塩沢

塩沢

1週間のふり返り(9/9~9/15)

9月も半ば。 ・App GoatでXSSの演習をやった。チュートリアル通りやればいいのかと思いつつ自分で頭をひねらないと理解できない。やりがいあった。 ・R6春午後問題間2.3をまた解いた。HTTP GET Flood攻撃はHTTPS通信で行ったとしても HTTP GET Flood 攻撃という。また、HTTP GET Flood攻撃はIPアドレス指定で行われる場合もあるので必ずしもDNSに負荷がかかるとは限らない。 ・DNSに関する攻撃  DNS水責め攻撃(DNS Fl

塩沢

    • 1週間のふり返り(9/2-9/8)

      ・アイテック模試の解答解説が届いた 午前Ⅱ問題 14/25で落ちてる、ギャー叫びそう でも実際は過去門から多く出題されるし全部解いたことのない問題でこれだけとれれば・・・という気持ちと不安とがないまぜになっております。 AIに関する攻撃が弱いな。モデルインバージョン (インバージョンは「反転」出力から入力を推測する)、敵対的攻撃(入力にノイズを加え誤った出をさせる)、データポイズニング(敵的攻撃と似ているがあっちは推論フェーズ、こちらはトレーニングデータでノイズを加える。学習

      塩沢

      • 1週間のふり返り(8/26~9/1)

        9月になりましたね ・R5秋午後の問2を解いた。まだ証明書かよくわかっていないみたいで不安。IEEE シリーズもごっちゃになっているのでまとめて家のお手洗いの壁に貼っておこう。 ・アイテックの模試を受けた。8/31の土曜日にZoomを利用してのオンライン集合開催に参加すると解答解説の冊子が早く手に入るというのだけど解いた用紙は9/3(火)に必着だという。 昨今の郵便事情や参加者の地域差をかけて考慮に入れていない。不安になったから一応土曜のうちに速達で出した。 ・まだWeb

        塩沢

        • 1週間のふり返り(8/16~8/25)

          残りの土日、残りの平日の数を数えて戦慄。あと8週間しかない!! ・技術評論社の対策本を分割して持ち歩くようにした。平日出社する日に1日1章読めば試験までに3周できる計算なんだけどあまり自信ない。主に効果の面で。とりあえず1週間試してみて、結局昼休みだけでは各章半分程読んで内容をアウトプットできれば上出来ということがわかった。やらないよりマシ?土日に解いた過去問で自分がわかっていない範囲を学び直すのが平日のよい過ごし方かなと思う。でもそれだと手間がかかる&時間あまるかもしれない

          塩沢

          1週間のふり返り(8/11~8/17)

          1週間のふり返り(8/11~8/17) ・「過去問何年ぶんを何回解いた」というような管理&もう過去問題集を買わない覚悟が決まったので素直にipaのサイトからPDFを印刷する方式で過去問を解き進めることにした。ぶ厚い午後Ⅱ問題を留められるホチキス欲しい。あとページをめくりすぎて?左手首が痛いのでサポーターを購入した。 ・問題文の読み方について、やはり設問から読みはじめるのは無理がある。2時間30分を計測して本番のように解いてみると焦ってしまって見直しの時間を確保できない。問題

          塩沢

          1週間のふり返り(8/11~8/17)

          塩沢

          R5春午前Ⅱ、午後Ⅰ問2問3

          投稿し忘れ。 R5春を解いた。集中力に欠けていた。 午前Ⅱ 14/25 6割達してないからダメじゃん! 問8 ISMAP管理基準 クラウド情報セキュリティ管理基準を基礎としている。Information System Management and Assesment Program.政府調達における要求されるセキュリティ水準を確保したクラウドサービスを評価・登録しておく。 問10 フォールスポジティブ どっちがどっちか覚えられない。誤って(False)判断した結果 よかった

          塩沢

          R5春午前Ⅱ、午後Ⅰ問2問3

          塩沢

          R5秋 SC 午前Ⅱを解いた

          R5秋 SC 午前Ⅱを解いた。 16分・見直し無し 17/25 68% これ実際に試験を受けて56点で落ちたやつ!!解いていて気分が悪くなったので見直しはなし……。対策講座で「とにかく過去問を解いて。教科書は時間がかかるから見なくていい」と講師に言われたのを真に受けてひたすら午後問題の過去問を解いてたら午前Ⅱ問題を突破できなくて。私って大馬鹿者!!と思って春に教科書を読みこんでネスペを受験し、午前Ⅱこそ80点だったものの午後Ⅰが53点で、やっぱり悲しい思いをしたのだった。もう

          塩沢

          R5秋 SC 午前Ⅱを解いた

          塩沢

          R3秋 SC 午後Ⅰ問2(システム開発での情報漏えい対策)を解いた

          R3秋 SC 午後Ⅰ問2(システム開発での情報漏えい対策)を解いた。 見直し含めて44分かかった。 設問2 (1)ア、イ「プロジェクト離任者のアカウントをグループから削除する」と答えていたのに見直しでやっぱり違うか?と「ア プロジェクト離任者の利用者アカウントを削除する」に変更してしまった!!だってさ1つの利用者アカウントが複数のグループに所属することがあるんでしょ?で、グループ管理者はプロジェクトによって異なるだろうから複数いるでしょ!1人くらい消し忘れる人いるでしょ!!じ

          塩沢

          R3秋 SC 午後Ⅰ問2(システム開発での情報漏えい対策)を解いた

          塩沢

          一週間のふり返り(8/4-8/10)

          ・脆弱性対応におけるリスク評価手法のまとめを読んだ https://note.com/salt_ninja/n/ne98442bebd96 CVSSとSSVCは名前が線対称になっているけど やっぱり揃えたんだろうか。 CWEとCVEの違いは、CWE(Common Weakness Enumeration)はソフトウェアの弱点リスト、CVE(Common Vulnerabilities and Exposures)は特定の脆弱性の識別子。Enumerationは「列挙」、Exp

          塩沢

          一週間のふり返り(8/4-8/10)

          塩沢

          脆弱性対応におけるリスク評価手法のまとめを読んだ

          脆弱性対応におけるリスク評価手法のまとめを読んだ。https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2024/risk-assessment-methods.html ◇CVSS(Common Vulnerability Scoring System) https://jvndb.jvn.jp/cvss/ja/v3.html 基本、現状、環境の3つの評価基準がある。一般的に利用されているのは

          塩沢

          脆弱性対応におけるリスク評価手法のまとめを読んだ

          塩沢

          R3秋 SC 午後Ⅰ問3(セキュリティインシデント)を解いた

          R3秋 SC 午後Ⅰ問3(セキュリティインシデント) 29分、見直しに16分かかった。問題文の読み方よりも気を散らしている時間をどうなくすかの方が大事そうということがわかった。 設問1(1)初めてSSHでリモートサーバに接続する際、サーバのホストキーのフィンガプリント(デジタル署名のハッシュ値)が表示され、ユーザがこれを信頼するか確認する。 フィンガプリントが何なのかわからず、この手順で保守用中継サーバに保守PC-B、Cを登録しているのかと思った。フィンガープリントは、サーバ

          塩沢

          R3秋 SC 午後Ⅰ問3(セキュリティインシデント)を解いた

          塩沢

          問題文の読み方 

          R1秋SC午後問3(標的型攻撃とログ) 37分、見直しに11分かかった。私の解釈では全部あってるけどこれ正解なのか部分点なのかよくわからないところもあって迷う。 問題文の読み方を考えたい。ここでいう問題文とは問の最初にある長文を指し、「設問1」のような回答を求める文は「設問」と呼び分けることにします。 「問題文は小説ではないのだから、頭から一文一文真剣に読まず、全体をざっと把握してから問われている箇所をしっかり読めばいい。」というアドバイスを受け、 ①先頭のひとかたまりをし

          塩沢

          問題文の読み方 

          塩沢

          H31春SC午後Ⅰ問1(Webサイトのセキュリティ)を解いた

          H31春SC午後Ⅰ問1(Webサイトのセキュリティ)を解いた 37分、見直しに9分かかった。 設問1 (1) Same-OriginとSame-Site で迷った。 Same-SiteはCSRF攻撃を防ぐためCookieに設定する属性で異なるサイトからのリクエストでCookieが送信されるか制御できる。 Same-Originはブラウザのポリシー。 設問2 Cookieってサーバから送られるものじゃないの!? サーバが発行するけど、クライアントがそれを保存して内容を更新する

          塩沢

          H31春SC午後Ⅰ問1(Webサイトのセキュリティ)を解いた

          塩沢

          1週間のふり返り(7/28~8/3)

          1週間のふり返り(7/28~8/3) 在宅勤務だと学習に取りかかるのが難しい。 午前問題を解いたり家事のついでにUdemyをみたり教科書をぱらぱらめくったりはしたけど身についているかあやしい。こうしてやったつもりになって何も実になっていないのが恐ろしい。パリオリンピックで忍たまもやってないし。 ・「サイバースペースの地政学」を読んだ。 ドライブ大好きだけど運転はしたくないので車の自動運転をいつ利用できるかとても興味があって、5G、量子コンピュータ、データセンターの話が気にな

          塩沢

          1週間のふり返り(7/28~8/3)

          塩沢

          この一週間に解いた過去問をまた解いた

          ・R6春SC午前Ⅱを解き直した。昨日解いたばかりだからさすがに全部正解していた。 問3 CA 認証局 Certificate RA 登録局 Registration IA 発行局 Issuing 「イシューより始めよ」のイシューだ。イシューとは「本質的な問い」ではなく「発行」という 意味だったのか。RA(登録局)のレジストレーションはDNSのレジストリとレジストラと同じ Registからきてるんだろうな。 レジストリ: ドメイン名のDBを管理する レジストラ:ドメイン名登録

          塩沢

          この一週間に解いた過去問をまた解いた

          塩沢

          1週間のふり返り(7/21~7/27)

          ・H29春SC午後(CSRF) https://note.com/salt_ninja/n/nd36b9d63d45f 限られた時間の中でいかに勉強効率を上げるかを重視しすぎて、問題を解いても見直しをしないのは意味があるのか?でも早く解いたらそのぶん他のことをする時間にあてられるから…どうしよう いつも焦っている。焦っているから間違えて 復習に時間がかかる。これは勉強効率としてはよろしくない。今日から、解き終えた後5分の見直し時間を必ず設けることにする。 ・R4春SC午後Ⅱ

          塩沢

          1週間のふり返り(7/21~7/27)

          塩沢