出発
- 受験票に写真が必要だというのをついさっき気づきました。危ない危ない。
- 会場への行き方も確認したし、そろそろ出発の時間です。
- 行って参ります。
受験報告
風景
- 情報処理系の試験場に来るのは実は初めて。春に申し込んだデータベースは、風邪でダウンでしたので。
- 電車の中で、やたらと参考書を開いている人が多かったのが特徴的ですが、後はTOEICなんかと同じですね。
- 教室を眺めてみると、大学によくある椅子と机が一体化した横に長い奴で、こんな感じ。●が着席する場所で、○が空席。
●○● ●○●○● ●○● ●○● ●○●○● ●○● ●○● ●○●○● ●○● ●○● ●○●○● ●○●
- 出席者は2/3位だったようで、五人がけ咳の真ん中の一列はほとんど誰も座っていない。それでいて両端にはぎっしり座っているので、なにがしかの選択基準でもあったのだろうか?
- 五人がけの右端で、隣も後ろも欠席だったので、ゆとりはありました。
- さて、いつものように問題に対するつっこみもやってみたいのですが、別の欄を作ろう。ちょっと苦しい。
午前問題
- ハミング符号、スラッシング、ブリッジあたりは、直前に見直した内容がそのまま出た感じ。
- DBMSには不要で、リポジトリに必要な機能。
- 普通に考えればバージョニングなんですが、何か罠があるかと思いこんで、全部マルバツチェックしてしまいました。
- ラウンドロビン方式によるデザインレビュー
- 初めて聞く言葉だが、ラウンドロビンという言葉から推測して、何かが交代で作業を行う説明がなくてはならない。
- そんな観点で考えると、レビュー参加者が持ち回りで責任者を務めつつ..しか残らなかったんですが、それって単なる責任者不在では?とか思いながらチェック。
- 結果的には当たってました。
- 問10 費用勾配の話
- 問11 データベースのロールバック処理
- 更新後ジャーナルと更新前ジャーナルの言葉の意味を正確に把握していなかったので、イかエか迷いましたが、何とか正解。
- 問13 最も経済的な対策
- これ、考え方がさっぱり分からなくなってしまいました。
- 結果的には、対策費用 + リスク費用が最も小さいものを選択しました。
- 問15 サブネットマスク
- 未だにサブネットの計算方法を知りませんが、絶対出ると思っていたので、ClassCに関しては丸暗記するという力業をしたのですが、まさかClassBから出ようとは。orz
- 幸運にも1,022のホストという記述があったので、255.255.255.0で256個だから、255.255.254.0で512個で、255.255.253.0で1024個だよなあというたどり方をしたのだが、どうやら間違えたらしい。
- 正解は255.255.252.0ですか。何でだろう?
- 問16 ハミング符号の計算
- ぱっと見面倒な式で敬遠してしまいましたが、手を動かすだけで解けました。
- 念のため、三回計算して値が一致したのを確認。
- 問17 LAN使用率
- 六回以上計算したはずなのに、どうしても選択肢の答えにならない。
- (1000 x 8 x 60 x 2 x 1.3) / (10 x 10^6)
- これであってるはずなんだがなあ..
- まさか、「二組のノード間でファイル転送」ってのは、A -> Bに転送すると同時に、B -> Aにも転送しているとか言わないよね?
- しかし、何故か答えは正解。
- 問18 論理回路の多重度
- 全く手が出ませんでした。何度かトライしましたが、諦め。
- 問28
- これ、何度見直しても正しいことを書いている文章がないような気がしてなりませんでした。
- アとウは絶対に間違えている。
- イとエの判断で、五分くらいかかった気がします。
- イ:SSLを使用すれば、通信系路上にプロキシサーバが存在していても、各利用者とWEBサーバとの間での参照情報が、本来の利用者以外に開示されることはない。
- man-in-the-middle攻撃があり得るので、本来の利用者以外に開示されることがある。
- エ:リバースプロキシは静的コンテンツのキャッシュが出来ないので、それを使ってもクライアントへの応答時間が改善されることはない。
- リバースプロキシについて詳しくはありませんが、キャッシュできないはずはないし、応答時間短縮のために使われる例があるので、これも変。
- さあ、どっちだというところで、開き直ってイにしました。結果的には当たってましたが。
- 内部統制の話がぼちぼち出てきてますね。SOXを見越しての話だろうか。
- 問36 SLCP-JCF98
- 共通の物差しという言葉以外覚えてなかったのですが、結果的に正解。
- 問37 CMMIのLevel3
- こんなのが出てくるとは思わなかった。
- 「システム開発の経験が組織として共有され、標準プロセスが確立している」が正解だそうですが、現場でこれはLevel5だと見なしてしまった罠。
- 問38 UTF-2
- しらねーよ。
- 全ての文字を2バイトで表現するコード体系なんだって。
- いや、UNI CODEという意味で知らなかったわけではなく、下手にUTF-2/4/8/16とかがあると知っていたので、混乱が..
- 問40 動画や音声の送受信フォーマット
- CSF分析?アンケート分析法?なんだそれ?
- 問43 リーダーシップの条件
- その場でちゃんと考えれば解ける問題。こういうのを落としてはいけない。
- 問45
- あれ?4段階で終了できるパスってあるんだ。どうやるんだろう?
- 問53 システムテスト(総合テスト)
- へー、本稼働用のデータを使ってテストするんだ。
- 問55 バックアップデータ引き渡し自の安全性
- 委託元担当者が、バックアップテープを段ボールに入れ、専門業者に引き渡している。
- キーワードは、手渡しと言うことかな。まさか、段ボールは関係あるまい。
- まあ、こんなことを考えつつ受験してました。続いて午後。
午後I
どれにしようかな...
- 午後Iに関する過去問はそれなりの数をこなしていたのですが、実践形式で制限時間内に、解く問題を選ぶところから始めたことはなかったので、時間配分が若干不安。とりあえず、最初の五分間でどれを得か決めることにして、一通り眺めてみる。
- 問1は典型的な業務の話
- 問2は監査の話
- 問3はURLフィルタリングの話
- 問4はX教授..じゃなくて、ある大学の証明書運用に関する話
- 若干苦手意識を持っているのが証明書の運用に関する問題で、経験上やらない方がよいと思っているのが監査の問題。どちらか選ばざるを得ませんが、経験則が全く通用しない証明書よりは、若干でも勘が働く監査の方がましだろうと言うところ。
- 問4の穴埋め問題だけ一カ所不安がある。おそらく相互認証で間違いないはずだとは思うのですが、現場において少しでも確信が持てない状態で開始するのはよくないので、問4を捨てることにした。
- 結局1,2,3を選択することにし、この順番で時始めました。この時点で10分弱かかっちゃったかな。
問1
- 雑感
- 本番なので、遠慮無く問題文に下線や印を付けながら読み進めていく。これをやると大幅に見直しが楽になることに気づきました。ええ、今ごろですよ。いつもは参考書なので、やらないのですね。
- この手の問題には、たいてい情報セキュリティ委員会を設置するという条件が入っているはずなのに、本文にはそれがない。
- 問題文は長いが、業務の話が詳しく書かれているだけで、技術的に不明なことはない。アルバイトの教育状況など、何となくどういうことを答えさせようとしている家憲と虚けながら読み進める。
- 設問1
- 最初、a.とb.を自力で答えるのかと思って焦りましたが、ちゃんと問題文に書かれていました。
- 設問2
- これもセオリー通りですね。アルバイトの扱いを全社で一元管理するという主旨のことを、文中の言葉を使って書けばよい。
- 本当だったら、教育担当部門を任命して一元的にやらせると書くのでしょうけど、本文ではそう言う前提がないので、「一元的に行う」と主語をぼかして書きました。
- 設問3
- (1)は、何となく営業部かなと思ってしまいましたが、よくよく見れば、二つのPCを見比べながら仕事をする必要がある注文課ですね。文中の言葉を使って「注文書ごとに在庫引き当て及び請求処理を行う業務」としましたが、解答速報や他の人の文章を見ると、「PCとCPCを同時に使う業務」という芸術的な作文が掲載されている。どうやったらこういう答えを思いつけるんだろう?
- (2)は、特例的な運用が何か、かなり迷いました。真っ先に思いついたのは、「注文課に限りICカードを二枚配布する」だったのですが、
- 問題文中にICカードを二枚配布可能かどうかの記述がない
- 出力制限の説明に「ただし、これらの禁止は、管理者の許可があれば、一時的に解除できる」都の記述があるので、片方の出力を印刷するなり、外部記録媒体経由でもう片方に持って行くことも可能。与信用PCは社内LANには接続してはならないが、外部記録媒体を接続してはならないという条件はないし。
- どちらを選んでもそれ相応のリスクが発生する。2枚配布すれば紛失リスクが上がるし、誰かに貸したりする可能性もある。制限解除すれば、印刷物を紛失したり、データを持ち逃げする可能性もある。
- どっちもどっちなら、文中にあって使っていない条件を書いた方がよいかなと思って、「注文課課員に限り、出力制限を解除する」にしちゃいました。結果的には負けかな?
- 設問4
- ICカードに関する運用ルールは、現時点では定義されていないはずなので、
- ICカードの常時持ち歩き
- 離席すると自動的にPCがロックされる
- という主旨の文章にしました。今更ながらですが注意書きを見ると、「入退室鍵などと一体化して利用できる」っていう注意書きがあったのね。だからみんな施錠管理の話をしていたのか。
- でも「①の状態を抑止したい」わけで、①というのは「休息時間などに事務室を不在にしているにもかかわらず、PCがログインしっぱなしで放置」されているわけだから、入退室管理をやっても解決しな..ああ、いいのか。結果的に常時持ち歩きすることになるわけで、その間PCが自動ロックされるって事か。
- あれ、観点が違うだけで結果的に同じ事を言っていると解釈してよいのかな?
- すると、キーワードは「ICカードの常時携帯」で、その結果「PCがロック」されて、施錠管理が併用されている場合はその分セキュリティも上がるという感じ?でも、予算とか書いてませんよね。
- ICカードに関する運用ルールは、現時点では定義されていないはずなので、
- この時点で30分経過だったので、なかなかよいペースかも。
問2
- 雑感
- 「FW以外はL社所有の機器である」んですね。
- 「昨今の個人情報保護に対する社会的要請の高まりを受けて」監査を実施することにしたんですか。しかも、「個人情報の保護対策の確認」が主眼になると。
- 設問1
- この辺は基本ですね。しかも選択問題。楽勝かと思いきや、e.が「管理基準」でよかったかだけ不安。
- 設問2
- 上のことが頭に残っていたので、
- 個人情報の保護対策について
- ログの取得状況
- の二つを記入。二つめは、監査結果でログがフォーカスされていたから。
- 後知恵ですが、監査結果から逆算するなら、SIDの管理状況についてとするべきだったのか。まあ、こういうのはその場では絶対に気づけないことですので。
- と思ってitecの解答速報を見ていたら、目から鱗。
- ヒアリング対象者の選定と準備
- 査閲対象の記録文書等の準備
- なるほど、こういう観点があったか。orz
- 「監査を効率よく実施するために、M社に対して、監査依頼書に依頼事項を纏めて通知した。この依頼の効果もあって、スムーズに監査できた」んだから、そうとも言えますね。とはいえ、「こういう点を監査するからよろしくね」という文章が存在しないはずはないので、僕が書いた答えもはずれというわけでは内はずなんだが。うー、どうなるんだ、これ?
- 上のことが頭に残っていたので、
- 設問3
- 設問4
- ユーザ部門がやることは微妙ですが、本人からの申請 -> 上長が承認 -> システム部門に連絡というフローを、上長が直接連絡するようにする位しか思いつけない。
- システム部門がやることは、「人事情報をシステム部門が把握する」と「SID削除のクロスチェック」でしょう。
- この時点で13:15だったので、悪くはないペース。ぶっつけ本番だったので、この辺の呼吸が分からないです。
問3
- 雑感
- URLフィルタリングの話。
- 「工場では複数人でPC共用」とか「ログインのログは採取してない」とか「プロキシサーバではログ取ってない」とか、怪しいキーワードがたくさん出てきます。
- 「部門間の利害が対立したら、情報セキュリティ委員会で調整」するんですね。
- さらに、「利用可能としておかなくてはならないWebサイトの特定は困難」なんですね。
- そんなこんなで、「結局、情報システム部は、営業部の要求を認めて」しまったと。
- 設問1
- これは、ブラックアウト方式。言葉使いに勘違いがないかだけ要確認。
- 設問2
- キーワードは「情報セキュリティ委員会で調整しなかった」と「情報システム部が勝手に判断した」ですかね。
- 設問3
- この設問、脳内ストーリーに従って進めてしまったので、これが破綻していると全滅する可能性がありました。結果的には、半分やっちゃった感じかな...
- (1)は、「営業部のIPアドレス群を設定する」にしたのですが、二重に間違っているかも。
- つまり、勝手に営業部セグメントというものが存在することを仮定していたのが間違いの元。日経の本を笑えませんね、僕も想像力豊かな人らしい。
- (2)は、基本に忠実で、「工場ではPCを共有」と「IPアドレスでは個人特定できない」
- (3)は、話の流れから「IDベースにする」でしょう。
- (4)は、微妙に勘違いがありました。現時点で取得しているログがIPアドレスと、理由だけだと言うところを見落としていて、スペックに書いてあるログは全部とっていると思っていた。
- さらに、「IDはIDベースでフィルタリングしたときだけログに残る」という但し書きがあったので、そこに目をつけて「IDベースにするにして、IDをログに残す」と書いたんだっけ。
- うーん、この問題が一番壊滅度高いな。設問1○、設問2○、設問3(1)×、(2)○、(3)×、(4)×だと思われる。
午後II
どちらにしようかな
問2
- 雑感
- 文章は長いが、丁寧に業務形態が書いてある。
- 店頭での対面販売
- 贈答品の配送サービス
- 設立キャンペーン
- プレゼント発送
- 将来実施する各種イベントの案内を送付
- データ入力業務を委託
- インシデント発生
- こんなことをチェックしつつ、20分くらいかけて問題文の全貌を確認。
- 文章は長いが、丁寧に業務形態が書いてある。
- 設問1
- 間接収集と言うところで?となったけど、何だ、贈答品の配送サービスって書いてあるじゃないか。
- 設問2
- 個人情報の利用目的。
- これも文中の語句をそのまま使って、「プレゼント送付」と「各種イベントの案内を送付」の二つですね。
- 設問3
- 設問4
- 経済産業省のガイドラインの内容を覚えてなかったのでうろたえましたが、今回の事故の経緯は
- 勝手に再委託したこと
- 自宅に持ち出したこと
- が原因なのだから、この二つを禁止するという主旨の文章であればよいだろう。
- ただし、一律に再委託を禁止しても業務が回らないのだろうから、「再委託するなら事前に許可を得なさい」あたりが落としどころでしょ。
- もう一つは、業務委託先社内からの持ち出し禁止という苦しい文書になってしまったが、理想的には「個人情報取り扱いエリアの設定」「そこからの持ち出し禁止」なんだろうな。タイムアップの二分くらい前に思いついたが、書き直さないうちに時間切れになる恐れがあったので、あえて修正せず。
- 経済産業省のガイドラインの内容を覚えてなかったのでうろたえましたが、今回の事故の経緯は
- 設問5(1)
- 感覚的にはわかるのだが、30文字で表現するのが大変でした。考えるデータはI氏が持ち帰った分だけでよく、データの種類は4つに分類できる。
- ①I氏が持ち帰って、データ入力しない内に、捨てられて、回収できなかったはがき
- ②I氏が持ち帰って、データ入力しない内に、捨てられて、回収できたはがき
- ③I氏が持ち帰って、データ入力した後に、捨てられて、回収できなかったはがき
- ④I氏が持ち帰って、データ入力した後に、捨てられて、回収できたはがき
- ここでは、漏洩した事実を伝えられる人を問われているので、(②+④)と③が該当する。
- ここまで特定して、さらに困った。「想定される漏洩の経緯」という言葉の意味が理解できず、G社が勝手にH社に再委託して、H社のIさんが持ち帰ったことが悪いんじゃないの?としか思えなかった。15分くらい悩んだんじゃないだろうかねえ。
- 結局、テスト終了10分前に天啓が降ってきて、経緯 == 理由じゃなくて、どのような状況において漏洩が発生したか?を説明すればよいと分かった。つまり、
- 感覚的にはわかるのだが、30文字で表現するのが大変でした。考えるデータはI氏が持ち帰った分だけでよく、データの種類は4つに分類できる。
- 設問5(2)
- 書くべき事はすぐ分かったのですが、どのくらい具体的に書くのかで迷いました。
- 結局、「①の人が、応募はがきに記載した応募者の情報を悪用して、サギ等の被害に遭う可能性がある」としました。ちなみに、詐欺が分からなかったので、カタカナで「サギ」です。減点対象かな。orz
雑感
- これを書いている10/18時点では解答速報は出そろっていませんが、断片的なものを継ぎ合わせると、午前はクリア、午後IIも多分大丈夫、勝負は午後Iのでき次第と言うところみたいです。
- URLフィルタリングのところで、多少なりとも部分点が入ってくれればよいのですが。
地震だ!
- 地下鉄に乗る前にメールを打っていたら、地面が揺れている。
- てっきり、真下を通っている地下鉄の影響かと思ったら、実は地震だった。しかも、震度3クラス。
- 駅に降りてみたら、案の定ダイヤが大混乱中。危ない危ない、あと少しはやく乗っていたら、受験生で満員の電車の中に閉じこめられるところでした。:-)
さて
- secuadの勉強を始めた4月当初は、資格取得そのものが目的でしたが、やっているうちに、学問としての情報セキュリティが面白くなってきてしまったのは事実。
- そんなこんなで、今回の結果がどうであれ、半年後に何かを受験することにしよう。
- 答え合わせをまだやっていない段階で、宣言だけはしてみました。:-)
- システム監査を考えていたけど、目新しさからすると、新設されるテクニカルエンジニア・セキュリティがねらい目かな。内容的にも、この半年やってきたことの延長線上になりそうですし。