【AP午後R04春SC】応用情報技術者R04春セキュリティの解説
応用情報技術者試験R04春は、少し失点するかもしれません。
とはいえ、なんとか8割前後は得点して、選択問題の足を引っ張ることだけは避けましょう。
以下の〇の問題を確実に正解し、△をなるべく多く正解するよう鍛えましょう。
失点を抑えるには、2点が重要。
問題文を注意深く読む。
すぐに使解けるようマーキングする。
ここでは2つだけハイライトを載せておきますね。
まずは、WAFかIDSで迷う設問2。
次は、模範解答から今後使える武器をゲットすること。
SIEMやEDRにCASB、ソフトウェア型WAFなど、午後問題の答えになった用語・対策はストックしておきましょう。どうしても分からない時に勘で流用すると意外と当たりますよ。
このNoteは、私がIT専門学校でしてきた授業がベース。
一緒に読んで解いていきます。解くためのコツや学ぶべき追加知識も書いています。
書籍や解説サイトでの学習で、「短い解説で良く分からなかった」「正解だけでなく、どう解いていくかも知りたい」方のために書きました。
情報安全確保支援士(セキュスペ)まで見通した「本質的な正解力をゲットしたい」方は、私や担当してきた学生さんの仲間。ぜひぜひ読んでください。
なお、私は応用情報技術者試験の午後は88点、情報安全確保支援士の午後2を97点で合格しています。ITパスポートからずっと独学。スキル4高度資格は、SC, NW, DB, ESを取得。
血の通った解説を、魂込めて伝えます。
それでは、始めましょう!
過去問を一度解いてから読んでくださいね。
>>公式の問題pdfへのリンク<<
>>公式の解答pdfへのリンク<<
設問1&2 | 用語問題を確実に正解する
事前読み |
1頁目(4ページ)後半に穴埋めa, b, 下線①が見えました。
設問1や2を見ても、ただの穴埋め以外の情報がありませんでした。読む目標を設定したかったですが、残念。
そのまま読みに入ります。
読み:4ページ~表1
第一段落。ECサイト(通販サイト)の話ですね。
CMSが聞き慣れないかもですが「通常のWebサイト、ECサイトと違う面があれば、説明があるだろう」と割り切ります。
「CMSを知らないと全く解けない」はないです。必ずセキュリティの基本知識で解ける問題があります。くじけないで。
なお、CMSとは、Webサイトのコンテンツを一元管理するシステムの総称です。文章や画像ファイルなど修正・更新を管理します。
マーキングについて。「システム部門の運用担当者」「システム部門のサポート担当者」とわざわざ分けて書いてます。一応四角で囲んでおきます。
【通信販売サイトの不正アクセス対策】を読みます。
以下のように、少し考えつつ読みます。
ルータやL2SWはネットワーク図で出たら考えよう。
FWはあるのは当然。DMZと社内LANがありそうだな。
CMSサーバは珍しい。
データベースサーバは社内LANかな?
NTPサーバやログサーバは、調査で絡んでくるかもなぁ。
最後に「個人情報を扱うので」とあり、情報漏えい系の問題かなと方向性が少し定まりそうです。
表1に到達したので、解きに入ります。
解き:設問1 |
正解は「サービス」。
ちょっと慣れない言葉かもですが、過去問の問題文によく使われています。ポートスキャンで「提供しているサービスを探す」など。
サーバセキュリティの第一のコツも知っておきましょう。
全てのポートを閉じる
必要なポートだけを開ける
サーバが提供するサービスがWebなら80番、メールなら25番だけ開きます。
解き:設問2 | HIDSだと思った方もいたかも
正解は「WAF」。Webアプリケーションファイアウォールで、Webサーバへの攻撃を検知します。
普通のFWは、通信パケットのヘッダ(送信元、送信先)を見てデータを見ませんが、WAFはデータの中身まで見ます。
ただ、間違えた方もいるかもしれません。次の5ページの穴埋めb2個目「ソフトウェア型を導入」より、IDSとしたかもですね(実は私も)。
NIDS:ネットーワーク通信を監視するハードウェア
HIDS:ホスト(PC)で動くソフトウェア
ここから先は
【フルセット】応用情報技術者試験の全教材
R06春/R05秋に不合格になった方、過去問演習に取り組む方向けのNoteです。 AP午後の有料Noteはこのマガジンにまとめていきます。…
Amazonギフトカード5,000円分が当たる
この記事が参加している募集
学習方法・問題特集のNoteは全て無料提供を続けます▼ もしご覧になったNoteが有益だったり、私の志に共感されたりしましたら、サポート頂けますと励みになります▼ もちろんコメントでも結構です(・ω・▼)ノシ