情報処理安全確保支援士試験 本試験問題で定番の教科書をチェックしてみた

ブックオフの年始バーゲンで、翔泳社の情報処理教科書「2016年度情報セキュリティスペシャリスト」を300円で買いました。

技術評論社の合格教本は持っているため、情報処理安全確保支援士試験で定番の教科書2冊が揃いました。

試験を受験する方は、この2冊を書店で見てどちらを買うか迷うのではないでしょうか。

ネット上では、多くの方がレビューを書かれています。

セキュリティ技術をしっかり理解したい方は情報処理教科書が良い、初めて受験される方は合格教本が読みやすい、などです。

しかし、試験に合格するという目的で、それぞれの教科書を具体的にチェックしたレビューは少ないと思います。

ということで、今回のブログでは平成29年度秋期の午後問題をもとに、正答するための知識がそれぞれの教科書でどのように書かれているかを確認してみました。

なお、個人的なチェックなので、認識不足や間違いがあるかもしれません。よって参考程度に読んでもらえればと思います。

午後1問3で確認してみた

SSL/TLSの知識に関する問題です。

サーバ証明書、暗号鍵の交換や危殆化などの関連知識も必要です。

読解力より知識が求められます。

設問1

サーバ証明書に関する知識の穴埋め、DNSキャッシュボイズニングの仕組み、暗号鍵の交換における疑似乱数の意味を問う問題です。

基本的な知識です。

情報処理教科書と合格教本ともに、正答に必要な知識は書かれていました。

設問2

暗号鍵の危殆化に関する設問です。

鍵が危殆化した際に利用者へ公開する情報として(2)の正答は「危殆化したWebサイトのFQDN」となります。

FQDNとはIPアドレスが特定できる完全修飾ドメイン名です。

正答するためには

  • FQDNの意味とサーバ証明書の中にFQDNが書かれていること
  • サーバ証明書とアクセス先サーバのFQNDが一致することをチェックしていること

この2つの知識が必要となります。

情報処理教科書には知識として体系的に書かれています。

一方、合格教本では後半のページにQ&A午後1問題の対策という扱いで、過去問の解説として書かれています。

合格教本を利用した方は、過去問まで解いていないと正答できません。

設問3

SSL/TLS3.0の脆弱性に関する設問です。

通称はPOODLE攻撃と呼ばれ、不正に弱い暗号スイートが選ばれるというものです。

(1)はストレートにPOODLE攻撃への対策を問われています。

知っていると簡単で正答は「SSL3.0を利用しない設定にする」です。

自分はSSL/TLS3.0と書きましたが・・

これが書かれているのは情報処理教科書だけです。

かなり詳しく書かれており、読んでいれば正答するのは容易だといえます。

(2)はSSL/TLSの利用におけるPFSという用語に関するものです。

PFSは情報処理教科書と合格教本ともに書かれていないです。

しかし、鍵交換方式についての選択問題であることから、関連知識があれば推測で正答できる問題だと思います。

正答はDHEとECDHEという2つです。

このDHEは合格教本と情報処理教科書では「Diffie-Hellman 鍵 交換 アルゴリズム」というキーワードで書かれています。

Diffie-Hellman=DHと結び付けると、PFSを知らなくても正答できる可能性がある問題だといえます。

なお、ECDHEのECは楕円曲線という意味で、暗号化方式DSAなどでもECDSAなど、ECが付くことがあるので、このことを知っていれば正答できます。

設問4

SSL/TLSで秘密鍵を交換するRSA公開鍵が危殆化した時のリスク、およびドメイン認証証明書が妥当でないケースの設問です。

RSA公開鍵が危殆化したときのリスクは、単純に秘密鍵がバレて通信データを復号されるということです。

情報処理教科書と合格教本ともに、正答に必要な知識が書かれています。

次にドメイン認証証明書が妥当でないケースの正答は「サーバ運営者がC社であることを確認できないから」です。

これはドメイン認証証明書は運営者の審査が緩く、新たに立ち上げたサイトでは信用が得にくいからです。

そのため、設問1の選択問題で選んだ運営者の審査が厳しいEV証明書が使われ始めている背景まで理解していないと正答できません。

これが書かれているのは情報処理教科書だけです。

確認の結果から考えたこと

午後2問1も比べてみましたが、概ね同じような傾向でした。

情報処理教科書は正答に必要な知識をほぼ網羅しています。これに書かれていない、例えばPFSなどはほとんどの方が正答できないと思います。

合格教本については、セキュリティの知識が網羅されてないですが、試験慣れして勘のするどい方は、合格に必要な60点をとれる内容だと感じました。また、ネットワークやデータベースの章もあるため、応用情報レベルの基礎知識が無い方には向いています。

結論、十分な学習期間があり、安全圏で合格したい方は情報処理教科書をおすすめします。

しかし、情報処理教科書は情報量が圧倒的に多く、技術レベルも深いため、学習にはかなりの時間を要するといえます。

試験まで学習期間がとれないが、一通りの知識を学びたい、または復習したいという方は合格教本をおすすめします。

以下に最新版のリンクを貼っておきます。

スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

Copy Protected by Chetan's WP-Copyprotect.