春試験合格に向けて頑張っていきましょう(3月)

ケアンズさん  
(No.1)
3月も早くも3日、本試験まで44日です。

スレッドタイトルを
「 受験者様合格発表お疲れ様でした。part2」から改め
「春試験合格に向けて頑張っていきましょう(3月)」に変更しています。

ようやく1周目、重点対策、本日、年休でしたので
ラスト第10章  インシデント対応は完了しました。
やはり、知識の定着のため、本試験までに最低3周は必要かなと思っています。
とはいえ、やはり要領が大事ですね。
2周目は、理解していなかった部分を中心に復習しようと思います。

過去問解いた後にすることは、重点対策のP71に記載されていますが、ここが重要です。
これまで、解きっぱなしで、いざ本試験で引き出しとして活用できていませんでした。
このあたりを意識して、繰り返し学習したいとも思います。

引き続き、皆さま、頑張っていきましょう。
2023.03.03 18:11
みよちゃんさん 
(No.2)
某参考書は2周終わりましたが、解説が物足りません。
IPA公式解答に逆算して記載しているだけのものがあります。

「これは、どういうケースが考えられるかというと  A  の場合が考えられます。
よって解答としては  A  のように答えます。」

ちゃんと解答に導いてくれ、と思います。
2023.03.03 23:07
pixさん 
SC ダイヤモンドマイスター
(No.3)
老婆心ながら私の学習方法をアドバイスさせていただきます。
宜しければご参考にしてください。

「重点対策」はその名のとおり、午後の解法のポイントのみの参考書です。
この本のみですと
・問題の演習量
・出題パターンの把握
の2点が不足すると思います。

残り1か月半の学習としては
・メインの学習としてIPAの過去問周回(過去10回分)で演習量をこなす。
・「重点対策」は副読本として隙間に復習する(読むだけ)
・残り1か月前くらいから「うかる! 情報処理安全確保支援士 午後問題集」で
  国語力を底上げする。
あたりがよいかと思います。
2023.03.03 23:56
ケアンズさん  
(No.4)
これからの、おすすめ本は、過去問を解いたり読んでいるのが前提ですが、
「SCうかる情報処理支援士」村山直紀著ですね。
10問理解するのに1時間位かかっていますが、繰り返すと早くマスターできることを信じてですね。効率的に。
2023.03.04 00:26
ケアンズさん  
(No.5)
PiXさん

アドバイス頂きありがとうございます。
今後の対策や学習法、認識あってました。あとは、10回分の過去問を繰り返して解き、本試験時の対応力をつける、なかなか大変ですが、受かるにはこの壁を越えないとですね。
2023.03.04 00:33
ケアンズさん  
(No.6)
【SC過去問】  
令和2年  午後Ⅱ  問2  設問1について教えてください。

<問題文>
OTPアプリ初期設定用のQRコードを表示する機能へのアクセスは、E社の利用者IDでログインするときには、②E社のネットワークからのアクセスに制限することにした。

<設問1>
②についてE社のネットワークからのアクセスだけに制限しなかった場合、OTPについて
どのような問題が起きると考えられるのか?起きると考えられる問題を30字以内で述べよ。

<IPAの解答>
第三者のOTPアプリで不正にOTPを生成される

<自身の解答>
第三者にQRコードを窃取され、OTP悪用で不正ログインされる

条件として「E社のネットワークからのアクセスだけに制限しなかった場合」なので、
第三者が登場すると考えられますが、OTPについての問題とは、「OTPの悪用で不正ログインされる」では厳しいですか?

OTPを生成は、思いつきませんでした。解説の程、よろしくお願いします。
2023.03.05 08:17
pixさん 
SC ダイヤモンドマイスター
(No.7)
>ケアンズさん
日本語&詳細な状況の問題です。
IPAの問題は前後の「原因」-「結果」の因果関係を明確に示すのが基本です。
以下因果関係の説明になります。宜しければ参考にしてください。

正答の因果関係は以下です。
状況:「E社のネットワークへだれでもアクセスできる」
問題:「誰でもOTPを生成できる」
状況と問題の関係がストレートに繋がります

誤答の因果関係は以下のように関係が曖昧です。
問題:「QRコードを窃取される」
ここから逆算して想定できる状況
・「ショルダーハッキングによる盗み見」
・「マルウェアによるQRコード画面のスクリーンショットの窃取」
問題から複数の状況が考えられてしまうので、因果関係として不適切です。

問題:「OTPの悪用で不正ログイン」
ここから逆算して想定できる状況
・「誰でもOTPを生成されてしまった」
・「QRコードを窃取されてしまった」
問題から複数の状況が考えられてしまうので、因果関係として不適切です。

SCの問題では度々因果関係の正確性が解答になるケースがあります。
・原因と結果が一対一で結びついている
・原因と結果の間に別の原因と結果が挟まれていないこと

このあたりがIPAの試験が国語の問題と言われてしまう所以です。
逆に言えば、このあたりまで国語的に文章を読解できれば合格に近づけると
思います。
2023.03.05 09:39
ケアンズさん  
(No.8)
PiXさん

早速の解説、アドバイス頂きありがとうございます。

>SCの問題では度々因果関係の正確性が解答になるケースがあります。
>・原因と結果が一対一で結びついている
>・原因と結果の間に別の原因と結果が挟まれていないこと

この観点で解答作成を行わないと、誤答になりますね。
頭の中が整理されていない状態ですと、間違ってしまいますね。
的外れな解答をチェックし防止したいと思います。

ITECの「総仕上げ問題集」には、以下の解説が記載されていました。

E社のネットワークからのアクセスだけに制限しなかった場合は
何らかの手口によって、第三者がPCのWEBブラウザとIDaaS-Yの通信に介入する中間者攻撃を受ける可能性がある。
中間者攻撃が成功すると、第三者は、初期設定を行った従業員の利用者IDとパスワード
さらに初期設定用のQRコードを窃取できる。そして当該QRコードを自身のOTPアプリで
読み込めば、第三者は窃取した利用者IDとパスワードに加え、窃取したQRコードに含まれるシェアードシークレットを使用して生成されるOTPを悪用してIDaaS-Yの2要素認証を突破できることになってしまう。

よって、「第三者のOTPアプリで不正にOTPを生成される」との解答でした。

窃取したQRコードに含まれる「シェアードシークレットを使用して生成されるOTPを悪用」してIDaaS-Yの2要素認証を突破できることになってしまう。

この「」部分を思いつくには、やはりOTPのERコードの知識が無いと「生成する」という
解答まで導けないですね。窃取されるまではイメージできるのですが、このあたりが知識が浅い課題です。

1つ1つの解答訓練と技術の明確な理解が重要と痛感しました。
ありがとうございます。補足があれば、お願いします。
2023.03.05 12:06
pixさん 
SC ダイヤモンドマイスター
(No.9)
間違いではないのですが、ITECの解説は少し物足りない気がします。
私の想定している状況・解釈をお伝えします。

ITECの解説は「中間者攻撃」によるQRコードの窃取を上げています。
「窃取」という言葉を使っており、これは正答である「QRコードの生成」という
解答に対して、要点を得ていないと思われます。
あくまでも第三者による「生成」を軸に解説を展開しないと、物足りない解説に
なります。

IPAの想定している状況は、P16「要件2:T環境へのログインパスワードが
見破られても、それだけでは不正アクセスできないように2要素認証を行う。」です。
2要素認証によって、
・パスワードによる知識情報
・OTPアプリによる所持情報
を実現しようとしています。
これは「T環境へのログインパスワード」が何等かの理由で、流出・窃取されたと
してもOTPアプリによる2要素認証で防ぎたいという意図があります。

しかし、OTPアプリの初期設定用のQRコードの生成がE社からのネットワーク以外からも
生成できてしまうと「T環境へのログインパスワード」が何等かの理由で、流出・窃取
されただけでT環境へでログインされ、QRコードを生成されてしまうという懸念が
発生します。
これでは、せっかくの2段階認証システムが「T環境へのログインパスワード」を
突破されただけで2段階認証システム自体が破られてしまうという脆弱性となっています。

IPAからは解答例は発表されますが、理由は発表されません。そのため、解釈の
仕方については解釈した人により、若干変化してしまうのは否めません。
メジャーな参考書の解説もそれがすべて正とはかぎらないのが、この試験の
悩ましい点です。
2023.03.05 12:39
ケアンズさん  
(No.10)
Pixさん

以下、解説ありがとうございます。

しかし、OTPアプリの初期設定用のQRコードの生成がE社からのネットワーク以外からも
生成できてしまうと
「T環境へのログインパスワード」が何等かの理由で、流出・窃取されただけでT、環境へでログインされ、QRコードを生成されてしまうという懸念が発生します。
これでは、せっかくの2段階認証システムが「T環境へのログインパスワード」を
突破されただけで2段階認証システム自体が破られてしまうという脆弱性となっています。

なるほどですね。よく理解できました。
理由がわかりました。

ITEC大手の解説でも不足していることがあるんですね。鵜呑みにさしないようにですね。

あと、せっかくOTPの問題がでたので左門さんの
サイトで復習しました。こうやって知識を広げていく習慣が必要てすね。そのあたりのもう一歩が大事と思います。ありがとうございます。
2023.03.05 13:31
ケアンズさん  
(No.11)
PiXさん

窃取したQRコードに含まれるシェアードシークレットを使用して生成される。

ここの詐取したQRコードが、生成と矛盾しているところですね。ありがとうございます。
2023.03.05 14:02
ケアンズさん  
(No.12)
1点教えてください。


令和3年秋  午後1
設問3 (Ⅰ)③鍵ペアの秘密鍵には、十分な強度のパスフレーズを設定する。

③について、パスフレーズを設定する目的を30字以内で具体的に述べよ。

<正解>
保守員以外が不正に秘密鍵を利用できないようにするため。
秘密鍵が盗まれても悪用できないようにするため。

<自身の回答>
攻撃者に秘密鍵を窃取、盗聴されないように防止するため。

パスフレーズの意味がよくわかっていなかったため、上記の回答をねじこみましたが、
部分点は、もらえるのでしょうか。
「十分な強度のパスフレーズ」なので、暗号化しているのではないかと推測しました。


◎全体的に設問には、理由や目的の回答を求める問題が多いですが

目的:防止するため、悪用できないようにするため
など、セキュリティで問われる目的の回答においていくつか「キーワード」を自分の中で整理しておけば
全て内容がわからないケースでも、なんとか回答を導けるきっかけになるのではないかと思いました。

よろしくお願いします。
2023.03.11 10:46
ケアンズさん  
(No.13)
正しく理解しようと思います。

パスフレーズ

認証(本人確認)を行うための文字列であるパスワードの中でも、特に使用される文字数が長大であるパスワードのことである。パスフレーズは通常よりも高度なセキュリティを施したい場合の認証技術として用いられる
2023.03.11 10:51
ケアンズさん  
(No.14)
もう1問お願いします。

令和3年秋  午後1 問3
設問3 設問3

あらかじめ登録した実行ファイルだけの実行をファイルのハッシュ値を比較することによって
許可するソフトウェア(以下Yソフトという)の導入を検討することにした。

⑥ある種のマルウェアは実行を禁止できない。
 (2)⑥についてどのようなマルウェアか?35字以内で具体的に述べよ。

<正解>
登録した実行ファイルのマクロとして実行されるマルウェア


解説では、「Yソフトは実行ファイルだけの実行をファイルのハッシュ値を比較することによって
マルウェア感染を検出するタイプなので、実行ファイルが同じであれば検出できない。
マクロウィルス(登録した実行ファイルのマクロとして実行されるマルウェアはYソフトでは
実行を禁止できない。」と記載されていますが、いまいちピンと理解できません。
このあたり、解説いただければ幸いです。よろしくお願いします。
2023.03.11 13:06
pixさん 
SC ダイヤモンドマイスター
(No.15)
>ケアンズさん(No.12) 
>攻撃者に秘密鍵を窃取、盗聴されないように防止するため。
>パスフレーズの意味がよくわかっていなかったため、上記の回答を
>ねじこみましたが、部分点は、もらえるのでしょうか。
>「十分な強度のパスフレーズ」なので、暗号化しているのではないかと
>推測しました。
残念ながら不正解と思われます。部分点はもらえないでしょう。

sshの認証は以下の2つの方式があります。
・パスワード認証(知識要素)
・公開鍵認証(所有要素)

秘密鍵にパスフレーズを付与することにより、
公開鍵認証(所有要素)-> 公開鍵認証(所有要素+知識認証)の2要素認証に
変化します。

以下の回答がNGな理由を解説します。
「攻撃者に秘密鍵を窃取、盗聴されないように防止するため。」
・秘密鍵を窃取されないように防止するため
秘密鍵自体はビット列のデータ(テキスト)で形あるものです。
パスフレーズを付与しても、直接的に窃取を防ぐことはできません。
パスフレーズは窃取されても、そのあとに悪用できないようにするための
処置になります。

・秘密鍵を盗聴されないように防止するため
公開鍵技術において、秘密鍵は媒体(サーバ、PC、その他)の中に格納
されています。利用時も媒体内で利用され、決してネットワークへ流れる
ことはありません。そのため、中間者攻撃などでネットワークを盗聴しても
秘密鍵を窃取すること自体が不可能です。

>目的:防止するため、悪用できないようにするため
>など、セキュリティで問われる目的の回答においていくつか「キーワード」を
>自分の中で整理しておけば全て内容がわからないケースでも、なんとか回答を
>導けるきっかけになるのではないかと思いました。
公開鍵技術は主に以下の3つがあり、
・公開鍵暗号
・デジタル署名
・公開鍵認証
これらの理解はSCでの必須知識です。ですので、わからない場合ではなく
確実に理解するようにしてください。

蛇足ですが、SCでは
・公開鍵技術
・TLS(証明書技術)
・DNS
・認証+認可
の知識は必須です。ここが曖昧ですとその先のステップに進むのは難しいです。
2023.03.11 13:19
pixさん 
SC ダイヤモンドマイスター
(No.16)
>ケアンズさん(No.14) 
過去に『[0896] 令和3年度秋  午後1  問3』で回答しています。

実行ファイルの認識に違いがあるようです。
MS Excelを例に挙げます。
実行ファイル:EXCEL.EXE
データファイル:マイデータ.xlsm

マクロは「データファイル:マイデータ.xlsm」に含まれます。
「実行ファイル:EXCEL.EXE」内ではありません。
そのため実行ファイルが変化するわけではないので、ハッシュ値の
検査は意味がないことになります。
2023.03.11 13:26
GinSanaさん 
SC ブロンズマイスター
(No.17)
この投稿は投稿者により削除されました。(2023.03.11 15:57)
2023.03.11 15:57
GinSanaさん 
SC ブロンズマイスター
(No.18)
xlsxとかだとそのファイル自体で実行しているように錯覚しますが、エクセルのファイルの拡張子をzipに変えて解凍してみればわかりますが(ただのxlsの場合はダメだが)、中身はxmlファイルを固めたzipなので、実行ファイルたりえないんですね。
2023.03.11 15:59
ケアンズさん  
(No.19)
PiXさん

解説頂き、ありがとうございます。


>公開鍵技術は主に以下の3つがあり、
>・公開鍵暗号
>・デジタル署名
>・公開鍵認証


上記、再度、基礎(基本)を見直しました。
ここは、きっちり理解しておかないといけない部分(必須)です。
頭の中を確り整理して、確実に理解したいと思います。


>公開鍵技術
>・TLS(証明書技術)
>・DNS
>・認証+認可

ここも同じく、基礎理解を徹底したいと思います。
ありがとうございます。
2023.03.11 17:29
ケアンズさん  
(No.20)
今日は、お休みで、令和4年秋午後1の問2を
解きました。

前回の本試験問題ですが、Log4の脆弱性の題材であり、この仕組みを理解しておけば、問題文を正しく読め、解きやすかったと思います。今回の本試験も脆弱性絡みの出題も可能性ありそうです。

最近の脆弱性のキーワードがあれば、アドバイスお願いします。私もサイトで調べてみたいと思います。
2023.03.13 20:10
受かりたいさん 
(No.21)
主様
お久しぶりです
こんばんは

今回の春試験の勉強期間
いつになく時間的制限が発生して
まさかのここ1ヶ月手付かず、、、
思う様に進まない日々です(涙
でも、やっと脱した感です!
なかなかはがゆい面もありますが、
最後まで足掻いて行きたいと思います!

忙しいのは皆んなも同じ!
やったことは絶対自分の為になるはず!

リラックスして
残り1ヶ月
濃密に頑張りたいと思います!
2023.03.22 19:12
ホーレン草さん 
(No.22)
こんにちは。
残り一か月切ってますね。
ヤバイですね・・・。

ところで、そんなヤバい状況をさらにヤバくしているのは自分くらいかもしれませんが。

「期日が迫っている何かがあるときに限って、別の何かを猛烈に進めたくなる」
現象ってありません??

自分は今何故か、「数学」の勉強がすごい勢いで進んでいます。
文系なので高校数2Bまでしかしていないのですが、いろいろ思うところがあって、
大学教養の範囲まで学ぶことにしました。
というか学ぶことに決めたのは去年の暮れくらいなのですが、
そのうちやろっかなーとか思って全然進んでいなかったのが、
SCが迫ってきた今この時期になって、猛烈なやる気が発生している・・・。
いや、エンジンをかけるべきはSCですよ?わかっているのですが。

以上、愚痴(?)でした。
たぶん4月くらいになってガチでヤバくなったら、
SCを睡眠時間削ってやるハメになるのかと・・・。

せっかくここ来たので過去問道場解いて帰ります。
2023.03.23 01:29
ケアンズさん  
(No.23)
本試験まで、22日ですね。
先週18日土曜日にTAC模擬試験受験しました。
午後1、2ともに6割とれてました。

やはり本試験の方が難しい感じがしました。
過去問10回分の繰り返しが、やはり大事ですね。令和4年秋、春は、左門さんの解説本で繰り返し、平成30年までは、何度も試験前日まで繰り返したいと思います。この繰り返しを行なっていなかった点が、これまで敗北の原因と思います。

みなさま、充実した週末にしていきましょう。
2023.03.25 00:33
ちょーさんさん 
(No.24)
ホーレン草さん

ディープラーニングを理解するために偏微分、線形代数、確率統計が必要になると聞いたことがあります。AIエンジニア目指していらっしゃるなら、大学教養の数学を勉強するのもいいと思います。

自分は道楽で数学にハマった経験があります。社会人10年目の時に、新潮文庫の「フェルマーの最終定理」「博士の愛した数式」が流行っていまして、読んだところ、複素関数を勉強したくなり、岩波書店の「理工系の数学入門コース」の該当巻を買って収録問題を一ヶ月半くらいかけて解きました。楽しさや達成感は得られましたが、到達度が分かりません。結局、本業の分野を勉強できて合否を判定して貰えるIPA試験にやりがいを求めるようになりました。FE→AP→SCと少しずつ取るうちに、数学への熱は冷めていきました。その後、天気予報を見ては気象予報士の勉強をしたくなったり、カロリーメイトの箱を見ては高校化学を勉強したくなることがありますが、ネスペ取ってからにしろ、と自身に言い聞かせております。
2023.03.27 01:17
ちょーさんさん 
(No.25)
ホーレン草さん

やる気スイッチが入らない場合、受験費が届いたら向き合い、試験日までに出来ることをやるのがいいと思います。

受験票が届いたらすぐ写真を貼り、会場が土足厳禁なら上履きを用意。前日まで午後の過去問演習を続ける。受験票到着時点で午後対策が未着手で、時間が取れない場合は午後1だけやる。試験日当日は、全然学習が進まなくても、他に用事がない限り会場に向かう。途中の試験の出来が悪くても午後2まで受験し、どの試験も途中退出せず、時間一杯頑張る。今まで勉強していなくても、会場に行けば一回分の問題解答に全集中できるので、落ちても次回に活かせる。
2023.03.28 08:27
受かりたいさん 
(No.26)
>ちょーさん
良い切り替え方法ですね!
こんにちは

何があっても
全力で試験に挑む姿勢が大事!って事ですね!

参考にさせて頂きます!^_^

>ホーレン草さん
分かります!
私も、他のしたい学習が色々あって
目うつりしまくりです><

pix先生に
高度の技術系三種の神器を薦めていただき
高度取得に力を入れることに集中しよう!と
戻ってこれました!

私も同じく数学学習(AI関連系)したいですよー^p^
2023.03.28 12:38

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop