受けてきたので復習がてら記録に残すこととする｡
午前1免除は本当に楽ちんでこれがなくなったら受けると思うと憂鬱
全体的に知らないことが多かった､もっといろいろ勉強しないとだめだなという感想
結局過去問演習で用語を理解するのが良いのだろうね

午前1

免除だったのでやってない

午前2

問1
Webサーバに攻撃されたリクエストヘッダがあって悪用しようとした脆弱性は?

GET /cgi-bin/submit.cgi?user=;cat%20/etc/passwd HTTP/1.1  
(略

解答は OSコマンドインジェクション
;cat%20/etc/passwd が cat /etc/passwd UNIXコマンドでパスワードファイル読み込もうとしているから

他の解答

• HTTPヘッダインジェクション
  URLに改行コードの後に Set-Cookie 等入れてCookie設定をさせる

• SQLインジェクション
  入力欄で'hoge' or 'fuga'='fuga' みたいなのを入れることでSQL文を組み立てる

• クロスサイトスクリプティング
  リンク先を別のサイトに置き換えるようなスクリプトを埋め込んだりする

問2
SAMLの説明

• Webサービスの機能など検索できるようにする仕組み
  UDDI? ちょっとわからん

• 権限がない利用者による改竄から電子メールを保護する仕様 SSL TLSとかPGP･S/MIME?

• ディジタル署名を管理するWebサービス わからん XLMS?

• 認証情報と属性アクセス制御を送る仕組み
  SAML

問3
エクスプロイトコードとは

• 攻撃コード､ソフトウェアの脆弱性を悪用
  エクスプロイトコードのこと

• マルウェア定義ファイル､マルウェア検知に使われる
  pattern file, virus definition file のこと

• メッセージとシークレットから計算されるハッシュコード
  ハッシュ関数で照合すること?

• ログインのたびに変化する認証コード
  OTPとか

問4
サイドチャネル攻撃とは

• 物理デバイスから得られるデータをみる
  サイドチャネル攻撃

• ゴミ箱から情報を見つける
  トラッシング

• 通信を行う間に割り込んで盗聴
  中間車攻撃

• SQL文を入れて改竄
  SQLインジェクション

問5
ブロックチェーンの記述

• RADIUSで一元管理
  RADIUSで認証管理する奴

• SPFで電子メール
  送信ドメイン認証のこと

• 楕円曲線暗号でp2p暗号化
  ブロックチェーンで使われる

• ハッシュ関数でデータ改竄
  改竄見地

問6
NOTICEとは?

• NICTがダークネット観測する
  NICTER プロジェクト らしい 知らなかった

• 国内のグローバルIPに攻撃する
  NOTICE

• 申告したIoT機器への無料診断
  わからんー

• IoTテストベッド
  わからん IICテストベッドかなんかか?

問7
サイバーフィジカルセキュリティ対策フレームワーク
答え通りでは

問8
CRYPTRECの活動内容

• 暗号技術の技術検討､安全性向上
  CRYPTREC

• 情報セキュリティ対策の推進
  情報セキュリティ対策推進会議?

• 情報セキュリティマネジメントシステムを認証して評価
  ISMS

• 暗号モジュール試験報告書作成支援
  CRYPTIPA

問9
3Dセキュア
そのまま PINとかセキュリティコードとかは漏れがち

問10
ネットバンキング MITB対策に有効なのは
トランザクション証明が効果的

問11
クラウドサービス定義が云々
どこまで責任を負うか考えればよし

問12
HTTPSのSecure属性
SecureついているCookieはHTTPには送らないとか仕組みを理解する

問13
ディジタルフォレンジックスとは

• 画像や音楽に著作権者情報を入れる
  電子透かし?

• 実際に攻撃して試験
  Penetration Test

• 話術や盗み聞き
  ソーシャルエンジニアリング

• データを調査分析
  ディジタルフォレンジックス

問14
DMZのDBを内部に入れるときのFWの設定変更
そもそもDMZに入れるなって言うお話だけど

アを削除するとインターネットからWEBサーバにアクセスできなくなる
イを削除しないと存在しないDBへのルールが残るので必要な者だけを許可するために削除する ウを追加するとWEBサーバからDBにSSHできてしまう
エを追加してもあんまり意味ないけどODBCはWEBに投げるものではない

問15
DNSSECで実現できること

• 改竄されてないことの検証
  DNSSEC

• 通信暗号化 ゾーン情報漏洩対策
  DNSSECは暗号化しない 暗号化するには DNS over TLS か DNS over HTTPS

• 似た文字で正規サイトに見せかけ防止
  関係ない

• URLの入力間違いで偽サイト
  タイポスワッティングとかいわれるやつ

問16
SMTP-AUTH
SMTPはユーザ認証がないからそれを追加する仕組み

問17
IP25Bとは
動的IPから送られた25番ポート(SMTP)の通信をブロックする仕組み

問18
サブネットがわからないPCの名前解決
ブロードキャストかつ自分自身がわからないときはどうすればよいか､全部に聞く

問19
リモートアクセスで認証情報をやりとりするプロトコルはどれ

• CHAP
  PPPの時メッセージダイジェスト関数で比較して認証する仕組み

• PAP
  パスワード認証プロトコル

• PPTP
  VPNとかでつかうトンネリングするやつ

• RADIUS
  認証するプロトコル

問20
L2でループを防ぐプロトコルは?

• IGMP
  ホストをグループするプロトコル

• RIP ルーティングプロトコル､数が少ない経路を選んだりする

• SIP
  セッション確立するためのプロトコル

• スパニングツリー
  ループを防止する

問21
DBMSがトランザクションのコミット完了はいつか
ログまで完全に完了してからでないと完全性が担保できない

問22
ソフトウェア要件定義の仮想の人物

• エピック
  関連するユーザーストーリの集合

• ステークホルダ
  利害関係者

• プロダクトオーナ
  アジャイル開発とかでの責任者､ビジネス研ぎ出芽わかっている人がやるはず

• ペルソナ
  謎の登場人物

問23
アジャイルでのふりかえりを行うタイミングは
次のスプリントが始まる前のタイミング

問24
計算問題

問25
プライバシーマークの監査での指摘事項
よくわからないけど､｢取得があった場合だけ｣ってのがだめそう
定期的にやるのが良いと言われてる気がする