2ちゃんねる★スマホ版★■掲示板に戻る■全部1-最新50

【SC】情報処理安全確保支援士試験 Part109 [無断転載禁止]©2ch.net

1 :
名無し検定1級さん
2017/01/18(水) 14:09:07.99 ID:Sf3oZFdF
国家資格「情報処理安全確保支援士」
http://www.ipa.go.jp/siensi/

情報処理技術者試験センター
https://www.jitec.ipa.go.jp/

関連スレ
【RISS】情報処理安全確保支援士 Part12 [無断転載禁止]©2ch.net
http://hanabi.2ch.net/test/read.cgi/lic/1484687633/

前スレ
【SC】情報処理安全確保支援士試験 Part1 [無断転載禁止]
http://hanabi.2ch.net/test/read.cgi/lic/1484663081/
365 :
(*´∀`)
2017/03/25(土) 07:06:45.32 ID:0fqGTluE
http://www3.nhk.or.jp/news/html/20170324/k10010923451000.html
http://pdf.irpocket.com/C3046/o1Tt/dBxT/Avd4.pdf
Apache Struts2 の脆弱性を利用した第三者による不正アクセスが発生
http://internet.watch.impress.co.jp/docs/news/1051268.html
Apache Struts 2の脆弱性をめぐっては、3月8日の時点で独立行政法人情報処理推進機構(IPA)が注意喚起を行っている。

http://jvndb.jvn.jp/search/index.php?mode=_vulnerability_search_IA_VulnSearch&lang=ja&useSynonym=1&keyword=Apache+Struts2
Struts2は4件の脆弱性があるけど、どれなんだ? SC試験に出題されるのか?
366 :
(*´∀`)
2017/03/25(土) 07:10:21.26 ID:0fqGTluE
>>365
https://rms-digicert.ne.jp/digital-certificate-news/apache-struts-jakarta-multipart-parser_vulnerability
>注:原文では curlコマンドを使用して問題を再現した事例が紹介されています。

これなのか?
curlというOSコマンドインジェクションで、HTTP通信〜情報漏えい
367 :
(*´∀`)
2017/03/25(土) 08:01:58.63 ID:0fqGTluE
>>365 これは試験に出るな・・。

CVE-2017-5638はここだけではないはず。クレジットカード明細の確認必要
368 :
名無し検定1級さん
2017/03/25(土) 08:54:40.14 ID:3JUTubcT
>>367

出題範囲ある程度基本は覚えた。
これからはより細かい所まで覚える事で確実に合格してみせる。

シラバス的にはライブマイグレーションとか出題されそうじゃね?
369 :
(*´∀`)
2017/03/25(土) 09:06:42.69 ID:0fqGTluE
疑義の問合せがあったにもかかわらず、自システム障害と認識できなかった
370 :
(*´∀`)
2017/03/25(土) 09:20:38.47 ID:0fqGTluE
>>368
例えば、どの辺りにセキュリティさがあるの? 
http://image.itmedia.co.jp/l/im/ait/articles/0912/16/l_wi-livemig01_12.gif
371 :
(*´∀`)
2017/03/25(土) 09:24:39.29 ID:0fqGTluE
記述式の回答例。
システムの重要度に優先順位を付けておらず、トリアージが出来ない
372 :
(*´∀`)
2017/03/25(土) 09:53:38.47 ID:0fqGTluE
>>368
http://jcispa.jasa.jp/cloud_security/cs_mark/
CSマーク(クラウドセキュリティ・マーク)が解答欄に来ると思う。
373 :
(*´∀`)
2017/03/25(土) 10:06:06.81 ID:0fqGTluE
>>368
>A君はフリーソフトBを作者サイトではなく、ソフト紹介サイトから取得しインストールしていた。
リパックアプリが解答欄に出てくると思う。
374 :
名無し検定1級さん
2017/03/25(土) 10:31:52.52 ID:DVUuG8bw
おまえは、少し疲れているんだよ!
心労は健康に大敵だぞ!
無理するなよ!
375 :
名無し検定1級さん
2017/03/25(土) 11:11:44.55 ID:jEZPPQPP
この人貯金それなりにあって
暇してる人じゃなかったっけ
376 :
2017/03/25(土) 12:20:51.71 ID:n9GgV4wk
>>370
可用性を担保する解決策になりうるってことじゃないかな。自分はそれ書いた人じゃないけど。
ライブマイグレーションってVMwareの
VMotionみたいな機能のことだよね?

DDoS攻撃受けての自動再起動は、問題未解決の状態なのですぐにまたダウンさせられて解決策にならんかもしらんけど、ライブマイグレーション。
377 :
名無し検定1級さん
2017/03/25(土) 12:49:27.84 ID:jEZPPQPP
DDos攻撃だとまた別の対処法が必要
378 :
名無し検定1級さん
2017/03/25(土) 14:42:02.63 ID:kmw1GZE0
午後2でおすすめな問題ってある?
379 :
2017/03/25(土) 15:12:18.80 ID:vvpOw8xd
初回支援士試験まであと22日

午後問はやるだけじゃ駄目だよ。
ポケスタやアプリ使って繰り返して、記憶に定着させないと。
いつでも、どこでも、なんどでも!

ポケスタ
https://www.amazon.co.jp/dp/479804931X/
『ポケットスタディ 情報処理安全確保支援士』本日発売!!

アプリ
http://applion.jp/android/app/com.decafe.scpm.pro/
380 :
2017/03/25(土) 16:31:46.14 ID:vb+54HoD
>>365
イオンモバイルがこの件で緊急メンテらしい
381 :
名無し検定1級さん
2017/03/25(土) 16:43:15.14 ID:jEZPPQPP
たまたまニュースになってるけど
struts2の脆弱性なんてほぼ毎月出てるよ
382 :
(*´∀`)
2017/03/25(土) 19:26:08.19 ID:0fqGTluE
>>378
SGの過去問題。なにを思いつけば良いのか、参考になる。
383 :
2017/03/26(日) 09:48:32.16 ID:IoafoFFK
IPAがyoutubeにあげてる内容が集中的に狙われるよ
384 :
名無し検定1級さん
2017/03/26(日) 11:17:09.19 ID:bEKFuUrP
技術的なものだとSELinuxとかOpenSSLがらみのやつがでそう
385 :
名無し検定1級さん
2017/03/26(日) 11:23:30.54 ID:bEKFuUrP
去年少し話題になったDirty Cowみたいな特権昇格バグとかの
Linux Kernelの脆弱性
Bindの脆弱性
386 :
名無し検定1級さん
2017/03/26(日) 15:28:00.90 ID:XJ3PUuht
>>355
この前、銀行からICカードが送られてきたのだが
そのPINはキオスクでコーヒー買ったときにおつりと一緒に渡されたよ
387 :
(*´∀`)
2017/03/26(日) 20:09:05.81 ID:RWpAaXY5
>>386
お前はクリアデスクや記憶という言葉がでなくて落ちるだろう。
388 :
(*´∀`)
2017/03/26(日) 20:17:04.63 ID:RWpAaXY5
>>383
https://www.youtube.com/user/ipajp/videos
数ヶ月前はIoTが多いから、これが出題テーマかもな
389 :
(*´∀`)
2017/03/26(日) 20:31:41.52 ID:RWpAaXY5
光の隼のルーターのIDパスワードも出荷時のままはは危ない。
https://japan.zdnet.com/article/35094506/
SwitcherはルータのDNS設定を変更し、攻撃されたネットワークにあるデバイスからのDNSクエリが、攻撃者のサーバにリルートされるようにする。
390 :
(*´∀`)
2017/03/26(日) 20:39:38.35 ID:RWpAaXY5
http://www.atmarkit.co.jp/ait/articles/1402/12/news140.html
自社のログ用につかってるNTPが、別サイトへのリフレクション攻撃に使われた。
対策はどうすればいい?
というような内容が出題されたら良いなぁ・・(*´∀`)
391 :
(*´∀`)
2017/03/26(日) 20:46:45.55 ID:RWpAaXY5
>>390
最終行に、「BCP 38をやれ」。って書いてる。
https://www.nic.ad.jp/ja/basics/terms/ingress-filtering.html
http://www.soi.wide.ad.jp/class/20060020/slides/11/35.html
イングレスフィルタリングって出題するかね?
392 :
(*´∀`)
2017/03/26(日) 20:51:32.36 ID:RWpAaXY5
>>391
セキュリティ対策とネットワーク管理は別だと思うから、
プロキシ経由以外はFWで外に流さない。っていうだけだろうなぁ。
NPCをVDIサーバに変更したセキュリティポリシー書き換え問題も出たけど。
393 :
(*´∀`)
2017/03/26(日) 20:58:07.60 ID:RWpAaXY5
ロールの棚卸しが出題予感・・・。
394 :
名無し検定1級さん
2017/03/26(日) 21:30:28.61 ID:ZnQzvebb
(´・ω・`)ねもい
395 :
2017/03/26(日) 23:04:25.21 ID:aIoOSE3x
>>393
試験勉強、基礎の基礎からやるにはどうしたらイイ?
396 :
2017/03/26(日) 23:54:15.34 ID:IoafoFFK
めんどくせーからITパスも基本も応用も飛ばすんだけど、どうしたらいい?
397 :
2017/03/27(月) 00:04:20.85 ID:c621n5T1
>>396

IPAがyoutubeにあげてる内容を集中的にやるってのはどうだろう?

ってのはさておき、とりあえず午前の過去問を暗記するくらいやる。
午後はとにかくまず過去問を読む。
問われてること理解できるまで。

かな。自分はそうしてる。
398 :
名無し検定1級さん
2017/03/27(月) 00:10:47.59 ID:TgS0Snc7
>>396
(´・ω・`)過去3回分の午後問全部やればおk
399 :
2017/03/27(月) 00:14:48.04 ID:l5nB42P9
>>397
マジレスありがとうございますw
ほんとうは4月に基本情報受けます
冷やかしてすいません
400 :
2017/03/27(月) 00:18:50.16 ID:c621n5T1
>>399
ネタにマジレス、カコワルイだったかな?

基本情報でも午前の対策は同じですよ。
午後は基本特有の勉強必要で大変だけど。
4月試験頑張ってね。
自分はこのSC頑張るから。
401 :
2017/03/27(月) 00:20:18.09 ID:TgS0Snc7
(´・ω・`)シュン
402 :
2017/03/27(月) 00:36:25.55 ID:l5nB42P9
>>400
>>401
2ちゃんねるなのに、いい人に出会えてヨカッタ
。・゜・(ノД`)・゜・。
403 :
(*´∀`)
2017/03/27(月) 08:31:19.55 ID:QM603+It
>>395
過去問道場の午前を90点とれるまで丸暗記する。
すると、なにが分からないのか見えてくる。
試験まで3週間だから、分からない不得意な内容を1つだけ理解か復唱して、繰り返し祈ればいい。
覚えるから。

覚えるには体作りも必要なので、
卵を一日3個は食べる。植物性油は認知症の原因だから食べない。
404 :
(*´∀`)
2017/03/27(月) 08:49:00.63 ID:QM603+It
>>397
> >>396
> 問われてること理解できるまで。

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2016h28.html#28aki
平成28年PM2問1の設問3(2)
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2016h28_2/2016h28a_sc_pm2_ans.pdf
>PCのWebブラウザが不正なサーバ証明書を信頼し、不正なサーバにアクセスするリスク

この問題は、
CAの公開鍵証明書をばらまくな、と読み取れる。
別の過去問にも、サーバ証明書を拡散させるな的な問題は出た。
405 :
2017/03/27(月) 09:25:44.73 ID:E7pDNulx
>>403
あざす!
406 :
2017/03/27(月) 12:47:36.05 ID:PLNqXq1h
卵マンだったか
存在思い出したわ
407 :
2017/03/27(月) 12:51:17.64 ID:Eozb19QJ
過去問5年分やったから今回こそは
408 :
(*´∀`)
2017/03/27(月) 14:40:11.61 ID:QM603+It
今晩はここでも読んでみるか・・
http://www.ipa.go.jp/security/index.html
http://www.ipa.go.jp/security/seminar/isec-semi/index.html
IPA情報セキュリティセミナー
409 :
(*´∀`)
2017/03/27(月) 14:55:37.97 ID:QM603+It
http://www.ipa.go.jp/security/vuln/newattack.html
『高度標的型攻撃』対策に向けたシステム設計ガイド(全130ページ、15.5MB) PDF形式
を見てると、ここに辿り着いた。
プロキシのACL
http://squid.robata.org/faq_10.html
410 :
2017/03/27(月) 18:54:30.12 ID:c621n5T1
>>404
CAとサーバーの証明書はばらまかれるものなので、ホントにばらまくべきでないって意図で書かれてるのかな、これ?
その辺もう少し補足してくれないですか。
411 :
名無し検定1級さん
2017/03/27(月) 19:27:23.83 ID:5xMQ7DRW
>>410

(*´∀`)の人にそういうの期待すんな
412 :
(*´∀`)
2017/03/27(月) 19:27:43.56 ID:QM603+It
>>410
実務経験がないので想像でRESしておく。
https://www.ibm.com/developerworks/jp/websphere/library/web/web_security/pdf/2_1.pdf
別サイトも見たりしたPCがマルウェア感染するのを嫌って、D社アクセス専用PCにしてくれ。
という話だと思う。
413 :
2017/03/27(月) 19:40:21.41 ID:c621n5T1
>>412
絡んでるわけではなく、ディスカッションしてるつもりなので気を悪くしないでくれ。

専用pcにしてくれ、はセキュリティ上理解できる。
でもそれとCAやサーバーの証明書ばらまかないのとは関連しないように思う。
元の書き込みのクライアントpcが間違った証明書を信頼してしまうことの例示は別の事を示唆したいんではなかろうか。
例えばCRLのチェックを忘れるなとか。
414 :
(*´∀`)
2017/03/27(月) 19:40:56.47 ID:QM603+It
>>410
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2016h28_2/2016h28a_sc_pm2_qs.pdf
9ページに、
>D社の認証局が万が一何らかの原因で不正操作される可能性を想定し、
と書いてるから、公開鍵が攻撃者に渡って欲しくないから、
133KB

新着レスの表示

★スマホ版★■掲示板に戻る■全部前100次100最新50

名前:E-mail: