令和7年春期試験『午後試験【問2】』
広告
管理人
(No.1)
令和7年春期試験 午後試験【問2】についての投稿を受け付けるスレッドです。
2025.4.20 00:02
qdgvhtaさん
(No.2)
設問1
a ア
b エ
c エ
d ウ
e イ
設問2
1. 使用ライブラリのバージョンが古くなる
2. 新たな攻撃手法を検証する
設問3
(1) ウ
(2)単位時間あたりの接続試行回数が複数ある場合、担当者に通知する
(3)クライアント証明書を使う方法
設問4
(1)URLを変更するだけで良いため、再現性が高い
(2)管理者が設定したパスワードを保持、推測する必要があるため、再現性が低い
設問5
(1)わすれた。
(2)EPSS値の測定
(3)P社の診断は実際に脆弱性を悪用できるか検証するため
設問6
m A
n A
o C
p A
q B
r B
s A
t S
a ア
b エ
c エ
d ウ
e イ
設問2
1. 使用ライブラリのバージョンが古くなる
2. 新たな攻撃手法を検証する
設問3
(1) ウ
(2)単位時間あたりの接続試行回数が複数ある場合、担当者に通知する
(3)クライアント証明書を使う方法
設問4
(1)URLを変更するだけで良いため、再現性が高い
(2)管理者が設定したパスワードを保持、推測する必要があるため、再現性が低い
設問5
(1)わすれた。
(2)EPSS値の測定
(3)P社の診断は実際に脆弱性を悪用できるか検証するため
設問6
m A
n A
o C
p A
q B
r B
s A
t S
2025.04.20 15:35
りんさん
(No.3)
設問1はわからなくて全部アにしたんですが、正解わかる人いますか?
2025.04.20 15:37
にんじんさん
(No.4)
設問2、診断手順が変更又は更新されたと書きました
2025.04.20 15:39
午前余裕マンさん
(No.5)
aはシングルクォーテーションが正しく設定されるだけなので、イですね(たぶん)
2025.04.20 15:42
どぅーえさん
(No.6)
設問3(3), デバイス証明書にしたんですがどうなんでしょう。この辺の違いをちゃんと理解してない...
2025.04.20 15:51
ななしさん
(No.7)
>aはシングルクォーテーションが正しく設定されるだけなので
シングルクォートが1つだけ設定されることによるSyntaxエラーで、エだと思いました(たぶん)
2025.04.20 15:59
落ちたさん
(No.8)
構文エラーもコンテンツ表示されません、じゃないですかね?そんな感じのことが表に書かれてあった気がします
2025.04.20 16:22
昼ごはんさん
(No.9)
設問1ってアとイ以外ってあり得るんですか?
2025.04.20 16:26
悲しいさん
(No.10)
e以外とりあえずアにしちゃった
記述は今回の試験の中だと全体的にしやすかった印象がある
記述は今回の試験の中だと全体的にしやすかった印象がある
2025.04.20 16:26
午後12さん
(No.11)
午後問、ここのスレッドの伸びが鈍いのは皆選ばなかったのかな?
2025.04.20 16:28
わからんさん
(No.12)
俺もアアアアイとかにした。
ニワカだからア、イ以外の内部エラーとかいつでるのかわからん。
・SQLの構文エラーの時は選択肢アになるて書いてあった
・SQLでの検索は数値型としてって書いてあったからプログラムでシングルコーテーションつけないのかと思った
ニワカだからア、イ以外の内部エラーとかいつでるのかわからん。
・SQLの構文エラーの時は選択肢アになるて書いてあった
・SQLでの検索は数値型としてって書いてあったからプログラムでシングルコーテーションつけないのかと思った
2025.04.20 16:35
初挑戦さん
(No.13)
設問6とちくるって対応優先度を数字で書いていた。。
2025.04.20 16:39
まぐろさん
(No.14)
こちらにも回答晒します
設問1(わからん)
abcde=アウイウイ
設問2
f CVSS環境値が変化していたこと
g CVSS現状値が変化していたこと
設問3 (わからん)
(1)ア
(2)この攻撃はregreSSHionに関するものである。
認証に成功していない多数のSSH認証が到来しOpenSSHログに大量の認証タイムアウトが含まれていないかどうかサイトのサーバーログからチェックする
(3)クライアント側証明書によるチェックをする
設問4
(1)一般権限だけで悪用可能、しかもリクエストパラメタを変更するだけで済むため
悪用に管理者権限が必要、かつ複数のURLを経由しなくてはならないため
(2)3
設問5(わからん)
現状値は算出のために他の環境値などの数値を必要とする
EPSSはそれ自体を指標として使える
L:脆弱性の有無について再診断
妥当な理由→見つかった脆弱性はいずれも実際に悪用可能なため
設問6(わからん)
順にAACAABAS
設問1(わからん)
abcde=アウイウイ
設問2
f CVSS環境値が変化していたこと
g CVSS現状値が変化していたこと
設問3 (わからん)
(1)ア
(2)この攻撃はregreSSHionに関するものである。
認証に成功していない多数のSSH認証が到来しOpenSSHログに大量の認証タイムアウトが含まれていないかどうかサイトのサーバーログからチェックする
(3)クライアント側証明書によるチェックをする
設問4
(1)一般権限だけで悪用可能、しかもリクエストパラメタを変更するだけで済むため
悪用に管理者権限が必要、かつ複数のURLを経由しなくてはならないため
(2)3
設問5(わからん)
現状値は算出のために他の環境値などの数値を必要とする
EPSSはそれ自体を指標として使える
L:脆弱性の有無について再診断
妥当な理由→見つかった脆弱性はいずれも実際に悪用可能なため
設問6(わからん)
順にAACAABAS
2025.04.20 16:41
Tekさん
(No.15)
うーん、設問1が皆さんと全然ちがうなぁ。。なんかミスったかなぁ
2025.04.20 16:50
脆弱性普段見てる人さん
(No.16)
解答用紙にEPSSの文字列を見た瞬間解くと決めました
2025.04.20 16:50
ダメだこりゃさん
(No.17)
設問2は
P社が関わっていない診断方法があったため以下にしました。
f:診断ツールを用いたため
g:情報システムが検証したため
P社が関わっていない診断方法があったため以下にしました。
f:診断ツールを用いたため
g:情報システムが検証したため
2025.04.20 16:51
touristさん
(No.18)
設問1
a〜d: ア、e: イ
設問2
f: 新たなCVE等の脆弱性の発見・公表
g: 計算機の能力向上による暗号強度の低下
設問3
(1)ウ
(2)OpenSSHに対し短時間の内に大量のタイムアウトした認証試行があった場合、その事をサイト担当者に知らせるアラームを送るようにサイトBのサーバーに設定する方法
(3)TLSのクライアント認証機能による認証
設問4
(1)WA-1: パラメータitemの5桁の数字を変えるだけという、誰でも容易に着想、実行できる脆弱性の為。
WB-1: 一般利用者では本来知り得ない、発注確認機能のURLを知らないと悪用できない脆弱性の為。
(2)3
設問5
(1)適当に書いた為、省略
(2) 同上
(3)実際に悪用可能であると確認できた脆弱性のみが報告されるため。
設問6
A, A, C, A, B, B, A, S
a〜d: ア、e: イ
設問2
f: 新たなCVE等の脆弱性の発見・公表
g: 計算機の能力向上による暗号強度の低下
設問3
(1)ウ
(2)OpenSSHに対し短時間の内に大量のタイムアウトした認証試行があった場合、その事をサイト担当者に知らせるアラームを送るようにサイトBのサーバーに設定する方法
(3)TLSのクライアント認証機能による認証
設問4
(1)WA-1: パラメータitemの5桁の数字を変えるだけという、誰でも容易に着想、実行できる脆弱性の為。
WB-1: 一般利用者では本来知り得ない、発注確認機能のURLを知らないと悪用できない脆弱性の為。
(2)3
設問5
(1)適当に書いた為、省略
(2) 同上
(3)実際に悪用可能であると確認できた脆弱性のみが報告されるため。
設問6
A, A, C, A, B, B, A, S
2025.04.20 17:01
touristさん
(No.19)
EPSS詳しい方いたら設問5どう書いたか是非教えてほしいです
2025.04.20 17:27
生きたいさん
(No.20)
設問1ってbだけがイじゃなくて?
なんでeがイにしてる人多いのかしら
なんでeがイにしてる人多いのかしら
2025.04.20 17:42
Tekさん
(No.21)
私もbだけがイです。
2025.04.20 17:48
morisan3さん
(No.22)
落ちた気しかないので参考になりせんが、、。
—
設問1
a:ウ、b:イ、c:ア、d: エ、e: エ
設問2
f: 新たな脆弱性による診断ツールのアッデート
g: 時間の経過でCVSS値が変化した事
設問3
(1)ア
(2)OpenSSHのアクセスログを監視し、Timeout before authentication が1分間に数十回出ている場合にメールなどでアラートを通知する。
(3)パスワード認証から公開鍵認証に変更する。
設問4
(1)WA-1: 一般の利用者であってもアイテムが日付からなる数値のため容易に推定してURLを作ることができるため。
WB-1: 管理者権限で
のログインとURLの確認が必要になり、URLは容易に推定できないため。
(2)6
設問5
(1)現状: 診断ツールでウェブを分析しなければいけない
EPSS: ソフトウェアのバージョンなどの机上の情報で分析でして産出できるため
(2) ソフトウェアのバージョンアップ
(3)実際にソフトウェアを検査する診断ツールの方が精度が高いため。
設問6
A, A, B, A, B, B, A, S
—
設問1
a:ウ、b:イ、c:ア、d: エ、e: エ
設問2
f: 新たな脆弱性による診断ツールのアッデート
g: 時間の経過でCVSS値が変化した事
設問3
(1)ア
(2)OpenSSHのアクセスログを監視し、Timeout before authentication が1分間に数十回出ている場合にメールなどでアラートを通知する。
(3)パスワード認証から公開鍵認証に変更する。
設問4
(1)WA-1: 一般の利用者であってもアイテムが日付からなる数値のため容易に推定してURLを作ることができるため。
WB-1: 管理者権限で
のログインとURLの確認が必要になり、URLは容易に推定できないため。
(2)6
設問5
(1)現状: 診断ツールでウェブを分析しなければいけない
EPSS: ソフトウェアのバージョンなどの机上の情報で分析でして産出できるため
(2) ソフトウェアのバージョンアップ
(3)実際にソフトウェアを検査する診断ツールの方が精度が高いため。
設問6
A, A, B, A, B, B, A, S
2025.04.20 17:51
touristさん
(No.23)
articleはSQLで数値型なので、余分なシングルクォート入れると構文エラーになると判断
2025.04.20 17:53
morisan3さん
(No.24)
設問1 aは、シングルクォーテーション以後で文字入力待ちにななると思い。サーバーから返されない、ウ、にしました。
2025.04.20 17:57
悲しいさん
(No.25)
EPSSとか全く詳しくないけど手間がかからない理由とか機械が勝手に評価してくれるからくらいしかないよなと思ってそれ書きましたね
2025.04.20 17:58
Tsubon5さん
(No.26)
設問6は漢字で書いてしまったけど点数貰えるかな………
2025.04.20 18:04
落ちたさん
(No.27)
落ちた(得点源のセキュアコーディング出ず。。問3もボロボロ)
設問1
a:ア、b:イ、c:ア、d: ア、e: イ
設問2
f: 既知の脆弱性のバージョンアップ漏れ
g: リリース後の新たな攻撃に関する脆弱性
設問3
(1)ア ※これウが正解ですね。。選択肢ちゃんと見てなかった・・・
(2)認証試行の接続時間内に、認証試行回数のしきい値を設け、その回数を超えた場合にサイト担当者に通知するツールを導入する。
(3)ホワイトリストで許可したPCを認証する。
設問4
(1)WA-1: リクエストのパラメータitemが5桁の数字で容易に推測でき、攻撃が簡単だから。
WB-1: 管理者用アカウントでログインする必要があり、かつ同じブラウザでURLを入力する必要があ理。攻撃が複雑だから。
(2)3
設問5
(1)現状: 一般的な数値であり、自社の環境で発生するかの評価が必要になるため。
EPSS: 攻撃されやすいかどうかの数値であり、評価がしやすいため。
(2)EPSS値の更新
(3)脆弱性が実際に悪用できることを確認して報告しているため。
設問6
A, A, C, A, A, B, A, S
設問1
a:ア、b:イ、c:ア、d: ア、e: イ
設問2
f: 既知の脆弱性のバージョンアップ漏れ
g: リリース後の新たな攻撃に関する脆弱性
設問3
(1)ア ※これウが正解ですね。。選択肢ちゃんと見てなかった・・・
(2)認証試行の接続時間内に、認証試行回数のしきい値を設け、その回数を超えた場合にサイト担当者に通知するツールを導入する。
(3)ホワイトリストで許可したPCを認証する。
設問4
(1)WA-1: リクエストのパラメータitemが5桁の数字で容易に推測でき、攻撃が簡単だから。
WB-1: 管理者用アカウントでログインする必要があり、かつ同じブラウザでURLを入力する必要があ理。攻撃が複雑だから。
(2)3
設問5
(1)現状: 一般的な数値であり、自社の環境で発生するかの評価が必要になるため。
EPSS: 攻撃されやすいかどうかの数値であり、評価がしやすいため。
(2)EPSS値の更新
(3)脆弱性が実際に悪用できることを確認して報告しているため。
設問6
A, A, C, A, A, B, A, S
2025.04.20 18:18
あかんとこの情シスさん
(No.28)
設問2は
コンテンツの更新によって発生した脆弱性
が答えの一つになると思いました
コンテンツの更新によって発生した脆弱性
が答えの一つになると思いました
2025.04.20 18:24
ですさん
(No.29)
この投稿は投稿者により削除されました。(2025.04.20 18:37)
2025.04.20 18:37
ですさん
(No.30)
この投稿は投稿者により削除されました。(2025.04.20 22:47)
2025.04.20 22:47
ナッパさん
(No.31)
他の無理そうで仕方なくこれ選択したらのっけからわかんなくて設問1ウアアアアでしたわ(叫び)
2025.04.20 18:46
Tekさん
(No.32)
よく見てみたら、設問(1)勘違いしてました。。ACか…
今回落ちたら敗因はここな気がする…
今回落ちたら敗因はここな気がする…
2025.04.20 18:50
Cebollaさん
(No.33)
ウアアアアw
2025.04.20 18:50
Tekさん
(No.34)
4-(1)ですね。。英語をしっかり読まないといけないですね。大反省
2025.04.20 18:50
dsdさん
(No.35)
設問2
f: 時間経過による新たな脆弱性の発見
g: 既知の脆弱性の深刻度レベルの上昇
で書きました。
診断結果が異なる、のためInfo→Mediumなどレベルが変わって診断結果が変わる可能性もあるのかなと。
f: 時間経過による新たな脆弱性の発見
g: 既知の脆弱性の深刻度レベルの上昇
で書きました。
診断結果が異なる、のためInfo→Mediumなどレベルが変わって診断結果が変わる可能性もあるのかなと。
2025.04.20 19:37
molmol0000さん
(No.36)
設問1
a. ア
b. イ
c. ア
d. イ
e. イ
設問2
f. 重要サイト以外両診断をしていないこと 18文字
g. 異なる診断ツールを使用していたこと 17文字
設問3
(1)ウ
(2)覚えていない
(3)クライアント証明書を用いて認証する 17文字
設問4
(1)
WA-1
覚えていない
WB-1
ログインしたアカウントとは別のアカウントでしか閲覧できない画面を閲覧できてしまう
(2)3
設問5
(1) 覚えていない
(2) 覚えていない
(3) 脆弱性が実際に悪用できることを確認した上で報告してくれるから 30文字
設問6
m. S
n. S
o. C
p. A
q. A
r. A
s. S
t. S
a. ア
b. イ
c. ア
d. イ
e. イ
設問2
f. 重要サイト以外両診断をしていないこと 18文字
g. 異なる診断ツールを使用していたこと 17文字
設問3
(1)ウ
(2)覚えていない
(3)クライアント証明書を用いて認証する 17文字
設問4
(1)
WA-1
覚えていない
WB-1
ログインしたアカウントとは別のアカウントでしか閲覧できない画面を閲覧できてしまう
(2)3
設問5
(1) 覚えていない
(2) 覚えていない
(3) 脆弱性が実際に悪用できることを確認した上で報告してくれるから 30文字
設問6
m. S
n. S
o. C
p. A
q. A
r. A
s. S
t. S
2025.04.20 22:26
fumaさん
(No.37)
設問6だけが癒し・・・
2025.04.20 22:43
ひろさん
(No.38)
問1はSQLインジェクションでコンテンツ番号は数値型だから
SELECT * FROM キャンペーン情報 WHERE コンテンツ番号=(クエリパラメータ);
ってことでOK?
例:WHERE コンテンツ番号=20250401; (20250401の記事が返る)
A:WHERE コンテンツ番号=20250401'; (構文エラー)
B:WHERE コンテンツ番号=20250401' and 'a'='a; (構文エラー)
C:WHERE コンテンツ番号=20250401' and 'a'='b; (構文エラー)
D:WHERE コンテンツ番号=20250401 and 1=0; (何も返らない)
E:WHERE コンテンツ番号=20250401 and 1=1; (20250401の記事が返る)
構文エラーは「コンテンツがありません」を返すので
ABCDE→アアアアイ
SELECT * FROM キャンペーン情報 WHERE コンテンツ番号=(クエリパラメータ);
ってことでOK?
例:WHERE コンテンツ番号=20250401; (20250401の記事が返る)
A:WHERE コンテンツ番号=20250401'; (構文エラー)
B:WHERE コンテンツ番号=20250401' and 'a'='a; (構文エラー)
C:WHERE コンテンツ番号=20250401' and 'a'='b; (構文エラー)
D:WHERE コンテンツ番号=20250401 and 1=0; (何も返らない)
E:WHERE コンテンツ番号=20250401 and 1=1; (20250401の記事が返る)
構文エラーは「コンテンツがありません」を返すので
ABCDE→アアアアイ
2025.04.20 22:43
ナガマチさん
(No.39)
鍵交換におけるビットセキュリティの基準はこんな記載がIPAのガイドラインにありました。
●鍵交換でECDHE を利用する場合には128ビットセキュリティ以上を満たす曲線(P-256や、Curve25519を用いたX25519 など)121を、DHE を利用する場合には112ビットセキュリテ
1以上を満たす鍵長(2048ビット以上)での設定をしなければならない。なお、DHE の鍵長を明示的に適切に設定できない製品を利用する場合には、DHE を含む暗号スイートは選定してはならない。
設問3 答えはウですね
●鍵交換でECDHE を利用する場合には128ビットセキュリティ以上を満たす曲線(P-256や、Curve25519を用いたX25519 など)121を、DHE を利用する場合には112ビットセキュリテ
1以上を満たす鍵長(2048ビット以上)での設定をしなければならない。なお、DHE の鍵長を明示的に適切に設定できない製品を利用する場合には、DHE を含む暗号スイートは選定してはならない。
設問3 答えはウですね
2025.04.20 23:33
Tekさん
(No.40)
鍵交換について情報ありがとうございます。
私は間違えちゃいました。1/2を外しました。。
正解した方はこれを知ってたってことですかね。。?参考書等で出くわしたことない気がします。
私は間違えちゃいました。1/2を外しました。。
正解した方はこれを知ってたってことですかね。。?参考書等で出くわしたことない気がします。
2025.04.20 23:42
なんでやねんさん
(No.41)
鍵は具体的な数字覚えてなくても曲線暗号の方が鍵長少なくても強度高いという知識があればウにできた(のを知ってたんだけど何故か選択肢読み間違えてアにしてしまった)
2025.04.21 02:17
Tekさん
(No.42)
あぁ。。今教えていただいて、やっと記憶の片隅にそんなことあったと思い出しました。ひねり出せますね。結局は勉強不足です。。
2025.04.21 02:24
syg555さん
(No.43)
設問1は令和5年春午後Ⅱ問1の設問2と同じだから答えわかるね。
2025.04.21 06:02
gaharaさん
(No.44)
回答速報が出てきたときの確認用
問1
a ア
b イ
c ア
d ア
e ア
問2
f
初回リリース後の両診断の実施は任意なこと
g
重要サイト以外のサイトの両診断は任意
問3
(1)
ア
(2)
認証思考のタイムアウト処理が同時に多数実行されると、サイト担当者に通知を行う。
(3)
クライアント証明書による認証を行う。
問4
(1)
一般会員が本来閲覧できない商品は個人情報では無く、重要情報ではないから。
(2)
他人の発注情報は個人情報で、重要情報だから。
問5
(1)
現状値
現状のソフトウェアの仕様から値を設定する必要があるから。
EPSS値
決められた値を使用すれば良いから。
(2)
定期的なP社による診断の実施
(3)
脆弱性が実際に悪用できることを確認した上で報告しているから。
問6
m A
n A
o C
p A
q B
r B
s A
t S
問1
a ア
b イ
c ア
d ア
e ア
問2
f
初回リリース後の両診断の実施は任意なこと
g
重要サイト以外のサイトの両診断は任意
問3
(1)
ア
(2)
認証思考のタイムアウト処理が同時に多数実行されると、サイト担当者に通知を行う。
(3)
クライアント証明書による認証を行う。
問4
(1)
一般会員が本来閲覧できない商品は個人情報では無く、重要情報ではないから。
(2)
他人の発注情報は個人情報で、重要情報だから。
問5
(1)
現状値
現状のソフトウェアの仕様から値を設定する必要があるから。
EPSS値
決められた値を使用すれば良いから。
(2)
定期的なP社による診断の実施
(3)
脆弱性が実際に悪用できることを確認した上で報告しているから。
問6
m A
n A
o C
p A
q B
r B
s A
t S
2025.04.21 11:42
コナンさん
(No.45)
設問1
エエエアア()
設問2
f 前回診断後以降に脆弱性が発覚したこと
g 前回は異なる診断ツールを利用したこと
設問3
(1)ウ
(2)認証タイムアウトのログが出力されたらサイト担当者にアラート通知をする
(3)macアドレスを使ったデバイス認証()
設問4
(1)
WA-1 パラメータを変更するのみであり、手順が単純だから
WB-1 管理者権限が必要であり、攻撃成立までの手順が複雑だから
(2)3
設問5
(1)
現状値 現状の構成を考慮したうえで各脆弱性について評価する必要があるため
EPSS 攻撃の可能性について、一定の基準に則って評価するため
設問6
AACABBAS
ホンマにいい加減ネットワーク出して
エエエアア()
設問2
f 前回診断後以降に脆弱性が発覚したこと
g 前回は異なる診断ツールを利用したこと
設問3
(1)ウ
(2)認証タイムアウトのログが出力されたらサイト担当者にアラート通知をする
(3)macアドレスを使ったデバイス認証()
設問4
(1)
WA-1 パラメータを変更するのみであり、手順が単純だから
WB-1 管理者権限が必要であり、攻撃成立までの手順が複雑だから
(2)3
設問5
(1)
現状値 現状の構成を考慮したうえで各脆弱性について評価する必要があるため
EPSS 攻撃の可能性について、一定の基準に則って評価するため
設問6
AACABBAS
ホンマにいい加減ネットワーク出して
2025.04.21 12:53
コナンさん
(No.46)
設問5が一部抜けてたので追記。。
設問5
(2)新たに報告された脆弱性の確認(絶対に違う)
(3)P社の診断では実際に脆弱性が悪用できることを確認しているため
設問5
(2)新たに報告された脆弱性の確認(絶対に違う)
(3)P社の診断では実際に脆弱性が悪用できることを確認しているため
2025.04.21 13:21
脆弱性2問選択さん
(No.47)
設問6、救いのサービス問題だなぁと思いつつ、この掲示板でちらほら回答が別れてるので自信なくなった。。
私はAACABBASと書いたけど果たしてどうなることやら。
EPSS値のしきい値Bは1%だから、EPSS値は1%以上の場合は領域1か3よな?
私はAACABBASと書いたけど果たしてどうなることやら。
EPSS値のしきい値Bは1%だから、EPSS値は1%以上の場合は領域1か3よな?
2025.04.21 15:57
scさん
(No.48)
問題のベースこれらしい
https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2024/risk-assessment-methods.html
pdfの64ページあたり
https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2024/risk-assessment-methods.html
pdfの64ページあたり
2025.04.21 21:01
ほげさんさん
(No.49)
脆弱性2問選択さん、同士です。
2025.04.22 20:25
こう見えて五回目さん
(No.50)
問1、問4が普通というコメントを受けて改めて見直したら、確かに問2よりもそちらを選んだ方がもっと得点取れてたかも…って思いました。
ただ、難しいと言われているのも、じゃあどこが難しかったか?と言われると、問題文や問われてる内容を適切に解釈して、知識として知っている部分と照らし合わせてみるとそうでもないのでは?と感じました。
自分もあまり得点は取れなかったので大きなことは言えないのですが、
•設問3の知識問題
•設問4の評価基準について、Attack Complexity というワードから「再現手順が複雑で有るかどうか有るかどうか」という視点を見出すことができたか
この部分で大きくミスったなぁーという感じです。
(後者は、自分は参照できる情報自体がどんなものかという視点で回答してしまったので間違い。それは脆弱性でなく脅威の話)
他の問題は問題文から解答がわかったり、こういったプロセスで行うから手間がかかるよね等の実務を想像すれば自ずと回答は書けるのかなとおもいました。
ただ、難しいと言われているのも、じゃあどこが難しかったか?と言われると、問題文や問われてる内容を適切に解釈して、知識として知っている部分と照らし合わせてみるとそうでもないのでは?と感じました。
自分もあまり得点は取れなかったので大きなことは言えないのですが、
•設問3の知識問題
•設問4の評価基準について、Attack Complexity というワードから「再現手順が複雑で有るかどうか有るかどうか」という視点を見出すことができたか
この部分で大きくミスったなぁーという感じです。
(後者は、自分は参照できる情報自体がどんなものかという視点で回答してしまったので間違い。それは脆弱性でなく脅威の話)
他の問題は問題文から解答がわかったり、こういったプロセスで行うから手間がかかるよね等の実務を想像すれば自ずと回答は書けるのかなとおもいました。
2025.04.22 20:49
kailさん
(No.51)
設問4 ほcomplexをcompleteとなぜかとらえてしまい完全性?と思って真逆を書いてしまった。
書きながら?もあったけどそんなもんかなぁ。と。あーもったいない
書きながら?もあったけどそんなもんかなぁ。と。あーもったいない
2025.04.23 22:14
Cebollaさん
(No.52)
ところどころで英語ができると答えやすい問題がありますね。
2025.04.23 23:30
生きたかったさん
(No.53)
設問3(3)、公開鍵認証って×ですかね?SSHなので公開鍵認証だと思ったんですが…
2025.04.24 18:56
同じさん
(No.54)
>生きたかったさん
私もPB-1に引っ張られて同じ解答をしたのですが、PB-2の脆弱性を見ると「Webのログイン画面」と書いてあるのでHTTPSによる認証になりますね
私の場合はSSHと明記してしまったので0点が確定してます...
2025.04.24 21:45
広告
返信投稿用フォーム
スパム防止のためにスレッド作成日から40日経過したスレッドへの投稿はできません。
広告
その他のスレッド
- 令和7年春期試験『午後試験【問3】』
2025.04.26 15:11|
108 - 令和7年春期試験『午後試験【問4】』 2025.04.29 07:39| 100
- ChatGPTとの会話が面白い 2025.04.21 02:11| 5