【前回 解いた感想】を見ての通り
これまでは過去問を解いて、解答例を見て、
解答例に寄せるというアウトプット重視の発想でやっていた。
ただ、解答プロセスを整理すると
以下の2ステップになる。
1. インプット
問題文の構成を把握するため「見出し」、
ストーリーを把握するための「キーワード」、
「解答の根拠となりそうな記載」にマークする。
2. アウトプット
設問とマークした箇所の整合性を取るつもりで
解答を作成する。
"問題文中に解答の根拠がある(のが大半)"
ということを考えると
インプットの精度を磨くことが重要だ。
今回実際にマークしたスクショを
【インプット】につけて復習していく。
【インプット】
以下IPAの解答例。
設問1〔販売管理システムのアカウント管理〕
(1)利用者ID削除プロセスの問題点と解決策
削除申請のあった利用者IDをすぐにシステムから削除する。(28/30字)
(2)アカウント管理を補完する定期作業
システムに登録されている全ての利用者IDを抽出し、登録内容を確認すること(36/40字)
(3)個人の利用者IDから特権IDに切り替える理由
特権IDの利用者を特定できるようにしたいので(22/25字)
設問2〔注文受付システムの見直し〕
a,bに入れる適切な字句
a:発信元IPアドレス
b:宛先ポート番号
設問3〔注文受付システムの見直し〕
(1)DB更新ログを流用せずDBアクセスログを作成した理由
多くの個人情報を含んでいてセキュリティ要件に反するので(27/30字)
(2)保存したログを磁気テープに退避する目的
ディスク容量の制約がある中で、ログの1年間保存に対応するため(30/35字)
(3)ログサーバをLAN2に設置する問題点
外部から不正アクセスによって、ログを改ざん、削除されるおそれがある。(34/40字)
設問4〔Webサーバのコンテンツ改ざん〕
・IDS(侵入検知システム)を設置する場所
LAN2
・その理由
FWが許可するパケットだけを解析することで、IDSの負荷が軽減されるので(30/35字)
【前回解いた感想】
SM-H23-午後1-問3の問題文・設問を読んだ後、
自分なりの解答をイメージしてから解答を確認した。
解答のイメージは設問3(2)(3)以外はほぼ正解だった。
設問3は、(1)(2)に“セキュリティ要件から〜述べよ”とあり、どちらもセキュリティ要件にある「改ざん防止」が解答にできる気がしたが、同じ解答になることはないので、(1)に「個人情報を必要最小限にする」要件を当てはめた。これは結果的に正解。
ただ、(2)も「改ざん防止」は答えになっていなかった。
“ディスク容量の制約から1ヶ月ごとに磁気テープに退避する”と問題文に明記されている状況で、そちらが答えというのは違和感ありすぎる。
教科書も、わざわざ独自の解答例をつけているくせに解説でこうした違和感に全く触れないことについてバカかと思う。
ただディスっても意味ないので、問題文から自明の内容でも答えになる場合があると覚えておこう。
結果的に、改ざん防止は、“セキュリティ要件から〜述べよ”という条件のない、(3)の答えになっていた。しかも改ざんの事象については、問題文と設問4に書いてあり、ほぼ自明な状況でだ。
問題自体の質に疑問点が多いが、全体にそう難しい問題では無い。
セキュリティスペシャリストではなく、システム運用管理者(ITサービスマネージャ)の視点では、開発者なら常識とも思える運用設計や、キャパシティ、処理パフォーマンスが答えになると考えると良いのかもしれない。
【今回 復習した感想】
今回も設問3(2)の目的を"改ざん防止"とイメージしてしまった。
問題文から自明の内容でも答えになる場合があると覚えておこう。
また今回は設問1(1)の問題点を
"上長の申請があるまで削除しないこと"とイメージした。
これは(2)の根拠にもなっていて理に適っていると思うが、
IPAの解答例にある解決策は"すぐに削除する"とあり、
IPAが問題点と想定しているのは"月末にしか削除しないこと"でギャップがあった。
設問4の理由も、解答例を見ると簡単に思えるが、
イメージしたのは、
Webサーバが最もインターネットからの改ざんリスクが高いからというだけで、
FWのパケットフィルタリング機能と
IDSの負荷軽減を都合良く結び付ける機転は効かない気がする。
修正するのが難しいニュアンスの違いはあるが、
基本的に全て国語の問題で、文中に解答根拠が埋め込まれている。
合格するために選択すべき問題。