午前

miraiやblock chainやVRなど、旬の技術が出題されていたのが印象深かったです。

miraiについてdev.toに英語で書いてみました

dev.to

午後

バッファオーバーフロー

C言語とバッファオーバーフロー脆弱性について書かれた問題が出ました。

バッファオーバーフロー脆弱性を防ぐ技術に関する問題です。

DEP
SSP(Stack Smashing Protection)
ASLR(Address Space Layout Randomaization)
PIE(Position Independent Executable)
Automatic Fortification

ちなみに暗記問題ではありません。事前にこれらの技術を知らなくても基本ができている人は回答できるチャンスがあったと思います。 Hacking:美しき策略を参考にバッファオーバーフローを検証しているブログエントリはよくみますが、対策まではまとめられている記事はそう多くないので、バッファオーバーフローを防ぐ技術としてこの問題で触れられている概念を検証してみようと思います

Hacking: 美しき策謀第2版 ―脆弱性攻撃の理論と実際

作者: Jon Erickson,村上雅章
出版社/メーカー: オライリージャパン
発売日: 2011/10/22
メディア: 単行本（ソフトカバー）
購入: 9人クリック: 163回
この商品を含むブログ (19件) を見る

午後2

インシデント対応の問題が出ました。

シナリオとしては挨拶の例文を探していた社員が文章ファイルに偽装したマルウェアをダウンロードし、遠隔操作されてしまい情報流出が発生した、というものです。

被害状況のレポートの穴埋めや、対応できていない点などを答える質問が出題されました。

被害状況の調査報告書?の作成は結構自信がありましたが、時間が足りず書ききれない部分があったので合格しているか不安です。ただインシデント対応チームの仕事としてこういうことが出来るなら結構面白そうだな、と思いました。その手の仕事をする人と雑談したことがありますが、マスコミ向けの謝罪文とかも作ったりするそうです

感想

あまり準備がきちんとできていない状態で挑んでしまいましたが、日頃からある程度勉強していることもあってか、どの問題にもそこそこ対応できていたと思います。よく言われていますが、情報処理安全支援士が高度区分の中では一番簡単だと思います。また出題される固有代名詞であまり詳しくないものは調べてみるとブログのネタになりそうなものが多いので、技術ブログを書いてる人にとってはいいネタになると思います。