タグ「ipa」が付けられているエントリー

[総括]平成21年度秋期ネットワークスペシャリスト試験

| [総括]平成21年度秋期ネットワークスペシャリスト試験

すでに報告の通り,無事に平成21年度秋期試験において,ネットワークスペシャリスト(NW)に合格したので,総括したいと思います.すでに漏らしていますが,総括できる立場にはないです.

出題と採点
まず述べたいのは午前Iです.午前I受験者の突破率(該当試験受験者に対する合格者の割合)がわずかに36%しかありません.どうしたことだ!他の試験の状況も見てみると,情報セキュリティが36%,ITサービスマネージャが36%,システムアーキテクトが48%,ITストラテジストが55%という結果になっている.これはひどい.STやSAは高度区分の中でも比較的レベルが高い試験なのだが,それでも突破率は50%程度に低迷している.過去の資料は無くなっているので調べにくいが,H21春期のSC試験は午前I突破率が77%だった旨の記録がある.また,NWの午前II受験者は10222人で,午前Iが3414人であることから,実に午前II受験者の67%は午前I免除者である.

この結果から鑑みるに,高度区分を受験するに相応しい実力の持ち主は,順当に午前I免除となっており,午前Iの突破率が低迷しているのは,高度区分に対応する基礎的な知識が大きく欠落している人が多数いることに起因するものと思われる.午前Iは高度区分共通試験となっているので,幅広い知識を問われる反面,出題レベルは3であり,応用情報技術者試験(AP;旧ソフトウェア開発技術者)と同レベルの出題なので,午前Iが突破できないということは,高度区分を受けるに相応しい基礎知識がないと言い切って間違いない.

対して,午前IIは各分野毎の専門試験となり,レベル4の問題が出題されるが,突破率は88%であり,警戒するほどではない.午前Iを突破できれば,ほぼ問題なく午前IIも受かると思われる.しかしながら,突破率は100%ではないので,慢心しているものがいると思われる.なお,午前IIはSC試験との重複出題があるようなので,NWとSCは密接な関係にあることがわかる.多くの人は双方の取得を目指しており,どちらを先に受験するか程度の差しかないと思う.SCは年2回なので,受けやすいですね.

午後試験については,iTECの講評を紹介するにとどめたい.講評できるような立場にない上に,選択した問題以外は本当にわからなくて選択していない(逆に言えば,選択した問題は消去法で残されたに過ぎず,得意というわけでもない)ので,実に全く解説することができない.私の選択は午後Iが問2,3で,午後IIは問1です.講評によれば,選択眼は悪くないようです.

ところで,2chでも話題になっていますが,午後II問1のIPA公式解答例がよくわかりません.詳しく問題と照合して確認していなかったこともありますが,解答例と自分の解答を照らし合わせる限り,合格している気配は微塵もなく,こてんぱんにされたと思っていました.しかしながら,実際には70点という比較的まともな成績を収めていることから,別解があるかまたは相当甘い採点が行われたとしか思いようがありません.別解があること自体は構わないと思いますが,できることならば解答が発散しない方向に修正して欲しいです.どんな解答を求めているのかがいまひとつ判然としない問題や設定される前提条件が不十分で答えにくい問題がありました.

先に少し触れましたが,NW試験にはSC試験級のセキュリティ知識を問われることがあります.これは逆にSC試験でNW試験級のネットワーク知識を問われるので,お互い様と言えます.しかし,例えば午後II問1ではPKIが出題されており,単純なネットワークだけの知識だけで解くのは難しく,セキュリティの知識が必要になると思います.これは今後もこの傾向が続くと思われます.最早セキュリティは基礎知識の一部と見るべきだと思われます.その点からしても,NWとSCの両方を受験する意味は深いかと思います.

勉強方法
正直さっぱりわかりません.2chでは日経NETWORKがお勧めされていました.教材や対策本ではないですが,良い選択だと思います.継続的な勉強が必要であるという意味でも,月刊誌を選択するのは悪くないと思います.私自身が使った(嘘,買った)テキストは,技術評論社のパーフェクトラーニングです.実際問題,使っていないので,なんとも評価しづらいのです.書店でこれを選択した理由を述べますと,これまた古い話ですが,平成18年度試験においてSIPでけちょんけちょんにされたので,その悔しさをバネに,SIP/VoIPを解説している本を選んだまでです.なお,実際にはSIP/VoIPを厚く解説している対策本はチェックした中にはなかったので,対策本で勉強するのは難しそうです.それから,アイテックの徹底解説の2006年版は準備してありました.これは平成18年度に受験した際に使用したテキストです.ぶっちゃけ単なる過去問集ですが,解説は悪くないと思います.

個人的にお勧めの勉強法は,実際に手を動かすことだと思います.サーバを立てて,ネットワークを組んで,いろいろとやってみる.これが1番の勉強法だと思います.

まとめ:
今回は本当に無勉強で挑んだわけですが,合格できたということは,それなりに地力がついているのかなと思っています.サーバ管理やネットワーク管理で遊んでみるのも悪くないものです.

関連:
[参戦]平成21年度秋期情報処理技術者試験 - 4403 is written
[直前情報]平成21年度秋期情報処理技術者試験 - 4403 is written
平成21年度秋期ネットワークスペシャリスト試験 - 4403 is written
[結果]平成21年度秋期ネットワークスペシャリスト試験 - 4403 is written
情報処理技術者試験 本試験講評:本試験速報サービス (自動採点サービス) | iTEC (アイテック)

091221_nw01.png

あざーす!

平成21年度秋期の高度試験の1つであるネットワークスペシャリスト(NW)試験を受けてきた.無勉強だったことを予め言い訳させて下さい.専門家たるもの,勉強して受かるようじゃダメだと思っている.

午前I
春期SC合格に付き,免除です.受験票には明確に書いてない,というか誤解させるような書き方になってますが,午前I免除の人は午前IIが間に合うように行けばいいです.

午前II
たぶん簡単でした.過去問をやっている人なら余裕でしょう.解答が出てます.問3,14,24が死にました.問3はともかく,14は計算間違え,24は自分を信じ切れなかった.どうしようもないクズだな.とりあえず,午前は突破.

午後I
90分で3問中2問を選択して解答します.問1は「ネットワーク障害解決」 で,問2は「メールシステム移行」で,問3は「eラーニングシステム増強」でした.オレは問2,3を選択してきました.概ね,どの問題を選択するかは,穴埋め問題がどれほど埋められるかを目安にしているのですが,これほどまでに埋められなかったのは初めてです.問2のポート995はかなり苦しいです.2chでも評判です.オレはできたけど(自慢).しかしながら,自信がない.確証を持って午後Iを突破したといえない.この状況はかなりまずい.ちなみに,問1は図2を見た瞬間に放棄した.賢明.結果は聞くな.

午後II
2時間で2問中1問を選択して解答します.問1は「無線LANシステム構築」で,問2は「サーバ移設」でした.一応,両方とも解答欄を埋めてきたんですが,問1を選択しています.てか,問2はやや愚痴が書いてある・・・.穴埋めは埋めて,他の指定文字数で解答する欄は適当な愚痴が書いてあります.採点者の方はお楽しみください.問1選択だから,裏面を見ることはないかもしれませんが.じゃあ問1はできたかと言えば,そうでもない.IEEE 802.1Xの認証が出てきているけど,実は良くできてない.無線LAN関連でWEPの脆弱性についても出題されているけど,よくわかってない.

・まとめ
もうネットワークができるなんて言いません.完全に自信を喪失しました.無勉強とはいえ,こんなにできないとは思いませんでした.自分に自信が持てません.死ねばいいのに!

全国320943人の情報処理技術者試験フリークの皆様,勉強は進んでいますでしょうか?こんにちは,NW受験予定の4403です.

ご存じのように,いよいよ明日は毎年恒例の秋期情報処理技術者試験です.これまたご存じのように,テキストを購入したら満足する(安心する?)タイプの私は,今回も例に漏れなく穏やかな心です.今日はそんな穏やかな心の4403が初期レベルのままラスボスに挑む冒険について,説明したいと思います.

いや,そんなストーリーはないんですが,初期レベルのままです.もっと言えば,3年前に受験したときのままといった方がいいでしょうか.安西先生に言わせれば「まるで成長していない」です.しかも,装備として過去問集を買っているのですが,装備をしないというDQ初心者並のバカッぷりです.しかも,自覚している当たりが手に負えない.

さて,そんな初期レベルの私ですが,春期にSC合格しているので,午前Iは免除です.試験地が東大本郷でマイホームから近いので,ワンピースを見てからお出かけします.

まとめ:
たぶん,無勉強で挑みます.SCよりも酷い心構えです.試験なんつーのはよー,己の実力を見せびらかす場なんだよ!勉強してその時だけドーピングなんて男らしくねぇ!オレの死に様を見ろ!(ぇ

受かったから忘れていたけど,SC試験の講評がでている.秋試験以降の受験予定者は目を通しておくことを期待します.しかしながら,この講評が微妙です.

特に電子署名について,”推測した秘密鍵でメール本文を暗号化する”など,正確には理解していないと思われる解答が散見された.

平成21年度 春期 情報セキュリティスペシャリスト試験 採点講評 午後II試験(リンク先はPDF)

それはIPAがそのように説明しているからではないのか.

(2) 秘密鍵をキーとしてダイジェストを公開鍵暗号化方式で暗号化します。 → 署名データの作成

- 電子メールのセキュリティ - 3. 公開鍵暗号方式を使ってできること

2.2.3 秘密鍵による暗号化

2.2.2 においては、公開鍵で暗号化し秘密鍵で復号する方法を解説しました。これとは逆に、秘密鍵で暗号化して公開鍵で復号することもできます(図2-7)。公開鍵は誰でも取得できるため、秘密鍵で暗号を行っても 守秘性の確保にはなりませんが、秘密鍵が特定の個人のみ所有していることから、電子文書の認証と完全性の保証を実現することができます。これがデジタル署名(Digital Signature) と呼ばれる技術です。

PKI関連技術に関するコンテンツ

強調部分は私が強調しました.これはid:smoking186さんが分かりやすい解説をして下さっている.このように説明しているにもかかわらず,試験の講評では「正確には理解していない」と言われても困るどころの話ではない.そろそろこの誤解を生む解説は修正されるべきだと思うのですが,いかがでしょうか.

090804_nw01.png

秋試験はNWに再挑戦します.以前に受験したのは平成18年秋みたいなので,3年ぶりです.前回はSIPとVoIPにコテンパンにされたので,今回はそこを重点的に勉強したいと思います.なお,SC合格で午前Iは免除になるので,午前対策は過去問だけでいいかなって思ってます.対策本は技術評論社アイテックのどちらか1冊で挑もうと思います.SIPとVoIPを厚く説明している方にしようかなって.

ちょっと気になったんで,検証してみた.情報処理試験の高度区分は,午後試験で半分ずつ落としていくのは迷信か否か.各種情報は得点分布・評価ランク分布から.

PM 39.0    45.5
DB 45.9    45.3
ES 39.4    60.0
SC 47.3    51.3
AU 40.0    44.9

左から試験区分名(略称),午後I突破率,午後II突破率です.うーん.なんとも言い難い・・・.

本日は全世界的に平成21年度春期情報処理技術者試験高度区分の結果発表の日だったわけです.一応,情報セキュリティの端くれとして,合格しておきました.点数的にはバカ丸だしなので,ガッカリです.というわけで,初となったSC試験を振り返ってみたいと思います.なお,SC試験は年2回行われるようなので,是非とも秋試験に挑まれることを期待します.目指せ合格率100%!(後述)

採点と配点
採点と配点に疑問な点が残ります.まず,午前から,午前の自己採点に依りますと,午前Iが25/30=83%で,午前IIが21/25=84%だったのですが,実際のスコアはそれぞれ85点と84点でした.選択問題なので,自己採点が間違えているということはないはずなのですが・・・.問題なのは午後です.具体的な配点が出ていないので,厳密には分かりませんが,評価してみます.午後Iが86点(1,2選択)で,午後IIが66点(1選択)です.午後Iが思いの外に高得点だったことと,午後IIが思いの外に低得点だった点が気になります.特に,午後IIは34点も失っているというのがにわかに信じがたいです.正確な解答を写して帰っているわけではないので,細かい表現が異なっているとはいえ,解答例から考えても34点も失っているのは理解できません.こうなってくると,想像されるは配点調整です.配点調整があったかどうかを推測してみます.

まず考えるべきは合格率の統計です.得点分布・評価ランク分布を見ながら考えます.まず,SCの受験者総数は16094人で,午前I受験者は14944人なので,午前I免除は1150人と思われます.さて,午前I突破者は11536人(免除除く)なので,突破率は77.2%です.続いて,午前II突破者は11006人で,突破率は88.8%です.これより,午前IIが足切りとしてほとんど機能していないことが分かります.2ch情報に依れば,過去問だけで足切りラインを超えられたらしいので,意味がある試験とは思えません.試験時間が短く,出題数が少ない割に,扱う範囲は広いので,受験者の勉強は結構大変だと思います.当たり前のように解ける人だけを通したいという意思の表れでしょうか?

問題なのは午後です.午後I突破者は5041人で,突破率は47.3%です.続いて,午後IIの突破者は2580人で,突破率は51.3%です.最終的な合格率は16.0%でした.さて,ここで午後の配点は午後Iが各50点,午後IIは100点とだけ書かれていて,細かい配点がサッパリ不明です.となれば,この結果から鑑みて,合格率を想定した得点調整が行われたのではないかと邪推されます.

2chでもチラッと話題に上りましたが,合格率が不自然です.基本情報と応用情報が25%程度,高度区分が15%程度に調整されているのではないかという疑惑が浮上しました.この疑惑は,応用情報と監査の2点から見込まれます.応用情報は旧ソフ開相当なので,過去の推移表を見てみると,15%程度の合格率でした.監査は10%を超えるか超えないか程度の合格率でした.それがそれぞれ,26.1%と13.9%になっています.特に,応用情報の合格率が大幅増となっています.試験制度が変わったので,一概には言えませんが,不自然だと思います.

さて,SCの分析に戻りますが,配点調整疑惑が拭えません.過去の経験上,各試験で50%ずつ落として,12%程度の合格率としていたと思います.その辺はヘタレ系Dが私見を述べています.その点を考えると,今回も午後は50%ずつ落とすという作戦をとったとしても,違和感はありません.実際はどうかと言えば,47%と51%なので,それっぽいです.配点調整があったと思われます.

ここでいう配点調整というのは,複数の問題から選択する形式を取っているので,問題間の難易度を吸収するための配点調整ではなく,合格率を調整するための配点調整です.足切りラインが60点と決まっているので,合格率を決めているとすれば,配点で調整するしかないのです.どうにもそれが行われているような気がしてなりません.

しかしながら,その疑惑があったとしても,実際にはそれを確かめる方法が無く,仮にそれがあったとしても,我々ではどうすることもできないので,この問題は解決しません.唯一我々ができる手段は,受験者全員が合格するべく勉強し,完膚無きまでに素晴らしい解答を連発し,合格率を限りなく100%に近付けてみることです.もしも,それでも合格率が変動しないようでは怪しいです.新制度は足切りがハッキリと60点になりましたので,合格率は毎回大きく変動して然るべきだと思います.今後の推移に期待します.

勉強方法
ハッキリ言えば,あまり勉強してないんですが・・・.本は2冊買いました.典型的な買って満足するタイプです.

IMG_0045.jpg

買ったのは翔泳社の情報セキュリティスペシャリストと電機大の精選予想500題です.翔泳社は1/4くらいと過去問,電機大は80問程度しかやっていませんが,悪くないテキストだと思います.ご購入は上記アフィリエイトからどうぞ.ただ,電機大の精選予想500題は解答が間違っていたり,解説の間違いが何問かありました.正誤表を作るためにメモを取ったはずなんですが,見当たりません.記憶が確かなら,出版社に誤植報告をしたと思うので,運が良ければ直っているかもしれません.注意して読むべし.

次に午前対策ですが,試験要項を見てください.午前の出題分野と技術レベルが載っています.SCの場合,脅威なのはDBのレベル3とサービスマネージメントのレベル3ではないでしょうか?ただ,春期試験を見る限り,レベル3は大したことがありません.恐れるに足りませんでした.もっと言えば,DBレベル3を恐れて,SQLをかなり重点的にやった(苦手だからね)のですが,1問しかでなかった上に,簡単でした.これがレベル3!?ってところです.なんなら捨てても良いんじゃないでしょうか?かといって,今後も同じ傾向とは限りませんが.試験要項に書かれている以上,そのレベルの出題をされてもなんら文句は言えません.どっちにしても,過去問対策をしっかりやっておけば,足切りラインには載ると思います.費やした時間は嘘をつかない.

午後対策は難解です.ハッキリ言えば,どんな問題が出ても対応できるレベルじゃないと受かるのは難しいと言えます.ただ,午後Iは4問中2問選択に緩和されているので,不得意な問題を回避できる可能性が増えています.しかしながら,業務経験のない人には実運用系の問題はかなり厳しいです.午後Iは試験時間90分なので,1問30分で解けば3問解けますので,出来が良いものを2つ選ぶ戦略がいいんじゃないかと思います.午後IIも2問とも解く余裕はあると思いますので,両方解いて,良い方を選べば良いんじゃないでしょうか.ま.早く帰りたい(逃げ出したい)気持ちもあるでしょうから,午後IIを両方解くのは難しいと思います.ちなみに,試験前はセキュアプログラミングを大変恐れていましたが,これも脅えるほどではありませんでした.Perlの用例・解説が付録として付いていますので,その辺は覚えなくても大丈夫です.CASLもそうだけど,あの付録って,試験中に見ている人っているのかな?

まとめ:
今回に関して言えば,出題がそれほど難しくなかったのに,合格率16%なので,かなり厳しく採点されている印象があります.年に2回のお祭りですし,注目度の高い資格だと思うので,お友だちをお誘い合わせの上,受験されると良いと思います.

関連:
[結果]平成21年度春期情報セキュリティスペシャリスト試験 - 4403 is written
[直前情報]平成21年度春期情報処理技術者試験 - 4403 is written
平成21年度春期情報セキュリティスペシャリスト試験 - 4403 is written
[解答速報]平成21年度春期SC試験 - 4403 is written
[解答速報]平成21年度春期SC試験~午後編 - 4403 is written

090630_sc01.png

微妙な結果に・・・.午後2はPKIだったのに・・・.厳しい><.

200906301219追記:
503なので,得点分布を転載しときますね.

090630_sc02.png

200906301224追記:
合格者は2580人で,合格率は16.0%だそうです.予想外に渋い結果に・・・.

200906301243追記:
応用情報の合格率が前回18.8%から,26.1%に急上昇.ついに応用情報まで.

関連:
[直前情報]平成21年度春期情報処理技術者試験 - 4403 is written
平成21年度春期情報セキュリティスペシャリスト試験 - 4403 is written
[解答速報]平成21年度春期SC試験 - 4403 is written
[解答速報]平成21年度春期SC試験~午後編 - 4403 is written

200907030106追記:
合格証書が届いたよ!

IMG_0053.jpg

IPAから公式解答例が出たので,確認してみた.配点は各50点とか書いてあって,細かい配点が分からないので,合否判定は難しそう.

午後I
1,2,4を解答しているので,解答済みのすべてを確認してみた.出来の良さは4>2>1である.1,2で提出してあるはずなので,うーんな結果.まず問1は微妙に間違っている.設問1(4)と設問2(1)と設問3(1)が解答例と異なっている.中でも設問2は解釈を誤っているので,0点っぽい.他2つは大筋ではあっているが,細かい部分で正確な表現をしていないので,配点は低くなりそう.問2は設問2(2)がまずそう.正確に解答を写して帰ってきたわけではないのだが,書かれている断片から推測するに,たぶん外してる.ダメじゃん.そして,解いたけど選択しなかった問4はほぼ満点.ダメだこりゃ.ちなみに,問3は簡単だと予測していたが,解答例を見る限り渋そう.簡単すぎて得点調整かな?

午後II
問1を選択.設問1(f)は完全に間違えてる.恥ずかしい><.設問3が微妙なところ.オレ解答は間違っていないと思うが,解答例で言うところの「パスワードを堅牢に」という内容を2つに分けて書いたような内容なので,半分しか点が入らないかもしれない.設問5(3)については,オレの解答は間違っていないと信じているが,解答例の方がより適切な解答だよなぁと思う.いや,そもそも前提をはっきりとさせないからいけないんだ!リスクはオレの解答の方がでかいはずだ!(と反論)

まとめ:
びみょー.

関連:
情報処理推進機構:情報処理技術者試験:問題冊子・配点割合・解答例・採点講評(2009、平成21年)
[解答速報]平成21年度春期SC試験 - 4403 is written

今回新設したITパスポート試験は、10代から80代に至るまで、幅広い年齢層からの応募がありました。若年層の応募割合が高く、23歳以下の応募者が約4割を占めており、最も応募者が多かった年齢は17歳(4,091名)でした。一方で、社会人の応募者が7割以上を占め、応募者の平均年齢は29.2歳と、基本情報技術者試験の26.4歳、初級システムアドミニストレータ試験の28.0歳に比べ高くなっています。社会人としての経験が豊富な層の応募が多かったことから、合格率が高い水準になったと考えられます。また、最年少合格者は13歳、最年長合格者は82歳、満点(1,000点)獲得者は2名となっています。

情報処理推進機構:情報処理技術者試験:新着:記事

13歳でITパスポート保持者とか,将来が眩しすぎますね.満点が2名しかいない点は大変に気になりますが・・・.それはそれとして,パスポートがちょーかっこいいんですが.

ITパスポート

いいなぁ.これ欲しいなぁ・・・.上位区分の味気ない賞状よりも,こっちの方がいいなぁ・・・.秋に受けちゃう!?

午前I
25/30=83%

午前II
21/25=84%

午後I
未発表

午後II
未発表

まとめ:
勝利したかも?

関連:
情報処理推進機構:情報処理技術者試験:問題冊子・配点割合・解答例・採点講評(2009、平成21年)

200904212108追記:
iTECが午後の解答例を出しているんだが,素人が作っているんだろうか?これ,社内チェックを経ているんだとしたら,大恥ものですね.iTACも解答例速報をだしていますが,戦力が足りなさすぎです.

結局のところ,IPA公式が出るまでは,2chの情報が集合知的に概ねいい感じです.ただし,午後II問1はMD5でも128でもないから.多数決を取るとそうなっちゃうけど,絶対違うから.RSA-1024に,SHA-1だから.

平成21年度春期の高度試験の1つである情報セキュリティスペシャリスト(SC)試験を受けてきた.ほぼ無勉強だったことを予め言い訳させて下さい.専門家たるもの,勉強して受かるようじゃダメだと思っている.

午前I
高度試験共通の共通知識問題.全30問を50分で解きます.計算問題があるので,30分くらいかかります.まず,言い訳をさせてください.久しぶりの情報処理技術者試験だったので,忘れていましたが,午前対策の基本は過去問です.全く忘れていました.予想問題集500とかやってる場合じゃないね.そして,ハッキリ言わせてもらうと,9ページ目以降がボクを苦しめる.自分の感覚ではボーダーすれすれです.どっちの意味ですれすれかは言えない.

午前II
専門知識で全25問を40分で解きます.時間的にきつそうに思えますが,計算問題がないので,余裕綽々です.2ch情報によれば,過去問がかなり出ていたようです.過去問をやってないオレ涙目.個人的な感想としてはDBの出題が手緩かったのが良かったです.しかしながら,相変わらずボーダーすれすれです.ダメだこりゃ.

午後I
90分で4問中2問を選択して解答します.問1は「パケットログ解析」で,問2は「ソフトウェア脆弱性への対応」で,問3は「アプリケーション開発時の脆弱性対策」で,問4は「情報システムの特権管理」でした.オレは問1,2,4を解答して,出来が良かったと思われる1,2を選択してきました.だいたい1問30分です.ただ,終了直前に確認した限り,問3が簡単すぎです.CGIだったから,Perlのセキュアプログラミングだと思って回避したんですが・・・.全く関係なかった件について.そして,付録として,Perlの用例・解説が載っています.安心です.個人的な感覚では,問1,3を選択した人が勝ち組だと思います.

午後II
2時間で2問中1問を選択して解答します.問1は「公開鍵基盤の構築」で,問2は「情報セキュリティ管理」でした.もちろん,問1を選択.問2なんて,見てもいない.問1はPKIと暗号アルゴリズムの危殆化で,大変ホットな話題を扱っていました.危殆化の問題を知らないと設問1が大打撃を受ける仕組みになっていて,最早ホイホイ状態.退出可能時間になって,すぐに脱出しました.廊下の試験官(男女)がラブラブしててワロタw.気を抜きすぎだろJK.

・まとめ
午前試験対策は過去問をやるべき.忘れていた.結果の自信度は相変わらず,午後II>午後I>午前II>午前Iです.さぁ,午前の足切りを突破することができるだろうか.自分ができていないくせにこんなことを言うのもなんですが,全体的な印象を述べますと,簡単すぎです.新試験初年度は簡単の法則でしょうか?

ちなみに,早速iTACから解答速報が出ています.これを信じるなら,午前I,II共に8問しか間違ってないので,いけるはずです.個人的にはiTACの速報は誤解答が多いので,あんまり信じていない.

全国292904人の情報処理技術者試験フリークの皆様,勉強は進んでいますでしょうか?こんにちは,SC受験予定の4403です.よもや挫折寸前です.泣きそうです.

一応,受験する前から言い訳をさせていただくと,新試験制度はボクにとって,大変に不利です.何故かというと,午前区分がIとIIの2つに分かれてしまったということです.従来だと,基礎から専門まで,幅広く55問出題されており,そのおよそ6割を正解すれば良かったのです.しかし,今回から,午前I共通知識,午前II専門知識と分けて出題されるようになりました.これは何を意味するかと言えば,専門知識が満点だったとしても,共通知識が6割未満だと落ちるということを意味しています.さらに言えば,午前Iで足切り試合終了の可能性が濃厚です.平成20年度のSVを解いてみたんですが,トータルでは(無勉強で)63%だったので,従来通りなら通る予定なんですが,前半30問中14問も間違えているので,新制度では討ち死にです.後半の専門知識で満点を出しても無駄無駄無駄ッ!

というわけで,最大の難関は午前Iであることは明らかです.それから,午後Iは4問中2問,午後IIは2問中1問選択らしいので,おそらく問題にならないと思います.問題になるとしたら,規格・法律・標準化とセキュアプログラミングでしょうか.Perlの正規表現攻撃とか,マジ勘弁.正規表現Tips集を持ち込み許可にして下さい!苦手っす><;.

えー.ほぼ,無勉強で突入してきます.過去問もH20年度SVだけで終わりそうです・・・.

平成21年度春期情報処理技術者試験の応募者総数は29万2842人。前年同期比12.1%増、3万1670人増と、7年ぶりに増加した。今期開始の新試 験、「ITパスポート試験」(旧制度のシステムアドミニストレータ試験に対応)の応募者数は4万6802人で、システムアドミニストレータ試験では過去最 高の応募者数を記録した1994年秋期(4万316人)を超えた。

ITパスポート試験の応募者数、シスアド過去最高数を抜いた - @IT

ITパスポート(IP)の受験者は旧初シス(AD)を受けるレベルの人+αという感じみたい.ADは移行期間で21年度春期で最後.ADとIPを足すと74666人で,AD前年同期比で約150%である.大人気だ.複数科目同時受験が可能であれば,IP試験は受けてみたかった.ネタとして.ITのパスポートすら持っていないIT系企業人や専門家や教育者や研究者って・・・,ねぇ.

それはそうと,高度試験の情報セキュリティスペシャリスト(SC)は前年同期比で111.5%だそうだ.比較対象はSVのようだ.SCはSV+SUのはずだから,とんとんぐらいではないのだろうか.SUは秋期だから,同期比にできないけど・・・.

さて,多くの試験は各時間区分で満点の60%以上を取れば合格になるので,受験生の皆さまにおかれましては合格率100%を目指しましょう!って宣言して,足を引っ張りそうなオレガイル.

関連:
「平成21年度春期情報処理技術者試験」の応募者数について - 情報処理推進機構:情報処理技術者試験:新着:記事

ホッテントリメーカで77usersです.ちょっとメールのセキュリティについて,軽く説明してみようかと思います.ちなみに,spamメールについては一切触れる予定はありませんので,あしからず.

パスワードを守るAPOP
メールを受信するためのプロトコルとして,POP3があります.POP3とはPost Office Protocol version 3の略でして,メールサーバからメールを取り出すためのプロトコルです.メールを取り出すプロトコルですので,誰でも彼でも使えてしまっては,自分宛のメールを他人に読まれてしまいます.そのため,メールを取り出す際の認証が必要になる.しかしながら,POP3は認証時のパスワード暗号化を提供しません.これはつまり,パスワードが平文で流れることを意味します.HTTPでいうところの,Basic認証に相当します.そのため,通信路上で盗聴が行われるとパスワードはばれてしまいます.これは結構イヤな感じです.イヤな感じですが,HTTPではBasic認証が未だに用いられていることを考えれば,大した差はないといえば無いような気がしますが・・・.

さて,そんなパスワードが平文で流れてしますPOP3の認証を安全にするプロトコルがAPOPです.APOPについては杜撰な研究者さんが書かれているので,まま引用.

APOP とはAuthenticated POP のことで、POP のようにパスワードを生でやりとりするのではなく、APOPサーバから送られたチャレンジ(乱数)に対し、ユーザはチャレンジとパスワードの連接のハッ シュ値をサーバに送り返すことで、安全なパスワード認証を実現しています(ただしメイル本文は平文のままです)。

杜撰な研究者の日記: APOP

ここで説明されているとおりです.つまり,HTTPでいうところのDigest認証に相当します. APOPによって,パスワードが平文で流れることがなくなることはお分かり頂けると思います.これで安心!ではないんです.昔はこれで安全だったんですが,APOPに用いられているハッシュ関数であるMD5の危殆化によってパスワードが復元されるという攻撃を受けてしまいます.このAPOP上におけるMD5コリジョン攻撃はLeurentやSasakiらによって,ほぼ同時期に行われているという話も,杜撰な研究者さんが詳しくされているので,繰り返しません.この問題に対して,2007年の話になりますが,IPAは以下のような注意喚起を行っています.

独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原武平太)は、メールの受信に利用される認証方式の一つであるAPOP(エーポップ)方式におけるセキュリティ上の弱点(脆弱性)に関する注意喚起を2007年4月19日に公表しました。

(中略)

プロトコル(通信手順)上の問題であり、現時点で根本的な対策方法はありません。

回避方法は「『POP over SSL』や『ウェブメール』など、SSLによる暗号化通信を利用する」ことです。回避方法が取れない場合「メールのパスワードを他のシステムのパスワードと同一にしない」ことで悪用された際の被害を軽減できます。

情報処理推進機構:情報セキュリティ:脆弱性関連情報取扱い:APOP方式におけるセキュリティ上の弱点(脆弱性)の注意喚起について

ということで,APOPはパスワードを通信路上に平文で流すことなく認証が可能なプロトコルですが,ハッシュ関数の危殆化によって,その安全性に問題が発生したのでした.

通信路ごと暗号化してしまえPOP over SSL
そこで,次の話です.IPAでも回避方法としてあげている,over SSLです.これは簡単で,POPをSSL化してしまえ,えいや!というものです.これをPOP over SSLといいます.POPSと呼ばれることもありますが,一般的かどうか・・・.これはHTTPでいうところのHTTPSに相当します.これは最早,SSLで通信路が暗号化されますので,パスワードが平文で流れる云々もなにも,メール本文すらも暗号化されて通信路を流れます.当然,SSLの安全性に依存します.POP3やAPOPに比べて,POP over SSLが如何に安全になるかは,@ITの表がわかりやすいと思います.これで,通信路上での盗聴の問題は解決しました.

とは問屋が卸さない.やはり同様にして,MD5コリジョン攻撃の問題がやってきました.先日書いた,MD5なSSL証明書の問題です.SSL証明書の問題は残りますが,これは別に,POP over SSLに特化した話ではなく,SSL全般の話なので,詳しくは触れません.そういうことがあるという話だけ.

ちなみに,IPAの回避方法でも述べられていますが,案外Webメールは安全です.通信路がSSLで暗号化されている的な意味で.GmailならHTTPSで接続されると思います.注意しないとHTTPで通信してたりするけど.素のPOP3やAPOPを使うくらいなら,HTTPSなWebメールの方がいいかもしれません.HotmailとYahooメールはSSLにならないなぁ・・・.優しくないなぁ・・・.

こうしてメールのセキュリティは確保されました?
これで,クライアント-サーバ間の通信路の安全性は守れられました.パスワードも安全そうです.良かった良かった.で終わらないから,このエントリを書いているんです.では,どこがダメなのでしょうか?クライアント-サーバ間が安全になったにも関わらず・・・.

そうです.サーバ-サーバ間の通信が安全ではありません.もっと言えば,サーバが安全ではないかもしれません.そうです.APOPでパスワードの安全性は確保されますが,メール本文の暗号化はされません.POP over SSLは通信路上において,メール本文も暗号化されていますが,メールサーバ上では暗号化されていません.これは何を意味するかと言えば,サーバ-サーバ間の通信においては,メール本文が平文で流れていること,そして中継に利用されたメールサーバはメール本文を平文で見ているという点です.厳密には,普通のテキストが流れているわけではなく,BASE64などのエンコードがかかった状態で流れていますが,符号化は暗号化ではないので,平文と考えて問題がありません.

つまり,メール本文は暗号化しない限り,平文で流れます.メール本文は暗号化しない限り,平文で流れます.重要なことなので,2回書きました.

メールを暗号化するPGPとS/MIME
メール本文を暗号化しない限り,安全にならないのであれば,暗号化すれば良いんだ.簡単なことです.そのソリューションを提供するのが,PGPS/MIMEです.PGPはPretty Good Privacyの略で,公開鍵暗号方式を用いていますが,Web of Trustと呼ばれる仕組みによって,信頼を得る方式になっています.対して,S/MIMEはSecure/MIMEの略で,公開鍵基盤(PKI)アプリケーションです.この2つの方式の大きな差は,公開鍵の信頼性をどのように保証(確認)するかという違いです.この2方式の差も,今回書きたいこととは直接関係がないので,詳解は避けます.

結論だけ言いますと,PGPやS/MIMEを利用することで,メールを暗号化することができます.それだけではなく,ディジタル署名を付けることもできます.これによって,盗聴の脅威を防ぐだけではなく,メール本文の改ざんを防ぐこともできますし,送信者の否認を防止することができます.こうして,メールは安全になりました.

はて?あなたは今までに1度でも,PGPやS/MIMEによって暗号化されたメールを受け取ったことがありますか?無いのではないでしょうか.ボクは学生時代に「試して見たがり衝動」で,PGP暗号化/署名を試しています.S/MIMEも第四種オレオレで良ければ,院生時代に試しています.でも,それだけです.「試してみた」レベルです.何故,このようなセキュリティソリューションが利用されないのでしょうか?300字以内で答えなさい(配点:70).

ちなみに,電子メールに署名を付ける人は少なからずいます.これはメール送信者のセキュリティ意識の高さを示していると言えるでしょう.しかしながら,何故かそのような人においても,暗号化されたメールは送ってきません.何故なのでしょうか?200字以内で答えなさい(配点:30).

ちなみに,MUFGのメールにはS/MIMEの署名がついていますGmail S/MIMEというFx用のアドオンを導入すると,簡易的ながらGmail上で署名を検証できます.

090222_smime01.png

まとめ:
POP3ではパスワードが平文で流れます.APOPはそれを防ぎますが,安全ではなくなりました.POP over SSLはクライアント-サーバ間の通信をSSLによって暗号化するので,安全です.しかしながら,クライアント-サーバ間以外の通信に保証がないので,暗号化されていないメールは中継中に盗聴可能です.そのため,PGPやS/MIMEでメールを暗号化すると良いです.

何が書きたかったかっていうと,2点です.内部ではPOP3でメールが運用されています.外部からはVPN接続しないとダメなので,このネットワーク構成は安全です.っていうのは,安全ではありません.敵は外からのみ来るのではなく,内部にも存在し得ます.逆内弁慶はセキュリティ上,安全ではありません.

もう1点はGmailを否応なしに毛嫌いする人です.Googleは個人情報を集めまくっている.きっとメールも覗かれているに違いない.その証拠にメールの内容に合った広告が出るじゃないか!という主張.これ自体はその通りでしょうが,だったら平文でメールを流さないで下さいといいたい.Gmailを使わないとしても,中継サーバがメールの中身を見ていないとは限らない.Gmailだからというのはリスクの差を生みません.

シングルサインオン的な流れが見えてきたり,パスワードマネージャ等で色々なパスワードを集中管理する人が全世界17億人くらいいるんじゃないのかなと勝手に思っているわけですが,そういう場合においては,マスターパスワードと呼ばれる大本のパスワードが漏れたりばれたりすると,尋常じゃない被害が発生してしまうような時代になりました.一応ですね.不正アクセス行為の禁止等に関する法律という素晴らしい法律があるので,ノーガード戦法でいいんじゃないのかなって,思ったりもしています.だから,世の中は良くならないんですよ.技術で守れるところは,技術が守らないといけないと思うんです.法は完璧じゃないですよ.法を犯すから,犯罪があるわけで(以下ry.

閑話休題.ネット上のパスワードが8文字以上なのには理由があるそうです.

パスワードで入力できる種類は、アルファベット小文字と英数字、それに特殊記号を合わせても、40個ほどしかありません。

ネット上のパスワードが8文字以上の理由 | エキサイトニュース

想定がよくわかりません.常識的に考えて,パスワードに入力されるアルファベットは大文字小文字を判別すると思うので,その時点で52個ほどあると思うんです.大文字小文字は判別するけど,みんなが面倒くさがって小文字しか使わないという主張は理解できますが,最初から意図的に排除してパターン数を減らしているのは理解できません.それはそれとして,アルファベット小文字が26個,数字が10個で,足したら36個.特殊記号を合わせても40個ほどしかないそうなんですが,どうみても,もっといっぱいあるわけですが・・・.まぁ,それは目を瞑ろう.

例えば4文字だと、考えられるパスワードの種類は40の4乗で256万通り。6文字なら約41億通り。(中略)でもパスワードが8文字なら、全部で約6兆6千億通り。こんな桃鉄の世界でしか経験したことがない桁数(以下略)

ネット上のパスワードが8文字以上の理由 | エキサイトニュース

ここではパスワードに使える種類とその文字数で,どれだけのパターンが作れるかを示しています.こんな桃鉄的な確率で,パスワードが破られるといっています.えぇ.全パターンを順番に試していく,総当たり攻撃です.ブルートフォースアタックと呼ばれることもあります.地味な作業です.地味ですが,絶対です.ですから,8文字にすれば,総当たりで見つかる確率は6.6兆分の1ですよ,と言っておられる.正にその通りです.

ちなみに、破られにくい適切なパスワードって何だろう?
「例えば“abcdefgh”という文字をパスワードとしたとき、“abcd@@efgh”など、間に特殊文字を入れるだけで、解析される確率は数十分の1になります」

ネット上のパスワードが8文字以上の理由 | エキサイトニュース

ここから突然にして,話が変わっている.今までは総当たり攻撃に対して,耐性を上げるには文字数を増やして,パターン数を増やしましょうと主張してきました.しかしながら,今度は「破られにくい」という次元の話に落っこちました.これは辞書攻撃を想定していると思われます.辞書攻撃はパスワードに設定されやすい候補や英単語などを予め準備しておき,それを片っ端から試していくという,総当たり攻撃に比べれば圧倒的に効率が良さそうな攻撃手法です.この話がここで出てくるのはおかしいです.フェアじゃないです.

それは何故か.この部分の主張は,特殊文字を混入させることで,パスワード解析に対する耐性を上げると言っていますので,当然ながら辞書攻撃を想定していると思われます.しかしながら,前半部分では先に示したように,総当たり攻撃を想定し,全パターン数を増やすにはパスワード長を長くすればいいと述べており,特殊文字を含めた上で,パターン数を試算しています.何が言いたいかというと,前半の総当たり攻撃に対する攻撃成功確率は特殊文字を使うことを含んでいます.なのに,後半では突然にして,特殊文字を使えば,安全になるぜ!と主張しています.条件が揃っておらず,フェアじゃないです.

特殊文字を使えば解析確率が数10分の1になるというならば,パスワード長は短くても,特殊文字ばかりのパスワードを設定すればいいんでしょ!という主張がまかり通ってしまう.それは総当たり攻撃に対して,なんら効果を発揮しない.辞書攻撃に対しては意味があるのだが・・・.

というわけで,前半と後半で前提が異なっているようなので,注意して読みましょう.個人的な意見を述べるならば,パスワード長は長くすればするほど,解析されにくくなります.それは総当たり攻撃でも辞書攻撃でもです.なので,とにかく,長いパスワードを用いればいいんじゃないでしょうか.オススメはフレーズです.パスワードの安全性は複雑さよりも長さが勝るという研究成果もあります.ボクは,この考え方を支持します.

関連:
ITmedia Biz.ID:優れたパスワードの選定と記憶法
本当に怖い「パスワード破り」:ITpro
最強のパスワードを作る:ITpro

情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイト運営入門

やっと落とせたので,試してみた.目がシパシパする.早く寝たい.眠い.

capture_19062008_230152.png

同人系エロゲ風の使い慣れたインタフェイスが秀逸.

capture_19062008_230314.png

このインタフェイスは・・・.4403を名乗れない件について.

capture_19062008_230433.png

ヘタレ君,テラ好青年www.実在の人物と違いすぎてて,ギャッピングー.このソフトの収録内容は以下の通り.

「安全なウェブサイト運営入門」で体験する7つの事件

1. 電子メールの誤送信
2. クロスサイト・スクリプティング
3. SSL(Secure Socket Layer)サーバ証明書の期限切れ
4. ウイルス感染
5. サービス運用妨害 (DoS: Denial of Service)
6. セッション管理の不備
7. SQL(Structured Query Language)インジェクション

情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイト運営入門

で.攻略していくんです.眠いので途中の話は端折りまして,結果だけ.

capture_19062008_234348.png

中途半端w.中途半端なんだが,何がBなんだろう.営業利益がBなのか,セキュリティ達成度がBなのか.なんなんだろう.これって,「安全なウェブサイトの運営」を目的としているんじゃなかったのかな?なんかこの結果だけ見ると,売上超重要!って見えてしまうんだが・・・.後日,売上重視の選択肢を選んで,どうなるのかを追試します.

っていうか,こんなわけわからん修了証よりも,どこの選択肢の選択が正しくなかったとか,そういう評価の方がいいと思うんだけど,如何ですかね?これじゃぁ,選んだ選択肢が「安全なウェブサイトの運営」として正しかったかどうかがわからないような・・・.どっちを選んでもダメそうな選択肢もあったし.

それから蛇足ですが,エロゲ的インタフェイスの視点からいうと,Ctrlスキップとかオートスキップがあると楽です.インタフェイスはマジ重要.

200806201740追記:

眠くならないうちに追試しておきます.売上重視の選択ではないですが.

capture_20062008_163846.png

日本語的によろしくない.「『専用のアドレス』が見えない配信システム」なのか,「専用の『アドレスが見えない配信システム』」なのか.文意を汲むと後者であるようだが,だったら「アドレスが見えない専用の配信システム」と書くべきである.というか,今回の件の場合,アドレスが見えないことって重要なの?

注文フォームがhttpな件.

capture_20062008_164605.png

このフォームにはご注文商品・お名前・メールアドレス・郵便番号・住所・お支払方法・ご意見・ご感想を入力するらしいので,httpsにしておかないとまずいんではないでしょうか.って,IPAの安全なウェブサイトの作り方 改訂第3版P.44に書いてありました.

capture_20062008_164622.png

送信ボタンを押しても,やっぱりhttp.XSS以前の問題のような・・・.こういう作りは良くないですよって話かな.

次はどの選択肢を選ぼうか迷ってしまうもの.サーバにウィルスが仕込まれた話.

capture_20062008_171418.png

「ホスティング会社に頼んでウィルスだったら削除してもらい,詳細の調査を依頼する」が正しいと思う.一応,選択Bが正しそうだから,それを選ぶと,こういわれてしまう.

capture_20062008_171632.png

削除依頼もするんじゃん.選択Aでも「~併せて調査依頼もしてもらえる?」って言ってくれそうなもんだが・・・.

一応,Aランクになりました.Bランクの時は何がまずかったのかが,今ひとつわかりません.そこのところ,ハッキリとして欲しいです.間違った選択肢を選んだら「ヴェヴォ!」とかの不快な音を鳴らして,画面が赤点滅とか,そのくらいの演出が欲しいです.

ちなみに,バッドエンドは修了証が出ないと報じられていますが,そんなことはございません.

capture_20062008_173300.png

Fランクですが.第2話で死ねます.IPAを無下に扱ったからだと思います.

プロフィール

e-m@il @ddress