平成30年の午後Ⅱ問2も総合的な問題。パッと見,そんなに難しくもないし,新しい知識,深い知識が必要な設問もない。そうなると,問題文の状況を受けて解答する設問が多いので…関連箇所を見つけられるかどうかがポイントになる。
//設問1//
(1)はわからん。ほんまにPOSTか?「どのような攻撃の場合か?」に対する解答として違和感がある。解答例を待とう。(2)は問題文中の状況を読み取る設問(WebサイトYがあるからそれと突合)で,(3)はSSHの知識(基本情報レベル)なので,確実に2問は押さえたい。
//設問2//
簡単な常識的な知識と問題文の記述をベースに答える問題。前者は「利用している製品名とバージョン」。後者の問題文中の言葉は「WF,プラットフォーム,Webアプリ」。これに置き換えなかったらどうなるのか?正解にしてくれるのかどうか。そこだけかな。置き換えていたら大丈夫だと思う。
//設問3//
簡単な攻撃名の穴埋め問題。1問3点って考えておいたほうがいいかな。5点もあるのかな?あればラッキー。これだけで20点だもんな。合格点の3分の1?そう考えたらやっぱ無いよな。
//設問4//
SQLインジェクション,XSSに関する設問で…ソースを理解していないと解けない問題が(1)(2)。ただよくあるパターンなので確実に得点しておきたいところ。で,問題文の状況を把握して解答する設問が(3)(4)。但し,これは診断手順書なので抽象的な表現になると思う。したがって”有料会員”や”一般会員”という個別具体的な表現はダメだろう。それを汎化させた表現にすること。
//設問5//
「確認不足」なので「レビューポイント」を「Webセキュリティガイド」に記載した。したがって,それをしっかりと実施していることを検収条件にしたというのは明白。あとは「レビューをしっかりしていることを確認する」ための工夫なので…監査的な視点を匂わせる表現なら正解なのだと思う。
//設問6//
最後は,なんかふわっとした設問。よくあるんだよな,最後の設問が結構ふわっとしていることって。診断結果が表3で,それを反映させたのが図2の第2版が一番近い。したがって,このあたりを表現したらいいだろう。個々の脆弱性に対する対策を中心に加えていくという意味なら正解だろう。
//感想//
そんなに,新しい知識を必要としない問題。これまでよく問われていた知識だけで十分点数が取れる。ただ,これといった特徴の無い問題なので,過去問題を使って勉強するときにはスルーする問題だろうな。
(以上)