【ワカヤマン】情報セキュリティスペシャリスト 69

情報セキュリティスペシャリスト試験(SC)
[ Information Security Specialist Examination ]
http://www.jitec.ipa.go.jp/1_11seido/sc.html

情報処理技術者試験センター
http://www.jitec.jp/

前スレ
情報セキュリティスペシャリストPart67（実質68）
http://ikura.2ch.net/test/read.cgi/lic/1382158567/

なんだよワカヤマンて
くそみたいなタイトルつけてんじゃねーよゴミカス

おおおおおつ

>>1
乙でーす

>>1
アレ？68は？

>>5
前スレが番号変えてなかったから実質68

�T 11/30
�U 12/25
今、一人の受験者の死亡が確認されました＼(^o^)／
うん。こうなったら気分切り替えてLPIC勉強する。

>>1乙

午前1 23/30　
午前2 21/25

前すれを見る限り極普通...

まあ大丈夫だろうと思った午後2　23/25
これは問題解きながら鼻歌出そうだったからな

>>7
今回の午後2は過去問やってたら鼻歌物だったぞ
午前1の点数見るにろくに勉強してなさそうだが

午前2は確認作業を含めて20分で終わったからな。
今回は簡単すぎ。
午後1で爆死しそうなわけだが。

前スレの>>901と>>984

午後�U問2
設問1
（2）FW3　Any　VPNサーバ2 L2TP over IPSec
FW4 Webメールサーバ メールサーバ SMTP
FW4 メールサーバ　Webメールサーバ POP3

ここさ、メールサーバからWebメールサーバにプッシュしてくることはないから、FW4は

FW4 Webメールサーバ メールサーバ SMTP
FW4 Webメールサーバ メールサーバ POP3

なんじゃないかな。

和歌山でも便所混んでましたか？

高度試験としては2回目、この試験は初受験だったが、エンベよりは簡単なのかな？
まあ合格していると思うかというと午前2以外は全く自信無いんだがｗ
今年の春にエンベ受けて落ちたから、今回合格していようといなかろうと次はもう一回エンベ受けるわ。

午前I→免除
午前IIは19/25 →76点
午後I
設問1
(1)�@、�A、�A、�C
(2)4
(3)18
(4)URL文字列に対し表1項番3のチェックを行い、スクリプト要素の含有チェックも行う。
設問2
(1)c.17 d.24
(2)�A
(3)GETパラメタ及びPOSTパラメタ
(4)escapeHTML
(5)26
(6)�C
(7)out.print("￥""+document.form1.loc.value+"￥"");
問3
設問1
・第三者が他の利用者になりすまして申請メールを送る。
・仮パスワードの通知を本人に手渡しで行う。
設問2
・一度認証に成功し、クッキーが取得出来ると90日使用できるため。
・ワンタイムパスワードの入力を毎回行うようにし、クッキーの有効期間ももっとみじかくする。
設問3
a.Cサービスの領域のデータを、ローカルのストレージにバックアップ
b.Cサービスのデータを復元し業務を再開
c.データ移行方法

午後2は前スレ>>500

春は午後2だけで落ちたけど今回は通ってて欲しいなー

午前�U88点でした

ところでハニーポットが選択肢にあったのは吹いた。

なんだよ？タイトル

>>13
俺もFW4の設定は同じ回答になったわ
ネットワークの知識が乏しいから自信ないけど

セキュスペの勉強してるとき、
ICMP/pingとリングアグリケーションはプリキュアに絡めて覚えてたから、
両方とも出題されたのを見たときはちょっと嬉しかったｗ

晒します。よろしくお願いします。

午後１問３
設問１方法：携帯のメールアドレスを第三者のアドレスとして申請
　　　対策：会社貸与の携帯に限定する
設問２理由：不正ログイン後、２４時間使える
　　　対策：パスワードをワンタイムパスワードトークンにて運用する。
　　　　　　また、自動ログアウトをもっと短くする。
設問３　ａ）Cサービスのバックアップを定期的に実行
　　　　ｂ）バックアップから仮復旧させプロジェクト資料業務を再開
　　　　ｃ）データ以降の可否

>>16
> (1)�@、�A、�A、�C
�@は対象外だ

> (4)URL文字列に対し表1項番3のチェックを行い、スクリプト要素の含有チェックも行う。
この書き方は目から鱗でた

> (7)out.print("￥""+document.form1.loc.value+"￥"");

ここはたぶん「out.print("document.form1.loc.value");」

午前2 18/25
しかし午後1大爆死の模様

>>22
設問2が違うな。
cookieに残っていれば、無条件にログインできる。

午前2
21/25だた

問題は午後だ・・・

>>22
設問3-a
Cサービスは他社が運用してるサービスだから、サービスごとバックアップするのは難しいと思う。

午前二 21/25
いつもながら過去問やってんのかと錯覚しそうになった

午前2公式
http://www.jitec.jp/1_04hanni_sukiru/mondai_kaitou_2013h25.html

HMAC死んでしまえよ。

もうだめだわ

>>13
そっちが正解だと思います。
本文中にWebメールサーバはメールサーバに対してクライアントとして動作するとあるので
メールサーバ側からのプロトコル許可指定は不要でした。

午後１の問３は問題数少ないから採点者次第になりそうだな

午後２問１
設問１（１）１．不審と判断したファイルの削除
　　　　　　２．OS上で稼働するアプリケーションの自動起動設定の変更
　　　　　理由：マルウェアがどのような活動を行ったのか確認することが出来ないため。

設問２（１）PC調査中でも別のPCに復元して業務を続けることが出来るため。
　　　（２）８
　　　（３）ａ：８０　レスポンス：ウ
　　　（４）HTTPレスポンス

設問３（１）９月２５日１４：１０
　　　（２）ｄ：ア　ｆ：ウ
　　　（３）ｘｘ：ｘｘ：ｘｘ：ａａ：ｂｂ：２２
　　　（４）１９２．１６８．１．１〜１９２．１６８．１．２５４

設問４（１）最新のJREでシステムBが正常に動作するか確認する作業
　　　（２）システムB以外のJavaに関するリクエストを全て拒否するように
　　　　　　HTTPリクエストのフィルタリングを有効にする
　　　（３）ブラックリストにC&Cサーバのアドレスを登録
　　　（４）LさんのPC　インバウンド通信

>>13

俺もそう思う。

>>32
やったぜ。

>>23
ぐわ、ほんとだ�A〜�Eだった‥
記述解答は問題文で使えるもんは何でも使うという方針w
プログラムの書き換えはスクリプトの中だということを忘れてた‥

鍵付きハッシュ関数の「鍵付き」を見落として、
ハッシュ関数だ！→SHA-256に違いない！としてしまった…orz

クッキーがあれば90日は入れるんだよな
だから「クッキーの有効期限を短く」「利用者IDに新しいクッキーが作成されたら以前のものを消去」あたりを俺は書いた
あれ盗難が発覚した次点でパスワード変えさせれば解決だと思うんだけど、パス変更は無しなんだよね？

>>34
> 　　　（４）１９２．１６８．１．１〜１９２．１６８．１．２５４

やはり254も含むのかorz

自分も最初クッキーと思ったけで、携帯紛失時に同じメールアドレスで再発行って文章が気になって、答え変えた。

【午後I　問１】

設問1
(1)�A、�A、�A、�C (12 / 3点x4=12点)
(2)4　　　　　　　　　　(3 / 3点)
(3)18　　　　　　　　　(2 / 2点)
(4)";"に対するエスケープ処理を追加し、スクリプトを無効化する　　　( 0 / 6点)
　　[ => http あるいは https 以外で始まる文字列の受付を拒否する ]

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　計： 17/23

設問2
(1)c.17　d.24　　　　　( 4 / 2点x2=4点）
(2)�A　　　　　　　　　　(3 / 3点)
(3)入力内容確認画面とエラー画面　　(6 / 6点)
(4)　　　　　　　　　　　　　　　　　(0 /3点)
　[ => escapeHTML ]
(5)-　　　　　　　　　　　　　　　(0 / 2点)
　[ => 26 ]
(6)-　　　　　　　　　　　　　　(0 / 3点)
　[ => 4 ]
(7)-　　　　　　　　　　　　　　(0 / 6点)
　[ => out.print("document.form1.loc.value"); ]
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　計：　13/27

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　合計：30/50

>>39
前スレでCサービスはクラウドだからその辺の設定変えられないって誰か言ってた希ガスけどどうなん？

>>34
> ２．OS上で稼働するアプリケーションの自動起動設定の変更

これをやっていけない理由をkwsk

>>44
マルPが自動起動されるようになってた痕跡も消してしまったら困るべや

>>42
＞(3)入力内容確認画面とエラー画面　　(6 / 6点)

初めてお仲間がいた！

>>44
ウイルスがそこを書き換えたのか、利用者が書き換えたのかが判別できなくなるだろう？

httpとhttps以外は拒否でよかったのか・・・
hrefには相対パスも来るもんだと思ってたから、そう書かなかったんだよなぁ・・・

>>48
相対パスのことすっかり忘れてたわ
つーか、URLをパラメータで受け取る自体あり得ないと思った

>>43
へークラウドってそういう変更出来ないんか。勉強になるわ。
あと今気付いたんだけど、携帯まで盗まれてた場合犯人にパスワード変えられちゃう可能性があるからパス変更機能はまずいね。

>>39
「クッキー９０日がやばいから有効期間短縮」というけれど、
じゃあ有効期間を３０日、いやもっと短く１５日に短縮したら、問題は根本的に解決できたといえるのだろうか？

という意味で個人的にはクッキー云々はどうも納得いかないなあ
「ＩＤ強制停止」とか「不正をすぐに発見するためにログを可視化」とかはそれなりに筋が通ってるような気がするけど
でもやっぱり問題文的にはクッキーっぽい感じなんだよなあ

>>1
氏ね

>>13は感覚的に手拍子で書いてしまったな
取りあえず値を交差させれば良いだろうみたいにｗ

よく考えると難しいな、表の項目は下記となっているから
送信元　　　　　　宛て先　　　　プロトコル

POP3の送信元、宛先って・・・
実データの流れは
送信元：サーバ　→　宛先：Webメールサーバ
だけど、POP3の要求パケットは逆だよね
詳しい人よろしく

>>47
図３と図１０「OS起動時にマルウェアPを自動実行するように設定されていた。」ですか？

44>
理由は特になくて、なんとなくそれっぽかったので書きました。
みなさんの回答見てると、ヘルプデスクへ連絡が遅れたってのが正解っぽい
ですねorz

お前ら午後�Uの心配するくらいなら、午後�Tの心配しろや。
午後�T落ちたら午後�Uはそのまま破棄されるんだぞ！

>>56
お、そうだな＾＾

>>51
IPAの試験だしねえ。
クッキー関連じゃなければ文章に書かれていない部分が大きすぎると思う。
そこスルーかよってツッコミは当然入るわな。

安堂さん始まったから、静かにな

>>51
自分は「盗難届が届いたら総務部が速やかに対応」ってところから、盗難アドレスにフラグ立てるなりして、Cサービスアクセス前の(1)処理に盗難されたものかどうかの確認追加みたいに書いたわ

>>51
ID強制停止だと、「利用者IDはその社員のメールアドレスを使用」に引っかかると思う(該当社員がサービス利用できなくなる)
まあそもそもそんな特定されやすい構造にするなよって話だけど

>>56
午後一はマジ焦った。
が、とりあえず通過していたよ。20/30
で。

午後２ 問１ 設２の(4)
POSTの応答でもいい？
回答用紙の、この解答欄のすぐ上に
レスポンスって文字が書いてあったので
レスポンスってワードを使用するのを
避けてしまった、、、

間違えた。午後一の話ね。
俺は午前一のことだったｗ
自信無かったんだよ。

ああああああああやってしまった終わった

out.print("\"document.form1.loc.value\"");

本田翼かわいいわー

>>21
お前JOHOだろ

午後１、問１、設問１、（４）

これは「セミコロンの除去」も妥当だと思う
通常URLでは使用しない記号なのにescapeHTMLのサニタイジング対象に入ってないし
検出パターン4にピンポイントで対応できるし
少なくとも相対パス無視よりはよっぽど現実的

というか実際の業務でもふつうにセミコロンは習慣的に置き換えてる
DB方面でいうと最優先事項だしね

午後�T問3の最初
直前に即効サプリ見たから
仮パスワードを伝えるメールを盗聴される
にしちゃった
余計なページを見てなければ…

>>50
Dropbox的なモノだと出来なさそうだしGoogle App Engine的なモノだと出来るんだよなあ。
詳しくなくてスマン。

22／25
午後1がどうなるか…

>>69
俺もそれにしたんだが、×なんかね？

4問から3問に減った影響度を語ってくれ

午後�T落ちたか・・・

問２

設問１
(1) 端末識別番号は変更が不可能だから
(2) エ
(3) ハッシュ値から暗号アルゴリズムを解析可能だから

設問２
利用者のスマホを利用から予約案内を送信する

設問３
(1) YoyakuCode: 201310000071
DateTime: 10 16 18:04:10
(2) AuthKeyとYoyakuCodeを突き合わせる


問３

設問１
方法：P社の社員名を偽り、申請メールを送付する
対策：申請した社員に申請有無について確認の連絡を取る

設問２
理由：クッキーが90日間有効であるから
対策：対象のIDを無効化し、同じ利用者IDに対して他のクッキーが生成された場合、以前のクッキーは無効にする

設問３
a : P社のファイルサーバにバックアップを取っておく
b : プロジェクト資料を使う業務を再開
c : データ移行手順

>>65
SCのソース簡単ってほざいてたIT土方だけど
そこのソースはじっくり見ないと書けんかったわｗ

どっか午後の解答でた？

午前って８割だっけ？
もうだめぽ

午前はＯＫっぽい。
だが問題は午後だ・・・。
受かってたらラッキーぐらいに思っておくか。

6割だよ

>>77
6割じゃまいか?

午前１ 18問以上
午後２ 15問以上
で通過だとと思いますよ。

>>73
1問飛ばすともう後がないという焦燥感

設問1 (4)ってescapeHTMLの前にURLエンコーディング処理を噛ますのはダメか

>>73
選択基準が「どれを選ぼうか」から「どれを捨てようか」に変わるだけ。
捨てるのを一つピックアップするだけだから簡単。

>>58
文意には同意するけど

実際にはクッキー云々もべつにそこまで強調されてはいないのよね
図中にちょこっと書かれているだけという意味ではアクセス履歴云々とそう大差ない

>>74
6割以上はあると思うんだけど？

こりゃ落ちたな、、試験のことは忘れて彼女とパコるか…

午後解答12/13正午
合格発表12/20正午

新しい利用者ID発行と1つの利用者IDに対して古いの無効にして1つのクッキーみたいなこと書いたで

>>85
「不正利用が長期間続く恐れがある」っと言ってて
その理由と対策はと言われたら
クッキーの90日間以外に求められてる解答はないと思

新しいクッキー発行の度に利用者認証するって書いた

午後1どうやら落ちた模様・・・

今回の午後1はムズかったわ。
過去問演習の時は調子よくても絵に描いた餅か・・・

午前I自己採点
19/30
これって足切りされちゃう？

午前２は16問正解……ギリッギリだったわｗ
う、受かればいいんだよ！受かれば！

>>90
同一利用者IDに対してクッキー無限に発行できちゃう
って書いた俺はあってるのかな？

たぶんダメ

>>93
お前は試験要項を読まないタイプのバカか？それとも30問の6割が何問か計算できないタイプのバカか？

午後、轟沈かな・・・

もうだめだ、春を最後にしよう
ダメなら足あらう

>>90
【問題】不正利用が長時間続くおそれがあることについて。　（※不正利用されること自体については聞いてない）


（回答案１）
原因：「クッキーの９０日間リミット　→　不正利用の長期化」
対策：「クッキーのリミットを３０日に縮小する」

疑問：「３０日ならええんか？　仮にもっと短くしたとして、１５日ならええんか？　それって何か解決してる？」


（回答案２）
原因：「同一ＩＤで複数のクッキーが作成されたとき、どちらも生き残りつづける　→　不正利用の長期化」
結果：「古いクッキーを無効化する」

疑問：「古いクッキーの無効化、は実際のところ可能なの？」


（回答案３）
原因：「ログインログやアクセスログをまともにチェックしてないから不正利用自体に気づけない　→　不正利用の長期化」
対策：「利用者にも管理者にも各種ログを自由に確認できるようにする」

疑問：「いざ不正利用を発見したらどうするの？　結局ＩＤ停止するの？」

>>98
俺と一緒にラーメン屋やろうぜ！

>>99
なるほどー（棒

・クッキーの有効期間内はワンタイムパスワードの入力が不要だから
・利用者IDに対するクッキーを送信せず、毎回ワンタイムパスワードを携帯電話に送信し、入力を求める

ってのは駄目かな？

>>86
サンクス、そういって貰えただけでも良かった

cookieをクライアント側で無効にはできないけど、サーバ側で認証はじくことはできるよな。

(回答案4)
そもそもクッキーでどうのこうのという糞仕様をやめる
初回ログインとそれ以外の判別はDBにデータを登録してそこでやれ
そして、クッキー付与はやめろ
30日以上経過したら、パスワード変更を促す画面に強制遷移

午後のが自信あった結果
午前�U12/25…轟沈orz

クリスマスなんて来なくていい！

古いクッキーの無効化が一番題意に沿ってる気がするけどな
長期化するのも１度アクセス成功するとクッキーが90日間も有効だからだし

午後�Tより午後�Uのほうが不安な俺は少数派なのかね？

ムカつくから年内には絶対クッキー食べないことにする
1220までもう何も考えない
合格発表の時にまた会おう

>>106
クリスマス来ても君はいつも独りだよね？

Nさん・・・

>>108
俺もそうだわ
午後�Tは何とかなりそうだが午後�Uは問1を選択して不安増大中

俺、セキュスペ受かったら彼女にクリスマスにプロポーズするんだ・・・

>>110
は？嫁と過すは！過すは…

くっそ、就活に間に合わんかった…

午後2が不安ってのは珍しいな
午後1が60点あれば合格してるだろう、って連中が多いだろう
俺もそうだ

みんなおつかれ
会場で出会った戦友と飲んで帰ってきた

自己採点してみた
午前1=25/30=83%
午前2=24/25=96%

午後は解答出てないからまた今度
本番強いな、俺

午後2は過去問流用しまくりで開始10分で全問回答しちゃって残り時間暇すぎた。

失礼、午前2の間違い

>>107
ここまでにもちょいちょい出てるけど「古いクッキーを無効化する」ということ自体が概念的に微妙なんだよねたぶん
クッキーなんてユーザ側で自由に改変できるものだし

サーバ側で新しいもの古いものを判別するとかそういうことをするならセッションとかタイムスタンプとかを扱うのが普通で
つまり >>105 の発想は正しい

>>73
自分は選択肢が減った方がいい。
むしろ選択肢なくなったほうがいいと思ってる。
選択間違えて後悔するよりマシだから。

クッキーがどうとか、サービス提供側の話であって、「手順の見直しと対策の追加」の範囲内だろうか？

ああぁぁ…地獄の待ち時間
受かっててほしいけど恐いしめんどくさいから採点したくない
受かっててくれぇ…
頼むぜIPA

午後�Uは問１の設問４が間違いまくってるからオワタ
設問４が配点高いだろうし・・・

やっぱな〜、あんま考えすぎるのがよくないんだよな〜　午後は。

恥を忍んでオレの答案を晒すぜ・・・

【午後１問２】
設問１（１）利用者本人ではなく端末を識別する特性　（２）イ
　　　　（３）初回認証成功した端末を第三者が見て漏えいする。
設問２　ＷｅｂＡＰから予約情報だけを受け取り、スマホアプリでメールを加工して送信。
設問３　（１）・ＡｕｔｈＫｅｙ　　　　　通信を盗聴して
　　　　　　　・ＹｏｙａｋｕＣｏｄｅ　　連番を適当に設定して
　　　　　（２）送信データをハッシュ化して、改ざんを見つける。（自分でも意味不明ｗ）

【午後１問３】
設問１　方法：Ｐ社従業員になりすまして、送信先メールアドレスを詐称。
　　　　　対策：電話で直接本人に確認する。
設問２　理由：個人所有の携帯電話が紛失した場合、携帯電話業者に依頼すれば継続して使える。
　　　　　対策：総務部が全従業員の全携帯電話を管理し、盗難や紛失があった場合、
　　　　　　　　　利用者ＩＤを無効にする。
設問３　ａ：プロジェクト資料をファイルサーバにバックアップ
　　　　　ｂ：バックアップしたプロジェクト資料をリストア
　　　　　ｃ：クッキーの有効期限

ここの結論的にNさん、インバウンド通信は確定的？

恥を忍んでオレの答案を晒すぜ・・・。おまいらも晒そうぜｗ

【午後２問１】
設問１（１）・不審と判断したファイルを削除
　　　　　　・ＯＳ上で稼働するアプリケーションの自動起動設定を変更
　　　　　　理由：マルウェア感染の調査に必要なデータが無くなるから。
　　　　（２）他のＰＣにマルウェアが感染するおそれがあるから。
設問２（１）バックアップと比較することで感染の有無が分かるから。
　　　　（２）８　（３）８０　ウ　（４）リクエストボディ
設問３（１）９月２５日１４：１１　（２）ｄ：ア　ｆ：クｗ
　　　　（３）ｘｘ：ｘｘ：ｘｘ：ａａ：ｂｂ：２２　（４）１９２．１６８．１．０／２４
設問４（１）アップデート後に不具合が発生しないか調査する。
　　　　（２）アクセス制御機能の利用者認証機能を有効にして、Ｂシステムの利用者だけ
　　　　　　　利用できるようにする。
　　　　（３）ブラックリストにＣ＆Ｃサーバを追加する。
　　　　（４）Ｎさん　アウト

>>125
45点。

みんなインバウンドなんてよくかけるなー
自分はここ見るまで聞いたことすらなかったよ

3連敗中の俺がLさんアウトだからNさんインが正解だろうな

今北産業

午前�T　免除　（2回目）
午前�U　20/25 ウヒョウ　SC試験を4回目にして初めて午前を突破した！

結果論だが、やっぱ午前は、過去問を満点取れるぐらい繰り返すのが一番効率がいいと感じた。
以下俺がソース

過去問を初めて解く
→採点
→合格点に足りない
→間違った問題をチェック
→疑問の残っていた問題をチェック
→再度同じ問題を解く
→満点になるまで繰り返す
→問題を覚えてしまうので10分で解けるようになる
→過去問は6回分くらい
→本試験15分ぐらいで解き終わる
→結果は午前通過

文章も選択肢の順番もまったく同じ問題だったので15分で解答が終わってしまったのがニントモカントもだがな
唯一の計算問題も問題見た瞬間、「あ！」っと思って計算せずに選択肢が選べてしまうのも。
出題者に悪いので一応、計算したけどね・・・

午後はどうなるかドキドキだな。

Nのアウトバウンドじゃないのか・・・

>>129
問題文か設問に普通に書いてあったじゃないか

>>125
「電話で直接本人に確認」って実際のところどうなのだろう

個人所有の携帯電話番号を会社は把握してないと思うのだが
あと電話に出た相手が本当に本人なのかどうかを確認する手段もないような

午前は突破。
午後もここ見てるといけそうな気がする。

>>128
来春頑張りますｗｗｗ

Lさんのインバウンドだから！

>>132
NさんのPCがLさんのPCの通信を盗聴することを防ぐ
だから

Nさんのアウト防いでも意味ない

Lのアウトバウンド（震え声）

仮に「Nさん」の「インバウンド」が正答だとして

たとえば「Nさん」の「アウトバウンド」と書いた場合、「Nさん」分の点数は貰えるよね？　そうだといって

午後�T

　問２
　設問１
　（1）端末識別番号は推測可能であるため。
　（2）エ
　（3）スマホアプリ内にあるため、コードを解析して鍵を入手出来る。
　設問２
　端末側で参加予定者を選択させ、その参加予定者のアドレスのみを送信する。
　設問３
　（1）�@YoyakuCode　20131000071
　　　 �ADateTime　2013 10 16 20:17:14
　（2）利用者認証用のキーと予約明細コードを関連付けし、利用者認証用のキーと対応していない場合はエラーと返す。

午後１問３の設問２の理由と対策が繋がってない気がする

>>127
勝手に意見させてもらうぜ

> 　　　　　　理由：マルウェア感染の調査に必要なデータが無くなるから。
無くなる「可能性がある」かな

> 設問３（１）９月２５日１４：１１　（２）ｄ：ア　ｆ：クｗ
おれは９月２５日１４：１０にした。感染した可能性があるのはその時刻だから。

> 設問４（１）アップデート後に不具合が発生しないか調査する。
「システムBの利用に問題がないか」みたいに書いたわ

> 　　　　（３）ブラックリストにＣ＆Ｃサーバを追加する。
…サーバの「URLを」追加する かも

>>140
そんな温い世界じゃありません

初受験だけど正直拍子抜けだった
時間余りすぎ

>>140
まず完答だろこれ・・・

>>134
でも全員携帯持っているのは確定事項なんだよねえ。
何故会社がそれを知っているのだろうか？

ちなみに
・NさんのPC
・LさんのPCからのインバウンド通信

って書いたんだけど
みんなは「ＮさんのPC」と「インバウンド通信」だけなの？ﾄﾞｷﾄﾞｷ

　問３
　設問１
　（方法）本人になりすまし、自分の携帯アドレスを送付する。
　（対策）メールではなく、直接会って本人確認を行う。
　設問２
　（理由）１回クッキーにより最大９０日間ログイン可能なため。
　（対策）クッキーの有効期間を短くし、同じ利用者IDに他のクッキーが生成された場合は、最新のクッキーのみ有効にする。
　設問３
　ａ　ファイルサーバにCサービス上のデータを定期的にバックアップ
　ｂ　Cサービス上で行っていたサービスを実施
　Ｃ　最新のサービスに関する情報

>>134
> 「電話で直接本人に確認」って実際のところどうなのだろう
IPAはこういう解答好きだよねえ。。。

>>143
俺も勝手に

> > 設問３（１）９月２５日１４：１１　（２）ｄ：ア　ｆ：クｗ
> おれは９月２５日１４：１０にした。感染した可能性があるのはその時刻だから。

14:10にナニカに感染して、マルウェアPをダウンロード
マルウェアPの活動ログが残ってるのが14:11だから14:11の方を書いた



どっちにしようかすんげぇ悩んで、11に決めた！ってやったｗ

>>131
> 結果論だが、やっぱ午前は、過去問を満点取れるぐらい繰り返すのが一番効率がいいと感じた。
AMは過去問出まくりなのは、もはや常識なんだが。
問題はもちろん、選択肢の順番まで変わらない
だから問題とアイウエのどれが答えかを覚えておけばおｋ

＞電話で直接確認
システム屋としてはあるまじき糞運用

YoyakuCodeとDateTimeの変更内容って具体的な値を書かなきゃ駄目なの？
俺はてっきり「DateTimeを現在時刻に合わせてYoyakuCodeの下6桁を適当に変えてみたら誰かのデータが出て来ちゃったよｗｗｗ」って感じの話だと思ってた。

>>143
レスサンクス

正直自信は無いが、他の人の答案も見たいなあと思って晒しましたｗ

>>154
どのような値にすることで予約情報を取得「できた」か

「できた」がミソだとおもわれ

>>154
俺も最初そう思った
でも設問よく見たら「Wさんの予約明細みれちゃった値を書け」だから
具体的な値でいいんだろうなと

最初は「どんな値なら他人の予約明細みれちゃう？」って問題と勘違いした

俺も解答さらすぞ

午後�U問１
設問１（１）・不審と判断したファイルを削除
　　　　　　・ＯＳ上で稼働するアプリケーションの自動起動設定を変更
　　　　　理由：マルウェアが動いた跡が消されるから
　　　　（２）LANを通じて感染の危険があるから
設問２（１）正常な状態と感染した状態を比べるため
　　　　（２）８　（３）２１　イ　（４）暗号化された部分
設問３（１）９月２５日　（２）ｄ：ア　ｆ：エ
　　　　（３）ｘｘ：ｘｘ：ｘｘ：ａａ：ｂｂ：２２　（４）１９２．１６８．１．２〜１９２．１６８．１．２５３
設問４（１）Bシステムが正常に動作するように調整する
　　　　（２）適当に書いて覚えてない
　　　　（３）適当に書いて覚えてない
　　　　（４）Lのインバウンド
設問２、３，４ががががが

誰か午後II問２
C＊＊を1個選ぶ奴と全部選ぶ奴の答えおしえて
俺は
C15
と
C12,13,15,17

>>154
オレもそう。

「どのような値にすることで取得できたか。パラメタの内容を答えよ。」とあったから、
パラメタの値ではなく、内容を求められていると思った。

上司を通して利用者の本人確認を行うは?

午後1市ね

>>155
大筋で合ってると思いますけど部分点がどうなるのか。。
受かっていればいいですね

Javaアプレットを実行できないようにしてホワイトリストでシステムBを使えるようにする

とか書いてしまった

>>102
俺もそう書いた

>>114
また来春来なよ

俺はyoyakucodeに、推測した他者の予約番号って書いたわ。
あかんかったんか・・・・

>>153
まあでも、あんましシステム化しすぎると、おれらお払い箱だよな

>>158
> （４）１９２．１６８．１．２〜１９２．１６８．１．２５３

新しいのが来た
NさんのIPアドレス外すとはやるなお主

受験番号誤記入したかも･･･

なんでこのご時勢に手書きかつ間違えたら
即効アウトのシステム残ってるわけ？
注意力確認したいんなら問題の中でやってよ

>>160
内容が「どんな内容か言葉で表す」のか「パラメタの値」のことなのか揺れるよなあ

IPA的には、本人確認は超アナログだろ？が模範解答だからなｗｗ

>>169
このスレにきて自分の解答が穴だらけと気づいたんだｗ
IPアドレスにかぎらず日時の時間書いてなかったり・・・

>>169
ここの箇所文章で書いたんだけどどうだろう

「Nさんの所属するL２SWの管理する範囲」って書いた。

YoyakuCodeー他者の予約番号を推測して入力
DateTimeーサーバの時刻を推測して入力

うわぁ・・・

>>150
というか利用者IDがメールアドレスとあるんだから、
送信元のメールアドレスと利用者IDを比較すれば終わりじゃねーの？

>>122
忘れチャイナYo

>>174
ダメポ

Lさん…イン…

>>174
それも熱いなｗ

>>173
自分は↓にした
> （４）１９２．１６８．１．１〜１９２．１６８．１．２５３

２５４外したのは、L2SWに当てられてるIPだから、L2SWのARPテーブルにL2SWは入らんだろうと
しかし、よく考えたらNさんのIPアドレスもNさんが盗聴するわけないよなｗ

LさんにMさんがインしたら面白い

晒します。
午前1 免除
午前2 96点
午後1問2
設問1(1)SIMカードの差し替え等による可搬性の特性
設問1(2)イ
設問1(3)スマホを分解しアプリデータの格納領域に直接アクセスされる
設問2予約情報の送信対象者アドレスのみをサーバーに送信することの同意を得る
設問3(1)Authkey 6h4Y... / YoyakuCode201310000071
設問3(2)TLS/SSLの仕組みを追加導入し、予約者本人と認証された場合のみ予約内容を表示する仕様にする

午後1問3
設問1利用者IDと個人携帯のメールアドレスで申請メールを送付
　　　　管理責任者が申請者本人に申請内容を電話確認する
設問2同じ利用者IDのクッキーが最短90日間有効となる。
　　　　同じ利用者IDに対してさらに他のクッキーが生成された場合は、古い方を停止し新しい方のみ有効とする
設問3a.Cサービスのデータを日次でP社のファイルサーバーにコピーしておく
　　　　b.24時間以内にプロジェクト業務を再開する。
　　　　c.具体的サービスの移行手順を確認しておく。

問３ 設問３
ａ定期的に外部記録媒体にバックアップ
ｂファイルサーバにリストア
みたいな回答にした

俺は
LさんのPC
アウトバウンド
にした。インバウンドの方がいいんかな・・・

午前は通ったけど午後駄目だから同じだ。

>>180
ループバック読んでたりして

>>182の続き

午後2問1
設問1(1)不信と判断したファイルを削除したりアプリケーションの設定を変更した
　　　　　マルウェア検出時に即時に社内のヘルプデスクに連絡しなかった
　　　　　マルウェア発見時の状態が保存されず、原因究明に支障が生じる
設問1(2)マルウェアの自己伝染方法が不明であるため、M氏PCを隔離して影響を限定的にすることが最適と考えたため
設問2(1)原因究明のために、感染時の設定が残っているかもしれないバックアップを分析することが迅速かつ確実と考えたため
設問2(2)8行目
設問2(3)80 a:ウ
設問2(4)b:HTTPレスポンス
設問3(1)c:9月25日14:10
設問3(2)d:ア(ARPスプーフィング) f:カ(SDN)←間違い
設問3(3)e:xx:xx:xx:aa:bb:11 ←間違い？
設問3(4)192.168.1.1〜192.168.1.254
設問4(1)本社システムBのアプリケーションの回帰検証を行い問題がいないことを確認する
設問4(2)HTTPリクエストのヘッダのフィルタリングとPOST内容のログの取得を有効にする
設問4(3)c.c.c.c.宛のIPパケットをすべて廃棄する　←ブラックリストに登録するにすべきだった
設問4(4)Nさん　インバウンド通信

晒してくれる人がいて色々と勉強になるけど、午後１はほとんどの人が問２と問３を選んだのかな？
オレの周辺の受験生もそうだったし・・・

Daytime 書き換えてwの情報見れるってイマイチわからないんだけど、誰か教えてください

>>67
亀だけど、JOHOって何なん？
ググったら専門学校がいくつか出て来たけどよう分からん。

午後�U
WS:WEBサーバ
WMS:W1EBメールサーバ
MS:メールサーバ
CS:クライアントサービス
問2
設問1
（１）アクセス；�@スマホから社内WS
　　　　　　　　�AメールクライアントからMS
　　　対策：�@スマホから接続先をDMZ2とし、FW4でDMZ2から社内WSへのアクセを禁止
　　　　　　�AFW4によりDMA2からMSへのアクセスをWMS飲み許可した
（２）ANY VVPN2 L2TP
　　　WMS MS SMTP
　　　WMS MS POP3
（３）問題：VPNを停止してMS認証によりWMSにアクセス可能である
　　　対策：WMSをDMA2におくことにより外部からアクセスを禁止した
（４）C15

>>187
D.D.D.Dはいいのか？

は？authkeyとyoyakucode指定
じゃないのか？なんでdatetime？
あとnさんのアウトバウンドだろ？

>>192
御意w

>>176

「送信元メールアドレスと利用者IDを比較する」
「仮パスワード送信先を利用者ＩＤのメールアドレスに固定する」

このふたつが最善だと思う。ＩＰＡ的にどうかは知らん

午後�U
WS:WEBサーバ
WMS:W1EBメールサーバ
MS:メールサーバ
CS:クライアントサービス
問2
（４）C15
設問2
（１）携帯ネットワークを介したデータ通信を無効化している状態
（２）原因：一部機種はCSがでデフォルトで自動同期機能が有効である
　　　追加項目；CSの自動同期機能の無効化
（３）C5,C12,C13,C14,C16,C17
設問3
スマホの盗難又は紛失時に業務データのみでなく保存している全てのデータが消去される

午前�T問３設問３のａだけど、
インターネット上のＣサービスのデータを日次でＰ社のファイルサーバに
バックアップするのは危険ではないか？専用線ならともかく。

＞仮パスワード送信先を利用者ＩＤのメールアドレスに固定する
最初はこれかと思ったけど、そうなると
「今後は携帯メールアドレス使用も想定に」云々が破綻する気がしたから、
やめた

あと、残念ながらipaこのスレみて解答
作るから、気をつけなよ、、、

>>193
よくよく考えると、このシステムYoyakuCode書き換えるのみで他人の予約明細見れるな

datetime5分以内にしないとエラー発生するだろ

>>196
（3） C16は検出無理じゃね？

>>200
時刻も揃わんと見られんくね？

>>200
そこはみんなが思ってることだと思うぞ。
なんで2つ書かせたんだよって

>>199
ここで頑張って黒を白にすればええんやね（ﾆｯｺﾘ

>>203
時刻は現在時刻から-4分までならどうでもよい

それって、実質yoyakucodeだけだろって思って悩んだ

>>203
そうそう
AuthKeyは存在するユーザーなら何でもOKなのがミソだったね
そこが対策につながってくるんだよね

午前1
25/30

午前2
25/25

・・・でも午後！午後1なの！午後1が問題なのよおおおおおおお！！！！！

>>203
時刻はぶっちゃけシステム時刻だから
自分の予約明細出して、5分以内に予約コード書き換えて送信すれば見れる

画面だしたまま5分放置したらアプリケーションエラーになるってシステムみたいだから
5分以内に予約コード書き換えられない場合はDatetimeも書き換える必要があるから
やっぱDatetimeでいいのかね

>>206
ずれが4分以内というより、
5分未満でしょ。5分以上でエラーなんだから。
具体的にはずれが4分59秒ならエラーにならないはず

午後逝ったああああわああああああああ

>>198
今日び自分の携帯のキャリアメールなんて仕事どころか私用でもそんなに使わんのに・・・

>202
案３の２でかるんじゃない？
C16以外のアプリを安全性の疑わしいアプリと定義すれば問題ないと思うが？

>>204
>>206
本文をよく読むと・・・

「ある利用者が”数日前”に自分が発した予約確認のリクエスト中に含まれるパラメタのうち2つのパラメタの値を〜」

とあるからDateTimeを改ざんしたリクエストを作らないといけないんだよねー

>>189
>>193
YoyakuCodeをWのものにして端末のDatetimeをエラーが発生しない5分以内に改ざんすりゃ見えるんじゃねって話

>>200
端末の時刻でエラー判定してる

>>204
ごめん、アホだから気付かなかった

YoyakuCodeの下6桁は月ごとに連番で振ってるから、
とにかく盗み見ることさえ出来れば誰でもいいってことなら容易に推測出来るし、
DateTimeも現在時刻とのズレが5分未満ならいいんだから現在時刻を入れればおｋ。
それに対し、AuthKeyは確かに推測出来ればそれはそれでいいんだけど、
見た感じあのグチャグチャな文字列を第三者が推測するのは大変そうな気がする。

>>214
ああよかった、ちゃんと穴がない問題文になってるな
自分の頭にはちょっと穴開いてたけど

>>213
いやそう定義されてないし
アプリのダウンロード元は検出できないでしょう
単なるミラーサイトでアプリ自体は同じでも禁止しなければならないのだから

>>217
AuthKeyは存在してればよくて
WだろうとVだろうと関係ない
VのAuthkeyのままでWの予約情報が見られることがポイント

>>214
もはや国語の問題だなw

>>220
頭の悪い俺に教えてくれ。
君はそれをあの短時間で、どこから読み取ったのだ

>>222
図３と表２

あと、数日後って言ってるんだから図４と図５のDateTimeの日付が同じなのはやめて欲しかった

>>217
その説明なら
「数日前に自分が発した」うんぬんの記述も繋がってくるな。
なるほどなぁ

はじめはAuthKeyかなと思って文字列を解答欄に書いてたら
全然スペースが足らなくて「あ、これ絶対違うわ。もっと問題文読もう」
ってなったわ良かった

>>222
表２に書いてるやん
AuthKeyパラメタの値を別利用者の値に変更って所に

推測しなくてもAuthKeyで何やってるかの挙動は表2に出てる

そいえると深読みして表２から「現在から４分前の時刻」って拾ってきたのは失敗だったかも
「現在の時刻」で十分だな

>>226
それな
あんな文字列を解答に書かせることはまずあり得ないし
これは2回目で学んだよ

まあ俺も最初はAuthKey変えなくてもいいんだけど、これくらいしかないよなーと
思ったら、数日前という本文中に何気なく書いてあって気づいたｗ

>>229
「現在の時刻」の定義は？
と考えるとよくわからなくなってきたんで、俺は、
「サーバ側の時刻とずれが5分未満の時刻」って書いた。

やべぇ、午後1で落ちた

午後1問1のjをout.print("document.form1.loc.value;");にしてる回答を良く見るけど、
変更前もescapeHTMLかけてるから、
変更前も後もエスケープ結果は変わらなくね？

うわぁああああああああああああああ


午後一も午後二も逝ったぁぁあああああああああああああ

AuthKeyが文字コードだったりはしないよなあ多分

図４からって書いてあったから、2013〜って数字で書いちゃったよ
言葉で書いた方が正しかったか

午後1の問2はいまだに問題を理解できていない

答えが定まらないってやーね
このもう試験やめようかしら

>>223
>>227

見事その部分にきっちりチェックつけてる。12:50頃の俺。
でも、13:10頃にはもう・・・忘れてしまっていたみたいだよ・・・

今回の午後1はセキュスペ始まって以来の難易度はジャマイカ？

>>239
全問題、多肢選択にしたらええねん

>>232
5分未満だけど表２以外の物がエラーとあるが、DATETIMEが未来の話は検証されてないよね？

>>239
それなりのレベルの試験での論述って、
基本答えが別れるのは仕方ないお

>>234
そこはスクリプトタグの中を動的に生成すんなボケっていうルールへの対応

まあ、採点する方も大変やで。どうやって解答を収束させるのかｗ

SCって、ホント答えが定まらない問題が多い。
１回合格してるけど、今受けたらたぶん落ちる。
１回受かったからもう２度と受験しない。

あと、問2(1)は、端末識別番号は偽造が容易にできるからは、部分点入るかな?? 結局答えなんなん??

答えはＩＰＡのみぞ知る

端末識別番号は利用者と一対一に対応していないみたいなの書いたんだけど、ミスったか？

>>248
自分も識別番号？知らんわそんなもん！とおもったので
・端末識別番号は偽造が可能なため
にしたｗ過去問のMACのまんま書いてやった

>>249
IPAの解答はここでの意見が参考に作られるぞ！
あとでたたかれるのが怖いからな

>>250
それだと、端末識別番号が重複して振られてるようにも読めるね

俺は、　利用者が任意の端末〜を送れるから
とかにした気がする

解答差し替えて点数調整して合格者操作した後に出てくるのが12月の模範解答だからな
運が大事やね

前回午前２で落ちたんで、午前２勉強熱はいりすぎたわ。
25/25で満点だったw。なんか悔しい。

午前1 25/30
午前2 23/25

午後1さえ何とかなれば…

監督員のお姉ちゃんに似た娘がいるフーゾク行ってくる

>>255
もうさ、午前2と午後1と午後2の合計点が240点以上なら合格ってことで、終わりでいいんじゃない？（棒読み）

>>256
その点数で来れる力があるなら、
何とかなってるんじゃないの？多分

偽造じゃない、偽装だｗ

ここ見てると「その解答ありだなー」って自分の解答がダメダメに見えてくる

>>250
俺は内部統制ちっくに利用者を特定できないって書いた

>>243
俺が言いたいのは「現在の時刻」といっても
サーバにとっての「現在の時刻」とかクライアントにとっての「現在の時刻」とか、
世界標準時の「現在の時刻」と色々あるから、
「現在の時刻」だけじゃ言葉が足りないかなと。
・・・・と思っていたが、よく見ると表2に普通に「現在」って言葉が出てるね。

>>248
端末識別番号は携帯固有で変更できないことが問題なのでは？
端末識別番号が攻撃者にバレて、悪用されたときに、変更できないと、
悪用され続ける恐れがある。
コンシューマー向けのサービスの利用者に対して
「うちのセキュリティが甘かったので認証突破されました。携帯電話を買い換えてください」
とは言えないから、
端末識別番号は不正利用されても容易に変更できないからというのが正解だと思った。

午前楽勝過ぎて、午後の採点厳しくなりそうだわ.....最悪だぁ.....

監督員のニーチャンに似た感じのコがいる発展場行ってくる

240→180だった。条件厳しすぎやｗ

資格スクールの解答速報は明日辺りには出てくるんだっけ

NWと比べてSCは20代女子がそこそこいたな
結構可愛い子も普通にいたし
同じ職場で働きたいよ、なんで俺の職場にはいないんだ。。

>>248
俺もそう書いたわ
確か中華端末とかそんなのあったｷｶﾞｽ

午後1の問1の設問2の(3)入力確認画面とエラー画面って書いてる人いたけど、
これってGETパラメタ及びPOSTパラメタじゃないの？
画面がなんであれ表示だけの出力もエスケープしとかないとまずいんじゃないの？

>>262
「現在の時刻」でも許される？
文字で書いてしまったので、諦めてたんだけど。

>>262
＞端末識別番号は不正利用されても容易に変更できないからというのが正解だと思った。

おお、この解答熱いｗ

申請方法は、上司経由で申請じゃだめ？
よく過去問で上司経由ってのがあったんだけどな。
あと、SCはクッキーの問題が出すぎ。
そんなにクッキーって大事なの？

端末識別番号がB社にわかるんなら他のアプリの会社にもわかるんだよなあ。
それだけを認証に使うのは怖いよなあ。

>>262
パソコンには詳しくないけど・・・
パソコンの時刻ってUTCで統一されてないの？
メールのヘッダーとかでも、JSTで書かれて、しっかり+9って時差が書かれてるし。

>>271
クッキーの有効期間が９０日なの見落とした
馬鹿じゃねーのこのシステム



見落とした俺が一番馬鹿です

>>272
それかもな。
攻撃者が端末識別番号を抜き出すアプリを作れば容易に抜き出せるわけか

>>273
自分のPCの時刻設定は、自分で変えられるだろ
サーバーがこの時間って思ってる時間と、端末がこの時間って思ってる時間は一致してない

>>262
>端末識別番号は不正利用されても容易に変更できないからというのが正解だと思った。

俺は推測や改ざんが容易って答えにしたけど、この発想はなかったわ

いずれにせよ、高校の机は小さすぎる。あれだけで不利だわ。

>>271
会員制のWebサイトやらを作ると、
クッキーに入れるデータがかなり肝になるので、
多分、かなり重要。

試験体系がくそ。昭和のなごりなんかな
午後一と午後二の休憩10分とか、
午後一の回答時間の短さとか、
午前二免除作れよとか、いろいろ
つっこみどころが多いお。

SSOにも使われるしねクッキー
今後の頻出しそう

>>276
自分のパソコンでも、基準時を何処にするか設定してるはず。

>>273
時刻をネットワークを経由して調整しないと、
案外とPCの時刻ってズレるからね。
職場のプロキシがクソでNTP使えないせいで電波時計と業務用のPCとで3分時計ずれてるわｗ

>>259
うーん、どうでしょうね…
午前1はまぐれもあったし、午前2は過去問デジャブだったし。
でも、何はともあれ終わったのが嬉しいです。

これでなんの気兼ねもなくオナれるw

クッキー☆

クッキーがげしゅたるとなんとあｋ

そして>>264はマルウェアに感染するのであった。
この時のOさんの反応を256文字くらいで答えよ。

一生オナらない

>>285
やっぱりアリスの作るブラウニーは美味いな。
生地がしっとりとしていて、それでいてべたつかないすっきりした甘さだ。
ココアはバンホーテンの物を使用したのかな？

おまいら、今年のネスペで早くも
OpenFlowが出たぞ！
次のセキュスペでOpenFlowが
出るのはほぼ確定だぞ！
マスタリングOpenFlow編買って勉強した方が
いいぞ。

>>287
悔しい！！でも感じちゃう（ビクンビクン）

>>268
>午後1の問1の設問2の(3)入力確認画面とエラー画面って書いてる人いたけど、
>これってGETパラメタ及びPOSTパラメタじゃないの？

そこは悩んだんだけど、「入力確認画面とエラー画面」の入力項目しか見てないからと脳内補完
いや、脳内補完したらあかんてorz
GETパラメタ及びPOSTパラメタのが正解っぽいなあ

>>271
おれは管理責任者が直接本人まで会いに行って確認しろって書いたった
やっぱ最後は対面かなとw

>>277
こちらも端末識別番号を変えて対抗すればいい。倍返し！！

でさ、おまえら大抵受かってそうなんだが、
SCの後は、何受けるのか教えて下さい。

>>293
最初、紙で直接申請する　って書いてみたけど、さすがにあんまりだと思ったので、
会社で付与しているメールアドレスに仮パスワードを送信するにしてみた

ここを読んでると、対面が正解か

>>245
あーそういう意図なのかあ。
hiddenの中身取得しても、結局javascriptをエスケープできてないことに変わりないから意味わからんかったわ。あの問題

ITぱすぽ受けてミクたんのクリアファイル貰うお＾＾

>>295
DB

>>290
、とマスタリングの出版社がステマ活動を行っております。
試験終了後の絶妙なタイミングを狙って

午後1問3

第三者が偽の申請メールを送る

理由　クッキーの有効期限が長いから
対策　クッキーの有効期限を十分短くする

a:非常時に備えてDサービスを準備しておく
b:Cサービスと同じもの（Dサービス）を社内に作る
c:Dサービスへの以降手順を確認しておく

>>295
俺は弁理士受ける

いつものアレで8080って書いちゃったんですけど部分点（笑）もらえませんかね。。。

結局LなのかNなのかインなのかアウトなのかどっちなんだ
どれでもいい気がするんだが↓

Lのアウトバウンド…Lの不要な通信を防げるので盗聴も防げる
Lのインバウンド…侵入を防げるので盗聴も防げる
Nのアウトバウンド…マルウェアの攻撃通信を防げるので盗聴も防げる
Nのインバウンド…侵入を防げるので盗聴も防げる

>>302
高度情報処理持ってたら、免除科目があるんだっけ？

>>280
トイレめっちゃ混んでるのに午後1と午後2の間が10分はひどかったな
問題配るのなんて10分ありゃいいだろうに
早く集めすぎなんだよー

今回の試験でDOM based XSS出た？
問題冊子ひらいたらHTMLやJavaScriptの全体をout.printlnで生成してるカスコードだったから問題見てない。

そういや試験管のかつぜつ悪くて
「受験の意思がない方は退室してください。
ただし、15:00までに用意できれば受験できます。」
って聞こえてニヤっとした

>>305
若干あるらしい

>>303
おれも8080と迷ったわｗｗ

>>304
NのPCがLのPCの通信の盗聴するのを防ぐだけなら
Nのインバでいいと思う


解いてて、なんだこの問題？ってしかめっ面した
会社のネットワークポリシーとしては、PC同士の通信は全部却下でいいんじゃねーの？って思いつつ解いてたは

>>268
表２を見るかぎり、どっちとも取れると思う。

データの選択結果（＝ＧＥＴパラメタの内容）を表示する画面しかチェックしなかったから、
データベース検索結果（＝ＧＥＴパラメタではないふつうのデータ）に対しての云々を見過ごしたわけで。

エラー画面やってないけど、ＰＯＳＴパラメタやってないし。

国語力の試験だから、一度落ちたら受かる気しない

>>304
IPレベルで考えると
> Lのアウトバウンド…Lの不要な通信を防げるので盗聴も防げる
　全部の通信を遮断すると、すべての通信が不要になる。
　L3SWのIPアドレスを許可すると、結局Nに盗聴される
　したがって×

> Lのインバウンド…侵入を防げるので盗聴も防げる
　感染経路は、Lのアウトバウンドを元にした通信
　したがって意味ない
　
> Nのアウトバウンド…マルウェアの攻撃通信を防げるので盗聴も防げる
　Lのアウトバウンドと同様

> Nのインバウンド…侵入を防げるので盗聴も防げる
　（L3SW以外の？）インバウンドを規制することで、
　他の端末からの通信が入ってこないため、盗聴も出来ない

したがって正解はNのインバウンド

>>188
1は5分ほど見つめて、ムカついて来たから止めた

>>306
問題と問題の間は30分あるけど
20分前に座ってろだから10分か

忘れ物買いにコンビニ言ってたから、午後2の説明の中入場してもうたｗ

>>188
ネスペから来た俺には選択の余地すら無かった。。。。

>>314
貴方が神に見えます

>>274
注釈に重要なことがよく書いてあるってポケスタだったかに
書いてあったな。注釈にすんなよと思うが。

>>316
うちの会場は説明が終わって空白の5分に入ってきてた野郎がいた

>>316
みんなの１０分ってそういうことか！！
こっちはなんか普通に試験５分前に入ったりしてて
みんな試験開始までに間に合えばいいか〜な空気だったはｗｗｗｗｗ

「端末番号はシリアルに付与されるから」って書いた
要するに容易に推測できるって言いたかったんだが、素直にそう書けばよかったか

>>301
Dサービス作れるんだったら最初からそうしてるんじゃないか

2週間後に復旧するんだったら社員みんなで休もうぜと思った

>>296
対面だとでかい会社で拠点がたくさんあると無理じゃね。
この問題は６０人程度の会社だったが。

>>314
ファイル共有プロトコル云々は関係なさそう？

問3のcって、サービス提供終了日を確認するはどう??
移行手順じゃなきゃダメなんかな(T ^ T)

>>188
職業柄、１を選んださ。
上手くいったかは不明だけども・・・orz

セキュスペがだんだんネスペ化してきてると午後２の問１みて思った。
ポート番号に、アドレスの範囲とかもうね。

回答晒し

午後1
問2

設問1
1.端末識別番号は偽装できる特性があるから
2.イ
3.スマホアプリをリバースエンジニアリングし鍵を入手する手法

設問2
スマートフォンのアドレス帳を参照し選択されたメールアドレスのみwebapに送る

設問3
1.Authkey / Ｗ氏が取得したAuthkey
YoyakuCode / W氏が取得したYoyakuCode
2.AuthkeyとYoyakuCodeの組み合わせがwebapの予約確認サービスで存在しない場合はエラーとする

>>327
データの移行方法と移行期間、だな。基本は。
あとは部分点で・・・

>>325
そもそもセキュリティ的に考えると、仮パスワード情報を紙面に印刷すること自体がちゃんちゃらおかしいので
つまり対面時に口頭で仮パスワードを伝達するのがベストだな
もうこれしかないわ

午前2の受験者、50人の試験会場で
おばはんが解答用紙集めて22枚
ありますって報告してたわ。受けなさ杉じゃね。

>>295
英検準一級

続きの晒し

午後1
問3

設問1
手段 / 管理利用者に利用者ID登録の申請メールを送る
対策 / 利用者に申請メールを送ったかどうかを電話確認する

設問2
理由 / 同じ利用者IDに複数の認証クッキーを発行できるから
対策 / 認証用のクッキーが発行された場合、過去に発行されたクッキーの期限属性を変更し、有効期限切れとして使用できないようにする

設問3
a.社内のファイルサーバーへ定期的にCサービス上のファイルをバックアップする
b.24時間以内にファイル共有サービスを復旧
c.サービス提供状況に関する案内

部分点、できるだけ、沢山、くださいっ！

>>330
Authkeyは変えても意味が無い。
表２参照

>>327
どちらでもいい気するが、サービス終了するかわからんのに
移行のリハーサルなんてやるか？と思って
自分は、サービス提供終了日の通知確認にしたお

ぁあああここ見てると午後�Tは通過したような気がすりゅう

>>188
IT土方は安定の1でした
解けるけど、なんか斜め上の解答してる気がして
受かったらラッキーとしか思えない

>>330
DateTimeとサーバ時刻的な意味でエラーになりそう・・・

>>335
設問１は、電話確認で「送ったか」どうかも重要だけど、記載しているアドレスが間違いないかも確認しないと・・・
やっぱ面会が必要だよ

午後I　２問ともミスったorz
来年受けなおすか

>>295
エンベデッドシステムスペシャリスト。理由は今年の春受けて落ちたから。

今年の午後1は例年に無く難しいとの住人の言葉が慰めかな

やっぱり、設問数に対して6割正解してないと合格発表難しい？
半分くらいの正解でもあわよくば合格したりするもんなの？

高度取らなお給料上がりませんねん

>>327
サービス提供終了日が確認できるんなら、
Cサービス提供側が１ヶ月前じゃなくてもっと前に通知すべきなんじゃ？
だから移行手順にしたわ。

>>295
俺は落ちたから、次もSC

>>345
午後なら配点の大きそうな文章問題が行けてれば大丈夫だと思う

>>336
そうですよね…
>>340
すごくはやいこんぴゅーたーだよ！
>>341
字数足りない。

60点でいいから。62点とか高望みしないから。

いつも午後１は時間足りなくて空欄回答で終わってしまう
箇所がある・・・　問題文の読み方を変えたほうがいいのか
おれの問題文読むスピードがただ遅いだけなのか

>>349
やっぱり記述は配点高いのかぁ。
採点したら半分くらいの出来だったよ。。。うぅ。。。

>>347
おおう。確かにサービス終了日は知りえても1ヶ月前だもんね。
不安になってきた・・・。

>>352
通は90分で全部解くぜ

>>116
午前では本番強いも何もないと思うが
とりあえずおめ

>>355
すげーな、尊敬するわ。試験受ける前にまず本読む練習したほうがいいのかも。
子供の頃からマンガすらろくに読まなかった超読書嫌いだったからな・・・

問題文が「Cサービスからの【c】を確認しておく」になっているので、

文脈的には「データの移行方法」が有力なのだろうけれども、
単純にファイルサーバとして使ってる状況なのにデータの移行方法なんて確認する必要あるのかねえ。

日本語的には「撤退方法」とかでも（字数が足らないが）筋が通ってると思うし、
サービス終了の気配や具体的なタイミングをなるべく早く正確に把握するため、ということであれば
「サービスに関する連絡、伝達事項、プレスリリース」とかでもアリだと思う

>>352
それは....あれだよ。
冒頭の全体像を示す文章を読んだら、
先に問題文を読むんだよ。

で、問題文に問われているところを探しにいって、
大体の解答案をメモる。

残りの時間次第で、通読して、メモした答えで行けるか
再度確認して解答用紙に書く？

>>327
1か月後にサービスが提供終了と通知、ってあるのに？

実施することに「データを代替サービスに移行」とあるから
移行手順、移行方法がが正解だと思うけどな

あーー
午前1でおちたと思って2だけ受けて帰ったら普通に午前通ってた
くやしい

ちなみに明日はみんな休むのかな？

>>360
だからプレスリリースとかじゃない？
前兆がどっかにあるはずだから、いろいろ調べ発表前に情報を仕入れるんだよ

>>359
問題文読んでから解くっていうのはやったことあるが、
うまくいかなかったからやめた・・・
冒頭の全体像を読んでから問題文か、参考になるわ〜

>>347
俺は移行手順に加えて必要な時間も入れておいた
移行中はサービスを停止させる必要があるから
利用停止時間の目安を知っておく必要があるかと

明日は休みたかったけど、同じ仕事してる人が先に休暇とってて、
人数足りなくなるから仕方なく出勤

>>362
普通に仕事....
もう寝なきゃ

あ、サービス停止じゃねーや
資料の使用停止時間だ

応用受かってから、２年たったっぽいから
次からは初の午前１対策からやらなきゃいけないらしいんだが
午前１って幅広そうで、過去問範囲もやばそうなんだけど
５年分くらいの過去問こなすだけでクリア出来るレベル…？？？
午前２は過去問で余裕だった

まぁまだ午後１午後２がどうなったかわからないんだが、一応未来のために知っておきたい

移行方法の確認以外にないだろ
もうサービス終了決まってんのに何調べる必要あるんだよｗｗｗ

応用取れたなら期間空いても午前はチラ見でいける
ソースは俺

>>295
万が一合格してたら・・・
ちょっと休んで実績作りかな？
（例え、午後IIに論文書かされるような試験が来ても大丈夫なように・・・）

>>362
普通に仕事だYO！
ガリガリ書くよ！引き継ぎもするよ！orz
SC受けてたとしても・・・所詮、ドナドナ系PG/Sヨですから。。。

>>371
一応過去問は解いた？？

>>296

俺も紙媒体で〜って書いたけど
在宅勤務の人もいるんじゃなかったかって思い出した

最後の晒し

午後2
問1

設問1-1.
問題点
PCのフォルダやファイルを開き、不審と判断したファイルを削除したこと
OS上で稼働するアプリケーションの自動起動設定を変更したこと
理由
マルウェアがPCに加えた変更を特定することができなくなるから
設問1-2.この時点でマルウェアの感染ルートや感染手段が不明だったから

設問2-1.マルウェア感染前の状態と感染後の状態を比較したかったから
2-2.8
2-3.80 / ウ
2-4.HTTPレスポンス

設問3-1.9月25日14：11
3-2.d ア　f カ
3-3 XX：XX：XX：aa：bb：22
3-4.192.168.1.1~192.168.1.254

設問4-1.アップデート版のJREでシステムBが正常動作するかを検証し問題のないことを確認する
4-2.HTTPリクエストの任意ノヘッダフィルタリングを有効にしJAVAを含むリクエストはシステムB宛のみ可能とする
4-3.ブラックリストにC&CサーバのURLを登録する
4-4.LさんのPC アウトバウンド通信

書けば書くほど落ち込む…寝る！

>>369
過去問中心に各用語の意味まで調べとけば
こんなん知らんわーってなってもなんとなく正解を選べる

今回の自分がそうだったｗ
午前1で死んだと思ったら26/30でびっくりした

>>376
それダメやないかｗ一発目から不安な出だしは…ｗ
でもやっぱり過去問主体か

ちょっと今日からシンクロを学ぶために、シンクロナイズドスイミング教室に通うことにしました。
これで次回の午後はシンクロ出来るといいな！

午後II
問1
設問4 (3) だけど、プロキシの利用者認証機能を有効にするってのは無し？

設問4(1)(2) で、どっちかで何故かサービスCと書いたような気がしてきた。
表2 の 3 を確認して書いているはずなんだが....なんでだろう？

>>375
わー理想的

HTTPヘッダのjavaはガチで見落としてたわ
HTTPヘッダのフィルタリングは現在使用していないに引っかかってたけど
ザルだ

にしても今回の午後2は途中退席者が多かった
まあ自分も4時前には出たけど
色々考えることはあっても問題数少ないから時間余るよね


んで雨の中送迎バスを10分ほど待たされましたとさ

これ合格発表まで二ヶ月だっけ…？？
受験料１００円アップしてもいいから、もっと早く採点してくれ…

>>377
今回のはマジびっくりしたよ、こんな難しい午前初めてだって凹んだ
ヨクワカラナイケドセイカイ選んでるってのも不気味だ

そうそう
早く合格証明書ほしい

>>327
事前準備として実施することなので、想定シナリオが発動される前と取り、提供に関するプレスリリースにしました。

試験官の４人娘が可愛かったので\5kの価値はあった

>>380
正直、こんなんできるか知らんw
できるんですかねえ。

移行手順の確認、じゃ半分。
データとデータ登録情報（履歴とか、、、）の移行手順確認

>>383
俺も俺もｗ
まじめに答え考えてたら16問目にきて残り10分だったんで、
残りを流し読みで解答したら25/30だった

前の席のやつが貧乏ゆすり酷くてイス蹴ろうか迷ったわ
そしたら、午後問題最速で退出出来るエリートで恐れいった…

>>380
でも、午前1は死んでるクサイwww

どっちにしろ来月くらいから、午前１の勉強始めますわ…
SCの結果次第で、そのままSCするかNWするか決める

勉強で詰め込んだ知識で合格しても意味ないというポリシー(無勉の言い訳)の下に
仕事で得た知識だけで挑む3回目
そろそろ合格してもいいんじゃないでしょうか

システム監査技術者受けろよ

>>379
俺もそう書いた。だってプロキシが必用な機能ってそれしかない気がする。

>>387
プロキシとUTMの、URLフィルタリング機能の中にあるからできるんじゃないですかねｗ

自分はjavaヘッダ見落としてたから、↓にした
ウイルスチェック機能で、HTTP通信に含まれるマルウエアＰをブロック

感染してからウイルスチェックにかかるまでのタイムラグを考えると
javaヘッダでブロックが理想な気がする
しかも、あからさまなヒント（現状は無効）がついてるｗ

俺も回答を晒すぜ。

【午後�T】
問1
　設問1
　　(1)�A�A�A�B
　　(2)4
　　(3)18
　　(4)rqUrlがｈｔｔｐ：／／またはｈｔｔｐｓ：／／で始まるかチェックを追加する。（39字）
　設問2
　　(1)c:17 d:24
　　(2)�A
　　(3)GETパラメタ及びPOSTパラメタ
　　(4)escapeHTML
　　(5)42
　　(6)�B
　　(7)（捨てた…）

すまん　午前２の後半で入場した馬鹿者は私です。１０分で回答した。

午後２は脱獄とか出てくる問題　全部答えて時間余ったけど、最後まで座ってたので許してください。

>>391
えっこんな素敵な午後2なのに午前1でブロックとか熱いｗ

>>390
周りにプリッシャーを与えるためにきたのかもしらん

>>373
午前共通二回分解いてめんどくさくなった
試験前は最新版の問題と解答には目を通したよ
18/30だったせふせふ

今頃になってﾍﾞﾘｭﾘｭﾘｭ！ﾋﾞﾋﾞﾋﾞﾋﾞｯｰ！って出たわ
サンキュー正露丸助かったわ

プロジェクト資料を保管しているだけで、社内のファイルサーバでも代替可能で、バックアップ取ってればすぐに代替運用できるぜ、
という話を直前でやってるのに、いまさら改めて「データの移行手順を確認する」というのは、微妙な言い回しだよなあ
バックアップ云々では手順確認なんてしなかったけど、やることは殆ど一緒だろうに

>>399
綺麗だろ？でも、死んでるんだぜ？
嫌っー！

【午後�T】
問3
　設問1
　　方法 第三者の携帯電話メールアドレスを指定して申請する。(25字)
　　対策 P社メールアドレスに確認メールを送付する。(21字)
　設問2
　　理由 携帯電話がP社管理下になく、盗難時に停止できないため。(28字)
　　対策 個人の携帯電話紛失時にも総務部に連絡する規則とし、P社は速やかにワンタイムパスワードの発行を停止するようにする。(57字)
　設問3
　　a:プロジェクト資料をCサービス外にバックアップ(22字)
　　b:最新のバックアップからプロジェクト資料をリストア(24字)
　　c:バックアップデータの移行手順(14字)

>>379
マルウェア、プロキシの認証情報は取得できてしまうんでは？

>>398
国士舘大学やったやろ！

>>398
それ午前２通ったの？

仮パスワードがバレちゃうけどどうしましょの回答は
方法が電子メールの盗聴
対策が初回ログイン時に利用者氏名も入力する
だと思うんだが
利用者氏名は登録時のメールに書いてあるけど登録完了メールには書いてない
仮パスワードはその逆
完了メール盗聴しても仮パス利用者の氏名は書いてないからいけるきがする

そのアニメ　１９８５年くらいだから…

【午後�U】
問2
　設問1
　　(1)
　　　アクセス�@:スマートフォンから社内Webサーバへのアクセス(23字)
　　　アクセス�A:スマートフォンからメールサーバへのアクセス(21字)
　　　対策�@:モバイルPC用とスマートフォン用のDMZを分離する。(26字)
　　　対策�A:FW4により、スマートフォンから社内Webサーバ、メールサーバへのアクセスをブロックする。(45字)
　　(2)
　　　FW3:Any??VPNサーバ2??L2TP??over?�IPsec
　　　FW4:Webメールサーバ??メールサーバ??POP3
　　　FW4:Webメールサーバ??メールサーバ??SMTP
　　(3)
　　　問題:VPNサーバが1台のため、VPNアカウント停止によりモバイルPCも接続できなくなる。(42字)
　　　対策:VPNサーバを分離し、モバイルPCとスマートフォンで個別にVPNアカウントを停止可能にする。(46字)
　　(4)C15
　設問2
　　(1)携帯電話網を介した通信を無効化している状態のとき。(25字)
　　(2)
　　　仕様:クラウドサービスとの自動同期が、一部の機種でデフォルトで有効になっていること。(39字)
　　　追加項目:クラウドサービスとの自動同期を無効にする(20字)
　　(3)C12,C13,C14,C17
　設問3
　　スマートフォンの盗難または紛失時にスマートフォン及び外部記録媒体に保存された全データを消去すること。(50字)

データの移行手順例
１．Ｃサービス終了よりも前に代替サービスと契約し、使用可能にする
２．Ｃサービス上のデータのフルバックアップを代替サービス上に置いてリストア
３．代替サービス上の各ファイルに正常にアクセスできることを確認
４．Ｃサービス上のデータを全消去
５．Ｃサービスから撤退

はい、ただのフルバックアップからのリストアでございますね
abとの違いは差分かフルかということだけ

恥をしのんで晒す

午後1
問1
設問1
(1)1423 (2)4 (3)18 (4)http://かhttps://以外で始まる場合エラーとする
設問2
(1)c:17 d:24 (2)2 (3)GETパラメタ及びPOSTパラメタ
(4)escapeHTML (5)26 (6)�B4 (7)out.print("document.form1.loc.value");

なんなんだよ表1の2〜6って・・・
気づかずに1〜6で最後まで考えてたからどうしようもなかった

問3
設問1
手段 / 第三者が他人の利用者氏名とIDで申請する
対策 / 利用者IDのメールアドレスに確認メールを送る
設問2
理由 / クッキーの期限が90日あるので最悪90日間気づかない
対策 / クッキーの期限をログイン期限と同じ24時間にする、かつログアウトされたら即消し
設問3
a.定期的にCサービスと社内のファイルサーバーの同期を取る
b.プロジェクト資料を使う業務を再開
c.サービスの提供に関する情報

午後２の問２で知った
脱獄って2ch用語じゃねーのかよ

>>407
世田谷駅から世田谷区役所までバス乗ったらすごい遅れたんや。　スマソ

午後2
問1
設問1
(1)問題点
不審と判断したファイルを削除したこと
OS上で稼働するアプリケーションの自動起動設定を変更したこと
理由
マルウェアがPCに加えた変更を特定することができなくなるから
(2)MさんPCがネットワーク経由で感染源になる恐れがあるから
設問2
(1)マルウェアがいつ感染したか確認したかった
(2)8　(3)80 : エ　(4)HTTPレスポンス
設問3
(1) 9月25日18:05 (2) d ア f ウ (3) XX:XX:XX:aa:bb:22
(4) 192.168.1.1〜192.168.1.253
設問4
(1)システムBを最新のJREに対応させる
(2)Javaアプレットに対する通信はシステムB向けのみ許可
(3)IPアドレスC.C.C.C の通信を止める
(4)N / インバウンド

みんなの解答見たら自信なくなってきた。部分点なかったら死亡くさいなこれはon_

>>415
やっぱお前かｗｗｗ

対策 / クッキーの期限をログイン期限と同じ24時間にする、かつログアウトされたら即消し
だと
２３時間のあたりで仕事始めたときに途中で期限切れになるのが嫌だなと思ったので２４時間とは書かなかったです。

O部長がさ、プロキシは各拠点にはないぞって言ってるじゃん。
あれってどういうこと？プロキシとＵＴＭの機能で、
プロキシにある機能はＵＴＭには全部あるんだけど。

>>414
外人も普通にジェイルブレイクって言うらしいから
2ch用語じゃなくてギーク(恥)用語じゃないかな

>>418
「ログイン状態が24時間以上継続すると、自動的にログアウトされ」とあるので24時間でいいのかな、と

>>419
そこは俺も意味わかんなかった
今回は「は？」って思うところが多いな

>>419
こころの中で「この部長うぜえwww」と叫びました。

俺の部長を悪く言うな

>>419
機能じゃなくてその場所にあるかどうかだと思ったんだが。
本社にしかプロキシないしな。

>>421
うーむ　やっぱりそうなのか　感情で回答しちゃダメだな。

>>425
でも、プロキシなくてもプロキシでできることはUTMで出来ますし

そうそう、UTMってナニカ実は知らないんですよね
やっべ、UTMって何かしらねぇと思ったら知らなくても表見ればいい問題でよかったです

>>419
気にしない

晒した回答見直したら、6割はあるような気がする。
って甘いかな…

>>427
UTMはセキュリティ詰め合わせパックみたいな装置かな。
たいてい、中途半端な機能の詰め合わせでクレームを生み出す魔法の機械だよ！

O部長「プロキシ(の設定の入ったPC)は(本社以外の)各拠点にはないぞ」
Qさん「ﾁｯ」

>>427
セキュリティに関していろいろ出来ちゃう凄い機械だぜ！
ただ個々の機能は単体製品に比べて貧弱だぜ！

「不正使用が長期間続く」

　　解釈１、不正使用が発覚してもすぐにはどうにも対処できない
　　解釈２、不正使用に気づけない

のどちらかしかないと思うんだけど、解釈１については実際そんなことはないから、解釈２が正しいとみた
いずれにせよ私は死んだ

UTMは頭の中でウルトラマンって読んでた

前回とか、このスレの合格率は高い方なの？

てかさすがに情報系はねらーが多いのか皆使ってる参考書が被ってて笑たわ
俺の列は欠席者抜いたら、ポケスタビンゴしてたんじゃねーかな

>>435
不合格の人は報告しない

というフィルタが掛かってるから合格率はとても高いです

ポケスタは本当にいいと思う
特に速効サプリ

同じ不合格でも、速攻サプリがなかったら、もう少し点が取れない気がする
はーでも受かってたらいいなあ

午後1の問2で追加認証方式のオプションとか書いてあるけど、
これってどれかの設問と関係あるのか？

速攻サプリの良さがわかんねー
暗記なんて意味あるの？？
こう聞かれたらこうって話の試験とは違うよね…？

>>438
もし落ちたら、それ使ってみます。
もし、落ちたら…嫌だ、落ちたくない！落ちたくない！

ちなみに他の試験のポケスタも使えるの？？

俺セキュリティ持ってるけど、正直ポケスタのサプリはそんなに役に立たない
ネットワークにもサプリあるけど、こっちはもっと役に立たない

>>441
こう聞かれたら、こう答えるって使い方でいいと思うよ。
ポケスタの解答を軸にして、答えを肉付けしていけばええんでない？

>>416
設問4 (3)
フィルタリングはURL方式IPアドレスではない

>>296
同じ人がいた
だが問3は丸しなかったから関係ない

>>443
DBもポケスタがいい

HTTPレスポンスのレスポンスが出てこなくてHTTPの応答って書いてしまった俺涙目(ﾟдﾟ)

レスポンスって応答って意味じゃね

>>409
方法が仮パスワード記載メールの盗聴
対策がIDをメールアドレスだけだなく推測しづらい文字列にする
にした

【午後�U】
問2 　設問1
　　POP3 over TLS、SMTP over TLSはだめ？

午後１の設問１（１）
他のアプリ運用者にも既知である性質。
→認証機能がなければ偽装できるのは当たり前だと思ったから、他の人に漏れてる情報だからまずいんじゃない？と思った。

午後１の設問３（２）でYoyakuCodeを不規則にするとか書いてた人いるけど、
問題文は「図３の2.にどのような仕様を追加すればよいか」だから不正解。
その解答は「図３の1.」の仕様変更だから。
ということで、AuthKeyとYoyakuCodeの紐付けを予約情報から確認するのが正解。

午後２問２設問３なんだけど、C16もいれちゃだめかな。。
スマフォに導入されているアプリケーションをどこのWebサイトからダウンロードしたかっていう情報って普通残ってないもの？

>>453
概ね同意
「自分の端末番号を別の番号で利用されて、サービスの不正利用されるおそれ」
が前提の「特性」だからそうなると思う。20字以内で上手く書けなかった。w
でも「他のアプリ運用者にも既知である（場合もある）性質。」少なくとも大っぴらに公知ではないよね。

テストでむちゃくちゃ疲れて眠いと思って
ビールと柿の種平らげて午後8時に寝て
寝すぎたと思って起きたら12時半だった^q^

>>452

SSL/TLS通信が行われてるのはスマホとVPN装置の間だから、
Webメールサーバとメールサーバの間はSSL/TLS通信してない
と思うよ。

午後1 問3
CサービスってそもそもSaaSなんだから、クッキーの有効期限とか
P社の人が勝手に変更できないんじゃない？管理者画面とかで変更できるのかなぁ
午後2 問2 設問3(4)
〜253でよくね？ 254は自分自身なんだから、そもそもNWにパケット投げない気がする

>>455

C16も入るよ。

24ページの冒頭に「導入されているアプリケーションの名称及びバージョンなど
の取得」って書いてあるから、野良アプリがインストールされてたら検出できる。

>>459
× → 午後2 問2
○ → 午後2 問1

>>444

ポケスタのサプリは、自分で午後の過去問を結構勉強して身に付いてから
読むと、「あぁそうそう、こんなだよね」って同感できる。逆に、過去問の勉強
が不十分な状態で読んでも、意味不明な文章の羅列にしか見えない。

つまり過去問を勉強しておけばサプリは要らないし、サプリだけ読んでも
過去問学習の代替にはならない。

春はセキュスペ受けようと思うんだけど
情報処理教科書とポケスタの他に読むべき読み物ってなにがありますか？
マスタリングの情報セキュリティ編と ネットワーク超入門講座セキュリティ編あたりを読んでみようかなとは思ってるんだけど

午後２は大丈夫なようだが
午後１で撃沈したっぽい
もう落ちたくないんで次に向けて勉強するわ

>>357
俺も長文読解は苦手だったけど
興味のある新書とか読むようにしてある程度だけど克服したよ

「クッキーを無効化する」という書き方はちょっとマズい気がする
有効期限内のクッキーそのものを強制的に無効化するということはできないように思う

ディジタル証明書なんかも同じで、それ自体を強制的に無効化することはできないから
別個に「有効期限内に失効したディジタル証明書の一覧」を作成して保持し、都度比較する
クッキーで同じようなことをする場合もそのような表現をしたほうがいい

そもそも、利用者ＩＤとパスワードを使ってワンタイムパスワードを発行し、
ワンタイムパスワードでログインしたら９０日有効なクッキーを取得できる、という前提で

「利用者ＩＤとパスワードが推測された」という問題が発生している以上、
古いクッキーを無効にしても、有効期間を短縮しても、もう一回クッキー生成されるだけで何の意味もなさないのでは

毎回思うのがIPA早く結果教えてくれっていう・・・

せめて模範解答を公開してくれればな
まあ、回答にあわせて模範解答作るから難しいのだろうけど

また57点くらいで午後1脱落かなー

午後1 問1のf
って入力内容確認画面とエラー画面じゃない?
項番3の検査文字列入力場所にはURLの最後の方としか書いてないから、項番3に関してはDBとかから降ろして挿入したデータも検査されるんじゃ?

入力内容確認画面とエラー画面、でいいでしょ
検査対象をユーザから入力された情報に絞ってたからこそ結果的にGETとPOSTに絞られるわけで

>>467
パスワードを変更する、という当たり前の対応でいいのかもね。

自分はexpires属性を書き換えれば！と思ってしまったよ。。。orz

>>441
こう聞かれたらこうって引き出し増やすと、別パターン聞かれても応用が聞くと思う

自分は単なる暗記ではなくて
セキュリティのセオリーを覚えるようなつもりで読んでた

>>320
何か問題でも？

秩序って言葉が分かんない人いるよねー

漢字が書けなくてまいった
粘ったけど「把握」は最後まで出てこなかった

>>476
試験のルール自体が30分の遅刻までは許すだからね
20分前以降は試験会場に入場不可って他の試験みたいに厳しくしてもいいｗ

System.out.println
大杉

>>398
勝てば官軍、合格すればおk

>>472
そういう見方をするから問題みたいな穴ができたんだと思うけどな。
本質的にはGETとPOSTしか見てなかったからそれを広げて出力部分全部見るようにしようってことじゃないの？
だから自分はGET,POST派

>>419
プロキシにしか無い機能って認証じゃない？
それ以外はUTMでできちゃう。

採点予想とかって出たりする？どこかから

>>478
あの空白の5分間が緊張感を高めるぅ

午後一の設問二は

通信を、盗聴され鍵を入手されるが
一番素直だとおもうんだが？

>>454
俺も紐です。　いや、俺の答えも紐です。

>>480
サンクス

>>483
TACは24の16時予定だったはず

え、ハッシュ関数はエじゃないの？（＾∇＾）

なんだその顔は

Cookieを無効にするって言うかCookieに対応するSessionをサーバ側で無効にする感じかなぁ。
でもサーバのSessionとかC社の管轄だしなー。
じゃあ利用者ID無効にして再発行しよう。
と書いたら終わってから利用者IDがメアド固定だったことに気付く。

午後一の、設問三の最後の、cは

cサービス終了通知連絡の確認をする

にしたけど。現実的に準備なんてこれくらいでは？
てか、ふつーにまず、連絡通知をみるのを
日常的にすべきだろ。

>>481
じゃあユーザの入力はDBに入れても追跡して検査することになるよね。
その回答だと裏を返せばGETとPOSTは出力を全部検査するんでしょ?

>>487
ありがとう！

お前ら本当よく頑張ったよ
解答はどうあれ受かってるといいな

>>485
盗聴対策の鍵なのに？

午後1の設問1の最後3問時間切れで埋められんかった
ｵﾜﾀ・・・

>>491
俺も最初はそう思ったが、想定シナリオに対しての事前準備だから
サービス終了の通知は受け取っているという前提ですべき準備だと気づいて直した

>>476
で、そんなあなたは20分前から着席して合格間違いなしですか？

>>492
GETとPOSTは出力を全部検査するのはそうだけど別に
DBの中まで追跡までしなくてもいいでしょ。
取り出したときにまたチェックすればいいだけで、DB周りは
今回省略してあったのでそこは考えなくていいと解釈した。

仮に画面が抜けてたからということで画面を追加して検査を
するとなった場合、検査条件がまたGETパラメタとPOSTパラメタに
なるわけで、問題の部分ってそれで解決しないでしょう？
POST,GETじゃない出力部分で発生しているわけだし。

>>490
俺もC社側の対応がどこまで可能かわからなかったから混乱して同じように書いたわ

>>500
いくら他社と共通の画面使うといっても各社色々な運用があると思うから
セッションの期間くらい個別に設定する画面があってもいい気がするなぁ。
どんだけ融通効かないシステムなんだよってｗ
まあ書いてないから何とも言えないけども・・・。

社内検査の検出パターン3は「URL中最後の"/"に続く文字列」に入力する感じでしょ。
仮にEシステムにGET,POST以外の入力方法があって、そのデータがURLの最後に注入されても検査するんじゃね?

前回の午後1、
どうせダメな出来だ。
半分も取れてないさ・・・
と思ってたけど得点何点だったか見てみたら56点と健闘していたんだが、
そういうことってあるもんなの？
俺の答案ではどう考えても50点は無いはずなんだがなぁ・・・
でも今回も意気消沈ですorz
ネスペと違って出題者と息が合わないと得点しにくいから難しいわ。

盗聴対策の鍵というか、鍵を平文で流したら
その鍵、利用できますので、そもそも
通信を、暗号化しないとだめなのです。
ですから盗聴すればその鍵使えるわけです

>>463
小倉美香ちゃんの本

情報セキュリティは年々難しくなってきてる感じがする。
進化の激しい分野だからかな・・・

>>504
(　ﾟДﾟ)ﾎﾟｶｰﾝ

>>506
たんに新しい要素が毎年加わるだけで、別に難しくなってないよ。
今年はスマホの業務利用が新しい要素だったね。
新しい要素についてはテキストなんかには乗ってないから、
普段から自分でいろんな技術情報に接していないと受からないかもね。

BYODは出ると予想してる人がここにも結構いたよな

>>509
それ俺

いやだって
jwpwgmwkxvdmwuという鍵が使用可能で
通信を暗号化しなかったら
jwpwgmwkxvdmwuがそのままネットワークに
流れるから
これを盗聴すれば第三者が鍵使えるよ

>>509
重点対策で取り上げてたからね

そういや、
うちの会場で、午後I始まってすぐ
イビキかいて寝てたやついたんだけど
あいつどうなったんだろ？←俺より後ろのやつだったのでわからず

>>503

惜しかった、もう一息だ、と思わせて次回も5000円
お布施させようというIPAの策略です

40とかで落とすよりも、確かに55点の不合格者出す方がよさげだなｗｗ

ところでBYODって何?

>>514
マジかよ
傷付くわぁ。。。

ネットワークの暗号化が必須。

>>516
ビョド

お布施もなにも、5000円くらいじゃ儲かってるようには思えないんだが。
ベンダーの試験とかと比べると

午後2の問1の1って、すぐに報告せずに
昼休み中放置したことって入らないの？
自己削除するトロイもあるし、危ない対応だったと思う。

お前らビョドってんじゃねーよ

>>521
悪い対応じゃなく、
調査の障害になる行動だからね。
マルウェアが自己削除したのか、M(だっけ？)が消したのかも分からなくなるじゃん。
Mが操作してないのにマルウェアがいないなら自己削除したって分かるけど。

証拠消すのってルートキットとしては普通の動きだし、
PCの設定を変えて犯人に異常を知らせた可能性がある上に
そこから1時間放置したことを調査の妨げになってない、
というのはどうもスッキリしないんだよな。

午後の配点考えて見た。

午後一
問2（順に）7,4,7,7,4,4,4,4,9
問3（順に）8,8,8,8,6,6,6

午後二
問1（順に）7,7,7,7,7,4,4,4,4,4,4,4,4,4,7,7,7,4,4

これで甘い採点と厳しい採点を出したら
80-66-52
88-76.5-65
になった。やっぱり午後一がボーダーラインかな。

>>525
午後３まで受けたの？

>>526
真ん中のは平均値だ。

>>524
ルートキットはそんな働きしないよ

情報セキュリティースペシャリストの真逆の資格ってないの？

リスクをどう対策するかではなくて、どうリスクを負わせて行くかを極める資格

いやベンダー試験がぼったくりだろ。
全国区で一部屋三人前後の監督者と施設予約に
試験問題作成考えたら5000円ちょいはかなり
お得だと俺は思う。
ベンダー試験なんて、なんであんなに高いの？
理由が知りたい。平気で30000円コースだし。
まぁ、ipaの試験すらもう価値はないよ。
ほんと好きな人が受けてるってかんじだし。
弁理士も既にクソ資格だし弁護士もそうだし
医師免許くらいじゃね。
日本全体がコミュ笑重視に走ってるからさ。
この偏重って円周率が3と似てるわ。

>>530
でっていう

部分点って何点くらいなのかね。
1/3くらい?

>>532
そりゃあもう、部分点っていうくらいだから、ねえ…

今回の午後は簡単だったのか難しかったのか
どっち？？
午前は楽勝だったけど

>>530
円周率が3というのは場合によっては3にするというだけ。
俺が高校生の頃でも地学で惑星の運動を計算するときには円周率3だったし
それと同じことだと思う

>>516
BYOD = Bring Your Own Devuce
自分のスマホのほうが使い方わかってるから使い勝手良いでしょ？
って言い訳で社長が経費削減しようかと思ったけど、
結局セキュリティにますます経費がかかっちゃったじゃん。
しかも、社員は、失くしたらリモートで全部消すよと言われちゃうと、
自分の貯めに貯めたエロデータが消えちゃうから嫌だと思ってクラウドに上げて置いたら流出。
しかも紛失スマホをリモートでデータを消そうと思ったら、電波をONにされず、内部保存データごとぶっこ抜かれて
機密データともどもエロデータも流出
って話。

だからセキュリティは経営者に理解されないんだよな。
「なんで社内WEBサーバにアクセスするだけなのに、
こんな訳のわからん余計なソフトとか機械が必要になるんだ〜」
みたいな。

社内WEBサーバじゃねーや。
WEBメールサーバだったっけ。

ルートキットにログ改ざんやら証拠削除機能がない…だと…

個人スマホによるアクセスを実現するためだけに

ファイアウォール2台、ルータ1台、VPNサーバ1台

の追加購入という大出費ですよ。
経営者からすれば馬鹿馬鹿しいでしょ。

>>540
B社飛び込み営業「社長、そこで我が社の仮想化サーバを導入されてはいかがでしょうか。」

>>541
弊社

以前の会社の取引先が開発していた、ネットミーティングの機能とVPNのようなリモート操作するソフトがあったんだ
FWのアウトバウンズは開けなくてもいいから、インバウンドを開けてくれと言われたわ
そんなこんなで、インバウンドって書いときました

リンクがhttp(s)://から始まってても
XSSで改竄されると意味ないと思うんだが。

クエリストリングって単語、なんか卑猥だな。

>>450
専門用語使ってなくても、点数くれるもんなんかな
ちょっと不安ｗ

今回の午後2の問題読んで

・PCのウイルス感染を確認
・でも対策したから大丈夫
・安心して外に食事に行きました

なんていうCMがあったのを思い出した
何のCMだったかは思い出せないけど

セキュリティキャンプに年齢制限つけないでほしい

セキュリティ・キャンプって、講師のレベルが本職に教えられるほど高くないから。

今回受かってたら来年のキャンプワンチャンあるんだけどなぁ....。
もう午後1死亡フラグなんだよ

>>550
大してレベル高くないから、受かってなくても行ってこいよ

ちょっと！
おんなのこもみてるんだからっ！

うーむさすがに過疎ったか

セキュスペの主な受験層って30代前半みたいだが、このスレもそれくらいの人が多いのかな。
春にエンベ受けたときも思ったけど、応用→高度で一気に受験者の年齢が上がるよね。

応用はオッサンばっかりだったぞ

俺の知ってるせきゅすぺ試験は40代ばかりでした

私、女だけど、セキュスペ受けたの。

>>553
解答速報でたら、また盛り上がるよ。

>>557
あなたのオンナとしてのセキュリティは守られてますか？

>>559
オヤジか

童貞が守れない奴にセキュリティが(ry
処女が守れない奴にセキュリティが(ry

>>561
会場は皆スペシャリストっぽかったな

試験会場にカップルが結構居たがな

カップル受験多いよなｗ
試験会場をデートスポットにすんなよ

私女だけどカップルは揃って不合格になればいいと思うの

監督員もカップルだったよ。
2人とも男だったけどね。

カップルなんて全然見なかったわ

会場の専門学校の事務の人が美人多かったな
顔で選んでるんじゃないの？・・・って

俺男だけど、最近女と別れたい

デートって仕事相手と行くみたいに疲れるんだよなぁ
ゲイじゃないけど、正直言って大学時代の男友達と遊んでる方が楽しい

美人試験官の耳元で「今日はあなたのセキュリティホールをボクのパルチザンパッチで塞ぎに来たよ？」って囁いた。

童貞だけど。

俺の会場の試験管は三人とも50代ぐらいだったわ

P君はなぜ会場の男女をカップルと断定したのか、理由を50字以内でこたえなさい

P君は最近オナニーしていないので見るもの全てがエロく見えてしまう為

>>569にとってのイノベーションはどれか。適切なものを答えよ。

ア.今後はプロのみを相手にする。
イ.男友達のをしゃぶらせてもらう。
ウ.女装オナニーにチャレンジする。
エ.電波を発してテンペスト攻撃の対象になる。

もう、ここは下品な人ばかりですね！
真面目に試験について語りましょうよ！





マンゴー！マンゴー！

セクスペ希望者のスレだから仕方ない

たまに50代位のはげオヤジが受けてたりするけど、実は20代後半だったりするんだよなww
ソース俺。
高校の時のあだ名はオッサン。

かわいそう

この試験に合格すると10万もらえるから、ソープにでもいくかな。

564

これから資格試験デートってはやりそうだな

>>580
間違いなく流行るであろう。
なぜなら、お互いが共通の苦難を乗り越えることに恋愛の醍醐味が存在し、二人の距離を一層縮めることにつながるからである。

俺の彼女は絶対に面倒くさいという。
別れたい。

2chの最終解答ってどこにある？？

どっか解答例出さないかな

>>581 片方だけ落ちたら……

即破局なので、お互いの為に頑張って試験に受からねば！って感じでヤる気が出るわけですよ。

>>585
彼女だけ合格した場合
「あなたが支えてくれたから合格出来たのよ！」

彼氏だけ合格した場合
「さすがわたしが惚れた男だわ！素敵！」

なんの問題も無い

>>587
ええカップルやのぉ。

TACたん早くして！！！！
全部ギリギリ六割あるかないかくらいだわ(2chが正しいなら…)


しかしこんな試験の模範解答作る仕事とか絶対やりたくねーわ
社内での打ち合わせでも揉めそうだもんなｗ

模範解答って役所の人が作ってんの？

大学事務でも美人が多い
なんで？

TACは専門学校の職員が解答作ってるんじゃないの？？

>>592
それ模範解答じゃないですよね？

TACのは模範解答じゃなくて何解答？
解答予想？

書き方悪かったが、TACみたいな解答作る仕事は嫌だって意味ね

しかしこの試験面白いよな
午後問題解くときワクワクしてたわ

>>595
孫悟空みたいな奴だな？

模範解答だとしても模範解答（予想）だろうね

>>591
面接で美人を選ぶから。
あと、一流企業の社員はホストみたいな男が多いし、女も美人が多い。
面接勝ち組はそういう傾向があるみたい。
でもそういう選び方が果たして企業の利益になるかどうか。

>>590
役所ｗｗｗ

省庁舎も役所だろ

>>600
？

午前�Uから受験。その時点で教室は１／２以下の出席。しかも午後からさらに減る。
オイラが不在の午前�Tを受けて免除獲得目的なのか、単にあきらめたのか。もったいない。

>>602
セクスペは何故か基本情報に落ちてる人が「これならいける！」と勝手に思い込む試験らしい

>>602
人減っても、合格率に影響ないよね？

>>603
二言目には「あれの午後試験は国語」だからなあ

この試験の後、CISM（Certified Information Security Manager）
公認情報セキュリティマネージャー受ける人っている？

受験願書の試験締切が10/25らしいだんが、
受けるか迷っている。

>>605
そこそこ勉強したけど逆にその国語がキツイ

知識があれば、さくさく解答書けるけど

よーく問題文と設問見ると「ここに書くべきは、これじゃない気がする」
で、候補Ａと候補Ｂを抱えてうーんうーんうーん
これきっついわ

>>603
「受かった人」かと一瞬思ったが「落ちてる人」じゃいくらなんでも無理だろ

午前が通ればワンチャンあると思うのかなぁ

CISMは受験料がたかすぎ・・・

>>609
範囲がセキュリティに限定されてるから、データベースやアルゴリズムに苦手な連中が余裕！って思うらしい。

>>607
>>608
そう思うわ。
ソリューションはいくつも浮かぶけど、答えるべき解答が絞れない。
PMの時のような終わった後のやりきった感が無いわ。

モヤモヤばっか。

>>611
午前で叩き落とされるような連中じゃ、いくら国語の問題でも無理な気がする
ある程度知識があって、それでも問題文の些細な表記に揺さぶられて
同じく些細な表記を見落としてｳﾜｧｧｧｧｧｧｧってなるのがこの試験だと
過去問解いてて思ってたけど、実際の試験だとすんごいｲﾗｲﾗするねｗ

SCの国語の問題が余裕な奴なら、ちょっと勉強すれば基本も応用も取れるだろうし

俺の教室は午前1免除な連中が集められた60人
欠席者も殆どなく、55人以上が午後2まで受けてたわ
場所によって随分違うな

>>598
サイバーエージェントの写真
話題になったね
ホンマ、キャバクラだったわ

アイテックはまだか？

itec
午後1　10/21以降順次
午後2 10/22以降順次

tac
午後1･2　10/24（木）16：30公開予定

大原
お察し

午前Iから受験。席の埋まり具合が半分以下だったので
ほとんどの人は午前I免除で午前IIからどっと入ってくるのかなと思ったら
ちょっとしか増えず。雨だったからみんな行く気なくしたのかな。
また、午後Iであきらめたのか、途中で帰った人もいて午後IIでは1/3も埋まってなかった。

自分の会場（八王子）はそれなりに埋まっていたな
午後IIでも半分以上は残っていたと思う


あと専門学校って金持ってるんだなぁとつくづく思った

お前等の晒しまとめ

午後１問２
1.
(1)
連番で与えられるという特性
端末識別番号は偽装可能であるため（知らんけどMACアドレスと同じの書いといた
端末を識別するもので利用者は識別できない
端末識別番号は変更が不可能だから
利用者本人ではなく端末を識別する特性
端末識別番号は推測可能であるため。
SIMカードの差し替え等による可搬性の特性
端末識別番号は偽装できる特性があるから

(2)
エ
イ

(3)
端末識別番号と算出されたハッシュ値の組から鍵を特定する手法。
端末内情報を不正に送信するスマホアプリを利用者が入れてしまう
スマホの保存領域やアプリの解析
ハッシュ値から暗号アルゴリズムを解析可能だから
初回認証成功した端末を第三者が見て漏えいする。
スマホアプリ内にあるため、コードを解析して鍵を入手出来る。
スマホを分解しアプリデータの格納領域に直接アクセスされる
スマホアプリをリバースエンジニアリングし鍵を入手する手法

2.
アプリ側で案内する友達の選択を行い、選択された友達のデータだけを送信する。
アプリでアドレス帳にアクセスして、参加予定者のアドレスをWebAPに送信
利用者のスマホを利用から予約案内を送信する
ＷｅｂＡＰから予約情報だけを受け取り、スマホアプリでメールを加工して送信。
端末側で参加予定者を選択させ、その参加予定者のアドレスのみを送信する。
予約情報の送信対象者アドレスのみをサーバーに送信することの同意を得る
スマートフォンのアドレス帳を参照し選択されたメールアドレスのみwebapに送る

3.
(1)
YoyakuCode, 201310000071
YoyakuCode 存在する予約明細コード
YoyakuCode / W氏が取得したYoyakuCode
DateTime, リクエストの送信日時
DateTime, 現在時刻の４分前
DateTime 4分59秒以前
DateTime: 10 16 18:04:10
DateTime　2013 10 16 20:17:14
Authkey / Ｗ氏が取得したAuthkey

(2)
AuthKeyに関連する利用者と、YoyakuCodeの予約を行った利用者が一致しない場合は認証エラーを返す。
YoyakuCodeに対応する予約明細とAuthKeyに対応する利用者が紐付かない場合アプリケーションエラー
AuthKeyで指定された利用者認証用キーで行われたYoyakuCodeの予約が無ければエラーを返す
AuthKeyとYoyakuCodeを突き合わせる
送信データをハッシュ化して、改ざんを見つける。
利用者認証用のキーと予約明細コードを関連付けし、利用者認証用のキーと対応していない場合はエラーと返す。
TLS/SSLの仕組みを追加導入し、予約者本人と認証された場合のみ予約内容を表示する仕様にする
AuthkeyとYoyakuCodeの組み合わせがwebapの予約確認サービスで存在しない場合はエラーとする

午後１問３
1.
(方法)第三者が利用者のふりをして、申請メールを送る方法。
(対策)メールではなく、文書で直接顔をあわせて申請を行う。

(方法)携帯のメールアドレスを第三者のアドレスとして申請
(対策)会社貸与の携帯に限定する

(方法)P社の社員名を偽り、申請メールを送付する
(対策)申請した社員に申請有無について確認の連絡を取る

(方法)Ｐ社従業員になりすまして、送信先メールアドレスを詐称。
(対策)電話で直接本人に確認する。

（方法）本人になりすまし、自分の携帯アドレスを送付する。
（対策）メールではなく、直接会って本人確認を行う。

（方法）利用者IDと個人携帯のメールアドレスで申請メールを送付
（対策）管理責任者が申請者本人に申請内容を電話確認する

（方法）管理利用者に利用者ID登録の申請メールを送る
（対策）利用者に申請メールを送ったかどうかを電話確認する

（方法）第三者の携帯電話メールアドレスを指定して申請する。(25字)
（対策）P社メールアドレスに確認メールを送付する。(21字)

（方法）第三者が他人の利用者氏名とIDで申請する
（対策）利用者IDのメールアドレスに確認メールを送る

2.
(理由)一度認証に成功すると90日間有効なクッキーが生成されるから。
(対策)クッキーの有効期限を短くし、かつ同じ利用者IDに対して他のクッキーが生成された場合には、それ以前に生成されたクッキーを無効にする。

(理由)不正ログイン後、２４時間使える
(対策)パスワードをワンタイムパスワードトークンにて運用する。また、自動ログアウトをもっと短くする。

(理由)クッキーが90日間有効であるから
(対策)対象のIDを無効化し、同じ利用者IDに対して他のクッキーが生成された場合、以前のクッキーは無効にする

（理由）個人所有の携帯電話が紛失した場合、携帯電話業者に依頼すれば継続して使える。
（対策）総務部が全従業員の全携帯電話を管理し、盗難や紛失があった場合、利用者ＩＤを無効にする。

（理由）１回クッキーにより最大９０日間ログイン可能なため。
（対策）クッキーの有効期間を短くし、同じ利用者IDに他のクッキーが生成された場合は、最新のクッキーのみ有効にする。

（理由）同じ利用者IDのクッキーが最短90日間有効となる。
（対策）同じ利用者IDに対してさらに他のクッキーが生成された場合は、古い方を停止し新しい方のみ有効とする

（理由）同じ利用者IDに複数の認証クッキーを発行できるから
（対策）認証用のクッキーが発行された場合、過去に発行されたクッキーの期限属性を変更し、有効期限切れとして使用できないようにする

（理由）携帯電話がP社管理下になく、盗難時に停止できないため。(28字)
（対策）個人の携帯電話紛失時にも総務部に連絡する規則とし、P社は速やかにワンタイムパスワードの発行を停止するようにする。(57字)

（理由）クッキーの期限が90日あるので最悪90日間気づかない
（対策）クッキーの期限をログイン期限と同じ24時間にする、かつログアウトされたら即消し

3.
a.
Cサービスに保存しているファイルを、社内ファイルサーバにバックアップ
Cサービスのバックアップを定期的に実行
P社のファイルサーバにバックアップを取っておく
プロジェクト資料をファイルサーバにバックアップ
ファイルサーバにCサービス上のデータを定期的にバックアップ
Cサービスのデータを日次でP社のファイルサーバーにコピーしておく
社内のファイルサーバーへ定期的にCサービス上のファイルをバックアップする
プロジェクト資料をCサービス外にバックアップ(22字)
定期的にCサービスと社内のファイルサーバーの同期を取る
b.
Cサービス利用前と同じ形態で業務を再開
バックアップから仮復旧させプロジェクト資料業務を再開
プロジェクト資料を使う業務を再開
バックアップしたプロジェクト資料をリストア
Cサービス上で行っていたサービスを実施
24時間以内にプロジェクト業務を再開する。
24時間以内にファイル共有サービスを復旧
最新のバックアップからプロジェクト資料をリストア(24字)
プロジェクト資料を使う業務を再開
c.
サービスに関する通知
データ以降の可否
データ移行手順
クッキーの有効期限
最新のサービスに関する情報
具体的サービスの移行手順を確認しておく。
サービス提供状況に関する案内
バックアップデータの移行手順(14字)
サービスの提供に関する情報

まとめ乙
今回も落ちてそうだ
次はデータベースに変えようかな…

どこで落ちたかにもよるけど

データベースの午後問はセキュリティと同じかそれ以上の国語問題ですぜ

>>627
DBもSCみたいにモヤモヤするん？

>>627
午後の記述がほとんど裏目に出た
データベースも国語ならもうだめぽ

他の回答と見比べたら、終わった感満載。

DBの午後２の国語力ってのは、問題文中に示された要件を読み落とさないように
するっていう意味でしょ。要件さえちゃんと拾えれば、答えは一意に決まるんじゃ
ないの？ SCみたいに、「この模範解答は納得いかん。こういう解釈もできるじゃん」
みたいなモヤモヤは無いと思うんだけど、どうよ。

>>631
まーねー基本的にはおまいの言うとおり

>>627
データベース持ってるけどこれよりは国語じゃないと思うがな
ほとんど解答がパターン化されてるから解法知ってれば解けるし
その代わりSCは国語力があれば知識がなくとも解ける問題が多いから有利

ネスペはがっつり知識が要求されるイメージだなあ

SCにおけるIT土方の有利なところは、セキュリティにうるさい職場に派遣されると
しこたまセキュリティ研修があって、知識が少し身についてしまうところ

知識はあってもIPAのオレオレ設定な午後問題はなあ・・・

>>635
そのオレオレを見ぬく試験と思えばｗ
今回の午後2は十分時間はあまったし、
やべぇわかんねぇどうしようって事はなく解答はできた

でも、設問の機微を読み解く国語の部分で死んだと思う
国語に左右されない部分で60点取れる試験だと簡単すぎるしなぁ

午前1って30問中何問正解で次回免除になるんですか？
6割でいいの？それとも満点に近くないとだめ？

この試験、情報セキュリティのスペシャリストの試験じゃなくてIPA午後問のスペシャリストの試験だと思う昨今

国語っていうかSCの問題はこんな↓感じだ

【問題】
Aさん
性別：男
持ち物：スマホ、財布、車
出身：東京
現在地：東京

B課長
性別：男
持ち物：ガラケー、商品券、青春１８切符
出身：大阪
現在地：東京

Cさん
性別：女
持ち物：化粧品、クレジットカード、格安航空券
出身：名古屋
現在地：大阪

＜Aさんと上司B課長の会話＞
B課長：取引先のCさんからクレームがきて、電話やメールでは収拾がつきそうにないので、
　　　 申し訳ないんだが大阪まで出張に行ってくれないか？
Aさん：え、いきなりですか・・・？わかりました。
　　　 では�@すぐに向かいます。

設問１　�@について、Aさんはどうやって大阪まで行ったか具体的に答えよ。

ブラックリストとかウィルスチェックとかじゃなく
一番の脆弱性であり証拠隠滅を図ったMさんを解雇するのが一番有効な対策だ

UTMとプロキシで「HTTP通信で何か対策してちょ」って問題も

HTTP通信に含まれるマルウエアをチェックする、ウイルスチェック機能と
HTTPヘッダでフィルタリングする、URLフィルタリング機能

どっちもHTTP通信なんだよな
HTTPのプロトコルに着目して対策してちょならヘッダ一択なんだけど

資格学校ごとに回答も違ったりするんでしょ？

>>640
面白くない。

>>641
M氏ポンコツすぎワロタ

>>637
受かったら免除。
受かってない場合、午前�Tが満点かつ午前�Uが60点以上

>>642
UTMとプロキシの両方でHTTPヘッダでフィルタリング出来るのになんでプロキシで止めるなんだぜ

>>640
新幹線に乗って行った

基本情報とかだったら女の子多いのかな
おっさんばっかりで萎えた

>>645
でも俺は気持ちわかるよ。
前の職場で検証環境を作ってて楽しくなって色んなSW,MWをインスコしまくってた時期があってさ、
夏休みに電源ONで放置してたら、なんか休み明け色んなウイルスにかかってはSEP君が駆逐してくれていたみたいで。。

結局的に誰にも言わず黙ってた。

そんな私でも今回合格できそうなんです！

がんばれM氏！努力すればセクスペだって合格できるさ！

>>647
ウイルスチェック機能もUTMとプロキシ両方についてる

今回は午後1の合格率がかなり低く
午後2がかなり高い結果になりそうだな
採点する労力を減らす方向なのかね

まあ　多段階選抜って元々コストを減らすような仕組みだしね

iTecの解答まだ〜

採点は相当人件費がかかりそうだからな・・・
ITパスポートの5100円から応用や高度の記述論述の採点コストを捻出してるのだろう

>>652
ゲタかもーん！

高度になるほど汚いもしくは癖があって読みづらい字が増えてそう

って思ったけど基本応用は選択式か

>>646
おい

コスト削減で午後1を難しくしよう！
↓
コスト削減で午前2を難しくしよう！
↓
コスト削減で（ｒｙ

多段階選抜ってさ
午前で完全にいらないのは消せるけど
午後はどうすんの？？
よくある合格率操作は午後２だけなの？

そうじゃないと午後１と午後２を両方採点しないといけなくならない？？

>>660
日本語でお願いします

>>661
午後１と２、両方採点したらコストかかるでしょ

>>646
まじかよ・・・

極端な話、免除が切れる前に高度試験に受かり続ければ、ずっと午前１を受けなくてもいいの？

午後１問３設問２、当日は選ばなかったが、じっくり時間かけて読んでみた

�@ 客先や自宅からＣサービスへのアクセスは、社内ネットワークやRASを介さずに直接行う。　（p15)
　　個人の携帯端末、会社貸与の携帯端末のどちらでも利用できる。 また、多くの社員に会社に携帯端末を貸与している。　(p16)
　　追加認証を利用した場合、利用者ＩＤとパスワードのみではログインが完了せず、ワンタイムパスワードを用いる必要がある。　（p15)
　→ 一度取得したクッキーを使いまわせば、有効期間中、任意の場所で任意の端末からログインすることができる。
　　　※一般に、クッキーのインポート・エクスポートや使い回しは可能である。

�A Cサービスの利用者ID登録手順として、利用者ID、利用者氏名、携帯電話メールアドレスが要求される　（p16)
　→ 使用するＰＣ情報などについては事前登録を行わない。

�B「利用者ＩＤとパスワードが推測されてしまったときに」　（p17)
　　→ この「推測されてしまった」という事実に利用者や管理者は気づくことができるだろうか？

�C 管理責任者は、アクセス履歴も確認できる。　（p15)
　　→ 利用者はアクセス履歴を確認できない。


これを踏まえると

[原因]　ひとりのユーザが多種多様な環境からログインすることを許容する状況だから、管理者は不正利用を察知できにくい
　　　　　利用者にはアクセスログが公開されないので、利用者としても不正利用を察知できにくい
[対策] 利用者からもアクセスログを任意に確認できるようにする
　　　　利用者が使用しうるコンピュータ情報などを事前に登録し、その媒体からのアクセスのみを許容する　　　　　　　が正答だと思う。


[原因] 不正使用されている有効期限９０日のクッキーが無条件で生きつづけるから
[対策] クッキーを作成する都度にその情報をサーバサイドで記録しておき、最新のクッキーのみ有効として処理する　　　でも良いと思う。
　　　　　※ 「古いクッキーを無効化する」は不可能だからNG
　　　　　※ 「クッキーの有効期限を短くする」も悪くはないけど、解決になってないし、十分な対策とは言えない

でもこのスレでは後者が多数派だったみたいだな。選ばなくて良かった。

>>664
はい

>>666
そうなのか。
受かり続ければ常時午前２からスタート可能なわけだな。

>>667
だからいっぱい受験してね！


…が向こうの意図

試験直後のレスでは「今回は簡単だった」っていう声が多かったけど、ITECの講評
によれば難易度は例年並みだそうだ。
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿

午後I試験は今回から出題数が4問から3問に変更になりました。難易度を全体的に
評価すると，ほぼ例年並みと想定されますが，出題数が減少したことの影響などから，
午後I試験の合格率は，平成25年度春期並みの45%前後になることも予想されます。

午後II試験の出題テーマは，マルウェア感染への対策（問1），スマートフォンを利用
したリモートアクセス環境（問2）でした。難易度を全体的に評価すれば，問1，問2とも
標準レベルという印象を受けます。

http://www.itec.co.jp/siken/library/pdf/2013a/comment2013a_sc.pdf

この試験を難化させている要因の１つに図表を多用している点が挙げられる。

以前はほとんど文章だったのに、最近は表を使ってびっしりとソフトや機器の機能が書かれている。
正直、全部読むのがしんどいｗ

>>626
相性もあるけど、この試験より難しいよ

>>665
あー、なるほど。サービスがクラウドだから、それを実装できるかどうかはわからないけど、納得できる。

部分点欲しいなあ。。。

携帯の盗難が起こった時点で大事を取ってＩＤ停止して別個に登録しなおすべきだろｊｋ、って思ってたけど

個人の携帯を利用してる場合だと、盗難が起こったことを会社に報告する義務、がないんだな
使用してる携帯端末それ自体の情報を登録・制限してないから
盗難が起こっても、ふつうに携帯を買い換えても、アドレスさえ同じままなら次の携帯をそのまま使えるし

遅くとも不正利用が発覚した時点で当該の利用者ＩＤを凍結する、を是としていいなら
クッキー９０日ルールの変更はまったくナンセンスだな。。。

回答を晒したものですが、クッキーて編集できないんだね。
カートの中身とかを保存できるから、編集可能と思ってた…expiresも。

また、春頑張ります。とほほ。

ＰＭ１　問３−設１について。対策はgoogleの２段階認証の申請をイメージ
して書けばいいのでは？つまり、利用者が管理者を介してメールやりとりで
申請するのではなく、直接Ｗｅｂ上で申請するようなかんじで。そうなると第３
者の仮パスワード入手方法は、単純に盗聴かなと思ったけど。

パンパカパ〜ン♪　また落ちました Part1
http://ikura.2ch.net/test/read.cgi/lic/1280158437/

これ用意しときますね。

>>646
くっそおおおお、来年も午前Iからかよおおおあお

追加認証の手順案に「Cサービスの利用者ID変更手順案(図は省略)」ってのがあるから、
P社は利用者IDを変更することについてなんとも思ってなさそう。
よって「利用者IDを変更・停止できないんじゃないか」という仮説は違う気がする。
代わりにどんな値を使うか知らんが・・・

http://www.itec.co.jp/auto_mark/answer/
まだ来とらんな。中の人、解釈でもめてんのかな。

アップされるなら九時か？

でもこれは内部でモメるだろうなｗｗ

クッキーの記述を完全スルーした俺は負け組ですかそうですか


もうクッキー食わねえ…

ここでも色々な解釈出てるiTECでも出てるだろうなぁ。

クッキーはサーバー側でSetCockieするときに期限を設定するから
基本的にサービス側で設定項目さえ用意すれば企業毎に変更する
ことなんか容易だと思うんだが書かれてないからモヤモヤするな。

ワンタイム1回の認証で90日有効になる事自体がナンセンスだから
毎回ワンタイム入力させればいい話なんじゃないのと思う。

itec担当者フリーズしたなｗ

クッキーは90日ルールに関わらず24時間でログアウトされるので
不正な状態は最長24時間だと考えてたが違うのか

こんな問題じゃiTECでも困るだろw

itec、「難易度は例年並み」とかコメント出してるんだから、さっさと回答例出せや。
受験者は1時間半とか2時間で回答書いてるのに、プロがどんだけ時間かけるつもりだよ

そうだそうだ！

24時間で自動ログアウトってのも気になったが
長「時間」じゃなく長「期間」て記述だったから
90日の方なんだろうなと思った

アイテックの過去問以外の参考書、役に立たないって事の証左じゃね?

まぁipaですら、このスレみて
解答作るから仕方ないかもね

>>686
ログアウトしても次回ログイン時に有効期間の残っているCockieが送られると
ワンタイムパスワード認証が飛ばされるよ。

明示的にクライアント側でCockieを削除する設定にするなら
毎回ワンタイム認証になるからクライアント側でクッキーを
保存しない設定にするという回答も有りなのかもしれない。

運用が徹底出来るかが怪しいけど。

ttp://www.itec.co.jp/siken/sokuho/2013a/pdf/2013hSCpm1.pdf

間違えた
ttp://www.itec.co.jp/siken/sokuho/2013a/pdf/2013aSCpm1.pdf

利用者IDとパスワードが推測されてしまった場合とあったから、メールアドレスを利用者IDとして使用してるのがダメってかいたわ（＾◇＾）

クッキーババアにクッキー焼いてもらいな。

>697
何それおもしろいの？

>>646
嘘だ！！！！

え、アイテックさん？？

>>695
いまだファイルが見つかりません

揉めてるポイントはどこやろな？

わくスタってとこも例年速報だしてなかったづけ？

>>703
解答だして叩かれるのが嫌だから今回はださないってさ

>>703
チンケな批判や揚げ足取りの難癖つける馬鹿の相手するのがいやだとさ

今回の午後IIは逆下駄ですか

はよ公開してくれ

雑談増えたな。

ｷﾀﾜｧ━━━━━━(n‘∀‘)η━━━━━━ !!!!!

この試験、午後二まで採点された時に、全体を見て調整とかないのかな、やっぱり。

いい加減午後は一つに統一してほしいお

210分1本勝負とか集中力が持たんわ

他資格だが、すげぇｗ
http://slashdot.jp/story/13/10/22/0329249

昨日も書いたけど、どうやって合格率調整してんだろうか

人件費削減のためには、午後１午後２も採点すると段階的に受験者減らせないよね？

午後１まではガチ採点で、午後２で調整？？

itecの試験講評でも、クッキーに関する知識が必要って言ってるから
午後1問3はクッキーをネタにした答えじゃないのかな？

>>708
次の賑わいは合格発表時だな

前レスで、合格したら10マソってあったけど、sc合格したら手当とか付くの？
うちの会社は、検定料のみだわ

私の会社は一時金15万円です

>>718
ホワイト杉ワロタ！

たまに資格手当てっていって、基本給に常時加算される会社とかあるよな
羨ましい

前いた会社は中小なのに一時金25万だったよ

もらってから半年で退職勧奨受けたけどな

>>721
乙すぎる

>>721
論理的におかしい。
常時加金ならばさっさと追い出すに限るが、一時金なら長くおいておきたいはず。

こないね

18:00-20:00だろ

>>704
>>705

そうなんか。
矢面立って批判を受けるのは堪えるからな。
建設的な議論で答え詰めていくのが理想なんだろうけど、そう上手くいかんしな。

>>713
論文問題回答できる小中学生か・・・

それって申し込むときのアンケート適当に答えただけじゃなくて？

36歳小中学生です

あ、それ俺だよ。
アンケートで小中学生にした(笑)

去年だったかニュースでデータベース合格した中学生取り上げてたな
親が家でSEの仕事してるのを見ながら興味本位で勉強したとか

というか家に持ち帰ってまで仕事する親ぇ・・・

>>726
＞なお，今まで行っておりました解答速報ですが，今回は行う予定はありません。理由は，
私（美月）の体力的な都合です。試験を受けるだけでなくその後で問題を解いて，取りまとめて
チェックして，さらに批判に耐えるといった体力は今はないので，
今日は試験を受けるだけにしておこうと考えています。

自分で考えることを放棄して他人の回答例にケチをつけるクズが多すぎるんだろうねー

>>713
おいおい、真に受けるなよ…。

>>732
いいえ、他人の回答にケチをつけることであくまでも自分の回答だけが正解であることを主張したいだけでしょう
頭が芋けんぴの如くコチンコチンに固くそして尖っているのです

このスレ的に言うと
本人拒否率がとんでもなく低く
他人許容率もまたとんでもなく低い
堅牢なセキュリティで守られているとうことか

で、そろそろどこか速報出してない？
予備校なら20日試験なら当日中にレビューして翌日には速報出すべきだと思うわ。

>>734
わくすたの中の人、春に入院してたんだね…そりゃ大変だわ。

>>734
芋けんぴが上顎に刺さる悪夢を思い出したわ。

NWの劣化版みたいな問題ばかりだな。

自分が受けた試験至上主義の人ｷﾀｰ

>>739
あなたがアクセスすべきDMZはここではありませんよ

>>739
よく来たわね、いらっしゃい！

羨ましいレスが多いです
一時金が支給されるのは、情報部門なの？
監査部門？

ちなみに、私はトラックドライバーだったりする

情報系企業なら情報系資格取得の奨励金が出るのは普通だと思う
トラックドライバーならフォークリフトとか取ったら貰えないの？

>>739

>>606
CISAにしたよ

そっと情報セキュリティ管理士を取得する

そんな資格の存在すら知らなかった

受験料37000円の時点でスルー

>>740
不可能じゃないだろ？
午前は解答がすぐに出るから、講師が解くべき試験は午後1と２のみ。
AP, SC, NW, ST, SA, SM
の6種類を速報するとする。
それぞれ解答に3時間（講師は試験慣れしているから）かかり、
一つの試験に3人で並行して当たるとしたら、
すべて終わるまで9時間かかる（14〜23時）。
その後、すべての試験をそれぞれすりあわせて
1時間で速報解答をまとめる（23〜26時）
その後いろいろゴチャゴチャやって次の日には公開できるだろ？

講師は全部で6人いるとする

>>750
タダなのにそんなタイトなスケジュールでやらなきゃいかんのか
どこの慈善事業だよ

>>752
予備校の宣伝になるだろ。
タダ？バカ言っちゃいけない。
無料のランチは存在しないんだよ。

だいたい、速報なんてものは一番早い所以外はすべて糞なんだよ。
一番早いという事はそれだけで宣伝になる。

アイテック>タック>>>>>>>大原笑

最大のライバルのTACが24日って言った時点で
それまでに出せば良いってことになるからな

ITEC来てるよ

正答率はお察し()なんだっけ？w

ITEC通りなら合格したかもしれん

むう。iTECでは午後1問3設問2の対策でクッキー90日云々は出てこないな。
あれはIPAの用意したアングルだったか。

>>760
問題文に盗難紛失時は必ず連絡する
ってあるのに回答で念を押すってのはどうなんだろう
て思ったけど「P社貸与の」を見逃しとった・・・

速報どっか出てる？

>>762
>>695

>>759
落ちたくさい。
部分点とか別解に期待。あと、下駄！

>>763
thx

見た感じ
配点によるかなぁ

こう言う速報でダメダメで受かった人っている？

今回難易度高くないから下駄は無さそう
また1点足らずで不合格かなぁ・・・

何かここで出てきた回答そのまんまのがあったりするな

緩めに採点して
○ 5つ
△ 5つ
× 4つ

△の扱われ方次第で59点か60点か

>>769
中の人「ギクッ」

ああああぁぁぁぁっぁぁああぁぁぁ
二ヶ月もモンモンしなきゃならんのか

>>770
あーあたしもー！
部分点次第と別解で合否が決まる。

オワタ

初受験で難しかったわ。
とりあえず、12/20にまた合おう！
俺の不合格発表なわけだがｗ
何点行ったんだろ？半分の50点以上行ってれば、次回に向けての励みにはなるんだが。

なんか微妙な感じの解答が・・・
問3の設問1とか、自分の携帯電話メールアドレスを
指定して申請するっていうはまあいいとしても、
管理者が登録されている携帯にっていうのはもし
登録された携帯を落としてそれに気づくのが遅れた
場合に通知しちゃったらどうなるのとか考えてしまう。

GETリクエスト…ｵﾛﾛﾛ

午後２はまだ？

>>777
明日の予定。

>>778
あざす

>>774
俺もオワタ

回答みると、当たり前な事がそのまま書いてあるから、次回は問題をよく読んで、素直な気持ちで答えたい。

>>758
精度そんなに高くないってこと？

すっげえ微妙
二ヶ月悶々するしかないお

>>780
シンクロ率はいかほどでした？

問3設問3a
遠隔地にバックアップとれって書いたけど
ダメかな?

午後2（予定）貼っときます
ttp://www.itec.co.jp/siken/sokuho/2013a/pdf/2013aSCpm2.pdf

>>783
かなり厳し目にみて、
問2が4/9、問3が3/7
別解とか期待できるなら、
問2が7/9、問3が4/7

うーん…

>>785
また、今日くらいの時間に来るかな？

>>784
「遠隔地に」が今回の話題と無関係と判断されたら減点かなー？

つか、午後試験の記述問題って加点方式？減点方式？？

>>784
「想定シナリオが現実化してから実施すること」を踏まえると、サンカク？

そういう意味で、cに「情報を確認する」系を書くと、「実現すること」に関連が薄いからサンカクもしくは×？

うわ〜午後２採点してほしいのに午後１で死ぬなんて…

>>775
シンクロしなさい

午後1オワタ・・・んだが、午後1・午後2を共に採点していただきたい。
それぞれ何点取れたのかすげー気になるんだが。

>>788>>789
そうだよね
Cサービスのサーバがとまるような災害なら近くじゃ意味ないと思ってね

記入したの正確には
Cサービスのサーバから十分離れた場所にバックアップをとる
だったかも

災害なんて一言も言ってない(´・ω・`)

クッキーについて書いたら、部分点もなしかな…

どうかな？大問2と3を選択
問2
[設問1]
(1)別の端末に書きかえられる恐れがある
(2)イ
(3)スマホアプリがリバースエンジニアリングなどによって解析
[設問2]
アドレス帳データを送信前に友達選択できるようにする
[設問3]
(1)
�@パラメタ：YoyakuCode 内容：20131000071
�Aパラメタ：DateTime　内容：2013 10 16 20:17:14
(2)AuthKeyの値がDBサーバに保持してある予約詳細コードと一致しないときはエラー
問3
[設問1]
方法：仮パスワードの送付先を第三者宛てにする
対策：利用者IDと氏名で社員かどうか照合する
[設問2]
理由：同一アドレスが発行されるから
対策：別の新しい利用者IDを発行する。1つの利用者IDに対して1つのクッキーにして古いのは無効にする。
[設問3]
a：ファイルサーバに定期的にバックアップをとる
b：リモートアクセスを利用
c：データ移行方法

>>796
クッキー抜きにしても、6割ありそう。

>>797
そういってもらえると嬉しいよおおおおおおおおおおお！！

>>789
cは
想定シナリオが「１ヶ月後にサービス停止するよん、って急に通知される」だから
そのシナリオを見据えて事前に行っておくこととして
「近々サービスが停止しそうな雰囲気がないかどうか、Ｃ社の業務連絡、業績、プレスリリースなどを定期的に確認しておく」
という回答であっても、筋は通ってると思う

まあ題意的にはデータの移行が正答で間違いないだろうけど

そもそも常識的に考えて
クラウドサービスを契約する時点で、「今回の契約はxxxx年xx月xx日までの何ヶ月分」というのも決められているはず。

それをC社から一方的に「あと１ヶ月でサービス停止しま〜す」なんてのは、実際に起これば間違いなく契約違反だし、
あり得なさすぎて訴訟になるレベル。

俺も誰かに大丈夫って言ってもらいたい！

午後1
問2

設問1
1.端末識別番号は偽装できる特性があるから　→○
2.イ　→○
3.スマホアプリをリバースエンジニアリングし鍵を入手する手法　→○

設問2
スマートフォンのアドレス帳を参照し選択されたメールアドレスのみwebapに送る　→○

設問3
1.Authkey / Ｗ氏が取得したAuthkey　→????
???? YoyakuCode / W氏が取得したYoyakuCode　→○△
2.AuthkeyとYoyakuCodeの組み合わせがwebapの予約確認サービスで存在しない場合はエラーとする　→○

>>800
＞そもそも常識的に考えて
＞クラウドサービスを契約する時点で、「今回の契約はxxxx年xx月xx日までの何ヶ月分」というのも決められているはず。

初耳だわ。

>>800
契約の他社案件で重大なインシデント起こしちゃった、ﾃﾍ！
お宅が懸念抱いてるなら契約切ってもらってもいいっすよ。
つうか他に移ったら？　的な申し出が向こうからある場合も。

午後1
問3

設問1
手段 / 管理利用者に利用者ID登録の申請メールを送る　→△
対策 / 利用者に申請メールを送ったかどうかを電話確認する　→○

設問2
理由 / 同じ利用者IDに複数の認証クッキーを発行できるから　→X
対策 / 認証用のクッキーが発行された場合、過去に発行されたクッキーの期限属性を変更し、有効期限切れとして使用できないようにする　→X

設問3
a.社内のファイルサーバーへ定期的にCサービス上のファイルをバックアップする　→○
b.24時間以内にファイル共有サービスを復旧　→○
c.サービス提供状況に関する案内　→△

どうかな、だめかな…

>>800
訴訟になろうと、サービスが停止するのは変わらないから、
業務に支障が出るし、
そこまで見据えたリスク回避かなと見た。

あ、バケちゃった。Xです。
甘いかなあ？

自分で採点してますやん

>>807
一応、アイテックのを踏まえたよ。
都合のいい思い込みはあるw

問１ Web システムのクロスサイトスクリプティング対策

［設問１］
(1)パターン1：�A
　　パターン2：�A
　　パターン3：�A
　　パターン4：�B　　　　各3点x4 = 12点
(2) a：4　　　　　　　　　　3点
(3) b：18　　　　　　　　　2点
(4) リンク先のURLとしてhttp://やhttps://から始まる文字列だけを許可する。　　7点
　　[△ セミコロンに対するエスケープ処理を追加する、でも題意に矛盾しない？]　　(3点)
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　小計　24点
［設問２］
(1) c：17
　　d：24　　　　　　　　各2点x2 = 4点
(2) e：�A　　　　　　　　3点
(3) f：入力内容確認画面とエラー画面　　　　　　5点
　　[△ GETパラメタ及びポストパラメタ、でも題意に矛盾しない？]　(2点)
(4) g：escapeHTML　　3点
(5) h：26　　　　　　　　2点
(6) i：�C　　　　　　　　3点
(7) j：out.print("document.form1.loc.value"); 　　　　6点　　　　　　　　　　　　　小計　26点　　　　　合計50点

この試験、確かに国語力の試験やな。
他の区分の試験の解答見てたら、専門用語を使った記述が多いけど、
この試験の解答には殆ど専門用語が出てこない。

まぁ、問題文に載ってない専門用語を書かせるまくったら、
合格率がグッと下がるやろうなぁ。

>>810
前回の合格率高度の中でも最低だったぞ

>>800
会社つぶれた場合は仕方ないだろう

>>811
そうなんや。
前回は別の国家試験の勉強専念で受けんかったから知らんかったわ。
センター試験レベルの読解問題が出たのかしらw

クラウドサービスは、ビジネスで使う場合は期間指定で契約して前もって金払って、終了間際になって延長、延長、延長と繰り返していく
企業の機密情報や基幹情報を扱う場合もあるから当然セキュリティ云々も踏まえられる

こういう話題になるとファーストサーバーを思い出すわ

>>814
だから何？としか言いようがない

セキュスペはどうも、国語力の壁に阻まれて、知識や仕組みや理論の理解だけでは合格できんわorz
ネスペは一発で合格できたのに・・・
今回落ちてたら免除が切れちまうぜ・・・

>>800
何が本意かわからないけど、本問の前提にその契約条件はあがっていない。
本文から読み取れないことを前提にしたら減点、×採点のもとだよ。

国語力という言い訳を言い続けている以上、合格は難しいと思われる。

つか、ネスペに受かるんだったら、セキュスペも受からないか？

国語力無かったら、ネスペ受かってもセキュスペ落ちるんじゃねw

>>819
万年受験生のダボはほっとこうぜー

アイテックの予想解答見たが、問2設問3のYoyakuCodeの変更内容、ゼロが1つ足りなくね？

「下6桁の予約番号を推測して変更」はWさんの予約情報を見る方法ではなくて
一般論として他人の予約情報を盗み見る方法だから駄目なんだろうなあ…。
でもそれなら設問文は「パラメタの内容を答えよ」じゃなくて「パラメタの値を答えよ」にしてほしかった。

ITECは前回のAPの模範解答で壁レシピやらかしたところだぞ。
ITECの模範解答と自分のが同じか違うかで一喜一憂しても仕方ない

>>823
壁レシピってなんぞ？

今回で午前１切符が有効期限切れ
一年何も受けなかったのがもったいなかった…

てか午後１はマジで試験時間内にシンクロしきれない

>>823
壁レシピkwsk

>>822
意味が理解できてもシンクロしてないとダメとか実力を見る国家試験でどうなの？って感じだな…

壁レシピを知らんとはな。

料理教室の空いてる壁に料理のレシピを掲載することにより、ガスコンロの販売促進につながるという経営戦略の問題があったという伝説

>>828
そりゃ受けてない＋持ってる資格の回答速報なんて見ないわ。

http://matometyan.seesaa.net/article/359883547.html
ｸｿﾜﾛﾀ
どうしてこうなった？

>>822
0が1個足りないね

さっそく×じゃねーかｗ

ITECの解答速報見た

＼(^o^)／　オワタ

>>824
http://www.itec.co.jp/siken/sokuho/2013s/pdf/2013hAPpm.pdf

で、公式回答は？？？

まぁ俺は応用はプログラム選ぶだろうから関係ないなそれは

>>834
誤爆？？

iTECなんて外れだらけだぞw

>>835
壁レシピとプログラムは二択でどっちかじゃないの？
スレの流れ嫁ようんこ

>>837
で、応用持っていないベテラン受験生が何でここにいるんだよ

>>838
応用持ってるわ
俺のレスとシンクロしてくれよ、減点すんぞ

受かっても落ちてもデスペ行くか・・・
出題者とシンクロできんわ・・・

>>839
残念ながらシンクロ率2％だな

エンドレスNW-SCから抜け出しにきました

逆に、セキュリティもネットワークもデータベースも何もIT知識ないけど
国語力だけで前回合格点ギリギリまで肉薄した俺にとっては
これしか受けるものがない。

過去ログ

情報セキュリティスペシャリストPart65
ttp://desktop2ch.tv/lic/1371260768/


午後１を自己採点したがムリっぽい・・・

過去ログ見てると、自己採点が低くても合格している人もいるから少しだけ期待するか・・・
合格発表までは英語（ＴＯＥIC）の勉強に切り替えていく。

itecの解答みたけど、「午後�T-3 設問2 対策」は速効サプリ言うところの
モタモタしてるとやられるパターンだな

やっぱ速効サプリって有効な気がする

選択問題と記述問題とでは得点一緒なん？

もたもたしてるとやられる、もなにも
すでにやられていることが前提で、それが長時間続くことにたいしての問題なんですがそれは

>>846
むしろ何で一緒だと思ったんだよボンクラ

>>848
ふえー

いまさらですが、

午後1の問2だけど、IMEIは、7桁がメーカー、国を識別していて、残りがシリアルナンバー６桁、最後がチェックデジット。
チェックデジット計算式は公開されてるみたいなことを考えると、推測されやすい特性だからというのが正解じゃないかな。

＞対策：管理責任者が登録されている携帯電話番号に連絡する。

会社貸与のものはさておき、社員個人の携帯電話番号はどこに登録されているんだ？どっかに明記されてる？



＞対策：個人の携帯電話の盗難紛失時には必ず総務部に連絡することとし，管理責任者は当該IDの利用を速やかに停止し、アクセス履歴の確認を行う

「あれをやって、これもやって、さらにそれもやる」みたいなのがIPAの求める正答だとはとても思えない。
この文意だと「アクセス履歴の確認を行う」という部分は不要だろう。

この３要素に限定するなら、
「個人の携帯電話を紛失した場合も総務部に連絡することを義務付け、」「連絡があった際には当該IDをすぐに停止する」
「より積極的・日常的なアクセス確認を管理責任者に義務付け、」「不審なログが観測された際には当該IDをすぐに停止する」
のどちらかにするべき。

もっとも、「個人の携帯電話を紛失したときに企業に連絡することを義務付ける」というルールは現実的ではないと思うけどな。

あと、問3の本人認証については、よく読むと携帯電話の認証について書かれてるから、本人認証は、
先に配布されているPCで利用している利用者IDを確認するだと思う。
管理者は、利用者IDを管理しているって明示的にかいてあるし。携帯にかけ直すのが
有効なのは、会社から貸与されている社員だけだし。個人携帯電話番号まで管理されてるとは
どこにもかいてない。

itec解答みたが、（解答の信憑性はともかく）限りなくボーダーっぽい。。。
まあ何にせよ、待つしかないんだが。。。

>>852

同意。

表１に「会社が利用者に付与したメールアドレス」とあり、従来から「利用者のメール
アドレスに送信したワンタイムパスワードも入力する方式…が用意されている」とある
から、これに準じて仮パスワードは「会社が利用者に付与したメールアドレス」に
送るってのが自然だと思うよ。

従来から「利用者のメールアドレスに送信したワンタイムパスワードも入力する方式」
があるっていう情報がわざわざ書いてあるのは、設問１への伏線としか思えない。

午前１：免除
午前２：20/25
午後１：微妙
午後２：余裕

午後１次第なのはみんな同じか。。。

itecの回答を見ると7割っぽいんだが・・・
2chの英知だとボーダーなのに。
さて、どうしたものか。

午後IIの問2でIMEI偽装可・root化で鍵流出で行っちゃったからどこまで部分点もらえるかで勝負が分かれる。

＞理由：クッキーの有効期間中は追加認証が行われないから。
＞対策：個人の携帯電話の盗難紛失時には必ず総務部に連絡することとし，管理責任者は
　　　　　当該IDの利用を速やかに停止し、アクセス履歴の確認を行う。

そもそもこれ、理由と対策が微妙に繋がってないと思うんやけど・・・

5回目にして受かったかも。
ITECさん信じてます。

しかし、5回も受けてる時点で向いてないのかもと思ってしまう。

>>859
俺3回目だ。心配するな
去年秋に午後�U57点で落とされた。

IMEI偽装可はダメなの？
俺もそれでいったんだけど

itecは、講評に「クッキーの知識がないと難しい（ｷﾘｯ」とか言ってるくせに、
答えがほとんどクッキーと関係ないってどういうことなんだよ

今回コードが午後1だったのが意表を突かれたな。
なんでITドカタの俺が受験するときに限って午後1に出るんだよ

>>854

それが自然だとは思うけれど、そうなると携帯電話云々の話がぜんぶなかったことになって、問題全体が破綻しちゃうんだよねえ
実際それでも業務的にはまったく問題ないのだから、間違いだとは思わないけどさ

だからそういう意味で、
「ワンタイムパスワードは指定の携帯電話メールアドレスに送り、その旨（ログ）を利用者IDのメールアドレスに別途送る」
みたいにしておくのがベターのような気がする。

Javaのロジック内でHTMLソースを生成して、そのまま出力するっていう糞仕様の時点でやる気なくなるんだが
もしかしてこんな仕様のアプリが、いまだにうじょうじょいるのか？

セキュスペに限らずだろうけど
問題を見て、解答とその解説も思い浮かぶ様になったら
合格は近いのかなと思う

>>864

携帯メールの新規利用登録なんだから（そのユーザは今まで業務に携帯メールを
使ってなかったんだから）、入り口の仮パスワードは携帯メール以外に送るってので
何の不自然も無いと思うぞ。

>>862
ｸｿﾜﾛﾀ

〉〉867
不正申請者は、自分のメアドだけを申請してくるから、管理者は、社内の誰なのか分からないよ。
だから、PCで利用しているIDを確認するがベストかと。

午後�T-2のIPAの講評はこんな感じだろうな。
C課長が女性である可能性を考慮し、BさんがC課長に対して、好意を持っている点を指摘してほしかった。

>>869
利用者ID＝会社付与のメールアドレスだから、これについての偽装は不可能だろ

登録申請自体は利用者ID以外のメールアドレスからでも行えるっぽいな
その時点でどうかしてるな

>>870
2番煎じのネタはもういいから

MさんLさんがあの兄弟に思えて仕方なかった

SCの午後問題は答えに客観性がなくて、もうコリゴリだわ。
来年の春はデスペにするつもり。あっちはSCみたいなことないみたいだし。

>>860
前回午後2で58点だった。
ほんとショックだよね。

高度にいた女神が忘れられない@福岡

合格発表12月20日
　／'i;ii;ii;ii;ii;i: .: .: .し: .: .: . J: .: .＼　　　　　 　 　 ||::　|
　'i;ii;ii;ii;ii;ii;i;:: .: . : .,ｨZＺ;;ﾌ: .: . ヽｴヽ　　　　　　　.||::　|　ヒッ　ﾋｯ　ヒッ　ﾋｯ　ﾋｯ
　'i;ii;ii;ii;ii;i;:: .: .: . ": ._;_;_;..::::: .: . /二ヾ　　 　 　 　||::　|
　'i;ii;ii;ii;ii;ii;i : .j : . : .ｨ､◎ヾ::::.:.:.（<◎ !　 　 　 　 .||::　|　　ヒッ　ﾋｯ　ﾋｯ　ヒッ　ﾋｯ　ﾋｯ　ﾋ
　'i;ii;ii;ii;ii;ii;i: .: .: . /::::::￣ノ :::::.:.: .＼"{　　 　 　 　||::　|
　i;ii;ii;ii;ii;ii;i: .: .: .: .: .: .-'': . /: .,,,,,_:::_,ヽ､ 　 　 　 . ||::　|　　　　ヒッ　ﾋｯ　ﾋｯ　ヒッ　ﾋｯ
　i;i/⌒ヽ: .:::::::.: .J: .: .: .: . ヽ::｀“::Ｔ“'::.:ｉ　　　 　　||::　|
　;:{ i: .ﾊ: .: .: .j: .: .: .: .: . /::::: _;;.-‐ー､ | 　 　 　 . ||::　| 　　 　　　　　　も、もう持ってられない・・・
　;:ヾ: .ｰ: .: .: .: .: .: .: .: .: .: ／_,ｨｪｪｪァ､ﾞ!　　　　　.||::　|
　ヽi;ii;ii;i_ﾉ: .: .: .: .: .Ｊ: . : .｀ｰ-┴┴┴ｲ　　 　 　 ||::　|
　: .ヽi;i;:i: .: .::::::::.: .: .: .: .: .: ..:::｀ー---' !　　 　 　 ||::　|
　: .: .ヽ;:i: .ヽ:::::::::..: .: .: .: .j : .: .": .: . ヽ{ 　 　 　 . ||::　|

>>872
その「どうかしてる」点を埋めていくのがセキュリティの第一歩で

ええぇ
この試験って五回とか受けないと受からないの？？？
やべーな…

>>880
午後1突破した人は、午後2は50%ぐらいの確率で合格してる
午後2が永遠に解けない人は、国語のテストで引っかかってるんだろう

>>880

人による。

俺はIT職経験なしで今回初受験だけど多分合格してる。午前2は100点だった。

午前２とかどうでもいいわｗ
午後だけこの試験は

午後の点数は成績発表まで何とも分からんなぁ

午前で落ちてる奴ってそもそも勉強してないだろ。
高度は午後が本当の試験。
午前はまじでなんであるのかね。なくても合格率変わらない気がする。

午前は過去問やってれば普通に突破できる
でも100点は偉いと思います！

俺もSCのベテランになりそうｗ
もう４回目で午前１免除がなくなるのが痛い

ただ、解答の具体性の指標がなく、
予備校でさえ解答が大振れなのは勘弁してほしいな

そんでもって超遅出し大本営発表で偉そうに講評するんだもの

>>885
勉強してない人をふるいにかけるためでしょ
午前は勉強しなきゃ難しいけど午後は勉強しなくても行けるひとは行ける

IMEIの件、解答例「本人しか知り得ない情報ではないこと」ってのが、しっくりこない。
別の端末で使えてサービスの不正利用が可能かもと課長が言ってるのを踏まえると、なんか違和感ある。

高度共通作って、午後2を過去問使い回しし過ぎなのは午後2の存在価値を疑う
午後2の突破率80%近いし、勉強してない奴を振るい落とすにしてもレベル低すぎ

シンクロ率上げるには過去問解くのとIPAの講評読むのだけでいい気がする。

>>890
半分新作だったら、意味あるかもね。
せめて4959とテンペストは変えろよ。

いつも午前終わったあとって、過去問でまくりじゃん！！って言う奴
いるけど、そんなの常識なんだけどね

全く同じ過去問（解答の順番さえも同じ）が結構な数出るのはいつも
のこと。それを通らないってのは勉強してないだけ。

ぶっちゃけ午前2は10分で終わるからな
今回まともに問題読んだの5問くらいだわ
そんで午後1で撃沈。いつものことやね

>>893
午前一、やばかったです。
読み始めてすぐ、ふぁ！？☆ってなりました。
結果的にはパスしてましたけど。

>>893
久しぶりに受けたもんでｗ
過去問も過去3回分しかしてなかったけど、3回前のはかなり重複してた気がする

IMEIは変更不可な点でしょ

>>895
俺も俺もｗ
午前1はふぁ！ってなって
午後2はこれ昨日やったのだな…ってのがいっぱいで笑えたｗ

>>893
「”いつも”？？？〜〜〜常識なんだけどね」
早く卒業しろよ長老ｗｗ

午後１問３設問１は氏名や利用者IDをもとに総務部に問い合わせるだと思うんだけどなぁ
あのシステムって申請メールだせば誰でも仮パス発行してもらえそうだし
電話で連絡しても社員かどうかわからんだろうに

せっかく午前分けてるんだから、午前2は100%SC絡みの問題にして欲しい

問題文にもスマホスマホって出てくるけど
もうスマホって略語は、普通に使っていいものなの？ｗ
この試験外でも

>>902
いんじゃない

それより、jailbreakとrootのが気になるｗ
明らかにAndroidとiphoneのことだよね

登録申請のときに氏名を告げてるから、
その氏名の社員の自宅住所に送付するって書いたんだけどダメなんかな

このスレ見るだけでも、色んな良さげな回答があるけど
実際に採点するやつは大変だな…。
バイトでも分かるような採点手順を作ってるのか、それなりに知識ある人がやってるのか
どうなんでしょ？

>>889
こいつは納得したよ。
ショルダーハックでもなんでも、盗聴すれば、
OPERAとかで偽装できまくりだしね。

記号問題間違ったのがいてぇ
午前２やり過ぎたせいで、反射的にSHA-256を選んでしまった…
ちくしょちくしょ

だめもとでここに解答どんどん書いていけばそれが模範解答になったりするのかのぅ

>>900
メール本文に、電話番号載ってないから、コールバックで本人確認するのは有効じゃない？

解答書くよりも、問題文の作り手を攻めるような書き込みの方がなんか効果ありそうな・・・
これおかしいだろ的なやつの方が・・・

>>907
それであれば、偽装できるのが特性かなって思うんだけど。

>872
まあ社内侵入されて不正送信てきなものじゃなきゃ社外から
送信元不正とかメールサーバ糞すぎだな

漏れはセキュスペ的に
「申請時のメールに本人確認のため電子署名させる」
としたよ
IPAは知らないが拠点がバラけてるかもしれないのに本人に来させるとか
出張し放題だな

IPAさんって実務経験なくても就職出来るの？

SCほど解答が発散する試験は無いと思う。

>>908
俺もそこ引っ掛かったわｗ
午後の過去問でSHA-256を選ばせる記号問題は2回ほど出てたし、
ハッシュ関数→SHA-256や！と脊髄反射で「エ」にしてしまったが、
よく見ると“鍵付き”ハッシュ関数なんだよな。

>>902
> 問題文にもスマホスマホって出てくるけど
完全に定着してるでしょ
スマフォって言う奴はキモイ

>>916
俺もハッシュってのでSHA-256と一瞬思ったが、鍵付きってなんじゃ？って事で
多分違うな。。イかウだな。。って感じで、イを選んだはず。

時間ギリギリでエ SHA-256に書き換えてしまったかも。。。

HMACはﾊｯｼｭなﾒｯｾｰｼﾞｵｰｾﾝﾃｨｹｰｼｮﾝｺｰﾄﾞの略だよねーしか覚えてなかった

>>917
だからそういうキモイ人もいるのに、国家試験がスマホってことは
もうスマホなんだな〜とｗ

SHA-256が選択肢にあった問2を反射的に選んでしまいそうになったが、
端末識別番号の特性とかっていう意味わからんものが１番目に来たので問2を回避
結果、SHA-256の騙しは回避できたけど、問1の問題文読み間違えて、結局不合格決定・・・

午後1でやられたわ

でも、午後2何点だったか気になるー

午後�Tの問２のスマホ問題は、なんか、スマホをテーマにしてる割に
スマホ関係ねーじゃんと思ってたが、itecの回答みて納得。

スマホアプリはPCアプリと違って
ストアから入手できてしまうから
入手してから鍵が解析がされてしまうということか

そういえば、ストアからダウンロードできるだの問題文に
書いてあった気がしたよ

>>922
気になるよねー

俺　午前２を１０分で解かなきゃだったけど

午後はかなり自身あるんだよな。

>>924
またおまえかｗ国士舘君

セキュスペ受ける方は、やはり情報セキュリティ会社にお勤めの方が多いんですか？
それとも、ネットワーク系？

業務はただのWebアプリ保守だよ
ぶっちゃけ、FW含むNW設定とかマルウェア対策とかを業務で考えたことは１度もないわ
セキュアプログラミングしか実務に沿ってない
そのプログラミングも、実際の業務とはかけ離れた内容のソースばっか出されるけど

午前２が12だった。。。
見直しで直した回答全部間違ってた。

>>928
午前2は過去問やるだけでいけるのに…
午前1も応用抜けた人は過去問やるだけだろうけどね

>>926
農家です

>>926
IT土方です

ニート ヒモです。

>926
インフラのse
アプリ部分除くと一応本流かな

仕事で使うからほとんど勉強してないよ

>>928
えっと、過去問流用がたしか13問あったのですがｗｗｗｗ

過去問から13しかなかったのか
その割に解けたな…

今回試験会場に時計なかったから昼休みにコンビニで安い時計買ったんだが
来年腕時計とかの扱いどうするんだろうな　
iWatchとかGalaxy Gearとか

>>926
俺ネットワーク系に行きたくてソフトハウスやめた後、結局会社勤めはせずに
紆余曲折で地方公務員になっっちゃった。

情報セキュリティは業務やる人はどちらかと言うと少数派じゃないかな。
ラックとかにそういう系の会社ならともかくだけど、そういう会社自体が少ないし。
俺はソフトウェア会社だけど、手当狙い。
FE2000円、AP5000円、高度スペシャリスト系8000円、高度論文系10000円が毎月支給されることになってる。
SC受かったら、次はSM取りたいな。

>>938
APだけ取っても、7000円にはならないの？

ネットで問い合わせしたときの、画面切り替わる瞬間こえーな…

あ。
午後2は12問じゃなくて、14問正確だった。
どっちにしてもダメじゃん。。。

俺がいた会社は　２種で毎月５千円　１種で毎月１万円の手当て　その後は１個取る毎に１０万円もらえる。

俺は、会社辞めてから取ったのでもらえなかったが。

>>939
それはないよ。
最高額のが適用になってるから。
FE、AP持ってても、APだけ持ってても5000円。
一応高度については2個目からは2000円ずつ追加される。(上限20000円迄)
でも上限目指すとなると、どうやっても高度6個取らないといけないから辛いものがある。

>>942
美味しい会社だな

>>944
残業手当は　深夜でも休日でも偉くなっても一律　１０００円/時　だったけどな。

基本給アップは美味しいな
うちは一時金だわ
スペ系論文系共に10万
あと管理職になるのに高度持ち前提

TAC 「２ｃｈで叩かれるのが怖いから、解答速報出すの止めようかな・・・」

出題者の意図を深読みするより、一般論で簡潔な解答をする方がいいのでは？
ドラゴン桜で東大受験の英作文も文法の間違いさえなければ中学英語で充分だととかなんだか

>>856
どうするも何もない
黙って合格発表を待ってろ

>>865
それは思ったw

TACさんはアイテックの速報見て修正中

フルボッコになったitecを見て出したくなくて出したくなくて震えてるのね、TAC

ボコボコにしてやんよ

>>948
素直に解釈といっても問題文の見落としや勘違いがないかチェックしてると
色々出てくるから頭が痛くなる

素直に解釈してもいくつか答えが浮かんだり

nttデータかよ。身ばれ乙としかいいようがない。

データ様でもこんな資格必要なんだ

>>936
時計機能のみの時計と明記

大企業こそ資格の数でうちの会社はすごいアピールする必要があるんじゃね
入札とかにも響くだろ

tacと答えが違う可能性もあるの？？

>>954
午後問題のパターンA
真っ当な会社のパターン
会社規模、業種など
システム構成やセキュリティ対策など
インシデント発生！
セキュリティ会社に連絡
専門家の分析&#10145;原因は、××です
対策するには、○○がいいのでは？

このパターンなら答えやすい

>>872
あぁ、そいや俺はそこを突いた回答したな
方法が「偽の利用者ID登録の申請メールを作成し、送信する」で
対策が「利用者IDがP社に実在するメールアドレスか確認する」
だったかな

うちはIT系じゃなくてメーカーだからでかくても情報系資格ではなにもでないわ。受かっても受験料の半分が補助されるだけという。。

答えにくいパターン

あかんやろ！パターン
インシデント発生したのに自分でなんとかする&#10145;報告遅れる、いらんことする
あっちゃ〜
問で何が悪かった？
あれもこれもあかんやろ！
なんでこんな奴採用したんだよ
会社としての教育が出来てないやん
と色んなツッコミが考えられる

答えにくいパターン

どうするんがえーのん？
インシデントが起こる前に対策を答えるパターン
遠隔地保管
セキュリティ対策
社員教育
ホスティングサービスへ丸投げ
会社規模などにもよるが、大手の方が選択肢が多く考えられる

>>958
いや中小零細企業ほど大企業に資材として派遣するために資格取得数を誇る傾向にある。

インシデントが発生
N部長「原因は、Aだな」

部長の言ったAを15文字以内で答えよ
1君が無能だからだな
2当社のセキュリティ対策に不備があった
3セキュリティ対策に対しての過信
4クロスサイトスプリクティングだな

この場合2と4は、×
あと、最もらしくないので1も×
4は、内容があってれば○

違った、3は、内容があってたら○

>>966
ちょっと理解できないから説明しろ

N部長「原因は、外部業者だな。俺の責任になるような原因とか、あってはならないから、そこ分かってるよな。」

スマホアプリをコード解析するって答えあるけど、そんな簡単に出来るのか？

逆アセンブルして解析って書いたわ…
微妙だな

リバースエンジニアリングって書いたけど、いいかな？

>>968
2と4は、単純に15文字超えてる
1なんて普通は、試験で聞かないだろ？
3は、インシデントの原因として、他の要因があったとしても、それが過信からきたものであれば間違いだとは言い切れないのでは？
満点の解答では無いが間違いでは無いので部分点若しくは、正解として扱ってくれるんじゃないかな

>>969
犯人を見つけて、倍返しだ！

デコンパイルしないと解析無理じゃない？
バイナリデータみて解析するなんて普通しないし。

>>975
え、俺、ゲームの簡単なチートなら生バイナリ見て解析しちゃう
メモリ見ながらマッチングとかやるなら生バイナリだね。

Warrockのチートやってたお陰でセキュリティの知識付きましたｗ

>>976
やっぱり生が最高ってことですね

次スレ
情報セキュリティスペシャリスト 70
http://ikura.2ch.net/test/read.cgi/lic/1382491493/

加工品しか食えない奴とは胃の出来が違うぜ

>>978
無菌の生なら美味しくいただきます

なんか菌に感染しそうなのは生ではカンベン

>>971

俺もまったく同じこと書いたけど、微妙どころかズバリ正解だと思ってるよ

>>973
4「だな」が重複してるだろ

>>982
解析∋逆アセンブルだけど、解析≡逆アセンブルじゃないだろ。
だからハズレだよ。

リバースエンジニアリングって書けば解析してチートする所までを含める事ができる

あー自分もSHA-256にひっかかったー

まあコレしか知らなかったんだしそれは単に間違えただけなのか

>>983
そうだなだな

>>984
言ってる事はもっともなんだけど
逆コンパイルしてからやった方が楽だし
個人的には解析する場合のやり方としては一般的だと思ってる。

↓のどれかになるんじゃないの。

1.逆コンパイルするって書いてない=減点
2.〃 書いてる=細かく指定し過ぎって事で減点
3.言いたいことは合ってる=正解

採点者のみぞ知る。

解析とかワロタ
別解は？

>>988
逆コンパイルは作った人がどんなコンパイラを使ったかわからないとできないし、
鉄板ツールみたいなのも存在しない。
ちなみに逆アセンブルと逆コンパイルは意味が違う。

セクションをパックして暗号化している場合は逆アセンブル自体が通らないから、
地道に生バイナリをヘッダから順に解析していかなきゃいけないんだよ。

ヘッダの解析ツールは存在するけど、それは逆アセンブルではない。

まあ、基本的にアプリのヘッダ解析ぐらいならバイナリエディタがあればできるけどね。
ヘッダ解析して、パック方式を解析して、メモリに展開、そしてそれをコピー。
んで、それを逆アセンブルっていう手数が必要。
どんなアプリでもいきなり逆アセンブルができるとは限らんわけよ。

リバースエンジニアリングと比較すると
手段をあまりにも限定しすぎてるな

>>990
解析はあんまり詳しくないけど
モジュールを暗号化できるなら、解析するって手法自体無理なんじゃないの？
それとも暗号化されててもバイナリ見るやり方だと解析できる？

>>994
できる場合もあるしできない場合もある。

リバースエンジニアリング対策方法はいっぱいあるから、
一概にどうすればできるかというのは、モノを見てみないとわからない。
逆汗が通らない一例を上に書いただけ。

>>995
出来ないこともあるっていうなら、そういうふうにアプリ作れば良くて、
答え変わってこないか？

午後解答まだ？？
アイテック遅れ気味だな

まあ、暗号化されていれば復号化が必要になるわけで、
本体セクションとパック実行セクションが分かれていて
パック実行セクションにキーが埋め込まれているケースが多いんじゃない？

>>997
問題の例では、キーがアプリに埋め込まれているから、
アプリがメモリに展開された時点でキーがゲットできちゃうね。

このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。