令和5年の春のSCを受けたので回答を載せておく。

令和5年の秋から午後の試験が統合されるので注意

情報処理安全確保支援士試験及び情報処理技術者試験（高度試験の組込み分野）における出題構成等の変更について | 新着情報 | IPA 独立行政法人 情報処理推進機構

2023/6/29 追記

午後1: 78点
午後2: 82点

 

問題文はこちら

www.ipa.go.jp

 

午前は過去問道場、午後対策に↓の本で勉強した。

bookplus.nikkei.com

午後1 問1

問題のコードはJavaっぽいが明言されていないのでなるべく図のコードでされている表現をまねした。

設問1

(1)

13行目

(2)

in

(3)

c: " WHERE head.order_no = ? "

d: PreparedStatement stmt = conn.createPreparedStatement(sql);

図4のコードから stmt が PreparedStatement で宣言されているのは確実なのだが、肝心の生成が省略されているためエスパー回答。

setStringを使うためにはsqlの内容を知っていないといけない、executeQueryの引数がないので生成時にsqlを引数に渡しておいた。

文中の表現で回答するなら↓になると思うが、これで満点はもらえなさそう。

PreparedStatement stmt;
(省略) //PreparedStatementの作成

設問2

(1)

orderNo

(2)

static

(3)

レースコンディション

(4)

g: String orderNo

h: new

図1のコードでインスタンスの生成にnewが使われているため

i: getOrderInfoBean(orderNo)

(5)

得意先コード

午後1 問3

設問1

(1)

a: ア

b: イ

c: ウ

(2)

Ｌサービスに設定したＩＰアドレスからのアクセスだけが許可されるため(33文字)

 

送信元制限機能という文言を入れた方が良かった。

送信元制限機能に設定したＩＰアドレスからのアクセスだけが許可されるため　など

設問2

(1)

d: ア

e: ウ

f: イ

(2)

オ

イのCASB(Cloud Access Security Blocker)が正答

設問3

(1)

本社のプロキシサーバを経由せずインターネットに接続する(27文字)

 

営業所のWebブラウザからインターネットのアクセスが変更されているので↓のほうが良かったかもしれない。

Webブラウザからは本社のプロキシサーバを経由しない　等

(2)

送信元制限機能の許可するIPアドレスに営業所のグローバルIPアドレスを追加する(39文字)

(3)

イ

(4)

h: 6

i: 2

(5)

あ: 4

い: 3

j: https://△△△-a.jp/

k: SaaS-a

l: 許可

m: 外部ストレージサービス

n: 任意

o: 禁止

午後2 問1

設問1

資産管理システムに登録されたWebサイトの担当者に聞く(27文字)

 

初めは、設定や仕様をから取得するみたいな回答にしていたが、問題文の後半では会社に聞きに行っていたため回答を変えた。

設問2

(1)

a: イ

b: ウ

(2)

(2-3)

(3)

アンケート入力1のURLの拡張機能設定画面を開き、拡張機能設定に、アンケート確認のURLを登録する(49文字)

 

4ページの(2-3)に記載の登録方法に画面名を入れて作成

(4)

検索結果が1件以上存在する値(14文字)

設問3

(1)

ウ、エ

(2)

A

同じ会員で5回連続で間違えるとアカウントがロックされるため(29文字)

C

ある会員が1つのキャンペーンに申し込めるのは1回だけのため(29文字)

 

どのパラメータが同じで何回送るとエラーになるのかという表現のほうが良かったかもしれない。
会員のリクエストパラメータ名が書かれていなかったのでよくわからない。

設問4

(1)

スクリプトからcookieを取得する操作(20文字)

 

JSの名称が問題文中に存在するので、JavaScriptから～の方が良いと思われる。

(2)

画面に表示されているログイン者のみが参照できる情報を攻撃者のサーバに送信する(38文字)

 

問題文で明示されている盗まれたら困る情報はメールアドレスぐらいだが、最大限の表現に変える。

盗む以外の攻撃だと、パスワードを変更させる、キャンペーンに勝手に申し込ませるなどができそう。

設問5

(1)

リクエストのパラメータgroup_codeを送信しない(27文字)

(2)

e: JSESSIONID

f: group_code

設問6

(1)

資産管理システムの登録申請にWebサイトのURLの一覧を含めるように変更する(38文字)

 

URLの一覧ではなく、診断に必要な情報の方が良かった。

(2)

B社への問い合わせ履歴をA社グループ横断で管理し、グループ会社間で問い合わせを参照可能にする(46文字)

 

問い合わせはグループ会社がそれぞれ直接行うため、共有しておかないと毎社で重複した内容が送られてしまうと思われる。