情報処理安全確保支援士の試験情報&セスペの過去問解説

2017年度から情報セキュリティスペシャリスト試験(以下、セスペと省略します。)は廃止され、情報処理安全確保支援士制度といわれる支援士試験制度の中でセスペが引き継がれて実施されると経済産業省より発表がありました。更新制度や講習など情報セキュルティスペシャリストよりもグレードが上がる資格になります。

この記事では、情報処理安全確保支援士対策をテーマに情報処理安全確保支援士制度の情報と、その対策として、廃止されて情報処理安全確保支援士試験として実施されるセスペの過去問の解説を行っていきます。

目次

1. 情報処理安全確保支援士とは

情報処理安全確保支援士とは、セスペ(情報セキュリティスペシャリスト試験)の内容をベースに2017年度から実施される資格です。更新制度や講習など情報セキュルティスペシャリストよりもグレードが上がる資格になります。

1.1. 情報処理安全確保支援士の難易度

セスペの試験が引き継がれるということなので、セスペと同等の難易度と考えられます。IPAのプレス発表でも「既存のSC試験と支援士試験のレベルは同等の位置付けです。」と記載されていました。ただし、更新制度がありスキルの維持という点で多少コストが増えるのではと思います。

ちなみに、セスペは、IPAが主催する情報処理技術者試験のスキルレベルの最高のレベル4に対応し、高度試験と呼ばれる同試験のなかでは最も難易度の高い試験の1つです。

1.2. セスペの試験概要

セスペの試験概要(試験時間・出題形式・出題数(解答数))は、以下になります。

午前Ⅰ 午前Ⅱ 午後Ⅰ 午後Ⅱ
試験時間 9:30~10:20
(50分)
10:50~11:30
(40分)
12:30~14:00
(90分)
14:30~16:30
(120分)
出題形式 多肢選択式
(四肢択一)
多肢選択式
(四肢択一)
記述式 記述式
出題数
解答数
出題数:30問
解答数:30問
出題数:25問
解答数:25問
出題数:3問
解答数:2問
出題数:2問
解答数:1問

1.3. セスペの廃止、情報処理安全確保支援士試験の開始、時期

IPAのプレス発表によると、既存のセスペ試験は2016年10月(平成28年度秋期試験)の実施をもって終了し、支援士試験として2017年4月(平成29年度春期試験)から実施される予定とのことです。

1.4. 情報処理安全確保支援士試験の受験手数料、情報処理安全確保支援士の登録手数料

経済産業省の2016年10月14日のニュースリリースによりますと、情報処理安全確保支援士試験の受験手数料、情報処理安全確保支援士の登録手数料については以下になるとのことです。

  • 受験手数料:5,700円
  • 登録手数料:10,700円
  • 登録事項の変更等の手数料:900円

1.5. 情報処理安全確保支援士試験の詳細

情報処理安全確保支援士制度の詳細は、平成28年10月21日に公開されました。平成28年10月24日から登録受付開始されるとのことです。 

何点か追加情報を紹介いたします。

名称

法律名、通称名は以下になります。

  • 法律名:情報処理安全確保支援士
  • 通称名:登録情報セキュリティスペシャリスト(登録セキスペ)
  • 英語名:RegisteredInformationSecuritySpecialist(RISS)

罰則関連

罰則関連の情報です。

⽀援⼠以外が名称を使⽤した場合

30万円以下の罰⾦刑が課されるとのことです。

⽀援⼠としての義務遵守違反

信⽤失墜⾏為の禁⽌、秘密保持、講習受講などの義務遵守(じゅんしゅ)違反した場合は、1年以下の懲役⼜は
50万円以下の罰⾦刑が課されるとのことです。

2. 情報処理安全確保支援士対策(セスペの過去問の解説)

セスペの試験が引き継がれるということですのでセスペの対策が情報処理安全確保支援士の対策になるはずです。ということで情報処理安全確保支援士対策の参考として、セスペの過去問の解説を行っていきます。

※本記事では、情報処理安全確保支援士対策の入り口としての情報をまとめています。概要をつかんでいただき、参考書の購入など検討いただければと思います。また解説内容は、筆者が問題を解いてみて、簡単にコメントしてみたものです。ひょっとしたら誤りも含まれているかもしれません。他の解説も併せて、参考程度にご活用いただければと思います。

2.1 セスペの午前Ⅰの過去問の解説

セスペの午前Ⅰの過去問の解説を行っていきます。午前Ⅰの問題は、ネットワークスペシャリストなど高度試験共通の問題になります。

情報セキュリティスペシャリスト 平成28年春期 午前Ⅰ 問1 基数変換

問題

10進数123を、英字A~Zを用いた26進数で表したものはどれか。ここで、A=0、B=1、…、Z=25とする。

ア BCD イ DCB ウ ET エ TE

解答

答は「ウ」です。

解説

123を26で割ると4余り19になります。4⇒E、19⇒T。よって、ETとなります。

h28a1_01

情報セキュリティスペシャリスト 平成28年春期 午前Ⅰ 問2 ハフマン符号化法

問題

a、b、c、d の4文字からなるメッセージを符号化してビット列にする方法として表のア~エの4通りを考えた。この表は a、b、c、d の各1文字を符号化するときのビット列を表している。メッセージ中での a、b、c、d の出現頻度は、それぞれ、50%、30%、10%、10% であることが分かっている。符号化されたビット列から元のメッセージが一意に復号可能であって、ビット列の長さが最も短くなるものはどれか。

2016h28h_koudo_am1_02

解答

答は「ウ」です。

解説

この問題のように、よく出現する文字には短いビット列を、あまり出現しない文字には長いビット列を割り当てることで、メッセージ全体の符号化に使われるデータ量を削減する方法をハフマン符号化法といいます。

まず、条件として復元可能とあるので復元可能な選択肢を抽出します。ウとエが復元可能となります。

  • ア たとえば、aa(00)とc(00)が同じになりますので、復元できません。
  • イ たとえば、ada(0110)とbc(0110)が同じになりますので、復元できません。
  • ウ 同じになるケースが見つからないので復元可能です。
  • エ 同じになるケースが見つからないので復元可能です。

次に、出現頻度とビット数を掛け合わせて、ビット列の長さを比較します。短いのはウとなります。

  • ウ 1ビット×50%+2ビット×30%+3ビット×10%+3ビット×10%=0.5+0.6+0.3+0.3=1.7
  • エ 2ビット×50%+2ビット×30%+2ビット×10%+2ビット×10%=1.0+0.6+0.2+0.2=2.0

情報セキュリティスペシャリスト 平成28年春期 午前Ⅰ 問3 流れ図

問題

流れ図に示す処理の動作の記述として、適切なものはどれか。ここで、二重線は並列処理の同期を表す。

2016h28h_koudo_am1_03

  • ア ABC又はACBを実行してデッドロックになる。
  • イ AB又はACを実行してデッドロックになる。
  • ウ Aの後にBC又はCB、BC又はCB、・・・と繰り返して実行する。
  • エ Aの後にBの無限ループ又はCの無限ループになる。
解答

答は「ウ」です。

解説

Aが一度実行され、その後はBC又はCB、BC又はCB、…の実行が繰返し行われます。「エ」も正しそうですが、BとCどちらかが無限ループになるという記述はおかしいです。両方無限ループになります。BとCで処理終了を待って同期をとりますが、資源を共有しているわけではないのでデットロックにならないです。

2.2. セスペの午前Ⅱの過去問の解説

情報セキュリティスペシャリスト 午前Ⅱの過去問の解説を行っていきます。

情報セキュリティスペシャリスト 平成28年春期 午前Ⅱ 問1 CRL(Certificate Revocation List)

問題

CRL(Certificate Revocation List)に掲載されるものはどれか。

ア 有効期限切れになったディジタル証明書の公開鍵

イ 有効期限切れになったディジタル証明書のシリアル番号

ウ 効期限内に失効したディジタル証明書の公開鍵

エ 有効期限内に失効したディジタル証明書のシリアル番号

解答

答は「エ」です。

解説

CRL(Certificate Revocation List)とは、有効期限よりも前に失効させたデジタル証明書のリストです。証明書失効リストといいます。有効期限内で秘密鍵の紛失などで使われなくなった証明書など、悪用されるのを回避する目的があります。CRLには、ディジタル証明書のシリアル番号と、その証明書が失効した日時が登録されています。

情報セキュリティスペシャリスト 平成28年春期 午前Ⅱ 問2 攻撃の標的

問題

次の攻撃において、撃者がサービス不能にしようとしている標的はどれか。

[攻撃]

  • (1): A社ドメイン配下のサブドメイン名を、ランダムに多数生成する。
  • (2): (1)で生成したサブドメイン名に関する大量の問合せを、多数の第三者のDNSキャッシュサーバに分散して送信する。
  • (3): (2)で送信する問合せの送信元IPアドレスは、問合せごとにランダムに設定して詐称する。

ア A社ドメインの権威DNSサーバ

イ A社内の利用者PC

ウ 攻撃者が詐称した送信元IPアドレスに該当する利用者PC

エ 第三者のDNSキャッシュサーバ

解答

答は「ア」です。

解説

A社ドメインの権威DNSサーバを狙った攻撃になります。ランダムに多数生成したドメインなのでDNSキャッシュサーバに存在せず、該当ドメインの権威DNSサーバに問合せが集中します。

情報セキュリティスペシャリスト 平成28年春期 午前Ⅱ 問3 OCSP

問題

PKIを構成するOCSPを利用する目的はどれか。

ア 誤って破棄してしまった秘密鍵の再発行処理の進捗状況を問い合わせる。

イ ディジタル証明書から生成した鍵情報の交換がOCSPクライアントとレスポンダの間で失敗した際、認証状態を確認する。

ウ ディジタル証明書の失効情報を問い合わせる。

エ 有効期限の切れたディジタル証明書の更新処理の進捗状況を確認する。

解答

答は「ウ」です。

解説

OCSPとは、デジタル証明書の有効性をリアルタイムで確認するプロトコルです。OCSPで確認できるのはデジタル証明書が失効しているか否かだけになります。利用目的は、ディジタル証明書の失効情報を問い合わせることになります。

2.3. セスペの午後Ⅰの過去問の解説

情報セキュリティスペシャリスト 午後Ⅰの過去問の解説を行っていきます。

情報セキュリティスペシャリスト 平成28年春期 午後Ⅰ 問1 XSSとCSRF

問題

問題文が長いので記載は省略します。問題文は以下よりダウンロードできます。

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2016h28_1/2016h28h_sc_pm1_qs.pdf

設問1(1)の解答と解説

答えは、「wana.example.jp」です。

図6のスクリプト(抜粋)の4行目を見ると「
document.write(“<form name=”loginForm” action=”https://wana.example.jp/login” methid=”post”>’);」と書かれており、actionの指定からわかります。

設問1(2)の解答と解説

答えは、「kensho.m-sha.co.jp」です。

keywordパラメータの値でコードが埋め込まれますが、別サイトに遷移しているわけではないので、URL自体は「kensho.m-sha.co.jp」のドメインが表示されます。

設問1(3)の解答と解説

答えは、「エ Same Origin Policy」です。

攻撃者の別のドメインのコンテンツから検証システムのコンテンツを参照することはできません。というような記述がありますので、そこから「Same Origin Policy」と判断できます。

設問1(4)の解答と解説

答えは、「c https://kensho.m-sha.co.jp/Gamen2_2」「d keyword」です。

「=」の後にscriptタグを埋め込む記述がありますし、XSSが行える検索結果ページのURLとパラメータとわかります。

設問1(5)の解答と解説

答えは、「懸賞メンバとしてログインしている状態」です。

IEとかはキーボード入力とかもJavaScriptで取得できるので入力するパスワード入力のフォームとかも危険ですが、表示内容とあるのでログイン後のページとわかります。

設問2(1)の解答と解説

答えは、「e ランダムな値」「f hidden」です。

よく、「トークンをhiddenに設定する」と指導を受けたりするので、トークンと書いてしまいそうですが、正しくは「ランダムな値」ですね。

設問2(2)の解答と解説

答えは、「ウ」です。

つまり、重要なパラメータを送信する箇所は対策して、それ以外は対策しないとうことですね。

設問3(1)の解答と解説

答えは、「攻撃者は、画面2-1を経由させずに直接画面2-2へアクセスさせるから」です。

いくらJavaScriptでチェックしても、チェック後の送信のところで変えられたら意味ないですね。

設問3(2)の解答と解説

答えは、「サーバサイド」です。

ブラウザ側だけではなく、サーバサイドでチェックしないといけないですね。

設問3(3)の解答と解説

答えは、「URL」です。

「javascript:」、たとえば、入力値を使って、相対パス指定でページ出力する場合にjavascript:のリンクが出力されて危険ですね。

2.4. セスペの午後Ⅱの過去問の解説

情報セキュリティスペシャリスト 午後Ⅱの過去問の解説を行っていきます。

情報セキュリティスペシャリスト 平成28年春期 午後Ⅱ 問1 CSIRT構築とセキュリティ設計、脆弱性評価

問題

問題文が長いので記載は省略します。問題文は以下よりダウンロードできます。

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2016h28_1/2016h28h_sc_pm2_qs.pdf

設問1の解答と解説

答えは、「a 対応の要否」です。

これは運用手順の前後をちゃんと読めば、対応するどうかのことだとわかりますね。

設問2(1)の解答と解説

答えは、「b 報告すべきインシデントの範囲」です。

[A社IRTの現状]の記述にIRTはマルウェア感染時の報告先だと認識していた、それ以外は事業部のマネージャに報告していたとあり、報告すべきインシデントについての認識のズレがありました。

設問2(2)の解答と解説

答えは、「インシデントがA社全体に与える影響度に基づいた対応を指示するため」です。

事業部が独自に影響度を判断し、IRTは対応の記録と完了確認することしかしていないという問題点がありました。そのため、総務部の担当が情報漏えいの連絡を受けてから2か月もかかってしまいました。

各事業部と並列に位置するIT部の中にIRTがあるため、権限も弱く、横のやり取りがしずらいことが想像できます。これを経営陣が選んだ担当を経営陣直下に置くことで、各事業部の上に位置し権限を強め、影響度の判断などをIRTで直接行えるようにしました。

設問3(1)の解答と解説

答えは、「IT部のOA用PCに攻撃メールが送信され、PCがマルウェアに感染し、起動したマルウェアがサーバLANに不正アクセスする攻撃」です。

問題文のネットワーク構成について把握して、標的型攻撃について知っていれば回答できますね。

設問3(2)の解答と解説

答えは、「IT部運用チームのメンバのLDAP ID以外によるログイン要求の検知」です。

リバースブルートフォース攻撃の検知と前の記述にあり、リバースブルートフォース攻撃の対策を考えるのと、記述内にIT部運用チームの4名のLDAP IDでだけでログインできる旨の記述を見落とさなければ答えにたどりつけます。

リバースブルートフォース攻撃は、ブルートフォースがユーザID固定でパスワードを試しますが、その逆でパスワード固定でユーザIDを試す攻撃です。

設問4(1)の解答と解説

答えは、「A社IRTが収集すべき脆弱性情報を把握するため」です。

各部署が管理している構成管理情報を活用することで、情報が収集できます。それをもとに、使用している(対策すべき)ソフトウェアや機器の脆弱性情報を脆弱性DBなどで検索して把握できます。

設問4(2)の解答と解説

答えは、「A社IRTが、各部署のインシデント発生時や対策時の、影響範囲の特定に活用する。」です。

構成管理情報を活用することで、公開されている脆弱性情報など、どのような脆弱性があるか、どこにそれがあるか把握でき、各部署のインシデント発生時や対策時の、影響範囲の特定に活用できますね。

設問5の解答と解説

答えは、「各部署が収集している脆弱性情報の提供を受ける。」です。

実際に使っている方が知識もあり、作ったもの、導入したものなど不具合やミスなど課題としてリストしていると思いますし、各部署から脆弱性情報の提供を受けるのは効果的と思います。

設問6(1)の解答と解説

答えは、「現状評価基準」です。

ゼロディ攻撃は対策方法が確立する前の脆弱性をついた攻撃で、時間とともに対策方法が確立して、リスクの度合いが変わります。評価が変わるのは現状を表すために評価する現状評価基準ですね。

設問6(2)cの解答と解説

答えは、「ネットワーク」です。

外部業者が遠隔地からインターネット経由で、SSHクライアントソフトで更新作業するとありますので、ネットワークになります。

設問6(2)dの解答と解説

答えは、「ローカル」です。

サブネットからも分離されたFW2専用のメンテナンスPCからのみアクセスできるようになっているので、隣接の定義に合致しないので、ローカルと判断できます。

設問6(2)eの解答と解説

答えは、「FW1」です。

FW1は一番危険度の高い「ネットワーク」に該当するのでFW1の方がスコアが高い値になります。

更新履歴

更新履歴になります。

  • 2016年10月21日 報処理安全確保支援士試験の詳細が発表されましたので情報を追記しました。
  • 2016年10月18日 報処理安全確保支援士試験の受験手数料、報処理安全確保支援士の登録手数料について追記しました。
  • 2016年09月29日 セスペの午後問題の解説を追記しました。
  • 2016年09月23日 セスペの廃止、支援士試験の開始時期について追記しました。
  • 2016年09月14日 セスペの試験概要を追記しました。
  • 2016年09月09日 記事を作成しました。

SNSでもご購読できます。