平成28年度秋期10月16日(日)、IPA情報処理技術者試験の情報セキュリティスペシャリスト(SC)試験を受験してきました。IPAから発表されている情報処理技術者試験の統計情報[1]https://www.jitec.ipa.go.jp/1_07toukei/_index_toukei.htmlによると、SC試験の応募者は32,492人(前同期比14.9%増)とH27秋期からやや増えているようです。微増の要因が、新しい試験制度に変わる前の対策を立てやすいSC試験を受けておこうという理由からなのか、政府が力を入れているホワイトハッカー[2]http://www.nikkei.com/article/DGXLASFS21H17_R20C15A2PE8000/養成プロジェクトにより関心や重要性が高まっているという理由なのか、詳細は分かりませんが、ITに高度に依存した社会において情報セキュリティは今後益々重要となってくるのではないでしょうか。
SC試験としてはH28秋期で最後!
今回の試験でSCとしての試験は最後となり、次回からは「情報処理安全確保支援士[3]http://www.ipa.go.jp/about/press/20160627.html」という新しい試験制度に変わるようです。試験制度は新設されるものの(SC試験をベースに実施されるらしい)、情報セキュリティスペシャリスト試験(SC)の合格者は、「”情報処理安全確保支援士”となる資格を有する者(予定)」と発表されており、SC試験の合格者は”情報処理安全確保支援士”として名簿登録することができるようです。登録後、公式に「情報処理安全確保支援士」という肩書きで活動を続けていくためには、定期的に定められた講習を受講する義務、秘密保持の義務、信用失墜行為の禁止といったルールを守ることとなっているようです[4]http://www.ipa.go.jp/about/press/20160627.html。これらの全体像から、主観ですが新試験制度は資格取得後も資格保持者が最新の技術に追従できるような運用体制を整備・維持し、情報セキュリティ技術者全体のレベルの底上げを目指しているのではないでしょうか。
いざ試験会場へ
私の受験会場は大学構内でした。駅から臨時バスが出ており、バスに乗ること30分程度で試験会場に到着。気温はやや肌寒い感じでしたが、花粉症に悩まされる春期に比べれば秋期の方が私にとっては好都合。会場もトイレも綺麗で助かった!(お腹弱いので特にトイレが)
教室に入ると、いつものことながら空席がちらほら。私の受験した教室では2〜3割くらいが空席でした。午前試験免除の方達かとも思いましたが、午後になってもさほど人が増えた印象はなかったので、やはり事情があって来れない方が一定数いらっしゃるのだと思います。
また年齢層ですが30〜40代の方が多数かなと。ある程度実務経験を積まれた方達が受験されている印象でした。SC試験では、特に午後試験が実務経験ありの方のほうが有利な気がするので、年齢層も比較的高めになってくるのかなと思います。
試験スタート
私の場合は午前Iから午後IIまでのフルコースだったので、午前9:30から午後16:30までの長期戦でした。
午前I・IIは、過去に出題された問題も数問出題されていました。過去問中心に試験対策をしていた甲斐もあって、数問悩んだものの合格圏にはもっていけたかなという手応えで午前は終了。
午後1は、問2・3を選択
午後Iは、問1が「組み込み機器を利用したシステムのセキュリティ対策」に関してディジタル署名を絡めた問題、問2が「ソフトウェア開発における脆弱性対策」に関してヒープベースBOF脆弱性を中心とした問題、問3は「マルウェア対策」に関して情報セキュリティインシデントの発生と対応、マルウェア対策としてプロキシやURLフィルタリング周りの設定を絡めた問題といった構成でした。普段の業務ドメインがWebアプリケーション開発なので、とっつきにくそうな問1は避けて、問2・3を選択。問2は普段C/C++で開発している人にとっては解答しやすそうな問題かもしれませんが私はやや苦戦してしまった。。問3は、過去にも似たような問題が出題されており、マルウェア対策や標的型攻撃、インシデント対応あたりの過去問を試験までに何度か見直していたこともあって、私としては比較的取り組みやすい問題でした。が、問2・3、いずれも一部自信のない解答部分があり、結果としてはやや微妙な感じで午後Iを終了。
午後IIは、問2を選択
そして強敵午後Ⅱ。問1は「ICカードを用いた認証システム」に関する問題、問2は「脆弱性対策」に関する問題といった構成でした。ICカード・・・ぐっ、普段慣れないシステムなので迷わず問2を選択。少し前に話題になったbashの脆弱性に関する問題が出題されていた。いわゆるShellShock[5]https://www.ipa.go.jp/security/ciadr/vul/20140926-bash.html。しまった、しっかり内容確認しておくべきだった。。が問題文を読めば大体は理解できそう。勉強不足感は否めないが、とにかく解答用紙を全て埋められるように制限時間内に必死こいて答を絞り出す。試験ギリギリまで粘ったが、微妙な手応えのまま午後IIを終了。。
やっとこさ試験終了。午前問題は調子が良かったものの、やはり肝心の午後I・IIがイマイチな感じで終わってしまった。。合格は微妙・・・なので次に向けて気持ちを切り替えよう。。
ShellShockの確認
午後IIの問2で出てきたBashの脆弱性を復習を兼ねて再現してみました。Vagrantでサクッと環境を構築します。boxは自分で作ってもいいですが、boxの更新日が2014年以前あたりの古いものであれば、おそらくパッチのあたっていないものだと思いますので、探してくるのが早いでしょう。
適当にboxを探して環境を構築しBashのバージョンを確認してみたところ、パッチのあたっていないバージョンだろうということが確認できます。
|
1 2 3 4 5 6 7 |
[vagrant@centos ~]$ bash --version GNU bash, version 4.1.2(1)-release (x86_64-redhat-linux-gnu) Copyright (C) 2009 Free Software Foundation, Inc. License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html> This is free software; you are free to change and redistribute it. There is NO WARRANTY, to the extent permitted by law. |
脆弱性を確認するための攻撃コマンドを実行してみます。以下では、vulnerableと表示されると脆弱性があることになります。
|
1 2 3 |
[vagrant@centos ~]$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" vulnerable this is a test |
上記コマンドを実行したところ脆弱性があることを確認することができました。試験では、「WebサーバがWebアプリケーションを起動しBashが起動された時に攻撃を受ける」という場面を想定した題材でしたが、基本的な原理は確認できました。
もう少し具体的なデモを公開されている方がいました、こちらの方がより具体的でイメージが湧きやすいかと思います。
試験解答
- IPA
- https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2016h28.html
- iTAC
- http://www.itac.gr.jp
- iTEC
- https://www.itec.co.jp/auto_mark/
- 大原
- http://www.o-hara.ac.jp/best/jyoho/sokuhou/
- TAC
- http://www.tac-school.co.jp/kouza_joho/sokuhou.html
合格発表日
成績照会:2016年12月16日(金)正午予定
参考リンク
- IPA発表による試験の統計情報
- https://www.jitec.ipa.go.jp/1_07toukei/_index_toukei.html
- 情報処理安全確保支援士制度
- http://www.meti.go.jp/committee/sankoushin/shojo/johokeizai/shiken_wg/pdf/001_04_00.pdf
- http://www.ipa.go.jp/about/press/20160627.html
- http://www.meti.go.jp/press/2016/04/20160427006/20160427006.html
- 情報セキュリティスペシャリスト(SC)試験
- https://thinkit.co.jp/article/10453
- Bashの脆弱性
- http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-004410.html
- https://www.ipa.go.jp/security/ciadr/vul/20140926-bash.html
おすすめ参考書
翔泳社
売り上げランキング: 1,033
コメント