(*゚▽゚)ノ業務に近い問2を選択。
しかし、内容はハード。
特に設問2(2)(3)と設問3は短い字数制限で一般論を答える奇問で超苦戦。
正直部分点ねらいれす(;´Д`)
問2
設問1
(1)a=経営会議など経営層が審議する会議
(2)脆弱性を理由に受入れや検収を拒否できず、別契約などで対応する必要がある。
設問2
(1)b=事業継続,c=NTP
(2)検閲システムや監視ソフトでPCやサーバの状態を一元的に確認
(3)不使用ポートなのにSYNを送ってもエラーにならないポートがあれば不要なサービスであると判断。
(4)災害などで、サーバと同時に媒体も破損し使用不可になりデータが復元できなくなるなる。
(5)Fさんは販売システムの管理者なので、P試験の結果の客観性がなくなる。
設問3
(1)XSSやOS・SQLインジェクション等の攻撃の通信はペイロードの内容が多様だから。
(2)WAFに脆弱性があったり、フォールスネガティブが起り得るから。
設問4
(1)エ(低減)・・・「ウの受容かしゅげ~悩んだ)
(2)トランザクションログのアクセス制御を行い、必要最小限の従業員だけしか見れなくする。
設問5
技術的対策が今後導入されるシステムや機器にも反映されるように導入フローやルールを見直す。
しかし、内容はハード。
特に設問2(2)(3)と設問3は短い字数制限で一般論を答える奇問で超苦戦。
正直部分点ねらいれす(;´Д`)
問2
設問1
(1)a=経営会議など経営層が審議する会議
(2)脆弱性を理由に受入れや検収を拒否できず、別契約などで対応する必要がある。
設問2
(1)b=事業継続,c=NTP
(2)検閲システムや監視ソフトでPCやサーバの状態を一元的に確認
(3)不使用ポートなのにSYNを送ってもエラーにならないポートがあれば不要なサービスであると判断。
(4)災害などで、サーバと同時に媒体も破損し使用不可になりデータが復元できなくなるなる。
(5)Fさんは販売システムの管理者なので、P試験の結果の客観性がなくなる。
設問3
(1)XSSやOS・SQLインジェクション等の攻撃の通信はペイロードの内容が多様だから。
(2)WAFに脆弱性があったり、フォールスネガティブが起り得るから。
設問4
(1)エ(低減)・・・「ウの受容かしゅげ~悩んだ)
(2)トランザクションログのアクセス制御を行い、必要最小限の従業員だけしか見れなくする。
設問5
技術的対策が今後導入されるシステムや機器にも反映されるように導入フローやルールを見直す。