[平成２８年度秋] 午後1はどの問題を選択すれば良いか？

[問題文・解答]

平成２８年度１０月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H28秋 午後1 問題文]　　　[H28秋 午後1 解答]

情報セキュリティスペシャリスト試験の午後１試験では３問中２問を選択する必要があります。
90分という限られた時間内で問題を選択し、一通り解答する必要があるため、短時間で解きやすい問題や自分に合った問題を選択できる能力は重要となります。
理想は、問題文をざっと眺めるだけでおおよその難易度予想が出来るようになることだと思います。
以下では、各問題を解いたうえでの個人的なオススメ問題について記載しています。

[平成２８年度秋] 午後1 問3 解説

[問題文・解答]

平成２８年度１０月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H28秋 午後1 問題文]　　　[H28秋 午後1 解答]

[問題概要]

題材は、プロキシサーバによるマルウェア対策についてです。
社内プロキシサーバを更新するプロジェクトで、段階的に旧プロキシサーバから新サーバへと移行している際に社内からC&Cサーバに通信の記録があったことが判明する。調査の結果、添付メールから社内PCがマルウェアに感染していたことが分かり、対処及び対策を実行するという内容です。
一部知らないと答えるのが困難な問題がありますが、その他の設問は比較的解答しやすい設問が多く、難易度はやや易しい〜普通です。

[平成２８年度秋] 午後1 問2 解説

[問題文・解答]

平成２８年度１０月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H28秋 午後1 問題文]　　　[H28秋 午後1 解答]

[問題概要]

題材は、ソフトウェア開発における脆弱性対策についてです。
ソフトウェアの脆弱性の１つとしてバッファオーバフロー（BOF）脆弱性、特にヒープベースBOF脆弱性をもったプログラムの脆弱性対策について検討するという内容です。
一部知らないと答えるのが困難な問題があり、その他の設問もある程度の知識と読解力が要求される問題です。難易度は普通〜やや高めです。

[平成２８年度秋] 午後1 問1 解説

[問題文・解答]

平成２８年度１０月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H28秋 午後1 問題文]　　　[H28秋 午後1 解答]

[問題概要]

題材は、組込み機器を利用したシステムのセキュリティ対策についてです。
工場内の機械のセンサ情報をLTEルータ経由でクラウド上の監視サーバに送信する工場遠隔監視システムを構築した。試験環境で試験を行ったところ、LTEルータに侵入された形跡を発見し、セキュリティ対策を検討するという内容です。
知らないと答えるのが困難な問題がいくつかあり、その他の設問もある程度の知識と読解力が要求される問題です。難易度はやや高めです。

[試験情報]平成２８年度秋 合格発表

[はじめに]

12/16（金）正午に情報セキュリティスペシャリスト 平成28年度秋試験の合格発表が行われました。合格された皆様、おめでとうございます。
また、12/9（金）には解答が公開されていますので、今回の問題の解説も後日行いたいと思います。

基本情報、応用情報の解説ブログ始めました。

IPAの基本情報技術者試験、応用情報技術者試験の過去問解説ブログを始めました。
どちらもまだ記事数が少ないですが、今後午後試験の過去問解説を中心に試験情報や勉強法も含めて徐々に更新していく予定です。
受験を検討しておられる方は是非ご利用ください。

以下がリンクになりますので、よろしくお願いいたします。

基本情報技術者 過去問解説ブログ

応用情報技術者 過去問解説ブログ

[平成２８年度秋] 個人的解答速報③（午後２問１）

[はじめに]

2016/10/16に情報セキュリティスペシャリストの平成２８年度秋の試験が実施されました。受験された皆様、お疲れさまでした。
今回行われた試験の問題文は、既にIPAの下記ページで公開されています。解答については、現時点では午前試験のみ公開されています。午後試験の解答は例年通りなら、合格結果発表がある１２月頃になると思われます。

情報セキュリティスペシャリスト平成２８年度秋問題・解答

そこで個人的解答速報ということで、実際の試験で私が記入した午後１、午後２試験の解答を載せていきたいと思います。
今回の試験では、午後１は問２と問３、午後２は問１を選択しました。今回は午後２問１の解答です。
あくまで個人的解答であり、正解とは限りませんのでご注意ください。また正式な解答が公開された際には、解説記事を書きたいと思います。

[平成２８年度秋] 個人的解答速報②（午後１問３）

[はじめに]

2016/10/16に情報セキュリティスペシャリストの平成２８年度秋の試験が実施されました。受験された皆様、お疲れさまでした。
今回行われた試験の問題文は、既にIPAの下記ページで公開されています。解答については、現時点では午前試験のみ公開されています。午後試験の解答は例年通りなら、合格結果発表がある１２月頃になると思われます。

情報セキュリティスペシャリスト平成２８年度秋問題・解答

そこで個人的解答速報ということで、実際の試験で私が記入した午後１、午後２試験の解答を載せていきたいと思います。
今回の試験では、午後１は問２と問３、午後２は問１を選択しました。前回に続いて今回は午後１問３の解答です。
あくまで個人的解答であり、正解とは限りませんのでご注意ください。また正式な解答が公開された際には、解説記事を書きたいと思います。

[平成２８年度秋] 個人的解答速報①（午後１問２）

[はじめに]

本日(2016/10/16)、情報セキュリティスペシャリストの平成２８年度秋の試験が実施されました。受験された皆様、お疲れさまでした。
本日行われた試験の問題文は、既にIPAの下記ページで公開されています。解答については、現時点では午前試験のみ公開されています。午後試験の解答は例年通りなら、合格結果発表がある１２月頃になると思われます。

情報セキュリティスペシャリスト平成２８年度秋問題・解答

そこで個人的解答速報ということで、実際の試験で私が記入した午後１、午後２試験の解答を載せていきたいと思います。
本日の試験では、午後１は問２と問３、午後２は問１を選択しました。まずは午後１問２の解答です。
あくまで個人的解答であり、正解とは限りませんのでご注意ください。また正式な解答が公開された際には、解説記事を書きたいと思います。

[平成２６年度秋] 午後2はどの問題を選択すれば良いか？

[問題文・解答]

平成２６年度１０月の情報セキュリティスペシャリスト 午後２試験の各問題を解いたうえでの個人的なオススメ問題について記載しています。
平成２６年度１０月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26秋 午後2 問題文]　　　[H26秋 午後2 解答]

[平成２６年度秋] 午後2 問2 解説②

[問題文・解答]

平成２６年度１０月に実施された情報セキュリティスペシャリスト試験の午後２問題 問１の解説を２回に分けて行います。今回は２回目（後半）です。
平成２６年度１０月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26秋 午後2 問題文]　　　[H26秋 午後2 解答]

[平成２６年度秋] 午後2 問2 解説①

[問題文・解答]

平成２６年度１０月に実施された情報セキュリティスペシャリスト試験の午後２問題 問１の解説を２回に分けて行います。今回は１回目（前半）です。
平成２６年度１０月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26秋 午後2 問題文]　　　[H26秋 午後2 解答]

[問題概要]

題材は、グループ企業のセキュリティインシデントとWebサイトのセキュリティ対策についてです。

概要は以下の通りで、今回は前半部分の解説を行います。
（前半部分）P.16〜P.22上段　設問1〜2該当範囲

• 多様な業種を展開するA社グループ（A社〜G社）では、Webサイト構築に関してグループ全体でのセキュリティ対策推進計画を立案した。
• F社の運営するショッピングサイトがSQLインジェクション攻撃を受け、調査したところ、被害は無かったもののサイト全体に脆弱性があることが判明。
• F社のセキュリティ事故を分析し、Webサイトの脆弱性診断ガイドラインを作成し、グループ各社に展開する。

（後半部分）P.22上段〜P.25下段　設問3該当範囲

• 今後Webサイトに最近の脆弱性（DOMベースのXSS、クリックジャッキング）対策や新技術（HSTS）の使用についてセキュアサイト構築ガイドラインに追加することを検討する。

[平成２６年度秋] 午後2 問1 解説③

[問題文・解答]

平成２６年度４月に実施された情報セキュリティスペシャリスト試験の午後２問題 問１の解説を２回に分けて行います。今回は３回目（終盤）です。
平成２６年度４月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26秋 午後2 問題文]　　　[H26秋 午後2 解答]

[平成２６年度秋] 午後2 問1 解説②

[問題文・解答]

平成２６年度１０月に実施された情報セキュリティスペシャリスト試験の午後２問題 問１の解説を３回に分けて行います。今回は２回目（中盤）です。
平成２６年度１０月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26秋 午後2 問題文]　　　[H26秋 午後2 解答]

[平成２６年度秋] 午後2 問1 解説①

[問題文・解答]

平成２６年度１０月に実施された情報セキュリティスペシャリスト試験の午後２問題 問１の解説を３回に分けて行います。今回は１回目（序盤）です。
平成２６年度１０月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26秋 午後2 問題文]　　　[H26秋 午後2 解答]

[問題概要]

題材は、海外展開する金融機関におけるIAMの統合についてです。

概要は以下の通りで、今回は序盤部分の解説を行います。

（序盤部分）P.3〜P.8中段　設問1該当範囲

• 海外支店を展開するN社は、各地域（日本、欧米、アジア）の社内情報システムの共通機能および利用者IDの管理・認証を一本化することにした。

（中盤部分）P.8下段〜P.11中段　設問2〜4該当範囲

• 各地域の現行システムを拡張する形でグローバルなID・アクセス管理システムの構成と利用者認証の通信シーケンスについて設計・検討する。
• 設計レビューを受け、一部修正を行った設計案で各地域の関係者に設計内容の説明を行う。

（終盤部分）P.11中段〜P.14　設問5〜6該当範囲

• 説明時に欧米地域から、以下の要求があり、全地域で全要求を実現するために拡張システム案を検討する。
• 一度ログオンすれば、グローバルシステム及び地域システムへのシングルサインオンが出来るようにしてほしい。
• 自宅や出張先から、個人所有のPC・タブレットを使って仮想デスクトップから社内システムにアクセスできるようにしてほしい。

[平成２６年度春] 午後2はどの問題を選択すれば良いか？

[問題文・解答]

平成２６年度４月の情報セキュリティスペシャリスト 午後２試験の各問題を解いたうえでの個人的なオススメ問題について記載しています。
平成２６年度４月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26春 午後2 問題文]　　　[H26春 午後2 解答]

[平成２６年度春] 午後2 問2 解説②

[問題文・解答]

平成２６年度４月に実施された情報セキュリティスペシャリスト試験の午後２問題 問２の解説を２回に分けて行います。今回は２回目（後半）です。
平成２６年度４月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26春 午後2 問題文]　　　[H26春 午後2 解答]

[平成２６年度春] 午後2 問2 解説①

[問題文・解答]

平成２６年度４月に実施された情報セキュリティスペシャリスト試験の午後２問題 問２の解説を２回に分けて行います。今回は１回目（前半）です。
平成２６年度４月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26春 午後2 問題文]　　　[H26春 午後2 解答]

[問題概要]

題材は、公開Webサーバのコンテンツ改ざんの調査とその対策立案についてです。

概要は以下の通りで、今回は前半部分の解説を行います。
（前半部分）P.14〜P.20　設問1〜2該当範囲

• 金属加工業者D社では公開Webサーバやプロキシサーバ、メールサーバをDMZに配し、各種内部LAN上のPC・サーバ、CADシステム等からDMZを経由するネットワーク構成を構築している。
• 公開Webサーバにコンテンツの改ざんがあったことが発覚し、調査した結果、公開Webサーバの脆弱性を悪用して不正なスクリプトがコンテンツファイル中に埋め込まれていた。
• 公開Webサーバへの脆弱性修正プログラムの適用を行った後、従来FTPで行っていたコンテンツ更新方法の見直しを行う。

（後半部分）P.20下段〜P.25上段　設問3〜5該当範囲

• Webアクセスによるウイルス感染を減らすためにプロキシサーバの設定見直しを検討する。
• トラブル調査の迅速化を目的としてログの取得・管理方法の見直しを検討する。
• これまでメール送付で行っていた委託先へのCADデータ送信方法を再検討する。

[平成２６年度春] 午後2 問1 解説②

[問題文・解答]

平成２６年度４月に実施された情報セキュリティスペシャリスト試験の午後２問題 問１の解説を２回に分けて行います。今回は２回目（後半）です。
平成２６年度４月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26春 午後2 問題文]　　　[H26春 午後2 解答]

[平成２６年度春] 午後2 問1 解説①

[問題文・解答]

平成２６年度４月に実施された情報セキュリティスペシャリスト試験の午後２問題 問１の解説を２回に分けて行います。今回は１回目（前半）です。
平成２６年度４月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26春 午後2 問題文]　　　[H26春 午後2 解答]

[問題概要]

題材は、クレジットカード業界のセキュリティ基準として知られるPayment Card Industryデータセキュリティ基準(PCI DSS)についてです。

概要は以下の通りで、今回は前半部分の解説を行います。
（前半部分）P.3〜P.9　設問1〜2該当範囲

• 百貨店を展開するL社では、現在自社店舗でのみ利用できるクレジットカードを発行しているが、H社と提携した新しいカードの提供を予定しており、現行のクレジットカードサービスシステムの拡張・見直しを検討している。
• システム拡張にあたり、クレジットカードに関する情報を保護するセキュリティ基準として国際的に知られるPCI DSSに準拠するため現状の調査を実施する。
• 調査の結果、クレジットカード番号の取扱いについてPCI DSSに準拠していない（暗号化保存の未実施）ため、対策を検討する。

（後半部分）P.10〜P.12　設問3〜4該当範囲

• ワイヤレスアクセスポイントの有無を定期的に確認していない点もPCI CSSに準拠していないため、対策を検討する。
• 新システム導入に合わせて現行のデータベース構造を見直し、PCI DSS準拠方針に従った更なるセキュリティ改善を計る。

[平成２７年度秋] 午後2はどの問題を選択すれば良いか？

[問題文・解答]

平成２７年度１０月の情報セキュリティスペシャリスト 午後２試験の各問題を解いたうえでの個人的なオススメ問題について記載しています。
平成２７年度１０月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H27秋 午後2 問題文]　　　[H27秋 午後2 解答]

[平成２７年度秋] 午後2 問2 解説②

[問題文・解答]

平成２７年度１０月に実施された情報セキュリティスペシャリスト試験の午後２問題 問２の解説を２回に分けて行います。今回は２回目（後半）です。
平成２７年度１０月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H27秋 午後2 問題文]　　　[H27秋 午後2 解答]

[平成２７年度秋] 午後2 問2 解説①

[問題文・解答]

平成２７年度１０月に実施された情報セキュリティスペシャリスト試験の午後２問題 問２の解説を２回に分けて行います。今回は１回目（前半）です。
平成２７年度１０月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H27秋 午後2 問題文]　　　[H27秋 午後2 解答]

[問題概要]

題材は、クラウドサービスの利用とデータの管理についてです。

概要は以下の通りで、今回は前半部分の解説を行います。
（前半部分）P.16〜P.22上段　設問1〜3該当範囲

• Y社では、従業員用PCや委託先、取引先との間で各種データを共有するためにオンラインストレージサービス(Qサービス)の導入を決定し、試験導入を実施した。
• 試験導入においてマルウェア感染ファイルが拡散してしまう問題点が発覚したため、社内にQサービスと同期する専用サーバ(同期用FS)を設置し、同期用FS上でマルウェアスキャンを行う構成で全社での利用を開始した。
• １年後、重要顧客のJ社からJ社の開示する重要データの取扱いの厳重化について要求があった。
• J社から重要データは暗号化して保管することが求められたため、ノートPCのディスク暗号化について検討する。

（後半部分）P.22上段〜P.26上段　設問4〜6該当範囲

• Qサービス上に保管しているファイルの暗号化措置として、同期用FSの機能を拡張し、配下のファイルは全て暗号化して保存する暗号化フォルダ機能の導入を検討する。
• 暗号化フォルダ機能について社内レビューでマルウェア感染ファイルの拡散防止対策や暗号化されずに保存されてしまうファイルについての指摘を受けたため、修正案を作成する。

[平成２７年度秋] 午後2 問1 解説③

[問題文・解答]

平成２７年度１０月に実施された情報セキュリティスペシャリスト試験の午後２問題 問１の解説を３回に分けて行います。今回は３回目（終盤）です。
平成２７年度１０月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H27秋 午後2 問題文]　　　[H27秋 午後2 解答]

[平成２７年度秋] 午後2 問1 解説②

[問題文・解答]

平成２７年度１０月に実施された情報セキュリティスペシャリスト試験の午後２問題 問１の解説を３回に分けて行います。今回は２回目（中盤）です。
平成２７年度１０月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H27秋 午後2 問題文]　　　[H27秋 午後2 解答]

[平成２７年度秋] 午後2 問1 解説①

[問題文・解答]

平成２７年度１０月に実施された情報セキュリティスペシャリスト試験の午後２問題 問１の解説を３回に分けて行います。今回は１回目（序盤）です。
平成２７年度１０月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H27秋 午後2 問題文]　　　[H27秋 午後2 解答]

[問題概要]

題材は、マルウェアによる情報漏えいへの対策、シンクライアント技術及びその他のセキュリティ対策技術についてです。

概要は以下の通りで、今回は中盤部分の解説を行います。
（序盤部分）P.2〜P.7上段　設問1該当範囲

• A社では、社内の全PCをシンクライアント端末へ移行予定であり、マルウェア対策を考慮に入れた新しいシステム構成を設計中である。
• マルウェア感染のシナリオとしてメールの添付ファイル又はメール本文中のURLを開かせる事による感染を想定している。
• 設計案1は、複数に分けたネットワーク間の通信をFWで制限し、シンクライアント用サーバ(TCサーバ)から画面転送型でシンクライアントを利用する構成である。

（中盤部分）P.7中段〜P.9中段　設問2該当範囲

• 設計案1はマルウェア対策の要件を満たせない場合があるとの指摘を受ける。
• 設計案2として、Webアクセス用TCサーバとオフィス環境用TCサーバを用途によって使い分ける構成を提案する。

（終盤部分）P.9下段〜P.13　設問3〜5該当範囲

• 海外支店の行っている共同融資業務で、他の金融機関とオンラインストレージを用いたファイル共有が必要であるため、設計案2の修正が求められる。
• 海外支店専用のTCサーバ・ファイルサーバを用意する設計案3を提案する。
• 設計案3では、NWの帯域幅の問題から共同融資業務のパフォーマンス要件を満たすのが厳しいため、海外支店は例外的にシンクライアントに移行しない設計案4で運用することとした。

[平成２７年度春] 午後2はどの問題を選択すれば良いか？

[問題文・解答]

平成２７年度４月の情報セキュリティスペシャリスト 午後２試験の各問題を解いたうえでの個人的なオススメ問題について記載しています。
平成２７年度４月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H27春 午後2 問題文]　　　[H27春 午後2 解答]

[平成２７年度春] 午後2 問２ 解説②

[問題文・解答]

平成２７年度４月に実施された情報セキュリティスペシャリスト試験の午後２問題 問２の解説を２回に分けて行います。今回は２回目（後半）です。
平成２７年度４月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H27春 午後2 問題文]　　　[H27春 午後2 解答]

[平成２７年度春] 午後2 問２ 解説①

[問題文・解答]

平成２７年度４月に実施された情報セキュリティスペシャリスト試験の午後２問題 問２の解説を２回に分けて行います。今回は１回目（前半）です。
平成２７年度４月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H27春 午後2 問題文]　　　[H27春 午後2 解答]

[問題概要]

題材は、製造業における製造装置のLAN接続についてです。

概要は以下の通りで、今回は前半部分の解説を行います。
（前半部分）P.16〜P.22　設問1〜2該当範囲
・工場内の製造装置で利用される汎用OSの脆弱性攻撃への対策が必要となった。
・対策として工場内LANを事務系LANと製造系LANに分離し、両LAN間のデータ授受方式としてUSBメモリを利用することを検討。
・協力会社との製造情報共有のために、専用のサーバ（Kサーバ）構築が決定し、利用実施規定を作成する。
（後半部分）P.22下段〜P.26　設問3〜4該当範囲
・Kサーバ用の情報共有LANを構築し、マルウェア対策として製造系LANとは分離する。
・協力会社からのアクセスにはHTTPSを利用する。
・協力会社側の接続端末の認証にはクライアント証明書による認証方式を検討し、また証明書の失効処理も検討する。

[平成２７年度春] 午後2 問1 解説②

[問題文・解答]

平成２７年度４月に実施された情報セキュリティスペシャリスト試験の午後２問題 問１の解説を２回に分けて行います。今回は２回目（後半）です。
平成２７年度４月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H27春 午後2 問題文]　　　[H27春 午後2 解答]

[平成２７年度春] 午後2 問1 解説①

[問題文・解答]

平成２７年度４月に実施された情報セキュリティスペシャリスト試験の午後２問題 問１の解説を２回に分けて行います。今回は１回目（前半）です。
平成２７年度４月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H27春 午後2 問題文]　　　[H27春 午後2 解答]

[問題概要]

題材は、休暇明けのウイルス感染についてです。

概要は以下の通りで、今回は前半部分の解説を行います。
（前半部分）P.2〜P.8上段　設問1〜3該当範囲
・N社ではプロキシサーバでHTTPウイルススキャン、内部メールサーバでSMTPスキャンを実施している。
・DNSサーバや外部メールサーバは踏み台攻撃に利用されないよう対策をとっている。
・社内用PCの初期設定作業効率化の為に専用ネットワークの設置を検討・実施する。

（後半部分）P.8中段〜P.13　設問4〜6該当範囲
・社内PCが攻撃メールからマルウェアに感染したため、感染経路や問題点についての調査と対策を実施した。
・休暇明けにウイルス定義ファイルの更新が遅延してしまう問題があるため、対処として集中管理サーバの導入を検討する。
・採用・広報メールアドレス宛に届く攻撃メールへの対策として、メールでの問合せを止め、Webフォームによる問合せへの切替えを検討する。

[平成２８年度春] 午後2はどの問題を選択すれば良いか？

[問題文・解答]

平成２８年度４月の情報セキュリティスペシャリスト 午後２試験の各問題を解いたうえでの個人的なオススメ問題について記載しています。
平成２８年度４月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H28春 午後2 問題文]　　　[H28春 午後2 解答]

[平成２８年度春] 午後2 問2 解説②

[問題文・解答]

平成２８年度４月に実施された情報セキュリティスペシャリスト試験の午後２問題 問２の解説を２回に分けて行います。今回は２回目（後半）です。
平成２８年度４月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H28春 午後2 問題文]　　　[H28春 午後2 解答]

[問題概要]

題材は、モバイル端末のマルウェア感染についてです。

概要は以下の通りで、今回は後半部分の解説を行います。
（前半部分）P.15〜P.21中段　設問1〜3該当範囲

• Q社では社員がモバイルPCからクラウドサービスに接続して業務を行っている。
• モバイルPCのマルウェア検知が連続で発生したため調査した結果、PCが未知のマルウェアに感染しており、C&Cサーバにアクセスして別のマルウェアMを何度もダウンロードしていることが判明した。
• 更なる調査で未知のマルウェアはPCにインストール済みの標準ソフトの脆弱性を利用してWebサイトからドライブバイダウンロードされていた。
• Q社では当該PCから外部に送信されたHTTP通信のコンテンツサイズから外部へのPJ情報漏えいはないと判断した。

（後半部分）P.21中段〜P.26上段　設問4〜5該当範囲

• 委託元へ調査結果を報告したが更なる対応が必要となり追加調査を行った。
• マルウェア感染の再発防止策として標準ソフトの管理方法の見直しを行った。
• 未知マルウェアに感染した場合の対策としてブートイメージからの復元方法について検討した。

[平成２８年度春] 午後2 問2 解説①

[問題文・解答]

平成２８年度４月に実施された情報セキュリティスペシャリスト試験の午後２問題 問２の解説を２回に分けて行います。今回は１回目（前半）です。
平成２８年度４月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H28春 午後2 問題文]　　　[H28春 午後2 解答]

[問題概要]

題材は、モバイル端末のマルウェア感染についてです。

概要は以下の通りで、今回は前半部分の解説を行います。
（前半部分）P.15〜P.21中段　設問1〜3該当範囲

• Q社では社員がモバイルPCからクラウドサービスに接続して業務を行っている。
• モバイルPCのマルウェア検知が連続で発生したため調査した結果、PCが未知のマルウェアに感染しており、C&Cサーバにアクセスして別のマルウェアMを何度もダウンロードしていることが判明した。
• 更なる調査で未知のマルウェアはPCにインストール済みの標準ソフトの脆弱性を利用してWebサイトからドライブバイダウンロードされていた。
• Q社では当該PCから外部に送信されたHTTP通信のコンテンツサイズから外部へのPJ情報漏えいはないと判断した。

（後半部分）P.21中段〜P.26上段　設問4〜5該当範囲

• 委託元へ調査結果を報告したが更なる対応が必要となり追加調査を行った。
• マルウェア感染の再発防止策として標準ソフトの管理方法の見直しを行った。
• 未知マルウェアに感染した場合の対策としてブートイメージからの復元方法について検討した。

[平成２８年度春] 午後2 問1 解説②

[問題文・解答]

平成２８年度４月に実施された情報セキュリティスペシャリスト試験の午後２問題 問１の解説を２回に分けて行います。今回は２回目（後半）です。
平成２８年度４月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H28春 午後2 問題文]　　　[H28春 午後2 解答]

[問題概要]

題材は、CSIRT構築とセキュリティ設計についてです。

概要は以下の通りで、今回は後半部分の解説を行います。

（前半部分）P.3〜P.7上段　設問1〜2該当範囲

• A社ではセキュリティポリシを定め、IRT(Incident Response Team: インシデント対応チーム)を設置・運用しているが、十分に機能していない。
• 大きなインシデントが発生したため、現状のインシデント対応について問題を調査し、改善を計る。

（後半部分）P.7中段〜P.14上段　設問3〜6該当範囲

• 社内のLDAPサーバに大量のログイン試行のログがあり、調査を実施した結果、社内PCが攻撃メールからマルウェアに感染していた。
• 対策として、サーバへのアクセスを制限するための運用管理LANの新設などのセキュリティ設計の見直しを実施する。
• 社内機器への脆弱性修正プログラムの適用漏れに起因するインシデントを防ぐために脆弱性情報を効率的に収集・把握することを検討する。

[平成２８年度春] 午後2 問1 解説①

[問題文・解答]

平成２８年度４月に実施された情報セキュリティスペシャリスト試験の午後２問題 問１の解説を２回に分けて行います。今回は１回目（前半）です。
平成２８年度４月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H28春 午後2 問題文]　　　[H28春 午後2 解答]

[問題概要]

題材は、CSIRT構築とセキュリティ設計についてです。

概要は以下の通りで、今回は前半部分の解説を行います。

（前半部分）P.3〜P.7上段　設問1〜2該当範囲

• A社ではセキュリティポリシを定め、IRT(Incident Response Team: インシデント対応チーム)を設置・運用しているが、十分に機能していない。
• 大きなインシデントが発生したため、現状のインシデント対応について問題を調査し、改善を計る。

（後半部分）P.7中段〜P.14上段　設問3〜6該当範囲

• 社内のLDAPサーバに大量のログイン試行のログがあり、調査を実施した結果、社内PCが攻撃メールからマルウェアに感染していた。
• 対策として、サーバへのアクセスを制限するための運用管理LANの新設などのセキュリティ設計の見直しを実施する。
• 社内機器への脆弱性修正プログラムの適用漏れに起因するインシデントを防ぐために脆弱性情報を効率的に収集・把握することを検討する。

[午前2問題]頻出問題リスト⑦

[午前2問題について]

情報セキュリティスペシャリストの午前2問題では、４０分間で２５問の選択問題に解答し、６割以上の得点を取る必要があります。つまり、単純計算で２５問中１５問以上正解する必要があります。各回の問題の難易度の違いを吸収するために、受験者の平均点などによって、ある程度下駄を履かせたり履かせなかったりすることはあると思いますが、やはり１５問以上は確実に正解しておきたいところです。

[午前2問題]頻出問題リスト⑥

[午前2問題について]

情報セキュリティスペシャリストの午前2問題では、４０分間で２５問の選択問題に解答し、６割以上の得点を取る必要があります。つまり、単純計算で２５問中１５問以上正解する必要があります。各回の問題の難易度の違いを吸収するために、受験者の平均点などによって、ある程度下駄を履かせたり履かせなかったりすることはあると思いますが、やはり１５問以上は確実に正解しておきたいところです。

[午前2問題]頻出問題リスト⑤

[午前2問題について]

情報セキュリティスペシャリストの午前2問題では、４０分間で２５問の選択問題に解答し、６割以上の得点を取る必要があります。つまり、単純計算で２５問中１５問以上正解する必要があります。各回の問題の難易度の違いを吸収するために、受験者の平均点などによって、ある程度下駄を履かせたり履かせなかったりすることはあると思いますが、やはり１５問以上は確実に正解しておきたいところです。

[午前2問題]頻出問題リスト④

[午前2問題について]

情報セキュリティスペシャリストの午前2問題では、４０分間で２５問の選択問題に解答し、６割以上の得点を取る必要があります。つまり、単純計算で２５問中１５問以上正解する必要があります。各回の問題の難易度の違いを吸収するために、受験者の平均点などによって、ある程度下駄を履かせたり履かせなかったりすることはあると思いますが、やはり１５問以上は確実に正解しておきたいところです。

[午前2問題]頻出問題リスト③

[午前2問題について]

情報セキュリティスペシャリストの午前2問題では、４０分間で２５問の選択問題に解答し、６割以上の得点を取る必要があります。つまり、単純計算で２５問中１５問以上正解する必要があります。各回の問題の難易度の違いを吸収するために、受験者の平均点などによって、ある程度下駄を履かせたり履かせなかったりすることはあると思いますが、やはり１５問以上は確実に正解しておきたいところです。

[午前2問題]頻出問題リスト②

[午前2問題について]

情報セキュリティスペシャリストの午前2問題では、４０分間で２５問の選択問題に解答し、６割以上の得点を取る必要があります。つまり、単純計算で２５問中１５問以上正解する必要があります。各回の問題の難易度の違いを吸収するために、受験者の平均点などによって、ある程度下駄を履かせたり履かせなかったりすることはあると思いますが、やはり１５問以上は確実に正解しておきたいところです。

[午前2問題]頻出問題リスト①

[午前2問題について]

情報セキュリティスペシャリストの午前2問題では、４０分間で２５問の選択問題に解答し、６割以上の得点を取る必要があります。つまり、単純計算で２５問中１５問以上正解する必要があります。各回の問題の難易度の違いを吸収するために、受験者の平均点などによって、ある程度下駄を履かせたり履かせなかったりすることはあると思いますが、やはり１５問以上は確実に正解しておきたいところです。

[平成２６年度春] 午後1はどの問題を選択すれば良いか？

[問題文・解答]

平成２６年度４月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26春 午後1 問題文]　　　[H26春 午後1 解答]

情報セキュリティスペシャリスト試験の午後１試験では３問中２問を選択する必要があります。
90分という限られた時間内で問題を選択し、一通り解答する必要があるため、短時間で解きやすい問題や自分に合った問題を選択できる能力は重要となります。
理想は、問題文をざっと眺めるだけでおおよその難易度予想が出来るようになることだと思います。
以下では、各問題を解いたうえでの個人的なオススメ問題について記載しています。

[平成２６年度春] 午後1 問2 解説

[問題文・解答]

平成２６年度４月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26春 午後1 問題文]　　　[H26春 午後1 解答]

[問題概要]

題材は、迷惑メール対策についてです。
社内から迷惑メールが増加しているとの報告があり調査した結果、迷惑メール対策装置を経由せずにメールが転送されていたことが発覚したため、社内のネットワーク構成を修正するとともに、迷惑メール装置のフィルタリングルールについても見直すという内容です。
一部知らないと答えるのが困難な問題があり、その他の設問もある程度の知識と読解力が要求される問題です。難易度は普通〜やや高めです。

[平成２６年度春] 午後1 問3 解説

[問題文・解答]

平成２６年度４月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26春 午後1 問題文]　　　[H26春 午後1 解答]

[問題概要]

題材は、ネットバンキングサービスを狙うマルウェア対策についてです。
ネットバンキングサービスを悪用するマルウェアが２つ続いて報告され、それぞれのマルウェアのサービスへの影響と新しいセキュリティ対策を検討する、という内容です。
専門知識が必要な問題はそう多くありませんが、記述問題は各設問とも解答が簡単ではなく、問題文の理解と想像力が必要とされます。難易度はやや高めです。

[平成２６年度春] 午後1 問1 解説

[問題文・解答]

平成２６年度４月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26春 午後1 問題文]　　　[H26春 午後1 解答]

[問題概要]

題材は、Webアプリケーションの脆弱性についてです。
画像ファイルのオンライン共有ストレージサービスの開発にあたり、セッションIDの管理や画像ファイルの識別、画像変換プログラムの不具合や脆弱性について検討・修正を行うという内容です。
プログラミングやオーバフローに関する知識が必要とされるため、難易度はやや高めです。

[平成２６年度秋] 午後1はどの問題を選択すれば良いか？

[問題文・解答]

平成２６年度４月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26秋 午後1 問題文]　　　[H26秋 午後1 解答]

情報セキュリティスペシャリスト試験の午後１試験では３問中２問を選択する必要があります。
90分という限られた時間内で問題を選択し、一通り解答する必要があるため、短時間で解きやすい問題や自分に合った問題を選択できる能力は重要となります。
理想は、問題文をざっと眺めるだけでおおよその難易度予想が出来るようになることだと思います。
以下では、各問題を解いたうえでの個人的なオススメ問題について記載しています。

[平成２６年度秋] 午後1 問3 解説

[問題文・解答]

平成２６年度10月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26秋 午後1 問題文]　　　[H26秋 午後1 解答]

[問題概要]

題材は、マルウェア感染への対応についてです。
社内ネットワークのPCからマルウェアが検出されたため、感染経路・被害の調査を行うとともに、今後の対策として社内機器のフィルタリングルールやアクセス制御、パスワード格納の設定を見直すという内容です。
フィルタリングルールやハッシュに関する知識が必要とされ、読解力も問われる問題です。難易度は普通〜やや高めです。

[平成２６年度秋] 午後1 問2 解説

[問題文・解答]

平成２６年度１０月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26秋 午後1 問題文]　　　[H26秋 午後1 解答]

[問題概要]

題材は、代理店販売支援システムの利用者認証についてです。
代理店販売支援システムの拡張にあたり、セキュリティ強化の方針として利用者認証強化、アクセス端末の限定、利用ガイドラインの作成について設計・検討するという内容です。
暗号アルゴリズムやディジタル証明書の知識は若干必要とされますが、そこまで難しい設問は無いため、難易度は普通です。

[平成２６年度秋] 午後1 問1 解説

[問題文・解答]

平成２６年度１０月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26秋 午後1 問題文]　　　[H26秋 午後1 解答]

[問題概要]

題材は、スマホのルート特権化についてです。
スマホのルート特権化の手段としてよく利用されるバッファオーバーフロー攻撃の詳細と対策について調査する、という内容です。
単語を知らないと答えられない設問が多く、記述問題も解答しづらい設問が多いです。難易度は高めです。

[平成２７年度秋] 午後1はどの問題を選択すれば良いか？

[問題文・解答]

平成２7年度１０月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H27秋 午後1 問題文]　　　[H27秋 午後1 解答]

情報セキュリティスペシャリスト試験の午後１試験では３問中２問を選択する必要があります。
90分という限られた時間内で問題を選択し、一通り解答する必要があるため、短時間で解きやすい問題や自分に合った問題を選択できる能力は重要となります。
理想は、問題文をざっと眺めるだけでおおよその難易度予想が出来るようになることだと思います。
以下では、各問題を解いたうえでの個人的なオススメ問題について記載しています。

[平成２７年度秋] 午後1 問3 解説

[問題文・解答]

平成２7年度１０月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H27秋 午後1 問題文]　　　[H27秋 午後1 解答]

[問題概要]

題材は、Webサイトにおけるインシデント対応についてです。
WebサイトにおいてDMZのサーバに不正侵入され、内部情報を取得しようとする攻撃を受けます。各種ログから侵入経路・原因を調査し、対策を講じるという内容です。
深い知識は不要ですが、FWフィルタリングやHTTPなど広く浅い知識があると解きやすい問題です。知識が無くても、問題文を読んでしっかり理解すれば解ける設問が多く、難易度は普通〜やや高めです。

[平成２７年度秋] 午後1 問2 解説

[問題文・解答]

平成２7年度１０月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H27秋 午後1 問題文]　　　[H27秋 午後1 解答]

[問題概要]

題材は、特権IDの管理についてです。
顧客情報管理システムの保守作業を委託しているが、委託用の特権IDの取扱いに以下の３点の問題があり、対策を検討するという内容です。
・IDが共用されており、使用者が特定出来ない恐れがある
・特権IDのアクセス制御が不十分で作業対象サーバ以外へのアクセスができてしまう
・作業計画と実際の操作履歴との突合チェックがない
専門知識はほとんど必要とされませんが、問題文をよく読み、想像力を働かせる必要がある問題がいくつかあるため、難易度は普通〜やや高めです。

[平成２７年度秋] 午後1 問1 解説

[問題文・解答]

平成２7年度１０月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H27秋 午後1 問題文]　　　[H27秋 午後1 解答]

[問題概要]

題材は、ソフトウェアの脆弱性への対応についてです。
ネット通販システムのWebサーバで使用しているWebアプリケーションフレームワークに脆弱性が発見され、対策を検討・実施するという内容です。
情報セキュリティの3要素や正規表現、フォールスポジティブなど基本的な知識があれば、後は問題文を読めば解答が予想出来る問題が多く、難易度は普通です。

[平成２７年度春] 午後1はどの問題を選択すれば良いか？

[問題文・解答]

平成２7年度４月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H27春 午後1 問題文]　　　[H27春 午後1 解答]

情報セキュリティスペシャリスト試験の午後１試験では３問中２問を選択する必要があります。
90分という限られた時間内で問題を選択し、一通り解答する必要があるため、短時間で解きやすい問題や自分に合った問題を選択できる能力は重要となります。
理想は、問題文をざっと眺めるだけでおおよその難易度予想が出来るようになることだと思います。
以下では、各問題を解いたうえでの個人的なオススメ問題について記載しています。

[平成２７年度春] 午後1 問2 解説

[問題文・解答]

平成２7年度４月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H27春 午後1 問題文]　　　[H27春 午後1 解答]

[問題概要]

題材は、情報漏洩インシデントの調査です。
セキュリティ情報共有団体からの連絡で社内機器がC&Cサーバと通信していた事が判明。調査の結果、ある従業員の業務PCがマルウェアに感染し、プロキシサーバを経由してC&Cサーバにアクセスしていた事が分かり、暫定対応や再発防止策を実施するという内容です。
難易度はやや高めの問題だと思います。

[平成２７年度春] 午後1 問3 解説

[問題文・解答]

平成２7年度４月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H27春 午後1 問題文]　　　[H27春 午後1 解答]

[問題概要]

題材は、パスワードへの攻撃です。
ショッピングサイトが大量のログイン試行により一部ユーザのIDとパスワードが破られるという攻撃を受けます。当該サイトでは以下のアカウント管理の問題点があり、改善案と改善案実装までの暫定処置について検討するという内容です。
・パスワードが数字6桁（固定長）と強度が不十分
・パスワードがハッシュ化しただけで保存している
難易度はやや低めの問題だと思います。

[平成２７年度春] 午後1 問1 解説

[問題文・解答]

平成２7年度４月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H27春 午後1 問題文]　　　[H27春 午後1 解答]

[問題概要]

題材は、Webサイトの脆弱性と対策についてです。
脆弱性検査サービス会社の社内技能試験で、受験者が試験用Webサイトを操作後、HTTPヘッダインジェクションやセッションフィクセーションなどのWebサイトが持つ脆弱性を指摘し、対策を提案するという内容です。
HTMLやHTTPヘッダインジェクション等の知識が必要とされ、難易度はやや高めです。

[平成２８年度春] 午後1はどの問題を選択すれば良いか？

[問題文・解答]

平成２８年度４月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H28春 午後1 問題文]　　　[H28春 午後1 解答]

情報セキュリティスペシャリスト試験の午後１試験では３問中２問を選択する必要があります。
90分という限られた時間内で問題を選択し、一通り解答する必要があるため、短時間で解きやすい問題や自分に合った問題を選択できる能力は重要となります。
理想は、問題文をざっと眺めるだけでおおよその難易度予想が出来るようになることだと思います。
以下では、各問題を解いたうえでの個人的なオススメ問題について記載しています。

[平成２８年度春] 午後1 問２ 解説

[問題文・解答]

平成２８年度４月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H28春 午後1 問題文]　　　[H28春 午後1 解答]

[問題概要]

題材はDMZ上の機器のセキュリティです。
情報セキュリティ強化のため、DMZに設置しているプロキシサーバや外部メールサーバの設定を確認したところ、DNSキャッシュポイズニング攻撃やマルウェア感染の脅威に対する脆弱性が見つかり、対策を実施するという内容です。
単語を知らないと答えられない問題が多く、難易度はやや高めです。

[平成２８年度春] 午後1 問３ 解説

[問題文・解答]

平成２８年度４月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H28春 午後1 問題文]　　　[H28春 午後1 解答]

[問題概要]

題材はショッピングサイト用スマホアプリとサーバ間の認証です。
開発中のショッピングサイトサーバと専用のスマホアプリでは、スマホアプリが商用認証局から発行されたサーバ証明書を使ってサーバの認証を行います。
検証試験として、試験環境でサーバ証明書に以下の３つの不正箇所がある場合にちゃんとスマホアプリが認証エラーとなるかどうかを確認しています。
・発行者不正
・有効期間不正
・サブジェクトのコモンネーム不正
設問のほとんどが「文中の字句を用いて答えよ」系で、複雑な内容を問われる設問も少ないため、あまり知識が無くても問題文をよく読めば６割は確実に取れる難易度低めの問題と思います。

[平成２８年度春] 午後1 問1 解説

[問題文・解答]

平成２８年度４月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H28春 午後1 問題文]　　　[H28春 午後1 解答]

[問題概要]

問題の題材は懸賞応募のWebサイトの脆弱性です。
主なキーワードはXSS（クロスサイトスクリプティング）とCSRF（クロスサイトリクエストフォージェリ）。
開発中のWebサイトの脆弱性検査で、これらの脆弱性が指摘され、その修正を実施すると共に今後の開発時に同様の脆弱性が組み込まれないように再発防止策を検討するという内容です。
3つある設問ではそれぞれ以下の内容が問われます。
設問1：XSS脆弱性と修正方法
設問2：CSRF脆弱性と修正方法
設問3：脆弱性の再発防止策
XSSやCSRFの知識はもちろん、HTMLの知識も多少必要とされる難易度高めの問題だと思います。