当サイトでは、情報セキュリティスペシャリスト試験を独学で取得した管理人の経験をもとに、実践して効果のあった午前Ⅰ・Ⅱの勉強法午後Ⅰ・Ⅱの勉強法おすすめの参考書・問題集ゴロ覚えなど合格に役立つ情報を掲載しています。

また試験対策用として、午前Ⅱの過去問を掲載しておりますので、午前Ⅱ対策としてお役立て下さい。すべてではありませんが、なるべく解説も載せるようにしています。

なお、JavaScriptを使用しているページがございますので、ご使用のブラウザでJavaScript機能を無効にされている場合、正しく機能しない、もしくは正しく表示されないことがあります。ご覧になる際にはブラウザ設定でJavaScriptを有効にしてください。

サイトに関するお知らせ

2016年12月10日
通知サイトデザインをリニューアルしました。

2015年11月6日
更新高度試験の難易度比較

2015年10月25日
更新平成27年度秋期 午前Ⅱの出題傾向分析

2015年10月24日
更新午前Ⅱ 頻出用語ランキング

2015年10月21日
更新高度試験の難易度比較

2015年10月21日
更新試験本番をうまく乗り切るためのアドバイス

2015年10月21日
更新厳選!午前Ⅱ頻出問題25選

試験に関するお知らせ

2015年12月22日
受験料値上がり。平成28年度から受験手数料が5,700円に…
・IPAのサイトで詳細を確認

2015年12月18日
H27秋期 高度試験の合格発表日です。合格発表・成績照会

2015年10月21日
IPAのサイトにて、H27秋期試験 合格発表スケジュールが公表されました。

2013年10月29日
平成26年度春期試験以降、午前Ⅰ・午前Ⅱのセキュリティ分野の出題比率が高くなります。
・IPAのサイトで詳細を確認


午前Ⅱ 一問一答

SC H26 春 午前Ⅱ 問17

SSLに対するバージョンロールバック攻撃の説明はどれか。

  • SSLの実装の脆弱性を用いて,通信経路に介在する攻撃者が, 弱い暗号化通信方式を強制することによって,暗号化通信の内容を解読して情報を得る。
  • SSLのハンドシェイクプロトコルの終了前で, 使用暗号アルゴリズムの変更メッセージを,通信経路に介在する攻撃者が削除することによって,通信社が暗号化なしでセッションを開始し,攻撃者がセッションの全通信を盗聴したり改ざんしたりする。
  • SSLを実装した環境において,攻撃者が物理的デバイスから得られた消費電流の情報などを利用して秘密情報を得る。
  • 保守作業のミスや誤操作のときに回復できるようにバックアップしたSSLの旧バージョンのライブラリを,攻撃者が外部から破壊する。
  • 解答を見る
    正解:ア

    バージョンロールバック攻撃とは、通信プロトコルを古いバージョンに強制変更させ、古いバージョンの脆弱性を突いて攻撃する手法。

    オープンソースの暗号化ソフトウェアライブラリ「OpenSSL」 (ver 0.9.8 以前)には、バージョン・ロールバック攻撃の脆弱性が存在する。
    OpenSSLによる通信を行う場合、強制的に弱い暗号化方式に変更され、盗聴や改ざん等の攻撃を受ける可能性があります。

    参考サイト:JVN


    午後問題 一問一答

    SC H23 特別 午後Ⅱ 問2 設問3 (1) 改題

    Y社は、開発系プラットフォーム上でWebアプリケーションの脆弱性検査を実施した。
    Webアプリケーションの脆弱性検査の主な検査項目と内容を以下の表に示す。

    検査項目 検査する脆弱性の内容
    ( a ) HTML出力文字列のエスケープ処理が不適切な場合、攻撃者の作成した不正なリンクによってWebサイトを閲覧した利用者のブラウザ上でスクリプトが実行される脆弱性。
    ( b ) 利用者のブラウザによって、利用者の意図しないリクエストがWebサーバに送信され、ログイン中の利用者だけ許可されたWebサイトの機能が勝手に実行される脆弱性
    HTTPヘッダインジェクション 外部から渡されたパラメタをレスポンスのHTTPヘッダに反映する場合、不正なヘッダを生成されたり、レスポンスボディに不正な文字列を挿入されたりする脆弱性
    SQLインジェクション・OSコマンドインジェクション 入力フォームのパラメタなどへの不正な文字列挿入によって、SQL文やOSのコマンドが不正に実行される脆弱性
    パス(ディレクトリ)トラバーサル パス文字列の処理が不適切な場合、攻撃者の不正な入力によって、管理者がアクセスを想定していないファイルにアクセスされる脆弱性

    表中の( a ),( b )に入れる,脆弱性を表す適切な用語を答えよ。

    APIの解答例
    a :「クロスサイトスクリプティング」
    b :「クロスサイトリクエストフォージェリ」

    Webアプリケーションの脆弱性は、午後試験によく出題される。それぞれの脆弱性の特徴と対策は理解しておきたい。