前回受験された方で、午後試験の難易度は今回どう感じましたか？
今回の午後試験は読解じゃどうしようもない問題ばっかりだった気がするのですがいかがでしょうか？

前回より技術的な問題になった気がします。
前回は国語力で解ける問題が多かったですが、今回は知識が無いと解けない問題が多かったですね。

ＳＣ合格の方のブログやYouTubeを見ると「私は文系で実務経験もないのにＳＣに一発合格しました。(所謂)国語問題なので知識はなくても、読解力、論理的思考でなんとか解答できます...」的な内容をたまに見かけますが、そんなのを真に受けると厳しいと感じます。

あくまで基本的な知識(必要条件)が備わった上での読解力が問われるのであって、論理思考・読解力だけだと全然歯が立たないと思います。セキュリティ人材の絶対数を増やしたい政策的な要請もあってか、ここ２ー３年の試験は結構易化傾向にあるように感じていて、今回の午後IIの問2なんかは知識さえあれば、読解力がなくてもかなり答えやすい(読解力・論理思考ではどうにもならない)問題だったのではないかと思いました。

今回は難しかったですね
これが本来の姿なのかもしれないですが読解だけではなく深い知識が問われると痛感しました
SG、FE、APと高速で駆け抜けられたAgentTakaさんの意見が聞きたいです
応用情報でも多数の情報を発信されていて親近感を感じつつ所感が大変参考になるなと思ってました

state とか nonceとかノーマークでした。(T_T)
ただ、なんのためのstateとかnonceとか本当の意味で読解力のある方は根性で解けたかもしれません。

PKCEもノーマーク
流石にそこまで深く問われないだろう。と、思っていた。OAUTH、OpenID Connect、SAMLのついてはそれなりに注力して予習のに。。。参考にしたサイトにもちょろっと出ていたが、余裕でスルーした。

開発に携わった人なら分かるんだろーな。

これからも

OAUTH、OpenID Connect、SAML

は頻出問題になるでしょうね!

>文系で実務経験もないのに
>国語問題なので知識はなくても、読解力、論理的思考でなんとか解答できます
こういうなめ腐ったブログを見るとなんかぶん殴りたくなりますね
お前はなんの資格を取りに来てるんだ、と言いたくなりますね  曲がりなりにも情報処理だぞと  理屈先行だぞ、と
畳の上で水泳の教練でもしたいのかと言いたいとこでしたが、技術寄りになったと聞いて  ああよかった  と思いました  やはりこうでないと

>あくまで基本的な知識(必要条件)が備わった上での読解力が問われる

みんながみんなセキュリティの仕事してるわけじゃないから、そりゃ知らないこともあるけど、でも土台はあるよね（その土台から知らない技術も成り立ってるんだから）ってところで、本文で概要説明が入ったりするから、知識は（その技術についてはあんまりorさっぱり）なくても、まあなんとかなるよね・・・（ネスペは特にそんな傾向がある）というのはあるかもしれないけど、それはまったく土台がいらないことは意味しないから、そこを履き違えるとひどい方向にいくから、ブログにするならそんな甘い夢を最初から見させないほうがいい、と思っています
まあ、情報処理教科書を丸々覚えられるかっていったらムリですけどね。
OAuth2.0はツイッタークライアントを作る（ログインで必要だからしょうがない）ときに否応なしに知る必要があったけど、PKCEは意識しなかったですね

某掲示板にも書かれていましたが、本来、セキュリティエンジニア向けとセキュリティコンサルタント向けの２択にすべきところ、セキュリティエンジニア向け１択にしてしまった主催者のミスではないかと思います。

午後Ⅱだけありえないくらい難しかった。
去年の春が1番簡単だったので、その時取れなかったのがとても悔しい。国語力だけじゃどうしようもない試験でした。

今までの傾向と違った形の問題でしたね。
さらに午前は余裕があっただけに逆に焦ってしまい、、、
ただ、文章をよく読まなくてもなんとなく解答が書けてしまうような問題も多かったような気もします。読解の練習を重点的にしたのですが、強みを発揮できず終わってしまいました。

そう言えば、ゼロトラスト関連出なかったのは
意外でした。ランサムウェアは、応用でしたので
やはり難易度高い印象です。

皆さん回答ありがとうございます。
やはり難しい回だったのですね。

得点調整に少しは期待できますが、午後2なんかはほぼ全ての問題を勘で埋めてしまったほどなので、秋に向けて少しずつ始めていこうと思います。

個人的にはWeb系への偏りがきつかったです。
Web系開発者なら今回は難易度が低いと思いますが、NW系技術者にとっては、
自身を持って回答できる問が殆どなかった・・・。

パケット解析とか情報保全もセキュリティだと思うんですけど
需要=設問なのかな

昨日受験してきました。
技術よりの問題が多く、私は選択の幅がまったくなかったです。
全体的に午後は難化したように感じました。

ひとまず解答を埋めはしましたが、手ごたえがあまりない・・・
また半年後再チャレンジかと思うと憂鬱です。。。

難しかったですね。
しかし、システム部のCさん、優秀だ。こういう人がうちにもいたらいいなぁ。

これからうちもクラウド化考えてますが、こんなに複雑な事考えるなら
やめたくなる。。。。

数回目の受験でしたが、今回から午後Ⅰ、Ⅱとも専門知識が問われるようになりましたね。
前までは、問題文のどこかに答えがあるはずと、探せばそれっぽい解答を記入は出来てましたが、今回はピンポイントに知識がないと記述さえさせてくれない問題ありましたね。
勉強不足を痛感したというか、高度試験ぽくなってきました。

難易度の感じかたは、その人の技量によって変わってくるので、なんとも言えないですけど。
諦めずコツコツ積み上げてると、少しずつ簡単になってきてる気はしてます。

学生さん
こんばんは

受験お疲れ様でした。
勉強量、知識、ヤル気、全てにおいてもう置き去りにされちゃったなー。わははは
SC教えてください。

GinSanaさん
こんばんは

ネスペ午前突破、まずは当たり前の結果に敬意を表します。さすが！！

とりさん
こんばんは

始めまして、ですかね？
ご指名ありがとうございます。ご期待に応えられないのですが今回のR4春はオミクロンにビビッて受験申込みしておりませんでした。あっは！それに伴い学習も遠ざかっておりました。
年度末の仕事とオミクロンで辞退した私は意見する立場にいません。ごめんなさい。
皆様の投稿を拝見させて頂いておりますが何を話題にされているのか、ちょっとよく分かりません。ということは例え受験しても間違いなく不合格であろうことは間違いありません。がははは
掲示板を拝見させて頂いた感想は今回、出題傾向が変わったのかな？
秋にSC取得目指します。
今後とも何卒よろしくお願い申し上げます。親近感感じるということはもうフレンドですね！

AgentTakaさん(No.19) 
ネスペのサイト見たんですね。
AM2の冊子を写真に全部撮って、焼き鳥屋で酒飲みながら20時の解禁でマル付けしてました。

GinSanaさん
改めましてこんばんは

ワオ！
最高のお酒！秋にはプロマネに進まれることを祈願して乾杯です！！！

午後Ⅰは問2・3、午後Ⅱは問2を選択しました。
SC初受験ですが、個人的には過去問より難易度が低かった気がします。
あくまで感覚的なもので、合否発表1週間前の模範解答を確認するまで根拠はないのですが。

AgentTakaさん
お久しぶりです。
今回は完全敗北でした。
秋一緒に頑張りましょう！

橙色文書さん
僕も初受験です！大問選択全く一緒です！しかも午前2の点数も全く一緒で21／25でした！
ただ午後の手応えだけは真逆で、僕はほぼ全ての問題を勘で埋めてしまったので今回の合格は無理だと思っています。やはり人によって当たり外れがありますね…

AgentTakaさん(No.21) 
秋はプロマネですね。昨日三好のプロマネ情報処理教科書買って帰ろうとしたらその日に売り切れてました。こんな狭い地元でプロマネ受ける（ようと思う）やつ、ほかにいるんだな・・・とか変な感心しましたよ
しょうがないからTACの薄いやつを買いましたけど、今日読んでてテクニック的にはいい本でしたね。

読解だけで解けないことをボヤくのは筋違いでは？
読解は大前提なだけであって試されてるのはそこではないかと。

学生さん
午後は採点基準が不明ですから、模範解答が掲示された後でさえ合否発表まで希望を持てます。逆に安心もできませんが。
tarオプション悪用対策などの設問では、「用意された正解」ではなく「どう考えたか」が求められているようで新鮮でした。
少しでも有効な対策であれば、不十分な対策を回答しても部分点がもらえるかもしれません。

なお、tarコマンドは本来のテープ操作も含めて長年使っていますが、あんなオプションの存在は知りませんでした。

橙色文書さん

奇跡が起きて合格するのを願うばかりです。
ただやはり知識不足を痛感したので、少し落ち着いたら秋に向けて勉強していきたいと思っています。
実務経験のある方でさえ分からないのであれば、諦めがつきますな…。

今回は午後1の問3以外はすべてWeb系に偏っているので、
Webプログラマ、Webデザイナなら、相対的に有利だったかと思います。
インシデント対応などの状況判断や対策検討などの知恵系もすくなく、
認証の動作順序やコマンド・ファイルの仕様などの知識系が多いのも今回の特徴ですね。

情報処理安全確保"実務"士 って感じでした。
最近合格率が高めだった対応ですかね。

Web技術スペシャリストって資格作って、
セキスペは企業のセキュリティを確保するために何をするのか(すべきか)に寄せてもらえると
個人的には取りやすなぁと思いました。

TACの解答速報および配点予想で自己採点してみたところ、午後Ⅰ・Ⅱとも５点足りませんでした。
「K・K」氏みたいですごくイヤ。もはや地毛ではポニーテールもできないし・・・・。

午後Ⅰは安全圏と思われる自己採点結果でしたが
自分も午後Ⅱが５点ほど足りずで・・・。
今秋の試験でリベンジし「K・K」氏にはならぬよう
明日から頑張って勉強し直します！！！

多くの皆さんが書き込みしてくださり大変感謝しております。
僕もTACで採点してみましたが、

○午後1ーーーー53点
○午後2ーーーー51点
(ただし採点基準は甘め…)

という結果でした。
半分超えたという事で少しホッとしたのと、秋に向けてまた頑張りたいと思えるようになりました。試験にとらわれすぎない勉強が大事なのかなとも少し思っております。なので、短期集中しすぎず、じっくり知識を蓄えていこうと思います。令和4年度春試験、間違いなく良い勉強になりました！

午後１  ５４点
午後２  ５６点

今回えぐすぎる気がします・・・
腹立つ

午後Iはなんとかいけそうだったんですが
午後IIは問1のクリックジャッキングで勘違いして落としまくって
よくて58点ぐらいで落ちる予定です
悔しいけど、秋に頑張ります

午後１ 41点 甘めで54点
午後2   75点
でした

午後1がだめってことは基礎知識が足らんってことだと思うのでそこら辺勉強します

午前1と2、午後1は合格点越えて、午後2は57点なのでもし記入問題で正解か部分点をもらえる事が出来たら合格かな。
問題理解して回答も合ってそうに記載もしたけど、言い回しが微妙なので採点者がどう判断するか。

全く勉強せずで舐めてかかってた。せめて1時間でも10分でも1分でも勉強すれば変わったかも。

改めてピエン士は国語力と感じたので、落ちたら国語力高めるというか、過去問やってみて点数もらえる言い回し学ぶ予定。

この投稿は投稿者により削除されました。(2022.04.24 17:10)

tarのcheckpoints option、たしかに今GNUのを見たらマニュアルにありましたね。
問題作成者もよくこんなの知ってるな、と感心しました。
ただ、これposixの規定じゃなくてGNU拡張ですね 実装者は何を考えてこんな実装にしたんだろう・・・。
pubs.opengroup.org/onlinepubs/7908799/xcu/tar.html
にそんなオプションないので

GNU tar 1.34: 3.8 Checkpoints
www.gnu.org/software/tar/manual/html_section/checkpoints.html

NECセキュリティブログ
本当は怖いワイルドカード（「*」）
jpn.nec.com/cybersecurity/blog/210903/index.html

ほんとに最近悪用されたんだろうな、と思う日付ですね。

学生さん先輩
こんばんは

明日から大型連休に入りますのでSCに本腰入れて、第1回全日本代表SC合格強化合宿！
に突入します。
分からないことあったらご質問させて頂きますのでご指導ご鞭撻のほど何卒よろしくお願い申し上げます。
よっしゃ、何が何でも午前Ⅰ免除の残り3回以内で仕留めよう！！！
学生さん先輩は高校生でSC目指していて本当に受験しきったことがまず誇りに思います。
さすがわたしが見込んだ人財ですね！
んー、それがわたしの唯一の自慢です。わははは

GinSanaさん
tarのGNU拡張ほどの驚きはありませんでしたが、sudoの使い方も初見でした。
設定ファイルを開いたとき例文を目にしたかもしれませんが印象に残っていません。
そもそも、ログインできないうえに乗っ取られやすいwww（httpデーモン専用ユーザ）にsudoを実行させる発想がありませんでした。

アクセス制御を十分に理解していないアプリケーション開発者さんが構築した環境なら、GNU tarより危険なphpコマンドやpythonコマンドがsudoやsetuidでroot実行されていてもおかしくはない、と気付いたところです。

橙色文書さん(No.40) 
ほんとはtarもcpioもとっくにposix的にはpaxがあるからってことで記述が削除された（paxなんか実際の出題で出されたら詳しく答えられる自信はない）んですが、GNUだけこうみたい
kaworu.jpn.org/doc/FreeBSD/jman/man1/tar.1.php
なので、手抜き回答でよければCoreutilsからtarを抜いてBSD実装のtarにしろとか言えてしまうんですが、
まあふつうはsudoersで制御しろよとなりますかねえ。sudoersならふつうにどこの現場でもやります。
ただ雑な現場ではやらんかったかもしれん・・・雑なやつはどこまでも雑なので

>tarのGNU拡張ほどの驚きはありませんでしたが、sudoの使い方も初見でした。
>そもそも、ログインできないうえに乗っ取られやすいwww（httpデーモン専用ユーザ）にsudoを実行させる発想がありませんでした。

実際に出題されてみてああー・・・まああるかもしれん・・・ってなるところが大きいですよね  2014年のbashのshellshockみたいな衝撃でしたね

>アクセス制御を十分に理解していないアプリケーション開発者さんが構築した環境なら、GNU tarより危険なphpコマンドやpythonコマンドがsudoやsetuidでroot実行されていてもおかしくはない、と気付いたところです。
特に一般企業のサーバとして機能しているGNU/Linuxにありがちですね。使えりゃいいみたいなところがプライオリティが異常に高いフシがあるので。ほんとに

ただ、実際の処理としてsudoersで一般権限のユーザで書いてGNU tar経由のsudoは無効になるのか？はまだ実験してないけど、行ける気はしている
どちらかというとsudoersはsudoのパスワード打ちたくないから入れてる現場は多いんですが（ミドルウェア制御コマンドとかをシェルスクリプトで使いたいとき）

毎回いるように感じますが、初めて受験して一発合格される方が今回もいると思うので、どのような勉強してるのか気になります。
きっとまた結果発表の後に、一発合格を喜ぶコメントが投稿されるのでしょうね。
こちらは一発という記録はもう無理なので、諦めずにコツコツ頑張るだけです。

GinSanaさん(No.41) 
NASがLinuxベースという前提なので、tarコマンドに代えてcpioコマンドを使用するのが最も簡易な対策と考えました。試験の翌日に。
tarアーカイブが展開できて標準的で、execオプションのようなものが存在しなければ他のコマンドでも大差ないはずです。
根本的にはwwwのsudo実行を許可しているのが弱点ですので、wwwがダウンロードしたアーカイブファイルをrootが存在確認して展開するようなsudo不要の対策が理想でしょう。
何も持ってない受験中の5分10分でこれらを検討するのは不可能ですが。

やってしまった。
複雑に考えて、自分勝手なストーリーを組み立てて、自己都合の回答を導き出してた。
肝心なのは、問題文にある言葉を使い簡潔に記載する事。
TACなどの回答を見て、結局は技術力ではなく国語力だと痛感しました。
自己都合のストーリーは考えないようにしなくては。

初投稿です。お手柔らかにお願い致します…。

統計的にも、今回は前回に比べて、午後は難しかったということになりそうです。
IPAの資料から、各試験の通過率を計算したのですが、下記のようになりました。

試験種目      前回通過率％    今回通過率％    増減％
午前１        ４７．９０      ５６．６２      ＋８．７２
午前２        ８０．４１      ８７．４０      ＋６．９９
午後１        ５７．７５      ４９．９３      －７．８２
午後２        ６０．１９      ５８．０３      －２．１６

午前は前回に比較して通過率が上がっていますが、午後は下がっています。
特に、午後１は非常に難しかったということが言えるようです。