IT国家資格「情報処理安全確保支援士」の難関である午後過去問を振り返った際に作った記事のまとめになります。歯抜けなのはご容赦おば💦
令和4年春
午後1問2
任意のコマンドが実行できちゃうOSコマンドオプションの脆弱性の問題。「NAS」「DNS」「OSコマンド」関連が出ました
午後1問3
スマホQRコード決済サービスにおいて、なりすまし対策における本人確認のお話が出題されました。7payでも大問題になりましたね。
午後2問2
動画投稿配信サービスを提供する会社が舞台です。
クラウドに移行したい、他社クラウドと連携して従業員の要望を叶えたい思いがあり色々なサービスと連携する話が飛び交いました。
CDN、SSO、OAtuth、OpenIDの知識が問われます。
令和3年秋
午後1問1
サーバ保守のため保守員がたまにSSH接続で社外からアクセスが必要な状況。一時的にFWに穴を開けたときに、推測できるパスワードだったので、社外からアクセスされ攻撃を受けてしまったので、対策として公開鍵認証やアクセス経路を限定するお話でした。
午後1問2
ファイル管理のお話です。
パスワードでファイル管理していると、入力がめんどくさかったり、離任者が出るたびにパスワード変更が必要など問題があり、その対策としてIRMという技術を導入することが出題されました。
午後1問3
社内PCがマルウェア感染したお話で、犯人探しよりも初動対処やFWで恒久対策する問題が出題されました。
午後2問2
他組織へ技術情報を発信している化学会社において、感染して情報を盗むマルウェアが仕込まれてしまい、自社の対処やら他組織への感染影響確認やらでてんやわんやになるお話です。なお、前半には今どきらしくテレワーク環境構築に向けネットワーク負荷軽減の問題も出題されました。
令和3年春
午後1問1
利用者認証を他社の認証サービスを使って行うように改修していくお話です。
他社サービスを使うと自分は用意しないので楽ですが、連携することで受けてしまう脆弱性攻撃やデメリットその対策などが出題されました。また、サービス連携はOAuthのやりとりが採用されました。(OAuthは令和4年春でも出ているので要注意ですね)
おわりに
なお、セキスペ午後過去問解説でお世話になったサイトをまとめた記事が以下になります。午後過去問解く際にはとてもお世話になりました。