セキスペの山を張る
情報処理安全確保支援士(登録セキスペ)の試験まであと1週間を切りました。
最後の追い込みで山を張ってみます。
午前Ⅱと午後問題に焦点を当てていきます。
午前Ⅱ
概要
全25問、60%オーバーで通過です。つまり、15問以上正解する必要があります。
過去問から6割出るため、過去問を完璧にしていれば通過するはずですが、取りこぼした場合は新規で出題される設問を正解する必要があります。
過去問に関しては、IPAの選択肢の試験は直近二回分の問題は出題されない傾向にあるため、過去問道場で「令和6年春期」以前の問題を集中的に解いていくのがおすすめです。
新規出題分について
新規で出題される問題で出てくるワードについて、1回でも聞いたことがある状態にはしておきたいです。
ここで、2023年12月25日に更新されたシラバスの内容に着目していきます。
情報処理安全確保支援士試験(レベル4)シラバス 追補版(午前Ⅱ)
赤字で「追加」となっているワードは、新規出題問題として出題可能性が高いワードが多いと考えられます。(すでに出題済みのワードもいくつかあります)
これらのキーワードは重点的に覚えていきたいと思います。(ピックアップワードは後述)
午後
概要
以前は午後Ⅰ試験・午後Ⅱ試験と午後に2つの試験がありましたが、令和5年度秋季試験以降は午後試験1つに統合されています。
出題4問中2問を選択して解答し、全体で60%以上を取れば合格です。
出題トピック
午後問題の出題候補はこちらの方の動画を参考にさせていただきます。
今回は2025年度秋ということなので、問題を作成するのに時間がかかることを考慮して2024年度秋〜2025年度春くらいに話題になった事例に関連するワードを見ていくのがよさそうです。
上記動画の内容をそのまま拝借させていただきます。(令和6年度秋季試験・令和7年度春期試験の動画より引用)
2024年度秋のトピック
2025年度春のトピック
これらの事件・事象がどのように攻撃されたのかもチェックしておくと、攻撃方法の具体性が増してよさそうです。
午前Ⅱと同様、シラバスに追加されているワードは要チェックです。
実際の令和7年春期問1では、シラバスに追加されていた「セキュリティ・バイ・デザイン」の意味を記述しないといけない問題が出題されています。
このように、シラバスに新規追加されたワードは説明できるようにしておいた方が良さそうです。
知識0の状態よりは、「なんか聞いたことあるな」くらいの状態の方にしておけば、本文をヒントに正解を思い出すことができるかもしれません。
また、「山を張る」という今回のテーマとはそれますが、午後問題の一番いい勉強方法は、過去問を何回も解くということが大事と言っている人がいました。
午後問題は1回解いて終わりではなく、何度も解き直して身体に染み込ませましょう(自戒)
シラバスで追加されているワードまとめ
シラバスに追加されているワードをまとめていきます。
-
二重脅迫
データ復旧で身代金を要求した後、暴露で脅して追加の身代金を要求。去年のKADOKAWAのランサムウェアでも用いられた手口。 -
オープンリダイレクト
正規のサイトから罠サイトにリダイレクトをさせ、クレデンシャル情報を盗む攻撃。 -
イミュータブルバックアップ
変更できないバックアップ。 -
ドメインフロンティング
正規のCDNと判断がつかない状態で不正な通信を行う方法。HTTP Hostヘッダーを介して別のサイトと通信しながら、SNIとHostヘッダの不一致を利用して通信先を秘匿する。 -
メンバーシップ推論攻撃
AIに任意のデータを与え、AIからの分類結果を観察することで入力したデータがAIの学習データに入っているか否かを推論する攻撃。 -
ワンタイムパッド
平文と秘密鍵の排他的論理和を出す、シンプルだが強力な暗号。秘密鍵を共有しないといけないのがデメリット。 -
メッセージダイジェスト
データの完全性を確保する、元データから生成された固定長の短いビット列。 -
eKYC(electronic Know Your Customer)
オンライン上で本人確認する仕組み。
マイナンバーカードで話題。 -
SCEP・ACME(Simple Certificate Enrollment Protocol・Automatic Certificate Management Environment)
証明書の自動登録・発行プロトコル。 -
サイバーハイジーン
いらないファイルやアプリは消すなど、日ごろからセキュリティ対策を習慣付けしよう。ハイジーンの意味は「衛生」。 -
ISAC(Information Sharing and Analysis Center)
特定の業界内の脅威情報を共有する。金融ISAC・交通ISACなど。 -
PCI DSS(Payment Card Industry Data Security Standard)
クレカのセキュリティ保護基準。 -
TLP (traffic light protocol)
機密情報の共有プロトコル。信号機の色で機密区分を分ける。 -
OSINT(オープンソースインテリジェンス)
公開情報を収集・分析する諜報活動。 -
UBA・UEBA(User Behavior Analytics・User and Entity Behavior Analytics)
SIEMの分析に注力したバージョン。
UBAがユーザーに焦点を当てているのに対し、UEBAはサーバーやデバイスなどのシステムエンティティの行動も分析する。 -
k-匿名化
対象データに同じ属性値をもつデータがk件以上存在するようにするデータ変換。年齢を10、20、30代に区分するなどの抽象化。 -
連合学習
データを一箇所に集めず、各デバイスやサーバーに分散させ機械学習モデルを構築する。 -
UEFI(Unified Extensible Firmware Interface)
BIOSの後継となるファームウェアインタフェース仕様。 -
暗号化消去
データを暗号化し、不要になったら鍵を消去する。効率が良い上に再利用も可能。 -
QUIC
UDPベースでTLSを取り入れたセキュリティトランスポートプロトコル。 -
ビームフォーミング
複数アンテナで信号を合成して、特定方向に電波を集中させる技術。 -
アシュアランスケース
テスト結果をエビデンスとしてシステムの安全性・信頼性を議論し、システム利用者に保証・確証するドキュメント。 -
水平・垂直プロトタイプ
プロトタイプ、全体像を見るか?機能別で見るか? -
テストオラクル
テスト対象の実行結果と比較可能な具体的なテストデータや期待結果が掲載されている情報元。 -
ミューテーションテスト
成功するテストに、意図的にバグを仕込んだプログラム「ミュータント」を生成する。テストが失敗すればミュータントをkillできる。成功するとミュータントを生き残らせてしまうので良くない。 -
カナリアリリース
一気に公開ではなく、一部のユーザーに限定してリリースし、問題ないことを確認しながら段階的に公開していく。 -
INVEST
アジャイルで良いPBIを書くための基準。- Independent(独立している)
- Negotiable(交渉可能である)
- Valuable(価値がある)
- Estimatable(見積もり可能である)
- Small(小さい)
- Testable(テスト可能である)
-
CALMS
DevOpsの価値を表現するフレームワーク。- Culture(文化)
- Automation(自動化)
- Lean(無駄がない)
- Measurement(計測)
- Sharing(共有)
-
OpenTelemetry
分散トレーシングやメトリクス収集のためのOSSフレームワーク。 -
ZEB(建物)・LEED(建物)・GHGプロトコル(温室効果ガス)
環境側面への配慮。
追記(試験後)
結構シラバスの新規ワード登場しました!
やはりシラバスチェックは大事ですね・・・!
シラバスに追加されてたキーワードで午前Ⅱで新規で出現したもの
モデルインバージョン(問5)
ドメインフロンティング(問8)
ワンタイムパッド(情報理論的安全性)(問9)
PSIRT(問13)
UEBA(問14)
CSPM(問15)
シラバスには出ていなかったけど初登場のワード
Identify Proofing(問11) → eKYCの文脈で判断できそう
午後問について
出題テーマは以下でした。
問1:クロスサイトスクリプティング
問2:署名鍵
問3:DNS
問4:脆弱性管理
自分は問1,3を解きましたが、目立った新規ワードはなかったように思います。
ランサムウェア来るかと思ってたんですが、来きませんでしたね・・・
生成AI系の話も情報セキュリティ白書に載ってたのでそろそろくるかな?と思ったけどまだきませんでした。今後に注目ですね。
Discussion