blue-brewery.net

ビールとテクノロジーと、あと何か。

H24春 情報処理技術者試験(SC)振り返り

 ふと思い立って受けてみた。誰かさんに触発されたというのもあるかも。情報処理技術者試験なんて10年ぶりぐらいかしら。日曜日だというのに朝もはよから夕方まで缶詰にされておりました。まあ、ときどき脳内の知識をリフレッシュするにはこういうイベントでも設けないと怠けてしまいますな。  受けたのは、職業柄全く無縁ではない情報セキュリティスペシャリスト。ワタシの受けた会場の埋まりは5〜6割ぐらい。

 もう問題も解答もでていますが、とりあえず備忘程度に振り返りを。

 午前1試験は、事前に過去問をある程度処理しておけばなんとなかる程度。タスクスイッチとかFP法とかUMLとか。逆ポーランド記法が出題されなかったのが万々歳(いまだにRPNはよくわからない)。たぶん26/30(マークミスがなければ)。  午前2試験も、オーソドックスな内容。冒頭からいきなりクリックジャッキング問題。無線LAN関係が少し目立つくらい。PCIDSSが出題されるとは思わなんだ。たぶん23/25(マークミスがry)。

 おひるごはんは近所のラーメン屋。たべすぎたのですこし眠い頭で午後試験にとりかかる。

 午後1試験。4問中2問選択回答。とりあえず全部ひととおり簡単に目を通してから、悩みが少ないものを選択。ワタシは、問2と問4を選びました。

 問1。Webアプリケーション(Java)の脆弱性cookieエスケープ処理。王道の設問。ソースコードが読めればいちばんこれが簡単かも。王道なのだけど、ソースコードを読み間違えるとアウトになってしまうのでパス(Javaなんて何年書いていないことやら)。  問2。Webアプリケーションの認証の脆弱性。HTTPアクセスログから攻撃(SQLインジェクションとか)をさぐるもの。しかし設問に掲げられているシステムのダメっぷりたるや恐ろしい(自作の転置式暗号って何の冗談だよ)。Playstation Networkの例の事件があったからかしら、「利用者に過去のパスワードが解読されていることを周知すべき理由は何か」とかいうシブい問題も。  問3。保守作業の証跡管理。外注先に本番環境のシステムメンテ作業を委託するときに機密ファイルを窃取されないようにするにはどうすればいいか。これはこれでたしかに実務的には悩みのタネ。おもしろい問題だったけど、最終問題の解答がうまく整理できなかったのでパス。  問4。いわゆるひとつの標的型攻撃対策。悪意あるプログラムの特定と予防活動。たしかに旬の話題ですなあ。防衛省から何か広報依頼でもあったのか(笑)

 午後2試験。2問中1問選択解答。どっちも季節ネタで、IPAの広報資料かと見紛うかのような設問(笑) 問2を選択。

 問1。情報システムのディザスタリカバリ。明らかに東日本大震災の影響が。とはいえ、DRの問題といいつつ、セキュリティを保ちつつどうDRするかという観点なので、DRに詳しくなくても解けるのかしら。システム構成図がやたら複雑なので、あまり深く考える気が起きず。  問2。クラウドサービスのセキュリティとBYOD。これも旬モノ。BYODは、何も考えずに導入すると穴だらけになるので、たしかに対策が必要ですなあ(いち利用者としてはあまりガチガチにはされたくないけど、管理者側としては徹底管理しないと怖いし)。なお、最終問題のヒントらしきものが問題文の冒頭近くにあるという嫌らしい設問。

 というわけで、6月までガクブルしながら待つことにします。