過去問 解説: 2018年度 春期 情報処理安全確保支援士試験 午後Ⅱ 問2
2018-04-23 公開
平成30年の午後Ⅱ問2も総合的な問題。パッと見ると,そんなに難しくもないし,新しい知識,深い知識が必要な設問もない。そうなると,問題文の状況を受けて解答する設問が多いので…関連箇所を見つけられるかどうかがポイントになる。
設問1
(1)はわからない。本当にPOSTか?「どのような攻撃の場合か?」に対する解答として違和感がある。解答例を待とう。(2)は問題文中の状況を読み取る設問(WebサイトYがあるからそれと突合)で,(3)はSSHの知識(基本情報レベル)なので,確実に2問は押さえたい。
設問2
簡単な常識的な知識と問題文の記述をベースに答える問題。前者は「利用している製品名とバージョン」。後者の問題文中の言葉は「WF,プラットフォーム,Webアプリ」。これに置き換えなかったらどうなるのか?正解にしてくれるのかどうか。そこだけだろうか。置き換えていたら大丈夫だと思う。
設問3
簡単な攻撃名の穴埋め問題。1問3点って考えておいたほうがいいのだろうか。5点もあるだろうな?あればラッキー。これだけで20点だ。合格点の3分の1?そう考えたらやっぱり無いか。
設問4
SQLインジェクション,XSSに関する設問で…ソースを理解していないと解けない問題が(1)(2)。ただよくあるパターンなので確実に得点しておきたいところ。続いて,問題文の状況を把握して解答する設問が(3)(4)。但し,これは診断手順書なので抽象的な表現になると思う。したがって”有料会員”や”一般会員”という個別具体的な表現はダメだろう。それを汎化させた表現にすること。
設問5
「確認不足」なので「レビューポイント」を「Webセキュリティガイド」に記載した。したがって,それをしっかりと実施していることを検収条件にしたというのは明白。あとは「レビューをしっかりしていることを確認する」ための工夫なので…監査的な視点を匂わせる表現なら正解なのだと思う。
設問6
最後は,なんかふわっとした設問。最後の設問が結構ふわっとしていることってよくあるんだ。診断結果が表3で,それを反映させたのが図2の第2版が一番近い。したがって,このあたりを表現したらいいだろう。個々の脆弱性に対する対策を中心に加えていくという意味なら正解だろう。
感想
それほど,新しい知識を必要としない問題。これまでよく問われていた知識だけで十分点数が取れる。ただ,これといった特徴の無い問題なので,過去問題を使って勉強するときにはスルーする問題だろう。
参考資料
情報処理技術者試験 2018年度春期 情報処理安全確保支援士試験 午後 II 問題 (IPAのサイトへリンク)
label 関連タグ著者の三好康之さんから許可を得て、2018年度 春期 情報処理技術者試験 の出題問題への感想を一部修正し、転載しています。
転載元: 三好康之オフィシャルブログ 「自分らしい働き方」Powered by Ameba
『定額制』
高度試験対策研修 KOUDO 初公開!
定額制だから、どの区分でも何名でも受け放題!!
- 略歴
- 株式会社エムズネット代表。
大阪を主要拠点に活動するIT コンサルタント。 本業のかたわら、大手 SI 企業の SE に対して、資格取得講座や階層教育を担当している。高度区分において脅威の合格率を誇る。 - 保有資格
-
- 情報処理技術者試験全区分制覇(累計 32 区分,内高度系 25 区分)
- ITコーディネータ
- 中小企業診断士
- 技術士(経営工学)
- 販売士 1 級
- JAPAN MENSA 会員
オフィシャルブログ 「自分らしい働き方」Powered by Ameba
