情報処理安全確保支援士 令和7年度 秋期 受けてきました。
(令和7年度春は爆死済)
午前1免除、
午前2は19/25問(76%)、
午後は以下の自己採点で6割超えは安泰っぽいので多分受かったと思います(フラグ)。
自分が解答した問1、問3について、自己採点と自分用解説を載せておくので、同じ問題を解いた人は参考にしていただければ。
間違ってるときは、正答予想も併記しておきます。
総評
前回に比べて、文字数指定なし、具体的に記述せよ系が多かった気がします。
ていうか問1, 3の論述は全部それでしたね。
春で大不評だった「TLSハンドシェイクを全部回答させる虫食い」みたいな技術理解度を問う問題は減り、
シチュエーションに対して「どのような対応をする?どう分析する?」を問う実務に近い形式がほとんどでした。
総じて春よりは易化?
問1
総評
Webアプリの脆弱性に関する問題。
題材としては以下
- 格納型XSS
- CSRF
- MIMEスニッフィング
格納型XSS起点でCSRFトークンを窃取して、権限昇格から悪さするって感じのシナリオでした。
実行スクリプトを.xlsxでアップロードしてるのも焦点だったかな。
設問1
CSPヘッダから、実行可能な操作を答える問題。
SameOriginPolicyはなんとなくわかったけど、インラインスクリプトとの関連をど忘れする脆弱っぷり。
回答
- a: できない ⭕️
- b: できる ❌️
- => できない
設問2
インシデントの調査に関する設問。実際の攻撃手法を推測していく問題ですね。
(1)
スクリプトが悪用した機能を回答する問題。
「タスク管理」機能のタスク登録時に入力検証してないのが根本原因やろ!ってことでそう回答したけど、
スクリプトの内容は「ロール機能を悪用してCSRFトークンを窃取して攻撃」なので、こっちが正解。
私の回答は攻撃の起点の話ですからね。これは純粋に日本語の読み違え……。
回答
- タスク管理 ❌️
- => ロール管理 っぽい
(2), (3), (4)
cはスクリプトがインジェクトされた箇所を書く問題。
dはインジェクトされた文字列を回答。
e~gは格納型XSS実行の具体的なシーケンスですね。
まあここはイージーだったんじゃ?
回答
- c: タスク名 ⭕️
- d:
個人タスク<script src="F1234567890.xlsx"></script>⭕️ - e: 管理者 ⭕️
- f: 締切日を過ぎている ⭕️
- g: 管理者ロールを付与 ⭕️
(5)
何度か攻撃に失敗している攻撃者が、どのような工夫を行ってCSPをかいくぐったか?を回答する問題。
以下の2点を抑えた回答だと満額回答だと思われ。
- 同一オリジンじゃないと🙅
- インラインスクリプトは🙅
僕は片方しか回答できてない気がするし、回答としても舌足らずっぽい……。
回答
- srcに相対パスを指定し、同一オリジンからスクリプトが実行されるようにした。❓️
設問3
インシデント対応のフェーズ。
(1)
ファイルアップロード時に追加するべき処理について。
MIMEスニッフィング攻撃を理解してればまともな回答が出来た気がする!
「拡張子が.xlsxに偽装されてるってことよな……でも中身の検証なんかできるんか?重すぎないかその処理」なんて思ってたんですけど、実際どうなの?
これは自分がWEB技術者でないのが痛手でしたな。
私の回答は、アップロードされるファイルのファイル識別子をランダムにして、攻撃の成功確率を下げる狙い。ただ、ファイル名は攻撃者にも見えるっぽいので意味なさげ……。
ここはコミュニティでも回答が錯綜してる?教えて有識者!!
回答
- ファイル識別子として推測困難な文字列を付与する。 ❌️
- => ファイルの内容が拡張子と一致しているか検証する ❓️
(2), (3)
実際にXSSが発生した箇所と、必要な防護措置を回答する問題。
<script></script>が解釈されて実行されないようにしなさいね!ってことでいいハズ。
回答
- (2): プロジェクト進捗管理 ⭕️
- (3): HTMLサニタイズを実施する。❓️
- => ちょっと言葉足らずかも!
設問4
お手上げでした!純粋な知識ベース問題。
すでに実施してる脆弱性診断じゃ見落とすので、追加で何を実施する?って問題。
問題文では「SAST」がすでに提示してあり、対応する「DAST」を書く人も多かったみたいだけど、DASTはすでに実施してる対応そのもの。
「ペネトレーションテスト」が一番納得できたかな。なんかIPAの方針的にもペネトレ推してるみたいだし……。
中核人材育成プログラム 事業内容 | デジタル人材の育成 | IPA 独立行政法人 情報処理推進機構
僕の回答は論外です。これはSASTに含まれますからね。
回答
- ホワイトボックステスト ❌️
- => ペネトレーションテスト
問3
総評
典型的な「リモートワーク対応」系問題 + エッセンスとしてインターネットバンキングの中間者攻撃に関する問題。
文中のヒントから回答できる問題が多く、難易度としては高くなかった希ガス。
どっちかというと読解力……典型的な「国語問題」。
文字数制限がまったくなかったので、枠内いっぱいいっぱい書いてやりましたわ!
設問1
技術用語を答えるもの。
DNS over HTTPSをど忘れしてしまい、DNSSとかいう未知の単語を作り出してしまった。
下にDoTと堂々と書いてあったのに、なんでわからんかったのか……。
回答
- (1): DNSSEC ⭕️
- (2) b: DNSS ❌️
- => DoH
- (2) c: TLS ⭕️
設問2
攻撃のシーケンス図と偽装ポップアップ(罠)画面が図示され、どのような順序で攻撃を行ったか?を答えさせるもの。
一回「正規の振込先」を入力させて安心させて(これの返答は偽サーバで止めてる)、罠画面で「攻撃者の振込先」を「確認コードとして」入力させるのが鍵でしたね。
回答
- d: イ(攻撃者による書き換え前の口座番号) ⭕️
- e: ア(攻撃者講座の口座番号) ⭕️
設問3
SaaS VPN(Kサービス)導入にともなう通信許可設定の問題。
まずはVPN側の設定。
VPNの設定サイトに社内からしか接続できないようにするにはどうする?って問題。
社内からの通信はすべてFW(ステートフルパケットインスペクション型)を経由するので、FWのグローバルIPだけを指定すればOK。
ちなみに回答は超冗長だとおもいます。間違いではないから減点はされないと思いますけど。
回答
- Kサービス設定設定サイトにアクセスできる接続元IPアドレスをM-FWのインターネット側インターフェースのグローバルIPアドレスである
a1.b1.c1.d1のみにする。⭕️
設問4
(1)
取引先サービスに対する設定。
取引先サービスはすべてIP制限を行っていて、これまではFWからの通信を許可してたけど、
今後はVPNから通信が行くので、そっちに切り替えて貰う必要がある。
回答
- 接続を許可する接続元IPアドレスをKサービス用固定グローバルIPアドレスに変更する。M-FWからの接続許可設定は削除する。⭕️
(2)
社内からのHTTPS通信の許可設定について、VPN以外に許可するサービス名を回答する問題。
Vサービスの認証基盤へは、SSOアカウント作成のためにVPN利用前にアクセス出来ないといけないのでアクセス許可が必須。
完全に見落としてたんですけど、「経理係のIB利用と情シス係の情シス管理を除き」って書いてあったんですね……例外ルールやめようや!!!!!
というわけで経理係と情シス係がKサービスを経由しないで使う以下のサービスも回答に含める必要がありそうです。
回答
- Vサービスの認証基盤 ❌️
- => + ZIB, YIB, 基本サイト
設問5
(1)
スマホ端末を使用したMFAの設定について。
「社用スマホが壊れたときに認証できなくてヤバイ!個人所有も認証に使わせて!」という現場の声を反映するにはどうする?って問題。
2つの認証方式があって、その両方を使用できるようにしたので、
片方を社有、片方を個人所有のスマホと紐づければOKなハズ。
ただ、「認証方式2」はもともと使用していた認証方式なので、「認証方式1」を個人所有スマホに紐づければそれでOKだった……。
僕の回答は冗長です。間違ったことは言ってないと思うけど……。
回答
- 認証方式の1と2について、どちらかを社有スマホ、もう片方を個人所有スマホの情報で設定する。⭕️
(2)
「社内のPCのOSアプデ状況が芳しくないので、VPNの機能を使って促進したい!」という声にお答えするにはどうするかという問題。
VPNサービスが「OSのバージョンをみて接続を拒否」するのと「接続してきたPCのOSバージョンを記録」する機能を有しているので、これらを使って促進せいということっぽい。
ただ、「接続拒否は強引すぎない?現場ではあり得ない」っていう声と、「VPN利用必須なんだからOSアプデも必須化でしょ」という声があって、以下の2つで意見が割れてます。
- 古いバージョンのOSからのアクセスは拒否する(強硬派)
- ログから従業員を割り出してアプデを促す(穏健派)
ただ、僕は欲張りなので両方書きました。
解答欄バカでかかったし許されるやろ!!!!!!
回答
- 項番3を使用し、OSバージョンがXのPCからの接続を拒否する。または、KサービスのログからOSのバージョンがXのPCから接続を行ったアカウント名を抽出し、アカウント名と紐づく従業員に対しバージョンの更新を促す。⭕️
まとめ
おおむね根拠アリで回答できた気はします。
一部アヤシイとこもありますが、まあ6割は超えてるっしょ。
あとはお祈りするのみ。
「点数は相対的、偏差値的に付けられる」というワルイ噂もありますが、まあそこはあんま信用せず。
合格発表は12月25日!🎅
良いメリクリになりますよう🙏
ていうか次の試験から高度試験もCBTなんすね……
この文量、モニタ1枚で見きれる気がしない