〜午後２〜

前回書いたとおり、午後１の試験がグダグダだったので、凹みつつ、もう駄目だからと気楽な気持ちで受験しました。

午後２は、２問から１問を選択し２時間で解答するので、問題は長いものの午後１より時間的にはかなり余裕があります。

今回の問題は問１が「認可・認証（シングルサインオン）」で、問２が「社内LANの見直し」でした。

この組み合わせもちょっと予想外で、Webアプリの脆弱性の問題があるかなと思っていました。
なのでどうしようかなと思っていたのですが、問２はSIPなど「聞いたことあるけどそれについては全く知識がない」や、設問の一つにあった「PEAPの暗号プロトコルは？」(TLSみたいです)という問題があったことから消去法的に問１を答えることにしました。

一通りざっと読んだ感じの感想は、

• 問題文を読んでじっくり考えればわかりそう。
• LDAPとか全然知識がないので、その辺りの知識系の問題はつらいなぁ。

というかんじでした。

シングルサインオンについては、リバースプロキシかCookieを用いた方式しか理解していなかったので、SAML方式の「アサーション」が出てこなかったです。そして「サインオフ」を迷った挙句「ログアウト」と書いたりと微妙な感じでした。

権限分離のためのロール定義については、itecやtacの解答を見る限り、「間違ってはないけど微妙・・・」な感じでしっかり芯を捉えた解答が出来ていないなぁとう感じでした。

この辺りは知識の足りなさというよりも自分の読解力や思考力の未熟さを痛感しました。

そんなわけで、この午後２も前回と同様５８点くらいな感じでした。

〜感想〜

春と比べても問題の傾向が変わったような感じを受けました。
春は「Webアプリの脆弱性」の問題(しかもPerl!)が出ていたりしたりと開発者でも答えられそうな問題が多かったような気がするのですが、今回はネットワーク系（？）の問題が多く、SIerのSEや運用、ネットワークエンジニアの人向けの問題が多かったような気がします。

まぁIPAの資料でも、「情報セキュリティスペシャリスト」の中でレベル４とされているのは、「ネットワーク」と「セキュリティ」なのでネットワーク系の問題が多く出るのは当然なのですが。
開発者もこの辺りを知識は当然必要だと思いますし。

プログラミングの問題でいうと春が「Perl」で秋が「Java」だったので、来年の春は「C」だったりするのでしょうか？
バッファオーバーフロー系の問題とかありえそうな気がします。
それとも言語追加で「PHP」とか？？

あくまでイメージですが、最近はSQLインジェクションやXSSなどによる攻撃などが大きく取り上げられるようなことが少なくなってきている気がしますので、プログラムの脆弱性についてなどの問題は、このままだと午後の問題からは減っていくのかなという気がしています。

となると今は、クラウドやらシンクライアント、ノートPCの盗難紛失などによる情報漏えいなどを取り上げられることが多い気がしますので、その辺りに関連してVPNやネットワーク構成について、HDDの暗号化、携帯電話(スマートフォン)からの社内システムの利用など、今回出たような問題が今後も多いのかなという気がします。
何にせよこの試験については、当たり前ですが日々情報のチェックが必要だなと思いました。

最後に「情報セキュリティプロフェッショナル教科書」の感想を少々。
まだ全然最初の方ですが、内容もたっぷり詰まっていて面白いなぁと思いながら読んでいます。
記述が本当に教科書的で、少し辛い部分もありますが、具体的なツールなんかも紹介しながら一つ一つ丁寧に紹介されているのでとても勉強になります。
まさに「情報セキュリティの教科書」だと思います。