📝試験当日の所感(午前Ⅱ)
自己採点の結果は18/25でした(正解率72%)。 前半は午前Ⅱの過去問に出たものも多く、早いペースで解き進めていました。 しかし後半は自信がなくなり、最終的に合格点の6割に達しているかは不安でした。
前日に令和5年秋~令和6年秋までの3回分の過去問を解いており、正答率は9割近く取れていたので何とかなるかと思っていましたが、類似問題でも難易度が上がっていたように感じます。
印象に残った問題と気づき
特に、間違った問題や、分からなかった問題について、記載します。
問3 SHA-512/256の説明はどれか。
正解: ウ「入力データにSHA-512に基づいたハッシュ関数を1回適用し、512ビットの値を出力した後、256ビットに切り詰めて出力する。」
SHA-512/256は完全に初見でした。過去にも出題歴がないようです。 SHA-512/256は、「推奨候補暗号リスト」に挙げられているハッシュ関数6種のうちの1つです。 (SHA-512/256、SHA3-256、SHA3-384、SHA3-512、SHAKE128、SHAKE256)
SHA-512/256の仕様はFIPS PUB 180-4の6.7に記載されており、「256ビットに切り詰めて出力する」と明記されています。これはあまり知られていない仕様ではないかと思います。 暗号強度を上げるためにこのような仕様になっているようですが、なぜ暗号強度が上がるかが気になります。
FIPS PUB 180-4(SHA-512/256の定義)
問9 公開鍵基盤におけるCPS(Certification Practice Statement)はどれか。
正解: ウ「認証局の認証業務の運用などに関する詳細を規定した文章」
試験中、「Practice=練習?」と考え、「どれを選べばいいのか」と悩みました。 ここでの「Practice」は「業務」を意味しており、Certification Practice は「認証業務」と訳せれば正解できた問題でした。
問12 NIST サイバーセキュリティフレームワーク(CSF) 2.0のコアには六つある。IDENTIFY, PROTECT, DETECT, RESPOND, RECOVERと、あと一つはどれか。
正解: ウ「GOVERN」
意味は「統治」。この問題も初出のようです。 CSF1.0ではコア機能は5つでしたが、2024年に発表されたCSF2.0で「Govern(統治)」が追加されました。
Governが追加された理由は、サイバーセキュリティが経営課題に格上げされたことを受け、CSFに統治の考え方が必要になったためと思われます。
問13 IoC(Indicator of Compromise)に該当するものはどれか。
正解: ウ「あるネットワーク機器のログに残されたC&Cサーバとの通信履歴」
Indicator of Compromiseは「侵入の痕跡」と訳せれば正解に近づけました。 「Indicator=表示装置」と反射的に考えてしまいがちですが、「指標」「兆候」「兆し」なども意味します。
問19 スパニングツリープロトコルの機能を説明したものはどれか。
正解: エ「複数のブリッジ間で情報を交換し合い、ループ発生の検出や障害発生時の迂回ルート決定を行う。」
スパニングツリープロトコル(STP)は令和5年春、令和2年秋にも出題されており、頻出テーマです。 平成27年秋にもほぼ同一の問題が出ており、重要項目です。
この問題を通じて、STPがレイヤ2でループを防ぐための重要なプロトコルであることを再確認しました。
問20 HTMLフォームに入力されたデータはHTTPのリクエストメッセージのどこに含まれるか。
正解: イ「GETメソッドが使用される場合:リクエスト行、POSTメソッドが使用される場合:メッセージボディ」
私はGETメソッドの仕組みを誤解していました。 リクエスト行は以下の3要素で構成されます:
- HTTPメソッド(GET, POSTなど)
- リクエスト対象(URLなど)
- HTTPバージョン
GET /search?q=example HTTP/1.1
HTMLフォームに入力されたデータは、リクエスト行のリクエスト対象に含まれます。 上の例だと、リクエスト対象:/search?q=example、入力されたデータ:q=example となります。
問22 静的解析ツールを導入するOSSはどれか?
正解: エ「SonarQube」
これも初見問題で、過去の出題には見当たりませんでした。
SonarQubeは、ソースコードを自動解析し、品質やセキュリティの問題を可視化できる**静的解析ツール(SAST)**です。 今回の午後問題にもSASTが出題されており、令和3年秋 午後Ⅰ 問1において「静的解析ツールでSQLインジェクションなどの脆弱性を早期に検出する」という記述があります。
ちなみに、私が答えとして選択したJenkinsとは、「継続的インテグレーション(CI)と継続的デリバリー(CD)の自動化を支援するためのオープンソースの自動化サーバー」でした。SonarQubeと組み合わせて使用することが多いようです。
✨最後に
今回の試験では、従来の知識に加えて、最新技術や制度の理解が求められていると強く感じました。 過去問の繰り返しだけでは対応しきれない部分もあり、「なぜそうなるのか」を深掘りする学習の重要性を実感しました。
この振り返りをもとに、午後問題の対策や、次回の試験準備にもつなげていきたいと思います。 同じようにチャレンジされている皆さんの参考になれば幸いです!