「ん~、知らない人は今まで損してたってこと?」 はい、今まで普通に利用していた人は損してます。今回「無料でさら…

【SC】情報処理安全確保支援士試験Part115

1名無し検定1級さん2017-10-18 19:38:44

国家資格「情報処理安全確保支援士」

情報処理技術者試験センター

情報処理推進機構(IPA)の「情報処理技術者試験」「情報処理安全確保支援士試験」ページです。

関連スレ

【RISS】情報処理安全確保支援士 Part16

前スレ

【SC】情報処理安全確保支援士試験 Part114

5名無し検定1級さん2017-10-19 08:29:31

今回は国語問題以前に、視点によって解釈が分かれそうな問題が多かった気がする。

○○の立場で答えよ、みたいなのが設問の中にあれば、出題者の意図を間違えないんだけどなあ。

28名無し検定1級さん2017-10-19 19:17:48

前スレでも言われてるけど、ポートスキャンの問題は開いている場合、閉じている

場合「全て」あげろとあるから、流石に一個ずつのみってことはないだろう。

開いている SYN/ACK

閉じている RST/ACK

これがまず常識だけど、実装によってはそもそもパケットを無視する場合も

ありえるから(パーソナルFWが介入してるとか)、開いているが カ、

閉じているがエ、ク が正解だと思う。

33名無し検定1級さん2017-10-19 19:53:27

>>28

俺もそうだと思って、エとクにした。

UDPだとクだけなんだけど、TCPでも途中で引っ掛かって応答がないときもあるし。

前スレでRSTだって言っていた人がいたけど、どうなんでしょう?

38名無し検定1級さん2017-10-19 20:32:18

>>33

RSTのみの実装もある RFCとかで規定があるんかいな?

55(*´∀`)2017-10-19 22:42:08

Webサーバ-Zアプリ-Zカメラで、使っている共通鍵なんだけど、

管理用モバイル端末にもブラウザがあると予想し、ブラウザでも動画の復号できたら管理しやすいと思ったw。

57(*´∀`)2017-10-19 22:56:56

共通鍵生成=Webサーバ

HTTPSだから暗号化もWebサーバ。すると動画は暗号されたまま大容量ストレージ保存。

復号化はZアプリ。

共有はHTTPSの共通鍵の受け渡しを利用する。

これがスッキーリ(*´∀`)

59名無し検定1級さん2017-10-19 23:07:15

>>57

わざわざ問題文に、「内部者のうち、特にZクラウドの管理者に見られないことを重視した場合」と

書いてあることからして、それはないと思うんだけどな。

61名無し検定1級さん2017-10-19 23:24:01

>>59

うちの会社でいうクラウド管理者は、

サーバとか仮想ネットワーク作るぐらいの権限なんだけど

Zクラウドの管理者はOSログインどころか

Webのコンテンツも書き換えれる権限をもってる。

権限持ちすぎ

82(*´∀`)2017-10-20 08:19:06

>>59

Webサーバの管理は完璧。作業ログあるし、動画暗号化をWebサーバで行うからHTTPで十分。

63名無し検定1級さん2017-10-19 23:59:05

結局管理端末を認証する方法はクライアント証明書なのか

そう書いた俺でもUUIDだと思ってたんだが

78名無し検定1級さん2017-10-20 08:04:54

ボーダーギリのやつは必死だからなw

結果59点というオチ

85名無し検定1級さん2017-10-20 08:51:48

>>82

「Webサーバの管理は完璧」って、どこかに書いてある?

86名無し検定1級さん2017-10-20 08:56:20

>>85

バカに触れちゃダメ

92(*´∀`)2017-10-20 15:53:34

>>85

2ページの図1の注記3により、作業はログに記録してるから人的に動画閲覧はムリ。

通信相手は、

[WebアプリケーションサーバはHTTP] - [Webサーバ] - [インターネットはHTTPS]

だから、Webサーバが動画を暗号化すれば、動画は誰も見れない。

93(*´∀`)2017-10-20 15:56:56

>>92

カメラ転売、複数起動してるZアプリを考慮すると、

HTTPSの標準機能である「共通鍵の受け渡し」で十分だと思う。

Webサーバにはその機能が標準であるでしょ(*´∀`)

95名無し検定1級さん2017-10-20 17:13:08

>>93

何も知らないなら黙ってろよ

96名無し検定1級さん2017-10-20 18:11:12

>>93

こいつさっきから問題に対する妄想がひどすぎ

98名無し検定1級さん2017-10-20 19:32:21

そういえばカメラの転売って話もあったな

転売を考えるならカメラに鍵を持たせるのはそもそも不味い

APサーバ別立てなのにWebサーバで暗号化するなんて実装はありえないから、

鍵の生成と暗号化はWebAPサーバ、複合はZアプリ、という線も考えられる。

しかし鍵がユーザにしか渡らない方法が思いつかない。

どの答えもどこかが矛盾してる。

102名無し検定1級さん2017-10-20 20:05:53

>>98

カメラが他利用者IDに再登録されたら、

カメラに鍵再生成の命令送ればいいだけでしょ。

パスコード再発行はカスタマセンタ連絡だから

そのタイミングでもいいし。

既存の動画データは、アプリに鍵コピった後なので

復号できるし、最悪、動画はダウンロード機能つかって

別保存してもらえばいい。

106名無し検定1級さん2017-10-20 20:58:08

>>102

いや、鍵が再生成される前にカメラから鍵を抜き取られる可能性があるからダメじゃね?

・・・ここまで書いてて思ったけど、そもそも監視システムの鍵を監視カメラに置くってダメじゃね?

カメラ盗まれたら鍵も盗まれるわけだし。

やっぱりカメラで暗号化は×の気がしてきた(そして俺は落ちる)

103名無し検定1級さん2017-10-20 20:08:53

いろいろもろもろ考えたうえで最大公約数的に最適な解を出すと、

鍵生成:DBサーバ

暗号化:WebAPサーバ

復号:Webサーバ

これだろ。説明はできないがね。

108名無し検定1級さん2017-10-20 21:04:57

>>103

共通鍵生成はクラウド外。それだけは確定だよ。

109名無し検定1級さん2017-10-20 21:05:24

>>106

カメラから鍵とられても、利用者IDとパスワード、

もしくはアプリのUUIDがないと動画データにアクセスできないから大丈夫だよ。

Zクラウド管理者はすでに動画データに

アクセスできる状態だから対策が必要なだけ。

115名無し検定1級さん2017-10-20 23:17:49

>>108

クラウド管理者はDBサーバにはアクセスできないと仮定すればどうだろう。

アクセスできないといけない理由はないしー

110名無し検定1級さん2017-10-20 21:14:17

>>109

言われてみりゃそうだな

149名無し検定1級さん2017-10-21 11:17:59

>>115

それってDBサーバを誰も管理してない、って仮定にならない?

132 2017-10-21 06:54:44

これが正解だろうな。

(10)共通鍵の生成= Webサーバ

動画の暗号化= Webサーバ (理由はWebアプリケーションサーバ間がHTTPだから)

動画の復号化= Zアプリ

共通鍵の安全な共有方法= 鍵にデジタル署名をWebサーバが付与

138名無し検定1級さん2017-10-21 08:42:39

>>132

デジタル署名は暗号化を意味しないからワンチャンないぞ

仮にクラウド側で暗号化するとしてもWebサーバとAPサーバ別立てなのに

Webサーバで暗号化するってのはありえんと思うけどなぁ。どうやって実装するんだろ。

WebAPサーバのほうがなんぼか可能性あるんじゃない?

146 2017-10-21 10:59:54

>>138

暗号化が必要なのはHTTPの部分だけ。

150名無し検定1級さん2017-10-21 11:24:45

>>146

何言ってるかわかんないけどデジタル署名は完全に的外れで出てくる余地ないよ

>>57と同じ人?経路の暗号化とファイルの暗号化を混同しているし、完全にずれてるよ。

ていうか午後1まで合格してる自信あるの?

153名無し検定1級さん2017-10-21 11:49:59

>>149

他にDB管理者がいる。

・クラウド管理者はインターネット経由で運用管理している

・インターネットからWebサーバへの接続は、HTTPSだけが許可されている

・DMZから内部ネットワークへはWeb-WebAPのHTTPだけが許可されている

・Webサーバのコンテンツ、WebAPサーバのプログラムの変更は、クラウド管理者だけが実施できる

上3つを素直に読めば、クラウド管理者はDBサーバ含めて内部ネットワークには直接アクセスできない。

4つ目が、DBサーバが管轄外であることを示唆している。

158 2017-10-21 14:29:19

>>153

WebDAVでDBはメンテしてるんだってw

166名無し検定1級さん2017-10-21 15:12:51

>>158

ばーーーーーーか

177 2017-10-21 22:24:24

午後2は40〜50点で落ちてるだろうなぁ。午後1は合格してると思う

178名無し検定1級さん2017-10-21 22:29:42

>>177

また落ちるの?これで何回目ですか?

179 2017-10-21 22:58:04

>>178

4回目。

190名無し検定1級さん2017-10-22 20:07:31

合格教本にリバースブルートフォース攻撃が記載されてなかったことを少し根に持っている

他の参考書に載っていたかは知らんが

203 2017-10-23 17:23:52

>>190

普通、Googleで他の攻撃は?とかおもって検索してみるだろw

その辺りが自分で行動できる人と、指示されないと動けない人の違いだろう

204名無し検定1級さん2017-10-23 17:34:00

>>203

でもお前また落ちるんだろ?

205 2017-10-23 19:17:42

>>204

請負ってるから製造責任はデフォルトで発生してるから、あえて同じ意味の脆弱性の改修を契約に入れなくてもいいか、

と思って、秘密保持契約すると書いてしまった

多分落ちる。

206 2017-10-23 19:23:02

>>205

訂正。 委託と問題中に書いてあった。 じゃぁ、回答は請負契約にする。が正解。

225(*´∀`)2017-10-24 15:55:48

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_sg_pm_qs.pdf

午後問題の解答が出てるぞ。

226(*´∀`)2017-10-24 16:26:58

>>225

時間制限もつけて解いてみると、SGなのに落ちる。80点と58点。

229名無し検定1級さん2017-10-24 18:19:14

>>226

お前はIパスから頑張れや

237(*´∀`)2017-10-25 07:39:07

>>229

暗記してない事や、関心が薄い事が分かる。 2か月後、再テストして点検する。

点数を数えるのが手間なのでExcelにした。

231名無し検定1級さん2017-10-24 21:04:46

>>230

標的型攻撃じゃね

241(*´∀`)2017-10-25 17:40:42

>>237

メモだけではない。 マクロ使って採点するのも楽なんだよ。

247(*´∀`)2017-10-25 19:50:20

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_sg_pm_qs.pdf

問1を見てると、Windows BitLockerが良いぞ〜って思えてくる。

255(*´∀`)2017-10-26 13:13:39

>>247

> 一人、偏差値35でもSC合格したとか書いてるけど、願望だろ?

256名無し検定1級さん2017-10-26 19:03:36

>>255

我輩は30だが何か?

293名無し検定1級さん2017-10-31 09:09:03

明日からPMの学習に移ります。

とりあえずPMBOK2017年版を買ってきた

295(*´∀`)2017-10-31 14:15:34

>>293

21ページ d はDELETEだろうなぁ。回答欄の記号dがヒントのラッキー問題。

これ以上書くとスレチになるので、終わりにしておこうか。

講評:計測値をユーザーが削除する等と読み間違えないようにしたい。

306名無し検定1級さん2017-10-31 23:00:08

/∧     /∧

/ / λ   / /λ

/  / /λ /  / /λ

/   / / /λ   / / /λ

/         ‾‾     \

/     /‾\     /‾\\

/      |   ●|     |   ●|  ヽ

|       し‾ヽJ     し ‾ヽJ   |

|             ’"""         |

|   """"   T"     |   T """ |  ぷっ これで落ちたからって顔文字(*´∀`)虐めるのはやめてあげてよ*^o^*

|   """"    |      ノ    |  """ |

\        丶 ___人___ノ    /

\_        ヽ—/   __/

/         ‾ ヽヽ   \

ワカヤマン「早くキッカケでもつかめるといいね!ファイト*^o^*」

340 :名無し検定1級さん:2012/08/19(日) 22:07:56.06

結局まだ1時間しか勉強してないっす

今から集中して頑張ります。

このスレで野球?の話してる人って田舎の暴走族みたいで不憫

大人に成長するまでは、ストレス発散大変だよね

早くキッカケでもつかめるといいね!ファイト*^o^*

307名無し検定1級さん2017-10-31 23:07:33

>>306

バカヤマ君ちゃんとレス読んでるんだ

ワロタ

308名無し検定1級さん2017-10-31 23:17:15

>>307

ゴミファイト和歌山さん不合格ざまぁあ

早くキッカケでもつかめるといいねファイーーーーーーイト(ワラワラ

316名無し検定1級さん2017-11-01 19:38:04

>>308

ワカヤマン、イライラしないで。

326名無し検定1級さん2017-11-02 18:21:22

支援士の集合講習を受けてきた。

丸一日ディスカッションで疲れた。

なんか質問ある?

328名無し検定1級さん2017-11-02 20:21:22

>>326

男女割合教えてください

333名無し検定1級さん2017-11-03 09:14:55

>>326

女子のパンチラ・胸チラは堪能出来たかい?

ゲヘヘヘ…うまそうだな。

327名無し検定1級さん2017-11-02 18:42:06

集合研修、お金に見合う価値あるんですか……?

3363242017-11-03 18:45:55

>>327

午前は最新セキュリティの知識の習得

午後は午後1レベルの問題を2問説いて、チーム別にブレーンストーミング型でディスカッションし、模造紙に記載して1名が発表する形式です。

>>328

1チーム6名x8チーム=48名で女性は4人でした。

>>333

見た目30台が1名、あとは40から50台でした

335名無し検定1級さん2017-11-03 16:27:27

そんなハイリースキルドな人は暇じゃ無いやろ

343名無し検定1級さん2017-11-06 08:48:54

>>335

ワカヤマン、イライラしないで。

340名無し検定1級さん2017-11-04 15:44:58

>>336

ゲヘヘヘ。熟女か。

ご馳走さま。

390名無し検定1級さん2017-11-14 22:03:08

顔文字がオナニーするだけのスレやね

気味悪くて内容を吟味する気も失せる

392名無し検定1級さん2017-11-15 08:47:23

>>390

ねぇワカヤマン、シコシコしないで

404名無し検定1級さん2017-11-15 23:12:12

>>392

控えめに言って、おまえキモい

393名無し検定1級さん2017-11-15 17:43:12

SGに合格したんで、漸くみなさんの仲間入りができます

よろしくお願いします!

395名無し検定1級さん2017-11-15 20:01:38

>>393

お前にはまだ早い

394名無し検定1級さん2017-11-15 19:45:17

Iパス→SG→FE→AP→高度 ですよ

FE板いきましょう

409名無し検定1級さん2017-11-16 09:56:16

>>394

俺もSG→SCを受験してるが、FEとAPを受けなければならない理由はないからな

FEだとプログラミングがあるし、APだと他の分野も勉強しなければならない

単純にセキュリティだけを極めたい人はSG→SCで良いと思う

只、ハードルはもの凄い高いけど、越えられない壁じゃない

前回、午後1は通過したが午後2が30点だった

午後2は流石に難しいと感じた

午後1はSGの延長なのでそれ程難しくはない

今回は私用で受験できなかったが、春試験では合格したい

408名無し検定1級さん2017-11-16 08:46:13

>>404

だからワカヤマン、シコシコしないで

425名無し検定1級さん2017-11-16 18:18:47

>>408

おまえがな

410名無し検定1級さん2017-11-16 10:04:20

>>409

独学?どんなテキスト使ったか教えてください

411名無し検定1級さん2017-11-16 10:25:21

>>410

もちろん独学です

テキストは上原本と言われてる本です

その他にパーフェクトラーニングで過去問演習しました

半年間勉強したのですが、午後2は文章が長すぎて集中力が続きません

413(*´∀`)2017-11-16 10:39:11

>>411

江戸時代、塩抜き刑があった。 牢屋のなかで暴れないように寝てばっかりいるようになる。

塩が不足すると眠くなる。

サラダ油を食べるとバカになる。

卵黄レシチンを摂るとマークシートは反射テストになり、90点は取れるようになる。

集中力アップは鯖缶だろうな。魚のDHAが考えが速くさせる(記憶容量は卵黄レシチン)

414(*´∀`)2017-11-16 10:40:05

>>413

魚のDHAが考えが速くさせる物質だ。

427名無し検定1級さん2017-11-16 19:08:47

>>425

バカヤマン、シコシコ死すぎw

433名無し検定1級さん2017-11-17 12:35:23

APは楽だがFEは言語とアルゴリズムがキツかったりする

441名無し検定1級さん2017-11-18 09:51:48

>>433

FEの方が楽だけどな

アルゴなんて捨てても受かるし

言語は表計算選べば余裕だろ

436名無し検定1級さん2017-11-17 18:10:57

時間的に厳しいのは午後1だしな

440名無し検定1級さん2017-11-18 00:09:18

>>436

選択した問題以外も解いても余るよ。

443名無し検定1級さん2017-11-18 10:17:12

>>441

こいつ合格したこと無いな

444名無し検定1級さん2017-11-18 10:38:13

>>443

合格してますけど何か?

あなたと同じレベルで考えたらいかんよ

445名無し検定1級さん2017-11-18 10:48:06

>>444

バカ発見

447名無し検定1級さん2017-11-18 10:55:11

>>445

バカ発見

469名無し検定1級さん2017-11-18 20:58:59

何か、同じ奴がID変えて煽ってる感じだから、今度からワッチョイ付けた方がいいな

499(*´∀`)2017-11-22 21:28:24

Global Transparency Initiativeがまもなく立ち上げとなります。Global Transparency Initiativeとは何か、ユージン・カスペルスキーが説明します。

バグ報奨金プログラムの報酬の最大額は10万ドル

524(*´∀`)2017-11-27 09:41:31

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_sc_pm1_qs.pdf

https://www.itec.co.jp/wp-content/uploads/shiken/2017a/2017a_sc_pm1_kaito.pdf

問1 設問2は、

0分から始まったバックアップが8時30分のランサムウェア実行まで終わったと書いてない。

世代管理されているバックアップデータを考慮すると、

誤:バックアップの終了時刻

正:ファイルの世代の時刻 もしくは、データ作成の時刻

527名無し検定1級さん2017-11-27 21:52:40

>>524

何を言っているのかわからない。

531(*´∀`)2017-11-28 20:32:48

>>527

バックアップ終了時刻とは、ジョプ終了時刻とも読み取れる。

バックアップされたデータが、いつのデータなのかを比較しなければならない。

532(*´∀`)2017-11-28 20:34:09

>>531

8時30分のランサムウェア実行時に、バックアップジョブは終わってないかもしれない。

それを考慮して回答すべき。

ということを言いたかった(*´∀`)

543名無し検定1級さん2017-11-30 13:29:18

なるほど、こりゃ毎回落ちるわけだ

544(*´∀`)2017-11-30 13:32:44

>>543

業務アプリケーション管理者は不正ができないことは理解しているか?

メモリダンプファイルのアクセス権も無いからな。

545(*´∀`)2017-11-30 13:35:56

>>544

17ページに「その他の権限は付与されていない。」というのが業務アプリケーション管理者。

アプリやDBMの仕様は知ってるけど、鍵を触る権限がない。

561名無し検定1級さん2017-12-02 12:19:44

金もらうため(生きるため)に勉強してるのに、なんでこの資格保持するために3年で15万も払わないといけないんだよ

頭おかしいんか

562(*´∀`)2017-12-02 14:25:52

>>561

15万円以上に、評価が上がるってことでしょ。

電機メーカーSEだったから、1か月の相場を書いておくよ。

単位万円。

電機メーカーSEの顧客へ見積り 140

資本が半分くらい 120

別資本のSIer    95

派遣への依頼額  80

ピンハネされないように、商流の間に会社を入れないようにな。

564名無し検定1級さん2017-12-02 15:18:23

>>562

安すぎるだろ(笑)

567(*´∀`)2017-12-02 18:46:24

>>564

キーエンスとかになると一か月100万円くらいが社内SEの評価らしいけど、

英語不要だったら80万円くらいは欲しいよね。