無事に合格して、経済産業大臣から合格証書が届きました。

成績照会も出来たので、自分の解答や採点基準等について考察します。

成績

でした。 採点基準がわからないからドキドキしてたけど、９割弱得点出来たので模範的な解答でなくてもある程度得点できそうですね。

自分の解答

試験時のメモ書きを元に解答を再現しました。実際に答案に書いた内容と完全に一致してるかは自信がないけど概ね同じだと思います。（午前問題は選択式なので割愛）

• 午後Ⅰ（問２、３を選択）

問２

設問１（１）x1.y1.z1.4 (2)b: 迷惑メール送信サーバ c: webメールサーバ d: 外部メールサーバ

設問2（1）インターネット上のドメイン名の名前解決を行う（１９字） (2) ・メール送信の必要のない者がインターネットへメールを送信する（３０字） ・メールアカウントに対応付けられていない送信者メールアドレスに詐称する（３５字）

設問３（１）運用PC-LAN上のPCからのHTTP接続を拒否する（２６字） （２）運用PCのIPアドレスからの各ベンダを除くプロキシサーバへの接続を拒否する（３７字）

問３

設問１（１）a: ウ b: エ　（２）c: ア d: ウ

設問２（１）ファイル転送サーバから研究開発PCへの通信は禁止されているから（３２字） （２）e: 利用者ID f: パスワード g: アップロード用URL 　方法：ファイル転送サーバ向けの通信の盗聴 （３）利用者が選択しなければダウンロードされず、アップロードしてから４時間経つとファイルが削除されるため（５０字）

設問３ h: 高い i: 低い j: 感染活動を遮断できる機器がないため k: FW1によって感染活動を遮断できるから

設問４　パスワードの再入力

• 午後Ⅱ（問２を選択）

問２

設問１（１）POSTリクエストによる攻撃　（２）webサイトYの全ファイルと比較　（３）公開鍵による認証

設問２　各webサイトのWF、プラットフォームに使用しているソフトウェアの名称及びバージョン（３４字）

設問３ c: ディレクトリ d: クロスサイト e: HTTP f: ジャッキング

設問４（１）g: 30 h: 0 (2) イ (3)POSTデータのcodeに限定商品の値を設定して（う）の画面遷移を行う（３５字） （４）k: アクセス制御や認可制御の対象 l: 許可された動作が行えること

設問５　レビューを記録に残し、報告書として提出すること（２２字）

設問６　webセキュリティガイドの見直しを行う必要がないかを判断する用途で利用する（３７字）

考察

• 午後Ⅰ

問２はほぼ模範的な解答が出来ていました。 設問２はちょっと考える必要がありましたが、その他の設問はどこかで見たことある記述だった気がします。 メールやプロキシサーバの構成はきちんとおさえておきたいですね。

問３はいくつか微妙な解答をしてしまった。

まず、設問２（３）は回りくどい解答をしてしまいましたね。趣旨はずれていない気がするので多少点はついたんじゃないかな。

設問３は完全にチョンボです。iとjが逆だし、FW1とFW2も間違ってますね。こういうところ見直しの必要性を感じます。。。

設問４も完全にずれてました。IPAの講評にある「マルウェアが既にパスワードを窃取していることを読み取れていない」人とは自分のことです。

配点の推察としては穴埋め問題が１個２点程度で記述が５〜１０点程度でしょうかね。何となくですが。

• 午後Ⅱ

設問４，５，６が点数引かれてそうですね。

設問４のk, lは意図したいことがちゃんとした日本語になってない感じがします。

設問５は「作業の妥当性を確認できる」が必要かもしれません。

設問６は「見直し・レビュー」は押さえつつも、「脆弱性の作り込み原因を調査」が抜けていました。

配点としては、10~15点が満点の問題から５点ずつくらい引かれた感じがしますね。

総評

記述問題については完璧な解答というのは難しいと思いますが、模範解答から１点程度ポイントが欠けたくらいなら多少の点になるようです。

ベースとなる知識をもとに、記述解答をかけるようにすれば大丈夫な試験だと思います。

逆に穴埋め問題で求められた知識が足りないと解答進めるのが辛くなるので、案外用語を覚えておくのが大事です。

以上、何かの参考になれば幸いです。