HOME»情報処理安全確保支援士掲示板»令和5年春期試験 午後Ⅱ試験【問2】
投稿する

令和5年春期試験 午後Ⅱ試験【問2】 [1119]

 管理人(No.1) 
令和5年春期試験 午後Ⅱ試験【問2】についての投稿を受け付けるスレッドです。
2023.04.16 00:01
いてcさん(No.2) 
PaaS IaaS SaaSに釣られた
2023.04.16 17:02
semi0808さん(No.3) 
みなさん設問2(1)の権限はどう設定しましたか?
私は、イエイにしましたが。。。
2023.04.16 17:29
たにとさん(No.4) 
>semi0808さん
私はウエイにしました。
サーバの一覧というのが微妙な表現ですね。
2023.04.16 17:31
マグロさん(No.5) 
むっっず。。。
2023.04.16 17:32
あっぽさん(No.6) 
一言だけ、鬼門でした。
2023.04.16 17:32
フェネさん(No.7) 
問1の1で「は?」となり、問2の○×に行っちゃいました。
設問2の1は、
D社がひっぱるログはオブジェクトストレージに集約させてるみたいなので、仮想マシンの一覧表示のみ必要と考えてウエイにしました!
2023.04.16 17:33
semi0808さん(No.8) 
実際、仮想マシン一覧だけみて保守するって何するねん!とは思いましたが、
書いてあることだけならウになりそうな気もしますね

Iaas ~SaaSはどうされましたか?
2023.04.16 17:37
フェネさん(No.9) 
この投稿は投稿者により削除されました。(2023.04.16 17:40)
2023.04.16 17:40
フェネさん(No.10) 
iaas paas saasはセオリー通りで

iaas全部○
paasミドルウエアまで×
saasアプリまで×

データは全部○
で出しました!
2023.04.16 17:41
semi0808さん(No.11) 
Iaas Paas SaaS
×             ×            ×
×             ×            ×
◯            ×            ×
◯          ◯            ×
◯          ◯          ◯  

こんな感じですね!

問5は結構簡単だったのですが、
問4が結構難しかったですね。。

ハッシュ値を比較する〜とかの内容で良いのでしょうか?
2023.04.16 17:45
フェネさん(No.12) 
チャレンジ&レスポンス認証の名前だけしか知らなくて、そこで足踏みした人は多そう(me too
2023.04.16 17:51
yamaさん(No.13) 
クライアントのパスワード的な文言がないからどんな風に書けばいいかわからなかった
2023.04.16 18:11
みなおさん(No.14) 
設問3
m:新日記サービス
n:サービスT
o:サービスT
p:(3)
q:(7)

自信ないですが皆さん何にしましたか?
2023.04.16 18:31
あかさん(No.15) 
気がくるって、

m:サービスT
n:サービスT
o:新日記サービス

にしちゃった詰んだ
最後の(10)の「記事投稿結果取得」ってところで、サービスTが新日記の投稿内容を取得してんだなーとか思いこんで(というか冷静に考えてる暇がなくて)終わった...
2023.04.16 18:44
フェネさん(No.16) 
この投稿は投稿者により削除されました。(2023.04.16 18:49)
2023.04.16 18:49
フェネさん(No.17) 
設問4のチャレンジレスポンス認証のあたりで完全に自信喪失しました…w
(とりあえず最後までやり切るのが大事!)

【設問1】
〇××
〇〇×
〇〇〇
【設問2】
(1) j:ウ  k:エ  l:イ
(2)
{
"system": "4000",
"account": "11[1-9][0-9]",
"service": "オブジェクトストレージサービス",
"event"; "オブジェクトの削除"
}
【設問3】
(1) m:新日記サービス  n:サービスT  o:サービスT
(2) p:(3)  q:(7)  ←カッコ忘れたかも
(3) ウ、エ
【設問4】
(1) codeパラメータに設定される認可コードが推測困難な値だから(みたいなことを書いた)
(2) ★ギブアップ★
【設問5】
(1) OSSリポジトリのファイルZの変更履歴のファイル削除前の差分からXトークンを取得(みたいなことを書いた)
(2) 開発者のソースコード承認権限を削除し、開発リーダーのソースコードアップロード権限を削除する(みたいなことを書いた)
(3) XトークンのリポジトリWに対する権限をソースコードダウンロード権限のみとする
2023.04.16 18:50
みなおさん(No.18) 
設問4
(1)codeパラメータで指定する認可コードを取得することができないため
(2)わからず適当に書きました

設問5
(1)OSSリポジトリ上のファイルZに関する変更履歴をダウンロードする
(2)全利用者に対してOSSリポジトリへのソースコードのアップロード権限を削除する
(3)Xトークンにはソースコードのダウンロード権限のみを付与する


そこまで自信ないです。
設問4-2がわからなすぎて...
2023.04.16 19:16
とりさしさん(No.19) 
4-1は表8のパラメータ名を書かなきゃいけないみたいに指定されてたので
認可コードではなく「authorization_codeを攻撃者は知り得ない」と書きましたがどうなんでしょう
2023.04.16 19:24
さくおさん(No.20) 
設問4
(1)redirect_uriが新日記サービスのドメインとなっているため

どうでしょうか?
2023.04.16 19:25
フェネさん(No.21) 
4-1は、
パラメータ名を含めて  って書いてあったので、
・grant_type ( = authorization_code)
・code ( = 5810・・・・・・・・)
・redirect_uri (https://・・・・・・)
のどれかとすると、
・codeの認可コードわからないっしょ
・リダイレクト先決め打ちなら無理っしょ
になりますが、
リダイレクトURL決め打ち  って表現が探した限り無かったので、codeに決めました
2023.04.16 19:29
たにとさん(No.22) 
設問1
〇××
〇〇×
〇〇〇

設問2
(1)ウエイ
(2)
{
"system": "4000",
"account": "11[1-9][0-9]",
"service": "オブジェクトストレージサービス",
"event": "オブジェクトの削除"
}

設問3
(1) m:新日記サービス  n:サービスT  o:サービスT
(2) p:3 q:7
(3)イウエ

設問4
(1)認可コードである"code"パラメータの値を取得することができないから。
(2)認可コードにチャレンジコードを付加した値に対してSHA256で得たハッシュ値をbase64urlエンコードした値を検証コードと比較する。

設問5
(1)OSSリポジトリの変更履歴をダウンロードし、ファイルZのアップロード差分を見る。
(2)アップロードされたソースコードを承認する承認権限は開発者には与えず、開発リーダーのみに与える。
(3)XトークンにはリポジトリWのソースコードのダウンロード権限のみを付与する。
2023.04.16 20:46
あっぽさん(No.23) 
みんなの回答見て自信無くした。
落ちてたら、また半年後頑張ります。
お疲れ様でした。
2023.04.16 21:20
semi0808さん(No.24) 
設問4
(1)Authorizationにクライアントシークレットが必要だから
(2)2つのコードをハッシュ化し、そのハッシュ値をbase64urlエンコードした値を比較し一致するか確認する

上記で部分点もらえますかね、、?
それ以外はあってそうですが。。。
2023.04.16 21:26
YabeJapanさん(No.25) 
クラウドサービスへの移行と書かれていて、こちらのほうが解けそうだと思ったのですが、問題を進めるうちに意気消沈しました。
空欄で終わりたくはなかったので、特に設問4以降は無理やり埋めました。
また秋の試験で再チャレンジしようと思います。
2023.04.16 21:34
詰んださん(No.26) 
設問2(2)の3行目は
"account": "1+[1-9][0-9]",
だとNGですかね?
2023.04.16 21:43
たにとさん(No.27) 
この投稿は投稿者により削除されました。(2023.04.16 21:51)
2023.04.16 21:51
たにとさん(No.28) 
>詰んださん
+は1回「以上」の繰り返しなので、199や11199も合致してしまいます。満点ではなく、他の部分と合わせて部分点ではないでしょうか。
2023.04.16 21:51
詰んださん(No.29) 
>たにとさん
なるほどです・・!ありがとうございます!!
2023.04.16 21:52
いい加減受かりたいさん(No.30) 
Iaas、Paas、Saasの問題は
W社が管理しなければならない場合に◯、管理しないで良い場合は×を書く、
OS、ミドルウェアは
IaasとPaasを選択した場合、W社は管理しなくて良いから×、SaasはOS、ミドルウェアは面倒見ないから◯っていう考え方ですよね?
2023.04.16 21:57
ギリギリ合格したいさん(No.31) 
【設問3】
(2) p:(3)  q:(7)  ←カッコ忘れたかも
カッコ忘れたら、アウトですかね、、、
2023.04.16 22:07
ごんたさん(No.32) 
ぎゃー、簡単な得点限になるJSON。
1110-1119に見間違いしてた(ガーン)部分点あったりするのかな?
2023.04.16 22:11
ラフさん(No.33) 
設問4,5が全然だめやなあ。
はぁ。みんなすごいなあ。
2023.04.16 22:31
みかんさん(No.34) 
JSONのところ
  [1][1][1-9][0-9]
だと駄目ですかね。
焦り過ぎてしまった。
2023.04.16 23:01
たにとさん(No.35) 
>みかんさん
> [1][1][1-9][0-9]
これはOKだと思います。
[012](0か1か2)が例示されていますし、正規表現としても間違いではないからです。
2023.04.16 23:14
みかんさん(No.36) 
>たにとさん
ありがとうございます!
たった今正規表現チェッカーなるものを知ったので試してきたのですが、仰る通り問題なさそうでした。
これで安眠できます。
2023.04.16 23:28
ダブルスヌーズさん(No.37) 
この投稿は投稿者により削除されました。(2023.04.17 00:07)
2023.04.17 00:07
UTMさん(No.38) 
設問5の(1)に関連してですが、

サービスEはGithubを想定してると思われますが、
ファイルZがダウンロードされていなかったことを確認したって何をどう確認したのでしょう。
cloneやpullされたログみたいなのがどこかに出るとか?

答えについても、変更履歴からファイルZを再現することも考えましたが、
変更履歴から過去のコミットを遡るのって「不正に入手」と言えるのかと

ダウンロードした証跡自体を消したのかなとか考え
結局明後日の方向の答えになってしまいました泣
2023.04.17 00:40
日記サービス会員さん(No.39) 
私もダウンロードした証跡自体を消したのかなとか考えて記載してしまいました。
この可能性を消す文言は本文中にあるのかな?🤔
2023.04.17 08:54
ゆきやさん(No.40) 
ダウンロードした形跡はなかったと記載があったので、リポジトリの変更履歴をダウンロードして差分からXコードを取得した、といった内容にしてしまいました。
また、OSSリポジトリについてはソースコードと変更履歴のダウンロードのみ誰でも可能という記載だったので、ログ削除の権限は無いはずです。おそらく・・・
2023.04.17 09:33
フェネさん(No.41) 
おはようございます
判定基準が○か✕かがはっきりしている記号選択問題の洗い出しとしてメモ…
※ あくまで私の回答からの理由の肉付けなので、正解とは限らないので留意くださいませ

【設問1】
〇××
〇〇×
〇〇〇
IaaS…OSも含めて全部自社でメンテが必要
PaaS…ミドルウェアまで提供されるのでアプリとデータのメンテは自社
SaaS…アプリやサービスとして提供されるのでデータのみ自社

【設問2】
(1) j:ウ  k:エ  l:イ
仮想マシンサービス…サーバの一覧を切り分け時に参照するが、ログ保全に関しては「ログ保管ストレージ」にサービスのログが保管されるので一覧閲覧権限のみと判断
DBサービス…委託内容にDBに関する記載が無い(バックアップは自動で行われる)ので権限不要と判断
モニタリング…性能指標の監視を行うので、閲覧権限と判断

(2)
json書式はP.16を参考に中括弧で挟み、中の値を変える。
"system": "4000",
    →ログはログ保管ストレージに集約されているので4000
"account": "11[1-9][0-9]",
    →"[1][1][1-9][0-9]"も合ってそう(要・正規表現チェッカー)
"service": "オブジェクトストレージサービス",  
    →ログ保管ストレージはコレしか使ってないのでコレが入る
"event"; "オブジェクトの削除"
    →データをオブジェクトとして扱うので、P.15からコレを入れる

【設問3】
(1) m:新日記サービス  n:サービスT  o:サービスT
「新日記サービスに記事投稿」したら「サービスT「にも」記事投稿される」ので
サービスTへの認証確認や記事投稿(アクセストークンを使った他サービスとの連携)を行うのはWebサーバー
なので、「新日記サービス」のWebサーバーから「サービスT」の認可サーバーにトークンを要求し、もらったトークンで「サービスT」のリソースサーバーに投稿する  と判断

(2) p:(3)  q:(7)  ←カッコ忘れたかも
pは「認可(authorize)してコード(response_type)くれ。ワシはこういう者(client_id)や。返信(redirect_uri)はWebサーバに送らせてくれ。」と判断
qは(6)で受け取った認可コードをつかって「トークン(token)くれ。返信はWebサーバーにくれ。」とと判断

(3) ウ、エ
3DES(ウ)とMD5(エ)は脆弱性が発見されていて非推奨なので確定。
GCM(ア)とCBC(イ)は今のところ推奨リストには入っていたが識者求む。
2023.04.17 09:55
ににさん(No.42) 
json書式のシステム分からなくて全部対象にしてしまったんですがだめですかね…

"system": "[0-9]+",
"account": "11[1-9][0-9]",
"service": "オブジェクトストレージサービス", 
"event"; "オブジェクトの削除"
2023.04.17 11:17
アンスさん(No.43) 
前半簡単じゃん!ってなったけど後半見事に失速した私の回答は以下です。
皆さん苦戦していそうですね・・・。過去問より難しかった

設問1
a:〇
b:×
c:×
d:〇
e:〇
f:×
g:〇
h:〇
i:〇
設問2
(1) j:ウ
k:エ
l:イ
(2)
{
 "system" : "4000",
 "account" : "11[1-9][0-9]",
 "service" : "オブジェクトストレージサービス",
 "event" : "オブジェクトの削除"
}
設問3
(1) m:新日記サービス
n:サービスT
o:サービスT
(2) p:(3)
q:(7)
(3) ア、エ  【自身は全くない。適当】
設問4
(1) codeパラメータで指定する認可コードを取得することができないため
(2) チャレンジコードにS256を組み合わせた値のハッシュ値をbaseurl64エンコードした価が検証コードと一致することを確認する【自身は全くない。適当】
設問5
(1) OSSリポジトリ上のファイルZに関する変更履歴をダウンロードする
(2) 全ての利用者に対してOSSリポジトリへのソースコードのアップロード権限を削除する
(3) Xトークンにはソースコードのダウンロード権限のみを付与する
2023.04.17 11:40
日記サービス会員さん(No.44) 
この投稿は投稿者により削除されました。(2023.04.17 11:56)
2023.04.17 11:56
たこさんさん(No.45) 
No.26 詰んだ さんの質問内容に対して、No.28 たにと さんの回答内容に関して質問があります。
というのも、"1+[1-9][0-9]"が199や11199も合致する点は理解できますが、問題文中においてaccountの取り得る値が0000 ~ 9999であることが記されていました。
(私の認識は今回の本文書き方では、199は存在せず、0199の形であれば存在する?)
そのため私は、今回の問題中に関して199や11199などの考慮の必要性が余り理解できませんでした。
今回のような仕様であったとしても、199などを考慮しておく方が良いのでしょうか?
回答いただけますと幸いです。
2023.04.17 12:02
kato0827さん(No.46) 
他の方も仰ってましたが、設問2の(2)は以下だと間違いなのでしょうか?

account": "1110-1199",
2023.04.17 12:15
pixさん(No.47) 
SC ダイヤモンドマイスター
正規表現についてですが
正答は"11[1-9][0-9]"であることは確実と思われます。

他の解答としては
"[1][1][1-9][0-9]"    ぎりぎりOKか減点
"1+[1-9][0-9]"        今回の仕様にはたまたまあてはまるが、NGの可能性大
くらいになると思われます。

正規表現的にたまたま動けばよいのであれば、
"7*11[1-9][0-9]"
"11[1-9]5*5*5*[0-9]"
"[0-9]*11[1-9][0-9][0-9]*"
など、*(0回以上の繰り返し)を使えばいくつでも生成できてしまいます。
したがって、解答として認める正規表現はかなり絞ってくると思われます。
2023.04.17 12:23
たこさんさん(No.48) 
>pix さん
ご回答いただきありがとうございます。
確かに例に挙げてくださった0以上の繰り返しを考えてみると、"1+[1-9][0-9]"がNGであることが理解できました!
ありがとうございました。
2023.04.17 12:31
たにとさん(No.49) 
>たこさんさん
accountの取り得る値が0000 ~ 9999であることを失念していました。本問では11199は考慮の必要が無くなりましたね。
問題は199で、イベント検知における正規表現の扱い方により挙動が変わると考えられます。

正規表現と完全一致している場合にイベント検知する場合、199というaccountは存在しないため、問題になりません。
正規表現と部分一致している場合もイベント検知する場合、0199に199が含まれるため、問題となります。

完全一致or部分一致は問題中に明記されていない認識なので、やはり"1+[1-9][0-9]"は曖昧な回答であると考えられます。
私は実務においても、正規表現を使う場合はなるべく厳密に記述するようにしています。
2023.04.17 12:31
まぐさん(No.50) 
xとーくん手に入れれば何でもありだからダウンロード履歴削除して証拠隠滅しちゃったじゃダメですかねぇー。
2023.04.17 12:41
たこさんさん(No.51) 
>たにと さん
ご回答いただきありがとうございます。
問題文中に記述されていた内容に、私の考え方が引っ張られていました。泣
"正規表現を使う場合はなるべく厳密に記述する"など、実務ではどうなるかを試験中にも考えられるように知識を深め、落ち着いて回答できるように勉強を続けていこうと思います。
ありがとうございました!
2023.04.17 12:44
たくさん(No.52) 
Jsonで末尾カンマ書いてしまったかも。減点ですかね・・・
2023.04.17 13:00
フェネさん(No.53) 
最後のエレメントの後ろにカンマがあったとしてもjsonデータとしては成り立つみたいですが、採点方針がどうなるか次第ですね。
2023.04.17 13:37
ゆきやさん(No.54) 
Xトークンをダウンロードできた場合は、リポジトリWに対してはログ削除も可能な全ての権限が付与されますが、OSSリポジトリ内の権限については、Xトークンを取得したとしても注記にあるリポジトリのソースコードと変更履歴のダウンロードのみで変わりないのでは、と考えます。
2023.04.17 14:13
0xffffさん(No.55) 
OAuthのクライアント側実装したことあると思って問題2に飛びついたもののchallenge_codeとverify_codeの役割や実装まで覚えてなかった、、、
何かをハッシュ化してBaseエンコードしたことだけは覚えていたのですが、それがどうしてセキュリティ的に安全で認可サーバー側で何をやって何を返してくるかまで覚えていなかった
一度実装した人ですらなんとなくでやってた人には答えられない問題でしたね
試験のレベルの高さを実感しました
2023.04.17 14:30
フェネさん(No.56) 
Xトークンの入手について問題を読み返すと、
【OSSリポジトリの権限周り】
・認証は不要(認証しない場合はソースコードと変更履歴のダウンロードのみ可)
・開発者とリーダーは全権持ち
・変更履歴の削除は承認権限が必要

【チームがやったこと】
・開発者がファイルZをアップロードして自分で承認して自分で削除
・リーダーは「ファイルZが」削除されてること、「アップ~削除までの間にダウンロードされていない」ことを確認

と考えると、
第三者がファイルZの変更履歴から、削除前のファイルZを引っこ抜いてXトークンを…
というかんじになるかなぁ。


また、認証してないユーザーは「承認権限」がないので、「変更履歴のダウンロード履歴を削除…」まで答えに含めちゃうと、採点者から見ると「突っ込みすぎ」になるかもしれません。
2023.04.17 14:40
フェネさん(No.57) 
今回の大問2の問題構成を見てみました。

・○✕クイズが9箇所(設問1)
・記号選択が8箇所(設問2(1)、設問3(1)(2))
・記号複数選択が1箇所(設問3(3))
・json形式記述が1問(設問2(2))
・文章記述回答が5問(設問4(1)(2)、設問5(1)(2)(3))
  (40字、70字、40字、50字、40字)

全24問(選択問題18問、json記述1問、文章記述5問)

配点予想が知りたいところですねー。
(水曜日木曜日のTAC・iTecが待ち遠しい!)

過去の配点予想を見ていると文章記述が5~8点くらいで推移しているみたいですが、文章記述で大目に見て8点*5問=40点分くらいかな?

選択問題でどこまで稼げるかがキモですね!
(ただ、○✕クイズにそこまで点が振られるとも思えない…w)

※ あくまで個人の妄想です。
2023.04.17 15:12
初心者さん(No.58) 
ぜんぜんわかってなくてこんな質問をするのお恥ずかしいのですが、
変更履歴からXトークンを得るのってイメージが湧かなくて、変更履歴には削除前のファイルが含まれているということなんでしょうか…。
2023.04.17 18:28
たにとさん(No.59) 
>初心者さん
「git 差分」といったキーワードで画像検索してみると分かりやすいかと思います。
画面左に古いソース、画面右に新しいソースが表示されて、差分箇所(一致しない箇所)に色がついて明示されます。
Zファイル削除時の変更履歴を見ると、画面左にZファイルの内容(Xトークン入り)、画面右は空白(削除なので何もなし)が表示されます。
このときに画面左を見れば、Xトークンが丸わかりになってしまいます。
2023.04.17 18:47
GinSanaさん(No.60) 
SC ブロンズマイスター
gitだと敷居がたかけりゃ、TortoiseSVNのトータスマージってのでもいいです。さすがにサブバージョンは使ったことあると思う
tortoisesvn.net/docs/release/TortoiseSVN_ja/tsvn-dug-diff.html
2023.04.17 18:53
shumayskyさん(No.61) 
JSONの正規表現も例示あったのか……
完全に見落としてた
焦って読み飛ばすと取れる問題もとれなくなりますね
2023.04.17 19:02
GinSanaさん(No.62) 
SC ブロンズマイスター
>変更履歴のダウンロード履歴を削除
ここの段階でgitを意識してるんだな、と思いましたね  apache subversionは権限があろうが変更履歴消せないんで
subversion仕様だったらどんな対応しただろうかね、とか思っちゃいました
2023.04.17 19:03
もっさんさん(No.63) 
JSONに行番号書いたのですがこれで減点されてたら勿体ない…
2023.04.17 20:25
詰んださん(No.64) 
自分も行数書いちゃいました…
やっぱり減点になるんですかね
2023.04.17 21:05
マグロさん(No.65) 
記号問題7箇所外してるんだが落ちたなこれは
2023.04.17 22:08
しりたいさん(No.66) 
設問5
(2)特定の利用者にのみ業務上必要と考えられる最低限の権限を与える
(3)XトークンにはリポジトリWに対して最低限必要な権限のみを付与する
的なこと書いてしまいました。設問に「具体的に」という文字列がないからこんな感じにしちゃいました。。部分点もらえないか。。。
2023.04.17 22:14
不安マンさん(No.67) 
今回初めて受けたんですが、設問4.5だけで60点くらいの配点が、されてたりする可能性ってありますか?
そうだったら絶望的だな~と思ったのですが…。
2023.04.17 23:28
フェネさん(No.68) 
さすがに記述5問で60は無いと思いたいが……
40~多くて50弱でとどまってほしいな……w
2023.04.17 23:45
たくさん(No.69) 
設問1 a◯ b× c×
            d◯ e◯ f×
            g◯ h◯ i◯
設問2 jイ kエ lア
設問3

"system":"4000",
"account":"11[1-9][0-9]",
"service":"オブジェクトストレージサービス",
"event":"オブジェクトの削除"

設問3 m新日記サービス
            nサービスT
            oサービスT
(2)       p3 q8
(3)       イ(誤り)
設問4
(1)       エンコンード値Gを複合してもauthorisation_codeを得られないから
(2)       Tサービスの認可サーバがスマホアプリから送られたハッシュ値をbase64urlエンコードした値と認可コードが一致していることを確認する。
設問5
(1)ossリポジトリ上のファイルZを変更し、更新履歴をダウンロードした。
(2)ソースコードがアップロードされるときには第三者が承認を行うよう権限管理の管理プロセスを変更する。
(3)Xトークンにより付与される権限をソースコードのダウンロード権限に限定する

採点よろしくお願いします。
2023.04.18 00:35
0xffffさん(No.70) 
細かい話ですがbase64エンコードは暗号ではないので復号ではないですね
2023.04.18 01:18
pixさん(No.71) 
SC ダイヤモンドマイスター
>0xffffさん
復号であっていますよ。
復号とは元に戻すの意です。

暗号の場合は、暗号化・復号
エンコード・デコードの場合は、符号化・復号
が使われます。
2023.04.18 03:06
初心者さん(No.72) 
たにとさん、ありがとうございます。
ググったら大変よくわかりました。

確かにこれなら変更履歴だけでわかってしまいますね。
勉強になりました。
2023.04.18 06:08
解答速報待ちマンさん(No.73) 
「変更履歴の閲覧からどんな内容を読み取れるのか」が分からないと、設問5は解けなかったということですかね。
僕のように単純なログのことだと理解してしまうと誤った回答を導いてしまいますね。
難しいというよりかは、勉強の方法を考える必要がありそう。
2023.04.18 14:13
0xffffさん(No.74) 
>pixさん
ご指摘ありがとうございます。デコードは復号とも言うのですね。勉強になりました。
2023.04.18 14:19
たくさん(No.75) 
復号の件、実はやらかしたと思ってたんですが、間違いでは無いんですね。
とはいえ問4はどちらも部分点すら貰えるか怪しい気がしてきました。
2023.04.18 16:25
メンタル萎えたマンさん(No.76) 
この投稿は投稿者により削除されました。(2023.04.19 17:20)
2023.04.19 17:20
Cooperさん(No.77) 
この投稿は投稿者により削除されました。(2023.04.18 23:11)
2023.04.18 23:11
Cooperさん(No.78) 
この投稿は投稿者により削除されました。(2023.04.18 23:17)
2023.04.18 23:17
Cooperさん(No.79) 
設問2:
仮想マシンサービス:基盤障害でサーバがダウンした場合、誰が再起動する?
    基盤側で自動再起動するなら(イ)、誰かが行う必要があるなら(ア)
※あとAWS等だとリタイアメント対応でもシステムの強制再起動が必要な時がある
※利用が増えてインスタンスタイプを変える時は?

DBサービス:何も記載がないので(エ)
※これも不要レコードが増加した場合などに誰かが定期的に監視・削除する必要があると思うけど。。。誰かがやるなら(ア)

モニタリングサービス:もしW社が監視項目の変更を決めた際は誰が追加・削除を行う?
    W社が実施するなら(イ)、結局D社がやるなら(ア)

※ この問題は出題者の意図と現実がかけ離れているように思う。ご意見方。
2023.04.18 23:18
Cooperさん(No.80) 
設問5(1)
このF社の開発者のPCがハッキングされて漏洩したという可能性はないのだろうか?
2023.04.18 23:21
あのさん(No.81) 
…今回の午後2の問2って難しかったって事でいいんですよね…(震え声)
2023.04.19 08:15
セキスペ初心者さん(No.82) 
難しかったけど、見返したらヒントが散りばめられてて、
すごい良い問題だった。
ある程度基礎が固まっている人には、国語の問題だったと思う。

解けなかったの悔しいなぁ。
2023.04.19 08:24
フェネさん(No.83) 
2日経って読み返すと「ここに書いてあるやんけ!」ってのが解るのが悔しいですね。
明日のTAC・iTECの解答速報まで気がそぞろに…
2023.04.19 09:43
フェネさん(No.84) 
記述式の回答予想

【設問4 (1)】 
・codeの認可コードが推測困難 のような答え(超要約)

「Webサーバであると偽って」トークン発行リクエストを投げる ので「普通リダイレクト先も偽るやろ」と判断。(サービスTと連携してるサービスは多数あるので省略したら特定できない + 本物のWebサーバがURI決め打ちしてても関係がない)
認可コードをユーザーから奪取するリスク分析はその後に書かれている流れでの話に書いてあったので、今回は奪取云々は関係ないと判断しcodeとした。

【設問4 (2)】
・チャレンジレスポンス認証 で検索しよう(投げた)

私の脳みそを数十分フリーズさせた問題。

【設問5 (1)】
・OSSリポジトリのファイルZ
・変更履歴をダウンロード
・ファイル削除前の差分からXトークンを取得

このへんが網羅できてればOKな気がする(操作を答えろ  なので、上2つで十分な気もする)

【設問5 (2)】
・開発者から承認権限削除(これは多分必須)
・開発リーダからアップロード権限削除(ここまで含めるかは謎)

P.19で「実装からテストを開発者3名  取りまとめをリーダ1名」とあるので、リーダからもアップロード権限削除するように含めるかが謎。
(承認フローの鉄則は、申請と承認権限を同時に同じ人に持たせない事)

【設問5 (3)】
・XトークンのリポジトリWへの権限をソースコードのダウンロード権限のみにする

どこまで単語を含めるかで部分点(がもしあるなら)が変わりそう。
2023.04.19 10:13
受かりたいさん(No.85) 
最後の設問でXトークンと書くべきところをEトークンと書いてしまいました…
部分点ありますかね?
2023.04.19 17:21
たにとさん(No.86) 
XトークンはEトークンでもあるので、そこまで大きくは減点されないんじゃないですかね?あくまで感覚ですが。
2023.04.19 17:50
フェネさん(No.87) 
この投稿は投稿者により削除されました。(2023.04.19 18:04)
2023.04.19 18:04
フェネさん(No.88) 
Eトークン  =  Wリポジトリと各サービス(X社や他社とか)との連携のためのトークン
X社向けに権限を設定したEトークン  =  Xトークン

なので、
「大枠は理解している」として部分点が入るか、
「Eトークンを一律で権限削るのはバツ」とされちゃうか微妙なところですね。
祈りましょう!
2023.04.19 18:05
たにとさん(No.89) 
itecの解答速報出てますね。
設問3(3)がウエなのと、設問4(2)を除けば大体私と同じ答案でした。
2023.04.19 18:34
フェネさん(No.90) 
この投稿は投稿者により削除されました。(2023.04.19 19:25)
2023.04.19 19:25
フェネさん(No.91) 
お!iTECでましたか!
怖いけど見てこよう!
2023.04.19 19:25
たみおさん(No.92) 
皆さま、受験お疲れ様でした

itecの解答速報、照らし合わせたのですが、、

設1 ○
設2 (1) ○ (2) ×
設3 (1) ○ (2) ○ (3) ○
設4 (1) ×か△ (2) ×
設5 (1) × (2) ○ (3) ○

でした?
秋受けようと思っていたのですがワンチャンある気がしてます。
配点とかどういう感じに例年なってるんでしょうか、、?
設4(2) は多分一番いい配点だと思うのですが、、
めっちゃ気になります!
2023.04.19 20:05
フェネさん(No.93) 
明日はTACの解答速報と配点予想がでるので、そのへんでわかるかもしれません!
設問1~3の配点が気になって明日は仕事にならんw
2023.04.19 20:28
たみおさん(No.94) 
tacがありましたね!
同じく公表されるまで仕事が手につかないw
2023.04.19 20:33
fujiocaaaさん(No.95) 
なぜ設問2の(1)がイ,エ,イではなくウ,エ,イなのかどなたか解説頂けないでしょうか。。
運用ベンダーはログを各サーバからオブジェクトストレージに移す運用のためにファイル閲覧権限がいると思うのですが、、
オブジェクトストレージサービスへの編集権限があるのもそのためではと。
2023.04.19 21:17
また秋頑張るさん(No.96) 
設問4 (1)
攻撃者はAuthorizationのエンコード値Gを知り得ないからと回答しましたが、部分点期待できますかね…?
2023.04.19 21:31
フェネさん(No.97) 
fujiocaaaさん(No.95) 

D社に任せるのは「ログの読み取り」「マシン一覧を切り分けの時に見る」のと、
「システムのログはストレージに全部移す」けども、それをやるのはD社ではなく、D社は「問題が起きた時の一時切り分け」をするだけです。

なので、仮想マシンに付与する「最低限の権限」は、「マシン一覧を列挙する」だけでよいのです。

という認識です!
2023.04.19 22:00
たこやきさん(No.98) 
設問2の(1)は図2 注2の日記サービスのログを保管するストレージの記載から、各機器のログは最初からオブジェクトストレージ上に保存してあると予想。
オブジェクトストレージに編集権限があるのは、ログをダウンロードするためかと。

設問4 (1)は下線部③の前に「エンコード値Gを攻撃者が入手した場合~」と記載されているので前提が違うのかと思います。

2問とも前提条件の認識が出題者と合っているか不安になりますね。
2023.04.19 22:02
配点予想はよさん(No.99) 
設問1~3だけで55くらい配点もらえたら、多少希望持てるんだけど…
そんなに甘くはないよな笑
2023.04.19 23:24
マグロさん(No.100) 
JSON16点くらいくれない?笑  まあないか
(記述要素4つ×4点で)
2023.04.19 23:26
よしおさん(No.101) 
フェネさん
設問2の件、D社に項番1-3の運用を委託するとあって、ログ保全の定期運用も引き続き必要と思い私もイエイにしました。
図2の表現が微妙ですが、ログが自動でストレージに保存されるなら表1項番1の運用、まるまる不要なので項番2-3の運用を委託すると書かれるべきでは??
2023.04.19 23:53
たにとさん(No.102) 
表1項番1は要約すると「ログの外部メディアへのバックアップ」です。
クラウド化に伴いログを1箇所にまとめていたとしても、外部へのバックアップの必要性は変わらないと考えられます。

また、項番1の作業にはログのダウンロードが必要ですが、表6の中でダウンロードについて触れられているのはオブジェクトストレージサービスのみです。
なので、仮想マシンサービスについては一覧閲覧権限のみで足りると思われます。
2023.04.20 00:13
NoNameさん(No.103) 
この投稿は投稿者により削除されました。(2023.04.20 10:21)
2023.04.20 10:21
浮き輪さん(No.104) 
午後2問2採点したら甘く見積もって40点くらいしかなかった...厳しいなーこれは
2023.04.20 06:29
ラーメン二郎大好きさん(No.105) 
表1「(D社は)定期的に,日記サービスが稼働している各機器のすべてのログを外部メディアにバックアップする。」
表3「利用者がOSやアプリを配備することによって,物理サーバと同じ機能を実行するための仮想化基盤である。」
表5「公開Webサーバ  仮想マシンサービス」

とあったので、「なるほど、これはオンプレで動いていたWebサーバを改修なしにクラウド化したパターンだな。とすると、ログ保管ストレージにログを飛ばす仕組みなんて入れてないからファイルシステム上のログファイルを吸い出すために閲覧権限は必要だな」と考えていました。が、そもそも最初の段階で実はsysylogサーバに集約されていて、クラウド化の段階でログ周りは改修したとしても不思議じゃないですね。

もうちょっと、オンプレのときにどういう作業をしていたのか詳しく書いていてほしかったです・・・
2023.04.20 07:56
フェネさん(No.106) 
よしおさん

項1のログバックアップ  は、仮想マシンではなくオブジェクトストレージからする形となるので、仮想マシンへの権限は、最小権限であればウで足りるかと!
詳細は、上のたにとさんの解説と同意です!

私も最初はイとかいて、次ページめくったら図でかかれてて「あっぶね、これイちゃうやん」となったので、危なかったです。
2023.04.20 08:32
NoNameさん(No.107) 
設問2の(2)に関して、JSONに行番号書いたのですが、これって減点されますかね…
2023.04.20 10:21
フェネさん(No.108) 
あくまで採点方針次第なので我々には確定判断はできませんが、
jsonデータとしてはエラーになってしまうので、良くて減点、基本はバツで見積もっておいたほうが良いかもしれません。
(マルで見積もってて合格発表時にヘコむよりはマシ理論)
2023.04.20 10:44
NoNameさん(No.109) 
すみません、ありがとうございます
2023.04.20 10:56
NoNameさん(No.110) 
この投稿は投稿者により削除されました。(2023.04.20 16:38)
2023.04.20 16:38
フェネさん(No.111) 
TAC 予測解答速報きましたね

設問5-2 の、リポジトリに対する権限付与が、「開発者」だけでなく「開発リーダー」にも言及されていました。
2023.04.20 16:38
たこやきさん(No.112) 
TACの配点予想精度をどこまで信じて良いのでしょうか……
設問3までで57点もくれるのか疑問です
2023.04.20 18:19
フェネさん(No.113) 
マルバツが1点は「だろうな」として
jsonに10点は豪気だなー  と思いましたw

まぁ長年配点予想を出してきてるノウハウがあるので、近似値(プラマイ10点くらい)に収まるのではなかろうかと思いたい
2023.04.20 19:17
さらさん(No.114) 
落ちたなぁ、5割行ったかくらい。

でも仕事しながら休日や夜に試験勉強をして
この試験を受験した自分を褒めたいとともに
同じような全ての人に敬意を表します。

仕事だけでも大変なのにみんな偉いですよ。

秋にまたがんばろー
2023.04.20 19:49
R1000さん(No.115) 
json形式の記述について、

{
"system": "4000",
"account": "11[1-9]+[0-9]+",
"service": "オブジェクトストレージサービス",
"event": "オブジェクトの削除"
}

と書いてしまった場合は部分点はありえますかね……
2023.04.20 19:51
NoNameさん(No.116) 
この投稿は投稿者により削除されました。(2023.04.21 10:26)
2023.04.21 10:26
たみおさん(No.117) 
itecもtacも、ギリギリすぎて秋試験も覚悟してます汗

設問4(1)の答えで
「攻撃者は認可コ-ドであるcodeの値を不正に入手できないから」
はtacやitecと同じ意味でとらえてもらえるでしょうか、、?
2か月が長い、、汗
2023.04.20 20:38
NoNameさん(No.118) 
設問5なのですが、

(2) 開発リーダーのみにOSSリポジトリへのソースコードのアップロード承認権限を与え、職務分掌を図る
(3) XトークンのリポジトリWへの権限は最低限にする

と書きました

(2)は減点されますでしょうか
(3)は部分点もらえますでしょうか
2023.04.21 10:27
フェネさん(No.119) 
あくまで個人的意見なので保証はできませんが、

(2) については、アップと承認の業務分掌権限をちゃんと分ける (要は、メンバーはアップのみ、リーダーは承認のみ) ことを問われているので、私なら部分点の期待を持ちます。
(3) については、「具体的に答えろ」とは書かれていないですが、「最低限って具体的には何?」となりそうなので、部分点を見積計上するとしても低めに見積もります。
2023.04.21 11:00
NoNameさん(No.120) 
フェネさん、いつもありがとうございます

厳しめに見積って午後2が57とかですが、合格発表を待ちたいと思います
2023.04.21 12:23
フェネさん(No.121) 
よく見るのが
「自己採点では80点だったのに2ヶ月後蓋開けたら40点ってどういうことだ!!!!」
っていう「自己採点の部分点甘々問題」なので、
厳し目に見積もっておいたほうが「実は部分点入っちゃいました」ってパターンが割りとあり、心の保険にもなるかと!(入らない場合もあるのであくまで保険)
2023.04.21 12:27
pixさん(No.122) 
SC ダイヤモンドマイスター
>NoNameさん(No.118) 
>(2)は減点されますでしょうか
色々惜しい点があります。
このような記述問題は「補集合を解答しない」というセオリーがあります。
本設問の問題の原因は「開発者に承認権限が与えられているから」です。
ですので、対応も素直に「開発者から承認権限を取り消す」になります。
これならば原因と対応の因果関係がはっきりしています。

質問者様の解答の「開発リーダーのみに承認権限を与える」は
「開発者に承認権限取り消す」の補集合的(裏的)な意味合いとなっており
原因:「開発者に承認権限が与えられているから」
対応:「開発者から承認権限を取り消す」
対応の推移的な結果:「開発リーダーのみに承認権限を与える」
という文章構造になってしまっており、冗長です。

IPAはこのような冗長な結果が最終的な解答になる事は少ないです。
そのため、減点されてしまう可能性が大です。

また「職務分掌」というキーワードもこの文脈では少々大げさです。
「最小権限」が一番相性のよいキーワードと思われます。


>(3)は部分点もらえますでしょうか
「最低限にする」という言葉は具体性に欠けると思われます。
解答を見直して抽象的な表現は具体的な表現に置き換えられないか
注意してみてください。
2023.04.21 12:34
NoNameさん(No.123) 
皆様、ご丁寧にありがとうございます
2023.04.21 14:04
NoNameさん(No.124) 
>pixさん 

設問3(3)は0点と考えた方がよろしいでしょうか。

また、追加で質問させていただきたいです。

設問2の(2)json問題は、完答問題でしょうか?
答案では先頭に行数を書いてしまったのですが、これはもう0点と考えた方がよろしいですかね?
2023.04.21 14:16
pixさん(No.125) 
SC ダイヤモンドマイスター
>設問3(3)は0点と考えた方がよろしいでしょうか。
残念ながら0点と考えたほうがよろしいと思われます。

>設問2の(2)json問題は、完答問題でしょうか?
>答案では先頭に行数を書いてしまったのですが、
>これはもう0点と考えた方がよろしいですかね?
完答問題と思われます。部分点はないでしょう。
しかし、行番号についてですが、P16 図1「イベント検知のルール例」には行番号が
ついています。
設問2-(2)には注釈として「行番号を除いて」という文言がありません。
ですので、行番号のある・なしは問題ないと判断します。

IPAの試験では、一般の認識とは多少違う点があります。この図のように例として
挙げているものがあれば、それを解答で引用しても問題ないと思われます。
その一方、記述式解答では曖昧なものはことごとく減点または0点となると思った方が
よいです。自己採点するときにその曖昧さを適当に考えると、実際の点数と
大きくずれると思われます。
2023.04.21 14:53
NoNameさん(No.126) 
> pixさん
度重なるご質問にご回答いただきありがとうございます。
承知いたしました。
2023.04.21 15:08
NoNameさん(No.127) 
>pixさん

重ね重ね申し訳ございませんが、設問5の(2)に関しましても、0点もしくは、部分点を貰えてもかなり低い点数というように考えておきます。
2023.04.21 15:13
フタル酸さん(No.128) 
>pixさん
横から失礼します。
減点は、程度・段階みたいなの、あるでしょうか。
例えば、-25%減点、-50%減点、-75%減点みたいな感じですね。
または、減点⇒容赦なく1点のみ、みたいな。
6/29まで胃が痛いです。。。
2023.04.21 16:27
pixさん(No.129) 
SC ダイヤモンドマイスター
部分点については答申書に少し情報があります。
ネットで次のワードを検索:「総務省 答申書 平成29年 春期 応用情報」

P7(3)「例えば,問題解決の過程の途中までが合っていれば満点の50%を,
三つのポイントのうち二つが書けていれば満点の60%を与えるといったように
部分点を設定している。」

この答申書には情報処理技術者試験の不明確な点について断片的ですが、情報が
提供されています。
2023.04.21 16:41
フタル酸さん(No.130) 
>pixさん
おおお、ありがとうございます。
検索ワードまで、ありがとうございます。

ドラマではないですが、、、「だが、胃痛はある」
2023.04.21 16:47
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014- 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop