読者です 読者をやめる 読者になる 読者になる

Hello, World

野良SEにエサを与えないでください

【レビュー】情報セキュリティスペシャリスト試験・平成28年秋

セキュリティ レビュー 雑感

地方都市在住の元SE、2児の母です。

 

2016/10/16(日)に実施されたIPA情報処理技術者試験の、情報セキュリティスペシャリスト試験を受けてきました。午前1は免除だったので、午前2からの受験でした。

 

【午前2】

巷でよく言われる通り、過去問3回分やってれば合格できる問題構成でした。巻末の「メモ用紙」が2ページ(見開き)なのも通常営業。

変わり種としては、問3でPOODLE(CVE-2014-3566)の説明が問われたり、XMLディジタル署名の特徴として「デタッチ署名」という単語が初登場したり(H25秋の過去問では「任意のエレメントに対して署名することができる」だった)、程度でしょうか。

解答が公開されているので自己採点したところ、25問中20問正解。ここまではまぁ順当です。

 

【午後1】

問1:組込み機器を利用したシステムのセキュリティ対策

 機械の制御用コンピュータが、クラウド上の監視サーバ(機械のメーカーが構築)に稼働ステータスをポストするよ

問2:ソフトウェア開発における脆弱性対策

 ヒープベースバッファオーバーフロー脆弱性をなんとかするよ

問3:プロキシサーバによるマルウェア対策

 古いプロキシ1を、機能が豊富なプロキシ2にリプレイスするよ

 

IPAが発行する「情報セキュリティ白書2016」でも取り上げられているIoT、必ず出題されるだろうと思っていましたが、やはりありました。糖尿病患者のインシュリン投与もWiFi経由でコントロールされるご時世ですから。

開発系では脆弱性、ネットワーク系ではプロキシ、そして組込み系、という安定の問題構成でした。

 

【午後2】

問1:ICカードを用いた認証システム

 業務用システムのログインIDやPWを付箋で貼ったり共有してる輩がいるから、PCでICカード認証する方式にNさんよろしく

問2:脆弱性対策

 DMZにサーバがたくさんあるんだけど脆弱性情報が出た時の対応フローがないから、Q主任ガンバレ

 

運用面の話かな、と思って読み始めても技術問題入ってるのが午後問題。ICカードもそんな感じで。

脆弱性問題ではCVSSが必ず登場しているので、スコア10とか「重要」判定された脆弱性情報はチェックしておくと良さそう。

 

セスペは次回の試験から「情報処理安全確保支援士」に移行することが決定していて、最後だからと受験した人も多かったようです。「支援士試験」になった後も、問題構成や難易度は大きく変わらないかもしれません。

一方、情報セキュリティマネジメント試験が開始されたことで、「国家資格までは要らない」という層をふるい落とし、技術要素を増やして専門性を高めていくかもしれません。しかし、セキュリティインシデントに先手を打ち、発生時にハンドリングができるように、となると管理策についての問題も欠かせません。さらに、現実に報告されている重大なインシデントや脆弱性を例にとった出題というのも、外せないジャンルです。

つまり、それは、今の試験内容じゃないかな、と思うのです。

www.ipa.go.jp

 

過去問を解いているだけで、ネットワーク構成やよくある問題点、いわゆる「正解」とされるセキュリティ対策例と失敗あるある、なんかを垣間見ることができるセスペ試験。

午後問題はさっぱり自信がありませんが、今夜はビール片手に開放感に浸りたいと思います。

 

問題、解答はIPAのサイトでご確認ください。

IPA 独立行政法人 情報処理推進機構:問題冊子・配点割合・解答例・採点講評(2016、平成28年)