試験まで約1週間とせまり、試験勉強もラストスパートといったところでしょうか。新年度も重なる春試験は忙しくて勉強どころじゃねー!って気もしますが。。今回は、直近過去3年(春/秋)の午後1と午後2の出題テーマをまとめてみました。簡単ではありますが、傾向の分析と今後の出題を予想してみたいと思います。 ※28年度向けに過去の出題傾向を更新しました。

まずは午後1、
最近の傾向としては、問1でwebアプリ(セキュアプログラミング)の問題が出題されることが多いようです。脆弱性対策がメインで、セッションやcookie、XSS、HTTPヘッダなどが出題されています。(セキュアプログラミングは最悪捨てても合格は可能です)
問2問3では、マルウェア関連かwebサイトへの攻撃が多数出題。マルウェア関連では、プロキシサーバーを使った対策、SPF(送信ドメイン認証)、メール経由で感染した場合のマルウェアの動作、出口対策あたりを中心に問われている印象。webサイトへの攻撃は、アクセスログの解析方法やパスワード攻撃手法などでしょうか。忘れたころに出題されるキーワードとして、ハッシュ(ソルト)、SSL証明書、OTP(ワンタイムパスワード)は絶対におさえておきたい項目です。

問1 問2 問3 問4
28年春 Webアプリケーション、XSS、CSRF DNSキャッシュポイズニング、メールサーバ(SPF)、プロキシサーバ スマホアプリ、SSLサーバ証明書  
27年秋 webアプリ(フレームワーク)の脆弱性、HTTP、WAF 特権ID webサイトへの不正アクセス、ファイアウォールルール  
27年春 webアプリの脆弱性対策、HTTP、セッション、cookie マルウェア感染、C&Cサーバへの通信 webサイトに対するパスワード攻撃、ハッシュ  
26年秋 スマホの業務利用(BYOD)、バッファオーバーフロー(プログラミング少々?) SSLディジタル証明書 マルウェア感染、バックドア通信、ハッシュ  
26年春

webアプリケーション、HTTP(プログラミング)

迷惑メール対策装置、SPF ネットバンキングを悪用するマルウェア、ワンタイムパスワード  
25年秋 クロスサイトスクリプティング(プログラミング) スマホアプリの仕様 クラウドサービスのセキュリティ対策、認証、ワンタイムパスワード  
25年春 マルウェアの解析、攻撃手法、ファイアウォール DNSキャッシュポイズニング、ファイアウォール 仮想デスクトップのセキュリティ対策(リモートアクセス) 不正競争防止法、アクセス制御、アクセスログ


午後2では問題のボリュームが多い分、出題テーマも複数盛り込まれます。
午後1同様に昨年(27年)春秋ともにマルウェア関連の出題が非常に多いです。
今年もマルウェア関連は間違いなく出題されるでしょう。

問1 問2
28年春 CSIRT構築とセキュリティ設計  セキュリティインシデント運用、マルウェア感染と対策、CVSS テレワークのセキュリティ  パーソナルファイアウォール、プロキシ、マルウェア感染、マルウェアの動作、未知マルウェア対策
27年秋 シンクライアントでのマルウェア対策(標的型攻撃)、マルウェアの動作 クラウドストレージサービスのマルウェア対策、データの暗号化、暗号技術(知識)、データの委託先管理
27年春 ウイルス対策、マルウェア感染、プロキシサーバ、メールのウイルス対策、webアプリ マルウェア対策、ファイル転送方式、セキュリティ対策(規定)、SSL証明書
26年秋 ICカード認証、シングルサインオン webサイトのセキュリティ、HTTPメソッド、クロスサイトスクリプティング、HSTS
26年春 クレジットカードシステムの仕様、RDBMS(データベース)PCI DSS webサイトのコンテンツ改ざん、EV SSL証明書、プロキシサーバ、FWルール、ファイル交換専用装置、ウイルス感染時の出口対策
25年秋 マルウェアの検知、C&Cサーバ、メールヘッダ、プロキシサーバ、HTTPヘッダ、ARPスプーフィング スマホからのリモートアクセス(BYOD)、VPN、スマホのセキュリティ対策
25年春 webアプリの仕様、サーブレット(プログラミング) 送信ドメイン認証(SPF)、アーカイブサーバ、タイムスタンププロトコル、メールのウイルス対策


午後2では問題のボリュームが多い分、出題テーマも複数盛り込まれます。
午後1同様に昨年(27年)春秋ともにマルウェア関連の出題が非常に多いです。
今年もマルウェア関連は間違いなく出題されるでしょう。

問1 問2
27年秋 シンクライアントでのマルウェア対策(標的型攻撃)、マルウェアの動作 クラウドストレージサービスのマルウェア対策、データの暗号化、暗号技術(知識)、データの委託先管理
27年春 ウイルス対策、マルウェア感染、プロキシサーバ、メールのウイルス対策、webアプリ マルウェア対策、ファイル転送方式、セキュリティ対策(規定)、SSL証明書
26年秋 ICカード認証、シングルサインオン webサイトのセキュリティ、HTTPメソッド、クロスサイトスクリプティング、HSTS
26年春 クレジットカードシステムの仕様、RDBMS(データベース)PCI DSS webサイトのコンテンツ改ざん、EV SSL証明書、プロキシサーバ、FWルール、ファイル交換専用装置、ウイルス感染時の出口対策
25年秋 マルウェアの検知、C&Cサーバ、メールヘッダ、プロキシサーバ、HTTPヘッダ、ARPスプーフィング スマホからのリモートアクセス(BYOD)、VPN、スマホのセキュリティ対策
25年春 webアプリの仕様、サーブレット(プログラミング) 送信ドメイン認証(SPF)、アーカイブサーバ、タイムスタンププロトコル、メールのウイルス対策


年金機構の情報漏えい事件以降、標的型攻撃による個人情報漏えいが社会問題となっており、国としても、サイバー攻撃に対応可能な技術者の育成が急務となっていることを考えると、試験の傾向も当然ながら標的型攻撃関連が少なくない割合を占めてくるのではないかと思います。
特に以下IPAの2つの資料は必ず読んでおきたいところです。
『高度標的型攻撃』対策に向けたシステム設計ガイド
『標的型メール攻撃』対策に向けた設計・運用ガイド

また、企業におけるクラウドの普及もだいぶ進んだことから、今後はクラウドサービスに特化した(クラウド事業者との委託管理や規定など、運用寄りな)問題も増えてくると予想します。
参考URL:中小企業のためのクラウドサービス安全利用の手引き

また、先日IPAより公開された 情報セキュリティ10大脅威 2016も読んでおきたいところです。

で、最後に個人的予想として、今年クサいのは「ランサムウェア」あたりかなと。
2016年1月の呼びかけ 「ランサムウェア感染被害に備えて定期的なバックアップを」 ~組織における感染は組織全体に被害を及ぼす可能性も~

感染の予防としては、ソフトウェアを常に最新版に保つとか、怪しい添付ファイルは開かないとかですが、対策あたりを問われたりしそうな気がします。「PCのバックアップを定期的に取得する」とか。さて、結果はいかに(笑)


参考リンク:独学で情報セキュリティスペシャリストに合格するための勉強法と参考書



情報処理教科書 情報処理安全確保支援士 2017年版
上原 孝之
翔泳社
売り上げランキング: 3,385


関連記事


にほんブログ村 資格ブログ IT系資格へ
にほんブログ村






    
プロフィール

katsudon

Author:katsudon
どーしてもネットワークスペシャリストに合格したいオッサンが、試験テクニックや技術ネタ・勉強法や勉強記録なんかを備忘録もかねてログに残していきます

スポンサード リンク

Powered by amaprop.net
月別アーカイブ
カテゴリ
検索フォーム
最新記事
RSSリンクの表示