情報セキュリティスペシャリスト Part4
情報セキュリティスペシャリスト試験(SC : Information Security Specialist Examination)
旧テクセ+旧セキュアド
高度IT人材として確立した専門分野をもち、情報システムの企画・要件定義・開発・運用・保守において、
情報セキュリティポリシに準拠してセキュリティ機能の実現を支援し、又は情報システム基盤を整備し、
情報セキュリティ技術の専門家として情報セキュリティ管理を支援する者
情報処理技術者試験センター
http://www.jitec.jp/index.html
平成21年春開始!
旧テクセ+旧セキュアド
高度IT人材として確立した専門分野をもち、情報システムの企画・要件定義・開発・運用・保守において、
情報セキュリティポリシに準拠してセキュリティ機能の実現を支援し、又は情報システム基盤を整備し、
情報セキュリティ技術の専門家として情報セキュリティ管理を支援する者
情報処理技術者試験センター
http://www.jitec.jp/index.html
平成21年春開始!
|
|
|
3 :名無し検定1級さん:2009/04/19(日) 21:36:15
>>1乙。
早速さらします。
午後IIは、問1、問2両方やってみて問1に○つけた。
あきらかに間違っている解答もあるが、
まあ6〜7割はいけてるんじゃない?
問1
設問1
a128 bMD5 cハッシュ値 fディジタル
設問2
問題:ウイルス定義ファイルが古いままになりウイルスに感染する。
対策:社内ネットワーク接続時にウイルス定義ファイルが最新かチェックする。
設問3
・業務に関係のないソフトをインストールしない。
・他人にテレワークPCを利用させない。
設問4
推測した秘密鍵を用いて対象データのハッシュ値を暗号化したものを
署名として送信すると、受信側はそのデータを正当なものと判断してしまう。
設問5
(1)自営CAが発行する公開鍵証明書が偽造できるので、
偽の注文票に正当な署名をつけて送信される。
(2)dイ eケ
(3)発行だけでなく失効や鍵の交換についても定めておく。
設問6
問題:署名の検証が失敗する。
理由:受信側がA社自営CAを信頼しない又は接続できないから。
つづく。
早速さらします。
午後IIは、問1、問2両方やってみて問1に○つけた。
あきらかに間違っている解答もあるが、
まあ6〜7割はいけてるんじゃない?
問1
設問1
a128 bMD5 cハッシュ値 fディジタル
設問2
問題:ウイルス定義ファイルが古いままになりウイルスに感染する。
対策:社内ネットワーク接続時にウイルス定義ファイルが最新かチェックする。
設問3
・業務に関係のないソフトをインストールしない。
・他人にテレワークPCを利用させない。
設問4
推測した秘密鍵を用いて対象データのハッシュ値を暗号化したものを
署名として送信すると、受信側はそのデータを正当なものと判断してしまう。
設問5
(1)自営CAが発行する公開鍵証明書が偽造できるので、
偽の注文票に正当な署名をつけて送信される。
(2)dイ eケ
(3)発行だけでなく失効や鍵の交換についても定めておく。
設問6
問題:署名の検証が失敗する。
理由:受信側がA社自営CAを信頼しない又は接続できないから。
つづく。
午後のIPA回答ってまだまだ先?
5 :939:2009/04/19(日) 21:36:19
9しね
こっちでいいんだよな・・・
7 :名無し検定1級さん:2009/04/19(日) 21:36:42
じゃこっちあげ。
つづき。こっちが却下した問2の回答
問2
設問1
(1)セキュリティ委員会
(2)プログラムの修正に対応してもらえない
又は別途費用を請求される。
発生した損害の補償を要求できない。
設問2
(1)b維持審査 cNTP
(2)ウイルス対策ソフトのログを収集して確認する。
(3)必要なサービスが使用するもの以外のポートに対しての
コネクション要求が拒否されること。
(4)災害などでサーバ室が被害を受けた際にバックアップを含めた
全データが失われるリスク。
(5)対策者がテストをすると観点に漏れが生じやすいから。
設問3
(1)DDoSのようにシグネチャでは攻撃かどうか区別がつかないものがある。
(2)正当なアクセスで脆弱性を突かれるとWAFでは防ぐことができない。
設問4
(1)ア
(2)DBサーバにアクセス可能な従業員と機密保持契約を結ぶ。
設問5
対策の実施状況と効果をチェックし、
それに応じた適切なアクションを実施する。
問2
設問1
(1)セキュリティ委員会
(2)プログラムの修正に対応してもらえない
又は別途費用を請求される。
発生した損害の補償を要求できない。
設問2
(1)b維持審査 cNTP
(2)ウイルス対策ソフトのログを収集して確認する。
(3)必要なサービスが使用するもの以外のポートに対しての
コネクション要求が拒否されること。
(4)災害などでサーバ室が被害を受けた際にバックアップを含めた
全データが失われるリスク。
(5)対策者がテストをすると観点に漏れが生じやすいから。
設問3
(1)DDoSのようにシグネチャでは攻撃かどうか区別がつかないものがある。
(2)正当なアクセスで脆弱性を突かれるとWAFでは防ぐことができない。
設問4
(1)ア
(2)DBサーバにアクセス可能な従業員と機密保持契約を結ぶ。
設問5
対策の実施状況と効果をチェックし、
それに応じた適切なアクションを実施する。
おつ
10 :名無し検定1級さん:2009/04/19(日) 21:37:23
今までの試験だったら、相対評価で各試験で半分落とされたから
0.5×0.5×0.5 = 0.125
よって12〜13%の合格率付近で推移してきた。
(多少、年度によりバラツキはあるが)
今回、試験が4つにバラけたことにより、
0.6×0.6×0.6×0.6 = 0.1296
つまり、各試験6割くらいの通過率と予想していたが
受験した感じは以下のような感じか。
0.55×0.7×0.65×0.6 = 0.15
午前Tは簡単という意見があったが、まんべんなく広い範囲から
出題されており、対策していない人にとっては60%といっても
取得は難しいのでは。2chに書き込んでいる人はそこそこ
取れていると思うが、結構できてない人はできていない。
今回、私が受けた会場では受験率が以上に高かった(欠席が
少なかった)。初回試験ということでとりあえず受けようという
人が多かったと思うのだが、そういう人はやはり落とされている
と思う。
午前Uはやはり簡単であった。少し過去問/対策本を見ていれば
余裕で合格ラインに届くような問題。よって7割は通過するかと。
午後Tは例年旗門になるが、今年は問題が少なくなっただけで
問題レベルが上がったわけでもないのでやはり簡単になった感はある。
よって6割5分は通過と。
午後Uはいつもと同じで、時間は十分。レベル的にも答えられない
ことはないのだが、解釈がいろいろあって悩ましい。
採点方法によるのかもしれないが、当初予想通り6割通過とした。
0.5×0.5×0.5 = 0.125
よって12〜13%の合格率付近で推移してきた。
(多少、年度によりバラツキはあるが)
今回、試験が4つにバラけたことにより、
0.6×0.6×0.6×0.6 = 0.1296
つまり、各試験6割くらいの通過率と予想していたが
受験した感じは以下のような感じか。
0.55×0.7×0.65×0.6 = 0.15
午前Tは簡単という意見があったが、まんべんなく広い範囲から
出題されており、対策していない人にとっては60%といっても
取得は難しいのでは。2chに書き込んでいる人はそこそこ
取れていると思うが、結構できてない人はできていない。
今回、私が受けた会場では受験率が以上に高かった(欠席が
少なかった)。初回試験ということでとりあえず受けようという
人が多かったと思うのだが、そういう人はやはり落とされている
と思う。
午前Uはやはり簡単であった。少し過去問/対策本を見ていれば
余裕で合格ラインに届くような問題。よって7割は通過するかと。
午後Tは例年旗門になるが、今年は問題が少なくなっただけで
問題レベルが上がったわけでもないのでやはり簡単になった感はある。
よって6割5分は通過と。
午後Uはいつもと同じで、時間は十分。レベル的にも答えられない
ことはないのだが、解釈がいろいろあって悩ましい。
採点方法によるのかもしれないが、当初予想通り6割通過とした。
11 :名無し検定1級さん:2009/04/19(日) 21:37:50
こっちで
13 :名無し検定1級さん:2009/04/19(日) 21:38:08
午前T免除だからって余裕ぶっこいてたら遅刻したwwwww
14 :名無し検定1級さん:2009/04/19(日) 21:38:25
午後問題は回答欄全部埋めたけど、教科書的な回答が全然できなかった
採点のされ方次第だなぁ
採点のされ方次第だなぁ
フォーラム8のエレベータうぜぇ
なんだよ4F止まりって
なんだよ4F止まりって
16 :名無し検定1級さん:2009/04/19(日) 21:39:33
>>10
に同意した
に同意した
受験票の封筒ごと無くした…
せめてIDとパスワードだけでも控えときゃよかった
せめてIDとパスワードだけでも控えときゃよかった
午後2上位6割か。。。厳しいなw
午前T 17/33
午前II 28/30
/(^o^)\まさか午前Tでオワタとは
午後問題で散々悩んで回答したのが水の泡に
午前舐め切って大して対策しないで午後ばっかやってたせいだな
どうかマークシート記入間違えて午前T通っててくれ・・・
午前II 28/30
/(^o^)\まさか午前Tでオワタとは
午後問題で散々悩んで回答したのが水の泡に
午前舐め切って大して対策しないで午後ばっかやってたせいだな
どうかマークシート記入間違えて午前T通っててくれ・・・
はぁみんなの答えを見てると鬱になるわ・・・
どうしたらそう適切な言葉がびしびしと出てくるのかねorz
どうしたらそう適切な言葉がびしびしと出てくるのかねorz
>>20
お前なんの試験受けたの?
お前なんの試験受けたの?
フォーラム8
室内女性受験者1名。
この男女比はフォーラムだけだったのか。
室内女性受験者1名。
この男女比はフォーラムだけだったのか。
>>20
何の試験受けてきたんだ?
何の試験受けてきたんだ?
25 :名無し検定1級さん:2009/04/19(日) 21:43:05
>>20
だよな! 午前Tは第一関門にしては難しい
だよな! 午前Tは第一関門にしては難しい
>>20
どこの試験だ?
どこの試験だ?
午後2はなあ・・・、答えられないってことはないのだが、いつも微妙に
ずれた解答して失敗する。
ずれた解答して失敗する。
28 :名無し検定1級さん:2009/04/19(日) 21:43:20
ねーちゃんなんか一人もいねえ!
30 :名無し検定1級さん:2009/04/19(日) 21:44:21
正解不正解はともかく、時間が余りまくった。
午後1なんかすげー楽になった。ゆとり教育ですかね
午後1なんかすげー楽になった。ゆとり教育ですかね
32 :名無し検定1級さん:2009/04/19(日) 21:44:25
>>27
わかる!! その感じ!
わかる!! その感じ!
フォーラム8は女いなかったなー
スタッフ以外には1人も見つけられなかったよ
スタッフ以外には1人も見つけられなかったよ
会場こんなんだった・・・
人空空俺空人
人人空空空人
人人空人人人
人空空俺空人
人人空空空人
人人空人人人
35 :名無し検定1級さん:2009/04/19(日) 21:44:52
午前Uの答え合わせをしたいのですが、ipaのサイトがずっとService Temporarily Unavailableで接続できません(T_T)
皆さんすぐアクセスできましたか?
皆さんすぐアクセスできましたか?
午後Iは2と4をやりだして途中で4やめて3にしたわ。
時間がありすぎるがゆえにできる技だな。
時間がありすぎるがゆえにできる技だな。
>>20
お前は何と闘っているんだ?
お前は何と闘っているんだ?
38 :名無し検定1級さん:2009/04/19(日) 21:45:34
39 :名無し検定1級さん:2009/04/19(日) 21:46:01
>>34
ぼっちwwwwww
ぼっちwwwwww
俺の部屋は性別不明者が5人くらいいた
多分皆男だけど
多分皆男だけど
午後1は過去問といてるときは1問15分ぐらいで終わるのに
本番になると30分かけても終わりゃしねえ!
本番になると30分かけても終わりゃしねえ!
>>35
593 名前:名無し検定1級さん[sage] 投稿日:2009/04/19(日) 18:13:27
IPA公式解答例
午前1
問1 ア 問11 ウ 問21 ウ
問2 ウ 問12 イ 問22 イ
問3 イ 問13 ア 問23 ア
問4 エ 問14 イ 問24 エ
問5 エ 問15 ウ 問25 ア
問6 ウ 問16 イ 問26 イ
問7 イ 問17 イ 問27 ウ
問8 イ 問18 ア 問28 イ
問9 ウ 問19 エ 問29 ウ
問10 ア 問20 ア 問30 イ
午前2
問1 イ 問11 イ 問21 ア
問2 ア 問12 エ 問22 エ
問3 エ 問13 ウ 問23 イ
問4 イ 問14 イ 問24 ウ
問5 ウ 問15 イ 問25 エ
問6 ア 問16 エ
問7 ア 問17 ア
問8 ウ 問18 ウ
問9 ア 問19 エ
問10 ア 問20 ウ
593 名前:名無し検定1級さん[sage] 投稿日:2009/04/19(日) 18:13:27
IPA公式解答例
午前1
問1 ア 問11 ウ 問21 ウ
問2 ウ 問12 イ 問22 イ
問3 イ 問13 ア 問23 ア
問4 エ 問14 イ 問24 エ
問5 エ 問15 ウ 問25 ア
問6 ウ 問16 イ 問26 イ
問7 イ 問17 イ 問27 ウ
問8 イ 問18 ア 問28 イ
問9 ウ 問19 エ 問29 ウ
問10 ア 問20 ア 問30 イ
午前2
問1 イ 問11 イ 問21 ア
問2 ア 問12 エ 問22 エ
問3 エ 問13 ウ 問23 イ
問4 イ 問14 イ 問24 ウ
問5 ウ 問15 イ 問25 エ
問6 ア 問16 エ
問7 ア 問17 ア
問8 ウ 問18 ウ
問9 ア 問19 エ
問10 ア 問20 ウ
>>35
歳時記に載ってるってばJK
歳時記に載ってるってばJK
44 :名無し検定1級さん:2009/04/19(日) 21:47:58
俺の前に座ってた奴は少なくとも男か女ではなかったな
男しかいなかったよ。
セキュアドと勘違いっていうけどあんまりセキュアドと変わらなかった気がするよ。
セキュアド持ってるんだけど果たしてコレ受かるかなあ。
セキュアドと勘違いっていうけどあんまりセキュアドと変わらなかった気がするよ。
セキュアド持ってるんだけど果たしてコレ受かるかなあ。
>>34
避けられてるww
避けられてるww
47 :名無し検定1級さん:2009/04/19(日) 21:49:52
男と女で会場分けてたんじゃないの
49 :名無し検定1級さん:2009/04/19(日) 21:49:57
アイタックのサイトには「8割程度と考えてください」って書いてあるけど、あんなんで8割とれてんの????
50 :35:2009/04/19(日) 21:50:00
すみません&ありがとうございます。_o_
午後2退出時間になったらソッコー帰る奴ってなんなの?
合格してんの?
途中で投げ出すにしては中途半端だし。
合格してんの?
途中で投げ出すにしては中途半端だし。
>>49
_
_
アイタックにはよくあること
55 :名無し検定1級さん:2009/04/19(日) 21:51:21
>>51
問題持ち帰るバイトだから、午後2までの問題が手に入ったらもう用は無いよ
問題持ち帰るバイトだから、午後2までの問題が手に入ったらもう用は無いよ
去年のテクセに比べて若い事務系女が多かった
去年と会場違うけど
セキュアドが無くなったからだと思った
去年と会場違うけど
セキュアドが無くなったからだと思った
午後の正回答はいつくる?
午後IIのbでSHA-1って回答してる人いるけど、MD5だよな
2011年以降調達できなくなるってのが条件なんだから
2011年以降調達できなくなるってのが条件なんだから
そうそう、言われれば分かるとか普通に考えれば当たり前ってのを
いかに引き出して文字数制限内に収めるかが勝負なんだが
試験中は全く出てこないのが困る
いかに引き出して文字数制限内に収めるかが勝負なんだが
試験中は全く出てこないのが困る
どう考えてもMD5
winny→MD5
share→SHA-1
winny→MD5
share→SHA-1
>>55
その日に公開されるのに持ち帰るだけで金払う人がいるの??
その日に公開されるのに持ち帰るだけで金払う人がいるの??
午後Uさらします。
答えを問題用紙に書き写す時間がなかったので記憶回答で。
問2
設問1
(1)経営層による意思決定orz
(2)PCIDSSの要求する水準のセキュリティレベルを
満たさない成果物に対して、修正を指示すると
追加要求となる
設問2
(1)b事業継続 cNTP
(2)全てのPCとサーバのウイルス対策ソフトのログを確認する。
(3)応答があったポートに対して、システムが提供している
サービスが使用しているものか確認
(4)火災などのサーバ室全体に影響を及ぼす災害があったときに
まるごと消失しちゃうリスク
(5)監査者の第三者性が確保できない
設問3
(1)実際に攻撃があってから、攻撃パターンを分析し、
シグネチャを作成するから
(2)未知のパターンで攻撃が通過する場合があるとWebサーバがやばい
設問4
(1)ア
(2)DBのアクセスログを定期的に確認する。
設問5
管理策を文書化し、記録を残し、
確実に実施されていることを定期的に内部監査で確認する。
答えを問題用紙に書き写す時間がなかったので記憶回答で。
問2
設問1
(1)経営層による意思決定orz
(2)PCIDSSの要求する水準のセキュリティレベルを
満たさない成果物に対して、修正を指示すると
追加要求となる
設問2
(1)b事業継続 cNTP
(2)全てのPCとサーバのウイルス対策ソフトのログを確認する。
(3)応答があったポートに対して、システムが提供している
サービスが使用しているものか確認
(4)火災などのサーバ室全体に影響を及ぼす災害があったときに
まるごと消失しちゃうリスク
(5)監査者の第三者性が確保できない
設問3
(1)実際に攻撃があってから、攻撃パターンを分析し、
シグネチャを作成するから
(2)未知のパターンで攻撃が通過する場合があるとWebサーバがやばい
設問4
(1)ア
(2)DBのアクセスログを定期的に確認する。
設問5
管理策を文書化し、記録を残し、
確実に実施されていることを定期的に内部監査で確認する。
>>61
ITECみたいな商売やってるところの刺客
ITECみたいな商売やってるところの刺客
文章もそうだけど漢字が出てこなくて困る
午後1・問2の自分の解答晒してみる。細かくは覚えていないのでノリで。
設問1
(1) システム管理者権限でWebサーバで任意のOSコマンド動かされりゃ情報漏れたり機能停められたりするわな
(2) Exploitコードもう公開されてんじゃん
設問2
(1) INPUTって言ったらINPUTだっつーの!ヽ(`Д´)ノ ゴルァ
(2) 利用者が入力した情報をクエリストリングに含ませたらURLに残るしその情報解析されたらどーすんだコラ
(3) HTTPリクエストでヘッダに"X-Sender"があったら叩き潰す
(4) (f)Webサーバプログラムは限定された権限でも動作可能なんだからそーしろよボケ
設問3
(1) ロードバランス対象から外す
(2) システム開発部の動作試験用システムで予め適用テストぐらいしてもバチは当たらんだろ
設問1
(1) システム管理者権限でWebサーバで任意のOSコマンド動かされりゃ情報漏れたり機能停められたりするわな
(2) Exploitコードもう公開されてんじゃん
設問2
(1) INPUTって言ったらINPUTだっつーの!ヽ(`Д´)ノ ゴルァ
(2) 利用者が入力した情報をクエリストリングに含ませたらURLに残るしその情報解析されたらどーすんだコラ
(3) HTTPリクエストでヘッダに"X-Sender"があったら叩き潰す
(4) (f)Webサーバプログラムは限定された権限でも動作可能なんだからそーしろよボケ
設問3
(1) ロードバランス対象から外す
(2) システム開発部の動作試験用システムで予め適用テストぐらいしてもバチは当たらんだろ
また合格発表までドキドキしながら過ごすのか・・・。
つか、合ってるのか間違ってるのかわからない他人の答えをみると
変に頭にインプットされて良くないね
変に頭にインプットされて良くないね
69 :名無し検定1級さん:2009/04/19(日) 21:55:10
10文字以内で3文字で出すなよwwwつられるわww
>>63
うーん、15:10と18:00の差にお金出すのか。。。
うーん、15:10と18:00の差にお金出すのか。。。
時計持ってくの忘れたんだが、
いつも時間一杯かかる午後Iが、二問選択になって余裕だった。
午前II途中退出できないとは!
コンビニ弁当無くなるじゃないか!
いつも時間一杯かかる午後Iが、二問選択になって余裕だった。
午前II途中退出できないとは!
コンビニ弁当無くなるじゃないか!
始まったころを見計らってバイト先の人に電話かけてもらって退出したほうが早くね?
>>71
RSAの鍵長を勘で1024って書いた俺歓喜w
RSAの鍵長を勘で1024って書いた俺歓喜w
1024 と SHA-1 だね
おれは128、MD5って書いたがorz
おれは128、MD5って書いたがorz
77 :three_eight:2009/04/19(日) 22:00:34
午前1 27/30 午前2 25/25
午後1
問1
設問1
a128 bMD5 cハッシュ値 fCAの公開鍵
設問2
問題:ウイルス定義ファイルが古いままになり新種のウイルスに感染する。
対策:インターネット経由でメーカのサーバから定義ファイルを更新できるようにも設定する
設問3
・P2Pなど、許可されていないソフトウェアをインストールしない。
・ログインパスワードを設定するとともに、外へ持ち出さず、厳重に管理する。
設問4
対象データのハッシュを求め、推測した秘密鍵で暗号化し電子署名することで、改ざんしたファイルでもなりすまして送信できる
設問5
(1)自営CAの関与無く、自営CAに認証済と見られる公開鍵証明書を作成でき、情報漏洩が起きる。
(2)dイ eケ
(3)鍵ペアが危たい化した場合の手続きを定めることで速やかに失効させる
設問6
問題:受信者はメールの署名の正当性を確認できない。
理由:自営CAの公開鍵証明書が入手できず、署名の検証が出来ないため
午後1
問1
設問1
a128 bMD5 cハッシュ値 fCAの公開鍵
設問2
問題:ウイルス定義ファイルが古いままになり新種のウイルスに感染する。
対策:インターネット経由でメーカのサーバから定義ファイルを更新できるようにも設定する
設問3
・P2Pなど、許可されていないソフトウェアをインストールしない。
・ログインパスワードを設定するとともに、外へ持ち出さず、厳重に管理する。
設問4
対象データのハッシュを求め、推測した秘密鍵で暗号化し電子署名することで、改ざんしたファイルでもなりすまして送信できる
設問5
(1)自営CAの関与無く、自営CAに認証済と見られる公開鍵証明書を作成でき、情報漏洩が起きる。
(2)dイ eケ
(3)鍵ペアが危たい化した場合の手続きを定めることで速やかに失効させる
設問6
問題:受信者はメールの署名の正当性を確認できない。
理由:自営CAの公開鍵証明書が入手できず、署名の検証が出来ないため
>>71
まじだ。SHA-1だな。くそ・・・。
まじだ。SHA-1だな。くそ・・・。
午後は考え方の問題だから、合ってるか間違ってるかなんてどうでもいいよね
80 :名無し検定1級さん:2009/04/19(日) 22:00:50
幕張のマクドナルドに秋葉系が50人も列作ってたぞ。
またおまえらか
またおまえらか
午後Uの設問5(3)って、利用者に鍵ペアを引き渡した後に、CA運用者は
その鍵ペアを確実に破棄するとかそんなこと書いたけど間違いかね?
その鍵ペアを確実に破棄するとかそんなこと書いたけど間違いかね?
>>72
何回受けて何回落ちてるんだかってレスだね
何回受けて何回落ちてるんだかってレスだね
私は間とって、1024とMD5だった。
しかし、SHA-1もうだめぽか…。
時代の流れって怖いね。
しかし、SHA-1もうだめぽか…。
時代の流れって怖いね。
まあ、128、MD5って書きたくなるよな。俺もだ…
85 :three_eight:2009/04/19(日) 22:02:06
午後1 問2
設問1
(1)システム管理者権限でOSコマンドを実行することが出来、顧客情報漏洩やシステムの機能停止の危険がある
(2)Exploitコードが公開されており、実行が容易
設問2
(1)form
(2)クエリストリングのデータがURL末尾に付加されリファラに記録されるため、外部へのリンクを開いた際や、XSS攻撃を受けた際、情報が漏洩する
(3)HTTPヘッダ内にX-Senderヘッダフィールドを含むリクエスト
(4) (f)−Webサーバプログラムを最小限の権限で動作させる
設問3
(1)付加分散の対象外にする
(2)適用しても問題ないかを、動作試験用システムにて適用し、確認する。
設問1
(1)システム管理者権限でOSコマンドを実行することが出来、顧客情報漏洩やシステムの機能停止の危険がある
(2)Exploitコードが公開されており、実行が容易
設問2
(1)form
(2)クエリストリングのデータがURL末尾に付加されリファラに記録されるため、外部へのリンクを開いた際や、XSS攻撃を受けた際、情報が漏洩する
(3)HTTPヘッダ内にX-Senderヘッダフィールドを含むリクエスト
(4) (f)−Webサーバプログラムを最小限の権限で動作させる
設問3
(1)付加分散の対象外にする
(2)適用しても問題ないかを、動作試験用システムにて適用し、確認する。
>>62
ところどころに話し言葉があるぞwwww
ところどころに話し言葉があるぞwwww
88 :名無し検定1級さん:2009/04/19(日) 22:03:11
>>81
公開鍵は持ってて良いんじゃないの?
公開鍵は持ってて良いんじゃないの?
>>81
間違い
間違い
次回からの持ち物
腹巻、耳栓、壁掛け時計、座布団、目薬
腹巻、耳栓、壁掛け時計、座布団、目薬
回答例
「残業代をちゃんと出さないと従業員のやる気がおちてセキュリティが低下する」
「残業代をちゃんと出さないと従業員のやる気がおちてセキュリティが低下する」
共通鍵暗号 ・ 2-key Triple DES
公開鍵暗号(電子署名)
鍵長 1024 bit の RSA
・ 鍵長 1024 bit の DSA
・ 鍵長 160 bit の ECDSA
ハッシュ関数 ・ SHA-1
これまじかよwwwwwwwwww
公開鍵暗号(電子署名)
鍵長 1024 bit の RSA
・ 鍵長 1024 bit の DSA
・ 鍵長 160 bit の ECDSA
ハッシュ関数 ・ SHA-1
これまじかよwwwwwwwwww
秋に向けて勉強を始めようと思うのですが、
お勧めの本ってありますか?
お勧めの本ってありますか?
96 :名無し検定1級さん:2009/04/19(日) 22:05:54
>>92
これは切実・・・
これは切実・・・
97 :名無し検定1級さん:2009/04/19(日) 22:06:34
>>81
文字通り「公開鍵」だから「確実に破棄する」必要は絶対にない。
文字通り「公開鍵」だから「確実に破棄する」必要は絶対にない。
フォーラム8、10Fまで階段で昇ったら、試験監督のおねえさんが真鍋かおり似だった。
>>62
厳しいんじゃないかと。
厳しいんじゃないかと。
早く模範解答作れよボケ↓
SHA-1がセキュリティ的にもう駄目って、
今日初めて知ったわ。
日ごろから、アンテナをもっと広げないと駄目だね。
今日初めて知ったわ。
日ごろから、アンテナをもっと広げないと駄目だね。
答えわからなくて人類補完計画って書いた
>>93
IPSが1個居るよね。そいつでやるんじゃないかい?
IPSが1個居るよね。そいつでやるんじゃないかい?
106 :名無し検定1級さん:2009/04/19(日) 22:12:02
>>104
おめでとう
おめでとう
>>104
システム境界全部破壊して、無セキュリティ化?
システム境界全部破壊して、無セキュリティ化?
>>66に続いて午後1・問4の自分の解答晒してみる。同じくノリで。
設問1
(1) イ
(2) 特権IDの共用
(3) ログと申請書の照合
設問2
(1) ア
(2) syslog
(3) ログサーバは特権IDの共用をやめて、特権IDだけ削除やリストアできるようにしよーよ。
(4) 特権IDによるログイン失敗が発生したとき
(5)4 不正な特権利用に対する抑止効果っつーかそんな感じ
(5)5 アラートを回避する不正な特権利用の防止っつーかそんな感じ
(6)確認 いつどんな変更がどんな方法でどこから行われたのか的なこと
(6)立証 DBの機密性・完全性が担保され不正なDB変更やデータ改ざんが行われていないこと
>>86
>>93 の通り。これは引っ掛けだろーな。条件明記されているから部分点もないだろうけど。。。
>>104
吹いた(w
設問1
(1) イ
(2) 特権IDの共用
(3) ログと申請書の照合
設問2
(1) ア
(2) syslog
(3) ログサーバは特権IDの共用をやめて、特権IDだけ削除やリストアできるようにしよーよ。
(4) 特権IDによるログイン失敗が発生したとき
(5)4 不正な特権利用に対する抑止効果っつーかそんな感じ
(5)5 アラートを回避する不正な特権利用の防止っつーかそんな感じ
(6)確認 いつどんな変更がどんな方法でどこから行われたのか的なこと
(6)立証 DBの機密性・完全性が担保され不正なDB変更やデータ改ざんが行われていないこと
>>86
>>93 の通り。これは引っ掛けだろーな。条件明記されているから部分点もないだろうけど。。。
>>104
吹いた(w
110 :three_eight ◆HLQ5CqvE9Q :2009/04/19(日) 22:14:34
午後2と午後1間違えた
午後1
問1
設問1 (1)a-r (2)b-ウ, c-偽装
(3)e-U, f-X, 再帰的な問い合わせは社内からのみ受付け、外部へは登録されたゾーン情報のみ回答する
設問2 (1)ア、 社内のDNSサーバではなく、不特定多数の外部のDNSサーバへ直接問い合わせをしている
(2)ア,ウ
設問3 (1)DNSクエリのみを不特定多数の外部DNSサーバへ大量送信し続けているプロセス
(2)ウイルス定義ファイルの更新を確認し、更新があれば適用する通信のパケット
午後1問1の 設問2(1)と 設問3(1)が微妙にかぶるのが気持ち悪い以外は、いける
午後1
問1
設問1 (1)a-r (2)b-ウ, c-偽装
(3)e-U, f-X, 再帰的な問い合わせは社内からのみ受付け、外部へは登録されたゾーン情報のみ回答する
設問2 (1)ア、 社内のDNSサーバではなく、不特定多数の外部のDNSサーバへ直接問い合わせをしている
(2)ア,ウ
設問3 (1)DNSクエリのみを不特定多数の外部DNSサーバへ大量送信し続けているプロセス
(2)ウイルス定義ファイルの更新を確認し、更新があれば適用する通信のパケット
午後1問1の 設問2(1)と 設問3(1)が微妙にかぶるのが気持ち悪い以外は、いける
午後の解答例公開やけに遅いよね。
模範解答はあるんだろうけど実際の漏れたちの答案見てから解答決めてるのかな。
模範解答はあるんだろうけど実際の漏れたちの答案見てから解答決めてるのかな。
中途半端に勉強してるから、今更やめられないし、今年で受かってくれないかなぁ・・・。
>>103
参考書見直したら
アイテックの「高度専門セキュリティ技術」の 221ページに
その辺ほとんど解説がされてあった
ははは、教材選択は正しかったがそれが得点に結び付けることが出来なかったようだ orz
参考書見直したら
アイテックの「高度専門セキュリティ技術」の 221ページに
その辺ほとんど解説がされてあった
ははは、教材選択は正しかったがそれが得点に結び付けることが出来なかったようだ orz
午前1のボーダーって、なんぼですか?
>>116
お前っていつもそうだよな
お前っていつもそうだよな
18問
情報セキュリティスペシャリストって秋にもあるんだな。
たった今知ったぜ。
たった今知ったぜ。
122 :名無し検定1級さん:2009/04/19(日) 22:21:28
455 名前:名無し検定1級さん[sage] 投稿日:2009/04/19(日) 16:31:04
ダンボールは中にスネークが入れるから危険って
おじちゃんが言ってた。
ダンボールは中にスネークが入れるから危険って
おじちゃんが言ってた。
>>122
ワロタ
ワロタ
利用者で鍵が危殆化したときの、認証局側の証明書の失効手続きに
元々の鍵ペアって必要だっけ?
俺も取り扱いの注意点が思いつかなかったから破棄するとか書いちゃったな
元々の鍵ペアって必要だっけ?
俺も取り扱いの注意点が思いつかなかったから破棄するとか書いちゃったな
>>122
理由はどうあれ、正解だな…
理由はどうあれ、正解だな…
>>120
データベースでろでろと思っていたおれ涙目
データベースでろでろと思っていたおれ涙目
失効手続きは、公開鍵証明書のシリアル番号があればよかったはず
なので、元々の鍵ペアは必要ないと思う。
なので、元々の鍵ペアは必要ないと思う。
必要ないと思うけど、必要なかったら何で正解にならんの?
>>124
正直CSR(証明書署名要求)とか初めて聞いたけど
それを作成するために鍵ペアが必要で、申請書だして発行してもらう物だということだったから
危殆化したら再発行は必要だろうなぁと。
これが「鍵ペア」の取り扱いにおいて注意すべきことだろうなぁと。
ここは正解だと確信できない部分の一つですが
唐変木なことはいってないとおもいます。
正直CSR(証明書署名要求)とか初めて聞いたけど
それを作成するために鍵ペアが必要で、申請書だして発行してもらう物だということだったから
危殆化したら再発行は必要だろうなぁと。
これが「鍵ペア」の取り扱いにおいて注意すべきことだろうなぁと。
ここは正解だと確信できない部分の一つですが
唐変木なことはいってないとおもいます。
うわあああああ印鑑忘れあああああ
>>112
指摘ありがとう。
(3)と(4)を勘違いしてました。
まぁ、Webサーバプロセスの動作権限は、試験問題でなくても
ありがちな、セキュリティ上のポイントであり、必ず確認すべきポイントだからねぇ。
ルートで走らせるのが楽だし、やっちゃう人多いけど、やめてきちんとしたほうがいい
というのは、お約束だし、セキュリティレビューするときに必ず見るポイントだし。
指摘ありがとう。
(3)と(4)を勘違いしてました。
まぁ、Webサーバプロセスの動作権限は、試験問題でなくても
ありがちな、セキュリティ上のポイントであり、必ず確認すべきポイントだからねぇ。
ルートで走らせるのが楽だし、やっちゃう人多いけど、やめてきちんとしたほうがいい
というのは、お約束だし、セキュリティレビューするときに必ず見るポイントだし。
>>130
危殆化したら、新しい鍵ペアを作成するから何にもいらないでしょ。
危殆化したら、新しい鍵ペアを作成するから何にもいらないでしょ。
危殆化した鍵があったところで、無いのと同じだからね。
しかし、私はこの問題間違えた。
「鍵ペアがNシステムの利用者以外に知られないようにする」とか、
わけわからん答えを書いてしまった。
だからそれをどうやるのかだっつーの>ヲレ
しかし、私はこの問題間違えた。
「鍵ペアがNシステムの利用者以外に知られないようにする」とか、
わけわからん答えを書いてしまった。
だからそれをどうやるのかだっつーの>ヲレ
鍵の危殆化云々の話よりも取り扱いにおいて注意すべきことは、
CA運用者が利用者の秘密鍵をいつまでも持っていてはならないということだろ。
CA運用者が利用者の秘密鍵をいつまでも持っていてはならないということだろ。
139 :名無し検定1級さん:2009/04/19(日) 22:37:22
rootkitってなんだよ!
ウインドゥサイズってなんなんだよ!
ウインドゥサイズってなんなんだよ!
んじゃ、
利用者の鍵が危殆化したら鍵ペアを再作成すること
って単純に書けばよかったのかね。
認証局側で利用者の鍵ペアを無駄に所有して、そこから漏洩するリスクとか
考えてしまったよ。
利用者の鍵が危殆化したら鍵ペアを再作成すること
って単純に書けばよかったのかね。
認証局側で利用者の鍵ペアを無駄に所有して、そこから漏洩するリスクとか
考えてしまったよ。
141 :名無し検定1級さん:2009/04/19(日) 22:38:54
> ウインドゥサイズ
ちょっとカコイイ
ちょっとカコイイ
142 :名無し検定1級さん:2009/04/19(日) 22:40:19
145 :名無し検定1級さん:2009/04/19(日) 22:41:22
マスターウィンド
いいたかっただけだ
いいたかっただけだ
おまえらIPA攻撃するなよwwwwwwwwwwwwwww
>>66と>>109に続いて午後2・問2の自分の解答晒してみる。これもノリで。
設問1
(1) 情報セキュリティ委員会
(2) セキュリティ要件に合うように契約内でやり直しさせられんしー、P社の責任で追加契約対応必要になるしー。
設問2
(1)b 業務継続 英訳すれば事業継続と同じ意味です。だから何卒、何卒。。。
(1)c SNTP うちの可愛いW2K君たちはWindows TimeサービスでSNTP喋るんです。だから何卒、何卒。。。
(2) ウイルス対策ソフトの管理ツール及び各PC・サーバのログの確認。
(3) ポート開いてんの?開いてたらヤバいサービスが応答しとるの?
(4) サーバ室が罹災したらバックアップ媒体ごとヤられて復旧できねー業務継続できねーと泣くことになるぞ。
(5) 客観性・網羅性・妥当性が担保されないだろーが。第三者が見ないと。
設問3
(1) 正常な通信を装いサーバで任意のコードを実行する形態が多く個別の対応は困難だから。
(2) Webアプリの脆弱性放置するとWAFを超える脅威が結びつくことによるリスクはいつまでも残るんじゃね?
設問4
(1) イ
(2) トランザクションログへのアクセス権をDBMSのサービスアカウントに限定する。
設問5
追加した対策の実効性を含め、ポリシーから対策手順までPDCAサイクルで継続的に見直そうね。
一応、6月末を待ちたいんだけど、待っていい?(´・ω・`) ショボーン
設問1
(1) 情報セキュリティ委員会
(2) セキュリティ要件に合うように契約内でやり直しさせられんしー、P社の責任で追加契約対応必要になるしー。
設問2
(1)b 業務継続 英訳すれば事業継続と同じ意味です。だから何卒、何卒。。。
(1)c SNTP うちの可愛いW2K君たちはWindows TimeサービスでSNTP喋るんです。だから何卒、何卒。。。
(2) ウイルス対策ソフトの管理ツール及び各PC・サーバのログの確認。
(3) ポート開いてんの?開いてたらヤバいサービスが応答しとるの?
(4) サーバ室が罹災したらバックアップ媒体ごとヤられて復旧できねー業務継続できねーと泣くことになるぞ。
(5) 客観性・網羅性・妥当性が担保されないだろーが。第三者が見ないと。
設問3
(1) 正常な通信を装いサーバで任意のコードを実行する形態が多く個別の対応は困難だから。
(2) Webアプリの脆弱性放置するとWAFを超える脅威が結びつくことによるリスクはいつまでも残るんじゃね?
設問4
(1) イ
(2) トランザクションログへのアクセス権をDBMSのサービスアカウントに限定する。
設問5
追加した対策の実効性を含め、ポリシーから対策手順までPDCAサイクルで継続的に見直そうね。
一応、6月末を待ちたいんだけど、待っていい?(´・ω・`) ショボーン
IPA更新連打してるとすぐつながるよ
普通は利用者が鍵ペアを作成するけど、今回の場合は、A者のCA担当者が鍵ペア
を作成するっていう話の流れで、Z課長が>>140のように、「危殆化したら鍵を再作成する」
とか当たり前の発言をするとは思えません。
を作成するっていう話の流れで、Z課長が>>140のように、「危殆化したら鍵を再作成する」
とか当たり前の発言をするとは思えません。
午後1の問3解答ってどっかに上がってる?
154 :名無し検定1級さん:2009/04/19(日) 22:43:02
午前1だけしか勉強してなくて、22点で合格してるっぽいんだが、
途中で抜けると、午前1の科目合格はもらえないの?
途中で抜けると、午前1の科目合格はもらえないの?
「危殆化」という言葉自体初めて見た俺は
多分落ちている。
多分落ちている。
この時期のIPAのservice temporary unavailableはもはや恒例だな
ベリサインとかの普通のCAを考えると、少なくともCSRさえあればCRLを出すのは可能。
だから、鍵ペアを確実に破棄する、で正解。
だから、鍵ペアを確実に破棄する、で正解。
ちひろちゃんは元気かな?!
午後1が微妙っぽいな。。。
160 :名無し検定1級さん:2009/04/19(日) 22:51:04
647 名前:632[sage] 投稿日:2009/04/19(日) 18:38:00
>>639,642
2,3,4回答してて、3消したよ・・・
まるは2,3,4についてるよ・・・
あとは採点員のとんち次第か!?
6月末まで生暖かくヲチしていたい
>>639,642
2,3,4回答してて、3消したよ・・・
まるは2,3,4についてるよ・・・
あとは採点員のとんち次第か!?
6月末まで生暖かくヲチしていたい
CAでは依頼者からCSR(証明書要求)を受け取って、証明書を発行するわけですが
すべてのCSRに対して証明書を発行するべきではありません。
全く知らない人から来たCSRを本人の身元を確認もせずに発行された証明書は信用度があまりないからです。
これからすると、身元確認のための鍵ペアが危殆化すると、証明書が第3者に簡単に要求できちゃうから
失効手続きっぽいね。
すべてのCSRに対して証明書を発行するべきではありません。
全く知らない人から来たCSRを本人の身元を確認もせずに発行された証明書は信用度があまりないからです。
これからすると、身元確認のための鍵ペアが危殆化すると、証明書が第3者に簡単に要求できちゃうから
失効手続きっぽいね。
>>162
そこまですらたどり着けなかった
そこまですらたどり着けなかった
>>94
思うんだけど、これMD5で不正解な理由にはなるの?
思うんだけど、これMD5で不正解な理由にはなるの?
169 :名無し検定1級さん:2009/04/19(日) 22:56:13
初歩的でばかばかしい質問かもしれないけど
これって午前1通れば「応用情報技術者」って名乗ってもいいの?
これって午前1通れば「応用情報技術者」って名乗ってもいいの?
>>169
ヒント:応用情報技術者の午前Iの問題テキスト
ヒント:応用情報技術者の午前Iの問題テキスト
は?
172 :名無し検定1級さん:2009/04/19(日) 22:57:35
模範解答とかけ離れてても、
「あー、そういう考え方もあるね」っていう解答だったら、
部分点はもらえるんかね。
173 :名無し検定1級さん:2009/04/19(日) 22:57:37
俺さー
128 SHA-1 シノニムって書いたよ。
でも午前1が16問正解、午前2が19問正解だったけどな・・orz
SHA-1は進化したのがあったよ。SHA-のなんちゃらとかバジョンアップの
128 SHA-1 シノニムって書いたよ。
でも午前1が16問正解、午前2が19問正解だったけどな・・orz
SHA-1は進化したのがあったよ。SHA-のなんちゃらとかバジョンアップの
174 :名無し検定1級さん:2009/04/19(日) 22:57:49
>>169
生きている意味が分からない。
存在意義が分からない。
( ^ω^)「そうだ、死のう」
僕は、あまりにも感情が希薄だった。
何をやっても喜べない、怒れない、哀しめない、楽しめない。
心が揺れることなど一度もなかった。
僕は異常だった。
それでも普通であろうとして、周囲の人間とは上辺だけの付き合いをしてきた。
そんな見せ掛けの関わりに意味なんかない。
何も感じないから、生きていない。
だから、死のう。
その日、僕は道を踏み外した。
生きている意味が分からない。
存在意義が分からない。
( ^ω^)「そうだ、死のう」
僕は、あまりにも感情が希薄だった。
何をやっても喜べない、怒れない、哀しめない、楽しめない。
心が揺れることなど一度もなかった。
僕は異常だった。
それでも普通であろうとして、周囲の人間とは上辺だけの付き合いをしてきた。
そんな見せ掛けの関わりに意味なんかない。
何も感じないから、生きていない。
だから、死のう。
その日、僕は道を踏み外した。
175 :名無し検定1級さん:2009/04/19(日) 22:58:13
名称独占でもないし勝手にすれば?
ぼくプロマネもってますーあばば
ぼくプロマネもってますーあばば
鍵ペアは利用者本人が作成しないんだ
だからCAがちゃんと利用者毎に異なる鍵ペアを作っていることをCP/CPSに書いておいた方がいいと思うんだ
どうかな?
だからCAがちゃんと利用者毎に異なる鍵ペアを作っていることをCP/CPSに書いておいた方がいいと思うんだ
どうかな?
180 :名無し検定1級さん:2009/04/19(日) 23:01:29
午前1はIRT適用かな?
適用してよ・・。お願い。
適用してよ・・。お願い。
なんでレベル4の中でセキュリティだけ年2回あるんだ?
希少価値減るじゃん
希少価値減るじゃん
182 :名無し検定1級さん:2009/04/19(日) 23:02:10
午前1だけしか勉強してなくて、22点で合格してるっぽいんだが、
途中で抜けると、午前1の科目合格はもらえないの?
途中で抜けると、午前1の科目合格はもらえないの?
183 :名無し検定1級さん:2009/04/19(日) 23:02:27
午後Uの問1
MD5とSHA-1どっちもOKな気がするのよ
表からだと、NISTは、SHA-1やめる・・
文章だと、ハッシュ値の衝突は、MD5・・
MD5とSHA-1どっちもOKな気がするのよ
表からだと、NISTは、SHA-1やめる・・
文章だと、ハッシュ値の衝突は、MD5・・
186 :名無し検定1級さん:2009/04/19(日) 23:03:38
合格率20%で「スペシャリスト」かw
えらく安いスペシャリストだなww
IPA乙
えらく安いスペシャリストだなww
IPA乙
188 :名無し検定1級さん:2009/04/19(日) 23:05:05
午前1の合格ライン教えて。
189 :名無し検定1級さん:2009/04/19(日) 23:05:19
う〜ん微妙だ、、、
・問2
設問1
(1) OSコマンドがシステム管理者権限で実行できるので、システムの機能が全面的に停止する可能性があるため
(2) Exploitコードが公開されているため
設問2
(1) form
(2) クエリストリングに含まれる利用者情報が、リファラなどによって外部のサーバに送信してしまう可能性があるから
(3) X-Senderヘッダフィールドを持つHTTP通信をブロックする
(4) (a) WebサーバプログラムでX-Senderヘッダを禁止する(なんじゃこれw)
設問3
(1) システムから切りはなす
(2) 動作検証用システムに修正プログラムを適応し、不具合のないことを確認する。
・問4
設問1
(1) エ
(2) 特権IDの共用
(3) 特権IDのログ監査
設問2
(1) ア
(2) syslog
(3) 特権IDでのみ削除可能として、通常は一般権限で作業する。
(4) ログインに数回失敗したとき
(5)
下線4:特権IDの利用を監視していることで、システム管理者の不正をよく止する (抑止が書けなかった、、)
下線5:発生条件をシステム管理者がすりぬけてしまうことを防ぐ
(6)
確認:財務情報が特権IDによって不正に改ざんされていないこと
立証:企業活動が正しく行われていること
・問2
設問1
(1) OSコマンドがシステム管理者権限で実行できるので、システムの機能が全面的に停止する可能性があるため
(2) Exploitコードが公開されているため
設問2
(1) form
(2) クエリストリングに含まれる利用者情報が、リファラなどによって外部のサーバに送信してしまう可能性があるから
(3) X-Senderヘッダフィールドを持つHTTP通信をブロックする
(4) (a) WebサーバプログラムでX-Senderヘッダを禁止する(なんじゃこれw)
設問3
(1) システムから切りはなす
(2) 動作検証用システムに修正プログラムを適応し、不具合のないことを確認する。
・問4
設問1
(1) エ
(2) 特権IDの共用
(3) 特権IDのログ監査
設問2
(1) ア
(2) syslog
(3) 特権IDでのみ削除可能として、通常は一般権限で作業する。
(4) ログインに数回失敗したとき
(5)
下線4:特権IDの利用を監視していることで、システム管理者の不正をよく止する (抑止が書けなかった、、)
下線5:発生条件をシステム管理者がすりぬけてしまうことを防ぐ
(6)
確認:財務情報が特権IDによって不正に改ざんされていないこと
立証:企業活動が正しく行われていること
192 :名無し検定1級さん:2009/04/19(日) 23:06:18
なんでさ。おまえらネットワーク受けないのさ?
合格率、12%超えられると厳しいな。
194 :名無し検定1級さん:2009/04/19(日) 23:07:05
>>192
春だからさ。
春だからさ。
□午後U
設問1
(1) a. 128(正解は1024) b. SHA-1 c. ハッシュ値 f. CA
設問2
問題:社内にVPN接続しないとウイルス定義ファイルが更新されないため、感染する危険性が高まる。
対策:定期的に社内ネットワークにVPN接続してウイルス定義ファイルの更新をチェックするしくみを導入する。
設問3
テレワークPCは安全な場所に保管し、盗難などに十分気をつける。
秘密鍵を保存しているディスクを暗号化し符号にはパスコードを必要とする。
設問4
改ざんや、なりすましたデータに推測した秘密鍵で電子署名して送信する。
設問5
(1) メール送信に使用する証明書を作成し、A社やグループ販者になりすましたメールを送信する。
(2) d. イ e. ケ
(3) 公開鍵にくらべて秘密鍵の取り扱いには十分注意する。
設問6
問題:公開鍵の正当性が確認できない。
理由:第三者にはA者CA証明書が導入されていないため。
設問1
(1) a. 128(正解は1024) b. SHA-1 c. ハッシュ値 f. CA
設問2
問題:社内にVPN接続しないとウイルス定義ファイルが更新されないため、感染する危険性が高まる。
対策:定期的に社内ネットワークにVPN接続してウイルス定義ファイルの更新をチェックするしくみを導入する。
設問3
テレワークPCは安全な場所に保管し、盗難などに十分気をつける。
秘密鍵を保存しているディスクを暗号化し符号にはパスコードを必要とする。
設問4
改ざんや、なりすましたデータに推測した秘密鍵で電子署名して送信する。
設問5
(1) メール送信に使用する証明書を作成し、A社やグループ販者になりすましたメールを送信する。
(2) d. イ e. ケ
(3) 公開鍵にくらべて秘密鍵の取り扱いには十分注意する。
設問6
問題:公開鍵の正当性が確認できない。
理由:第三者にはA者CA証明書が導入されていないため。
つか、ここでグダグダ議論してても時間の無駄な気がしてきた
回答が出ればそれまでだもんな
回答が出ればそれまでだもんな
197 :名無し検定1級さん:2009/04/19(日) 23:11:08
グダグダ議論が楽しいんだよ
今頃気付いたのかよ
俺なんか数年前から気付いてるぞ
俺なんか数年前から気付いてるぞ
199 :名無し検定1級さん:2009/04/19(日) 23:11:16
>>196
意外と勉強になって秋につながるよ
意外と勉強になって秋につながるよ
いや、大分煮詰まってると思う。
大体模範解答っぽい物も、浮かんできてるし。
俺は疲れたからまとめないけど。
大体模範解答っぽい物も、浮かんできてるし。
俺は疲れたからまとめないけど。
自分も表は確かにSHA-1だけど、ハッシュ値の衝突はてっきりMD5だと思って
自信を持って「MD5」って書いた。
あと、「〜脆弱性が発見されていることです。」っていうのも、MD5じゃね?
SHA-1の脆弱性は論文ベースで、マイナーな脆弱性だよね。
ソース
つ http://jp.techcrunch.com/archives/20081230md5-collision-creates-rogue-certificate-authority/
つ http://jvn.jp/cert/JVNVU836068/index.html
自信を持って「MD5」って書いた。
あと、「〜脆弱性が発見されていることです。」っていうのも、MD5じゃね?
SHA-1の脆弱性は論文ベースで、マイナーな脆弱性だよね。
ソース
つ http://jp.techcrunch.com/archives/20081230md5-collision-creates-rogue-certificate-authority/
つ http://jvn.jp/cert/JVNVU836068/index.html
プロ棋士は感想戦をすることで、実力を磨く
203 :名無し検定1級さん:2009/04/19(日) 23:12:08
むしろ、IPAのオジン達はココ見て回答作ってるし
204 :名無し検定1級さん:2009/04/19(日) 23:13:31
>>203
アクセス制御してきてくれない?
アクセス制御してきてくれない?
206 :名無し検定1級さん:2009/04/19(日) 23:13:56
おれもMD5に一票。
さすがにSHA-1はまだ使えるだろ。ほかに何がある? PHPやっててもSHA-1が王道だろ。
さすがにSHA-1はまだ使えるだろ。ほかに何がある? PHPやっててもSHA-1が王道だろ。
207 :名無し検定1級さん:2009/04/19(日) 23:14:15
なんでIPAの職員たちはあんなに態度がでかいの?
携帯なったくらいで退出させるとか
試験時間以降書き込んだやつは、採点しないだとか。
IT時代で流行の資格だと思ってあぐらかいてんじゃねーぞ
携帯なったくらいで退出させるとか
試験時間以降書き込んだやつは、採点しないだとか。
IT時代で流行の資格だと思ってあぐらかいてんじゃねーぞ
ところでおまいら何歳?
おれ28。
おれ28。
209 :名無し検定1級さん:2009/04/19(日) 23:15:53
24
>>71でSHA-1って結論出たのでは
211 :名無し検定1級さん:2009/04/19(日) 23:15:55
だからさー
午前1の最低正解回答数を答えてよ
午前1の最低正解回答数を答えてよ
23
何でそのくらいのルール守れないの?
携帯切れって言ってるのに切らないとか
試験時間決まってるのに守らないだとか。
受験者だからと思ってあぐらかいてんじゃねーぞ
携帯切れって言ってるのに切らないとか
試験時間決まってるのに守らないだとか。
受験者だからと思ってあぐらかいてんじゃねーぞ
214 :名無し検定1級さん:2009/04/19(日) 23:17:02
216 :名無し検定1級さん:2009/04/19(日) 23:17:54
今のままボッタクリ続けるんじゃないの
午後1、間違えて3問解答しちゃった。。。
まあ、自動的に前の2問になるようだけど。
まあ、自動的に前の2問になるようだけど。
218 :名無し検定1級さん:2009/04/19(日) 23:18:49
俺今日試験開始前ぎりぎりまで携帯さわったり音楽聴いてたりしてたら
しまってくださいって注意された
10分前からみんな座ってて問題と解答用紙も配り終わってやることなし
拷問だろ・・・
しまってくださいって注意された
10分前からみんな座ってて問題と解答用紙も配り終わってやることなし
拷問だろ・・・
午後1で4問、午後2で2問回答した俺様が通りますよ
220 :名無し検定1級さん:2009/04/19(日) 23:19:10
217
おまえ、よく時間あったなw
今回は午後は余裕があったな。
おまえ、よく時間あったなw
今回は午後は余裕があったな。
221 :名無し検定1級さん:2009/04/19(日) 23:19:39
午後U問1
設問3
ファイル共有ソフト入れて配布しちゃダメ
暗号化しとけばHDDを中古屋に売られても大丈夫
設問5の(3)
鍵は利用者が管理し紛失時には失効させたるとか。
設問3
ファイル共有ソフト入れて配布しちゃダメ
暗号化しとけばHDDを中古屋に売られても大丈夫
設問5の(3)
鍵は利用者が管理し紛失時には失効させたるとか。
222 :名無し検定1級さん:2009/04/19(日) 23:20:00
午後Tって3問回答して2問を選べって意図な気がする。
午後Uもおそらく2問とも回答して1問選ぶっていう。
それにしても午後Tの1問減ったのはでか過ぎるな。
午後Uもおそらく2問とも回答して1問選ぶっていう。
それにしても午後Tの1問減ったのはでか過ぎるな。
>>206
だから、何度も過去スレで2011年について触れてるジャンか
http://www.itmedia.co.jp/enterprise/articles/0811/21/news022.html
だから、何度も過去スレで2011年について触れてるジャンか
http://www.itmedia.co.jp/enterprise/articles/0811/21/news022.html
225 :名無し検定1級さん:2009/04/19(日) 23:21:25
携帯鳴ったら採点されないって事前に言われてて鳴らすのは
この試験の脆弱性を確認してくれたんだよな?
この試験の脆弱性を確認してくれたんだよな?
21
232 :名無し検定1級さん:2009/04/19(日) 23:24:07
おまえら、午前1通ったのか?
>>225
CBTのプロメトリックじゃそもそも試験室内に
身分証とIDカードと受験キット以外持ち込めないし
ポケットに手を入れた時点で不正行為と見なされて
退場だぜw それに比べれば国家試験なのに
緩いと思うよ
身分証の提示もいらないしね
CBTのプロメトリックじゃそもそも試験室内に
身分証とIDカードと受験キット以外持ち込めないし
ポケットに手を入れた時点で不正行為と見なされて
退場だぜw それに比べれば国家試験なのに
緩いと思うよ
身分証の提示もいらないしね
みんな半年の時間を無駄にするリスクにチャレンジしすぎw
2011年はアナログ停波だよね?
2011年はアナログ停波だよね?
>>218
俺が受けたとこでは、「あと5分ほどで開始です。(お待たせして)申し訳ありません」って低姿勢だったけどな。
俺が受けたとこでは、「あと5分ほどで開始です。(お待たせして)申し訳ありません」って低姿勢だったけどな。
Exploitコードが公開されているっての分からなかったけど
問題文そのままでいいのかよ。そんな問題ありなのかよ
問題文そのままでいいのかよ。そんな問題ありなのかよ
237 :名無し検定1級さん:2009/04/19(日) 23:25:46
>>236
おれも思った。 まんまじゃんww って。
おれも思った。 まんまじゃんww って。
午前1の2年間免除って午前2以降不合格でも午前1だけ6割超えてればいいの?
240 :名無し検定1級さん:2009/04/19(日) 23:27:33
俺、午後Uで落ちた気がする
知識なさ過ぎて凹んできた
()とかが心配事です
お願い誰か色々指摘して!!!!
60%はやっぱり無理?
午後U
設問1
(1) a. 128 b. MD5 c. ハッシュ値 f. 自営CA
設問2
問題:社内にVPN接続出来ない場合、最新のウイルス定義ファイルを取得出来ない為ウイルスに感染する恐れがある
対策:社内のVPNに接続出来ない場合は自前のインターネット回線を通じてウイルス定義ファイルを取得する
設問3
第三者の不正な操作を防ぐ為、テレワークPCにはパスワードロックをかける
テレワークPCを一定時間操作しなかったらロックがかかるように設定する
設問4
盗聴したデータを推測した秘密鍵で暗号化して対象者に送信する(暗号化じゃ駄目?)
設問5
(1) 漏えいした秘密鍵を用いてA社になりすまり、グループ販者に接触する
(2) d. イ e. ケ
(3) 鍵ペアの漏えい・共有をしないように気をつけてもらう
設問6
問題:メールを復号出来ず、正常に読み取る事が出来ない(復号じゃ駄目ですよね)
理由:自営CAの為、A社の証明書が第三者のPCに組み込まれていないため
知識なさ過ぎて凹んできた
()とかが心配事です
お願い誰か色々指摘して!!!!
60%はやっぱり無理?
午後U
設問1
(1) a. 128 b. MD5 c. ハッシュ値 f. 自営CA
設問2
問題:社内にVPN接続出来ない場合、最新のウイルス定義ファイルを取得出来ない為ウイルスに感染する恐れがある
対策:社内のVPNに接続出来ない場合は自前のインターネット回線を通じてウイルス定義ファイルを取得する
設問3
第三者の不正な操作を防ぐ為、テレワークPCにはパスワードロックをかける
テレワークPCを一定時間操作しなかったらロックがかかるように設定する
設問4
盗聴したデータを推測した秘密鍵で暗号化して対象者に送信する(暗号化じゃ駄目?)
設問5
(1) 漏えいした秘密鍵を用いてA社になりすまり、グループ販者に接触する
(2) d. イ e. ケ
(3) 鍵ペアの漏えい・共有をしないように気をつけてもらう
設問6
問題:メールを復号出来ず、正常に読み取る事が出来ない(復号じゃ駄目ですよね)
理由:自営CAの為、A社の証明書が第三者のPCに組み込まれていないため
Exploitコードが公開されているからどうなんだって書かないとだめだろ
>>236
情処の午後問題ってまんまを答える問題多くね?
情処の午後問題ってまんまを答える問題多くね?
244 :名無し検定1級さん:2009/04/19(日) 23:27:51
破られたとはいえちゃちなシステムならしゃーでいいね
結局この分野はいたちごっこなのか
結局この分野はいたちごっこなのか
>>236
気になるなら、字数制限厳しいけど「既に」とか付け足してヤバイヨヤバイヨ風を漂わせればそれでよし。
気になるなら、字数制限厳しいけど「既に」とか付け足してヤバイヨヤバイヨ風を漂わせればそれでよし。
247 :名無し検定1級さん:2009/04/19(日) 23:29:28
採点者様
午後T、通常2問のところを3問回答させて頂きましたので、
ちょっとだけ御配慮ポイント頂けますでしょうか・・
午後T、通常2問のところを3問回答させて頂きましたので、
ちょっとだけ御配慮ポイント頂けますでしょうか・・
248 :名無し検定1級さん:2009/04/19(日) 23:29:33
>>241
設問4 暗号化は違うでしょ。ハッシュでしょ?
設問4 暗号化は違うでしょ。ハッシュでしょ?
午後2問一設問5(3)だけど、
鍵ペアを利用者側で生成する方式ではなく、会社側(管理者側)で生成する方式を選択したときの
鍵ペアの取扱について注意すべき点について解答するのが主旨と考えると
鍵ペアの受け渡し時に秘密鍵が漏えいしないように注意する
どう?
鍵ペアを利用者側で生成する方式ではなく、会社側(管理者側)で生成する方式を選択したときの
鍵ペアの取扱について注意すべき点について解答するのが主旨と考えると
鍵ペアの受け渡し時に秘密鍵が漏えいしないように注意する
どう?
科目合格とか免除って話でてるけど、そんなの新しくできたの?
今まで無かったよね。一部上位試験のはあったけど。
今まで無かったよね。一部上位試験のはあったけど。
251 :名無し検定1級さん:2009/04/19(日) 23:30:07
目薬をさす必要がある人は、
手を上げて試験監督官に申し出てください・・・
ハア?目薬さすくらいでなに言ってんだ。
人を疑う仕事かおまえらは、って感じだなw
自動採点まだないの?
解答もう出てる?
解答もう出てる?
さぁおまえらACKかえすのやめようぜ
254 :名無し検定1級さん:2009/04/19(日) 23:31:39
既出かもですが、
午前の合格基準点とそのソースを
誰か教えてくれませんでしょうか?
午前の合格基準点とそのソースを
誰か教えてくれませんでしょうか?
128 MD5 って書いちゃったのは俺のミス、うん。
でもあんな上の方の設問、どうせゴミ配点だから気にしない。
でもあんな上の方の設問、どうせゴミ配点だから気にしない。
>>242
Q課長が攻撃が実際に行われる可能性が高いと考えた根拠だから、どうなるかは問題文に書いてある
Q課長が攻撃が実際に行われる可能性が高いと考えた根拠だから、どうなるかは問題文に書いてある
IPAのサイト落ちすぎだろ。
そうかそろそろゆとりも高度試験を受ける時代になったか・・・
260 :名無し検定1級さん:2009/04/19(日) 23:34:19
以下、どうでしょう? それ以外はあきらかに間違い(128bitと書いたところ)と
みなの解答とよく似たのだったので・・。
午後2 問1
設問1のCハッシュキー
設問3
・秘密鍵生成に使用するパスフレーズは複雑で長く推測しにくいものにする
・PCそのものが盗難されないようにすると同時に可能であればHDDを暗号化する。
設問5の(1)の下線Bの被害について、
「販社からA社に送られたS/MIMEで暗号化された注文票を
盗聴された場合に復号できてしまうから」
みなの解答とよく似たのだったので・・。
午後2 問1
設問1のCハッシュキー
設問3
・秘密鍵生成に使用するパスフレーズは複雑で長く推測しにくいものにする
・PCそのものが盗難されないようにすると同時に可能であればHDDを暗号化する。
設問5の(1)の下線Bの被害について、
「販社からA社に送られたS/MIMEで暗号化された注文票を
盗聴された場合に復号できてしまうから」
Windowsはウィルスか?
そんな思い込みをしている人がいるが答えはもちろんNOである
ウィルスとはどういうものかを考えればわかることだ
1. ウィルスはあっという間に増殖する - Windowsもする
2. ウィルスはシステムリソースに負担をかけ、重くする - Windowsもする
3. ウィルスはハードディスクを勝手にむしばむ - Windowsもする
4. ウィルスは他のプログラムの動きを悪くする - Windowsもする
5. ウィルスはユーザーのことは考えない - Windowsも考えない
ここまでは同じだが、Windowsとウィルスが決定的に違うことがある。
ウィルスはほとんどのシステムで走るように作られ、コンパクトで効率的。
さらにバージョンアップするにつれて洗練されてくる。
よってWindowsはウィルスではない
そんな思い込みをしている人がいるが答えはもちろんNOである
ウィルスとはどういうものかを考えればわかることだ
1. ウィルスはあっという間に増殖する - Windowsもする
2. ウィルスはシステムリソースに負担をかけ、重くする - Windowsもする
3. ウィルスはハードディスクを勝手にむしばむ - Windowsもする
4. ウィルスは他のプログラムの動きを悪くする - Windowsもする
5. ウィルスはユーザーのことは考えない - Windowsも考えない
ここまでは同じだが、Windowsとウィルスが決定的に違うことがある。
ウィルスはほとんどのシステムで走るように作られ、コンパクトで効率的。
さらにバージョンアップするにつれて洗練されてくる。
よってWindowsはウィルスではない
>>261
パスフレーズは会社が指定していたような
パスフレーズは会社が指定していたような
265 :名無し検定1級さん:2009/04/19(日) 23:35:36
目薬うんぬん何度も言っててアホかと
>>241
俺とほとんど一緒でワロタw
俺とほとんど一緒でワロタw
>>261
> 設問5の(1)の下線Bの被害について、
> 「販社からA社に送られたS/MIMEで暗号化された注文票を
> 盗聴された場合に復号できてしまうから」
CAの秘密鍵持ってたって販社からの注文表を複合することはできんよ
> 設問5の(1)の下線Bの被害について、
> 「販社からA社に送られたS/MIMEで暗号化された注文票を
> 盗聴された場合に復号できてしまうから」
CAの秘密鍵持ってたって販社からの注文表を複合することはできんよ
試験管もマニュアルに従わにゃならん衆だからしゃーない
受験者もマニュアル的に回答することが求められてるのだから諦めれ
ただ目薬だけ特別扱いに点鼻薬も嫉妬w
受験者もマニュアル的に回答することが求められてるのだから諦めれ
ただ目薬だけ特別扱いに点鼻薬も嫉妬w
271 :名無し検定1級さん:2009/04/19(日) 23:41:04
そーいや4回も目薬の説明したんだなw
>>261
高確率で合格は_
高確率で合格は_
>>251
いや、その通りでしょ
いや、その通りでしょ
275 :名無し検定1級さん:2009/04/19(日) 23:43:06
>>261
設問3
・秘密鍵生成に使用するパスフレーズは複雑で長く推測しにくいものにする
・PCそのものが盗難されないようにすると同時に可能であればHDDを暗号化する
俺も殆ど同じだ。これに、秘密鍵の活性化のパスワードって事と、別媒体に格納し適切に管理ってのを加えた。
設問3
・秘密鍵生成に使用するパスフレーズは複雑で長く推測しにくいものにする
・PCそのものが盗難されないようにすると同時に可能であればHDDを暗号化する
俺も殆ど同じだ。これに、秘密鍵の活性化のパスワードって事と、別媒体に格納し適切に管理ってのを加えた。
241です
色々突っ込んでくれてありがとう
御指摘の通り浅はかな誤りが多いです
また秋に頑張ります;;
色々突っ込んでくれてありがとう
御指摘の通り浅はかな誤りが多いです
また秋に頑張ります;;
277 :名無し検定1級さん:2009/04/19(日) 23:43:13
で、午後の回答がIPAに出るのはいつだい?
俺受けなかったんだが、問題はどんな感じかね?
今までのテクニカルセキュリティに近い感じ?
今までのテクニカルセキュリティに近い感じ?
280 :名無し検定1級さん:2009/04/19(日) 23:44:29
とりあえず免除の条件はっておきますね。
高度試験の午前T試験については,次の(1)〜(3)のいずれかを
満たすことによって,その後2年間受験を免除する。
(1)応用情報技術者試験に合格する。
(2)いずれかの高度試験に合格する。
(3)いずれかの高度試験の午前T試験で基準点以上の成績を得る。
(試験要綱Ver1.1 13ページ)
高度試験の午前T試験については,次の(1)〜(3)のいずれかを
満たすことによって,その後2年間受験を免除する。
(1)応用情報技術者試験に合格する。
(2)いずれかの高度試験に合格する。
(3)いずれかの高度試験の午前T試験で基準点以上の成績を得る。
(試験要綱Ver1.1 13ページ)
282 :名無し検定1級さん:2009/04/19(日) 23:45:49
285 :名無し検定1級さん:2009/04/19(日) 23:46:35
>>281
(3)があるなら(2)はいらなくね?
(3)があるなら(2)はいらなくね?
>>287
合格じゃなくて基準点以上の成績な
合格じゃなくて基準点以上の成績な
291 :名無し検定1級さん:2009/04/19(日) 23:48:50
午後U問1
クライアント証明書って大事だよな
回答に使わなかったけど・・
クライアント証明書って大事だよな
回答に使わなかったけど・・
292 :名無し検定1級さん:2009/04/19(日) 23:49:26
合格ライン6割はどこの情報です?
>>292
IPAのシラバスとか
IPAのシラバスとか
296 :名無し検定1級さん:2009/04/19(日) 23:49:48
合格=午前1、2、午後1、2の全てで基準点(60%)を取る
社員それぞれに定義ファイル更新させたら
ウィルス対策ソフト会社が困るだろうが
ウィルス対策ソフト会社が困るだろうが
>>294
それは合格ラインだろ?ほんとに免除基準と一緒なのか?
それは合格ラインだろ?ほんとに免除基準と一緒なのか?
300 :名無し検定1級さん:2009/04/19(日) 23:51:16
午後Iの問2の設問2(4)さあ
dでアプリケーション層を解析できるFWを利用するってのはだめかねえ
いや、Webサーバの権限を絞るってのも考えたんだけど、権限絞っても
動作するってことは結局攻撃されたらやられちゃうんじゃないかと
思ってねえ
dでアプリケーション層を解析できるFWを利用するってのはだめかねえ
いや、Webサーバの権限を絞るってのも考えたんだけど、権限絞っても
動作するってことは結局攻撃されたらやられちゃうんじゃないかと
思ってねえ
301 :名無し検定1級さん:2009/04/19(日) 23:51:29
>>300
設問の脆弱性はWebサーバの権限でしかOSコマンドが実行されなかったはず
設問の脆弱性はWebサーバの権限でしかOSコマンドが実行されなかったはず
304 :名無し検定1級さん:2009/04/19(日) 23:53:27
っていうか合格基準のことを基準点 って表現しているらしいが
時間区分 配点 基準点
午前 100点 満点の60%
明確に免除基準点は書かれてないね。
おそらく結果を見て決めんじゃね?上位2割とかで。
そんなに免除出すと次回から採点が大変になるし。
発表まで待ってもいいんでない?
おそらく結果を見て決めんじゃね?上位2割とかで。
そんなに免除出すと次回から採点が大変になるし。
発表まで待ってもいいんでない?
Webサーバにsudoとかインストールされていた日にはもう
apache権限でもOSコマンドが実行されるのはいまいちってことなんじゃない?
311 :名無し検定1級さん:2009/04/19(日) 23:54:57
312 :名無し検定1級さん:2009/04/19(日) 23:56:01
>>304
WebサーバとられたらOSコマンドが何でも実行できるんだろ?
WebサーバとられたらOSコマンドが何でも実行できるんだろ?
なんで午後II-1のfって公開鍵じゃないの?
見てると全然その答え書いてる人いないけど。
見てると全然その答え書いてる人いないけど。
316 :名無し検定1級さん:2009/04/19(日) 23:57:33
>>295
ありがとうございました^^
ありがとうございました^^
317 :名無し検定1級さん:2009/04/19(日) 23:57:59
思い出したので一応。
恥の上塗りかもしれないが・・
>>267
>>269
設問5の(1)の下線Bの被害について、
「販社からA社に送られたS/MIMEで暗号化された注文票を
盗聴された場合に復号できてしまうから」
A社の秘密鍵が漏れる→公開鍵は当然販社に送られているため
S/MIMEでは販社はA社の公開鍵で注文票を暗号化する→盗聴でウマー
というのを考えたのでした。やはり間違いですか?
恥の上塗りかもしれないが・・
>>267
>>269
設問5の(1)の下線Bの被害について、
「販社からA社に送られたS/MIMEで暗号化された注文票を
盗聴された場合に復号できてしまうから」
A社の秘密鍵が漏れる→公開鍵は当然販社に送られているため
S/MIMEでは販社はA社の公開鍵で注文票を暗号化する→盗聴でウマー
というのを考えたのでした。やはり間違いですか?
>>315
もっとよく見ろ
もっとよく見ろ
320 :名無し検定1級さん:2009/04/19(日) 23:59:15
>>317
Webサーバサービス経由で任意のOSコマンドが実行できる脆弱性なんじゃないの?
Webサーバサービス経由で任意のOSコマンドが実行できる脆弱性なんじゃないの?
うっかりWebサーバがrootで動いてたら、どーするよ?
322 :名無し検定1級さん:2009/04/19(日) 23:59:22
午前1のみ合格点に達してて
そのあとの試験を受けなくても、
午前1は基準点に達しているので、以下免除となります。
そのあとの試験を受けなくても、
午前1は基準点に達しているので、以下免除となります。
324 :名無し検定1級さん:2009/04/20(月) 00:00:49
>>321
だから権限を制限=root以外にするんじゃないの?
だから権限を制限=root以外にするんじゃないの?
28/30と24/25だが午後2即死臭い
おまえら問題正しく読めてるのか?
午前Tは気になってたけど、勉強ほとんどしなかった。
ITACの回答即答で、16問しかあってなくて愕然としたけど、
正式発表だと、23問正解していた。
危うく、午後帰るとこだった。
ITACの回答即答で、16問しかあってなくて愕然としたけど、
正式発表だと、23問正解していた。
危うく、午後帰るとこだった。
やはり恥の上塗りだったorz
A社の秘密鍵じゃなくおれおれCAだったかorz
A社の秘密鍵じゃなくおれおれCAだったかorz
331 :名無し検定1級さん:2009/04/20(月) 00:03:24
設問3
・テレワークPCを他人に使用させない
・テレワークPCに勝手に業務に使用しないプログラムをインストールしない
ってしたよ
・テレワークPCを他人に使用させない
・テレワークPCに勝手に業務に使用しないプログラムをインストールしない
ってしたよ
335 :名無し検定1級さん:2009/04/20(月) 00:05:34
>>331
システム全体に及ぶ 云々じゃなかったか? つまりshutdownとか
システム全体に及ぶ 云々じゃなかったか? つまりshutdownとか
337 :名無し検定1級さん:2009/04/20(月) 00:05:59
>318
設問5の(1)の下線Bの被害に・・
CAの秘密鍵と、出回ってる公開鍵を使って、利用者の鍵のペアを新たに作って・・・
設問5の(1)の下線Bの被害に・・
CAの秘密鍵と、出回ってる公開鍵を使って、利用者の鍵のペアを新たに作って・・・
設問3
・パスフレーズが印刷してある紙は捨てる
・テレワークPCにパスワードを設定する
これならどうだ!
・パスフレーズが印刷してある紙は捨てる
・テレワークPCにパスワードを設定する
これならどうだ!
340 :名無し検定1級さん:2009/04/20(月) 00:07:26
そろそろまとめサイト作ってくれないか?
>>330
いや、おれおれとか関係ないから。。。
CAの鍵ペアっつーのはCAが発行する証明書の正当性を確保するために使うものであって
利用者はCAと同じ鍵ペアを使って暗号化とか署名するわけじゃないの
利用者は自分の鍵ペアを使って暗号化と署名をするのさ
いや、おれおれとか関係ないから。。。
CAの鍵ペアっつーのはCAが発行する証明書の正当性を確保するために使うものであって
利用者はCAと同じ鍵ペアを使って暗号化とか署名するわけじゃないの
利用者は自分の鍵ペアを使って暗号化と署名をするのさ
こんな試験のなにを纏めるんだよ
>>331
DBにアクセスするのはWebアプリケーション。
WebサーバプログラムをWebアプリケーションが同一プロセスとは
どこにも書いてないよ。
むしろ (a) の記述から別プロセスと考えるのが自然。
DBにアクセスするのはWebアプリケーション。
WebサーバプログラムをWebアプリケーションが同一プロセスとは
どこにも書いてないよ。
むしろ (a) の記述から別プロセスと考えるのが自然。
345 :名無し検定1級さん:2009/04/20(月) 00:08:51
>>292
これを見てヴェスペリアが思い浮かんだのは俺だけ
これを見てヴェスペリアが思い浮かんだのは俺だけ
346 :名無し検定1級さん:2009/04/20(月) 00:11:09
この試験の唯一の救いは、受験料がたったの5100円であること。
問題集も参考書も低廉で助かる。
問題集も参考書も低廉で助かる。
>>339
なんか設問3は、ここまででてるどれも正解な気がする。
なんか設問3は、ここまででてるどれも正解な気がする。
348 :名無し検定1級さん:2009/04/20(月) 00:11:43
午後Uの問1
もうわけわかんね。 公開鍵だの署名だの証明書だの ぐちゃぐちゃ
もうわけわかんね。 公開鍵だの署名だの証明書だの ぐちゃぐちゃ
349 :名無し検定1級さん:2009/04/20(月) 00:12:25
ここ見てるとPKIについてちゃんと理解してないのに午後2問1余裕とか言ってる奴いそうだな。
351 :名無し検定1級さん:2009/04/20(月) 00:12:44
>>333
Users権限でもDBにアクセス可能なら問題あるだろ?
Webサーバの権限を絞るとそのユーザではWebアプリは触れないって事なんだろうか
でも連携する仕組みである以上まったく触れない事はないんだろうしなあ
最近のWebサーバならそういう機能があるんだろうか
>>335
任意のOSコマンドを実行させることが可能である、としか書いてないな
Users権限でもDBにアクセス可能なら問題あるだろ?
Webサーバの権限を絞るとそのユーザではWebアプリは触れないって事なんだろうか
でも連携する仕組みである以上まったく触れない事はないんだろうしなあ
最近のWebサーバならそういう機能があるんだろうか
>>335
任意のOSコマンドを実行させることが可能である、としか書いてないな
とりあえず今日はもう寝ようぜ?みんな頑張ったんだぜ?
355 :名無し検定1級さん:2009/04/20(月) 00:13:34
俺はfromにした
うそ
うそ
>>355
今日一番和んだ
今日一番和んだ
ドーピングしすぎでギンギンで眠れません!
みんなお疲れー。
俺はこんなだった。
午前T 23/30
午前U 19/25
午後T
問2
設問1
(1) システム管理者権限で任意のOSコマンドを実行され、システムの機能が全面的に停止する恐れがあるため
(2) Exploitコードが公開されているため
設問2
(1) INPUT
(2) 利用者がWEB販売システムで入力した内容がクエリストリングとして平文で通信され、新たな情報漏えいの可能性が生じるから
(3) "X-Sender"をHTTPヘッダに含むデータを処理しない
(4) (f) Webサーバプログラムを限定された権限で動作させる
設問3
(1) 利用者からアクセスさせない
(2) 動作試験用システムに修正プログラムを適用して動作確認する
問3
設問1
(1) ログイン日と会員番号を偽り、cookie情報を改ざんしてなりすますことができる
(2) 24 "http:"を"https:"に修正する
(3) SPANタグのid属性
INPUTタグのvalue属性
設問2
(1) エ
(2) C社独自の文字列(ドメイン名など)をパスワードに付加した文字列に対してハッシュ値を算出する
俺はこんなだった。
午前T 23/30
午前U 19/25
午後T
問2
設問1
(1) システム管理者権限で任意のOSコマンドを実行され、システムの機能が全面的に停止する恐れがあるため
(2) Exploitコードが公開されているため
設問2
(1) INPUT
(2) 利用者がWEB販売システムで入力した内容がクエリストリングとして平文で通信され、新たな情報漏えいの可能性が生じるから
(3) "X-Sender"をHTTPヘッダに含むデータを処理しない
(4) (f) Webサーバプログラムを限定された権限で動作させる
設問3
(1) 利用者からアクセスさせない
(2) 動作試験用システムに修正プログラムを適用して動作確認する
問3
設問1
(1) ログイン日と会員番号を偽り、cookie情報を改ざんしてなりすますことができる
(2) 24 "http:"を"https:"に修正する
(3) SPANタグのid属性
INPUTタグのvalue属性
設問2
(1) エ
(2) C社独自の文字列(ドメイン名など)をパスワードに付加した文字列に対してハッシュ値を算出する
勉強足りなかったからめっちゃ微妙orz
とりあえず午前Iと午前IIは解答発表されてたから計算したら
午前I 21/30(70%)
午前II 19/25(76%)
合格基準が6割だからとりあえず午前は合格っぽい
午後はもっと勉強すべきだったなぁ・・惜しかった
とりあえず午前Iと午前IIは解答発表されてたから計算したら
午前I 21/30(70%)
午前II 19/25(76%)
合格基準が6割だからとりあえず午前は合格っぽい
午後はもっと勉強すべきだったなぁ・・惜しかった
361 :名無し検定1級さん:2009/04/20(月) 00:16:45
オレは血迷ってhiddenにした
ちくしょー!!!
ちくしょー!!!
363 :名無し検定1級さん:2009/04/20(月) 00:17:22
>>361
俺漏れもw
俺漏れもw
HTMLの属性って何なんだろう
要素とは違うのか?
とりあえずINPUTタグのvalue属性とか書いてみた
要素とは違うのか?
とりあえずINPUTタグのvalue属性とか書いてみた
onclick属性とか書いてみた
367 :名無し検定1級さん:2009/04/20(月) 00:20:06
src属性とvalue属性にしたんだが。
src属性はクロス・サイト・リクエスト・フォージェリできるし、valueはデータ抜けるしと思って。
src属性はクロス・サイト・リクエスト・フォージェリできるし、valueはデータ抜けるしと思って。
</ 要素 属性="属性値">
じゃないのか?
じゃないのか?
369 :名無し検定1級さん:2009/04/20(月) 00:20:24
これって部分点とかあるんすかね?
そりゃ思わずhiddenて書いちゃうだろjk
回答結果が少ないので、聞きます。
午後I - 問3 - 設問2 - (2)
はどんな答えなんでしょ?
俺は会員番号とパスワードを暗号化してハッシュ値を計算・・・のような感じに答えたけど
午後I - 問3 - 設問2 - (2)
はどんな答えなんでしょ?
俺は会員番号とパスワードを暗号化してハッシュ値を計算・・・のような感じに答えたけど
srcにどうやってデータ渡すの
午後T、最初3問全部解いて出来がよさそうな2つに丸つけようと思ってたけど、
解答用紙に○つけた問以外の答え書いちゃダメっていわれてあわてて消したw
解答用紙に○つけた問以外の答え書いちゃダメっていわれてあわてて消したw
午後I 問1、問4と午後II 問2て少ないのかな?
セキュアド上がりには鍵とか技術よりに細かい話はスルーだったんですが
セキュアド上がりには鍵とか技術よりに細かい話はスルーだったんですが
>>311
仮にFWを買ってきたとしても、インターネットに近い側のFWだとパケットがSSLで暗号化されてるから、
アプリケーション層を解釈してフィルタリングなんて真似はできないんじゃないか?
DBサーバに近い側のFWじゃフィルタリングしても意味ないしな。
仮にFWを買ってきたとしても、インターネットに近い側のFWだとパケットがSSLで暗号化されてるから、
アプリケーション層を解釈してフィルタリングなんて真似はできないんじゃないか?
DBサーバに近い側のFWじゃフィルタリングしても意味ないしな。
>>368,370
よしきた把握
よしきた把握
379 :名無し検定1級さん:2009/04/20(月) 00:22:05
権限絞っても結局限定権限で動作しちゃうんだよなぁ
結局あれ何が正解なの
結局あれ何が正解なの
>>378
観点は間違ってないぞ、要は自営CAをなりすまして証明書を発行できてしまうことが問題
観点は間違ってないぞ、要は自営CAをなりすまして証明書を発行できてしまうことが問題
383 :名無し検定1級さん:2009/04/20(月) 00:24:09
ああやっぱ午後Uの問1は不合格だわ
>>379
ああーそういうのアリだったのかorz
ああーそういうのアリだったのかorz
午後IIで駄目っぽいなやっぱり
なんつーか明らかに難しくなってるんだけど皆簡単だったのか?
なんつーか明らかに難しくなってるんだけど皆簡単だったのか?
387 :名無し検定1級さん:2009/04/20(月) 00:25:53
午後Tは簡単になったが午後Uは同じくらい
388 :名無し検定1級さん:2009/04/20(月) 00:26:04
Webサーバの権限の話は、
OSインジェクションの対策漏れが仮にあったとしても
Webサーバのプログラムを必要最低限で動かしていれば
被害がなく(小さく)済むでしょ
という意図の問題なんじゃないかと思う。
OSインジェクションの対策漏れが仮にあったとしても
Webサーバのプログラムを必要最低限で動かしていれば
被害がなく(小さく)済むでしょ
という意図の問題なんじゃないかと思う。
392 :名無し検定1級さん:2009/04/20(月) 00:27:44
>>389
rootじゃなくてapacheで動かすのは常識じゃない? そういうことだろう?
rootじゃなくてapacheで動かすのは常識じゃない? そういうことだろう?
394 :名無し検定1級さん:2009/04/20(月) 00:29:03
>>392
確かに常識だけど、担当者だとついrootでやっちゃうんじゃ?
確かに常識だけど、担当者だとついrootでやっちゃうんじゃ?
396 :名無し検定1級さん:2009/04/20(月) 00:29:11
午後I - 問3 - 設問2 - (2) わ、
利用者IDも合わせて使えば〜って書いたよ
その方がプログラマさんも開発的に楽だったりしませんか?
利用者IDも合わせて使えば〜って書いたよ
その方がプログラマさんも開発的に楽だったりしませんか?
>>393
手癖
手癖
>>394
DNSキャッシュなんたらを考慮して相対パスで指定する方がいいのかな
DNSキャッシュなんたらを考慮して相対パスで指定する方がいいのかな
399 :名無し検定1級さん:2009/04/20(月) 00:30:27
>>395
うん。だからそれがダメだよって。
うん。だからそれがダメだよって。
>>394
ソースの下の方に https: 版も ../ 版も両方あるから両方正解。
ソースの下の方に https: 版も ../ 版も両方あるから両方正解。
子プロセスはデフォルトで apacehになるからなあ
>>397
同じぐらいじゃね?
同じぐらいじゃね?
>>382
どんな被害が出るの?
どんな被害が出るの?
404 :名無し検定1級さん:2009/04/20(月) 00:32:16
VPNで社内ネットワークに接続されて
情報を持ち出されるって書いたが
情報を持ち出されるって書いたが
IPAは「限定された権限」がどんなものかを書いておくべきだったな
>>403
CAをなりすまして証明書を発行できるってことは
いくらでも嘘鍵ペアを作ってそれに証明書を付けれるということ
後は嘘の公開鍵を渡して暗号させたデータを複合したり、
嘘の秘密鍵で署名したデータを送りつけたり何でもし放題だよ
CAをなりすまして証明書を発行できるってことは
いくらでも嘘鍵ペアを作ってそれに証明書を付けれるということ
後は嘘の公開鍵を渡して暗号させたデータを複合したり、
嘘の秘密鍵で署名したデータを送りつけたり何でもし放題だよ
409 :名無し検定1級さん:2009/04/20(月) 00:35:00
411 :名無し検定1級さん:2009/04/20(月) 00:35:21
あれもちろん問題ごとに配点違いますよね?
>>408
で、どんな被害を書けば正答なの?
で、どんな被害を書けば正答なの?
>>407
root権限奪取されるよりはマシぐらいにしか考えてなかったんじゃね?
root権限奪取されるよりはマシぐらいにしか考えてなかったんじゃね?
414 :名無し検定1級さん:2009/04/20(月) 00:36:50
root = 根っこ
415 :名無し検定1級さん:2009/04/20(月) 00:37:11
ルートだから道じゃねーのか?
>>415
それはroute
それはroute
417 :名無し検定1級さん:2009/04/20(月) 00:37:42
隣の席のやつ、消しゴム使う時
机ゆらしスギ
机ゆらしスギ
418 :名無し検定1級さん:2009/04/20(月) 00:37:47
ツリーの根っこ
419 :名無し検定1級さん:2009/04/20(月) 00:38:44
root = 根っこ
これ豆知識な
隣の席のやつ鼻をすすりすぎ
ティッシュぐらいもってこい
ティッシュぐらいもってこい
貸してやれよ
422 :名無し検定1級さん:2009/04/20(月) 00:40:09
そろそろ疲れてきたぞ
423 :名無し検定1級さん:2009/04/20(月) 00:40:12
424 :名無し検定1級さん:2009/04/20(月) 00:40:18
roots
>>412
販社からの注文メールの復号とか偽の署名が付いた請求書メールの送信とか
販社からの注文メールの復号とか偽の署名が付いた請求書メールの送信とか
ふぅ〜
ギンギン収まったので、寝ます!
ギンギン収まったので、寝ます!
>>426
ソース
ソース
午前1 17じゃNGだよね・・・・・・
午前2は23あったのに・・・・・・・・
午前2は23あったのに・・・・・・・・
>>427
イカリソース株式会社 (大阪市福島区、明治29年創業)http://www.ikari-s.co.jp/
カゴメ株式会社 (名古屋市中区、明治32年創業)http://www.kagome.co.jp/
ブルドックソース株式会社(東京都中央区、明治35年創業)http://www.bulldog.co.jp/
オリバーソース株式会社 (神戸市中央区、大正12年創業)http://www.oliversauce.com/
コーミ株式会社 (名古屋市東区、昭和25年設立)http://www.komi.co.jp/
日本デルモンテ株式会社 (東京都中央区、昭和36年設立)http://www.delmonte.co.jp/
ポパイ食品工業株式会社 (東京都品川区)
イカリソース株式会社 (大阪市福島区、明治29年創業)http://www.ikari-s.co.jp/
カゴメ株式会社 (名古屋市中区、明治32年創業)http://www.kagome.co.jp/
ブルドックソース株式会社(東京都中央区、明治35年創業)http://www.bulldog.co.jp/
オリバーソース株式会社 (神戸市中央区、大正12年創業)http://www.oliversauce.com/
コーミ株式会社 (名古屋市東区、昭和25年設立)http://www.komi.co.jp/
日本デルモンテ株式会社 (東京都中央区、昭和36年設立)http://www.delmonte.co.jp/
ポパイ食品工業株式会社 (東京都品川区)
430 :名無し検定1級さん:2009/04/20(月) 00:45:07
>>429
d
d
◆受験生ならこれくらい解けるよな?
A:What's the matter?
B:( ) I said made her very angry.
問:( )に入るものを次の4つから選びなさい
A:How B:Why C:That D:What
A:What's the matter?
B:( ) I said made her very angry.
問:( )に入るものを次の4つから選びなさい
A:How B:Why C:That D:What
>>428
マークミスしてない限りアウト
マークミスしてない限りアウト
>>431
受験生じゃないから解けません><
受験生じゃないから解けません><
435 :名無し検定1級さん:2009/04/20(月) 00:46:33
午後1なんすけど
問1 70%
問2 50%
ってアウト方面っすかね…?
問1 70%
問2 50%
ってアウト方面っすかね…?
もう寝ろ
>>436
オマエモナー
オマエモナー
俺は
A社とグループ販社の担当者間のメールが第三者に閲覧される可能性がある
て書いたけど、皆の解答を見ると飛躍しすぎかなと思ってた。
普通に改ざんされたメールが届くとか書けばよかったかな。
A社とグループ販社の担当者間のメールが第三者に閲覧される可能性がある
て書いたけど、皆の解答を見ると飛躍しすぎかなと思ってた。
普通に改ざんされたメールが届くとか書けばよかったかな。
スネークの犠牲者
968 名前:名無し検定1級さん[sage] 投稿日:2009/04/19(日) 21:26:11
午前2問25のダンボール
見事に引っかかったw
指摘事項だったのか…死にたい
968 名前:名無し検定1級さん[sage] 投稿日:2009/04/19(日) 21:26:11
午前2問25のダンボール
見事に引っかかったw
指摘事項だったのか…死にたい
itecって今落ちてる?
http://www.itec.co.jp/
http://www.itec.co.jp/
下のバーにIPアドレスが出てるから名前解決はできてるなwwww
たぶんパッチ適用のためのロードバランシング失敗だな
telnet で80ポート叩いたら一応接続はできた。
そういえばIPパスポートの受験者って数万人いたんだっけ。
スレの勢いもあるし
HTTP POST で送信できない HTML 要素って何?
textarea じゃあ収まらんし、input じゃあ漠然としてるし。
textarea じゃあ収まらんし、input じゃあ漠然としてるし。
>>447
いやWebサーバプログラムに不必要な権限が付与されていたからじゃね?(w
いやWebサーバプログラムに不必要な権限が付与されていたからじゃね?(w
俺もダンボールには引っかかったが、
21/25 だったから何とかなると思ってる。
しかしひどい問題だ。
21/25 だったから何とかなると思ってる。
しかしひどい問題だ。
サーバがダンボールの中に設置されている
ちなみにダンボールじゃなくて何使えばいいんだ??
456 :名無し検定1級さん:2009/04/20(月) 01:00:07
>>455
まじめに答えると鍵付きの丈夫なケース
まじめに答えると鍵付きの丈夫なケース
457 :名無し検定1級さん:2009/04/20(月) 01:00:53
カギ付きのボックスとか
>>456
ああ、なるほどね。。。
ああ、なるほどね。。。
なんという可用性の低さ
さすがitec
さすがitec
ダンボールに引っかかったってどういう意味だw
正直、ダンボール以外の突っ込みどころが見つからなかった。
ダンボールだと、耐火耐水面で見ても問題ありだしね。
ダンボールだと、耐火耐水面で見ても問題ありだしね。
昔はアルミホイルを巻いてたけど意味あったのかな?
463 :松山 赤○○字 病員 清 掃 商 事:2009/04/20(月) 01:02:22
愛媛県松山市民です パワハラで再発した鬱が原因で死にたいです
用意できるもの
車 練炭 睡眠薬 酒 車二台
用意できるもの
車 練炭 睡眠薬 酒 車二台
ダンボールは無くなっても紛失したのか盗難したのか、
そもそも渡してないのかがわからなくなるからだめ
そもそも渡してないのかがわからなくなるからだめ
エロDVD入れとくならスポーツバックだろjk
>>455
これ過去問だからアイテックの解説を参照すると
梱包を十分な強度にする
媒体の配送においては。施錠されたコンテナの使用を考慮すること
ってある
http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex01.pdf
情報セキュリティ管理基準 ってやつに書いてあるらしい
これ過去問だからアイテックの解説を参照すると
梱包を十分な強度にする
媒体の配送においては。施錠されたコンテナの使用を考慮すること
ってある
http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex01.pdf
情報セキュリティ管理基準 ってやつに書いてあるらしい
ダンボールは容器云々よりも業者に渡すだけで記録つけてないから
機密情報持ち逃げされてもシラネってことじゃね?
あ、俺も128bit / MD5って回答したorz
機密情報持ち逃げされてもシラネってことじゃね?
あ、俺も128bit / MD5って回答したorz
>>462
テンペスト防止?
テンペスト防止?
ダンボールに入れたバックアップ媒体から電磁波出るのか?w
開始直前「照明が暗い」
ってクレームつけたのがいた。
午前Tの終了20分前に試験官が
「あと10分」って叫んであせった。
…ってワケで午前は集中力かき乱されて
25/30
20/25
午後Tでオワタ… orz
ってクレームつけたのがいた。
午前Tの終了20分前に試験官が
「あと10分」って叫んであせった。
…ってワケで午前は集中力かき乱されて
25/30
20/25
午後Tでオワタ… orz
指摘事項
→やらなきゃならないこと
→やっちゃだめなこと
前者の意味で解釈した不幸な奴は、イの機密契約?の誤答が多そうだな。
→やらなきゃならないこと
→やっちゃだめなこと
前者の意味で解釈した不幸な奴は、イの機密契約?の誤答が多そうだな。
アルミホイルで、磁気遮断できるんじゃなかったっけ。
まあ、午前なんかどうでもいいんだけどな。
問題は午後だ。
ボーダーが跳ね上がりそう。
午後2なんかいろんな解答パターンがありそうだしw
問題は午後だ。
ボーダーが跳ね上がりそう。
午後2なんかいろんな解答パターンがありそうだしw
>311
WebサーバとWebアプリが同一の権限(ユーザ)とは
どこにも書いていないから、Webサーバの権限奪取で
DBアクセスし放題とは限らなくね?
WebサーバとWebアプリが同一の権限(ユーザ)とは
どこにも書いていないから、Webサーバの権限奪取で
DBアクセスし放題とは限らなくね?
ボーダーは60点固定ですよ
そいや hidden って書いた。。 orz
真っ黒な服の女の試験官の説明の声が小さすぎてほとんど聞こえず、
指摘されてもすぐに元通り。おめー誰の葬式だよ。
指摘されてもすぐに元通り。おめー誰の葬式だよ。
480 :名無し検定1級さん:2009/04/20(月) 01:59:57
これ、公開情報
合格基準:
午前1 満点100点 満点の60%
午前2 満点100点 満点の60%
午後1 満点100点 満点の60%
午後2 満点100点 満点の60%
今回から相対評価じゃないでしょ。
問題難易度・受験者の出来関係なく
すべて60点以上とった者が合格でしょ?
合格基準:
午前1 満点100点 満点の60%
午前2 満点100点 満点の60%
午後1 満点100点 満点の60%
午後2 満点100点 満点の60%
今回から相対評価じゃないでしょ。
問題難易度・受験者の出来関係なく
すべて60点以上とった者が合格でしょ?
ダンボールの問題ゴミと間違われて捨てられるからかと思ったら違ったのね
ほら、よく証拠を間違って捨てちゃったりとかあるるでしょ
ほら、よく証拠を間違って捨てちゃったりとかあるるでしょ
ここの人達ってなんだかみんな優秀なんだなぁ
このスレに限って言えば平均点も合格率も高いだろな
このスレに限って言えば平均点も合格率も高いだろな
試験会場やこんなスレに顔出す人は、ある程度やる気ある人だよ。
合格率を下げてるのは、会場にすら来ない人。
ちなみに高度情報処理何回か受けてるけど、午後にこんなに人が残ってたのは初めてだ。
みんな午前に手応えあったんだろうなぁ。
合格率を下げてるのは、会場にすら来ない人。
ちなみに高度情報処理何回か受けてるけど、午後にこんなに人が残ってたのは初めてだ。
みんな午前に手応えあったんだろうなぁ。
484 :名無し検定1級さん:2009/04/20(月) 02:50:20
485 :名無し検定1級さん:2009/04/20(月) 02:52:51
午後2の問2を選んだ人が少ないようなので自分も解答例の概要(文字数適当)をアップ。
出題の意図を良く読まないと、案外的外れな解答になりやすい落とし穴的な問題ばかりだと感じた。
設問1
(1)経営陣を交えた全社的な会議
(理由:どの会社でも情報セキュリティ委員会という名称でもないだろうし、承認は経営者会議の議題の一つでも良い)
(2)以下の内容を混ぜて記載
・責任区分が明確にならず、瑕疵対象に関する紛議に発展する
・脆弱性の解消作業に伴い、運用開始・スケジュール・納品などが遅れ、場合により追加費用が発生する
設問2
(1)b 更新審査(理由:「2年前に取得し・・・」と問題文にあるので、翌年の更新時期に備える)
c ntp
(2)ウイルス対策ソフトが出力する動作ログの集約と分析
(3)設定仕様書に明記された提供サービス以外のサービス提供を検出した場合
(4)各種災害により消失や水没などした場合、サーバ内のデータとバックアップデータを一度に失う
(5)社外の第三者の視点による調査の方が客観性があり、調査結果に精度と信頼性が伴うため
設問3
(1)Webアプリケーションの開発言語や各種フィールドが千差万別であるため統一的なシグネチャを生成することが難しい
(2)WAFはすべての攻撃を防げないので、Webアプリケーション側の対策も同時に行わないと攻撃を受ける危険性が残る
設問4
(1)エ(イかも)
(2)ファイルに対するアクセス制限をかけて従業員による内容の閲覧を不可能にする
設問5
作業:PDIDSSの各項目をISMSの管理策として追加し、PDCAの運用サイクルに組み入れる
(理由:管理策は133個以外にも自由に追加が可能であるので、PCIDSSの項目も追加する)
設問2の(3)は、ポートスキャンの振る舞いではなく、不要なサービスか否かを見極めるための判断基準を問われているととらえています。
出題の意図を良く読まないと、案外的外れな解答になりやすい落とし穴的な問題ばかりだと感じた。
設問1
(1)経営陣を交えた全社的な会議
(理由:どの会社でも情報セキュリティ委員会という名称でもないだろうし、承認は経営者会議の議題の一つでも良い)
(2)以下の内容を混ぜて記載
・責任区分が明確にならず、瑕疵対象に関する紛議に発展する
・脆弱性の解消作業に伴い、運用開始・スケジュール・納品などが遅れ、場合により追加費用が発生する
設問2
(1)b 更新審査(理由:「2年前に取得し・・・」と問題文にあるので、翌年の更新時期に備える)
c ntp
(2)ウイルス対策ソフトが出力する動作ログの集約と分析
(3)設定仕様書に明記された提供サービス以外のサービス提供を検出した場合
(4)各種災害により消失や水没などした場合、サーバ内のデータとバックアップデータを一度に失う
(5)社外の第三者の視点による調査の方が客観性があり、調査結果に精度と信頼性が伴うため
設問3
(1)Webアプリケーションの開発言語や各種フィールドが千差万別であるため統一的なシグネチャを生成することが難しい
(2)WAFはすべての攻撃を防げないので、Webアプリケーション側の対策も同時に行わないと攻撃を受ける危険性が残る
設問4
(1)エ(イかも)
(2)ファイルに対するアクセス制限をかけて従業員による内容の閲覧を不可能にする
設問5
作業:PDIDSSの各項目をISMSの管理策として追加し、PDCAの運用サイクルに組み入れる
(理由:管理策は133個以外にも自由に追加が可能であるので、PCIDSSの項目も追加する)
設問2の(3)は、ポートスキャンの振る舞いではなく、不要なサービスか否かを見極めるための判断基準を問われているととらえています。
486 :sage:2009/04/20(月) 03:09:39
> 合格率を下げてるのは、会場にすら来ない人。
会場に来ない人の数は、合格率算出から除かれてますよー
今回、午後1・午後2共に、何とでも解答を書ける内容の
問題ばかりで逆に慎重になった。
過去にないくらい、大勢の人が早々と退出したけど、私は
逆に時間ギリギリまで粘って文章に推敲を重ねた。
今回は文章の言い回しの差がシビアに出るのでは・・・。
会場に来ない人の数は、合格率算出から除かれてますよー
今回、午後1・午後2共に、何とでも解答を書ける内容の
問題ばかりで逆に慎重になった。
過去にないくらい、大勢の人が早々と退出したけど、私は
逆に時間ギリギリまで粘って文章に推敲を重ねた。
今回は文章の言い回しの差がシビアに出るのでは・・・。
487 :名無し検定1級さん:2009/04/20(月) 03:15:42
午前T合格したらその後2年間午前T免除ってあるが2年間っていつまで?
来年の秋まで免除? 来年の春まで免除?
来年の秋まで免除? 来年の春まで免除?
489 :名無し検定1級さん:2009/04/20(月) 03:34:39
490 :名無し検定1級さん:2009/04/20(月) 04:52:22
午後の回答って五月に発表だっけ?
昨年の統計を見てたら、
情報セキュリティスペシャリストを高校生が受験してて、
しかも一人受かってる
情報セキュリティスペシャリストを高校生が受験してて、
しかも一人受かってる
は、昨年?
午後Uの問2選んだ人少ないのかな・・・
確かに、後から見ると判断に迷う問題が多かったね。
特に最初とかorz
こんな感じで書いたけどどうだろうか。
午後U
設問1
(1) 経営陣による会議
(2) 開発委託先に対してセキュリティ脆弱性の修正を求められず、P社負担で修正しなければならない可能性がある
設問2
(1) b 設備投資, c NTP
(2) ウィルス対策ソフトの設定確認とアプリケーションログの確認
(3) サーバ設定書、システム設計書で使用しているサービスとポートスキャンツールの結果により判断する
(4) 地震や火災により、サーバ室のサーバ内データとバックアップデータが同時に使用不能となる恐れがある
(5) システム管理担当であり、不都合な結果を隠す可能性がある
設問3
(1) 不特定多数の利用者のあらゆるアクセスを想定して、遮断するシグネチャを設定するのが難しいため
(2) SQLインジェクションやクロスサイトスクリプティングなどアプリケーション上の脆弱性に対応されていないため
設問4
(1) イ
(2) DBサーバのトランザクションログに対するアクセス制限を強化する
設問5
インシデント対応計画の見直しとテスト、従業員および派遣社員向けの情報セキュリティーポリシー整備と教育
確かに、後から見ると判断に迷う問題が多かったね。
特に最初とかorz
こんな感じで書いたけどどうだろうか。
午後U
設問1
(1) 経営陣による会議
(2) 開発委託先に対してセキュリティ脆弱性の修正を求められず、P社負担で修正しなければならない可能性がある
設問2
(1) b 設備投資, c NTP
(2) ウィルス対策ソフトの設定確認とアプリケーションログの確認
(3) サーバ設定書、システム設計書で使用しているサービスとポートスキャンツールの結果により判断する
(4) 地震や火災により、サーバ室のサーバ内データとバックアップデータが同時に使用不能となる恐れがある
(5) システム管理担当であり、不都合な結果を隠す可能性がある
設問3
(1) 不特定多数の利用者のあらゆるアクセスを想定して、遮断するシグネチャを設定するのが難しいため
(2) SQLインジェクションやクロスサイトスクリプティングなどアプリケーション上の脆弱性に対応されていないため
設問4
(1) イ
(2) DBサーバのトランザクションログに対するアクセス制限を強化する
設問5
インシデント対応計画の見直しとテスト、従業員および派遣社員向けの情報セキュリティーポリシー整備と教育
494 :名無し検定1級さん:2009/04/20(月) 07:42:45
449
要素って意味わからんがFORMにした
要素って意味わからんがFORMにした
RSAの1024、学生のころ、1024はミリタリーグレードだとか書いてあって、
おースゲーとか思ったのに、それから13年経っちまったよ。もう。
ただ、ECDSAが160bitと書かれているので、
そこから類推するにRSAが128bitってのは、まぁありえないよね。
おースゲーとか思ったのに、それから13年経っちまったよ。もう。
ただ、ECDSAが160bitと書かれているので、
そこから類推するにRSAが128bitってのは、まぁありえないよね。
ダンボールは底が抜けるからダメだよ!
配達員が落としたことに気づかないじゃん
配達員が落としたことに気づかないじゃん
497 :名無し検定1級さん:2009/04/20(月) 07:59:20
元テクニカル系の試験の合格ラインが6割って本当?
試験要綱読んでない奴多いな
499 :名無し検定1級さん:2009/04/20(月) 08:03:40
セキュアド持ちの俺は、この試験合格者と同等の評価になるのか?
>>499
セキュアドのほうが格下じゃないかな
セキュアドのほうが格下じゃないかな
501 :名無し検定1級さん:2009/04/20(月) 08:06:08
えー、そうなのか
じゃあ、来年この試験を受けてみるかな
じゃあ、来年この試験を受けてみるかな
502 :名無し検定1級さん:2009/04/20(月) 08:13:17
セキュアドはソフ開とほぼ同じだっけ?
研究者が「SHA-1」のセキュリティを破る手法を発見 : セキュリティ - Computerworld.jp
http://www.computerworld.jp/news/sec/11541.html
2005年かよ・・・これは勉強不足だったとしか言いようがない
http://www.computerworld.jp/news/sec/11541.html
2005年かよ・・・これは勉強不足だったとしか言いようがない
504 :名無し検定1級さん:2009/04/20(月) 08:34:31
合格発表まで2ヶ月以上要するということは、
部分点をどうするかいろいろ検討するからなんだと
思っているんですが、みなさんはどう思いますか。
一般的にはそだよ。
解答例は事前に作成されてるが、答案サンプリングして、別解、部分点の検討が行われ、最終的な採点基準ができる。
解答例は事前に作成されてるが、答案サンプリングして、別解、部分点の検討が行われ、最終的な採点基準ができる。
>>492
テクニカルエンジニア 情報セキュリティだったごめん
テクニカルエンジニア 情報セキュリティだったごめん
507 :名無し検定1級さん:2009/04/20(月) 09:09:05
午後2 問2 設問4(2)
「アプリケーションでカード番号を暗号化してから、DBに書き込む」と回答。
トランザクションログにも暗号化された状態で出力されるので、見られても問題なし、と考えたんだが…。
「アプリケーションでカード番号を暗号化してから、DBに書き込む」と回答。
トランザクションログにも暗号化された状態で出力されるので、見られても問題なし、と考えたんだが…。
508 :名無し検定1級さん:2009/04/20(月) 09:09:19
午前1が一番難しかったね
509 :名無し検定1級さん:2009/04/20(月) 09:11:29
午後2の問2は無理して問題文を長くしてるよね
510 :名無し検定1級さん:2009/04/20(月) 09:14:09
1日たったねぇ
みんなおつかれさん
発表までいい夢見ようぜ
みんなおつかれさん
発表までいい夢見ようぜ
トランザクションログの話、分からんかったから、ハッシュ関数に通すって書いてしまったorz
暗号化できないだけでハッシュは通せるのかなと…
暗号化できないだけでハッシュは通せるのかなと…
512 :名無し検定1級さん:2009/04/20(月) 09:21:40
>>507
暗号化ダメだから他の案考えて、って話じゃなかった?
暗号化ダメだから他の案考えて、って話じゃなかった?
513 :名無し検定1級さん:2009/04/20(月) 09:28:38
暗号化とハッシュ化はロジックが異なるし、間違いではないと思うよ。
ハッシュ化したら元のトランザクションログの内容が
確認できなくならないか?
確認できなくならないか?
515 :名無し検定1級さん:2009/04/20(月) 09:40:56
午前T免除になる「基準点」は80点ぐらいだろーな。
516 :名無し検定1級さん:2009/04/20(月) 09:49:26
ハッシュも暗号化も×
過去のログについて言及出来てない
過去のログについて言及出来てない
試験要綱くらい読めよな…
518 :名無し検定1級さん:2009/04/20(月) 10:06:25
午後ニの問2のトランザクションログの答えに、ログをバイト単位で分散してディスク(れいどみたいに)に記録するって書いたけどどうかな?
怒らないでマジレスしてほしいんだけど
なんでこんな時間に書き込みできるわけ?
普通の人なら学校や会社があるはずなんだけど
このこと知った親は悲しむぞ?
現実見ようぜ
なんでこんな時間に書き込みできるわけ?
普通の人なら学校や会社があるはずなんだけど
このこと知った親は悲しむぞ?
現実見ようぜ
合格発表いつだっけ
6月30日だったかな
>>519
大学生だからいいんだお^ω^
大学生だからいいんだお^ω^
>>519
鏡みてみな
鏡みてみな
525 :名無し検定1級さん:2009/04/20(月) 10:53:36
今回も午後でおわったな・・・
ネスペから本気出す
ネスペから本気出す
526 :名無し検定1級さん:2009/04/20(月) 11:03:26
試験終わったときは反省をこめて勉強やる気があるけど
試験前にはなくなってる俺ってなに
試験前にはなくなってる俺ってなに
527 :名無し検定1級さん:2009/04/20(月) 11:09:27
529 :名無し検定1級さん:2009/04/20(月) 11:26:59
別解や部分点の裁量は、受験者側は絶対に分かり得ないよね。
今回の午後U問2は、どう解答書いても部分点があるような
問題が多かったと思うし。
6月30日まで長いな。
合格点が60点なんだから、免除の基準点も60点だろ。
531 :名無し検定1級さん:2009/04/20(月) 11:45:24
Form優勢か
BODYと書いた俺はアウトか
BODYと書いた俺はアウトか
532 :名無し検定1級さん:2009/04/20(月) 11:52:03
俺様もbodyって書いた。
だって、postの場合、利用者の入力値はbodyに登録されて転送されるって、
アイテックの午後重点対策に書いてあったし。
533 :名無し検定1級さん:2009/04/20(月) 11:56:58
午前1免除は合格発表時に併せて教えてくれるのですか?
節子、それHTMLの要素やないHTTPの要素や
>>532
お前htmlとhttpの区別も付かないのに高度受験してんの?
お前htmlとhttpの区別も付かないのに高度受験してんの?
536 :名無し検定1級さん:2009/04/20(月) 12:10:35
誰か書いてたけど、トランザクションログのはアクセス権で制御しろってことじゃね?
お 前 ら 仕 事 は ?
BODYワロタ
そりゃHTMLにも<body>は有るけど話が違うでしょw
そりゃHTMLにも<body>は有るけど話が違うでしょw
539 :名無し検定1級さん:2009/04/20(月) 12:32:38
そんなこと言って、僕のこといぢめないで!
540 :名無し検定1級さん:2009/04/20(月) 12:42:42
んなこといったら<html>でも正解か?
>>507
同じく。Webアプリケーションでカード番号を暗号化して管理するって書きました。
理由は、
・「2.目的」のところで「判読困難にすることによって」って書いてある
・ログを暗号化できないのはあくまでもDBMSの制約
・「3.特定されるリスク」の「DBサーバにアクセス可能な従業員」にはrootも含まれる
いいとこどりすぎ?
同じく。Webアプリケーションでカード番号を暗号化して管理するって書きました。
理由は、
・「2.目的」のところで「判読困難にすることによって」って書いてある
・ログを暗号化できないのはあくまでもDBMSの制約
・「3.特定されるリスク」の「DBサーバにアクセス可能な従業員」にはrootも含まれる
いいとこどりすぎ?
午後2の2の設問4(1)はエだろ
リスク回避ならログを取らないとかそういうことにならないか
リスク回避ならログを取らないとかそういうことにならないか
543 :名無し検定1級さん:2009/04/20(月) 12:56:30
初歩的な質問なんですが
DNSの正引きってPCから直接インターネットへDNSパケットを飛ばすものなのでしょうか?
PCに設定してあるDNSサーバーへ問い合わせて、見つからなかったらDNSサーバーが代理でインターネットへDNSパケットを飛ばすのではないのですか?
DNSの正引きってPCから直接インターネットへDNSパケットを飛ばすものなのでしょうか?
PCに設定してあるDNSサーバーへ問い合わせて、見つからなかったらDNSサーバーが代理でインターネットへDNSパケットを飛ばすのではないのですか?
544 :名無し検定1級さん:2009/04/20(月) 13:07:04
>>543
どの問題のどの部分のことを言ってるの?
どの問題のどの部分のことを言ってるの?
>>147
SNTPって、通信の遅延の補正をはしょってなかったっけ?
SNTPって、通信の遅延の補正をはしょってなかったっけ?
>>543
yes
yes
あ、一番下がYesね
2行目は違うよ
2行目は違うよ
548 :名無し検定1級さん:2009/04/20(月) 13:11:42
午後1問1のipaに何度も問い合わせている件です
549 :名無し検定1級さん:2009/04/20(月) 13:16:19
>>548
社内クライアントはDMZのDNSに問い合わせをするように構成されている
んでもって、DMZのDNSに問い合わせをしている
それだけなんだが。
どこにPCからインターネットにDNSクエリを投げてるって情報書いてあるんだろ。
社内クライアントはDMZのDNSに問い合わせをするように構成されている
んでもって、DMZのDNSに問い合わせをしている
それだけなんだが。
どこにPCからインターネットにDNSクエリを投げてるって情報書いてあるんだろ。
>541
俺はアクセス制御で書いた。
>・「2.目的」のところで「判読困難にすることによって」って書いてある
そこは「元のコントロールの目的を定義し」だから、そもそもの目的と解釈した。
>・ログを暗号化できないのはあくまでもDBMSの制約
これはそうだけど、問題文中に「できるだけ追加投資をしたくない」とある。
Webアプリで暗号化できるとは問題文中に書いてないから、開発に追加投資がかかるよね。
>・「3.特定されるリスク」の「DBサーバにアクセス可能な従業員」にはrootも含まれる
図2の要件7でDBへのアクセスは業務上必要な範囲に制限されているから
従業員に対してrootは割り振らないと判断した。
俺はアクセス制御で書いた。
>・「2.目的」のところで「判読困難にすることによって」って書いてある
そこは「元のコントロールの目的を定義し」だから、そもそもの目的と解釈した。
>・ログを暗号化できないのはあくまでもDBMSの制約
これはそうだけど、問題文中に「できるだけ追加投資をしたくない」とある。
Webアプリで暗号化できるとは問題文中に書いてないから、開発に追加投資がかかるよね。
>・「3.特定されるリスク」の「DBサーバにアクセス可能な従業員」にはrootも含まれる
図2の要件7でDBへのアクセスは業務上必要な範囲に制限されているから
従業員に対してrootは割り振らないと判断した。
551 :名無し検定1級さん:2009/04/20(月) 13:45:42
DBと別経路でログ暗号化したらDBMSがログかけねーだろ
アホか
アホか
552 :名無し検定1級さん:2009/04/20(月) 14:06:03
午後1問1の図4で
a1a2a3a4からb1b2b3b4へDNS投げてますが
a1a2a3a4はα部内なのでDNSサーバーではないですよね
b1b2b3b4はインターネットのIPアドレスなのでPCが直接インターネットへクエリーを投げてると思ったのです
a1a2a3a4からb1b2b3b4へDNS投げてますが
a1a2a3a4はα部内なのでDNSサーバーではないですよね
b1b2b3b4はインターネットのIPアドレスなのでPCが直接インターネットへクエリーを投げてると思ったのです
553 :名無し検定1級さん:2009/04/20(月) 14:09:50
うん、それで正しい。内部DNS挟まないのは異常動作。
554 :名無し検定1級さん:2009/04/20(月) 14:12:07
要は設2の問1の30字以内で答えよは
「PCからインターネットへ直接名前解決しようとしている」にしたのですよ
「PCからインターネットへ直接名前解決しようとしている」にしたのですよ
555 :名無し検定1級さん:2009/04/20(月) 14:12:39
>>537こそ大人しく
仕 事 し て な さ い
仕 事 し て な さ い
ここで正しいって言われても当てにならないからな
なら見なくていいんだぞ。
問題があいまいだから解答もいっぱいなんだよな
ITACの回答速報に情報セキュリティだけ掲載されないのはなぜ?
やっぱり悪問で回答が分かれているからとかだろうか。
やっぱり悪問で回答が分かれているからとかだろうか。
563 :名無し検定1級さん:2009/04/20(月) 14:35:51
アイテックの講評きた
ITEC講評
http://www.itec.co.jp/auto_mark/comment/index.html
ざっくり要点だけ引っ張ってくると・・・
午後1
難易度が少し高くなった印象(1がやや難、他は標準)
午後2
難易度は標準
字数が増加したため、分かりやすい文章表現で解答を作成できたかが60点に達するかの分かれ目
http://www.itec.co.jp/auto_mark/comment/index.html
ざっくり要点だけ引っ張ってくると・・・
午後1
難易度が少し高くなった印象(1がやや難、他は標準)
午後2
難易度は標準
字数が増加したため、分かりやすい文章表現で解答を作成できたかが60点に達するかの分かれ目
午前1突破できるやつなら午前2は問題なく通過できるだろう って評価か
実際今回午前1で落ちるやつは相当少ないみたいだな
おまえら、IPAから郵送物があってもうかれるなよw
今回から「午前1合格者は2年間の午前1免除制度」が開始される。
IPAに確認したところ、郵送で午前1免除通知が届けられるそうだ。
合格証書と勘違いしないようになw
今回から「午前1合格者は2年間の午前1免除制度」が開始される。
IPAに確認したところ、郵送で午前1免除通知が届けられるそうだ。
合格証書と勘違いしないようになw
合格証書在中ってかいてらるから判断付くだろ
残ってるのは馴れ合い厨だけか
午前1
16問しかあってない・・・
16問しかあってない・・・
571 :名無し検定1級さん:2009/04/20(月) 15:21:19
マジですか?
>569
前日に午前の過去問やってれば余裕レベルだったのに……。
前日に午前の過去問やってれば余裕レベルだったのに……。
まあこれでも落ちる人がいるから、このレベルで済んでて助かってる。
ここ5年くらいで、3割程度しか高度試験合格はしてないけど、
午前で落ちるってのが考えられんわ
ここ5年くらいで、3割程度しか高度試験合格はしてないけど、
午前で落ちるってのが考えられんわ
574 :名無し検定1級さん:2009/04/20(月) 15:51:01
聞いてみたいんだけど、午後1の問1の答え合わせしない?
設問1
a.r
b.ウ
c.偽装
(3)
イ(DNS reflection)
(4)
2,5(ローマ数字)
修正:ipアドレスが登録されていないドメインに対するレスポンスをしない
設問2
g.ウ(ゾーン伝送)
(2)ア
設問3
(1)異常にコネクションの数が多いプロセスや、プロセス名及びポートが知られていないプロセス
(2)パターンファイルの更新チェックなどのパケット
設問1
a.r
b.ウ
c.偽装
(3)
イ(DNS reflection)
(4)
2,5(ローマ数字)
修正:ipアドレスが登録されていないドメインに対するレスポンスをしない
設問2
g.ウ(ゾーン伝送)
(2)ア
設問3
(1)異常にコネクションの数が多いプロセスや、プロセス名及びポートが知られていないプロセス
(2)パターンファイルの更新チェックなどのパケット
そもそも社内PCがMXレコード引くこと自体おかしいだろ
普通のメーラはSMTPサーバが固定で設定されているから引くのはAレコードだけ
普通のメーラはSMTPサーバが固定で設定されているから引くのはAレコードだけ
576 :名無し検定1級さん:2009/04/20(月) 15:59:25
>575
そこ!、そこを答えたよ。
答えに書き漏らした
プロセスの異常な動作については
あるドメインの全てのレコードをDNSサーバに要求している(MXレコード)
そこ!、そこを答えたよ。
答えに書き漏らした
プロセスの異常な動作については
あるドメインの全てのレコードをDNSサーバに要求している(MXレコード)
577 :名無し検定1級さん:2009/04/20(月) 16:03:30
えっち・てー・てー・ピー
いや俺もうまく書けなくて書き漏らしたんだけどな(w
MXレコードが解決しているのに何度も繰り返し引いてる、みたいな回答した
後から冷静になって考えたら、
・そもそも社内PCがMXレコード引くこと自体おかしい
・(まずないが百歩譲って)万が一引いたとしても、次に引くのはAレコード
じゃないとおかしいはず
MXレコードが解決しているのに何度も繰り返し引いてる、みたいな回答した
後から冷静になって考えたら、
・そもそも社内PCがMXレコード引くこと自体おかしい
・(まずないが百歩譲って)万が一引いたとしても、次に引くのはAレコード
じゃないとおかしいはず
579 :名無し検定1級さん:2009/04/20(月) 16:10:42
午後2 設問4-(1)の答えは??
回避っての多いけど、どうなの
もともと、暗号化(低減)かログから消去(回避)を考えて
結局、代替手段でアクセス制限したって流れでしょ。
"要件を満たさない場合でも、代替手段を行うことで***出来る場合には
代替管理策とすることで、要件の目的を実現することが可能"〜問題抜粋〜
普通、リスクは回避するか受容レベルまで落とすかの選択で
ログは残すから回避は出来てないよね。
受容レベルまで落とす手段として、低減か移転があるだよね?
これ、、
受容できる場合? 低減できる場合??
回避っての多いけど、どうなの
もともと、暗号化(低減)かログから消去(回避)を考えて
結局、代替手段でアクセス制限したって流れでしょ。
"要件を満たさない場合でも、代替手段を行うことで***出来る場合には
代替管理策とすることで、要件の目的を実現することが可能"〜問題抜粋〜
普通、リスクは回避するか受容レベルまで落とすかの選択で
ログは残すから回避は出来てないよね。
受容レベルまで落とす手段として、低減か移転があるだよね?
これ、、
受容できる場合? 低減できる場合??
>>574
> 修正:ipアドレスが登録されていないドメインに対するレスポンスをしない
文章としておかしい気がする。ドメインって何?
再帰クエリ、再帰検索に触れてないと×だと思う
> g.ウ(ゾーン伝送)
エだよ。Queryって書いてあるのにゾーン転送なわけない
> (1)異常にコネクションの数が多いプロセスや、プロセス名及びポートが知られていないプロセス
設問無視してない?図4の情報を元に答えたとわかる文章にしないと。
> 修正:ipアドレスが登録されていないドメインに対するレスポンスをしない
文章としておかしい気がする。ドメインって何?
再帰クエリ、再帰検索に触れてないと×だと思う
> g.ウ(ゾーン伝送)
エだよ。Queryって書いてあるのにゾーン転送なわけない
> (1)異常にコネクションの数が多いプロセスや、プロセス名及びポートが知られていないプロセス
設問無視してない?図4の情報を元に答えたとわかる文章にしないと。
582 :名無し検定1級さん:2009/04/20(月) 16:22:44
>580
図4でプロセスを特定するのではなく、プロセスモニターで特定するのだぞ
つまり、具体的なパケットよりもプロセスモニターで見れる特徴で特定する必要が
あるわけだ。パケットの解析によってPCを特定し、プロセスモニターによってプロセス
を特定するというわけだよ。
エについては、smtpを用いて送信するパケットがキャッチされていないから
ちょっと判断できないのでは?と思った。確かにゾーン転送でもなさそうな気が
したけど。。
また、試験中に実際書いた文書をメモってないので、似たようなやつを書いてみただけ
図4でプロセスを特定するのではなく、プロセスモニターで特定するのだぞ
つまり、具体的なパケットよりもプロセスモニターで見れる特徴で特定する必要が
あるわけだ。パケットの解析によってPCを特定し、プロセスモニターによってプロセス
を特定するというわけだよ。
エについては、smtpを用いて送信するパケットがキャッチされていないから
ちょっと判断できないのでは?と思った。確かにゾーン転送でもなさそうな気が
したけど。。
また、試験中に実際書いた文書をメモってないので、似たようなやつを書いてみただけ
583 :名無し検定1級さん:2009/04/20(月) 16:25:53
>>582
激同ヽ(`Д´)ノやっとわかる奴が現れたよ(ノ∀`)
プロセスモニタで捕捉できる情報として、宛先のIPアドレスやポート番号というのがわざわざ本文に記してあるm9(・A・`)
それに即して解答しなきゃなんねーってのにこいつらときたら(ノ∀`)
激同ヽ(`Д´)ノやっとわかる奴が現れたよ(ノ∀`)
プロセスモニタで捕捉できる情報として、宛先のIPアドレスやポート番号というのがわざわざ本文に記してあるm9(・A・`)
それに即して解答しなきゃなんねーってのにこいつらときたら(ノ∀`)
>>582
図4で通信と端末を特定して、それを元に割り出された端末を見に行ったんだから
対応した通信を発生してるプロセス見なきゃだろ。
これに外れる通信ってのは、ルータ越えしてない通信だけなんだが。
> 584
図4の情報とマッチングできる、って意味。
午後1って、ほぼ書かれているものから抜粋して解答が基本だと思ってるんだが。
図4で通信と端末を特定して、それを元に割り出された端末を見に行ったんだから
対応した通信を発生してるプロセス見なきゃだろ。
これに外れる通信ってのは、ルータ越えしてない通信だけなんだが。
> 584
図4の情報とマッチングできる、って意味。
午後1って、ほぼ書かれているものから抜粋して解答が基本だと思ってるんだが。
586 :名無し検定1級さん:2009/04/20(月) 16:38:07
やばい、さき気づいたけど、設問2の(2)は二つ選択しろだったか。1つしか選んでないorz
つか、不審な通信を行うプロセスを止めても、
それが図4に関する通信じゃなかったら、今回の問題って解決しないだろ。
確かに不審な通信一般で書けば、図4の通信も含まれはするが、
あえて広くとらえる意味がわからん、ってだけだ。
それが図4に関する通信じゃなかったら、今回の問題って解決しないだろ。
確かに不審な通信一般で書けば、図4の通信も含まれはするが、
あえて広くとらえる意味がわからん、ってだけだ。
588 :名無し検定1級さん:2009/04/20(月) 17:14:26
回答用紙にコンマが付いていただろうに
>>471
同じ部屋だ、たぶんw
同じ部屋だ、たぶんw
590 :名無し検定1級さん:2009/04/20(月) 18:03:17
>>565
午前1が16問正解で午前2が19問正解だけど?文句ある?
午前1が16問正解で午前2が19問正解だけど?文句ある?
落ちてくれてありがとう
午前1も2も、20問から足切りでいいよ。
593 :名無し検定1級さん:2009/04/20(月) 18:36:19
596 :名無し検定1級さん:2009/04/20(月) 18:51:45
今年は業務柄仕方なくエンベデッド試験を受験したが、
無事合格できてたら、来年こそはセキュリティ試験を受けようと思う
セキュアド合格程度の知識しかないが、大丈夫だろうか?
無事合格できてたら、来年こそはセキュリティ試験を受けようと思う
セキュアド合格程度の知識しかないが、大丈夫だろうか?
しかも特撮いうわりには仮面ライダーディケイドのカテゴリーねーし。。。
>>596
秋は別の受けるの?
秋は別の受けるの?
599 :名無し検定1級さん:2009/04/20(月) 19:06:48
netbios って tcp-syn 使って外部通信しても良いのか(できるんか)?
もともとLAN内通信のプロトコルだろ?
もともとLAN内通信のプロトコルだろ?
600 :名無し検定1級さん:2009/04/20(月) 19:09:35
601 :名無し検定1級さん:2009/04/20(月) 19:11:54
over TCP/IP
家庭用のルータにはNetBIOSのルーティングを禁止する設定があるとおもうんだが
itecの珍解答マダー?
今年25だけど知識がまったく身についてないことを実感した
ちょっと本気だすわ
ネスペとってリベンジしよう
ちょっと本気だすわ
ネスペとってリベンジしよう
うちのBBルータYAMAHAだけど、NetBIOSは外向き(LAN→WAN)もデフォルトで止めるフィルタ入ってる
午後1最初の(c)の穴埋め
IPアドレスに[ c ]した場合・・・
この場合答え「なりすまし」にしたら「なりすましした場合・・・」でなんか違和感あったので
で「なりすま」と答えたんだがどうかな?
IPアドレスに[ c ]した場合・・・
この場合答え「なりすまし」にしたら「なりすましした場合・・・」でなんか違和感あったので
で「なりすま」と答えたんだがどうかな?
>>608
ITACの人乙
ITACの人乙
610 :名無し検定1級さん:2009/04/20(月) 19:53:39
ところでさ、午前受かってる自信あるのか?
みんな午前チョロイチョロイ 午前2簡単っていうけど
俺はギリギリだった
すまないみんな 俺は・・・
俺はギリギリだった
すまないみんな 俺は・・・
612 :名無し検定1級さん:2009/04/20(月) 19:57:58
なあ
ショルダーハックによってブラウザのアドレスバーに表示しているクリトリスを盗み見る
これ正解だよな
ショルダーハックによってブラウザのアドレスバーに表示しているクリトリスを盗み見る
これ正解だよな
>>610
つhttp://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2009h21.html#21haru
素点方式の6割合格なんだから、自己採点すれば分かるだろ。
まあ、終わった瞬間合格を確信するぐらい簡単だったけどな。
つhttp://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2009h21.html#21haru
素点方式の6割合格なんだから、自己採点すれば分かるだろ。
まあ、終わった瞬間合格を確信するぐらい簡単だったけどな。
午前2なんか満点続出でしょ?
うちの同僚も満点か1問間違えが多かった
うちの同僚も満点か1問間違えが多かった
試験中、ずっと頭の中でアマガミのテーマ曲が流れ続けていた俺がきましたよ
集中力なさすぎ orz
集中力なさすぎ orz
618 :名無し検定1級さん:2009/04/20(月) 20:09:24
受験者の99パーセント
冴えないファッションのおっさんばかりだった
てことは此処もおさーんばかり?
ミニはかないでよかった
冴えないファッションのおっさんばかりだった
てことは此処もおさーんばかり?
ミニはかないでよかった
この中で20代前半イケメンは俺くらいだろうな
620 :名無し検定1級さん:2009/04/20(月) 20:13:40
この中で30代前半イケメンは俺くらいだろうな
とブサメン2トップが申しております
>>608
偽装じゃねーかな?
偽装じゃねーかな?
うわ、マジレスかよ
>>618
チラホラ見かけた女も結婚出来そうに無い容姿のオバハンばっかりだったけどなw
チラホラ見かけた女も結婚出来そうに無い容姿のオバハンばっかりだったけどなw
監視員のバイトのねーちゃんはかわいかったけどな
話しかけるきっかけがなかったのが残念だ
話しかけるきっかけがなかったのが残念だ
きっかけは作りだすものだよ
627 :名無し:2009/04/20(月) 20:36:26
午後2 問2
RDBMSのログの出力項目って指定できないの?
RDBMSのログの出力項目って指定できないの?
629 :名無し検定1級さん:2009/04/20(月) 20:40:29
book-offで、数年前のセキュアドの問題集、参考書が100円であったから、
それを5冊ほど買って、今回に望んだけど、過去問多かったね。
でも、微妙に範囲が違うんだね。今回の試験。
Perlが出るなんて、知らなかったよ。
それを5冊ほど買って、今回に望んだけど、過去問多かったね。
でも、微妙に範囲が違うんだね。今回の試験。
Perlが出るなんて、知らなかったよ。
オレオレCAって結構メジャーな単語だったのね..
oresignワロタ
oresignワロタ
情処の試験は毎回秋葉にもいねーよって感じの超絶キモオタばかりでマジどん引き
だが今回明治学院で受けたら3割くらいはまともな格好をしてた
5回くらい受けて初の快挙だ
だが今回明治学院で受けたら3割くらいはまともな格好をしてた
5回くらい受けて初の快挙だ
午後1めっちゃ難しかったから、問1,2を解いた後
「毎日採点お疲れ様です。」
って問3の解答欄に書いておいた。
「毎日採点お疲れ様です。」
って問3の解答欄に書いておいた。
>>633
なんて卑怯なやつだ
なんて卑怯なやつだ
午後1めっちゃ難しかったから、問1,2を解いた後
「まピョーン☆」
って問3の解答欄に書いておいた。
「まピョーン☆」
って問3の解答欄に書いておいた。
午後1めっちゃ難しかったから、問1,2を解いた後
「あとは家に帰ってご飯食べてオナニーして寝るだけ」
って問3の解答欄に書いておいた。
「あとは家に帰ってご飯食べてオナニーして寝るだけ」
って問3の解答欄に書いておいた。
http://www.jitec.ipa.go.jp/1_09faq/_index_faq.html
の「日ごろの学習の成果を無駄にしないために」のリンク先、
昨日みたときは、最終更新日が試験日の前日だった記憶が
あるんだけど、あれは幻だったのかなぁ…。
の「日ごろの学習の成果を無駄にしないために」のリンク先、
昨日みたときは、最終更新日が試験日の前日だった記憶が
あるんだけど、あれは幻だったのかなぁ…。
午前1、見覚えのない問題ばかりでこりゃだめだ、と思ってたが
27/30
24/25
だった。
午後も期待していいもんかのう。
しかしみな簡単、簡単いっているが
めちゃめちゃ合格率あがるんじゃないの?下手したら。
IPAが合格基準を変更する可能性もあるのではないでしょうか。
27/30
24/25
だった。
午後も期待していいもんかのう。
しかしみな簡単、簡単いっているが
めちゃめちゃ合格率あがるんじゃないの?下手したら。
IPAが合格基準を変更する可能性もあるのではないでしょうか。
639 :名無し検定1級さん:2009/04/20(月) 21:12:19
hu
641 :名無し検定1級さん:2009/04/20(月) 21:15:02
情報セキュリティスペシャリスト Part 2
http://namidame.2ch.net/test/read.cgi/lic/1232458241/l50
情報セキュリティスペシャリスト Part4
http://namidame.2ch.net/test/read.cgi/lic/1240144402/l50
http://namidame.2ch.net/test/read.cgi/lic/1240144463/l50
情報セキュリティ検定part1
http://namidame.2ch.net/test/read.cgi/lic/1234607588/l50
http://namidame.2ch.net/test/read.cgi/lic/1232458241/l50
情報セキュリティスペシャリスト Part4
http://namidame.2ch.net/test/read.cgi/lic/1240144402/l50
http://namidame.2ch.net/test/read.cgi/lic/1240144463/l50
情報セキュリティ検定part1
http://namidame.2ch.net/test/read.cgi/lic/1234607588/l50
合格基準かえるのやめて
俺午前II60%ちょうどなんだw
ところで午後IIの問2のeに入る新たな対策って、権限絞るんだと思ってたが
ITProみてたらなんか違うのかもと思いはじめた
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20080609/307014/
PCI DSSの細かい要件まで覚えてないわ・・・
俺午前II60%ちょうどなんだw
ところで午後IIの問2のeに入る新たな対策って、権限絞るんだと思ってたが
ITProみてたらなんか違うのかもと思いはじめた
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20080609/307014/
PCI DSSの細かい要件まで覚えてないわ・・・
643 :名無し検定1級さん:2009/04/20(月) 21:19:56
試験官のお姉さんに、重大なセキュリティホールが発見された。
あーITPro続けて読んでたら回避じゃなくて低減が正解みたいだな
ITProには軽減って書いてあるけども
空欄bも事業継続じゃなくて障害復旧とか書いちゃったし、
こりゃ俺案外やべーな午後II
ITProには軽減って書いてあるけども
空欄bも事業継続じゃなくて障害復旧とか書いちゃったし、
こりゃ俺案外やべーな午後II
>>642
要件7,8,9を見る限りアクセス権限の適切な設定で良さそうなんだけど
http://itpro.nikkeibp.co.jp/article/COLUMN/20080728/311634/?ST=system
要件7,8,9を見る限りアクセス権限の適切な設定で良さそうなんだけど
http://itpro.nikkeibp.co.jp/article/COLUMN/20080728/311634/?ST=system
速報 米 Oracle 、 Sun Microsystems を 56 億ドルで買収
http://journal.mycom.co.jp/news/2009/04/20/061/
http://journal.mycom.co.jp/news/2009/04/20/061/
647 :名無し検定1級さん:2009/04/20(月) 21:43:39
ciscoが涙目
648 :名無し検定1級さん:2009/04/20(月) 21:44:13
解答のまとめとかってまだないの?
>>645
3.4 少なくともカード番号は,どこに保管されていても(携帯デジタル媒体やバックアップ媒体上のデータ,ログ内データ,無線ネットワークから受領した/経由で保管しているデータを含む),次のいずれかの手段を使用して判読不可能な状態にしておく。
・強固なワンウェイ・ハッシュ機能(ハッシュ・インデックス)
・トランケーション(文字の一部を非表示にする)
・インデックス・トークンやPAD(PAD は安全に保管)
・関連する鍵管理プロセスと手順を伴う、強力な暗号化
と、あるのでカード番号だけ特殊なんじゃね?
3.4 少なくともカード番号は,どこに保管されていても(携帯デジタル媒体やバックアップ媒体上のデータ,ログ内データ,無線ネットワークから受領した/経由で保管しているデータを含む),次のいずれかの手段を使用して判読不可能な状態にしておく。
・強固なワンウェイ・ハッシュ機能(ハッシュ・インデックス)
・トランケーション(文字の一部を非表示にする)
・インデックス・トークンやPAD(PAD は安全に保管)
・関連する鍵管理プロセスと手順を伴う、強力な暗号化
と、あるのでカード番号だけ特殊なんじゃね?
で、こたえはなんなんだよw
>>648
んなもんが存在したことがあったんだっけか
んなもんが存在したことがあったんだっけか
654 :名無し検定1級さん:2009/04/20(月) 21:52:47
「カード番号の部位は、意味の持たない文字列に置換する」でも、
言ってることは近いと思うんだが、どうでっしゃろ……。
うちの会社で、本番環境をもとにデバック環境構築する時に実際やってるやり方なんですが。
「マスクする」って言い方してるんだけど。
>>642
これを見る限り、アクセス権云々って解答は部分点すら貰えなさそうだな
これを見る限り、アクセス権云々って解答は部分点すら貰えなさそうだな
おまえらのレベルの高い議論を聞いていると永遠に受からんな。
657 :名無し検定1級さん:2009/04/20(月) 22:03:52
あれあれ?
午後2の問2地雷ですか?
ねえ地雷ですか?
午後2の問2地雷ですか?
ねえ地雷ですか?
658 :名無し検定1級さん:2009/04/20(月) 22:04:52
2009年4月20日
【お詫び】サーバー負荷の件について 2009年4月19日(日)21:00頃よりサーバー及びネットワークの過負荷の為、
www.itec.co.jpへのアクセスが困難な状態が発生しておりました。
これにより、自動採点サービス・本試験講評などの利用できにくい状態になっておりました。
ユーザの皆様には不便をおかけし、誠に申し訳ございません。
アイテックのサービスを快適にご利用頂けますよう、引き続き努めて参ります。
今後とも、アイテックをよろしくお願いいたします。
おまえら自重しろよwwwwww
【お詫び】サーバー負荷の件について 2009年4月19日(日)21:00頃よりサーバー及びネットワークの過負荷の為、
www.itec.co.jpへのアクセスが困難な状態が発生しておりました。
これにより、自動採点サービス・本試験講評などの利用できにくい状態になっておりました。
ユーザの皆様には不便をおかけし、誠に申し訳ございません。
アイテックのサービスを快適にご利用頂けますよう、引き続き努めて参ります。
今後とも、アイテックをよろしくお願いいたします。
おまえら自重しろよwwwwww
659 :名無し検定1級さん:2009/04/20(月) 22:06:06
pcidssの詳細用件暗記と理解必須なら、相当レベル高いんじゃないかセキュスペ
そこまで書いてあった参考書ねーべ
そこまで書いてあった参考書ねーべ
DoS攻撃仕掛けるうようじゃ
セキュリティスペシャリストとは言えんがな・・・。
今は解放された喜びに浸っとけ・・・。
セキュリティスペシャリストとは言えんがな・・・。
今は解放された喜びに浸っとけ・・・。
アクセスの大多数はFEかIPの連中だろうけどね。ww。
個人的には午後Tが難易度高かった。
たぶん落ちてる…
勉強が足りなかったな… ・゚・(つД`)・゚・
たぶん落ちてる…
勉強が足りなかったな… ・゚・(つД`)・゚・
午後Uの設問単位で配点考えて見たけどどうだろう
設問1 15点
設問2 35点
設問3 20点
設問4 15点
設問5 15点
設問1 15点
設問2 35点
設問3 20点
設問4 15点
設問5 15点
ごめん午後Uの問2だった
午後2 問4 設問(2)は、G部長の「できるだけ追加投資を必要とせずに」と設問4 (1)の回答がポイントだな。
トランザクションログへのアクセスを制限すれば、漏えいのリスクは「回避」できなくても「低減」には繋がる。
費用の面でも、プログラムの改修に比べたらアクセス制限の方が追加費用の発生は最小限に抑えられると思う(DBMSの設定変更にかかる人件費のみ?)。
ただ、試験ではそこまで頭が回らず「DBに書き込む前にプログラムで暗号化する」と回答した。
プログラム側での暗号化はpcidssの要件は満たしているようなので、部分点だけでもくれないか・・・。
トランザクションログへのアクセスを制限すれば、漏えいのリスクは「回避」できなくても「低減」には繋がる。
費用の面でも、プログラムの改修に比べたらアクセス制限の方が追加費用の発生は最小限に抑えられると思う(DBMSの設定変更にかかる人件費のみ?)。
ただ、試験ではそこまで頭が回らず「DBに書き込む前にプログラムで暗号化する」と回答した。
プログラム側での暗号化はpcidssの要件は満たしているようなので、部分点だけでもくれないか・・・。
666 :名無し検定1級さん:2009/04/20(月) 22:24:34
費用と過去ログの存在を考えるとアクセス制限にしか行き着かなかった。
ログ取るの止めて回避すると用件満たせないし。
ログ取るの止めて回避すると用件満たせないし。
ログの暗号化はソフトウェア的に無理みたいだけど
どう無理なんだろう
暗号化して出力するのが無理なのか出力したログを別途暗号化するのも無理なのか
ハッシュ化は可能なのか?
どう無理なんだろう
暗号化して出力するのが無理なのか出力したログを別途暗号化するのも無理なのか
ハッシュ化は可能なのか?
>>651
どうしても解答が思いつかなかったオレは
「ログの暗号化を行うツールをDBサーバに導入する」
って書いてやったぜ
過去問だったか予想問題だったかに、
問 従業員用PCで外部記憶媒体への書き込みを禁止するにはどうすればよいか?
答 外部記憶媒体への書き込みを禁止するセキュリティツールを導入する
ってのがあって、「そんなんアリかよ」と思ったもんだけど・・・・・・
どうしても解答が思いつかなかったオレは
「ログの暗号化を行うツールをDBサーバに導入する」
って書いてやったぜ
過去問だったか予想問題だったかに、
問 従業員用PCで外部記憶媒体への書き込みを禁止するにはどうすればよいか?
答 外部記憶媒体への書き込みを禁止するセキュリティツールを導入する
ってのがあって、「そんなんアリかよ」と思ったもんだけど・・・・・・
671 :名無し検定1級さん:2009/04/20(月) 22:30:34
>>666
なるほど
なるほど
暗号化できないのはログであって
番号自体をあらかじめ暗号化することは出来ると思ったんだけどなぁ・・・
番号自体をあらかじめ暗号化することは出来ると思ったんだけどなぁ・・・
「ログの直接閲覧を禁止してパスを隠蔽するツールを通して見る」ってのは考えた。
費用かかりそうだし血迷いすぎだと思ってやめたが。
費用かかりそうだし血迷いすぎだと思ってやめたが。
ログそのものではなくて中身なら、か
あとから中身の部分を暗号化可能なくらいなら全体の暗号化もできそうなもんだが、
まったく無いケースともいえんなあ
毎度解釈が難しいなw
あとから中身の部分を暗号化可能なくらいなら全体の暗号化もできそうなもんだが、
まったく無いケースともいえんなあ
毎度解釈が難しいなw
Fさんが要件を満たせ無くても他の手段で回避できる場合にはその手段を代替策に出来るって言ってる
>>666
ところがPCIDSSでは暗号化とワンウェイハッシュは別と考えられてるようで
ってまあPCIDSS詳しくないからITProの解説だけが根拠なんだけど
いや、俺もアクセス権で正解であってほしいんだけどね…
ところがPCIDSSでは暗号化とワンウェイハッシュは別と考えられてるようで
ってまあPCIDSS詳しくないからITProの解説だけが根拠なんだけど
いや、俺もアクセス権で正解であってほしいんだけどね…
677 :名無し検定1級さん:2009/04/20(月) 22:36:08
>>675
つまりPCI DSSで挙げられている対策である必要は無いって事?
つまりPCI DSSで挙げられている対策である必要は無いって事?
>>675
それであって欲しい
それであって欲しい
問題文に
「DBMSが作成するトランザクションログについては
暗号化を施してカード番号を判読困難にすることは難しい」
とあるんだよな
DBMS自身が暗号化を行うのが難しいのであって、
>>672が言うような予め暗号化する方法や、
DBMSが出力したログを書き換える方法は有効だと解釈したんだけど・・・・・・
「DBMSが作成するトランザクションログについては
暗号化を施してカード番号を判読困難にすることは難しい」
とあるんだよな
DBMS自身が暗号化を行うのが難しいのであって、
>>672が言うような予め暗号化する方法や、
DBMSが出力したログを書き換える方法は有効だと解釈したんだけど・・・・・・
ただ、既存のログから除去するのはなんちゃらかんちゃらといってる点が気になる
そりゃ暗号化したらこれからはいいけど取ったログはそのままだからねえ
そうなるとやっぱアクセス権かなという気もしないではない
もしかしたら全然違う斜め上の案が正解なのかも
そりゃ暗号化したらこれからはいいけど取ったログはそのままだからねえ
そうなるとやっぱアクセス権かなという気もしないではない
もしかしたら全然違う斜め上の案が正解なのかも
>>678
希望を持ちたいんだよ・・・
希望を持ちたいんだよ・・・
683 :名無し検定1級さん:2009/04/20(月) 22:39:21
午後のなにがダメって漢字がびっくりするくらい書けないw
684 :名無し検定1級さん:2009/04/20(月) 22:41:23
日本語的に考えたら低減だろうよ。。。
なんで移転とか回避になるのか意味不明
なんで移転とか回避になるのか意味不明
685 :名無し検定1級さん:2009/04/20(月) 22:44:36
他の方法で経営者の承認を得ることが目的だから
「受容」の可能性もあるぞ
「受容」の可能性もあるぞ
PCIDDSの要件の目的を満たせる代替案を考える問題って事でおkだよな?な?
687 :名無し検定1級さん:2009/04/20(月) 22:48:23
要件の【目的】を実現しなきゃ駄目なんだよ?
要件に準拠しなきゃ駄目なんですよ。
移転とか回避、受容は、要件の目的に達してないよ。
要件に準拠しなきゃ駄目なんですよ。
移転とか回避、受容は、要件の目的に達してないよ。
リスク分析の専門用語として考えるべき。ISMSに限定しようがRMSだろうが基本的に同じ。
リスク低減、などという言葉はない。これを選んだ奴は不勉強と断定されても仕方がない。
残る3つはある訳だが、その中でこの場合の正確性・妥当性を有するのは「リスク回避」のみ。
リスク低減、などという言葉はない。これを選んだ奴は不勉強と断定されても仕方がない。
残る3つはある訳だが、その中でこの場合の正確性・妥当性を有するのは「リスク回避」のみ。
もう勘弁してくれ
間を取って保険会社にリスク移転お願いしようぜ
トランザクションログの話で結局よさげなのは>>147の
> トランザクションログへのアクセス権をDBMSのサービスアカウントに限定する。
これじゃね? 「簡単にヒトが見れてしまうのを避けたい」というニュアンスにも合っているし。
> トランザクションログへのアクセス権をDBMSのサービスアカウントに限定する。
これじゃね? 「簡単にヒトが見れてしまうのを避けたい」というニュアンスにも合っているし。
http://itpro.nikkeibp.co.jp/article/COLUMN/20080609/307117/?ST=system
ここを見ると暗号化できない場合、アクセス制限が有力
ここを見ると暗号化できない場合、アクセス制限が有力
693 :名無し検定1級さん:2009/04/20(月) 22:56:45
[トランザクションログに対する代替管理策]で
”P社では〜改善を図っていたが”とある。
つまり、これはG部長とFさんだけの問題ではなく
経営陣も知っていることだと言える。
代替案で経営陣の承認を得るのは「受容」だ。
”P社では〜改善を図っていたが”とある。
つまり、これはG部長とFさんだけの問題ではなく
経営陣も知っていることだと言える。
代替案で経営陣の承認を得るのは「受容」だ。
今回から絶対評価になるというのは確かなのか?
こんな時は・・
P部長を呼べっ!
P部長を呼べっ!
ダンボールの問題は、過去問でみたことあるよ
俺も一度引っかかった経験があったから、
今回はひっかからなかった
俺も一度引っかかった経験があったから、
今回はひっかからなかった
もうダンボールはいいよ
699 :名無し検定1級さん:2009/04/20(月) 23:02:48
ほかの情報処理試験の板に比べてこの板は妙に伸びてる
試験までは全くだったのにな…
つまり、考えられるのは
@みんな、思ったよりできがよかった
A粘着質な性格のやつがセキュスペ目指す
B落ちてムカついたから自信のあるやつからかってる
C他の区分よりセキュスペが簡単だったから、他の区分のヤツらがからかいにきてる
どれだ?
試験までは全くだったのにな…
つまり、考えられるのは
@みんな、思ったよりできがよかった
A粘着質な性格のやつがセキュスペ目指す
B落ちてムカついたから自信のあるやつからかってる
C他の区分よりセキュスペが簡単だったから、他の区分のヤツらがからかいにきてる
どれだ?
700 :名無し検定1級さん:2009/04/20(月) 23:04:33
>>699
Dのダンボールの底が破れてこの板に落ちてきた
Dのダンボールの底が破れてこの板に落ちてきた
701 :名無し検定1級さん:2009/04/20(月) 23:05:12
もうダンボールはいいよ
P部長をダンボールに入れて送ってくれ
704 :名無し検定1級さん:2009/04/20(月) 23:07:15
お前らの中で牛乳、デビットカード世代の奴いる?
705 :名無し検定1級さん:2009/04/20(月) 23:08:36
牛乳はナナコ
http://www.nttdata-sec.co.jp/article/pcidss/02.html
> 例として挙げられているのはデータベースに保管されたデータの判読不能化で、
> これが実現できない場合に、代替コントロールとして、セグメンテーション、
> ネットワークアクセス制御、データベースへのアクセス制御、データベースへの
> 攻撃の防止と検知、これら全ての対策を施すことで代替コントロールとしています。
ということで、トランザクションログの件についてはアクセス制御でFAかと。
> 例として挙げられているのはデータベースに保管されたデータの判読不能化で、
> これが実現できない場合に、代替コントロールとして、セグメンテーション、
> ネットワークアクセス制御、データベースへのアクセス制御、データベースへの
> 攻撃の防止と検知、これら全ての対策を施すことで代替コントロールとしています。
ということで、トランザクションログの件についてはアクセス制御でFAかと。
707 :名無し検定1級さん:2009/04/20(月) 23:14:37
708 :名無し検定1級さん:2009/04/20(月) 23:21:10
今回落ちたらもう自殺する
ttps://www.pcisecuritystandards.org/pdfs/pci_dss_japanese.pdf
胴元の文章な訳だが、ページ61。
> その他の(つまり代替の)コントロールを通じて要件に関連するリスクを十分に軽減している場合、
この「十分に軽減」というのは、「低減」か?「回避」か? 元の英文の和訳方法によってはどちらでも通るぞ?
むしろ「低減」と「十分に軽減」では温度感というかニュアンスが相当異なるんじゃないの?m9(・∀・)ビシッ!!
胴元の文章な訳だが、ページ61。
> その他の(つまり代替の)コントロールを通じて要件に関連するリスクを十分に軽減している場合、
この「十分に軽減」というのは、「低減」か?「回避」か? 元の英文の和訳方法によってはどちらでも通るぞ?
むしろ「低減」と「十分に軽減」では温度感というかニュアンスが相当異なるんじゃないの?m9(・∀・)ビシッ!!
710 :名無し検定1級さん:2009/04/20(月) 23:25:59
http://www.mitsue.co.jp/case/glossary/p_012.html
リスク回避ってのは、この場合で言うと
「カード情報が漏洩するリスクをなくすためカード情報の収集自体をやめる」
ってことだと思うぞ。
やっぱり正解は「低減」だろ
リスク回避ってのは、この場合で言うと
「カード情報が漏洩するリスクをなくすためカード情報の収集自体をやめる」
ってことだと思うぞ。
やっぱり正解は「低減」だろ
712 :名無し検定1級さん:2009/04/20(月) 23:28:18
─── 、ヽ l / ,
/.::::::::::::::::::::::::ヽ = =
!.::::::::::::::::::::::j::: ! ニ= タ. そ -=
| :r ̄´´´ ̄ヽ::} .ニ=. モ れ =ニ
|:} __ 、._ `}f'〉n_ =- さ. で -=
、、 l | /, , ,ヘ}(;;;;;;;;)=(;::;;;;;)' |ノ:::|.| ヽ.ニ.. .ん も ニ
.ヽ ´´, ,ゝ|  ̄ ,_ _、 ̄l|ヽ:ヽヽ } =-. な ヽ`
.ヽ し き. タ ニ- /|{/:ヽィ-=-ゝ./| |.|:::::| | | ニ .ら. ニ
= て. っ モ =ニ /:.:.::ヽ、 \二/ | |.|:::::| | /´r. : ヽ`
ニ く. .と. さ -= ヽ、:.::::::ヽ、._、 _,ノ/.:::::| | /| ´/小ヽ`
= れ.お ん -= ヽ、:::::::::\、__/:‐┬┐:|' :|
ニ る 断.な =ニ. | |:::::::::::::::::::::::::::::::::: ノ:. ’Y ::ト、
/, : り .ら ヽ、 | |:::::::::::::::::::::::::::::::::::ノ::L:::| '゙, .\
/ ヽ、 . | |::::::::::::::::::::::::::::::::::┌┐:.ト、. \
/ / 小 \ r¬|ノ:::::::::::::::::::::::::::::::::::’フ:::::| \
/.::::::::::::::::::::::::ヽ = =
!.::::::::::::::::::::::j::: ! ニ= タ. そ -=
| :r ̄´´´ ̄ヽ::} .ニ=. モ れ =ニ
|:} __ 、._ `}f'〉n_ =- さ. で -=
、、 l | /, , ,ヘ}(;;;;;;;;)=(;::;;;;;)' |ノ:::|.| ヽ.ニ.. .ん も ニ
.ヽ ´´, ,ゝ|  ̄ ,_ _、 ̄l|ヽ:ヽヽ } =-. な ヽ`
.ヽ し き. タ ニ- /|{/:ヽィ-=-ゝ./| |.|:::::| | | ニ .ら. ニ
= て. っ モ =ニ /:.:.::ヽ、 \二/ | |.|:::::| | /´r. : ヽ`
ニ く. .と. さ -= ヽ、:.::::::ヽ、._、 _,ノ/.:::::| | /| ´/小ヽ`
= れ.お ん -= ヽ、:::::::::\、__/:‐┬┐:|' :|
ニ る 断.な =ニ. | |:::::::::::::::::::::::::::::::::: ノ:. ’Y ::ト、
/, : り .ら ヽ、 | |:::::::::::::::::::::::::::::::::::ノ::L:::| '゙, .\
/ ヽ、 . | |::::::::::::::::::::::::::::::::::┌┐:.ト、. \
/ / 小 \ r¬|ノ:::::::::::::::::::::::::::::::::::’フ:::::| \
713 :名無し検定1級さん:2009/04/20(月) 23:35:33
カード番号の解答は、
アクセス制御で正しいような気がする。
「カード番号は、意味の持たない他の文字列に置換する」
にしてしまったが、
部分点がゼロってことはないと祈る。
桑田佳祐が死んだって本当?
715 :名無し検定1級さん:2009/04/20(月) 23:47:18
専門用語で答えるとか、不勉強と断言とか変な人いますね。
うちの会社のハゲたおやじ世代かなぁ。
なんで回避なのか。
アクセス制御系の解答で、低減で
正解だから。
うちの会社のハゲたおやじ世代かなぁ。
なんで回避なのか。
アクセス制御系の解答で、低減で
正解だから。
販売システムはポリシ上も機能上も職責に応じて権限を与えられた
担当者だけがアクセスできるようになっている、
ってDBサーバ(のトランザクションログ)含まないの?
担当者だけがアクセスできるようになっている、
ってDBサーバ(のトランザクションログ)含まないの?
>>716
権限を与えられた担当者はアクセスできてしまっているんだよ。
権限を与えられた担当者にはカード番号が露呈されてしまっている状態。
だから、DBのサービスアカウントだけにアクセス権を絞り込むとかすればいい。
権限を与えられた担当者はアクセスできてしまっているんだよ。
権限を与えられた担当者にはカード番号が露呈されてしまっている状態。
だから、DBのサービスアカウントだけにアクセス権を絞り込むとかすればいい。
γ⌒)
|.|"´ 2ヶ月後に行って結果を見てこよう!
|.| ./⌒ヽ____¶___
|.| /( ・∀・ ) ¶//| /|
U_⊆__⊆_ )_ / ̄|///
/┌────┐|. /'`) //
/( / ≡≡≡ .//(__///
|  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ |/
( 'A`)
≡ ( っ∩っ∩
≡ (ニ二二二ニ)
|.|"´ 2ヶ月後に行って結果を見てこよう!
|.| ./⌒ヽ____¶___
|.| /( ・∀・ ) ¶//| /|
U_⊆__⊆_ )_ / ̄|///
/┌────┐|. /'`) //
/( / ≡≡≡ .//(__///
|  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ |/
( 'A`)
≡ ( っ∩っ∩
≡ (ニ二二二ニ)
あー、これ既存のログ(すでに吐かれたログ)も考慮しなきゃダメなのか
確かにアクセス権限だわ
確かにアクセス権限だわ
麿ハ回避カ低減カノ問題ニ就テ是ノ解答ヲ低減トスル事ヲ受諾シ茲ニ降伏ス 但シ部分点ヲ請フ
722 :名無し検定1級さん:2009/04/21(火) 00:07:37
試験疲れがまだ残っててねみぃ
そろそろ寝るわー
おやすみ ノシ
そろそろ寝るわー
おやすみ ノシ
かなり前に午後1の問3の設問2(2)で、こんな回答例があったんだけどさ。
>(2) ランダムな値をパスワードに付加してからハッシュ値を算出し、同一のパスワードでも異なる結果になるようにする
乱数付加してたら、正しい会員でもハッシュ値照合できなくね?
>(2) ランダムな値をパスワードに付加してからハッシュ値を算出し、同一のパスワードでも異なる結果になるようにする
乱数付加してたら、正しい会員でもハッシュ値照合できなくね?
午後I 問1を誰かの回答見る度に自分の点数が減っていくorz
記述でまともに自信あるのが1問だけ・・・
記述でまともに自信あるのが1問だけ・・・
725 :名無し検定1級さん:2009/04/21(火) 00:16:23
>>725
同じだよね?乱数と
同じだよね?乱数と
>>726
http://itpro.nikkeibp.co.jp/article/COLUMN/20071031/286012/?ST=lin-server&P=4
計算に使った乱数はもちろん、どっかに保存しておくよ
で、認証の際にその乱数を読み出してくる
http://itpro.nikkeibp.co.jp/article/COLUMN/20071031/286012/?ST=lin-server&P=4
計算に使った乱数はもちろん、どっかに保存しておくよ
で、認証の際にその乱数を読み出してくる
>>723
レインボーテーブルでぐぐれ
レインボーテーブルでぐぐれ
731 :名無し検定1級さん:2009/04/21(火) 00:50:56
ユーザIDをパスワードに付加してハッシュ値・・
だったような気がする。
だったような気がする。
>>731
意味ねーw
意味ねーw
毎回名前書き忘れたやつとかいるんだよな
特に午後Iの裏面とか
特に午後Iの裏面とか
>>734
あーあ
あーあ
736 :名無し検定1級さん:2009/04/21(火) 01:03:58
午後Tって4問中2問選択だったのね
3問選択って減点?
3問選択って減点?
人権擁護法案もそうだが、差別だ人権だなどと唱ってある法律や条約で、あまりろくなものを見たことがない。
日本に存在する女性団体や、人権団体、平和団体は、コリアンとの結びつきが強く、はっきりいうと、
日本の社会や道徳、風紀を乱すための工作団体である。キチガイフェミニストで9条教徒として有名な社民党の辻本清美議員は、
かつて自分の役目は、日本を解体すること、というような発言をしたことがあるが、つまりはそういうことなのだろう。
今回、この女性差別撤廃条約なるものが批准されると、これら工作団体が国連を通して日本政府に圧力を掛けてくることが可能になるわけだ。
皇室の皇統問題にも関わることで、こんな条約を間違って批准でもしたら差別撤廃の名目で女系天皇推進論が息を吹き返しかねない。
国籍法改悪で悪法を無理やり通された経緯があるので、もし自宅にFAX等のある方は、国籍法改悪で動いてくれた議員宛か、
地元の自民党議員宛、もしくは信頼出来る自民党保守議員宛にFAXをしていただければと思う。抽象的な表現で申し訳ないが、
日本は白人支配者層や反日勢力から狙われており、彼らは最終的には皇統の断絶を目論んでいる。女系天皇と女性天皇の違いを隠して、
マスコミぐるみで小泉首相が皇室典範改正を企んだように、民主党や野党は論外だが、自民党とて100%安心出来ないのが現状である。
本当に油断も隙もない世の中になってしまったようだ。
ちなみに現在の国連総長は韓国人。
--------------------------------------------------------------------------------------------------------------------
↓に対する隠れ蓑なのが明白だ!!反対のFAXをするんだ!!
緊急「女性差別撤廃条約」が危険(水間政憲)
http://www.nicovideo.jp/watch/nm6783825
【情報拡散】日本防衛軍より援護要請 〜女性差別撤廃条約が危ない〜
http://www.nicovideo.jp/watch/sm6790137
日本に存在する女性団体や、人権団体、平和団体は、コリアンとの結びつきが強く、はっきりいうと、
日本の社会や道徳、風紀を乱すための工作団体である。キチガイフェミニストで9条教徒として有名な社民党の辻本清美議員は、
かつて自分の役目は、日本を解体すること、というような発言をしたことがあるが、つまりはそういうことなのだろう。
今回、この女性差別撤廃条約なるものが批准されると、これら工作団体が国連を通して日本政府に圧力を掛けてくることが可能になるわけだ。
皇室の皇統問題にも関わることで、こんな条約を間違って批准でもしたら差別撤廃の名目で女系天皇推進論が息を吹き返しかねない。
国籍法改悪で悪法を無理やり通された経緯があるので、もし自宅にFAX等のある方は、国籍法改悪で動いてくれた議員宛か、
地元の自民党議員宛、もしくは信頼出来る自民党保守議員宛にFAXをしていただければと思う。抽象的な表現で申し訳ないが、
日本は白人支配者層や反日勢力から狙われており、彼らは最終的には皇統の断絶を目論んでいる。女系天皇と女性天皇の違いを隠して、
マスコミぐるみで小泉首相が皇室典範改正を企んだように、民主党や野党は論外だが、自民党とて100%安心出来ないのが現状である。
本当に油断も隙もない世の中になってしまったようだ。
ちなみに現在の国連総長は韓国人。
--------------------------------------------------------------------------------------------------------------------
↓に対する隠れ蓑なのが明白だ!!反対のFAXをするんだ!!
緊急「女性差別撤廃条約」が危険(水間政憲)
http://www.nicovideo.jp/watch/nm6783825
【情報拡散】日本防衛軍より援護要請 〜女性差別撤廃条約が危ない〜
http://www.nicovideo.jp/watch/sm6790137
738 :名無し検定1級さん:2009/04/21(火) 01:08:07
P部長のPってプーなのか、ペーなのか、はっきりしろよ
ポーの一族だろ
740 :名無し検定1級さん:2009/04/21(火) 01:10:09
採点者笑わして得点ゲットだぜ〜
>>738
北さんだろ
北さんだろ
742 :名無し検定1級さん:2009/04/21(火) 01:16:45
通販かよw
744 :名無し検定1級さん:2009/04/21(火) 01:21:12
745 :名無し検定1級さん:2009/04/21(火) 01:31:34
ココのやりとりを見ていて、昔高校生のころ文系志望の奴に
「俺が国語のテストが嫌いなのは、答えが一つじゃねえのに正解とか不正解とかつけられるからだ!」
と言っていたのを思い出した・・・おれは情報処理試験が嫌いだ!
「俺が国語のテストが嫌いなのは、答えが一つじゃねえのに正解とか不正解とかつけられるからだ!」
と言っていたのを思い出した・・・おれは情報処理試験が嫌いだ!
746 :名無し検定1級さん:2009/04/21(火) 02:25:12
設問2 (4)は災害とか書いてるアフォがいるけど、
問題文にサーバ室の現状の問題点が書いてあるだろ。
出入り可能こっそり持ち出し可能な状態にあるリスクについてかけよ。
問題文にサーバ室の現状の問題点が書いてあるだろ。
出入り可能こっそり持ち出し可能な状態にあるリスクについてかけよ。
>736
3問以上○印で囲んだ場合は,はじめの2問について採点します。
3問以上○印で囲んだ場合は,はじめの2問について採点します。
748 :名無し検定1級さん:2009/04/21(火) 06:57:12
暗号化されている方が、漏洩の可能性は低いじゃん。
アクセス制御にしたら、代替案だけど漏洩の可能性は高くなる。
つまり、「低減」になってない。
代替案で経営陣に承認を得させることが目的なら「受容」じゃないか。
アクセス制御にしたら、代替案だけど漏洩の可能性は高くなる。
つまり、「低減」になってない。
代替案で経営陣に承認を得させることが目的なら「受容」じゃないか。
749 :名無し検定1級さん:2009/04/21(火) 07:22:44
>>745
屁理屈捏ねてないで次の試験の準備でもしていろよ
屁理屈捏ねてないで次の試験の準備でもしていろよ
>746
> 出入り可能こっそり持ち出し可能な状態
サーバ室カメラで監視されてんじゃん。
んなことしたら即通報されるわ。
> 出入り可能こっそり持ち出し可能な状態
サーバ室カメラで監視されてんじゃん。
んなことしたら即通報されるわ。
752 :名無し検定1級さん:2009/04/21(火) 07:55:24
なりすま
なんか
ぷっすま
みたいだ
なんか
ぷっすま
みたいだ
753 :名無し検定1級さん:2009/04/21(火) 07:58:43
あたりまえだけど
乱数じゃ減点
擬似乱数かまたはソルトだろ
乱数じゃ減点
擬似乱数かまたはソルトだろ
754 :名無し検定1級さん:2009/04/21(火) 08:07:09
段ボール
>>753
別に乱数でも問題ないと思われ
別に乱数でも問題ないと思われ
756 :名無し検定1級さん:2009/04/21(火) 08:49:13
合格していたら
次何を受けますか?
IPAだとネスペなんだけどその間にオススメありますか?
シスアドと基本とソフ開は持ってます。
特にコダワリは無くなんとなく簡単そうなものから受けてます
脳みそ老化防止と奨励金目的です。
落ちても受験料と交通費と参考書は会社からでます。
次何を受けますか?
IPAだとネスペなんだけどその間にオススメありますか?
シスアドと基本とソフ開は持ってます。
特にコダワリは無くなんとなく簡単そうなものから受けてます
脳みそ老化防止と奨励金目的です。
落ちても受験料と交通費と参考書は会社からでます。
757 :名無し検定1級さん:2009/04/21(火) 09:00:43
>>756
明石蛸検定がおすすめだお
明石蛸検定がおすすめだお
758 :名無し検定1級さん:2009/04/21(火) 09:01:31
>>756
年末なら 京都検定がおすすめだお
年末なら 京都検定がおすすめだお
CompTIA Security+
760 :名無し検定1級さん:2009/04/21(火) 09:09:51
午後2の4-2だが、ディスク全体の暗号化はないのか? 俺、そう書いたんだけど。
ちなみに、低減だ。
ちなみに、事業継続でNTPだが。
ちなみに、低減だ。
ちなみに、事業継続でNTPだが。
>>756
次は 北海道フードマイスター検定 だな!
次は 北海道フードマイスター検定 だな!
763 :名無し検定1級さん:2009/04/21(火) 09:34:52
>>760
予算請求は却下されました。
予算請求は却下されました。
>>756
実務でネットワークに携わってないなら、ひたすらネスペの勉強。
実務でネットワークに携わってないなら、ひたすらネスペの勉強。
765 :名無し検定1級さん:2009/04/21(火) 10:17:50
午後2問2設問3(2)の問題「Webアプリケーションの見直しを行わずにWAFを導入することによって
発生するセキュリティ上の問題点」の件なんですけど、
模範回答は「WAFではWebアプリケーション自体の脆弱性は発見できないため」となっていますが、
それってWAFを導入しなくても見直さなくてはならない内容ではありませんか?
設問が「WAFを導入しても発生するセキュリティ上の問題点」としての回答なら分かるんですが、
WAFの導入時に見直す必要があるのですか?
深く読みすぎるのが悪いのでしょうか?情報処理の試験ってそういうものですかね?
発生するセキュリティ上の問題点」の件なんですけど、
模範回答は「WAFではWebアプリケーション自体の脆弱性は発見できないため」となっていますが、
それってWAFを導入しなくても見直さなくてはならない内容ではありませんか?
設問が「WAFを導入しても発生するセキュリティ上の問題点」としての回答なら分かるんですが、
WAFの導入時に見直す必要があるのですか?
深く読みすぎるのが悪いのでしょうか?情報処理の試験ってそういうものですかね?
>>765
どんなに深読みしてんだよおまえは(ノ∀`)
出題者の気持ちになれよ(ノ∀`) 出題者は単にWAFでも検知できないものがあることを知っているかどうかを知りたいだけなんだよ(ノ∀`)
じゃあおまえはここなんて解答したんだよ(ノ∀`)それ以外解答のしようがねーだろがよ(ノ∀`)
どんなに深読みしてんだよおまえは(ノ∀`)
出題者の気持ちになれよ(ノ∀`) 出題者は単にWAFでも検知できないものがあることを知っているかどうかを知りたいだけなんだよ(ノ∀`)
じゃあおまえはここなんて解答したんだよ(ノ∀`)それ以外解答のしようがねーだろがよ(ノ∀`)
午後問題だが、前提があいまいすぎて、どれも複数解が存在しそうに思えるよなぁ。
というか、IPAも問題を試験に出す前に内部の複数の人間で解いてみて、意見が分かれる場合は問題のあいまいさを修正するとかの手段は打たないのだろうか。
大学入試でこんな理不尽な問題が出たら、普通全員正解だよな。
というか、IPAも問題を試験に出す前に内部の複数の人間で解いてみて、意見が分かれる場合は問題のあいまいさを修正するとかの手段は打たないのだろうか。
大学入試でこんな理不尽な問題が出たら、普通全員正解だよな。
トランザクションログを暗号化するとか言ってる人、障害時にトランザクションログからロールフォワードとかすることの可能性考えてないよね。
よって不正解。
よって不正解。
俺はWAF導入によるFalse Positive False Negativeが起きないようにって感じで書いたよ。
問題の前文がヒントになってる気がして
問題の前文がヒントになってる気がして
770 :名無し検定1級さん:2009/04/21(火) 10:54:47
771 :名無し検定1級さん:2009/04/21(火) 11:03:48
WAFも完全無欠じゃないからすり抜けてきたらやべーんじゃね?って書いた
>>769
それってWAF導入しか考えてなくて、「Webアプリケーションの見直しをせずに」ってのをまったく度外視してるよね(ノ∀`)
>>770
それがなんで「セキュリティ上の問題点」の答えなんだよ(ノ∀`) もう日本語の受け答え以前の問題じゃねーかよ大丈夫かよお前(ノ∀`)9m
>>772
(´・ω・)?
それってWAF導入しか考えてなくて、「Webアプリケーションの見直しをせずに」ってのをまったく度外視してるよね(ノ∀`)
>>770
それがなんで「セキュリティ上の問題点」の答えなんだよ(ノ∀`) もう日本語の受け答え以前の問題じゃねーかよ大丈夫かよお前(ノ∀`)9m
>>772
(´・ω・)?
「アプリケーションの見直しをせずにWAFを導入することによって発生する
セキュリティ上の問題点」
WAFを導入「する」ことによって「発生」するセキュリティ上の問題点なのであり、
WAFの導入「する」「しない」とは関係無しに「発生」する
Webアプリケーションの脆弱性について言及した人は間違い
セキュリティ上の問題点」
WAFを導入「する」ことによって「発生」するセキュリティ上の問題点なのであり、
WAFの導入「する」「しない」とは関係無しに「発生」する
Webアプリケーションの脆弱性について言及した人は間違い
出題者のアホさを見抜く試験なんですね
>>774
じゃあわざわざ「Webアプリケーションの見直しをせずに」なんて書かないわな(ノ∀`)
そんなにWAFりたいなら単にWAFの問題点を述べよみたいに出題するに決まってるw
よって単にWAFの問題点について言及した人は間違いw
じゃあわざわざ「Webアプリケーションの見直しをせずに」なんて書かないわな(ノ∀`)
そんなにWAFりたいなら単にWAFの問題点を述べよみたいに出題するに決まってるw
よって単にWAFの問題点について言及した人は間違いw
で、答えはなんなのよ
検察や国税がガサで使う段ボールって
777 Getだぜ!!
780 :名無し検定1級さん:2009/04/21(火) 12:32:33
アイテック、模範解答きた
きっと防弾仕様の特殊ダムボールだよ。
ちゃんと名前と内容物を記載する欄があるからモーマンタイ!
ちゃんと名前と内容物を記載する欄があるからモーマンタイ!
アイテックwww
インプットはないわ
インプットはないわ
783 :名無し検定1級さん:2009/04/21(火) 12:39:19
この問題、脆弱性のあるWebアプリ+WAFという構成独自の問題点をきいてるんだよな?
Webアプリだけ、WAFだけのどちらの問題点を書いても間違いだろ
9も言ってるがWAFを魔法の箱と盲信してWebアプリの脆弱性を放置してしまった場合のことを指摘すべき
Webアプリだけ、WAFだけのどちらの問題点を書いても間違いだろ
9も言ってるがWAFを魔法の箱と盲信してWebアプリの脆弱性を放置してしまった場合のことを指摘すべき
784 :名無し検定1級さん:2009/04/21(火) 12:51:44
アイテックほんとにきてた
午後1
午後1
785 :名無し検定1級さん:2009/04/21(火) 14:28:02
ソルトじゃなくてハッシュ値じゃだめ?
>>785
ハッシュ値を算出するのにハッシュ値を使う?
ハッシュ値を算出するのにハッシュ値を使う?
>>785
なんだこいつ(ノ∀`)
なんだこいつ(ノ∀`)
788 :名無し検定1級さん:2009/04/21(火) 16:11:39
アイテックのどこにある?回答?
Aタグのhref属性とimgタグのsrc属性ができなかった。
つかXSS対策って入力されたタグを全無効化することしか頭になかったから
そういう発想が出てこなかった。
つかXSS対策って入力されたタグを全無効化することしか頭になかったから
そういう発想が出てこなかった。
791 :名無し検定1級さん:2009/04/21(火) 17:28:32
>>788
それくらい探せないようじゃ不合格確定だな
それくらい探せないようじゃ不合格確定だな
792 :名無し検定1級さん:2009/04/21(火) 17:33:57
ねえこの試験って難しいの?
20代でこれ取るのってすごいほうなの?
20代でこれ取るのってすごいほうなの?
20代で取ってる奴なんてたくさんいるよ
>>792
Jitecで、年齢別や職業別の受験統計情報あるから、それ見て判断。
この試験はテクニカルエンジニア(情報セキュリティ)の後継(+セキュアドも吸収)くらいだから、
テクニカルセキュリティの情報で判断。
凄いと思う人もいるだろうけど、別に凄くはないとは思ってる。
特に20代後半で合格は。
Jitecで、年齢別や職業別の受験統計情報あるから、それ見て判断。
この試験はテクニカルエンジニア(情報セキュリティ)の後継(+セキュアドも吸収)くらいだから、
テクニカルセキュリティの情報で判断。
凄いと思う人もいるだろうけど、別に凄くはないとは思ってる。
特に20代後半で合格は。
796 :名無し検定1級さん:2009/04/21(火) 17:48:16
ふーん
なんかよくわかんないけどすごくないんだ
いつも超エラソーなやつが受けるっていってたんだよね
ヤッパああいうやつは中身はたいしたことないんだな
なんかよくわかんないけどすごくないんだ
いつも超エラソーなやつが受けるっていってたんだよね
ヤッパああいうやつは中身はたいしたことないんだな
受けもしないやつよりは偉いと思うよ
こんなのはただの自己啓発
こんなのはただの自己啓発
798 :名無し検定1級さん:2009/04/21(火) 18:38:55
アイテック解答で採点したら、感覚的に6割は越えてそうで嬉しいが、
こればっかは結果が出てみないと分からんな。
しかし合格発表がいつもより2週間も遅いって、
どんな理由があるんだろうか。
絶対評価になったんだから、逆に2週間早まってもいいくらいの気がするが。
ITECの解答速報は相変わらずカスだな
ど素人が書いてるとしか思えない
予想屋としては優秀なのに、何で解答はこんなにクソなんだ?
ど素人が書いてるとしか思えない
予想屋としては優秀なのに、何で解答はこんなにクソなんだ?
クエリストリングスはいつ見ても、クエストリングに見えて、
クエストで指輪もらえる種族っていたっけ…と思う、36歳の春。
クエストで指輪もらえる種族っていたっけ…と思う、36歳の春。
36でそれはやばいw
803 :名無し検定1級さん:2009/04/21(火) 19:28:25
午後2問1の最初の穴埋め○○証明書ってなんなの?
サーバ自身の証明書のことだよね
オレオレ?
サーバ自身の証明書のことだよね
オレオレ?
804 :名無し検定1級さん:2009/04/21(火) 19:47:25
>>804
どういういみだwww
どういういみだwww
>>804は盛大に評価されるべきだと思うよ
807 :P部長:2009/04/21(火) 20:33:03
肝心なときに役に立たんな、アイ○ックは。
アイタックですね
ITECの午後2の問2はここで議論されてた内容とはまるで違ったな
ITECの午後2の解答は日本語を読めない人が作ったとしか思えない
ITEC、午後IIの2の最後の方、チェックポイント通過後は
トランザクションログを消すて…
その間見放題やがな…
しかしそれ以外はほぼ似たような解答したぜ!
やった!俺も秋があるさ!
トランザクションログを消すて…
その間見放題やがな…
しかしそれ以外はほぼ似たような解答したぜ!
やった!俺も秋があるさ!
812 :369:2009/04/21(火) 20:46:02
午前T以外受かったお( ^ω^)
ITECの何に期待してるんだ?毎度毎度珍解答じゃん
ITECの午後2問1これ不合格だろw
ITEC 午後2問一設問6
問題:受信したメールを復号できない。
爆笑
問題:受信したメールを復号できない。
爆笑
アイタックも群盲のうちの一人なのさ
象がどんなものかわかれば、合否なんてどうでもいい
象がどんなものかわかれば、合否なんてどうでもいい
お前らITACと間違えてるんじゃないか?
819 :名無し検定1級さん:2009/04/21(火) 21:02:25
アイタックよりはTACの方がいいかもよ。
午後1の1と4が俺の答えと選択の答えも違うからさ。
午後1の1と4が俺の答えと選択の答えも違うからさ。
ITACは論外だが、ITECも解答速報はクソ
なんだここの連中だけじゃなくてitecも間違いかよ。
午後T問3設問1(2)の正解は
行番号 29
../を./にするか絶対パス指定にする。
だよ。
https通信の中でhttpで画像表示は可能。厳しいブラウザだと警告がでるがな。
見えなくなってるなんてありえん。
29行めはこの相対パス指定だと上の1階層上のフォルダでimageフォルダを探しに行っちゃうよ。
午後T問3設問1(2)の正解は
行番号 29
../を./にするか絶対パス指定にする。
だよ。
https通信の中でhttpで画像表示は可能。厳しいブラウザだと警告がでるがな。
見えなくなってるなんてありえん。
29行めはこの相対パス指定だと上の1階層上のフォルダでimageフォルダを探しに行っちゃうよ。
822 :名無し検定1級さん:2009/04/21(火) 21:22:03
午前1のボーダー教えて
>>822
18 メートル
18 メートル
トランザクションログを削除するとはまた斜め上の解答を出してきやがる・・・
825 :名無し検定1級さん:2009/04/21(火) 21:34:32
午後2の1はさシノニムじゃダメか?
国語苦手なんだ・・・
国語苦手なんだ・・・
826 :名無し検定1級さん:2009/04/21(火) 21:39:54
>>821
このcgiはcgi-binフォルダにあるんじゃないの?
このcgiはcgi-binフォルダにあるんじゃないの?
午後2問1で
ITECでかなり厳しめに採点して6割くらいだな。
CA運用担当者が鍵ペアを取り扱う際の規定を明確にする
受信したメールを復号できない
というITECのがあってると、部分点もらえなさそうだ。
でもS/MIMEの復号できないってのはありっぽいなぁ。
設問3のテレワークPCの運用で気を付けることも、ITECに合わせると半分くらいしかもらえなさそうだ。
ITECでかなり厳しめに採点して6割くらいだな。
CA運用担当者が鍵ペアを取り扱う際の規定を明確にする
受信したメールを復号できない
というITECのがあってると、部分点もらえなさそうだ。
でもS/MIMEの復号できないってのはありっぽいなぁ。
設問3のテレワークPCの運用で気を付けることも、ITECに合わせると半分くらいしかもらえなさそうだ。
午後UのITECの珍解答を
表3に当てはめると
>チェックポイント経過後はトランザクションログを削除する。
>これによりトランザクションログに含まれるカード番号の露呈を防ぐ。
不自然な対策だって事がわかりそうなものだが・・・
表3に当てはめると
>チェックポイント経過後はトランザクションログを削除する。
>これによりトランザクションログに含まれるカード番号の露呈を防ぐ。
不自然な対策だって事がわかりそうなものだが・・・
>>826
公明ブラウザ
公明ブラウザ
>>826
WebBoyとかじゃね?
WebBoyとかじゃね?
832 :名無し検定1級さん:2009/04/21(火) 21:47:08
トランザクションログが生成された直後に別アプリで暗号化じゃだめなの?
だめに決まってんだろ
それだったらログを取らないほうがまだ納得できる
838 :名無し検定1級さん:2009/04/21(火) 22:04:29
送信者の秘密鍵で署名したメールを受信者が復号できないのが問題
回答 改ざんされた秘密鍵で複合できないじゃね?
回答 改ざんされた秘密鍵で複合できないじゃね?
>>838
釣りだよな?
釣りだよな?
>>840
お前もう一回問題読んだ方がいいよ
お前もう一回問題読んだ方がいいよ
>>841
ヒント:署名の検証は「復号後のメッセージのハッシュ」を材料に行う
ヒント:署名の検証は「復号後のメッセージのハッシュ」を材料に行う
843 :名無し検定1級さん:2009/04/21(火) 22:23:23
暗号化と署名は別物。
それぞれ秘密鍵公開鍵どっちを使うかなんて、午前問題のレベルじゃん。
それぞれ秘密鍵公開鍵どっちを使うかなんて、午前問題のレベルじゃん。
署名を検証するために、メール本文を復号しようとしても
メール本文の暗号化につかった「暗号化された共通鍵」を自営CAの公開鍵で復号して取り出せないから
そもそもメール本文が復号できないって話だな。
メール本文の暗号化につかった「暗号化された共通鍵」を自営CAの公開鍵で復号して取り出せないから
そもそもメール本文が復号できないって話だな。
細かいことは知らんが俺はITECが間違ってると厳しめで7割になるから
その方が助かる
その方が助かる
>落ちても受験料と交通費と参考書は会社からでます。
おまいの会社行くわ
会社の金で参考書買いまくり
NWかSCか迷う
おまいの会社行くわ
会社の金で参考書買いまくり
NWかSCか迷う
849 :名無し検定1級さん:2009/04/21(火) 22:29:20
エンベデッドシステムスペシャリスト2009年(平成21年)春の試験での名言:
T君:排他制御については、意識していませんが。
ジョセキは何か面白いのなかったのか?
T君:排他制御については、意識していませんが。
ジョセキは何か面白いのなかったのか?
今後午後2の問1の話は禁止
俺が受けてないから
俺が受けてないから
851 :843:2009/04/21(火) 22:30:40
すまん、それ以前に、今回は署名はしたと書いてあるが暗号化したとは書いてないので
それ以前の問題でした。結論は変わらんが。
それ以前の問題でした。結論は変わらんが。
>>848
暗号化はオプションですよ。三井住友のサービスとか、確か署名機能だけ提供してるし。
http://www.smbc.co.jp/security/smime/index.html
でも暗号化も出来るってだけで、問題本文では"メールの暗号化"も実施してることが読み取れるね。
http://www.atmarkit.co.jp/fsecurity/special/04smime/smime01.html
暗号化はオプションですよ。三井住友のサービスとか、確か署名機能だけ提供してるし。
http://www.smbc.co.jp/security/smime/index.html
でも暗号化も出来るってだけで、問題本文では"メールの暗号化"も実施してることが読み取れるね。
http://www.atmarkit.co.jp/fsecurity/special/04smime/smime01.html
>>851
12ページ読めよw
12ページ読めよw
俺はむしろITECの解答で正解だと嬉しいw
9割ほど合ってるよww
9割ほど合ってるよww
858 :名無し検定1級さん:2009/04/21(火) 22:39:37
こんな解答でいかがですか?
問題:メールと署名の正当性を確認できない
理由:A社の自営CAの証明書の正当性を判断する材料がないから
他の回答が違う理由
@「メールを復号できない」が違う理由
・設問文では、署名したとは書いてあるが、暗号化したとは書いていない。
・メールを暗号化する場合、受信者の公開鍵で暗号化する。
受信者は自分の秘密鍵で復号するので、復号できないことはない.
A「署名を復号できない」が違う理由
・受信者が、送信者の公開鍵を持っていなければ、復号はできない。
しかし、それはグループ内でも同じである。
現にP12にて「当社営業担当者の証明書をグループ販社の発注担当者に送っておく必要がある」と言っている。
なので、第三者にも、送信者の証明書(公開鍵が含まれる)を送っていることが前提であろう。
そうであれば、署名は復号できる。
問題:メールと署名の正当性を確認できない
理由:A社の自営CAの証明書の正当性を判断する材料がないから
他の回答が違う理由
@「メールを復号できない」が違う理由
・設問文では、署名したとは書いてあるが、暗号化したとは書いていない。
・メールを暗号化する場合、受信者の公開鍵で暗号化する。
受信者は自分の秘密鍵で復号するので、復号できないことはない.
A「署名を復号できない」が違う理由
・受信者が、送信者の公開鍵を持っていなければ、復号はできない。
しかし、それはグループ内でも同じである。
現にP12にて「当社営業担当者の証明書をグループ販社の発注担当者に送っておく必要がある」と言っている。
なので、第三者にも、送信者の証明書(公開鍵が含まれる)を送っていることが前提であろう。
そうであれば、署名は復号できる。
>>858
ま、そんな感じでしょ
ま、そんな感じでしょ
860 :名無し検定1級さん:2009/04/21(火) 22:42:18
これで何点くらいだろう
問1設問1
(1)r(2)ア 問い合わせ
(3)イ(4)U X
インターネット上のIPアドレスからの問い合わせを受け付けない設定にする
設問2
(1)ア(2)イウ
設問3
(1)メールサーバを探すためにDNSサーバへの問い合わせを繰り返す
(2)DNSサーバへの問い合わせ
問4設問1
(1)エ(2)IDの共用(3)ログ確認
設問2
(1)ア(2)syslog
(3)ログの修正、削除権限を管理者以外のIDのみとする
(4)管理者所有端末のIPアドレス以外の接続
(5)監視していることを伝えることで犯罪を未然に防止する
監視方法を伝えると監視を逃れて犯罪が行いやすくなる
(6)誰がいつどのような操作をDBに対して行ったか
不正な改ざんが行われていないこと
問1設問1
(1)r(2)ア 問い合わせ
(3)イ(4)U X
インターネット上のIPアドレスからの問い合わせを受け付けない設定にする
設問2
(1)ア(2)イウ
設問3
(1)メールサーバを探すためにDNSサーバへの問い合わせを繰り返す
(2)DNSサーバへの問い合わせ
問4設問1
(1)エ(2)IDの共用(3)ログ確認
設問2
(1)ア(2)syslog
(3)ログの修正、削除権限を管理者以外のIDのみとする
(4)管理者所有端末のIPアドレス以外の接続
(5)監視していることを伝えることで犯罪を未然に防止する
監視方法を伝えると監視を逃れて犯罪が行いやすくなる
(6)誰がいつどのような操作をDBに対して行ったか
不正な改ざんが行われていないこと
>>858
本筋に関係ないところで@だけど、あくまでS/MIMEで暗号化を実施する場合、個別の共有鍵使うと思うんだけど。
公開鍵と秘密鍵はそれの受け渡しに使うだけでしょ。
・メールを暗号化する場合、受信者の公開鍵で暗号化する。
受信者は自分の秘密鍵で復号するので、復号できないことはない.
本筋に関係ないところで@だけど、あくまでS/MIMEで暗号化を実施する場合、個別の共有鍵使うと思うんだけど。
公開鍵と秘密鍵はそれの受け渡しに使うだけでしょ。
・メールを暗号化する場合、受信者の公開鍵で暗号化する。
受信者は自分の秘密鍵で復号するので、復号できないことはない.
暗号化自体は共有鍵だな。
公開鍵とかは受け渡しに使う。
公開鍵とかは受け渡しに使う。
それSSLじゃね?
S/MIMEも公開鍵暗号と共通鍵暗号のハイブリットだっけか?
S/MIMEも公開鍵暗号と共通鍵暗号のハイブリットだっけか?
アイテックの午後T問1設問3(2)って解答文字数少なすぎだろ
パターンファイルが抜けてんじゃね。
パターンファイルが抜けてんじゃね。
>>865
S/MIMEもハイブリットだったと思った。
S/MIMEもハイブリットだったと思った。
ハイブリッドっぽいね
ぐぐったら、S/MIMEもハイブリットだった
メールなんかエンドツーエンドで考えたらリアルタイム通信じゃないのに
どうやってハイブリット使うんだろ?
メールなんかエンドツーエンドで考えたらリアルタイム通信じゃないのに
どうやってハイブリット使うんだろ?
なるほど、メール送信と鍵交換を同時にやるのか
自己解決
自己解決
>>858
後、Aだけど、自営CAの秘密鍵での署名の検証には
A社自営CAの公開鍵証明書(P12でいうと空欄fのやつ)が必要になるってP12内で示唆されてるから、そこも違うかな。
ただ、最終的にどうやってその証明書を導入して入手できるようにするのか、問題の本文では検討の段階だから
外部の人間が絶対入手できないとはいえないけど。
後、Aだけど、自営CAの秘密鍵での署名の検証には
A社自営CAの公開鍵証明書(P12でいうと空欄fのやつ)が必要になるってP12内で示唆されてるから、そこも違うかな。
ただ、最終的にどうやってその証明書を導入して入手できるようにするのか、問題の本文では検討の段階だから
外部の人間が絶対入手できないとはいえないけど。
PKIなんて廃れるだけなのに何必死こいたんだかコイツら。
IPAに言えw
毎年毎年PKIばっか出題しやがって
毎年毎年PKIばっか出題しやがって
VPNの問題もなにげに出題多い気が。。。
要は国にとってPKIはビジネスになるから。
JIPDECとか。CAが認証受けるために監査料を国(JIPDEC)に払う必要がある。
だからPKIを普及させたいわけ。
JIPDECとか。CAが認証受けるために監査料を国(JIPDEC)に払う必要がある。
だからPKIを普及させたいわけ。
877 :名無し検定1級さん:2009/04/21(火) 23:41:38
アイテックの模範解答はあんま信用できないのか。
ソフ開の時は、タックよりアイテックの方が
信頼できるという意見が多かったと記憶してましたが。
ところで今回合格率30%くらい行っちゃうんじゃねーのか…?
こりゃ、秋の試験ではP部長に頑張ってもらうしかないな
879 :名無し検定1級さん:2009/04/21(火) 23:49:56
自己署名証明書。ルート証明書じゃだめ?
880 :名無し検定1級さん:2009/04/21(火) 23:52:36
自営CA証明書じゃだめなのか?
自己証明書だと、なにの証明書かはっきりしないから、自営CA証明書のほうが妥当なきがするけどな
883 :P部長:2009/04/22(水) 00:17:03
おまえら全員不合格。
884 :名無し検定1級さん:2009/04/22(水) 00:18:04
自営CAは高い
itec模範解答で午後TUとも6割ちょい、、、あきらめがつかないとこがつらいなあ。
あと午後U問1設問3 模範解答「テレワークPCに格納された秘密鍵をコピーされないようにする。」
そりゃそうなんだけど、こりゃあんまりじゃないかw
あと午後U問1設問3 模範解答「テレワークPCに格納された秘密鍵をコピーされないようにする。」
そりゃそうなんだけど、こりゃあんまりじゃないかw
そだねw そのための方法を聞いてるんだよね
itecの回答ひどいなwあれだとせいぜい7割程度だろう
itec6割で悲観してるヤツはあてにならないから元気だせ
itec6割で悲観してるヤツはあてにならないから元気だせ
セクスペの鉄板な参考書・問題集ってなんですか?
結局メール復号できないってのはどうなったんだよ
あれは本文も暗号化してるのか?
あれは本文も暗号化してるのか?
[[メール + 電子署名(送信者の秘密鍵)]暗号化(共通鍵)] + [共通鍵]暗号化(受信者の公開鍵)
→[共通鍵]復号(受信者の秘密鍵) + [[メール + 電子署名(送信者の秘密鍵)]復号(共通鍵)]
→電子署名検証(送信者の公開鍵)
→受信者が公開鍵を持っていないので送信者の正当性を検証できない
メール文は読めてるよね?
→[共通鍵]復号(受信者の秘密鍵) + [[メール + 電子署名(送信者の秘密鍵)]復号(共通鍵)]
→電子署名検証(送信者の公開鍵)
→受信者が公開鍵を持っていないので送信者の正当性を検証できない
メール文は読めてるよね?
俺、共通鍵を送信者の公開鍵で暗号化するのか、受信者の公開鍵で暗号化するのか
ごっちゃになってたわ
メール分暗号化してたとしても、読めてるんじゃない
ごっちゃになってたわ
メール分暗号化してたとしても、読めてるんじゃない
解答の解説は出ないのか?
署名は「メール本文のハッシュ」を暗号化して、メールに付加して送るだけ。
そもそも署名の目的は、
⇒送信者の真正性を確認することで、なりすましを防ぐ。
⇒メールに付加されたメール本文のハッシュ値から、完全性を確認することで、
メール本文自体に対する改ざんの有無を確認する。
なので、メール本文自体はなんら処理されていないので、暗号やら復号やら
全然関係ないので、読めない、ということはない。
そもそも署名の目的は、
⇒送信者の真正性を確認することで、なりすましを防ぐ。
⇒メールに付加されたメール本文のハッシュ値から、完全性を確認することで、
メール本文自体に対する改ざんの有無を確認する。
なので、メール本文自体はなんら処理されていないので、暗号やら復号やら
全然関係ないので、読めない、ということはない。
895 :名無し検定1級さん:2009/04/22(水) 06:22:24
CA担当者が鍵ペアを扱う規定を明確にする・・・
アバウトwwwwwwwwwwwwwwwwwwwwwwwwwwwww
アバウトwwwwwwwwwwwwwwwwwwwwwwwwwwwww
896 :名無し検定1級さん:2009/04/22(水) 06:23:22
メールに電子署名を付加しただけなら、メール本文は平文。
S/MIMEを使用していたらメール本文は暗号化されてるんじゃないの?
問題文から読み取れるのは前者の方のような気がする。
S/MIMEを使用していたらメール本文は暗号化されてるんじゃないの?
問題文から読み取れるのは前者の方のような気がする。
> [設問5]
> (1) 公開鍵証明書を偽造されると,不正アクセスが可能となり社内の機密情報などが漏 えいする。
これ、大間違いっぽくね?
> (1) 公開鍵証明書を偽造されると,不正アクセスが可能となり社内の機密情報などが漏 えいする。
これ、大間違いっぽくね?
> Copyrights by ITEC,inc. 2009
Copyrights ってのもおかしいよな。
Copyrights ってのもおかしいよな。
証明書偽造で不正アクセスの意味がわからんのだけど・・・
俺に詳しく教えてくれないか
俺に詳しく教えてくれないか
Tシステムから侵入するんじゃないの
もっとも秘密鍵入手できる時点で機密情報は漏洩してるだろうけど
ここは偽の注文をされるが正解だと思う
もっとも秘密鍵入手できる時点で機密情報は漏洩してるだろうけど
ここは偽の注文をされるが正解だと思う
それもそうだが、認証局の秘密鍵が漏洩されれば偽の公開鍵も
送付することが可能なわけで、そうなれば情報漏洩関連の解答も
間違いではないな。
送付することが可能なわけで、そうなれば情報漏洩関連の解答も
間違いではないな。
問題には、「A社とグループ販社に被害を、、、」 とあるから、
Tシステムからの不正アクセスではA社のみの被害になるので不適当じゃないかな?
Tシステムからの不正アクセスではA社のみの被害になるので不適当じゃないかな?
ウィルス対策は、ベンダサイトからのダウンロードが正解なのか。
俺の感覚だと、会社PCを自宅の回線から直接インターネットに繋ぐ
こと自体あり得ないと思ってたから、深読みしすぎたな。
俺の感覚だと、会社PCを自宅の回線から直接インターネットに繋ぐ
こと自体あり得ないと思ってたから、深読みしすぎたな。
午後U問(2)のWAFは
WAFを通過しない内部のPCを不正に操作されたときに問題になる
では?
WAFを通過しない内部のPCを不正に操作されたときに問題になる
では?
午後U(2)のポートスキャン(PS)は
「同一のネットワークセグメントからPS」なので
内部の業務で必要なサービスのポートと
外部の業務で必要なサービスのポートとを
確認して判断しないといけないのでは?
「同一のネットワークセグメントからPS」なので
内部の業務で必要なサービスのポートと
外部の業務で必要なサービスのポートとを
確認して判断しないといけないのでは?
簡単簡単ってお前ら言ってたけど
今までのセキュアドテクセってここまで解答分かれてたっけか
今までのセキュアドテクセってここまで解答分かれてたっけか
午後U問(2)のシグニチャが難しい理由は
一つの攻撃に対して文字コードを変えて攻撃される場合、
複数のシグニチャが必要になり現実的でないから
って書いた
一つの攻撃に対して文字コードを変えて攻撃される場合、
複数のシグニチャが必要になり現実的でないから
って書いた
>>904
おいおいCAの秘密鍵が漏洩するんだぞ(ノ∀`) それって大変なことなんだぞ?偽のCAを構築できるくらいに
偽の証明書とか発行し放題だしな(ノ∀`) そういう根本的なところを考えろよ(ノ∀`)9m
>>905
話になんねーよ(ノ∀`)ノ≡ノ
>>906
いい線行ってるm9(・∀・`) そう、「同一のネットワークセグメント」=FWで守られたセグメント
なのでFWでアクセスが許可されていないサービスは不要なサービスと思っていいはずm9(・∀・`)
>>908
(・∀・`)イイ! 要はここは攻撃一つ一つにいちいちシグネチャ作ってたら切りがないってのを言えてればいいのだm9(・∀・`)
おいおいCAの秘密鍵が漏洩するんだぞ(ノ∀`) それって大変なことなんだぞ?偽のCAを構築できるくらいに
偽の証明書とか発行し放題だしな(ノ∀`) そういう根本的なところを考えろよ(ノ∀`)9m
>>905
話になんねーよ(ノ∀`)ノ≡ノ
>>906
いい線行ってるm9(・∀・`) そう、「同一のネットワークセグメント」=FWで守られたセグメント
なのでFWでアクセスが許可されていないサービスは不要なサービスと思っていいはずm9(・∀・`)
>>908
(・∀・`)イイ! 要はここは攻撃一つ一つにいちいちシグネチャ作ってたら切りがないってのを言えてればいいのだm9(・∀・`)
911 :9:2009/04/22(水) 09:56:28
なあ俺実は午後1問1の偽装のところ偽造って書いちゃったんだがセーフだよね(;ノ∀`)
まあぷっすまよりはマシか(´,_ゝ`)プッ
なんだよIPアドレスになりすますって日本語(プゲラwwwwwwwwwwwwwwwwww
まあぷっすまよりはマシか(´,_ゝ`)プッ
なんだよIPアドレスになりすますって日本語(プゲラwwwwwwwwwwwwwwwwww
912 :名無し検定1級さん:2009/04/22(水) 10:01:09
>>907
少なくとも前回のセキュアドはすげー議論してたぞ
少なくとも前回のセキュアドはすげー議論してたぞ
今回は難易度上がってると思うけどな。
PKIも以前は表層的な部分しか問題に無かったし。
今回は一歩踏込んだ技術的な設問に加え、
運用管理面(これはセキュアドより?)の観点からの設問もあったからなぁ。
まぁ6割は問題無いと思うけどね。
PKIも以前は表層的な部分しか問題に無かったし。
今回は一歩踏込んだ技術的な設問に加え、
運用管理面(これはセキュアドより?)の観点からの設問もあったからなぁ。
まぁ6割は問題無いと思うけどね。
>>911
偽造でも十分日本語としておかしいわw
偽造でも十分日本語としておかしいわw
みんな秋は何受けるんだ。俺は秋のITストラテジストの勉強開始する。
セキュスペ見たいに旧資格が合体した奴だけど、上級シスアドとシスアナ合体って
勉強の負荷半端ないな。
セキュスペ見たいに旧資格が合体した奴だけど、上級シスアドとシスアナ合体って
勉強の負荷半端ないな。
午後2問一の意見が分かれてるのは、
PKIについてよくわかってない奴が駄レスしてるから。
そんな難易度の高い問題じゃない。
PKIについてよくわかってない奴が駄レスしてるから。
そんな難易度の高い問題じゃない。
917 :名無し検定1級さん:2009/04/22(水) 12:20:41
秋かあ
ネスペにしようかITストにしようか迷うわ〜
まあセキュスペになる可能性もあるなw
ネスペにしようかITストにしようか迷うわ〜
まあセキュスペになる可能性もあるなw
918 :名無し検定1級さん:2009/04/22(水) 12:24:58
午後2の問2は意見割れるの仕方ないと思う
問題が悪いよありゃ
問題が悪いよありゃ
919 :名無し検定1級さん:2009/04/22(水) 12:26:33
今回落ちる気がしないんだが、
それが逆にこわい。
>>910
ん〜 言いたい事はわかるんだが
具体的な被害を答える必要があり
ぱっとしたのが思い付かなかったという話だ。
なので思い付く具体的な内容を
文字数の制限内で3つ書いてみた。
9なら具体的な被害は何書くよ?
ん〜 言いたい事はわかるんだが
具体的な被害を答える必要があり
ぱっとしたのが思い付かなかったという話だ。
なので思い付く具体的な内容を
文字数の制限内で3つ書いてみた。
9なら具体的な被害は何書くよ?
921 :名無し検定1級さん:2009/04/22(水) 12:32:33
二年前のセキュアドがそうだった
簡単でみんなわかったせいか午後2よくできたのにギリギリで落ちた
合格率調整が入る試験は問題は難しいほうがいい
簡単でみんなわかったせいか午後2よくできたのにギリギリで落ちた
合格率調整が入る試験は問題は難しいほうがいい
922 :名無し検定1級さん:2009/04/22(水) 12:42:32
午前1 冷や汗
午前2 鼻くそほじりながらできた
午後1 時間的には余裕だった。
午後2 楽しめた。
午前2 鼻くそほじりながらできた
午後1 時間的には余裕だった。
午後2 楽しめた。
>>920
だから言ったじゃん(ノ∀`)つ 偽の証明書を発行されたり、自営CAになりすまされたりする
だから言ったじゃん(ノ∀`)つ 偽の証明書を発行されたり、自営CAになりすまされたりする
この人の解説あってんの(´・ω・)?つ ttp://ncc-1701.air-nifty.com/vsa/2009/04/21-d82f.html
A社の被害はわかるんだけど、販社の被害って何?
926 :名無し検定1級さん:2009/04/22(水) 14:53:36
昨秋のソフ開の午後Uの合格率が確か68%くらいだったと思うが、
今回のセキュスペは、4ステップとも通過率がそれくらい行くような気もします。
合格率20%とかありえん。
資格の価値が無くなる。
資格の価値が無くなる。
>>923
んなこた〜わかっとるよ。
そこからもう一歩踏み込んだ被害を書かないとダメじゃね? と言っている。
>>923
って要は不正アクセスが被害って事?
CAの信用失墜ってのも考えられなくないが、
>>925のいっている販社の被害としては弱い気がする。
んで販社に手間を取らせてしまう
証明書の再発行と情報漏洩を書きたかったわけだが
字数の制限で詰め込めるむだけ詰め込む
位しか思い付かなかった
んなこた〜わかっとるよ。
そこからもう一歩踏み込んだ被害を書かないとダメじゃね? と言っている。
>>923
って要は不正アクセスが被害って事?
CAの信用失墜ってのも考えられなくないが、
>>925のいっている販社の被害としては弱い気がする。
んで販社に手間を取らせてしまう
証明書の再発行と情報漏洩を書きたかったわけだが
字数の制限で詰め込めるむだけ詰め込む
位しか思い付かなかった
何で合格率上げようとしてるかというと、有効期間を定めようとしてるから
「偽の証明書を発行されてなりすましされる」
の「なりすましされる」くらいまでは書かなきゃダメじゃね?ってことね。
「被害は偽の証明書を発行されることです(キリッ」
「それってどういう被害?」
「なりすまされてry」
なんてやり取りが容易に想像つくわ。
俺はなんて書いたっけか
偽CAが構築可能で発行済み証明書の信頼性が保証できず、証明書破棄と再発行の手間が必要になる
みたいなこと書いた。
の「なりすましされる」くらいまでは書かなきゃダメじゃね?ってことね。
「被害は偽の証明書を発行されることです(キリッ」
「それってどういう被害?」
「なりすまされてry」
なんてやり取りが容易に想像つくわ。
俺はなんて書いたっけか
偽CAが構築可能で発行済み証明書の信頼性が保証できず、証明書破棄と再発行の手間が必要になる
みたいなこと書いた。
これ明らかにレベル下がってるよな。とりやすくなってる。
しまお春秋2回実施する時点で・・・w
マジで有効期間設けて何度も受験させるんだろうなw
資格商法乙www
しまお春秋2回実施する時点で・・・w
マジで有効期間設けて何度も受験させるんだろうなw
資格商法乙www
932 :名無し検定1級さん:2009/04/22(水) 17:52:35
午後2問2の「個々の攻撃に対してシグネチャを作成することが難しい理由」ですが、
攻撃手法が多様であり、少し手法を変えられると新たなシグネチャを再作成しなければならないため
としましたが、OKかなあ?
ニュアンス的には外してないと思うけど
攻撃手法が多様であり、少し手法を変えられると新たなシグネチャを再作成しなければならないため
としましたが、OKかなあ?
ニュアンス的には外してないと思うけど
933 :名無し検定1級さん:2009/04/22(水) 17:56:41
934 :名無し検定1級さん:2009/04/22(水) 18:15:34
直接攻撃に強くても、魔法攻撃に弱くては、すぐにやられてしまう。
935 :名無し検定1級さん:2009/04/22(水) 18:16:01
午後2の問2は正解の回答パターンがたくさんありそうだな。
アプリの仕様変更の際のシグネチャの対応漏れによるセキュリティホールのリスクとか…
パッケージと比較してカスタム開発のアプリは固有性が高くシグネチャ対応が困難とか…
二つ目は若干要点逃してるかもだが…
アプリの仕様変更の際のシグネチャの対応漏れによるセキュリティホールのリスクとか…
パッケージと比較してカスタム開発のアプリは固有性が高くシグネチャ対応が困難とか…
二つ目は若干要点逃してるかもだが…
936 :名無し検定1級さん:2009/04/22(水) 18:57:21
>>935
若干どころか大外れだろそれは。
若干どころか大外れだろそれは。
937 :名無し検定1級さん:2009/04/22(水) 19:01:52
野蛮人に情報セキュリティを理解しろと言っても無駄だろ
938 :9:2009/04/22(水) 19:03:20
午後U問1こんなん出ました〜(´・∀・)ノシ
設問1
a.128 b.SHA-1 c.ハッシュ値 f.自営CA
設問2
問題:普段のインターネット利用時にウイルス感染し、社内ネットワーク接続時にウイルスが蔓延する。
対策:社内ネットワーク接続時には必ずウイルス検査を行い、最新のウイルス定義ファイルを配布するようにする。
設問3
・秘密鍵はテレワークPCとは分離して持ち歩くようにする。
・テレワークPC起動時にパスワードを設定し定期的に変更する。
設問4
改ざんしたデータに秘密鍵で暗号化を行い、電子署名を作成し、改ざんしたデータと一緒に送り付ける。
設問5
(1)偽の証明書を発行されたり、自営CAになりすまされたりする。
(2)d.(イ) e.(ケ)
(3)鍵ペアは別々に保管し、秘密鍵が漏えいしないように管理する。
設問6
問題:証明書に関する警告が表示される。
理由:自営CAによる自己署名証明書であるから
問1のキモはまさに最後の設問6だろうね。ここで出題者がオレオレ証明書のことに気付いて欲しいといっていることに気付けるかどうか
オレオレで署名されたメールは、当然正しい検証ができないので警告が出る
これはブラウザでオレオレ証明書によるHTTPSページを見に行ったときに出るのと同じだよね(´・∀・)ノ
設問1
a.128 b.SHA-1 c.ハッシュ値 f.自営CA
設問2
問題:普段のインターネット利用時にウイルス感染し、社内ネットワーク接続時にウイルスが蔓延する。
対策:社内ネットワーク接続時には必ずウイルス検査を行い、最新のウイルス定義ファイルを配布するようにする。
設問3
・秘密鍵はテレワークPCとは分離して持ち歩くようにする。
・テレワークPC起動時にパスワードを設定し定期的に変更する。
設問4
改ざんしたデータに秘密鍵で暗号化を行い、電子署名を作成し、改ざんしたデータと一緒に送り付ける。
設問5
(1)偽の証明書を発行されたり、自営CAになりすまされたりする。
(2)d.(イ) e.(ケ)
(3)鍵ペアは別々に保管し、秘密鍵が漏えいしないように管理する。
設問6
問題:証明書に関する警告が表示される。
理由:自営CAによる自己署名証明書であるから
問1のキモはまさに最後の設問6だろうね。ここで出題者がオレオレ証明書のことに気付いて欲しいといっていることに気付けるかどうか
オレオレで署名されたメールは、当然正しい検証ができないので警告が出る
これはブラウザでオレオレ証明書によるHTTPSページを見に行ったときに出るのと同じだよね(´・∀・)ノ
939 :名無し検定1級さん:2009/04/22(水) 19:05:59
これMARCHくらいのレベルの資格って聞いたけどほんと?
940 :名無し検定1級さん:2009/04/22(水) 19:08:06
いやいや、地方国立程度でしょ
942 :名無し検定1級さん:2009/04/22(水) 19:16:56
マジでどーなの
簿記より難しいの
簿記より難しいの
簿記みたいなカス資格と比べんなよw
簿記()笑
今回の午後2問1の話に近いのはこれかな(´・∀・)つ
PKIの適用事例(2)〜試験運用から全社展開へ
http://www.atmarkit.co.jp/fsecurity/rensai/pki07/pki01.html
PKIの適用事例(3)〜PKIで電子調達システムを構築
http://www.atmarkit.co.jp/fsecurity/rensai/pki08/pki01.html
PKIの適用事例(2)〜試験運用から全社展開へ
http://www.atmarkit.co.jp/fsecurity/rensai/pki07/pki01.html
PKIの適用事例(3)〜PKIで電子調達システムを構築
http://www.atmarkit.co.jp/fsecurity/rensai/pki08/pki01.html
946 :名無し検定1級さん:2009/04/22(水) 19:21:33
簿記2級よりは難しかったな
でも、簿記の方が役に立つわな
でも、簿記の方が役に立つわな
秋試験受ける予定ですが、おすすめの本ありますか?
基本情報とか持ってないです。
基本情報とか持ってないです。
>>947
なんだかんだで基本情報から受けた方が良いよ
なんだかんだで基本情報から受けた方が良いよ
949 :名無し検定1級さん:2009/04/22(水) 20:33:11
明日16時半にタックの模範解答だな
この資格をレベル4に持ってくることが間違い。
ITパスポートすら受けずにいきなりレベル4から受ける奴が続出する。
セキュリティの資格はレベル2まで落とすべきだな。
ITパスポートすら受けずにいきなりレベル4から受ける奴が続出する。
セキュリティの資格はレベル2まで落とすべきだな。
TACは無難に解答してくるからツマラン
ITECみたいな尖った解答してくれないとネタにならんw
ITECみたいな尖った解答してくれないとネタにならんw
952 :名無し検定1級さん:2009/04/22(水) 20:36:10
953 :名無し検定1級さん:2009/04/22(水) 20:56:49
テクデやテクネより難しかったがなあ
デやネは実務に限りなく近そうだが
これは職場に応じて全然違いそうだからなぁ
これは職場に応じて全然違いそうだからなぁ
勃起の方が役に立つ罠
> (Webアプリの脆弱性については)セキュリティ要件が提示されていなければ委託先の責任ではない
ITEC様には申し訳ないけど、これを真に受ける人が出ると社会問題になりかねない。
裁判になって、それで勝てるとでも? 瑕疵とならないとでも? まさか!
ITEC様には申し訳ないけど、これを真に受ける人が出ると社会問題になりかねない。
裁判になって、それで勝てるとでも? 瑕疵とならないとでも? まさか!
開発者じゃないので、基本情報や応用は敷居が高く感じられるが、
試験そのものの難易度としては、SCよりも簡単なの?
試験そのものの難易度としては、SCよりも簡単なの?
論文集ですら、試験に規定された文字数に達していない会社だからなあ・・・・
960 :名無し検定1級さん:2009/04/22(水) 21:57:17
シスアー派はいないのけ?
964 :名無し検定1級さん:2009/04/22(水) 22:17:43
午後2問1設問4
「どのようにすれば改ざんやなりすましができるか」って質問に「電子署名の対象のデータに対し署名アルゴリズムを適用してハッシュ値を求め,そのハッシュ値に対して推測した秘密鍵で暗号化する。 」とアイテックは言ってるんだが、なんか理解できないのは漏れだけなのか?
「どのようにすれば改ざんやなりすましができるか」って質問に「電子署名の対象のデータに対し署名アルゴリズムを適用してハッシュ値を求め,そのハッシュ値に対して推測した秘密鍵で暗号化する。 」とアイテックは言ってるんだが、なんか理解できないのは漏れだけなのか?
965 :849:2009/04/22(水) 22:24:50
スルーでお願いします
967 :偽貝発射:2009/04/22(水) 22:34:11
///)
/,.=゙''"/
/ if ,.r='"-‐'つ____ >>965,966細けぇ事はいいんだよ!!
/ / _,.-‐'~/⌒ ⌒\
/ ,i ,二⊃( ●)(●)(●)\
/ ノ il゙フ:::::::⌒(__人__)⌒:::::: \
,イ「ト、 ,!,!| |r┬-| |
/ iトヾヽ_/ィ"\ `ー'´ /
>>966
悔しいですね。
悔しいですね。
むしろこのケースだと暗号化って書いてる方がまずい気がする
電子署名はデータのハッシュ値を暗号化するのであってデータを暗号化するわけではないし
普通に電子署名するだけでOKかと
電子署名はデータのハッシュ値を暗号化するのであってデータを暗号化するわけではないし
普通に電子署名するだけでOKかと
972 :名無し検定1級さん:2009/04/22(水) 23:41:10
午後II 問1の設問5(3)について、まだ答えがまとまってないようだけど、どんなんが正解の候補でしょう?
「鍵ペアと利用者を関連付けておく」って書いちゃった。
「鍵ペアと利用者を関連付けておく」って書いちゃった。
IPAの午後Uの解答が 6/16 って。。
その頃には自分が何て書いたかなんてすっぽり忘れてるわーw
4日前の事だって覚えてないのに・・
その頃には自分が何て書いたかなんてすっぽり忘れてるわーw
4日前の事だって覚えてないのに・・
試験は終わったんだ忘れよう
次の勉強始めようぜ
次の勉強始めようぜ
次スレの事も忘れてくれ
977 :名無し検定1級さん:2009/04/23(木) 00:21:43
今回の問題100点取れれば、次回は高確率で合格するがな
978 :名無し検定1級さん:2009/04/23(木) 00:22:45
>>973
俺もそこばっかりはわからん。
まー、その後に発行フローの話が出るあたり、「秘密鍵を削除する」が妥当かな。
漏洩しないよう厳重に管理する、でもありっちゃあり。
ただ、文脈的には、鍵ペアをサーバで作成する場合に固有の注意点を挙げるべきようにも思える。
俺もそこばっかりはわからん。
まー、その後に発行フローの話が出るあたり、「秘密鍵を削除する」が妥当かな。
漏洩しないよう厳重に管理する、でもありっちゃあり。
ただ、文脈的には、鍵ペアをサーバで作成する場合に固有の注意点を挙げるべきようにも思える。
979 :名無し検定1級さん:2009/04/23(木) 00:49:18
利用者側で作成しないってのが通常と違うって書いてあるからそれがらみだね。
さらに下線直後に運用フローに触れてるのがポイント。
さらに下線直後に運用フローに触れてるのがポイント。
980 :名無し検定1級さん:2009/04/23(木) 01:20:14
部分点って本当にあるのかな?
単なる都市伝説、ということはなかろうか?
単なる都市伝説、ということはなかろうか?
絶対ある
俺の過去の出来から見て間違いない
それに0か1かだったら相当厳しいから合格率は格段に下がる
俺の過去の出来から見て間違いない
それに0か1かだったら相当厳しいから合格率は格段に下がる
982 :名無し検定1級さん:2009/04/23(木) 01:27:43
そうか、安心した
>>973
部分点あるかわからんね
部分点あるかわからんね
984 :名無し検定1級さん:2009/04/23(木) 07:31:13
部分点なんてある訳がない
そんなものがあったら、合格者が倍増してしまう
そんなものがあったら、合格者が倍増してしまう
987 :名無し検定1級さん:2009/04/23(木) 10:39:10
部分点あるみたいよ
予め設定されたキーワードがどの程度含まれるか、でやってるらしい
採点やってる中の人複数に直接聞いた
予め設定されたキーワードがどの程度含まれるか、でやってるらしい
採点やってる中の人複数に直接聞いた
988 :名無し検定1級さん:2009/04/23(木) 11:38:16
989 :名無し検定1級さん:2009/04/23(木) 12:06:54
部分点がなかったら、合格発表がこんなに遅いわけなかろう
うめ ウメ 産め 生め 楳 宇目 梅 績め 埋め
992 :名無し検定1級さん:2009/04/23(木) 13:59:57
ログを追う問題が多いですよね
993 :名無し検定1級さん:2009/04/23(木) 16:24:23
タックきたよー
ume
995 :名無し検定1級さん:2009/04/23(木) 16:26:49
そうか今日はTAC発表の日か
996 :名無し検定1級さん:2009/04/23(木) 16:47:39
tacもあんまりあてになんないね
997 :名無し検定1級さん:2009/04/23(木) 16:49:16
JITEC解答例を待つしかないのかな
998 :名無し検定1級さん:2009/04/23(木) 17:11:30
タックの解答は独自性があるから好きだ
999 :名無し検定1級さん:2009/04/23(木) 17:12:28
1000ゲット
1000 :名無し検定1級さん:2009/04/23(木) 17:13:39
午前1問1あってた
1001 :1001:
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。
もう書けないので、新しいスレッドを立ててくださいです。。。