プロジェクトマネージャ試験・システムアーキテクト試験対策 情報処理試験対策について語る

プロジェクトマネージャ試験・システムアーキテクト試験対策として立ち上げたブログ 論文サンプル、勉強方法などを紹介予定 システムアーキテクトはこれから受験するにあたっての勉強工程を紹介

情報処理安全確保支援士の勉強方法 過去問対策のまとめ

情報処理安全確保支援士の勉強方法・過去問分析 一発合格への道!

情報処理安全確保支援士 合格発表

情報処理安全確保支援士に一発合格しました! 
f:id:riki12342000:20181224150944j:plain

受験を目指される方のために、勉強方法、おすすめテキスト・問題集 過去問対策のまとめたいと思います。
※「情報処理安全確保支援士」(旧名:情報セキュリティスペシャリスト 別名:登録セキスペ)

詳しくはこちら

今回の合格率

18.5%(例年16~17%なので若干高め)

合格率の推移【合格率の推移】

開催年度 受験者数 合格者数 合格率
30年秋期 15,257人 2,818人 18.50%
30年春期 15,379人 2,596人 16.90%
29年秋期 16,218 2,767人 17.10%
29年春期 17,266人 2,822人 16.30%
28年秋期 22,171人 3,004人 13.50%
28年春期 18,143人 2,988人 16.50%
27年秋期 18,930人 3,141人 16.60%
27年春期 18,052人 2,623人 14.50%
26年秋期 18,460人 2,528人 13.70%
26年春期 17,644人 2,543人 14.40%
25年秋期 17,892人 2,657人 14.90%
25年春期 19,013人 2,490人 13.10%
24年秋期 19,381人 2,700人 13.90%
24年春期 19,711人 2,707人 13.70%
23年秋期 17,753人 2,398人 13.50%
23年特別 19,445人 2,712人 13.90%
22年秋期 19,391人 2,759人 14.20%
22年春期 19,951人 3,045人 15.30%
21年秋期 17,980人 3,326人 18.50%
21年春期 16,094人 2,580人 16.00%

受験対象者像・役割と業務 ※IPA

サイバーセキュリティに関する専門的な知識・技能を活用して企業や組織における安全な情報システムの企画・設計・開発・運用を支援し,また,サイバーセキュリティ対策の調査・分析・評価を行い,その結果に基づき必要な指導・助言を行う者 

 (1) 情報システムの脅威・脆弱性を分析、評価し、これらを適切に回避、防止するセキュリティ機能の企画・要件定義・開発を推進又は支援する。
 (2) 情報システム又はセキュリティ機能の開発プロジェクトにおいて、情報システムへの脅威を分析し、プロジェクト管理を適切に支援する。
 (3) セキュリティ侵犯への対処やセキュリティパッチの適用作業など情報システム運用プロセスにおけるセキュリティ管理作業を技術的な側面から支援する。
 (4) 情報セキュリティポリシの作成、利用者教育などに関して、情報セキュリティ管理部門を支援する。

受験日

2018/10/21(日)

学習期間

5ヵ月間
 ※2018/5月~10月半ば 
 ※約250時間(ベースの知識が乏しく、覚えることが非常に多く、過去の試験の中で一番勉強した感があります)

受験動機と事前知識

業務に特化したアプリケーション設計ばかりしていて、ミドルウェア、ネットワーク系の実務経験がかなり乏しいため、業務の幅を広げるためです。
  また、4月に受験したデータベーススペシャリスト
 午前2 92点 午後1 80点と 上位5%でしたが、午後2が51点(体力が持たず試験中気を失いそうになる)と悔しい思いをしました。

 DBは年1回のため、試験感覚を落とさない為スペシャリスト系で直近で受けられる「情報処理安全確保支援士」を選択しました。

受験前の保有資格

高度試験 論文系とスペシャリスト系の違い

高度系試験は試験時間は 午前1:50分 午前2:40分 午後1:90分(2問) 午後2:120分(1問)と時間は共通ですが
論文系とスペシャリスト系で午後2が大きく違います。

 ・プロジェクトマネージャ試験、システムアーキテクト試験など(論文系)
  →午後2が論文 約2500字~3000字を2時間なので 常に手を動かしてないと間に合わないレベル
   初めの15分程度で骨子作成(書くことを決める)をしっかりすれば、あとはあまり考えずに手にお任せ状態

 ・その他スペシャリスト系(データベース、安全確保等)
  10ページ以上の長文を読みながら問題を解き進めるので、常に集中力を保たないと前の文書の内容を忘れてしまう
  集中力(体力)が切れた時点でOUT
  今回はDB試験の反省点をいかして、午後2に入る前にオロナミンC、水500ML、きのこの山大量摂取しました。

試験までに解いた過去問題

午後1 平成17年~平成30年の春、秋試験 セキュアプログラミング以外 手に入る問題全て×2周 
 午後2 平成21年~平成30年の春、秋試験 全部×1周

午後1の選択問題でJAVAC言語プログラミング言語の問題(セキュアプログラミング)もありますが
専門性が高い(設計ばかりでプログラム経験はほとんどない)為、勉強対象から外しました。
10年前基本情報はJAVAで取りましたが、もう覚えてないです。

HTMLとJavascriptの基礎は身につけておいた方がいいです(避けては通れません)。

おすすめ講座・教科書(テキスト)

情報処理安全確保支援士『七つの突破口』動画講義

http://toppakou.com/SC/
情報処理安全確保支援士
動画講座なのに1万しないという、超お手頃価格です!

☆セキュリティ技術の教科書 (専門分野シリーズ)  ★超おすすめ

  セキュリティ技術の教科書 (専門分野シリーズ) 4,536円Amazon

→値段は4536円と高いですが要点がまとまってて非常にわかりやすい

 図を駆使していて流れがわかりやすい
 昨年発売された本でまだマイナーですが、これのお陰で合格できたと思います。

 500ページ 10 回以上は読みました。(読みすぎて最後は1時間で500ページの要点を確認できるレベル)


情報処理教科書 情報処理安全確保支援士

  情報処理教科書 情報処理安全確保支援士 2019年版 3,110円Amazon

→定番書 700ページ 試験に出ない知識も多いイメージ 2回流し読み

ポケットスタディ 情報処理安全確保支援士 

  ポケットスタディ 情報処理安全確保支援士 (情報処理技術者試験) 1,620円Amazon

→持ち運びに便利だが読みずらい 結局半分読んだ程度で挫折

TCP/IP 最強の指南書(日経ネットワークのムック本) 

  TCP/IP 最強の指南書(日経ITエンジニアスクール) 2,592円Amazon

ネットワークスペシャリスト向けですが、要点の基礎だけをざっくり読み

具体的な勉強方法

通勤電車(座れる区間)の40分で午後1問題を1問解くことをノルマとしてました。
 →印刷した問題、Amazonキンドル(答えの解説)、スマホ(用語チェック) 両手にやってました

 その他の区間は座れないので、午前2対策としてスマホアプリで応用情報と高度区分の午前の過去問の答えだけ暗記。
 応用情報の午前問題からもかなりの割合で出題されているので、応用情報午前の復習は必須です。

  午後2は1問解くのに1時間以上は集中しないといけないので、土曜日に1問ずつ家で解いた感じです。
 あとは、休みの日に家でテキストベースにインプット

 用語の暗記(理解)だけではなく、とにかく流れを理解するのが大変です

 例えば「SPF」の仕組みと言われたら以下のような内容を即イメージできるレベルが必要です。
 ※よく「このメールはなりすましの可能性があります」って警告がでるのに使われる技術

 例)メールのドメイン認証のSPFの仕組み
  送信されたメールになりすましがないかを確認するため
  メールのエンベロープ部に記載された送信元IPアドレスドメインを確認
  ↓
  当該ドメインDNSサーバのゾーン情報を取得する 
  ※DNSサーバのゾーン情報のTXT(SPF)レコードにドメインに紐づくIPアドレスを定義しておく
   example.jp.   IN TXT “v=spf1 +ip4:192.168.100.0/24 -all”
    →192.168.100.0以外からexample.jpドメインのメールが送信されることはないという意味
  ↓
  取得したTXT(SPF)レコードのIPアドレスとメールのエンベロープ部に記載されているIPアドレスが一致すればOK 不一致ならNGとする。

 基本情報や応用情報ならSPF=送信元IPアドレスDNSに定義されているものと一致するくらいの理解でいいのですが、
高度試験になるとこのレベルが求められます

 この試験受けた後に今年の応用情報のセキュリティ分野を確認すると(問題が素直なので)スラスラ解けます

 この区分の場合は、午後1対策をきちんと理解すれば、ある程度午前2が解けるようになります。
 また、午後2も午後1の問題が複雑になって、文章量が2倍になった感じです。

習得しなければならない知識

以下のような内容が複雑に絡み合ったものが物語(セキュリティインシデント)形式で出題されます。

   ・暗号技術 共通鍵暗号方式 公開鍵暗号方式の詳細な仕組み
 ・ネットワーク全般の基礎(サーバ構成)
 ・ハッシュ関数
 ・ディジタル署名 
 ・認証方式
 ・通信制御技術(ファイアーウォール、プロキシ、IDS,IPS、WAF・・・)
 ・WEB技術(HTTP、Cookieの仕組み)HTTPSの具体的な仕組み(ハイブリッド暗号方式)を具体的に理解しておく必要があります。
 ・システムセキュリティ
 ・セキュリティマネジメント(ISMS、インシデント対応など)→ISMSは覚えることが多いので超さらっと
 ・セキュアプロトコルTLSSSHIPsecIEEE802.1X、無線LANSAML VPN全般 など)
 ・TCP/IP 
 ・電子メールセキュリティ(SPFDKIM、攻撃手法など)
  メールのオープンリレー時に付与されるメール送信のエンベロープの内容を確実に把握しておく必要があります。
 ・攻撃手法の詳細(仕組み)
  セッションハイジャックSQLインジェクションXSSCSRF、クリックジャッキング、〇〇インジェクション
 ・マルウェアコンピュータウィルス全般)

 覚えることがめちゃめちゃ多いですが、単語覚えただけでは午後試験は対応できず
 いろんな技術要素を体系的に組み合わせて長文問題を読解する力が求められる感じです。

受験した感想

午後1は技術的な要素が多くネットワーク分野の内容が多かったです。
 午後2問1は技術的な要素が少なく、4割はクラウド移行に関する国語力の問題でした。
 日本語が非常に難しく始め40分悩んだ挙句、問2に方向転換。しかし、30分あせって解いて頭に入ってこなくて、また、問1に戻るという状態 でした。

ショボーン


 残りの6割が割と素直な問題だったので、その部分を落とさずに回答できたので合格できた感じです。

 直近で成果を感じたのは、現場のPM(高度区分ほぼ制覇)がサーバ証明書申請してた時のメールに
 AES、SHA256、EV証明書、オレオレ証明書CSRなどの言葉を使ってましたが全て理解できました。

 時間があれば、サーバー構築して対応するミドルウェアでトレースするのが一番いいのですが、そこまで時間がとれず。
 今のところは座学での基礎知識だけ身につけた感じなので、今後実務に活かせるように継続していきたいです。

http://toppakou.com/SC/

午前2対策

午前2に関してはセキュリティ用語をできるだけ多く暗記する必要があるため過去問題から

以下のような、「単語帳」を作成しました。 
説明文から用語を即答できるレベル。

問題文 解答
Webアプリケーションのフォームの入力フィールドに,悪意のあるJavaScriptコードを含んだデータを入力する攻撃。 クロスサイトスクリプティング
インターネットなどのネットワークを通じてサーバに不正にアクセスしたり,データの改ざんや破壊を行ったりする攻撃。 クラッキング
大量のデータをWebアプリケーションに送ることによって,用意されたバッファ領域をあふれさせる攻撃。 バッファオーバフロー
パス名を推定することによって,本来は認証された後にしかアクセスが許可されていないページに直接ジャンプする攻撃。 ディレクトリトラバーサル
CVSS v3の評価基準には,基本評価基準,現状評価基準,環境評価基準があるが以下はどれか。
機密性への影響,どこから攻撃が可能かといった攻撃元区分,攻撃する際に必要な特権レベルなど,脆弱性そのものの特性を評価する。
基本評価基準
CVSS v3の評価基準には,基本評価基準,現状評価基準,環境評価基準があるが以下はどれか。
攻撃される可能性,利用可能な対策のレベル,脆弱性情報の信頼性など,評価時点における脆弱性の特性を評価する。
現状評価基準
CVSS v3の評価基準には,基本評価基準,現状評価基準,環境評価基準があるが以下はどれか。
利用者のシステムやネットワークにおける情報セキュリティ対策など,攻撃の難易度や攻撃による影響度を再評価し,脆弱性の最終的な深刻度を評価する。
環境評価基準

★情報セキュリティの3要素

情報セキュリティの3要素は当試験を受けるうえでの基盤になります。

「機密性」(Confidentiality)、「完全性」(Integrity)、「可用性」(Availability)の3つの要素 
企業の情報システムを取り巻くさまざまな脅威から、 
情報資産を機密性・完全性・可用性(3要素)の確保を行いつつ、正常に維持することです。

機密性 情報漏えい防止、アクセス権の設定、暗号の利用などの対策 
完全性 改ざん防止、検出などの対策
可用性 使いたいときに使えるシステム。電源対策、システムの二重化、バックアップ、災害復旧計画などの対策

◇参考サイト(経済産業省 JNSA)  
https://www.jnsa.org/ikusei/01/02-01.html   
◆問題
情報セキュリティの3要素の内どれに該当するか

EシステムはQ社の販売チャネルの大部分を担っており、保守の為の時間を除き常時稼働している。


Fシステムは投資家等に対する、財務情報を提供している。


Bシステムは大量の個人情報と販売前の情報を扱っている。 

◇答え
EシステムはQ社の販売チャネルの大部分を担っており、保守の為の時間を除き常時稼働している。
⇒可用性

Fシステムは投資家等に対する、財務情報を提供している。
⇒完全性

Bシステムは大量の個人情報と販売前の情報を扱っている。
⇒機密性

上記のような感じで問題文の一部として扱われます(空欄になってたりします)

不正競争防止法

不正競争防止法
 公正な競争と国際約束の的確な実施を確保するため、不正競争の防止を目的として設けられた、日本の法律である。

 不正競争防止法に定められた営業秘密の3要素とはなにか

◇答え
秘密として管理されている事
有用な情報であること
公然と知られていないこと

ユーザーID管理に関する頻出事項

◆問題
ログインIDを共用されていた為、ユーザ毎にログインIDを分けるようにした。
そうした場合に、運用上注意すべき点を述べよ。

◇答え
個人IDが本人以外に使われる恐れが無いように管理している事。

◆問題
不正な行為は、監視されているということを周知することで、どのような効果が生まれるか。

◇答え
抑止効果

情報漏洩対策

a に当てはまる語句
①の具体的な対策

空欄以外も非常に大切な知識が含まれています

◇答え
a暗号化
①移動中は肌身離さず持つ

HTTPに関する知識

情報処理安全確保支援士を受けるうえで、HTTPのログの味方、HTMLのGET,POSTなどは絶対に習得しておく必要があります。

情報処理安全確保支援士『7つの突破口』

以下の講座では、情報処理安全確保支援士合格な必要なメソッドを過去15年分の問題を分析し提供しています。

今すぐアクセス

ハッシュ関数

 INPUT → OUTPUT 
 abc → XXXXEFE 
aafefaefefa →XDEDDEE 
  得られた値をハッシュ値という
※INPUTが同じならOUTPUTは同じなる 
※OUTPUTからINPUTを推測することが困難

政府推奨ハッシュ関数:SHA-2 
SHA-2 のハッシュ値は、224ビット、256ビット、384ビット、512ビットがある。 
それぞれビット長に合わせて、SHA-224、SHA-256、SHA-384、SHA-512 と呼ばれている。 
これらを総称して SHA-2 という。

INPUTが何文字でも SHA256の場合は、OUTPUTは256ビットになる

動画演習講座

やっぱり書籍のみの勉強だと理解に苦しむ部分があります。

だれか、口頭で図示しながら教えてくれたらいいのに!!と思う方必見!

以下の講座で動画でわかりやすく教えてくれます。

情報処理安全確保支援士 七つの突破口

なんと、15年分の過去問題を徹底分析したようです。

時短演習したい方にはおすすめ。

 

情報処理安全確保支援士 登録手順と費用 メリットまとめ

情報処理安全確保支援士 登録の手順とメリット【必要な書類や登録費用のまとめ】

「 情報処理安全確保支援士 」として「士」を名乗るためには、他の建築士司法書士などと同じく、国に登録(登記)する必要があります。

情報処理安全確保支援士 に合格し、会社が登録費用を出してくれることになったので登録することにしました。

無事にIPAより登録申請書類受付通知受領

無事にIPAより資料の受付メールは届きましたが、登録に関する流れや費用で結構試行錯誤で調べながらやっていたので苦労した点など、織り交ぜながら登録の流れ 必要な資料や登録費用をまとめたいと思います。

登録後に必要なオンライン講習(年1回2万)や集合学習(3年に1回 8万)とは別で、情報処理安全確保支援士を名乗れる(以下の一覧に載る)までに必要な方法です。

公式登録の流れ

2019年2月現在の情報です。最新情報はIPAから入手お願いします。(登録できなくても当方では責任は一切おえません)

https://www.ipa.go.jp/siensi/formlist.html
https://www.ipa.go.jp/files/000063891.pdf

当サイトではIPAサイトをベースに、私自身が難しく感じたところを補足説明します。

 

情報処理安全確保支援士対策講座
情報処理安全確保支援士 7つの突破口

登録に必要な資料一式

詳細はこれから記載しますが必要なものは以下になります。

IPAホームページから入手するもの

https://www.ipa.go.jp/siensi/formlist.html

  • 登録申請書
  • 誓約書
  • 登録事項等公開届出書登録事項等公開届出書
  • 登録申請チェックリスト

役所など公的機関で事前に入手するもの

  • 9000円分の収入印紙(主に郵便局)※コンビニでは少額印紙しか手に入りません
  • 身分証明書 ※本籍地で入手(郵送可能)
  • 戸籍の謄本若しくは抄本又は住民票の写し(原本)
  • 登記されていないことの証明書(成年被後見人被保佐人に該当しないことの証明) ※法務局で入手(郵送可能)

その他事前入手書類

  • 情報処理安全確保支援士の合格証書のコピー(原本送らないように!)
  • 登録手数料(10、700円)の振込を証明するもの

登録に必要な費用 ※講習は別

IPAへ支払う費用

  • 登録料金(振込) 10,700円
  • 収入印紙  9,000円

公的書類発行手数料

  • 登記されてないことの証明書に貼る印紙 300円
  • 身分証明書発行費用 300円
  • 住民票、戸籍抄本、謄本発行費用 300~450円

その他費用

・IPAへ書類一式を送付する書留料金 400円くらいだったかな、、
・公的書類を郵送で取り寄せるための 往復郵送代 82円×2(往復)×取り寄せ先

結局合計は?

 公的書類の取り寄せ方法によって異なりますが、必要な金額は

21,000円~22,000円くらいになると思います。

身分証明書 
(後見登記の通知を受けていないことの証明)

まず、運転免許証やパスポートなどではありません!

「身分証明書(後見登記の通知を受けていないことの証明)」

・本籍地のある各市区町村の窓口又は郵送で申請、発行手続きを行う必要があります。3ヶ月以内に発行された原本であることが条件です。

本籍地でしか手に入らないので、当方は本籍は九州 居住地は関東なので本籍地の役所から郵送してもらう方法としました。

私の場合は、大分市(本籍)の役所に郵送で依頼

http://www.city.oita.oita.jp/o048/kurashi/jumintetsuzuki/1087631719936.html

  • 身分証明書 1通300円

とありますが、郵送の場合、支払いは現金や切手ではNGで、「定額小為替」である必要があります。手数料が100円別にかかります、、

法律上、郵便局でしか手に入りません!(土日不可なので、締め切り間際の人は気を付けてください)

結局、郵送の場合は以下を封筒に入れて送付する必要があります。

  • 定額小為替 (身分証明書は300円 ですが、戸籍抄本なども一緒に取り寄せる場合はそのぶんプラスとなります)
  • 返送用の封筒に切手を貼ったもの(宛先に自宅の住所を記載要)
  • 申請書(役所のホームページから入手)
  • 運転免許所などのコピー(身分証明書 と書きたいところですが、取り寄せしているものとごっちゃになりそうなので 写真付き公的証明書コピーという意味で)

戸籍の謄本若しくは抄本又は住民票の写し(原本)

住民票は居住地の役所で手に入ると思いますが、マイナンバーの記載があると受領してくれないので注意お願いします。

戸籍抄本、謄本の場合は、先ほどの身分証明書と一緒に取り寄せると効率的です。(私の場合は450円でした。)

登記されていないことの証明書(成年被後見人被保佐人に該当しないことの証明)

以下の入手方法があります。

・東京法務局後見登録課、全国の法務局・地方法務局(本局)の戸籍課窓口
・郵送で申請

郵送の場合は、全国一律「東京法務局後見登録課」のみの様です。いかに詳しく記載されています。

http://houmukyoku.moj.go.jp/tokyo/static/i_no_02.html

証明申請書(PDF)に記載して、印刷→300円の収入印紙を発行手数料として貼る必要がありますので、9000円分の収入印紙を入手するついでに、300円収入印紙を郵便局で手に入れましょう。

証明事項は一番上の「成年被後見人被保佐人とする記録がない。」にチェックを入れればいいみたいです。

以下を郵送します。(郵送先上記PDF2ページ目に記載があります)

以下を郵送するイメージです(私は届くのに8日かかりましたので余裕をもって申請するとよいでしょう)

  • 登記されていないことの証明申請書(300円の収入印紙を貼りつけ要)※絶対に割り印しないこと!(無効になります)
  • 返送用封筒に自宅住所記載と切手を貼る(82円)
  • 運転免許所などのコピー(身分証明書 と書きたいところですが、取り寄せしているものとごっちゃになりそうなので 写真付き公的証明書コピーという意味で)

収入印紙(9000円分)

200円収入印紙はコンビニで手に入りますが、それ以上高額なものは主に郵便局で入手する感じになります。

https://www.nta.go.jp/information/release/pdf/inshi_kaisei.pdf

国税庁ホームページより

上記を見てもらうとわかると思いますが「9000円」の収入印紙は現状有りません。

9000円分という意味になります。5000円+4000円などで9000円分にすればOKです。

登録申請書の所定の箇所に貼り付ける感じになります。

登録手数料(10、700円)の振込を証明するもの

振込先は「情報処理安全確保支援士の登録の手引き」(IPA)に記載されています。

https://www.ipa.go.jp/files/000063891.pdf

金融機関などへの支払いを証明できる書類としては以下になります。

インターネットバイキングでの振り込み明細画面のコピー
ATMの明細票など(コピー可能)
窓口の場合は受領書など(コピー可能)

上記を登録申請書に貼り付ける感じです。

ここまでそろえばあとは楽です。

登録申請書(IPAホームページより入手)

記入例に従いPDFに入力→印刷 残りの箇所を手書き、押印となります。

収入印紙(9000円分)、振込証明書(10700円)を貼りつける。

先ほど入手した収入印紙(9000円分)、振込証明書(10700円)を所定箇所に貼り付けます。割り印は絶対にしないこと!

誓約書 
(IPAホームページより入手)

PDFを印刷し自筆で記入、押印します。

支援士試験等の合格証書のコピー

以下いずれかになります。

  • 情報処理安全確保支援士の合格書のコピー
  • 合格証明書の原本

合格証書が届いてから、半年ごとに設けられた締め切りまでたったの2週間しかありません。

登録事項等公開申請書(IPAホームページから入手)

PDFファイルを印刷し 一般公開される範囲を記載 自筆で記入 捺印 

領収書返送用封筒(希望者のみ)

振り込みした10700円の登録費用の領収書を希望する場合、返送用の封筒に自宅住所を記入し82円切手を貼りつける。

送付資料チェックリスト(IPAホームページより入手)

今まで述べてきた資料がすべてそろっているかのチェックする書類

申請後

1月31日の締め切りに対して、2月上旬には受付完了メールと10700円の領収証が郵送で届きました。

4月1日付で登録されると思います。

これから試験を受ける方へおすすめ講座

これから試験を受ける方は以下の

情報処理安全確保支援士「7つの突破口」がおすすめです。

動画で分かりやすく講義しており値段も書籍なみに格安です。

http://toppakou.com/SC/

プロジェクトマネージャ試験 H30年春 午後2問1 論文サンプル 過去問対策

http://toppakou.comプロジェクトマネージャ試験 平成30年(2018年)春午後2問1 論文サンプル(抜粋版)

 

動画解説抜粋版(30分くらい説明していますが5分くらい抜粋版)

続きは以下に今すぐアクセス!

http://toppakou.com

f:id:riki12342000:20170730145322j:plain

★非機能要件:使用性(使いやすさ) が書きやすいのでそれで骨子作成→要点箇条書き

設問ア 

※今回はアに求められている内容が多いので、字数に気を付けて論旨を漏らさないようにすること

 1 プロジェクトの特徴と非機能要件について

 1.1プロジェクトの特徴

  ・携帯電話会社窓口システム再構築(例)

  ・世の中に〇年〇月にリリースすることを周知している→納期必達

      ・プロジェクト期間を〇〇年〇月~〇〇年〇月も後につなげるために必須

 

 1.2代表的な非機能要件の概要

  ・「使用性」とは具体的にどのようなものか業務に即して書くこと

     -タブレット端末を導入し、来客した人に直接操作してもらう

       -高齢者も対象となるので直感で操作できることが重要

 

 1.3関係部門と連携を図る際に注意を払う必要があった点と理由

  ・非機能要件を十分に詰めることの意義や重要性

   -早い段階で詰めないと、受入テスト段階で手戻り、→納期が守れない

  ・関係部門を簡潔に書く(文字通OVERの可能性有)

   -システム部と実際の窓口のオペレータ業務を取りまとめる利用部門

    ※関係部門の具体的な内容は、イで書く

  ・利用部門は要件定義時期の4月は多忙期→具体的な日程をプロジェクトの初期段階で決めておく(連携時の注意点)

で、書く時には「利用部門と連携を図る際に注意を図る必要があった点は、使用性を確認する段階の日程である。

なぜならば、〇月は多忙期のため、早い段階で調整日を確約しておく必要がある。 

  

続きは以下に今すぐアクセス!

f:id:riki12342000:20170730145322j:plain

http://toppakou.com

 

★関係部門   具体的な部門関係を明記する(上下関係、決定者など)   

 

 

★不満爆発   非機能要件を詰めないとどういうことが起きるかという具体例で膨らませる  ↓  過去の失敗プロジェクトを例に、非機能要件を軽視したため  受入テスト段階で不満が続出した。  具体的には、〇〇機能としては満たせているが、ボタンの大きさやボタン配置など  実際に操作するうえで使いずらいという指摘などだ。   

 

★いつ   プロジェクト計画段階でWBSに反映   

 

★主人公はあなた   関係部門との対立を上手くまとめながら非機能要件を各工程でつめられるように   計画段階のWBSに反映する!   

 

◇ポイント   非機能要件、可用性(落ちないシステム)、性能、保守性、・・   いろいろあるけど、「関係部門と十分に意識を合わせる」というのがテーマなので  「使用性」→使いやすさが書きやすい    要件定義工程、外部設計工程→プロトタイプの作成      ただ、これだけで、膨らませるのは難しいので  関係部門の人間関係(誰が決定者か)などを具体的にイメージできるレベルにする必要がある

システムアーキテクト試験に一発合格した時の論文テーマが

非機能要件、、、出だしの立場だけちょっと違うだけで

同じような内容。

言い換えればプロジェクトマネージャ⇔システムアーキテクト試験は非常に段差が低いと思います。

f:id:riki12342000:20170730145322j:plain

詳しくは今すぐアクセスhttp://toppakou.com

情報処理安全確保支援士に一発合格しました!勉強方法、おすすめテキスト・問題集 過去問対策のまとめ 情報セキュリティ

情報処理安全確保支援士一発合格しました爆  笑

 

 

f:id:riki12342000:20181224150944j:plain

 

 

受験を目指される方のために、勉強方法、おすすめテキスト・問題集 過去問対策のまとめたいと思います。
※「情報処理安全確保支援士」(旧名:情報セキュリティスペシャリスト 別名:登録セキスペ)

【今回合格率】
 18.5%(例年16~17%なので若干高め)

【合格率の推移】

 

開催年度

受験者数 合格者数 合格率
30年秋期 15,257人 2,818人 18.50%
30年春期 15,379人 2,596人 16.90%
29年秋期 16,218 2,767人 17.10%
29年春期 17,266人 2,822人 16.30%
28年秋期 22,171人 3,004人 13.50%
28年春期 18,143人 2,988人 16.50%
27年秋期 18,930人 3,141人 16.60%
27年春期 18,052人 2,623人 14.50%
26年秋期 18,460人 2,528人 13.70%
26年春期 17,644人 2,543人 14.40%
25年秋期 17,892人 2,657人 14.90%
25年春期 19,013人 2,490人 13.10%
24年秋期 19,381人 2,700人 13.90%
24年春期 19,711人 2,707人 13.70%
23年秋期 17,753人 2,398人 13.50%
23年特別 19,445人 2,712人 13.90%
22年秋期 19,391人 2,759人 14.20%
22年春期 19,951人 3,045人 15.30%
21年秋期 17,980人 3,326人 18.50%
21年春期 16,094人 2,580人 16.00%

 


【受験対象者像・役割と業務】(IPAホームページ抜粋)
サイバーセキュリティに関する専門的な知識・技能を活用して企業や組織における安全な情報システムの企画・設計・開発・運用を支援し,また,サイバーセキュリティ対策の調査・分析・評価を行い,その結果に基づき必要な指導・助言を行う者 

 (1) 情報システムの脅威・脆弱性を分析、評価し、これらを適切に回避、防止するセキュリティ機能の企画・要件定義・開発を推進又は支援する。
 (2) 情報システム又はセキュリティ機能の開発プロジェクトにおいて、情報システムへの脅威を分析し、プロジェクト管理を適切に支援する。
 (3) セキュリティ侵犯への対処やセキュリティパッチの適用作業など情報システム運用プロセスにおけるセキュリティ管理作業を技術的な側面から支援する。
 (4) 情報セキュリティポリシの作成、利用者教育などに関して、情報セキュリティ管理部門を支援する。


【受験日】
 2018/10/21(日)

【学習期間】
 5ヵ月
 ※2018/5月~10月半ば 
 ※約250時間(ベースの知識が乏しく、覚えることが非常に多く、過去の試験の中で一番勉強した感があります)

【受験前の保有資格】

 プロジェクトマネージャ、システムアーキテクトソフトウェア開発技術者(現:応用情報技術者

【受験動機と事前知識】
 業務に特化したアプリケーション設計ばかりしていて、ミドルウェア、ネットワーク系の実務経験がかなり乏しいため、業務の幅を広げるためです。
  また、4月に受験したデータベーススペシャリスト
 午前2 92点 午後1 80点と 上位5%でしたが、午後2が51点(体力が持たず試験中気を失いそうになる)と悔しい思いをしました。

 DBは年1回のため、試験感覚を落とさない為、スペシャリスト系で直近で受けられる「情報処理安全確保支援士」を選択しました。

【論文系とスペシャリスト系】
 高度系試験は試験時間は 午前1:50分 午前2:40分 午後1:90分(2問) 午後2:120分(1問)と時間は共通ですが
 論文系とスペシャリスト系で午後2が大きく違います。

 ・プロジェクトマネージャ試験、システムアーキテクト試験など(論文系)
  →午後2が論文 約2500字~3000字を2時間なので 常に手を動かしてないと間に合わないレベル
   初めの15分程度で骨子作成(書くことを決める)をしっかりすれば、あとはあまり考えずに手にお任せ状態

 ・その他スペシャリスト系(データベース、安全確保等)
  10ページ以上の長文を読みながら問題を解き進めるので、常に集中力を保たないと前の文書の内容を忘れてしまう
  集中力(体力)が切れた時点でOUT
  今回はDB試験の反省点をいかして、午後2に入る前にオロナミンC、水500ML、きのこの山大量摂取しました。

【解いた過去問】
 午後1 平成17年~平成30年の春、秋試験 セキュアプログラミング以外 手に入る問題全て×2周 
 午後2 平成21年~平成30年の春、秋試験 全部×1周

午後1の選択問題でJAVAC言語プログラミング言語の問題(セキュアプログラミング)もありますが
専門性が高い(設計ばかりでプログラム経験はほとんどない)為、勉強対象から外しました。
10年前基本情報はJAVAで取りましたが、もう覚えてないです。

HTMLとJavascriptの基礎は身につけておいた方がいいです(避けては通れません)。

【使ったテキスト】
☆セキュリティ技術の教科書 (専門分野シリーズ)  ★超おすすめ

 

 

→値段は4536円と高いですが要点がまとまってて非常にわかりやすい

 図を駆使していて流れがわかりやすい
 昨年発売された本でまだマイナーですが、これのお陰で合格できたと思います。

 500ページ 10 回以上は読みました。(読みすぎて最後は1時間で500ページの要点を確認できるレベル)

情報処理教科書 情報処理安全確保支援士

 

 

→定番書 700ページ 試験に出ない知識も多いイメージ 2回流し読み

ポケットスタディ 情報処理安全確保支援士

 

 

→持ち運びに便利だが読みずらい 結局半分読んだ程度で挫折


TCP/IP 最強の指南書(日経ネットワークのムック本)

 

 

ネットワークスペシャリスト向けですが、要点の基礎だけをざっくり読み

IPAホームページのセキュリティ関連の記事やPDF

https://www.ipa.go.jp/security/index.html
実はここからよく出題されます。ただ、膨大な資料があります。
 最新のウィルス情報の詳しい攻撃手法はチェックしておく必要があります。(直近ではランサムウェアの具体的な対策方法などが取り上げられています)

【学習方法】
 通勤電車(座れる区間)の40分で午後1問題を1問解くことをノルマとしてました。
 →印刷した問題、Amazonキンドル(答えの解説)、スマホ(用語チェック) 両手にやってました

 その他の区間は座れないので、午前2対策としてスマホアプリで応用情報と高度区分の午前の過去問の答えだけ暗記。
 応用情報の午前問題からもかなりの割合で出題されているので、応用情報午前の復習は必須です。

  午後2は1問解くのに1時間以上は集中しないといけないので、土曜日に1問ずつ家で解いた感じです。
 あとは、休みの日に家でテキストベースにインプット
 
 用語の暗記(理解)だけではなく、とにかく流れを理解するのが大変です

 例えば「SPF」の仕組みと言われたら以下のような内容を即イメージできるレベルが必要です。
 ※よく「このメールはなりすましの可能性があります」って警告がでるのに使われる技術

 例)メールのドメイン認証のSPFの仕組み
  送信されたメールになりすましがないかを確認するため
  メールのエンベロープ部に記載された送信元IPアドレスドメインを確認
  ↓
  当該ドメインDNSサーバのゾーン情報を取得する 
  ※DNSサーバのゾーン情報のTXT(SPF)レコードにドメインに紐づくIPアドレスを定義しておく
   example.jp.   IN TXT "v=spf1 +ip4:192.168.100.0/24 -all"
    →192.168.100.0以外からexample.jpドメインのメールが送信されることはないという意味
  ↓
  取得したTXT(SPF)レコードのIPアドレスとメールのエンベロープ部に記載されているIPアドレスが一致すればOK 不一致ならNGとする。

 基本情報や応用情報ならSPF=送信元IPアドレスDNSに定義されているものと一致するくらいの理解でいいのですが、
 高度試験になるとこのレベルが求められますびっくり
 この試験受けた後に今年の応用情報のセキュリティ分野を確認すると(問題が素直なので)スラスラ解けます笑い泣き
  
 この区分の場合は、午後1対策をきちんと理解すれば、ある程度午前2が解けるようになります。
 また、午後2も午後1の問題が複雑になって、文章量が2倍になった感じです。




 【習得しなければならない知識】
 以下のような内容が複雑に絡み合ったものが物語(セキュリティインシデント)形式で出題されます。

   ・暗号技術 共通鍵暗号方式 公開鍵暗号方式の詳細な仕組み
 ・ネットワーク全般の基礎(サーバ構成)
 ・ハッシュ関数
 ・ディジタル署名 
 ・認証方式
 ・通信制御技術(ファイアーウォール、プロキシ、IDS,IPS、WAF・・・)
 ・WEB技術(HTTP、Cookieの仕組み)HTTPSの具体的な仕組み(ハイブリッド暗号方式)を具体的に理解しておく必要があります。
 ・システムセキュリティ
 ・セキュリティマネジメント(ISMS、インシデント対応など)→ISMSは覚えることが多いので超さらっと
 ・セキュアプロトコルTLSSSHIPsecIEEE802.1X、無線LANSAML VPN全般 など)
 ・TCP/IP 
 ・電子メールセキュリティ(SPFDKIM、攻撃手法など)
  メールのオープンリレー時に付与されるメール送信のエンベロープの内容を確実に把握しておく必要があります。
 ・攻撃手法の詳細(仕組み)
  セッションハイジャックSQLインジェクションXSSCSRF、クリックジャッキング、〇〇インジェクション
 ・マルウェアコンピュータウィルス全般)

 覚えることがめちゃめちゃ多いですが、単語覚えただけでは午後試験は対応できず
 いろんな技術要素を体系的に組み合わせて長文問題を読解する力が求められる感じです。

 【受験しての感想】(平成30年秋)
 午後1は技術的な要素が多くネットワーク分野の内容が多かったです。
 午後2問1は技術的な要素が少なく、4割はクラウド移行に関する国語力の問題でした。
 日本語が非常に難しく始め40分悩んだ挙句、問2に方向転換。しかし、30分あせって解いて頭に入ってこなくて、また、問1に戻るという状態ショボーンでした。
 残りの6割が割と素直な問題だったので、その部分を落とさずに回答できたので合格できた感じです照れ

 直近で成果を感じたのは、現場のPM(高度区分ほぼ制覇)がサーバ証明書申請してた時のメールに
 AES、SHA256、EV証明書、オレオレ証明書CSRなどの言葉を使ってましたが全て理解できました。

 時間があれば、サーバー構築して対応するミドルウェアでトレースするのが一番いいのですが、そこまで時間がとれず。
 今のところは座学での基礎知識だけ身につけた感じなので、今後実務に活かせるように継続していきたいです。

【午前2対策】

午前2に関してはセキュリティ用語をできるだけ多く暗記する必要があるため過去問題から

以下のような、「単語帳」を作成しました。

 

説明文から用語を即答できるレベル。

問題文 解答
Webアプリケーションのフォームの入力フィールドに,悪意のあるJavaScriptコードを含んだデータを入力する攻撃。

クロスサイトスクリプティング
インターネットなどのネットワークを通じてサーバに不正にアクセスしたり,データの改ざんや破壊を行ったりする攻撃。

クラッキング
大量のデータをWebアプリケーションに送ることによって,用意されたバッファ領域をあふれさせる攻撃。

バッファオーバフロー
パス名を推定することによって,本来は認証された後にしかアクセスが許可されていないページに直接ジャンプする攻撃。

ディレクトリトラバーサル
CVSS v3の評価基準には,基本評価基準,現状評価基準,環境評価基準があるが以下はどれか。

機密性への影響,どこから攻撃が可能かといった攻撃元区分,攻撃する際に必要な特権レベルなど,脆弱性そのものの特性を評価する。
基本評価基準
CVSS v3の評価基準には,基本評価基準,現状評価基準,環境評価基準があるが以下はどれか。
攻撃される可能性,利用可能な対策のレベル,脆弱性情報の信頼性など,評価時点における脆弱性の特性を評価する。

現状評価基準
CVSS v3の評価基準には,基本評価基準,現状評価基準,環境評価基準があるが以下はどれか。
利用者のシステムやネットワークにおける情報セキュリティ対策など,攻撃の難易度や攻撃による影響度を再評価し,脆弱性の最終的な深刻度を評価する。

環境評価基準
Webサーバのログを分析したところ,Webサーバへの攻撃と思われるHTTPリクエストヘッダが記録されていた。次のHTTPリクエストヘッダから推測できる,攻撃者が悪用しようとしている脆弱性はどれか。ここで,HTTPリクエストヘッダはデコード済みである。

〔HTTPリクエストヘッダの部分〕
GET /cgi-bin/submit.cgi?user=;cat /etc/passwd HTTP/1.1
Accept: */*
Accept-Language: ja
UA-CPU: x86
Accept-Encoding: gzip,deflate
User-Agent: (省略)
Host: test.example.com
Connection: Keep-Alive

OSコマンドインジェクション
XMLディジタル署名の種類で以下の種類は何か。
署名要素と署名対象要素が独立している場合の署名形式。

Detached Signature(デタッチ署名)
XMLディジタル署名の種類で以下の種類は何か。
署名要素が署名対象要素の子要素である場合の署名形式。

Enveloped Signature(エンベロープ署名)
XMLディジタル署名の種類で以下の種類は何か。
署名要素が署名対象要素の親要素である場合の署名形式。

Enveloping Signature(エンベローピング署名)
攻撃コードとも呼ばれ,脆弱性を悪用するソフトウェアのコードのことであるが,使い方によっては脆弱性の検証に役立つこともある。

エクスプロイトコード
マルウェアのプログラムを解析して得られる,マルウェアを特定するための特徴的なコードのことであり,マルウェア対策ソフトの定義ファイルとしてマルウェアの検知に用いられる。

シグネチャコード
FWの以下の特徴を何というか。
過去に通過したリクエストパケットに対応付けられる戻りのパケットを通過させることができる。

ダイナミックパケットフィルタリング
発信者がメッセージのハッシュ値からディジタル署名を生成するのに使う鍵はどれか。

発信者の秘密鍵
認証局は,有効期限内のディジタル証明書のシリアル番号をCRLに登録することがある。

CRLの特徴
成人の虹彩は,経年変化がなく,虹彩認証では,認証デバイスでのパターン更新がほとんど不要である。

虹彩
標的型サイバー攻撃などに関する情報を参加組織間で共有し,高度なサイバー攻撃対策につなげる取組み

サイバー情報共有イニシアティブ(J-CSIP)
URLのスキームがhttpsのページのときだけ,Webブラウザからcookieが送出される属性。

secure属性
cookieに指定された有効期間を過ぎると,cookieが無効化される。 Expires属性
JavaScriptによるcookieの読出しが禁止される。

HttpOnly属性
WebブラウザがアクセスするURL内のパスとcookieによって指定されたパスのプレフィックスが一致するとき,Webブラウザからcookieが送出される。

Path属性
送信側メールサーバにおいてディジタル署名を電子メールのヘッダに付与し,受信側メールサーバにおいてそのディジタル署名を公開鍵によって検証する仕組み

DKIM(DomainKeys Identified Mail)
送信側メールサーバにおいて利用者が認証された場合,電子メールの送信が許可される仕組み

SMTP-AUTH
電子メールのヘッダや配送経路の情報から得られる送信元情報を用いて,メール送信元のIPアドレスを検証する仕組み

SPF(Sender Policy Framework)
ネットワーク機器において,内部ネットワークから外部のメールサーバのTCPポート番号25への直接の通信を禁止する仕組み

OP25B
処理中に機器から放射される電磁波を観測して解析する。 テンペスト攻撃
処理時間の差異を計測して解析する。

タイミング攻撃(サイドチャネル攻撃の1つ)
チップ内の信号線などに探針を直接当て,処理中のデータを観測して解析する。

プロ―ビング
内部ネットワークのPCがダウンローダマルウェアに感染したとき,そのマルウェアがインターネット経由で他のマルウェアをダウンロードすることを防ぐ方策

インターネット上の危険なWebサイトの情報を保持するURLフィルタを用いて,危険なWebサイトとの接続を遮断する。
OSなどに不正に組み込んだツールを隠蔽する。

ルートキット
DNSキャッシュサーバが得た応答中のリソースレコードが,権威DNSサーバで管理されているものであり,改ざんされていないことの検証 DNSSEC
DNSコンテンツサーバは、ドメインの応答に自身のディジタル署名を付加して問合せをしたDNSサーバに送信する
Webアプリケーション中でシェルを起動しない

OSコマンドインジェクション対策
セッションIDを乱数で生成する。

通信の暗号化。
セッションハイジャック対策
パス名やファイル名をパラメタとして受け取らないようにする。重要なファイルを公開領域に置かない。

ディレクトリトラバーサル対策
プレースホルダ(バインド)を利用。データベースアカウントを必要最小限にする。

プログラムのソースコードSQL文の雛(ひな)形の中に変数の場所を示す記号を置いた後,実際の値を割り当てる。
SELECT * FROM USER WHERE uid = ?

SQLインジェクション対策
IPv4において,IPパケットで送られているデータが,ICMPメッセージであることを識別できるヘッダ情報は。

IPヘッダのプロトコル番号
ICMPは1、TCPは6
IEEE802.1QのVLAN機能を有したスイッチにおいて,複数のVLANに所属しているポートを何と呼ぶか。

トランクポート
HTTPを拡張したプロトコルを使って,サーバ上のファイルの参照,作成,削除及びバージョン管理が行える。

WebDAV(Web-based Distributed Authoring and Versioning)
UML2.0において,オブジェクト間の相互作用を時間の経過に注目して記述するものは シーケンス図
プログラムを書く前にテストケースを作成するのはエクストリームプログラミング(XP:eXtreme Programming)における何の説明化。 テスト駆動開発
鍵長によって,段数が決まるのはどの鍵か。 AES(Advanced Encryption Standard)
・・ブロック長は128ビット,使用する鍵の長さは128/192/256ビットから選択が可能
暗号化通信を確立するとき,弱い暗号スイートの使用を強制することによって,解読しやすい暗号化通信を行わせる攻撃。

SSL/TLSのダウングレード攻撃
暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量(処理時間や消費電流など)やエラーメッセージから,攻撃対象の機密情報を得る攻撃。

サイドチャネル攻撃
企業などの機密情報を詐取するソーシャルエンジニアリングの手法の一つであり,不用意に捨てられた機密情報の印刷物をオフィスの紙ごみの中から探し出す。

スキャベンジン
通信を行う2者間に割り込んで,両者が交換する情報を自分のものとすり替えることによって,気付かれることなく盗聴する。

MITM攻撃(Man in the middle attack),中間者攻撃
データベースを利用するWebサイトに入力パラメタとしてSQL文の断片を与えることによって,データベースを改ざんする。

SQLインジェクション
PCなどに内蔵されるセキュリティチップ(TPM:Trusted Platform Module)がもつ機能 鍵ペアの生成
悪意のある者が正規のWebサイトから取得したセッションIDを,利用者のWebブラウザに送り込み,利用者がそのセッションIDでログインして,セッションがログイン状態に変わった後,利用者になりすます。

セッションIDの固定化(Session Fixation)攻撃
オープンリゾルバとなっているDNSキャッシュサーバに対して,攻撃対象のドメインサブドメイン名をランダムかつ大量に生成して問い合わせ,攻撃対象の権威DNSサーバを過負荷にさせる。

DNS水責め攻撃(ランダムサブドメイン攻撃)
暗号モジュールのセキュリティ要求事項といえば。


FIPS 140(Federal Information Processing Standardization 140)
情報セキュリティマネジメントシステムに関する認証基準 ISMS
ディジタル証明書や証明書失効リストの技術仕様 ITU-T X.509
無線LANセキュリティ技術仕様 IEEE802.11i
「リスク回避」「リスク移転」「リスク低減」「リスク保有」の4種のうちどれか

情報の重要性と対策費用を勘案し,あえて対策をとらない
リスク保有
「リスク回避」「リスク移転」「リスク低減」「リスク保有」の4種のうちどれか

個人情報の保管場所に外部の者が侵入できないように,入退室をより厳重に管理する。
リスク低減
「リスク回避」「リスク移転」「リスク低減」「リスク保有」の4種のうちどれか

個人情報を含む情報資産を外部のデータセンタに預託する。
リスク移転
「リスク回避」「リスク移転」「リスク低減」「リスク保有」の4種のうちどれか

収集済みの個人情報を消去し,新たな収集を禁止する。
リスク回避
製品に含まれる脆弱性を識別するための識別子 CVE(Common Vulnerabilities and Exposures)識別子
インターネットバンキングの利用時に被害をもたらすMITB(Man-in-the-Browser)攻撃に有効な対策 インターネットバンキングでの送金時にWebブラウザで利用者が入力した情報と,金融機関が受信した情報とに差異がないことを検証できるよう,トランザクション署名を利用する。
Webアプリケーションの脆弱性を悪用する攻撃手法のうち,Perlのsystem関数やPHPのexec関数など外部プログラムの呼出しを可能にするための関数を利用し,不正にシェルスクリプトを実行させるもの OSコマンドインジェクション
ウイルスに感染しているファイルを,ウイルスに感染していないと判断する。 フォールスネガティブ
ウイルスに感染していないファイルを,ウイルスに感染していると判断する。 フォールスポジティブ
異なるドメインやプラットフォーム間で、 サードパーティアプリケーションによるHTTPサービスへの限定的なアクセスを可能にするオープンな認可フレームワーク

OAuth2.0
ISP管理外のネットワークに向けてISP管理下のネットワークから送信されるスパムメールを制限する。

OP25B
プログラムの影響がシステム全体に及ばないように,プログラムが実行できる機能やアクセスできるリソースを制限して動作させる。

サンドボックス
HTTP GETコマンドを繰り返し送ることによって,攻撃対象のサーバにコンテンツ送信の負荷を掛ける。

HTTP GET Flood攻撃
pingコマンドを用いて大量の要求パケットを発信することによって,攻撃対象のサーバに至るまでの回線を過負荷にしてアクセスを妨害する。

ICMP Flood
コネクション開始要求に当たるSYNパケットを大量に送ることによって,攻撃対象のサーバに,接続要求ごとに応答を返すための過大な負荷を掛ける。

SYN Flood攻撃
大量のTCPコネクションを確立することによって,攻撃対象のサーバに接続を維持させ続けてリソースを枯渇させる。

Connection Flood攻撃
IEEE 802.11a/b/g/nで採用されているアクセス制御方式

CSMA/CA
DLNAとともに用いられ,接続する機器間で相互認証し,コンテンツ保護が行えると認識して初めて録画再生を可能にする方式 DTCP-IP(DTCP over IP)
※コンテンツの不正な複製を防止する方式の一つ
CRL(Certificate Revocation List)に掲載されるもの 公開鍵証明書のシリアル番号と、その証明書が失効した日時
リアルタイムでディジタル証明書の失効情報を検証し、有効性を確認するプロトコル

OCSP(Online Certificate Status Protocol)
標準化団体OASISが,Webサイト間で認証,属性及び認可の情報を安全に交換するために策定したフレームワーク

SAML(Security Assertion Markup Language)
ハッシュ値が一致する二つのメッセージの探索に要する計算量が大きいことによる,探索の困難性のこと

衝突発見困難性
ハッシュ値が与えられたときに,元のメッセージの探索に要する計算量の大きいことによる,探索の困難性のことである。

原像計算困難性
ソフトウェアやハードウェアの脆弱性を利用するために作成されたプログラム

エクスプロイトコード
DNSキャッシュポイズニング攻撃の1つで、キャッシュに存在しないサブドメインへのDNSクエリ発行を利用して、攻撃を従来より効率良く成立させる手法

DNSに対するカミンスキー攻撃(Kaminsky's attack)
DNSに対するカミンスキー攻撃(Kaminsky's attack)への対策 問合せ時の送信元ポート番号をランダム化することによって,DNSキャッシュサーバに偽の情報がキャッシュされる確率を大幅に低減させる。
DoS攻撃への対策 DNSキャッシュサーバと権威DNSサーバとの計2台の冗長構成とすることによって,過負荷によるサーバダウンのリスクを大幅に低減させる
スパムメールへの対策 SPF(Sender Policy Framework)を用いてMXレコードを認証することによって,電子メールの送信元ドメインが詐称されていないかどうかを確認する。
ICMPの応答パケットを大量に送り付ける。 Smurf攻撃
TCP接続要求であるSYNパケットを大量に送り付ける。

SYN Flood攻撃
サイズの大きいUDPパケットを大量に送り付ける。

UDP Flood攻撃
サイズの大きい電子メールや大量の電子メールを送り付ける。

メールボム攻撃
暗号化装置において暗号化処理時に消費電力を測定するなどして,当該装置内部の秘密情報を推定する攻撃


サイドチャネル攻撃
※タイミング攻撃、電力解析攻撃、故障利用攻撃、キャッシュ利用攻撃など
パケットフィルタリングを拡張した方式であり,過去に通過したパケットから通信セッションを認識し,受け付けたパケットを通信セッションの状態に照らし合わせて通過させるか遮断するかを判断する。

ステートフルインスペクション方式のファイアウォール
ディジタル証明書は,TLSプロトコルにおいて通信データの暗号化のための鍵交換や通信相手の認証に利用されている。

不適合への対応のうちJIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)の"是正処置"の定義 不適合の原因を除去し,再発を防止するための処置
JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)
リスクを発見,認識及び記述するプロセスのことであり,リスク源,事象,それらの原因及び起こり得る結果の特定が含まれる。

リスク特定
JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)
システム又は組織に損害を与える可能性がある,望ましくないインシデントの潜在的な原因

脅威
JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)
一つ以上の脅威によって付け込まれる可能性のある,資産又は管理策の弱点

脆弱性
基本評価基準,現状評価基準,環境評価基準の三つの基準で情報システムのセキュリティ脆弱性の深刻度を評価するもの

CVSS
動的IPアドレスを割り当てたネットワークからISP管理外のネットワークへの直接の通信を遮断する。


宛先ポート番号25のメールに対してISPが実施するOP25B
WPA2-Enterpriseでは,IEEE802.1Xの規格に沿った利用者認証及び動的に配布される暗号化鍵を用いた暗号化通信を実現できる。

ネットワークに接続されているホストのIPアドレスが198.51.100.90で,サブネットマスクが255.255.255.224のとき,ホストアドレスは。

10進数 224 → 2進数 11100000
10進数 90 → 2進数 01011010
下位5ビット「11010」がホストアドレスになります。
 2進数 11010 → 10進数 26
企業間で,商用目的で締結されたソフトウェアの開発請負契約書に著作権の帰属が記載されていない場合,著作権の帰属先

請負人に帰属する。
制御プログラムの障害時に,システムの暴走を避け,安全に停止できるようにする。

フェールセーフ
ハードウェアの障害時に,パフォーマンスは低下するが,構成を縮小して運転を続けられるようにする。

フェールソフト
利用者の誤操作や誤入力を未然に防ぐことによって,システムの誤動作を防止できるようにする

フールプルーフ
無線LAN環境
アクセスポイントに設定されているのと同じSSIDとパスワード(Pre-Shared Key)が設定されている端末だけを接続させる。

WPA2-PSK
DNSキャッシュポイズニング攻撃に対して有効な対策 DNS問合せに使用するDNSヘッダ内のIDを固定せずにランダムに変更する。
ポート番号をランダムにする(53に固定しない)
画像や音楽などのディジタルコンテンツに著作権者などの情報を埋め込む。


ステガノグラフィ
コンピュータやネットワークのセキュリティ上の弱点を発見するテスト手法の一つであり,システムを実際に攻撃して侵入を試みる。

ペネトレーションテスト
ネットワーク管理者や利用者などから,巧みな話術や盗み聞き,盗み見などの手段によって,パスワードなどのセキュリティ上重要な情報を入手する。

ソーシャルエンジニアリング
犯罪に対する証拠となり得るデータを保全し,その後の訴訟などに備える。

ディジタルフォレンジック
EAP-TLSEAP-TTLS(EAP Tunneled TLS)の内認証にクライアント証明書を用いるプロトコルはどれか。

EAP-TLS
最長32オクテットのネットワーク識別子であり,接続するアクセスポイントの選択に用いられる。

SSID
IPv4ネットワークでIPアドレスを割り当てる際に,DHCPクライアントとDHCPサーバ間でやり取りされるメッセージの順序 DHCPDISCOVER,DHCPOFFER,DHCPREQUEST,DHCPACK
電子メールサービスで,迷惑メール対策としてSMTPのポート番号25の代わりに使用する。

サブミッションポート(ポート番号587)
品質の向上や知識の共有を図るために,2人のプログラマがペアとなり,その場で相談したりレビューしたりしながら,一つのプログラムの開発を行う。

アジャイルソフトウェア開発などで導入されている"ペアプログラミング"
変更要求が情報セキュリティ基本方針及び管理策に与える潜在的影響を評価しなければならない。は何の要求事項か JIS Q 20000(ISO/IEC 20000)のJIS Q 20000-1
※組織がサービスマネジメントシステムを計画、確立、導入、運用、監視、レビュー、維持するためのサービス提供者に対する要求事項を規定した規格
RADIUSやDIAMETERが提供するAAAフレームワークの構成要素は,認証(Authentication)及び認可(Authorization)の他にどれか。

Accounting
送信元を偽って,NTPサーバにレスポンスデータが大きくなる要求を送信する。

NTPリフレクション攻撃
SSL 3.0を使用した通信において,ブロック暗号のCBCモード利用時の脆弱性を突く攻撃であり,パディングを悪用して暗号化通信の内容を解読できる。

POODLE(CVE-2014-3566)攻撃
インターネットバンキングでの連続する取引において,取引の都度,乱数表の指定したマス目にある英数字を入力させて認証する。 マトリクスコード認証
利用者のIPアドレスなどの環境を分析し,いつもと異なるネットワークからのアクセスに対して追加の認証を行う。

リスクベース認証
利用者の記憶,持ち物,身体の特徴のうち,必ず二つ以上の方式を組み合わせて認証する。

二要素認証(多要素認証)
情報セキュリティ政策に係る基本戦略の立案,官民における統一的,横断的な情報セキュリティ政策の推進に係る企画などを行う。

CRYPTRECの活動内容
サイドチャネル攻撃の手法であるタイミング攻撃の対策として演算アルゴリズムに対策を施して,機密情報の違いによって処理時間の差異が出ないようにする。

組織に割り当てられているIPアドレスのうち,コンピュータで使用されているIPアドレス空間

ダークネット
マルウェアの活動傾向などを把握するための観測用センサが配備される
OSなどに不正に組み込んだツールを隠蔽する。

rootkit
トンネルモードを使用すると,暗号化通信の区間において,エンドツーエンドの通信で用いる元のIPのヘッダを含めて暗号化できる。

Ipsec
メールクライアントからメールサーバへの電子メール送信時に,ユーザアカウントとパスワードによる利用者認証を行う。

SMTP-AUTH
DNSサーバに対して,IPアドレスに対応するドメイン名,又はドメイン名に対応するIPアドレスを問い合わせるクライアントソフトウェア ゾル
Webサイトが,EV SSL証明書を採用している場合,存在するサブジェクトフィールドのOrganization Nameに記載されているものはどれか。

Webサイトの運営団体の組織名
文字の表示順を変える制御文字を利用し,ファイル名の拡張子を偽装する。

RLO(Right-to-Left Override)を利用した手口
ディジタル証明書の失効状態についての問合せに応答する。

VA(Validation Authority,証明書有効性検証局)
ディジタル証明書を作成するためにディジタル署名する CA(Certificate Authority,認証局)
認証局に代わって属性証明書を発行する。

AA(Attribute Authority,属性認証局)
本人確認を行い,ディジタル証明書の発行を指示する。

RA(Registration Authority,登録局)
電子政府推奨暗号リストとは,CRYPTRECによって安全性及び実装性能が確認された暗号技術のうち,市場における利用実績が十分であるか今後の普及が見込まれると判断され,当該技術の利用を推奨するもののリストである。

利用者が振り分けた迷惑メールから特徴を学習し,迷惑メールであるかどうかを統計的に解析して判定する。

ベイジアンフィルタリング
TCPヘッダに含まれる情報

宛先ポート番号
店舗案内のWebページ上に,他のサイトが提供する地図探索機能を利用して出力された情報を表示する技術。

マッシュアップ
空調機からの冷気とIT機器からの熱排気を分離するために,ラックの前面(吸気面)同士を対向配置したときの,ラックの前面同士に挟まれた冷気の通る部分である。

データセンタにおけるコールドアイル
インターネットを介して,攻撃者がPCを遠隔操作する。

ボット
感染するごとにウイルスのコードを異なる鍵で暗号化し,同一のパターンで検知されないようにする。

ポリモーフィック型ウイルス
ルートキットを利用してウイルスに感染していないように見せかけることによって,ウイルスを隠蔽する。

ステルス型ウイルス
標的組織の従業員が頻繁にアクセスするWebサイトに攻撃コードを埋め込み,標的組織の従業員がアクセスしたときだけ攻撃が行われるようにする。

水飲み場型攻撃(Watering Hole Attack)
VLAN機能をもった1台のレイヤ3スイッチに複数のPCを接続している。スイッチのポートをグループ化して複数のセグメントに分けると,セグメントを分けない場合に比べて,どのようなセキュリティ上の効果が得られるか。

スイッチが,PCからのブロードキャストパケットの到達範囲を制限するので,アドレス情報の不要な流出のリスクを低減できる。
DNSのMXレコードで指定するもの 宛先ドメインへの電子メールを受け付けるメールサーバ
複数のブリッジ間で情報を交換し合い,ループ発生の検出や障害発生時の迂回ルート決定を行う。

複数のブリッジ間で情報を交換し合い,ループ発生の検出や障害発生時の迂回ルート決定を行う。
TFTP(Trivial File Transfer Protocol)は、FTPを簡略化しUDPを用いてファイル転送を行うプロトコルです。

データウェアハウスを構築するために,業務システムごとに異なっているデータ属性やコード体系を統一する処理はどれか。

データクレンジング
リモートログインやリモートファイルコピーのセキュリティを強化したツール及びプロトコル

SSH
XML署名において署名対象であるオブジェクトの参照を指定する表記形式

URI
「Reference要素」には署名されるリソースをURIによって指定します。
クラウド利用企業の経済的な損失を目的に,リソースを大量消費させる攻撃

EDoS(Economic Denial of Service,Economic Denial of Sustainability)攻撃
VoIPにおいて,ユーザエージェント間のセッションの確立,変更,切断を行うプロトコル SIP
インターネットVPNを実現するために用いられる技術であり,ESP(Encapsulating Security Payload)やAH(Authentication Header)などのプロトコルを含むもの Ipsec
送信側メールサーバでディジタル署名を電子メールのヘッダに付与して,受信側メールサーバで検証する。 DKIM
リモートアクセス環境において,認証情報やアカウンティング情報をやり取りするプロトコルはどれか。 RADIUS
インターネット標準 RFC 5322(旧 RFC 822)に準拠した電子メールにおいて,ヘッダと本体を区別する方法 最初に現れる空行の前後でヘッダと本体を分ける。
撃者は特定の目的をもち,特定組織を標的に複数の手法を組み合わせて気付かれないよう執拗(よう)に攻撃を繰り返す。 APT(Advanced Persistent Threats)
ウイルスの感染や発病によって生じるデータ書込み動作の異常や通信量の異常増加などの変化を監視して,感染を検出する。 ビヘイビア法
Webページのコンテンツ上に透明化した標的サイトのコンテンツを配置し,利用者が気づかないうちに標的サイト上で不正操作を実行させる。 クリックジャッキング攻撃
作成者によってディジタル署名された電子文書に,タイムスタンプ機関がタイムスタンプを付与した。この電子文書を公開する場合のタイムスタンプの効果 電子文書が,タイムスタンプの時刻以前に存在したことを示すことによって,作成者が電子文書の作成を否認することを防止する。 タイムスタンプの時刻以降に改ざんされていないことの証明。
IPスプーフィング(spoofing)攻撃の対策 外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば,そのパケットを破棄する。
DMZ上のコンピュータがインターネットからのpingに応答しないようにファイアウォールのセキュリティルールを定めるとき,"通過禁止"に設定するものは ICMP
シリアル回線で使用するものと同じデータリンクのコネクション確立やデータ転送を,LAN上で実現するプロトコル PPPoE
ネットワーク管理プロトコルであるSNMPバージョン1のメッセージタイプのうち,事象の発生をエージェント自身が自発的にマネージャに知らせるために使用するものはどれか。 trap ★参考 get-request マネージャからエージェントへの参照要求 get-response エージェントからマネージャへの参照応答 set-request マネージャからエージェントへの設定要求 trap エージェントからマネージャへのイベント通知
Web検索サイトの順位付けアルゴリズムを悪用して,キーワードで検索した結果の上位に,悪意のあるサイトを意図的に表示させる。 SEO(Search Engine Optimization)ポイズニング
セキュリティパッチが提供される前にパッチが対象とする脆弱性を攻撃する。 ゼロデイ攻撃
問題がある通信データパターンを定義したものであり,該当する通信を遮断するか又は無害化する。 ブラックリスト
ベーシック認証では,利用者IDとパスワードを":"で連結したものを,BASE64エンコードしAuthorizationヘッダで指定する
システム監査 コントロールが有効であると判断するために必要なサンプル件数を事前に決めることができる。 統計的サンプリング
計算能力の向上などによって,鍵の推定が可能となり,暗号の安全性が低下すること 暗号アルゴリズムの危殆(たい)化
信号の読み出し用プローブの取付けを検出するとICチップ内の保存情報を消去する回路を設けて,ICチップ内の情報を容易に解析できないようにする。 ICカードの耐タンパ性を高める対策
通信プロトコルで使用するデータ形式を記述するための記法であって,SNMPのパケットの符号化に利用されているものはどれか。 ASN.1
100人の送受信者が共通鍵暗号方式で,それぞれが相互に暗号化通信を行うときに必要な共通鍵の総数は幾つか。 n(n-1)/2 9900/2=4950 4950個
IPアドレスに対するMACアドレスの不正な対応関係を作り出す攻撃 ARPスプーフィング攻撃
データの暗号化は行わず,SPI,シーケンス番号,認証データを用い,完全性の確保と認証を行う。 Ipsecプロトコル AH
サーバはクライアントから送られた使い捨てパスワードを演算し,サーバで記憶している前回の使い捨てパスワードと比較することによって,クライアントを認証する。 S/KEYワンタイムパスワード
メッセージを画像データや音声データなどに埋め込み,その存在を隠す技術のことをいう。 ステガノグラフィ
ディジタル証明書を使わずに,通信者同士が,通信によって交換する公開鍵を用いて行う暗号化通信において,通信内容を横取りする目的で当事者になりすますもの Man-in-the-middle攻撃(中間者攻撃)
インターネットで電子メールを送信するとき,メッセージの本文の暗号化に共通鍵暗号方式を用い,共通鍵の受渡しには公開鍵暗号方式を用いるのは S/MIME
業務機能を提供するサービスを組み合わせることによって,システムを構築する考え方である。 SOA(Service Oriented Architecture)
リバースプロキシを使ったシングルサインオンの場合,利用者認証においてパスワードの代わりにディジタル証明書を用いることができる。
WPA2では,IEEE802.1Xの規格に沿って機器認証を行い,動的に更新される暗号化鍵を用いて暗号化通信を実現できる。
DBMS(データベースマネジメントシステム)が持つ機能の一つでデータベースに加えた変更を他の別のネットワーク上にある複製データベースに自動的に反映させることで信頼性や耐障害性を高める仕組み レプリケーション(Replication)
PCが参照するDNSサーバに誤ったドメイン管理情報を注入して,偽装されたWebサーバにPCの利用者を誘導する。 DNSキャッシュポイズニング
受信側からの確認応答を待たずに,データを続けて送信できるかどうかの判断に使用される。 TCPヘッダ中のウィンドウサイズ
利用者が入力したパスワードと,サーバから送られてきたランダムなデータとをクライアント側で演算し,その結果を確認用データに用いる方式。 チャレンジレスポンス方式
ブラウザがWebサーバとの間でSSLで通信する際,ディジタル証明書に関する警告メッセージが表示される原因となり得るもの 例)ルートCAのディジタル証明書について,Webサーバのディジタル証明書のものがブラウザで保持しているどのものとも一致しなかった ・有効期限切れ ・FQDNとCNが不一致など
可能性のある文字のあらゆる組合せのパスワードでログインを試みる。 ブルートフォース攻撃
コンピュータへのキー入力をすべて記録して外部に送信する。 キーロガー
盗聴者が正当な利用者のログインシーケンスをそのまま記録してサーバに送信する。 リプレイアタック
認証が終了し,セッションを開始しているブラウザとWebサーバ間の通信で,クッキーなどのセッション情報を盗む。 セッションハイジャック
電源オフ時にIPアドレスを保持することができない装置が,電源オン時に自装置のMACアドレスから自装置に割り当てられているIPアドレスを知るために用いるデータリンク層プロトコルで,ブロードキャストを利用するものはどれか。 RARP
Webサーバを使ったシステムにおいて,インターネットから受け取ったリクエストをWebサーバに中継する仕組みはどれか。 リバースプロキシ
雷サージによって通信回線に誘起された異常電圧から通信機器を保護するための装置はどれか。 アレスタ



以上

システムアーキテクト、プロジェクトマネージャ共通で使える論文ネタ(移行関連)

移行関連の論文ネタです。

 

■論文ネタ38 データ移行フロー(PM H22午後1 問3 抜粋)
・現行システムのデータを新システムに適した形に変換したうえで、新システムに反映さ
せる(以下、データ移行という)。変換は、移行プログラムによって行う。
・利用部門へのサービス提供時間帯を避けて実施するので、6時間以内に終えなければい
けないという制約がある。

 

 

 

【データ移行計画】
(1)移行方式設計
方式候補は次の①~③になる


①全てのデータ移行を、本番移行だけで行う
②本番移行に先立ち、本番移行までの間に現行システムで変更されることのないデータ
を出来るだけ多く新システムにデータ移行しておく。残りのデータ移行を本番移行で行う。
③本番移行に先立ち、現行システムの全てのデータを対象にデータ移行を行う。その後
に現行システムで変更されたデータを対象に本番移行を行う。


(2)移行プログラムの開発
データ移行に用いるプログラムの製造、単体テスト結合テストを行う。


(3)移行総合テスト
移行方式設計で決定したデータ移行方式によって、データ移行を行い、新システムデータ
を作成する。
新システムに反映した後、データ件数やデータ内容を確認する。
さらに、現行システムと新システムで業務処理を実行して課金システムへ提供する課金イ
ンタフェースファイルを作成する。課金インタフェースファイルの仕様は変更されていな
いので、両システムの処理結果は一致しなければならない。処理結果を比較し、新システ
ムのデータが正しく作成できている事を確認する。
移行総合テストは、新システムの本番稼働向けに構築した環境で行う


(4)移行リハーサル
移行方式設計で設計したデータ移行の一連作業手順を実施して、手順の正しさを検証す
る。
また、その作業手順で作成した新システムのデータの確認も行う。さらに、本番移行が制
約の下で確実に実施出来る事を検証する。移行リハーサルは、新システムの本番稼働向け
に構築した環境で行う。


(5)移行実施
移行リハーサルで検証した一連の作業手順に従ってデータ移行を行う。

 

 

動画で解説!!!

f:id:riki12342000:20170826105603j:plain

 

f:id:riki12342000:20180520222628j:plain

 

 

 

日本最速!プロジェクトマネージャ試験 平成30年春 午後Ⅰ問2解説

日本最速!プロジェクトマネージャ試験 平成30年春 午後Ⅰ問2解説 

 

 

http://toppakou.com

 

システムアーキテクト試験 論文ネタ2 プロトタイプ 進め方

システムアーキテクト試験でそのまま使える論文ネタをアップします

 

 

■論文ネタ2 プロトタイプ 操作性

プラント点検業務システムの外部設計工程に於いて、

日常点検を阻害しない操作性を確保できるかどうかを検証するため、

設計段階でプロトタイプによる検証を行った

 

さらに詳しく以下で動画解説!

f:id:riki12342000:20180520222628j:plain

http://toppakou.com/SA