問１ Javaのサーブレットの問題

今回のプログラム言語の問題は、「C」かなと思っていたのですが、まさかまさか去年の秋に続いて「java」でした。
javaでのservletは仕事でも経験があって、問題も簡単そうだったのでこれにしようと思っていたのですが、１問短い記述式の問題の答えがどうしてもわからなかったので、結局この問題は選択しませんでした。

脆弱性としては、Servletクラスのメンバ変数にわざわざPDFのデータを入れているので、別の人のPDFファイルが見えてしまうという基本的なもので、JavaのServletを知っていれば絶対わかるでしょうし、やっていないとわからなさそうなものでした。
わからなかったのは、「上記の脆弱性は何というのでしょうか？」という問題で、答えは「レースコンディション問題」というそうです。
恥ずかしながら、この言葉は初めて知りました。。

http://itpro.nikkeibp.co.jp/word/page/10006318/

問２ データの暗号化とバックアップ

この問題は、全くチェックしてませんでした。なんとなくバックアップなどの問題の記述は、色んな答え方がありそうで間違いそうなので。

問３ メールの暗号化やパスワード管理

設問を見た感じ簡単そうな気がしましたので、この問題を選択しました。
内容としては、あまり得意でないメールの暗号化と、Webアプリケーションのパスワード管理についてでした。
そんなに難しくは感じなかったのですが、下記の問題は解答を見てちょっと引っかかりました。

1. 設問1の(3)のどうやって「正しい証明書のフィンガプリント」を入手するかという問題ですが、iTECのTACの解答は「公開されているWebページから取得する」となってました。これだと確認しようとしたWebページが偽装されていることも考えられると思ったので、自分はWeb以外の手段で確認することを解答として書きました。
2. 設問2の(4)のパスワードの再発行手順についての問題は、iTEC,TACの解答では「初期パスワードの入力を求める」となってました。自分の解答は「パスワード設定ページのURLのメールで送り、再設定用パスワードを郵送で送る」としたのですが、よく問題を見返してみると、「初期パスワードの通知書は、保管するようにお願いしている」といった一文があったんですね。。

これは間違ってました。

問４ ウイルス感染対策

Xウイルスに感染した場合の対応方法についての問題で、こちらも答えやすそうだったので選択しました。
ここの問題の(a)の穴埋めで、最初はIPとか書いていたのですが、途中でいきなりARPという言葉が降ってきて、ARPと答えられたのがかなり嬉しくて、これだけで満足感がありました。(おそらくセキュリティ＆プログラミングキャンプ・キャラバン2009の上野さんのセッションを聞いたおかけだと思います。)
この問題で微妙なのが最後の問題で、OSユーザーのパスワードを複雑なものに変更すればいいものを、ユーザー名を変更するなんていう、ズレた答えを書いてしまったことです。それ以外の問題は何とか出来ていそうな気がします。

まとめ(午後１)

上記問題以外は、そんなに外した感じはしないのですが、ディジタル証明書をクライアント証明書と書いたり、記述の微妙な違いなんかを考えると、62〜64点くらいになりそうで、ボーダーライン前後な気がします。。

問１

社内システムについてで、DNSが問題の中心となっていました。
DNSは実際に構築した経験もなく、苦手な分野ではあるのですが、なんとなく答えられそうな気がしたので選択しました。
ですが、やっぱりしっかりと理解出来ていないため、DNSキャッシュポイズニングとSPF関連の問題については４問ほど完全に間違っていました。
難易度自体は、こんな自分でもそこそこ答えることが出来たので高くなかったと思います。

問２

インシデント対応に関する問題で、ポリシーの策定やらマニュアルの作成やらの問題があって、解答を作りにくそうな感じがしたので、今回はご縁がなかったということで。。

午後２(まとめ)

まさか自分が午後２の問題でDNSメインの問題を答えるとは思っていませんでしたが、答え合わせをしてみると65〜70点くらいな気がします。(というか希望も含んでいますが。。)
今回の問題は、問題に対する慣れなのかそこまで難しくなかった気がします。