情報処理安全確保支援士試験を受験しました

昨日2022/04/17、
IPA情報処理技術者試験の１つ、
情報処理安全確保支援士試験を受けてきました。
非IT企業の情シスとして、
セキュリティ施策にはもちろん、システム導入・運用や機器・ライセンスの管理を行う上でも
セキュリティに対する意識・知識は必要だろうとの考えからです（しかも試験1週間前に支援士を手当て対象資格にねじ込んでもらえました！）

ということで公式からの解答・合格発表が待ち遠しい中、ずっとソワソワしてても仕方ないので
ここに午後の答案を晒すことにしました。
内容の正否は不明ですので、
これを見ても一喜一憂の参考にすらなりませんが、ここに供養します。

午後1

問2

設問1
(1) a ア A, b エ TTL
(2) WAN側から認証なしでファイアウォール設定を変更できる問題 (29/30字)
(3) NAS-Aの/rootディレクトリ配下のファイルも暗号化されていたから (35/40字)

設問2
(1) ディレクトリトラバーサル (12/15字)
(2) OSコマンドインジェクション (14/15字)
(3) e ア URLデコード, f ウ パス名正規化, g イ 比較

設問3
(1) OSコマンドがリクエストボディに格納され、ログでは取得されなかったため (35/35字)
(2) 製品Xでtarコマンドから任意のOSコマンドを実行するオプションを無効化するアップデートを行う (47/50字)

設問4
HttpOnly 8/(10字) ←あきらめ

問3

設問1
a イ アカウント作成, b Qサービスログイン

設問2
(1) 1. 不正入手した口座情報と所有者氏名からアカウントを作成する (28/30字)
(1) 2. 不正入手したキャッシュカードと氏名を元にアカウントを作成する (30/30字)
(2) 顔写真 (3/5字)
(3) d ウ 秘密鍵, e イ 公開鍵
(4) 署名用電子証明書の有効性 (12/15字)
(5) その数字を書き写した紙などが一緒に写り込むように自分の顔を撮影 (31/40字)

設問3
(1) スマートフォンが他者に操作された場合 (18/20字)
(2) Qアプリからチャージや決済を行う際にも当人認証を行う機能 (28/30字)

午後2

問2

設問1
(1) コンテンツ (5/5字) ← あきらめ
(2) DDoS (4/5字) ← DoS?
(3) CN (2/5字) ← あきらめ
(4) X社内から頻繁にアクセスする他社のwebサイトのうち、CDN-Uを利用しているwebサイト (45/60字)
(5) 名前解決を要求したwebサイトのFQDN (20/20字)

設問2
(1) 認証サーバを経由せずに偽造STでアクセス対象に接続できるから (30/30字)
(2) サーバへのログインではなく、奪取したSTに対するオフライン解析のため (34/35字)

設問3
(1) エ ボディ ← あきらめ
(2) ア IDaaS
(3) 改ざん (3/5字)
(4) h 1, i 2, j 4

設問4
(1) k ウ Sサービス, l イ IDaaS-G, m GrW-G
(2) エ
(3) o 1, p 6
(4) ウ PKCE

設問5
(1) r オ X社動画サーバ, s エ T社認証サーバ, t ウ T社投稿サーバ
(2) 8
(3) ウ ROT13 ← あきらめ
(4) w トークン要求 (6/10字), x トークン応答 (6/10字)

感想

昨年春に応用情報に合格していたので、
午前1免除で余裕を持って試験会場に到着できたのはよかった。
午前2は過去問道場のお世話になっていたのでよかった。
実務であまり関わりのなかったセキュアプログラミング的な問題は選択しない作戦だったので、
午後1,2とも問題選択に時間をとられずにすんでよかった。
それでも、午後問題は昨年秋に受験していればよかったなーと悔やみながら苦戦した。

応用情報でもそうだったけど午後問題は、
設問中の登場人物が技術を使うことになる経緯や実装方法にまつわる議論を辿ること自体がいい勉強になって結構好き。
大学の入試問題でも、定理の導出とかをテーマにしてるようなのがあるけど、そういうやつ。
令和3年春応用午後 某タイムズ駐車場の利用状況監視IoT開発問題とか、
今回の某7payアプリ開発とか某Xvideoと某Twitterの投稿連携とか笑
解いてて「これアレやん」てなるの、おもしろいよね。
まあ今回ダメならまた秋ですね！あきらめません！

2022/06/24 追記

無事一発合格してました。