SECUAD 10/11

secuad

午前問題 H.15過去問

  • 通勤途中の電車の中で、計算問題以外を解いて答え合わせしてみた。
  • 結果は、○39、×9、計算2で、所要時間は30分弱。
  • その後計算問題を解いてみたら、10分程度で一問正解だったので、○40とカウントしてもよいでしょう。
  • すると、正解率は80%程度か。日経の本には、一応75%位をねらいましょうと書いてあったけど、午前に限れば大丈夫と言うことなんだろうか?
  • やっぱり怖いのは、知らないと言うだけの理由でロストしてる問題が5第以上あったことと、問題文の読み込み不足が原因で選択を間違えたものがあったこと。
  • ホットスタンバイ -> Duplex system
    • ロードシェアリングは違うぞ。
    • ホットスタンバイ兼ロードバランス(縮退運転できるシステム)な状態は別物なので注意しましょう。
  • アムダールの法則
    • なるほど、E(0.3) == 3E(0.9)みたいな方程式を作ればいいんだ。
    • 此は目から鱗だった!
  • エラーデータの修正
    • 発生源での修正が最も効率が良く、そこで行うべきである。
    • 教条的に覚えましょう。
  • シングルサインオン
    • cookie
      • 有効範囲(同じドメイン)のウェブサーバの認証を一元管理。
      • これは、cookieの動作をよく知らなかったのが敗因ですね。
    • Reverse Proxy型
  • データ受け入れた際の入力データの完全性チェック
    • 入力データの件数、合計データの件数のチェック
    • 承認者の分離は、内容の保証にはならないぞ。
    • 監査じゃなくて、検査なんです。
    • コントロールトータルって書いてあったな。
  • SAML
  • マトリックス組織
    • 地域別・製品別など異なる組織形態の利点を追求しようとするための組織。
    • 職能型組織
    • 社内ベンチャー型組織
    • 事業部制組織
  • 業務のモデル化
    • 組織の活動と情報の関連を構造化して、企業のあるべき姿を示す。
    • 組織を抽象化して、その本筋を見いだす作業。
  • 意匠
    • 物品の形状、模様もしくは色彩またはこれらの結合であって、□を通して美観を起こされるもの。
  • 国税関連帳簿の保存
    • これ、secuadの問題なのか?
    • 電子帳簿保存法
      • 紙に印刷する方法に変え、電磁的記録媒体に保存してよい。
      • 始めから一貫してPC処理していて、すぐに取り出せる仕組みや履歴確認ができる仕組みを作っておくことが条件。
      • 事前(三ヶ月前)に税務署長の許可を得る。
  • 監査証跡
  • 監査手続き
    • 運用中の変更・保守が正しく行われているか?
    • 情報システムの変更・保守が正しく行われているかどうかを検証する方法を書く。
    • 変更申請書類、変更記録の点検方法など

午後問題

  • 「リスク分析」を使おう
  • セキュリティ講習会、セキュリティ教育
    • 教育活動だと微妙なのかも。
    • セキュリティが付かないとだめなのかも。
  • 全社的に参加者を募り、プロジェクトチームを結成する。
    • 情報セキュリティ委員会
    • 脆弱性を洗い出すためには、情報資産が特定されていないとだめなんですってことね。
    • 本文に、「仮に企画部門をセキュリティの主管部署とする」となっていたので、本物の主管部署である「情報セキュリティ委員会を組織する」って書いたらだめなんだろうか?
  • 営業情重要な情報なので、参照できる情報を明確にし、アクセス制御を行う。
  • 禁止されているサイトへのアクセスは、部門長を経由して、経営企画室に許可を取る。
    • 上長 -> 部門長
    • 許可を取るのは、セキュリティに関する最もえらい部署と決めうちする。
    • 此は出題内容によって異なるので、見逃さないこと。
  • パスワードの作成基準が守られ、変更・語入力の際の対策が取られているかを確認する。
    • 「パスワードの作成基準」難とも便利な言葉だ。
    • 文字数を一定以上とか、特殊文字つかえとか、そう言うのを書こうと思って悩んでいたけど、そんな面倒なこと考えなくてよかったわけね。こんな基準があるってことは何処にも定義されてなかったような気がしますが。
  • SOA
    • Start of Authority
    • そう言えば、そんな言葉があったっけ。orz
  • DNS -> 階層構造
  • jp -> co.jp -> hoge.co.jp何だけど、現実にはjpとco.jpのネームサーバって同じものだったはずなので、hoge.co.jpをjpのネームサーバに問い合わせると、直接hoge.co.jpのネームサーバを返してくるはずなんだよなあ。下手にこういうところを知っていると、素直に答えられない。
  • 輻輳..ね。
    • 混雑じゃだめなんだろうか。
  • ISPから付与される必要のあるアドレス
  • 週末にB市営業所の機器の電源とを止めるから。
    • なんと画期的な!
    • セカンダリDNSって、ネットワークさえ別になっていれば一組織でもかまわないんだっけね。
  • IPアドレスが変更されたり消滅したりする可能性があり、最新状態にする必要があるたっめ。
  • ディジタル署名
    • 否認できない
  • 公開鍵暗号方式
    • やたら強調されているからって、チャレンジレスポンス方式とか言わないように。
  • P'で暗号化データを複合し、Rとの一致を確認する。
    • なるほど。
    • 公開鍵方式の認証方式って、こうなるんだ。今さら気づいた。
  • ユーザのパスワードが漏れたりして、正しく運用されないことがある。
    • これはへんだろう!
    • SIerの指示に従いアクセスサーバ導入した際に生じる問題点」なんだから、SIerの指示の中に欠陥を求めろと言う題意じゃないの?
    • そうすると、
      • 営業所毎にID/PWを登録する仕組みにした
      • 営業所の担当領域はミックスしていない
    • と言う前提がおかしいという話をしなくてはならないと思うんだが。
    • 例えば、IDの一元管理ができなくて、人事異動と可の際に大変とか。そういうこと。
  • ポート番号が変わることで、パケットが通過できなくなる。
    • 事前に定義したアクセスルールが適用できなくなるから。
    • じゃきびしいかな。変動ポートのアプリケーションに対応できないという点では同じ事を言っているのだが。
  • IPアドレスのフィルタを使う
    • いや、そうじゃなくて...
    • そもそも、内部セグメントに公開サーバを置くこと自体あり得ないでしょう。
    • もう一個DMZを作るなりなんなりしないと。
    • 少なくとも、こんなこと絶対に思いつけないし、提案しちゃいけない。
  • 電子メールの添付ファイルのデータ
    • この位置に置いたことでかすめ取れないプロトコルってことね。
    • POPが対象から抜けてると書いてしまったが、何処にもPOPなんて書かれてないと言うことか。
  • セキュリティ規定に基づき行動し、資産の保全に努める。
  • 前者が気密として扱う情報を外部に漏らさない。
    • 一般的にどの様な〜ときいている割には、問題文を参照してるのね。
    • 基準はポリシーから導き出すものです。
    • でも、保全すべき資産とか、機密情報とかはアセスメントしないとわからないはずなんですが...
  • ユーザから見ると、複数の営業から同じ内容のメールを受け取ることがある。
    • 対策は、一ユーザ位置営業をアサインする。
  • 顧客情報という機密情報が簡単に外部に漏れている。
    • 送信先チェックを厳密にして、ミスを阻止する。
      • この人、想像力ありすぎ!
      • なんでセキュアドの試験で、CRMがずたずたになっていることを指摘しなきゃならんのだ。
      • しかも、そんなこと本文中に一言も書いてないというのに。
  • antivソフトの最新版をベンダに確認する。
    • こんなことウイルスが見つかってから確認してちゃだめでしょ。
    • 買った時点で確認しておけよ!
  • まあ、そんな感じですが、後六問+過去問なので、最後のスパートをしていこう。
  • 頻出らしいので確認しておきたいのは、譲歩失せキュウリtっひいんかいを設置してからまずやるべきことを箇条書きで複数暗記しておくこと。典型例ね。