「速効サプリ」情報処理安全確保支援士塾 #3

2021/4/16（金） 21-22時村山直紀（情報処理安全確保支援士登録番号第000029号）@MurayamaNaoki
「速効サプリⓇ 」
情報処理安全確保支援士塾 #3
「速効サプリⓇ」が書籍になった！春の試験を直前予想
1 ©2021 MURAYAMA, NAOKI
注：本来は秋試験に向けた発売です。

Twitterハッシュタグ「#速効サプリ」と，
YouTubeLiveのチャットはできるだけ見ます。
※1 YouTube Liveの配信には20秒程度の遅延があります。
※2 速攻，即効，即行ではなく「速効」サプリです。

書籍になった
『うかる！情報処理安全確保支援士午後問題集』
• 日本経済新聞出版刊，Kindle版あり
• 表紙の娘はIxy先生（@Ixy）作
• 装丁は斉藤よしのぶ様
（@YoshinobuDesign）
• ズルさが自慢のチートコンテンツ，答を覚
える「速効サプリⓇ」が問題集になった！
初学者お断り
（ここ重要！）
書籍になった
「速効サプリⓇ」

現役の「登録セキスペ」にも
• 情報処理安全確保支援士（以下，支援士）がコソッと読む本
• 業務のノウハウ集，ベストプラクティス集，そして「学び直し」に
• アンチパターンやトラブルシューティングが具体的・体系的にまとまった本は，
なかなかありませんぜ。
• この本には，支援士に求められる各種のノウハウがパターン化されています。
• なにしろ書いた本人（ ⊂ 支援士）からして，「こんな本があったら業務がラク
なのに…」と思いながら書いていましたゆえ。
• 自称！セキスペ界の『有斐閣判例六法Professional』（注：自称です。）
業務のハンドブックとして
最後のSC合格が
H25よりも前なら
読む方がいい

同書の特長① 「速効サプリⓇ」
• 初代「速効サプリⓇ」（2011/春∼）の限界
• ままならぬ更新，小さい字，高圧縮率ゆえに設問の背景を伝え切れない，…
• なにより出題傾向と難易度が，2013年頃から大きく変わった。
• 「Aとくれば答はB」式の出題から，背景を読ませるハイコンテクストな出題に
• 自業自得，ポケスタが「Aとくれば答はB」式の出題を駆逐してしまった。
• そこで，新しい「速効サプリⓇ」（2021/秋∼）の必要性
• 「なぜ，その答だけが正解となるのか」も明らかに，背景を書き足す必要あり。
商標登録番号第5609223号

アーキテクチャを刷新
“答 → 問” を，本試験と同じ “問 → 答” に
6
公式解答例その答は，どんな設問から？
「N社の取引先と似たメールアドレスから送信
ドメイン認証技術を利用してメールを送信す
る。（42字）」
（注：「似た」とは，例えばドメイン名の一部
を“l（エル）”から“1（いち）”に変えたもの。）
（注：N社では「送信ドメイン認証技術の利用を検討」。）攻撃者がどのようにN社の取引先にな
りすましてN社にメールを送信すると，N社がSPF，DKIM及びDMARCでは防ぐことができなく
なるのか（注：意味は，“SPF，DKIM及びDMARCによるN社の防御をすり抜けるには，攻撃者は
どのような方法で，N社の取引先になりすますのか”）。その方法を50字以内で具体的に述べよ。
（R01秋SC午後Ⅰ問1設問4）
情報サービス事業者N社は「送信ドメイン認証技術の利用を検討」。
［Q］攻撃者がどのようにN社の取引先になりすましてN社にメールを
送信すると，N社がSPF，DKIM及びDMARCでは防ぐことができなくな
るのか。その方法を50字以内で具体的に述べよ。
R01秋SC午後Ⅰ問1設問4
［A］「N社の取引先と似たメールアドレスから送信ドメイン認証技術
を利用してメールを送信する。（42字）」
設問の意味は，“SPF，DKIM及びDMARCによるN社の防御をすり抜け
るには，攻撃者はどのような方法で，N社の取引先になりすますの
か”。解答例の「似た」とは，例えばドメイン名の一部を“l（エル）”か
ら“1（いち）”に変えたものです。
見開き左（本文設問）見開き右（解答解説）
設問に加えた下線で，「問うている点」
則ち「答えるべきはこの点だ！」も明らか！
「書くべきはココ！」に下線
まともな解説を追加（New!）
旧
新
©2021 MURAYAMA, NAOKI

問題集？これは実質“こたえ集”
• 「先に答を見る」は，後ろめたくない。後ろめたくない。
解答・解説を先に見てもOK
情報サービス事業者N社は「送信ドメイン認証技術の利用を検討」。
［Q］攻撃者がどのようにN社の取引先になりすましてN社にメールを
送信すると，N社がSPF，DKIM及びDMARCでは防ぐことができなくな
るのか。その方法を50字以内で具体的に述べよ。
R01秋SC午後Ⅰ問1設問4
［A］「N社の取引先と似たメールアドレスから送信ドメイン認証技術
を利用してメールを送信する。（42字）」
設問の意味は，“SPF，DKIM及びDMARCによるN社の防御をすり抜け
るには，攻撃者はどのような方法で，N社の取引先になりすますの
か”。解答例の「似た」とは，例えばドメイン名の一部を“l（エル）”か
ら“1（いち）”に変えたものです。
見開き左（本文設問）見開き右（解答解説）
ありがちな誤答例や陥りがちな誤解を，
表紙の娘が，対話形式で教えてくれます。
試験まで時間が無ければ
こっちを先に読む！
（注：上記の例題に表紙の娘は登場しませんが
娘の珍発言も書籍でお楽しみ下さい。）

表紙の娘かわいくて頭もよいが
「別解！別解！」うるさい

同書の特長② 過去問ならぬ“未来問”
• 新ネタを速習！ 5点アップの予想問題 “未来問”（想定配点×想定出題確率=期待値5点）
• SC試験 2期ぶんの「午後Ⅰ･Ⅱ」模擬試験としても使えます。
• 本日，新刊と重複しない4問と，新刊からの10問（＝計14問）を公開します。
• 向こう30分で「午後Ⅰ･Ⅱ」各1点アップを狙っていきます。
• 新刊の “未来問” も覚えて追加4点，「午後Ⅰ･Ⅱ」各5点アップを狙います。
• 皆様はトクをして早いとこ寝ましょう。
• 著者紹介とかは別に要らないですよね？
答を暗記し5点アップ狙い，新刊には69問を収録！

今期の出題の本命は？

この辺りかな…
『情報セキュリティ10大脅威 2021［組織編］』
https://www.ipa.go.jp/files/000089239.pdf
（スライドp.24より）

本命は「テレワーク」
TLP︓ Copyright © 2021 JP-RISSA All Rights Reserved. 10
こう出た【概観・午前Ⅱ】③
l 【「午後Ⅰ」「午後Ⅱ」概観】その②
• お騒がせインシデントを想わせる出題も
• 【午後Ⅰ】
• 問1 スマートフォンを⽤いた決済に関する次の記述を読んで，設問1〜3に答えよ。
• 問2 電⼦メールのセキュリティ対策に関する次の記述を読んで，設問1〜3に答えよ。
• 問3 Webシステムのセキュリティ診断に関する次の記述を読んで，設問1，2に答えよ。
• 【午後Ⅱ】
• 問1 百貨店におけるWebサイトの統合に関する次の記述を
読んで，設問1〜5に答えよ。
• 問2 クラウドサービスを活⽤したテレワーク環境に関する
次の記述を読んで，設問1〜6に答えよ。
©SEVEN PAY CO., LTD. ©2016 avex
©Keiichi ARAWI 2007
設問4が，某ペイ
を想わせる出題
※ 画像は
イメージ
です。
俗称PPAPとか
S/MIMEとか
今春は出ない？
テレワークの出題は，
近年（コロナ前から）
の出題のトレンド，
“働き⽅改⾰” ネタの
⼀環でもあった。
菅政権でどうなる？
特に時事ネタ
では無いけど
T主任とUさん
の熱⾎コンビ
飲⾷業者がQRコード決済を⾃作すると
いう野⼼作。悪いこと⾔いませんから，
総務省の統⼀QR「JPQR」普及事業に
乗っかりませんか？
RED
なるほど。で，どう出すの？
• 実質は「『テレワーク』と絡めた，
なになに（例：新技術，マネジメン
ト，リモートアクセス）」の出題。
• 試験に向けて勉強すべきは，上記の
「なになに」部分。
• で「なになに」とは？
• そろそろコレかな。
12
TLP︓ Copyright © 2021 JP-RISSA All Rights Reserved. 10
こう出た【概観・午前Ⅱ】③
l 【「午後Ⅰ」「午後Ⅱ」概観】その②
• お騒がせインシデントを想わせる出題も
• 【午後Ⅰ】
• 問1 スマートフォンを⽤いた決済に関する次の記述を読んで，設問1〜3に答えよ。
• 問2 電⼦メールのセキュリティ対策に関する次の記述を読んで，設問1〜3に答えよ。
• 問3 Webシステムのセキュリティ診断に関する次の記述を読んで，設問1，2に答えよ。
• 【午後Ⅱ】
• 問1 百貨店におけるWebサイトの統合に関する次の記述を
読んで，設問1〜5に答えよ。
• 問2 クラウドサービスを活⽤したテレワーク環境に関する
次の記述を読んで，設問1〜6に答えよ。
©SEVEN PAY CO., LTD. ©2016 avex
設問4が，某ペイ
を想わせる出題
※ 画像は
イメージ
です。
俗称PPAPとか
S/MIMEとか
今春は出ない？
テレワークの出題は，
近年（コロナ前から）
の出題のトレンド，
“働き⽅改⾰” ネタの
⼀環でもあった。
菅政権でどうなる？
特に時事ネタ
では無いけど
T主任とUさん
の熱⾎コンビ
飲⾷業者がQRコード決済を⾃作すると
いう野⼼作。悪いこと⾔いませんから，
総務省の統⼀QR「JPQR」普及事業に
乗っかりませんか？
RED
令和2年10月 SC試験の出題分析
（JP-RISSA「対策セミナー」資料より）

「ゼロトラスト」

「テレワーク」×「ゼロトラスト」①
14
ゼロトラスト・ネットワークの実現方法の一つに，IAP（Identity-Aware Proxy：アイデンティティ認識型プ
ロキシ）の利用がある。PCからIAPへのアクセスには，PC上のWebブラウザからのHTTPS通信に加えて，
PCにインストールする［ a ］からのTLS通信と，サーバやIaaSがもつ［ b ］との通信とを
IAPが仲立ちする，プロトコルをHTTPSに限定しない通信も可能である。
【Q】各空欄に入れる適切な字句を，それぞれ6字以内で述べよ。
【A】 a「エージェント（6字）」，b「コネクタ（4字）」
本問の構成にIAM（Identity and Access Management）を加え，IAMとIAPを連携させることで，IAMでの
認証・認可の結果を踏まえたIAPによる（エージェント・コネクタ間の）仲立ちも可能となります。
参考：日経BPムック『すべてわかるゼロトラスト大全』（日経BP[2021]p.54-57）

「テレワーク」×「ゼロトラスト」② 予想問題
15
“NIST SP800-207”によると，ゼロトラスト・アーキテクチャは次の七つの考え方に基づくとされる。
① すべてのデータソースとコンピューティングサービスをリソースとみなす
② ネットワークの場所に関係なく，すべての通信を保護する
③ 企業リソースへのアクセスは，セッション単位で付与する
④ リソースへのアクセスは，クライアントアイデンティティ，アプリケーション/サービス，リクエストする資産の状態，
その他の行動属性や環境属性を含めた動的ポリシーにより決定する
⑤ すべての資産の整合性とセキュリティ動作を監視し，測定する
⑥ すべてのリソースの認証と認可を動的に行い，アクセスが許可される前に厳格に実施する
⑦ 資産，ネットワークインフラストラクチャ，通信の現状について可能な限り多くの情報を収集し，セキュリティ態勢
の改善に利用する
【Q】次の二つは，上記のどの考え方に相当するか。a，bそれぞれについて①∼⑦の番号で答えよ。
a 通信ネットワーク上のどの場所も信用はできないと考え，社内のLANであろうが通信を暗号化しておく必要がある。
b 上記⑦で収集した情報を元に④で決定したポリシーに照らし，都度リソースへのアクセスの可否を判定する。

「テレワーク」×「ゼロトラスト」② 解答例
16
【A】 a「②」，b「⑥」
a 通信ネットワーク上のどの場所も信用はできないと考え，社内のLANであろうが通信を暗号化しておく必要がある。
→「② ネットワークの場所に関係なく，すべての通信を保護する」
b 上記⑦で収集した情報を元に④で決定したポリシーに照らし，都度リソースへのアクセスの可否を判定する。
→「⑥ すべてのリソースの認証と認可を動的に行い，アクセスが許可される前に厳格に実施する」
NIST（米国国立標準技術研究所）が公表した “NIST SP800-207” からの未来問。本問の①∼⑦の各表現は，IPAが同文書
の邦訳として参照する文書（PwC[2020]）からの引用です。
aについては②の「すべての通信を保護する」を「社内のLANであろうが通信を暗号化しておく必要がある」へと読み替え
ることで，また，bについては⑥の「…動的に行い，アクセスが許可される前に厳格に実施する」を「都度リソースへのア
クセスの可否を判定する」へと読み替えることで，正解を導きます。
引用・参考：『NIST Special Publication 800-207 ゼロトラスト・アーキテクチャ』（PwCコンサルティング[2020]p.6-7）

「テレワーク」×「ゼロトラスト」③ 予想問題
17
“NIST SP800-207” では，ゼロトラスト・アーキテクチャ（以下，ZTA）に関連する脅威として次の七つを示している。
① ZTAの決定プロセスの転覆
② サービス拒否またはネットワーク障害
③ 盗まれたクレデンシャル/内部の脅威
④ ネットワーク上の可視性
⑤ システムとネットワーク情報の保存
⑥ 独自のデータフォーマットやソリューションへの依存
⑦ ZTA管理におけるノンパーソンエンティティ（NPE）の利用
【Q】次の二つは，上記のどの脅威に由来するものか。a，bそれぞれについて①∼⑦の番号で答えよ。
a 社内への攻撃を目的とした “暗号化された圧縮ファイル” の内容を，通信ネットワーク上では詳細に解析できない。
b アクセスポリシー設定用ツールで設定した内容や，社内のネットワーク図など，構成情報の漏えいに対して無力である。

「テレワーク」×「ゼロトラスト」③ 解答例
18
【A】 a「④」，b「⑤」
a 社内への攻撃を目的とした “暗号化された圧縮ファイル” の内容を，通信ネットワーク上では詳細に解析できない。
→「④ ネットワーク上の可視性」
b アクセスポリシー設定用ツールで設定した内容や，社内のネットワーク図など，構成情報の漏えいに対して無力である。
→「⑤ システムとネットワーク情報の保存」
NIST（米国国立標準技術研究所）が公表した “NIST SP800-207” からの未来問。
本問の①∼⑦の各表現は，IPAが同文書の邦訳として参照する文書（PwC[2020]）からの引用です。
引用・参考：『NIST Special Publication 800-207 ゼロトラスト・アーキテクチャ』（PwCコンサルティング[2020]p.28-31）

他にも「マネジメント」とか

「テレワーク」×「マネジメント」
20
B社ではテレワークの一環として，コワーキングスペースでのノートPCによる作業を容認した。また，社内で
の作業と同様，離席時における［ a ］，［ b ］の方針を徹底させ，①背後からの操作画面の覗
き見（ショルダーハック）を防ぐ着席時の工夫も指導することにした。
【Q】各空欄に入れる適切な字句を，それぞれ10字以内で述べよ。また，下線①の着席時の工夫とはどのよう
なものか。20字以内で述べよ。
【A】（ab順不同）「クリアデスク（6字）」「クリアスクリーン（8字）」
着席時の工夫「壁に背中を向けて着席する。（13字）」
各空欄は，『JIS Q 27001：2014（ISO/IEC 27001：2013）情報技術−セキュリティ技術−情報セキュリティマ
ネジメントシステム−要求事項』の附属書A，「A.11.2.9 クリアデスク・クリアスクリーン方針」の知識問題で
す。
下線①について，背後からの視線を感じるような座席での作業は禁物です。

「リモート」とか。

「テレワーク」×「リモート」①
22
“ローカル署名”では，ディジタル署名の署名者が，その署名（秘密）を手元に保管し使用す
る。これに対して “［ a ］署名” では，署名がクラウド上を含む事業者側のサーバで保管
される。
【Q】空欄に入れる適切な字句を5字以内で答えよ。
【A】「リモート（4字）」
“押印廃止”の時流に乗った出題が見込める未来問。リモート署名の場合，リモート署名事業者
（Remote Signature Service Provider：RSSP）側が署名を保管し，署名者による署名要求を
受けて署名の処理も行います。

「テレワーク」×「リモート」②
23
Q社の従業員には，社外からのVPN接続によって社内のネットワークと同等の環境が提供され
る。この場合，①VPN接続のアカウント情報（ID，パスワード）が漏えいすると問題が起きる。
【Q】下線①について，漏えいしたアカウント情報によって攻撃者が得られる環境を，本文中の
字句を用いて20字以内で述べよ。
【A】「Q社社内のネットワークと同等の環境（17字）」
「本文中の字句を用いて」は “本文からパクれ！” という意味。
漏えいの可能性がある場合の策として，“本社のネットワーク管理者に，VPN接続に用いるIDを
一時停止するよう遅滞なく連絡させる。（44字）”と答えさせる出題も考えられます。

「テレワーク」以外だと？

「法律（改正民法）」
25
F課長：ベンダからわが社に納品されるプログラムが脆弱性をもつことは極力避けたい。万一，契約内
容に適合しないプログラムが納品された場合，わが社では民法に基づく “［ a ］責任” によっ
て修補や追完を請求することもできる。だが，この請求を行うためには，事前に①ある条件を契約内
容として明示しておく必要もある。
【Q】空欄に入れる適切な字句を7字以内で述べよ。また，下線①のある条件とはどのような内容か。
30字以内で具体的に述べよ。
【A】 a「契約不適合（5字）」，条件「納品されるプログラムが脆弱性をもたないこと（21字）」
改正前の民法に基づく “瑕疵（かし）担保” 責任はバツ。2020年4月施行の改正民法に関連し，『情報
セキュリティ白書 2019』（IPA[2019]p.187）では，「あらかじめ，そのような脆弱性のないプログラ
ムの納品を契約内容としておく必要がある。（略）仕様書を作成する委託元が，より要件を明示しな
ければならなくなる」と述べます。

「組込み・IoT」①
26
Nさん：センシング機器がもつ温度センサで測定したオフィス内の室温をサーバへと定期的に送信する
ことで，室温を自動的に調整します。この場合，①送信する室温の値を暗号化する必要性は低く，む
しろ②意図的に室温を下げることを可能とする温度センサに対する攻撃への警戒が必要です。
【Q】下線①について，暗号化する必要性が低い理由を25字以内で述べよ。また，下線②の攻撃とは
どのようなものか。その物理的な手法を15字以内で述べよ。
【A】①「室温は誰でも容易に把握できるため（16字）」，②「温度センサを加熱する。（11字）」
在室者であれば，室温は温度計によって誰でも測れる（＝知り得る）ため，測定した値を秘密として
扱うことの意義は低いといえます。下線②は，温度センサを温めることによって，サーバに「今の気
温は高い」という誤った判断を引き起こす攻撃です。センシング機器が不可欠のAgriTechでは，農場
において他者の農作物を全滅させる手法としての温度や水位のセンサに対する攻撃や，栽培漁業にお
ける酸素濃度センサへの攻撃などへの考慮が，今後は重視されると考えられます。

「組込み・IoT」②
27
M課長：今回わが社が設計する機器Aには，その基板上にJTAGインタフェースの配線パターンを加
え，機器のデバッグ時にはJTAGを利用する。また，機器Aが製品として市場に出荷された後のファー
ムウェアの改修等を容易にする目的から，念のため，この配線パターンは実際に出荷する機器の基板
上にも残しておくこととしたい。
【Q】機器Aについて，攻撃者がファームウェアを抽出する際に用いるインタフェース名を答えよ。
【A】「JTAGインタフェース」
IEEE 1149.1として標準化されたJTAG（Joint Test Action Group）インタフェースを用いることで，
基板の検査やデバッグ，ファームウェアの読み出しやアップデートも容易となります。
ですが同時に，攻撃者に基板上のJTAGインタフェースの位置を知られてしまうと，そこを侵入や解析
の入り口とされるリスクがあります。「では，この対策は？」とくれば，書くべき答の候補として
「市場へと出荷する前には，JTAGインタフェースの配線パターンを消しておく」等が考えられます。

「SD-WAN」
28
U部長：わが社では，本社と各支社を広域LANで接続し，支社から社外への通信もすべて本社のプロ
キシサーバ経由とすることでセキュリティを担保してきた。今後，各支社にSD-WANを導入する場
合，その運用中に①ローカルブレークアウトの対象となるアプリケーションの通信を適切に識別でき
ることが重要だと考えている。
【Q】下線①で防ぎたいリスクを，通信の経路に着目して55字以内で述べよ。
【A】「安全とは呼べないアプリケーションの通信が，ローカルブレークアウトの対象とされるリス
ク（42字）」
SD-WAN，特にローカルブレークアウトの導入によって，アプリケーションの種類（例：Web閲覧か
Microsoft 365か）や通信品質をリアルタイムに識別した上で，経由させるWAN回線を動的に選択す
ることができます。反面，この柔軟さが【→パターン31「抜け穴・抜け道」系】のリスクを高めてし
まうことにもつながります。 ©2021 MURAYAMA, NAOKI

「攻撃手法」①
サブドメインテイクオーバ
29
D主任：Webサイトの負荷が一時的に高まると見込まれます。そこで，この期間だけはCDN（Content Delivery
Network）を契約し，わが社のDNSサーバにもたせるCNAMEレコードにはCDN事業者が指定するサーバ名を設
定します。ですがCDNの解約時にCNAMEレコードの削除を失念し，その事実を知った①攻撃者があることを行
える場合には，サブドメインテイクオーバが起きる危険性もあります。
【Q】下線①について，攻撃者が行うあることとは何か。50字以内で述べよ。
【A】「同一のCDNを契約し，過去にCDN事業者が指定したサーバ名と同じ文字列を再度設定する。（43字）」
サブドメインテイクオーバ（subdomain takeover）は，ある組織のドメイン名を乗っ取る攻撃手法の一つで
す。今日ではCDN事業者側でもこの攻撃への対策が進んでいますが，本文にあるよう，この攻撃を未然に防ぐ策
として，CDNの解約時には当該CNAMEレコードを確実に削除しておきます。

「攻撃手法」②
IPv6環境での不正なルータ広告
30
H主任：わが社のLANに不正に接続する機器が①ルータ広告（以下，RA）を発することで，LAN内のPCに不正な
IPv6アドレスを配布してしまうことによる攻撃を防ぐ必要もある。この対策としては，正当なネットワーク機器の
ラックへの収納と施錠，正当なルータからのRAには優先度を “high” に設定しておく，経由するL2SWにはRFC
6105で規定される “RA Guard” の設定を行う，などの策が有効だ。
【Q】不正に接続する機器は，下線①の攻撃によって，IPv6通信をどのような経路へと変えてしまうか。45字以内で
述べよ。
【A】「不正に接続する機器がルータのように振る舞い，LAN外へとルーティングする。（37字）」
本問の不正な機器が，LAN内におけるデフォルトゲートウェイ（兼・IPv4環境におけるDHCPサーバに相当する機
器）になりすますことで可能となる攻撃であり，【→パターン31「抜け穴・抜け道」系】を適用できます。
本問と同様の現象は，元々RAを発するように設定されていた機器を，設定をそのままに，うっかり別のLANに接続
してしまった場合にも生じます。 ©2021 MURAYAMA, NAOKI

「AI」予想問題
31
M主任：AIシステムへの脅威を，“訓練系への攻撃” と “予測系への攻撃” に分けて考えてみよう。“訓練
系への攻撃” では，攻撃者はAIの学習過程への悪意ある介入を考える。対して “予測系への攻撃” では，
攻撃者はAIを利用した予測結果の妥当性を意図的に低める攻撃を考える。
【Q】次の各攻撃のうち，“予測系への攻撃” に分類されるものはどれか。解答群の中から選び，記号で
答えよ。
解答群
ア API経由の情報窃取イ機械学習ライブラリの脆弱性を悪用する攻撃
ウ訓練済みモデルに誤分類を誘発する攻撃エ訓練データを汚染する攻撃

「AI」解答例
32
【A】「ウ」
“予測系への攻撃”に分類されるもの
→「ウ訓練済みモデルに誤分類を誘発する攻撃」
「系」の意味は “システム”。“予測系への攻撃” は，学習済みの予測システムに変な答を出させようと，入力画
像にわざとノイズを混ぜる攻撃などが該当します。
選択肢エは “訓練系への攻撃” 例であり，Twitterのフォロワーからの投稿を学習するアカウント（例：しゅう
まい君）に対して結託したフォロワーたちがエッチな言葉を教え込む，といったことが該当します。
選択肢アとイもAIシステムへの脅威ですが，これらへの対処は，旧来の情報システムに対する脅威と同様の発
想で行います。
引用・参考：古澤一憲「AIをセキュリティリスクから守るために −AIへのサイバー攻撃とその対策−」情報処理学会誌「情報
処理」2018年12月号（IPSJ[2018]p.1104-1107）

「ツール類の固有名詞」
33
【Q】次の①∼⑥に該当する名称を解答群の中から選び，それぞれ記号で答えよ。
① SQLインジェクションの脆弱性を診断するツール
② 攻撃手法の学習用に，わざと脆弱性をもたせたWebアプリケーション
③ 米国NSAが公開する，ソフトウェアのリバースエンジニアリングツール
④ ペネトレーションテストに特化したLinuxディストリビューション
⑤ ペネトレーションテストにも用いられるポートスキャナ
⑥ ペネトレーションテストのフレームワーク
解答群
ア Ghidra イ Kali Linux ウ Metasproit エ Nmap オ sqlmap カ XVWA
【A】 ①「オ」，②「カ」，③「ア」，④「イ」，⑤「エ」，⑥「ウ」
Webアプリケーションの脆弱性診断ツールの名称である “OWASP ZAP” を記号選択させた出題例（R01秋SC午
後Ⅱ問1設問3（1））もあり，今後，ツール類の知識を固有名詞で問う出題の増加が予想されます。

他にも同書では
• ACME（Automatic Certificate Management Environment）
• BIMI（Brand Indicators for Message Identification）
• CAAレコード（DNS Certification Authority Authorization（CAA）Resource Record）
• LOTL（Living Off The Land）攻撃
• RPKI（Resource Public Key Infrastructure）
• SASE（Secure Access Service Edge）
• サイバーハイジーン（cyber hygiene）
• “STRIDE分析” の六つの要素
• プロセスハロウィング（process hollowing）
こんな用語を “未来問” として収録しています。
34
【“未来問” の狙い】
✕ ショックを受けてもらう
○ 付け焼き刃の知識を増やす

そんなトクする本を
命削って書いていますが

こんなサイトを確認
運営は「OSSコンソーシアム」
• SC：試験 - 午後 - 情報処理安全確保
支援士の過去問

37
「不快感の無いポケ○タ」
（大人の対応）
いいねを押しといた
Twitterネーム「ゲリベンベイベー」様の見解
• 気に入っているらしい。

そんな不快感を
逆撫でします

当方，れる者がつかむ藁
としての矜持があります

「覚えたら即，点がとれる順」ソート
「ズルく得点！」16パターン「定番出題！」17パターン「苦手は捨てよ」12パターン
40
パターン名称収録数
1 「基本は“コピペ改変”」系 14問
2 「手早い把握は“構成（コーセイ）！”」系 7問
3 「悪手を見つけた→反対かけば改善策」系 8問
4 「“基準に照らして変”なら答」系 4問
5 「暗号化で“読めない”」系 8問
6 「睨みを利かせる→抑止効果」系 5問
7 「モタモタするとヤラレる」系 10問
8 「ID共用→特定ムリ」系 6問
9 「コロコロ変わる→特定ムリ」系 3問
10 「強すぎ権限ヤラレ放題」系 4問
11 「それ平文」系 4問
12 「プロキシで止めと」系 5問
13 「答は“FWが止めてくれるから”」系 4問
14 「通すべきを通し，止めるべきを止める」系 13問
15 「こう書く！“ラクだから”」系 4問
16 「代わりに管理ヨロシク」系 4問
17 「答は“事件を知ってるログの機器”」系 6問
18 「RISS畑任三郎」系 16問
19 「私RISSですOK出せます」系 8問
20 「私RISSです手順書かけます」系 10問
21 「“制度”の知識問題」系 9問
22 「攻撃手法の知識問題」系 14問
23 「リスク分析・KY（危険予知）」系 10問
24 「ディジタル署名・PKI」系 18問
25 「ログの検索条件」系 11問
26 「ディジタルフォレンジックス」系 5問
27 「WAFのノウハウ」系 4問
28 「ネットを分けて攻撃ふせぐ」系 5問
29 「誘導できちゃうDNS」系 4問
30 「基本の設定」系 9問
31 「抜け穴・抜け道」系 5問
32 「一点突破，全面展開」系 7問
33 「オレオレWi-Fiヤラレ放題」系 4問
34 「制御機器とIoT」系 10問
35 「セキュアコーディング」系 15問
36 「Web脆弱性診断のノウハウ」系 5問
37 「読もうぜ『安全なウェブサイトの作り方』」系 12問
38 「マルウェア解析環境」系 3問
39 「C&Cの手口」系 4問
40 「送信ドメイン認証」系 10問
41 「ID連携」系 4問
42 「中身に踏み込む“証明書”の知識」系 4問
43 「値の突合ヨシ！」系 4問
44 「暗号技術の“穴”」系 4問
45 「自動化させてラクをする」系 6問
WebからのDL対象
注：ダウンロードURLとPWは書籍に記載
ポケスタの「出た順」よりもムカつくやつや！

本書は“金太郎 ”式！
• 先頭ページから読む義理は無し！読みたいパターン（「○○系」）から読む，それでOK！
• 本書の造りは，各パターンごとに “一話完結” なので…
• 覚えたいページから読むもよし
• なんとなく目に留まったページからでもよし
• 「ここを強化したい！」と感じたページからでもよし
• 自分の得意な（または苦手な）順もよし
• ぶっちゃけ，解答・解説から読んでもよし
• コラムや “未来問” だけの拾い読みも，もちろんOK！
一話完結。読みたいページ・読みたい「系」から読める！

同書の構造
「問題集」なので “問→答” の順
• ダルい長文は筆者が要約（329問）
• ズルく得点！（103問）
• 定番出題！（145問）
• 苦手は捨てよ（81問）
• ☆印の予想問題 “未来問”（69問）
• あと，コラムとか “漢字テスト” とか
• きっとなにかの足しになる。
42
☆ “未来問” 問 ☆ “未来問” 答
過去問答
過去問
解説
見開き右
見開き左
過去問問
過去問
要約

同書についていけるレベル
• 応用情報技術者（AP）試験に合格済み，または合格は余裕であること
• AP試験「午前」（ ⊃ SC試験「午前Ⅰ」）は，80%以上を正解できること
• AP試験「午後」は，問1（情報セキュリティ）をほぼ完答でき，かつ，次のうち三問（問4（シ
ステムアーキテクチャ），問5（ネットワーク），問10（サービスマネジメント），問11（システ
ム監査））も，ほぼ完答できること
• 「SC試験合格レベル」のサイバーセキュリティの一通りの知識を，現場で，または分厚い試験対
策書を読破して得ていること
• 「SC試験合格レベル」の目安は，SC試験「午前Ⅱ」過去問題を96%以上正解できること
• 他の「SC試験合格レベル」の目安は，情報セキュリティマネジメント（SG）試験の過去問題
の，適切な解答解説を書けること
いまどき
「午前Ⅰ･Ⅱ」は
通過して当然

同書が想定する，三つの“合格レベル”
• 松（受かって当然な人，合格者の5人に1人（全受験者の上位3.6%））
• 本書の全問（過去問329問，“未来問” 69問）を，6時間以内で，ほぼ完答できるレベル
• 中断時間があっても可（計算例：1日2時間×3日間=計6時間，も可）
• 竹（平均的な合格者像，合格者の4人に3人（全受験者の上位13.5%））
• 全問（但し「苦手は捨てよ」は半数ステ）を，ほぼ暗記しているレベル
• 暗記により，初見の問題でも脳内検索で正解（らしき表現）を返せる
• 「竹」に至るまでの学習時間は不問（目安：知らない話をググりながら本書を80∼100時間）
• 梅（合否半々のボーダーライン（全受験者の上位18%））
• 見開き右側（過去問の答と解説）と最下部（“未来問” の問と答）を，6時間で精読できるレベル
秋の試験に向けた
今からのスタートで
丁度よい学習時間
つぎ，この話をします。

試験前の6時間で
絞って読むならここ！
• 過去問（329問）の「答」と「解説」
• ズルく得点！（103問）
• 定番出題！（145問）
• 苦手は捨てよ（81問，但し半数ステ）
• “未来問”（69問）の「問」と「答」
• 6時間÷約360問 ≒ 平均 1分/問で目を通す
45
☆ “未来問” 問 ☆ “未来問” 答
過去問答
過去問
解説
左側の
過去問要約を
全部読む
時間はない
見開き右
見開き左

特定の出題を選んで読みたい方，問題番号順に読みたい方へ
さらに！

逆引き「速効サプリⓇ」①
47
午後Ⅰ パターン番号問目
問1設問1（1） 23 8
問1設問1（2） 43 2
問1設問2（1） 29 4
問1設問2（2）c 42 1
問1設問3（1） 43 3
問1設問3（2） 20 9
問2設問1（1） 41 1
問2設問1（2） 24 6
問2設問2（1） 11 4
問2設問2（2） 40 3
問2設問2（3） 5 5
問2設問3 24 18
問3設問1（1） 13 2
問3設問1（2） 3 5
問3設問2（1） 20 8
問3設問2（2） 23 6
問3設問2（3） 14 8
問3設問2（4） 14 9
設問番号から本書の場所を調べられる表 R02（10月）SC「午後」
午後Ⅱ パターン番号問目
問1設問2 21 3
問1設問3（3） 35 12
問1設問4（1） 18 7
問1設問4（2） 3 4
問1設問4（3） 18 6
問2設問1（2） 7 6
問2設問2 22 1
問2設問3（1） 22 3
問2設問4 16 1
問2設問5 19 4
問2設問6（1） 11 3
問2設問6（2） 23 3
問2設問6（3） 1 8

逆引き「速効サプリⓇ」②
48
問1設問1 40 2
問1設問2（2） 40 6
問1設問2（3） 40 10
問1設問2（4） 24 4
問1設問3 kl 40 8
問1設問3 mn 40 9
問1設問4 40 4
問2設問1（1） 12 2
問2設問1（3） 18 9
問2設問2（4） 39 2
問2設問2（5） 39 1
問3設問1（1） 26 2
問3設問1（2） 7 7
問3設問3（1） 25 4
問3設問3（2） 18 8
問3設問3（3） 25 5
R01秋SC「午後」
問1設問1（1） 7 9
問1設問1（3） 19 5
問1設問3（2） 2 3
問1設問3（4） 20 3
問2設問1（1） 8 4
問2設問1（4） 14 7
問2設問3 33 3
問2設問4（1） 28 2
問2設問4（3） 34 3
問2設問5（2） 28 5
問2設問6（2） 7 4
問2設問7（2） 1 9

逆引き「速効サプリⓇ」③
49
問1設問1（1） 37 7
問1設問1（3） 37 1
問1設問3（1） 37 8
問1設問3（2） 37 9
問1設問3（3） 37 10
問2設問1（1） 33 1
問2設問1（2） 29 3
問2設問1（3） 18 2
問2設問2（1） 18 12
問2設問2（3） 43 1
問3設問2（1） 8 5
問3設問2（2） 32 3
問3設問2（3） 32 4
問3設問2（5） 34 7
問3設問2（6） 34 5
問3設問3 34 4
H31春SC「午後」
問1設問1 17 3
問1設問2 26 1
問1設問3（1） 11 1
問1設問3（2） 33 4
問1設問4（1） 44 2
問1設問4（2） 44 4
問1設問5（1） 5 2
問1設問5（3） 31 3
問1設問6（1） 1 3
問1設問6（2） 24 13
問1設問6（3） 24 14
問2設問1 21 2
問2設問2（1） 30 2
問2設問2（2） 14 4
問2設問3（1） 30 5
問2設問3（2） 30 6
問2設問3（4） 21 8
問2設問5（1） 18 11
問2設問5（2） 18 10
問2設問5（3） 7 1
問2設問5（4） 23 2
問2設問5（5） 19 6
問2設問6（1） 14 5
問2設問6（2） 30 1
問2設問7 45 2

逆引き「速効サプリⓇ」④
50
問1設問1（3） 35 8
問1設問2（1）e 35 6
問1設問2（1）f 35 5
問1設問2（2） 35 10
問1設問3（1） 35 11
問1設問3（2） 35 7
問2設問2（1） 30 9
問2設問2（2）（a） 18 13
問2設問2（2）（b） 18 14
問2設問4（1） 3 8
問2設問4（2） 28 1
問3設問1 30 7
問3設問2 21 6
問3設問3 7 8
問3設問4 17 6
問3設問5（1） 27 4
問3設問5（2） 5 3
問3設問5（3） 27 3
H30秋SC「午後」
問1設問1 21 5
問1設問2（1） 4 1
問1設問2（2） 4 3
問1設問2（3） 8 2
問1設問3（1） 41 2
問1設問4（2） 31 4
問1設問4（3） 45 1
問2設問2（1） 3 2
問2設問2（2） 30 8
問2設問2（3） 25 1
問2設問3（1） 17 5
問2設問3（2） 39 4
問2設問3（3） 26 3
問2設問3（4） 17 2
問2設問3（6） 26 5
問2設問3（7） 25 3
問2設問5 措置 3 1

逆引き「速効サプリⓇ」⑤
51
問1設問2 35 3
問1設問5 35 1
問1設問6 35 9
問1設問8 35 13
問1設問9 35 2
問2設問1（1） 40 7
問2設問2（1） 30 4
問2設問2（2） 31 5
問2設問3（1） 14 10
問2設問3（2） 14 11
問3設問2（1） 13 1
問3設問2（2） 22 13
問3設問2（3） 19 7
問3設問3 13 4
問3設問4 6 3
問1設問1（1） 36 2
問1設問1（2） 36 3
問1設問1（3） 1 12
問1設問2 6 4
問1設問4（1） 1 11
問1設問4（2） 23 9
問1設問4（3） 14 3
問2設問1（1） 18 5
問2設問1（2） 2 6
問2設問1（3） 24 1
問2設問2 2 7
問2設問3 37 3
問2設問4（3） 36 4
問2設問4（4） 36 5
問2設問5 16 4
問2設問6 20 10

逆引き「速効サプリⓇ」⑥
52
問1設問2（2） 25 6
問1設問2（3） 32 6
問1設問2（4） 7 10
問1設問3（2） 5 6
問1設問3（3） 26 4
問1設問4 10 4
問2設問2（2） 37 11
問2設問3（1） 20 2
問2設問3（2） 36 1
問2設問3（3） 45 6
問3設問1（2） 29 1
問3設問2（1） 24 7
問3設問2（2） 24 8
問3設問2（3） 24 16
問3設問3（1） 3 6
問3設問3（4） 24 15
問1設問1（1） 23 1
問1設問1（3） 38 2
問1設問1（4） 34 2
問1設問2（2） 19 1
問1設問2（3） 24 9
問1設問3（1） 24 12
問1設問3（2） 23 7
問1設問3（3） 22 4
問1設問3（4） 22 5
問1設問3（5） 23 4
問1設問3（6） 1 14
問1設問3（7） 25 2
問1設問3（8） 3 3
問1設問3（9） 2 2
問1設問3（10） 34 10
問2設問1（1） 21 9
問2設問1（3） 10 1
問2設問2（1） 21 7
問2設問2（2） 6 5
問2設問2（3） 34 8
問2設問2（4） 34 6
問2設問2（5） 34 9
問2設問3（2） 8 6
問2設問4（1） 23 10
問2設問4（2） 10 2

逆引き「速効サプリⓇ」⑦
53
問1設問2 24 17
問1設問3（1） 28 3
問2設問1 18 3
問2設問2（1） 22 14
問2設問2（3） 19 2
問2設問2（4） 37 12
問2設問3（2） 22 11
問2設問3（3） 37 5
問3設問1 25 7
問3設問2（4） 41 3
問3設問2（5） 41 4
問3設問3 交通費精算サービス 13 3
問3設問3 グループウェアサービス 14 2
問1設問1（2） 17 4
問1設問2（1） 42 2
問1設問2（2） 42 3
問1設問2（3） 38 3
問1設問3（1） 38 1
問1設問3（2） 5 7
問1設問4（1） 12 1
問1設問4（2） 7 3
問1設問4（3） 7 2
問1設問5（1） 25 11
問1設問5（2） 17 1
問1設問5（3） 18 15
問1設問6（1） 20 7
問1設問6（2） 20 6
問1設問6（3） 43 4
問2設問1（1） 24 5
問2設問1（3） 30 3
問2設問2（1） 25 9
問2設問2（2） 25 10
問2設問2（3） 14 12
問2設問2（4） 25 8
問2設問3（1） 5 1
問2設問3（2） 45 3
問2設問5 45 4

逆引き「速効サプリⓇ」⑧
54
問1設問2（2） 24 2
問1設問3（1） 14 1
問1設問3（2） 34 1
問1設問3（3） 24 3
問1設問3（4） 31 2
問2設問2（1） 35 4
問2設問4（1） 35 14
問2設問4（2） 35 15
問3設問2（2） 9 2
問3設問3（1） 8 1
問3設問4（1） 12 3
問3設問4（2） 14 13
問1設問1（2） 23 5
問1設問2（1） 1 6
問1設問2（3）改善すべき不備 7 5
問1設問3（1） 24 10
問1設問3（2） 24 11
問1設問4（1） 19 3
問1設問4（2） 15 4
問1設問4（3） 19 8
問2設問1（2） 2 1
問2設問2（3） 1 5
問2設問2（4） 22 12
問2設問3（1） 27 1
問2設問3（2） 15 1
問2設問3（4） 1 10
問2設問4（3） 12 4
問2設問5（3） 4 4

逆引き「速効サプリⓇ」⑨
55
問1設問1（5） 37 2
問1設問2（1） 37 6
問1設問3（1） 31 1
問1設問3（2） 3 7
問1設問3（3） 37 4
問2設問1 40 5
問2設問2 22 7
問2設問3（1） 9 1
問2設問3（2）影響 29 2
問2設問3（3） 12 5
問2設問4 40 1
問3設問1（3） 42 4
問3設問1（4） 1 1
問3設問2（2） 33 2
問1設問1 20 5
問1設問2（1） 20 1
問1設問2（2） 4 2
問1設問3（1） 28 4
問1設問3（2） 22 6
問1設問4（1） 2 4
問1設問4（2） 2 5
問1設問5 15 3
問2設問1（1） 39 3
問2設問2 22 10
問2設問3（1）b 22 8
問2設問3（1）c 22 9
問2設問4 20 4
問2設問5（1） 11 2
問2設問5（2） 1 7
問2設問5（3） 22 2
問2設問5（4） 1 13

逆引き「速効サプリⓇ」⑩
56
問1設問1 21 4
問1設問2 1 4
問1設問3（4） 10 3
問1設問4 14 6
問1設問5 27 2
問2設問2（1） 8 3
問2設問2（3） 18 1
問2設問3（1） 16 3
問2設問3（2） 6 1
問2設問3（3） 15 2
問3設問2（2） 18 4
問3設問4（a） 1 2
問3設問4（b） 32 5
問1設問2（1） 5 4
問1設問2（2） 9 3
問1設問5 6 2
問2設問1（1） 32 7
問2設問1（2） 45 5
問2設問2（2） 21 1
問2設問3（2） 44 3
問2設問4（1） 32 1
問2設問4（2） 32 2
問2設問4（3） 44 1
問2設問5（1） 5 8
問2設問5（2） 18 16
問2設問6 16 2

おしまい
ご質問はチャットかTwitterにて
• 【ご案内】
• JP-RISSAにて「（仮称）情報処理安全確保支援士試験対策セミナー
#4「こう出たR3春セキスペ解答解説」」を開催する方向で調整中。
• 開催は7月中旬∼下旬を想定。
• GW明け頃，JP-RISSA経由で告知。合格・登録したら入会してね♡

「速効サプリ」情報処理安全確保支援士塾 #3

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Mehr von Naoki MURAYAMA

Mehr von Naoki MURAYAMA (10)

「速効サプリ」情報処理安全確保支援士塾 #3