題概要]

題材は、公開Webサーバのコンテンツ改ざんの調査とその対策立案についてです。

概要は以下の通りで、今回は前半部分の解説を行います。
（前半部分）P.14〜P.20　設問1〜2該当範囲

• 金属加工業者D社では公開Webサーバやプロキシサーバ、メールサーバをDMZに配し、各種内部LAN上のPC・サーバ、CADシステム等からDMZを経由するネットワーク構成を構築している。
• 公開Webサーバにコンテンツの改ざんがあったことが発覚し、調査した結果、公開Webサーバの脆弱性を悪用して不正なスクリプトがコンテンツファイル中に埋め込まれていた。
• 公開Webサーバへの脆弱性修正プログラムの適用を行った後、従来FTPで行っていたコンテンツ更新方法の見直しを行う。

（後半部分）P.20下段〜P.25上段　設問3〜5該当範囲

• Webアクセスによるウイルス感染を減らすためにプロキシサーバの設定見直しを検討する。
• トラブル調査の迅速化を目的としてログの取得・管理方法の見直しを検討する。
• これまでメール送付で行っていた委託先へのCADデータ送信方法を再検討する。

[平成２６年度春] 午後2 問1 解説②

[問題文・解答]

平成２６年度４月に実施された情報セキュリティスペシャリスト試験の午後２問題 問１の解説を２回に分けて行います。今回は２回目（後半）です。
平成２６年度４月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26春 午後2 問題文]　　　[H26春 午後2 解答]

[平成２６年度春] 午後2 問1 解説①

[問題文・解答]

平成２６年度４月に実施された情報セキュリティスペシャリスト試験の午後２問題 問１の解説を２回に分けて行います。今回は１回目（前半）です。
平成２６年度４月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26春 午後2 問題文]　　　[H26春 午後2 解答]

[問題概要]

題材は、クレジットカード業界のセキュリティ基準として知られるPayment Card Industryデータセキュリティ基準(PCI DSS)についてです。

概要は以下の通りで、今回は前半部分の解説を行います。
（前半部分）P.3〜P.9　設問1〜2該当範囲

• 百貨店を展開するL社では、現在自社店舗でのみ利用できるクレジットカードを発行しているが、H社と提携した新しいカードの提供を予定しており、現行のクレジットカードサービスシステムの拡張・見直しを検討している。
• システム拡張にあたり、クレジットカードに関する情報を保護するセキュリティ基準として国際的に知られるPCI DSSに準拠するため現状の調査を実施する。
• 調査の結果、クレジットカード番号の取扱いについてPCI DSSに準拠していない（暗号化保存の未実施）ため、対策を検討する。

（後半部分）P.10〜P.12　設問3〜4該当範囲

• ワイヤレスアクセスポイントの有無を定期的に確認していない点もPCI CSSに準拠していないため、対策を検討する。
• 新システム導入に合わせて現行のデータベース構造を見直し、PCI DSS準拠方針に従った更なるセキュリティ改善を計る。

[平成２７年度秋] 午後2はどの問題を選択すれば良いか？

[問題文・解答]

平成２７年度１０月の情報セキュリティスペシャリスト 午後２試験の各問題を解いたうえでの個人的なオススメ問題について記載しています。
平成２７年度１０月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H27秋 午後2 問題文]　　　[H27秋 午後2 解答]

[平成２７年度秋] 午後2 問2 解説②

[問題文・解答]

平成２７年度１０月に実施された情報セキュリティスペシャリスト試験の午後２問題 問２の解説を２回に分けて行います。今回は２回目（後半）です。
平成２７年度１０月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H27秋 午後2 問題文]　　　[H27秋 午後2 解答]