令和7年春期 安全確保支援士試験 午前問題の結果とふりかえり
📝試験当日の所感(午前Ⅱ) 自己採点の結果は18/25でした(正解率72%)。 前半は午前Ⅱの過去問に出たものも多く、早いペースで解き進めていました。 しかし後半は自信がなくなり、最終的に合格点の6割に達しているかは不安でした。 前日に令和5年秋~令和6年秋までの3回分の過去問を解いており、正答率は9割近く取れていたので何とかなるかと思っていましたが、類似問題でも難易度が上がっていたように感じます。 印象に残った問題と気づき 特に、間違った問題や、分からなかった問題について、記載します。 問3 SHA-512/256の説明はどれか。 正解: ウ「入力データにSHA-512に基づいたハッシュ関数を1回適用し、512ビットの値を出力した後、256ビットに切り詰めて出力する。」 SHA-512/256は完全に初見でした。過去にも出題歴がないようです。 SHA-512/256は、「推奨候補暗号リスト」に挙げられているハッシュ関数6種のうちの1つです。 (SHA-512/256、SHA3-256、SHA3-384、SHA3-512、SHAKE128、SHAKE256) SHA-512/256の仕様はFIPS PUB 180-4の6.7に記載されており、「256ビットに切り詰めて出力する」と明記されています。これはあまり知られていない仕様ではないかと思います。 暗号強度を上げるためにこのような仕様になっているようですが、なぜ暗号強度が上がるかが気になります。 FIPS PUB 180-4(SHA-512/256の定義) 問9 公開鍵基盤におけるCPS(Certification Practice Statement)はどれか。 正解: ウ「認証局の認証業務の運用などに関する詳細を規定した文章」 試験中、「Practice=練習?」と考え、「どれを選べばいいのか」と悩みました。 ここでの「Practice」は「業務」を意味しており、Certification Practice は「認証業務」と訳せれば正解できた問題でした。 問12 NIST サイバーセキュリティフレームワーク(CSF) 2.0のコアには六つある。IDENTIFY, PROTECT, DETECT, RESPOND, RECOVERと、あと一つはどれか。 正解: ウ「GOVERN」 意味は「統治」。この問題も初出のようです。 CSF1.0ではコア機能は5つでしたが、2024年に発表されたCSF2.0で「Govern(統治)」が追加されました。 Governが追加された理由は、サイバーセキュリティが経営課題に格上げされたことを受け、CSFに統治の考え方が必要になったためと思われます。 NIST CSF 2.0 公式サイト 問13 IoC(Indicator of Compromise)に該当するものはどれか。 正解: ウ「あるネットワーク機器のログに残されたC&Cサーバとの通信履歴」 Indicator of Compromiseは「侵入の痕跡」と訳せれば正解に近づけました。 「Indicator=表示装置」と反射的に考えてしまいがちですが、「指標」「兆候」「兆し」なども意味します。 問19 スパニングツリープロトコルの機能を説明したものはどれか。 正解: エ「複数のブリッジ間で情報を交換し合い、ループ発生の検出や障害発生時の迂回ルート決定を行う。」 スパニングツリープロトコル(STP)は令和5年春、令和2年秋にも出題されており、頻出テーマです。 平成27年秋にもほぼ同一の問題が出ており、重要項目です。 この問題を通じて、STPがレイヤ2でループを防ぐための重要なプロトコルであることを再確認しました。 問20 HTMLフォームに入力されたデータはHTTPのリクエストメッセージのどこに含まれるか。 正解: イ「GETメソッドが使用される場合:リクエスト行、POSTメソッドが使用される場合:メッセージボディ」 私はGETメソッドの仕組みを誤解していました。 リクエスト行は以下の3要素で構成されます: ...