2015/04/24(金)情報セキュリティスペシャリスト試験の反省

「アイテック」と「TAC」で解答が出たので、試験勉強期間1週間で挑んだ4月19日の試験の反省です。午後の試験の点数は「TAC」の配点予想を参考につけました。

午前I:免除

午前II:18/25(72点)で合格。

問01:EV SSL証明書はとったことがなくて普通に間違えました。ちょこっと参考書を見直していれば正解できた問題。

問03:Unicode絡みのライブラリを作っていれば間違えるわけがない問題。

問04:VA(Validation Authority)の役割を勉強していなくて不正解。

問08:「ア」と「ウ」で迷って直前で「ウ」に変えて正解。「電子政府推奨暗号リスト」でOK。

問09:「ウ」か「エ」で悩んで「エ」を選んで不正解。AHは暗号化の機能をもっていないらしい。

問10:ntpdの脆弱性情報が出てて自分も確認していたのですが不正解。「JPCERT/CC」で「ntpd の monlist 機能を使った DDoS 攻撃に関する注意喚起」が出ていますね。

問18:恥ずかしながら「送信元IPアドレス」を選んで不正解。「送信元IPアドレス」は「IPヘッダ」にあるようです。

問21:勘で正解。

問22:共通フレーム知らんがな。(´・ω・`)

問24:コールドアイル -> 冷たい通路? で「ウ」を選んで正解。英単語覚えててラッキー。

問25:なんのこっちゃで不正解。

午後I:問1と問3を選択。惜しい解答で1点ももらえない場合は不合格の場合もあるという出来具合。(59点~70点)

問1:35点~40点ぐらい

設問1:OK。

設問2:(1):改行を1つしか書いてなくて不正解。(3):「ヘッダー中の不適切な文字列を無害化する」という主旨の回答を書いたけど、もう少し具体的に書いたほうが良かっただろうか。設問3:(2):WebアプリがセッションIDでユーザを識別して、かつ、JがKと同じセッションIDを(ry(多分OKでしょう)(3):遷移毎にセッションIDを更新する主旨の回答をしました。(ユーザが次から次へとやってくるという考えで「遷移毎」と書いたと思って採点して欲しい)

問3:24点~30点ぐらい

設問1:大体模範解答通り。攻撃方法を具体的にと書いてあったので、リバースブルートフォース攻撃と書いてみました。でも、特定できたパスワードでリバースブルートフォース攻撃をするのは効率が悪いだろうか。しかし、ハッシュ値から特定できたパスワードと同じパスワードということは、それなりにありふれたパスワードである確率が高いので、効率が悪すぎてどうしようもないということもないレベルか。「リバースブルートフォース攻撃」と書いたのが余計で若干の減点は免れないと思われます。

設問2:(2)で「単位時間あたり」と書いた記憶がない! それ以外は完璧。

設問3:時間が足りなかった「e」以外は正解。

設問4:利用者IDを解答に含めるべきかで悩んで結局含めず。それ以外は大体模範解答通りなのですが、またしても「攻撃方法を具体的に」に惑わされ、文末に「リバースブルートフォース攻撃」と書いてしまいました。利用者IDにメールアドレスを使っていると書いてあるので、別のサイトで漏洩したパスワードを使って「リバースブルートフォース攻撃」をするにはかなり効率が悪いでしょう。(減点)

午後II:問1でDNSSECは書けたけど、オープンリゾルバを知らなかったので、途中で問2に切り替えました。(69点~88点)

設問1:OK。(8点)

設問2:(10点~18点)(1)(8点~12点) b:スクリーンをロック c:他者に推測されにくい(これでもいいでしょう) d:使われないように(ほぼイコール「知られないように」なので正解のはず)

(2)解答するにはやや情報が足りないように感じて少々悩みました。(2点~6点ぐらい)「脆弱性修正プログラムの動作検証を行い、脆弱性修正プログラムを適用する」というようなことを書きました。

設問3:OK。(16点)

設問4:(35点~46点)(1):OK。(16点)(2):「アイテック」と「TAC」で答えが分かれていますが、3問以上正解は確実。(12点~16点)(3):一番難しかった問題。K工場と協力会社は協力関係にあって悪意ある行動はとらない云々と書きましたがバツでしょうね。(0点)(4):1つは「証明書の秘密鍵が漏えいした場合」と書いて正解。もう1つは「協力会社が接続端末を売却や廃棄やリプレースした場合」と書きましたが微妙ですかね。(7点~14点)

合格か否かは午後Iでどれだけ減点を免れることができるかにかかっています!