📖 令和7年度 春期 午後問題を解いてみました!
実際の試験では 問1と問3を選択しました。
解いてみて感じたのは、問2と問4もなかなか難しかったので、選択としては悪くなかったかなと思います。
今回の問題は、これまでよく出題されていた「実際の攻撃事例とその対策」ではなく、脆弱性診断系の内容が多かったのが印象的でした。
ただ、安全確保支援士として大事なのは「インシデントを未然に防ぐこと」。そう考えると、この流れは自然だなと感じました。
📝 今週の気づきメモ
問1
システム開発におけるサプライチェーンリスクの問題。
一番イメージがつかみやすく、他企業サービス利用時の脆弱性管理について新しい気づきがありました。
問2
脆弱性診断で検出された脆弱性の深刻レベルと対応の優先度の判断に関する問題。
CVSSとEPSS(Exploit Prediction Scoring System)の対比がポイントでした。
問3
スマホアプリの脆弱性問題。
-
SSL通信のシーケンスを再確認
-
アプリ解析からアクセスキーを解読する流れ(文中ヒントをどう活かすかが重要!)
などがポイントでした。
問4
企業で利用しなくなったWEBの管理に関する問題。企業が未把握の公開IT資産をどのようにみつけるか。
KEVカタログを活用した脆弱性診断、脆弱性スキャナなどの新しい観点が登場しました。
⏱ 今週の進捗と反省
1週間で進めたのは 午後問題1回分(4問)。
当初は2週間で20問をやる予定だったので、ペースはだいぶ遅め…。
どうしても1問に時間をかけすぎてしまうので、1周目はざっと読んで答えを確認 → 2周目で深掘り、というスタイルのほうが効率的だと感じました。
🎯 次週の目標
2回分=8問をクリア!
まずはスピード重視で進めて、知識の定着は2周目に回す予定です💪✨