浅野直樹の学習日記

令和７年度秋期情報処理安全確保支援士試験を受けてきました。

受ける直前の記事は令和７年度秋期情報処理安全確保支援士試験を受けますです。

以下、感想と再現答案です。

 

午前Ⅰ

１周目でそれなりに解けた感触があり、２周目で迷った問題や計算問題の答えを出して、解答用紙にマークしました。

思考プロセスの一部を紹介します。

問３は、m行n/m列だから、列の平均がn/2mで行の平均はm/2で、これらを足したものが選択肢イにあったので選びました。

問７は、aが１でbが0で、このときだけ１になるものを選べばよいから、足し算は１となる組み合わせが２つあるのであり得ず、選択肢アが条件を満たすと考えました。

問１０は、２つのLANの差から考えるので、パケットの個数が同じだからパケットの送信間隔は気にせず、全部ビット単位で考えたほうが計算しやすそうだったのでビットに揃え、方程式を解いてウを選びました。

問１９は、少なくとも８人月余計にかかるから８００万円以上になるはずなのに選択肢の最高額が７００万円でどうしようかと悩みました。他のプロジェクトを手伝うためにこのプロジェクトから外れたメンバーの人件費は計上しない理屈なのかとひらめき、それなら教育期間の４人月×半月＝２００万円でアと考えました。

問２９は、機械１時間当たりの利益が商品Aが１５００円で商品Bが１２５０円だからほかに制約条件がないこの問では全部商品Aを作る、１５０００時間だから８で割り切れるので商品Aが整数個作れるので、１時間当たりの利益から合計の利益を単純計算し、固定費を差し引いてイとしました。

正解と照らし合わせると、問１９は間違っていました。私は単純に４人増員すると考えてしまいましたが、引き継ぎ期間の元のメンバー４人分の遅れを取り戻すために増員が必要になるのは５人で、引き継ぎ期間の２５０万円と８月９月の１００万円ずつで合計４５０万円というウが正解です。

２５／３０正解できたのでここは通過できました。

 

午前Ⅱ

見たことのある問題がけっこうありましたが、これは無理だという問題が３〜５問あり、厳しいなと感じました。

１周目で自信のある問題を埋め、２周目３周目と少しずつ埋めていきました。

ほぼすべて知識問題で、計算問題は問２４だけですね。これは過去問にあったような気がしました。最初から織り込み済みの停止時間は分母にも分子にも含めないのがポイントです。あとは月の日数から時間数を算出し、割り算するだけです。計算を間違えるといけないので、停止時間を分子にした場合と提供時間を分子にした場合の両方を計算して、一致するのを確認しました。

２１／２５正解できたのでここも通過できました。

 

午後

全体

問題冊子全体にざっと目を通して、問１はWeb系だからおそらく選ぶ、問２は難しそう、問３はネットワーク系で問４がマネジメント寄りかなという印象を得ました。

令和７年度秋期情報処理安全確保支援士試験を受けますで書いた方針に基づき、すべての問について頭の中で答えを作っていきました。

問１はスクリプトも比較的単純で意図がわかりやすく、Excelファイルに偽装したファイルにスクリプトを仕込んだことも明白でしたから、大きなストーリーをつかめた感触があり、早めに解答用紙に書いていきました。

問２は設問２のサイドチャネル攻撃の一般的な定義は知っているとしてもこの場合の内容がわからず、その後の問題も難しそうに見えたので、飛ばす方向にしました。

問３は最初のDNS関係の知識問題は１〜２問どうにかできそうという今ひとつな滑り出しでしたが、あとは問題文をじっくり読めば何とかなりそうでした。問題文が長いのはそれだけヒントも多いだろうと好意的に捉えられました。

問４は「未知の」と「暗号化」かなと最初の空白は埋められそうで権限の設問も問題文をよく読めば答えられそうに思いましたが、主なストーリーである後半部分の手がかりを思いつくことができませんでした。

ということで問３を頭の中で解き進め、いけそうならこれを選び、ダメそうなら問４に挑戦するという戦略を立てました。

 

問１

設問１は、SAMEORIGINに着目してaはできない、Content-Security-Policyのselfに着目してbもできないにしました。

設問２の（１）は、元従業員のZが管理者権限を不当に取得するというストーリー（スクリプトの内容を参照）から、ロール管理としました。

（２）は、タスク名ですね。一瞬タスクの詳細説明かとも思いましたが、プロジェクト進捗管理で詳細説明は表示されずタスク名は表示されるのでこちらが正解でしょう。

（３）は個人タスク<script src=”/files/F1234567890.xlsx”></script>としました。図２の正常なタスク名と見比べて慎重に抜き出しました。

（４）はeが管理者、fが締切日を過ぎた、gが管理者ロールを設定するとしました。eは利用者かなと最初は思いましたが、表１をよく読んでこの処理は管理者しかできないと気づきました。

（５）は、CSPの設定で防御できていたという記述から（CSPが何かわからなかったのですが、Content-Security-Policyのことだろうと思い至りました）、工夫前は直接スクリプトの文字列を書いていたのだろうと想像し、スクリプトを仕込んだファイルをスレッドにアップロードし、そのファイルを参照すると書きました。「スクリプトを直接書くのではなく」といった内容も含めたかったのですが、解答欄が足りませんでした。他サイトではなく自サイトのスレッドにファイルをアップロードするのが一つのポイントですから、そこは外せないと思いました。

設問３の（１）は、テキストファイルとして開き、スクリプトが含まれていないことを確認するとしました。Pythonで言うならrbではなくrでファイルをオープンして、scriptのような文字列を検索するイメージです。

（２）はプロジェクト進捗管理としました。最初は入力時にエスケープ処理をすると考えてタスク管理と書きましたが、htmlへの出力時にエスケープ処理をするほうが自然かと思い直して書き直しました。

（３）はHTMLで特別な意味を持つ記号<と>をエスケープ処理すると書きました。設問で「具体的に」と指示されており、<と>を具体化しました。&lt;のような内容も書こうかと思いましたが、自信がなかったことと「エスケープ処理」という表現を入れたかったので、この記述に落ち着きました。本文中に「類似の問題がないかどうか」とあったので、<と>をエスケープすればいいだろうと考えました。

設問４は、SASTが何かわからず、頭をひねった挙句、専門家による手動での検査にしました。これなら文句はつけられないだろうという判断です。

アルファベットの頭文字の略称は覚えきれないのでやめてほしいです。

 

問３

設問１の（１）はDNSSEC、（２）のbはDoS、cはTLSと書きました。調べてみると、DoSではなくDoHが正解のようですが、仕方ないです。

設問２はイ、アとしました。eは通常なら表示されないポップアップ画面に入力されたものだからアなのは間違いないだろうと考え、dのほうにアを出すならあとでeを出す必要がないのでイだろうと考えました。

インターネットバンキングは大きなテーマの割にこれだけしか設問がないのかと拍子抜けしました。

設問３は、Kサービス設定サイトへのアクセスを許可する接続元IPアドレスとしてa1.b1.c1d1を設定するとしました。なるべく問題文中の表現を活用しました。解答用紙に「1」と書くときに私が普通に書くと「l」のように見えたので、不自然になるのを覚悟で縦棒の上と下に付け足しました。

設問４の（１）は、各取引先サービスで行っている接続元IPアドレス制限について、P社の契約者専用のKサービス用固定グローバルIPアドレスからの接続を許可してもらうと書きました。問題文中の表現を最大限活用するという姿勢は変わりません。「接続を許可してもらう」と「接続も許可してもらう」のどちらにしようかと数分悩んだ挙句、全体利用も想定しているので「を」のほうにしました。過去問で「も」が模範解答になっていた問題を思い出しました。

（２）は、ざっくりと基本サイトのことかと考えたあとで、それにしては解答欄が不自然に広く、基本サイトの周囲をよく読み、OSベンダーのOSアップデート配布サイト及びQ社のマルウェア定義ファイル配布サイトとしました。この２つはKサービスへの接続前に接続する必要があるのに対し、VサービスとP社専用WサービスはKサービスへの接続後に接続すると想像しました。問題文中の後二者はWebブラウザのブックマークに登録するという記載がヒントだと解釈しました。２つのサイトをつなぐ文言を「及び」にするか「と」にするか迷いましたが、A、B、C、D及びEという形になっている問題文を参考にして「及び」にしました。

設問５の（１）は、認証方式１でSMS通知を受ける１件の電話番号を利用者ごとにあらかじめ登録するにしました。ここでも問題文中の表現を最大限利用するという姿勢です。「利用者ごとにあらかじめ」とまで最初は書いていませんでしたが、時間があまって見直ししているときに消しゴムで消してそれも追加しました。

（２）は、Kサービス接続時に接続元PCのOSのバージョンをチェックし、移行前のバージョンであれば接続を拒否するようP社の管理者アカウントで設定するとともに、ログから接続を拒否されたPCを割り出してそのPCの利用者にOSの移行を促す声かけをするとしました。これで解答欄をちょうど使い切るくらいの分量です。システム的（技術的）な施策と運用的（人間的）な施策の両方を欲張って盛り込みました。ここでも問題文の表現を最大限活用しています。バージョンXとかバージョンYのように具体化しようか迷いましたが、下線③の直前にはそのような具体的な名前が書かれていなかったのでやめました。

 

全体

ベストは尽くせたという手応えです。

午後の問題選択には迷わず、問１と問３を選んだことに悔いはありません。

問１はLaravelやDjangoでWebアプリを作る仕事をしてきたのが生きました。

問３は国語力勝負ですね。

この試験を受けることをきっかけにして、セキュリティについて集中的に学べてよかったです。