令和6年秋期試験 午後問1【情報セキュリティ】

管理人  
(No.1)
令和6年秋期試験 午後問1(情報セキュリティ)についての投稿を受け付けるスレッドです。
2024.10.13 00:10
ててれとさん 
(No.2)
多層防御分からんかった
2024.10.13 15:35
バカさん 
(No.3)
わかっても防御の御なんて書けん。
2024.10.13 15:37
にかいめさん 
(No.4)
多重防御って書いちゃった
2024.10.13 15:38
あるんさん 
(No.5)
この投稿は投稿者により削除されました。(2024.10.13 15:41)
2024.10.13 15:41
へあぴんさん 
(No.6)
多重対策ってかいた
2024.10.13 15:40
爆シさん 
(No.7)
全くわからず適当に「多段防御」て書いたら、めっちゃニアだったーw
おまけで点ほしい
2024.10.13 15:42
ななしさん 
(No.8)
自分だけかと思ったけど防御書けない人多くて安心した
選択してない問題文から必死で「制御」がないか探してたわ
2024.10.13 15:43
りたさん 
(No.9)
防御の御、自信なかったけど合っててよかったー
2024.10.13 15:43
かわさん 
(No.10)
ペッパーが聞いたことなくて記述1個死にました、、、
2024.10.13 15:43
Mmさん 
(No.11)
わたし多重制御って書いちゃったー
多重防御なんて頭柔らかくしたら小学生でもかけるやんうざすぎ
2024.10.13 15:44
ななななしさん 
(No.12)
私も「多重防ぎょ」しか思いつかなかった。多層防御なんですね。
2024.10.13 15:46
ななしさん 
(No.13)
多重防衛だとアウトかなあ…。防御なのか
2024.10.13 15:48
だんごさん 
(No.14)
わからないけど空欄よりマシってノリで「多重防衛」って書きました
ぼんやり記憶にはあったのかな…
2024.10.13 15:50
うんちさん 
(No.15)
あっこれはゼロトラストだな!
→漢字4文字で答えなさい
2024.10.13 15:50
匿名さん 
(No.16)
前回出た内容がそのまま出るとは思えないよ...
2024.10.13 15:51
むずかしかた男さん 
(No.17)
ハッシュ値からパスワードを復元することは困難である
機密性
aオ
bカ

多層防御
会員情報が流出してもペッパーはわからずパスワードの推測は困難になる
70^4

今年は難しかったのか、、?モヤモヤする
2024.10.13 15:55
うにさん 
(No.18)
>15
でもちょっとわかるwwwwこれ進研ゼミで見たやつだ!の反応しちゃった
2024.10.13 15:55
匿名さん 
(No.19)
最後は2^4倍(16倍)じゃないですか?
2024.10.13 15:58
ぬおんさん 
(No.20)
"層"と"御"が書けず「多段防衛」にしました。半年後に向けて漢字の勉強します。
2024.10.13 15:59
にかいめさん 
(No.21)
70種類あるからね
2024.10.13 16:02
たいさん 
(No.22)
機密かあ
なかなか出てこないもんだねw
2024.10.13 16:02
あいうさん 
(No.23)
70種6文字だと7^6、10文字だと70^10
10-6=4

70^4倍

ですかね?
2024.10.13 16:02
ぺっぺさん 
(No.24)
わからなかったから適当に複数対策って書いた
2024.10.13 16:03
あああいいいうううさん 
(No.25)
ハッシュ値からキーを復元することが困難である特性
機密性



多重防御(多層防御が正解っぽい)
付加した文字列を、外部からアクセスできない領域に格納するから(自信なし)
70^4
2024.10.13 16:04
漢字苦手さん 
(No.26)
機密性の「みつ」がわからなくなって、頑張って他のページめくって見つかった😇
そもそも合ってなかったらウケるけど笑
2024.10.13 16:05
たああたたさん 
(No.27)
多重防御が正解っぽいですね

多層は入口内部出口にそれぞれみたいな
2024.10.13 16:06
ymzk1104さん 
(No.28)
bに入るやつアのエスケープじゃないですか?
2024.10.13 16:11
マルウェアさん 
(No.29)
サニタイズとエスケープの違いわからん
2024.10.13 16:14
さえさん 
(No.30)
4^70ってかいちゃったあああ
2024.10.13 16:15
午後疲れましたさん 
(No.31)
SQLインジェクションの対策はプレースホルダーにしました
サニタイズとエスケープはクロスサイトスクリプティング対策という消去法で
2024.10.13 16:15
Ramilenさん 
(No.32)
密書けなくてごちゃごちゃっと書いた笑
あと多重防衛って書いた人何人かいて安心(なお間違い)
2024.10.13 16:16
壁山さん 
(No.33)
多重防壁にしてもうた、、、
2024.10.13 16:17
あああいいいうううさん 
(No.34)
bはアでした
2024.10.13 16:17
ともさん 
(No.35)
サニタイズではないんですか?
2024.10.13 16:20
わごさん 
(No.36)
秘密性って書いちゃったよ
2024.10.13 16:20
あああいいいうううさん 
(No.37)
サニタイズ=悪意のあるコードを無害なコードに置き換える処理
エスケープ=ある文字を別の文字に置き換える処理

と認識しておりまして、サニタイズの一種がエスケープかなと思います。

プレースホルダー=入力した値は全て「値」として認識する処理

以上よりエスケープが正しいかなと思います
2024.10.13 16:21
syさん 
(No.38)
何を迷ったか4^70って書いたわ。なぜ冷静にならなかったのか
2024.10.13 16:34
うんちさん 
(No.39)
えっプレースホルダじゃないの?
外部からの入力値が埋め込まれる場所を専用の記号に置き換えて〜ってプレースホルダしかなくない?
2024.10.13 16:34
やっちまったさん 
(No.40)
70^4...分かってたのに手が7^4と書いた間抜けは私です。。
2024.10.13 16:36
APさん 
(No.41)
サニタイズ>エスケープの包含関係が成立するのであれば、どちらも正解という事になってしまいませんかね?

SQLに箱を作っておいて、DB側で入力値をあてはまるとあったので、特定の文字を置き換えるエスケープとは少しズレている気がしたんですが

どうなんでしょうね
2024.10.13 16:36
tbさん 
(No.42)
会員番号の問題バカバカしすぎてクスってしちゃったのは俺だけじゃないはず
2024.10.13 16:37
ガン子さん 
(No.43)
SQLインジェクション対策ならプレースホルダの気がします何となく
2024.10.13 16:37
prime1019さん 
(No.44)
この投稿は投稿者により削除されました。(2024.10.13 16:47)
2024.10.13 16:47
adkさん 
(No.45)
この投稿は投稿者により削除されました。(2024.10.18 12:10)
2024.10.18 12:10
tbさん 
(No.46)
サニタイズとかを逆に知らないけどプレースホルダで問題無さそうだけどなぁ
専門記号を値で置き換えるって要は入力値を値として扱うことを前提としてるし
2024.10.13 16:39
テンさん 
(No.47)
多重防御のところはゼロトラストの時みたいに総評にまた「正解率が低かった、よく理解しておいて欲しい」とか書かれるんだろうな
なんか気に食わない
2024.10.13 16:40
tbさん 
(No.48)
てか設問1から困った

ハッシュ値から元の値を割り出しにくい特性

みたいに書いたけど文字数足りなさすぎて
2024.10.13 16:43
aiさん 
(No.49)
サニタイズが正しいと思ってたし、手で選択肢を隠してて全部見てなかった、、
2024.10.13 16:44
こじろうさん 
(No.50)
実務でWebアプリ作ってますが、外部企業のセキュリティ検査でもSQLインジェクション対策にプレースホルダが推奨されてるので正解だと思います(私も直接口頭で教授さてもらったことがあります)
これをIPAが不正解扱いしてきたら、SHIFTの社員さんはキレて良いと思う
2024.10.13 16:45
adkさん 
(No.51)
ハッシュ値から元のパスワードを云々はそっくりそのまま過去問にあったような
割り出すことは理論上不可能じゃないけどみたいなやりとりも含めて
しかし文字数制限でめちゃくちゃなことかきました
これと経営戦略とサーマネで完全に脳の体力がつみました
2024.10.13 16:47
24秋リベンジ!さん 
(No.52)
ペッパーの部分以外はNo.17さんと同じですね
ペッパーの記述、何が正解なんだろう
(外部からアクセスできない安全な領域に格納する旨を書いたような)
2024.10.13 16:48
マグロさん 
(No.53)
ほぼ満点かな?

ハッシュ化前のデータを導き出すことが困難だという特性
2  機密性
3  オ、カ
4  イ
5  多層防御
5  ペッパーに関する情報は会員テーブル内には含まれていないから  
70^4 倍
2024.10.13 16:50
touristさん 
(No.54)
自分は

設問1: ハッシュ値から元のパスワードを復元できない特性
設問2: 機密性
設問3: (a)オ (b)カ
設問4: イ
設問5: 多重防御
設問6: (1)ソルトはハッシュと共に流出する恐れがあるが、ペッパーは別で格納されている為
(2)70^4

と解答しました。合ってる自信は無いです!
特に5は多層防御の方が一般的用語っぽく、そちらが正解の可能性があります。(ただ多重防御という言葉もいくつかのセキュリティ企業のホームページで紹介されています。)
また6(1)は、ソルトでレインボーテーブル攻撃の対策としては十分な気がしており、どこがポイントなのかあまり分かっていません(違いとしては上記の点だろうと書きましたが)。
2024.10.13 16:50
マグロさん 
(No.55)
ペッパーのお話は、ソルトを用いた処理ってとこに『会員テーブルに格納する』と丁寧に書いてるのでこれが答えのようなもんだと思いました。  設問にもわざわざ丁寧に『ソフトウェアを用いた処理との違いに着目して』と書いてくれてますので、、
2024.10.13 16:52
あああいいいうううさん 
(No.56)
実務で使っている方がプレースホルダが正しいと仰っているので、そちらの方が正しそうです、、、実務経験なし、試験勉強のみの知識で解きましたので私の解答は信頼性に欠けてます、
2024.10.13 16:53
お疲れ様さん 
(No.57)
サニタイズとエスケープは目的は違うけど処理としては同じだからこの2つを迷わせることはないだろうということで、プレースホルダにしました。

また参考書でsqlインジェクションに対する対策で①プレースホルダ②サニタイズ(エスケープ)と書かれており、ほぼ同義で使ってました。
2024.10.13 16:55
長文読めないマンさん 
(No.58)
漢字四文字とか分からなさ過ぎて、「油断大敵」って書いた
合ってたら良いな

SQLインジェクションの対策、何も考えずにエスケープにしてしまったけど、プレースホルダが正しそうね…
プレースホルダを知らなかったので詰みです

ペッパーの問題は、テーブル情報を盗まれるとソルト情報は盗まれるけど、ペッパーは盗まれないみたいなこと書いた
恐らくテーブルに入っているかどうかが差別点よね
2024.10.13 16:55
お疲れ様さん 
(No.59)
多層防御は導けませんでしたが、no53の方と他は同じでした。
2024.10.13 16:57
なやさん 
(No.60)
前回はおそらくセキュリティ18点、ネットワーク16点だったんだけど、今回は7点、6点ぐらいになりそ…
2024.10.13 16:57
名無しさん 
(No.61)
設問3のbについては、本文の〔SQLインジェクション攻撃への対策の検討〕の空欄bの直後に、「この方式では、外部からの入力値が埋め込まれる場所を専用の記号に置き換えた〜」とあるので、プレースホルダ一択ではないでしょうか。
2024.10.13 16:59
Jishinnaiさん 
(No.62)
(なんで被害者イなんですか...?)
2024.10.13 17:00
ADHDに長文は無理さん 
(No.63)
設問6(2)
(5/3)^70にしてしまった
逆だったかもしれねえ、、
2024.10.13 17:00
うにさん 
(No.64)
多重防御と多層防御は厳密には異なる考え方っぽいので、多重防御の方が正解に近いかも…?
2024.10.13 17:05
ななしなしさん 
(No.65)
サニタイズとエスケープ迷ってたけど、プレースホルダなのね
初めて聞いた
2024.10.13 17:05
まるさん 
(No.66)
被害者イはハッシュ値が同じだから、同じパスワードだと推測されてしまう
2024.10.13 17:06
tbさん 
(No.67)
No.58は大喜利だったら優勝できそうですね
2024.10.13 17:07
一条さん 
(No.68)
多重防御のところ分からなかったから冗長構成って書いちゃった
2024.10.13 17:08
Alfa_4C-caさん 
(No.69)
設問3  ”SQL文”、”専用の記号に置き換えた”のキーワードの元、曖昧な記憶から
サニタイズで解答しました・・・解答の公開が待ち遠しいです

設問6-2 問題をよく読まなかったので24010000って書いちゃってオワタ
2024.10.13 17:09
ジャンさん 
(No.70)
多重防御のところ、二重防御って答えちゃった。点数くれないかなあ...。
2024.10.13 17:13
carvin9784さん 
(No.71)
ハッシュ値からハッシュ化前の値を求めるのが困難
機密性
オ、カ

多層防御
ペッパーは、外部からアクセスできない安全な領域に格納されるから
70^4

流石に合格点はクリアしたかな?他の大問ヤバめだからここで稼いどきたい…
2024.10.13 17:13
こんにちらさん 
(No.72)
あれ、70の4乗なんだ、、間違えたかも(5/3)の70乗にした
2024.10.13 17:14
かわさん 
(No.73)
11〜12点かな...
言葉全然書けなかった。
2024.10.13 17:17
yanagida03さん 
(No.74)
ハッシュ値からハッシュ化前の値を求めるのが困難 みたいな回答
わからん
オ、ウ

多段防御
ペッパーは、外部からアクセスできない安全な領域に格納されるから  みたいな回答
70^4

多段防御は部分点ないかな?w
サニタイズは違うのか
2024.10.13 17:21
adkさん 
(No.75)
この投稿は投稿者により削除されました。(2024.10.18 12:10)
2024.10.18 12:10
あいうまんさん 
(No.76)
1問目の特性の問題、以下の過去問を何とか思い出して、原像計算困難性があり〜って書いたけど、合ってるのかな?

https://www.ap-siken.com/s/kakomon/03_haru/q40.html
2024.10.13 17:28
ななしさん 
(No.77)
原像計算困難性と書いても正答だと思います。それを噛み砕いて25字で書いてもいいよというだけかと。
2024.10.13 17:30
ぱいちんさん 
(No.78)
記号とかは一致してるから記述だけ
1元の文字列を計算することが不可能である特性。
6-1ソルトより安全な領域に格納されることで外部に解読されるリスクを下げる(解読が違和感)
2024.10.13 17:32
かわぐちさん 
(No.79)
縦深防御ではだめだろうか、、
2024.10.13 17:37
助けてさん 
(No.80)
ハッシュ値とソルトは同じどっちもdbで管理してるからdbが漏洩したら割れちゃうよね
でもペッパーはdbの管理外だからdbだけ漏洩した場合ならセーフ
2024.10.13 17:38
るうんさん 
(No.81)
自分はこうしました

1  ハッシュ値からの元の文字列の復元が困難である特性
2  機密性
3 a:オ(ブルートフォース)、b:カ(プレースホルダ)
4  イ
5  多層防御
6(1)会員テーブルが漏えいするとソルトも漏洩するがペッパーは漏れないため
(2)70^4

記述問題の日本語がどことなくこなれていない感……
2024.10.13 17:44
あゝさん 
(No.82)
サニタイズじゃないんだ
2024.10.13 18:28
あしさん 
(No.83)
70^4って答えを出してX^4って書きました!wwwww
2024.10.13 18:34
ペッパーって誰やねんさん 
(No.84)
この投稿は投稿者により削除されました。(2024.10.13 18:38)
2024.10.13 18:38
harvest062さん 
(No.85)
数学できないバカすぎて10^70/6^70ってあの狭いスペースに無理やり書いたんですが一応間違いではないのでは!?だめですかはい
2024.10.13 18:38
mokelevaさん 
(No.86)
ホントだ、気密性って漢字別のページに書いてあったわ…
最初探して見つからなくて諦めたんよな
2024.10.13 18:42
尼崎さん 
(No.87)
設問1  ハッシュ値から元のパスワードを知ることが困難なため
設問2  機密性
設問3  オ、カ
設問4  イ
設問5  多重防御
設問6
(1)  ペッパーが安全な領域にあり、漏えいの可能性が低いため
(2)  70^10

設問6だけ自信ない
2024.10.13 18:55
taさん 
(No.88)
ペッパーとソルトの違いについての回答は皆さんと同じような事を私も書いたんですけど、処理に注目だから後から、異なるハッシュ値と同じハッシュ値に注目して「ハッシュ値が流出しても対応するテーブルを生成できないから」の様な回答が正解かなって後悔したんですけど、皆んなの同じ答えのままで安心しました!(?)
2024.10.13 18:55
あきさん 
(No.89)
試験お疲れ様です!
以下で回答したのですが、バツでしょうか…?

設問1
「ハッシュ値からハッシュ元の値にすることができない特性」

設問6-1
「外部からアクセスできない領域にある文字列を付与しているため」
2024.10.13 19:01
tbさん 
(No.90)
No.85
70^10/70^6 だったら合ってはいるので部分点がもらえる可能性があると思います
2024.10.13 19:03
taさん 
(No.91)
70^4の記号つけ忘れた、、、数学なら◯貰えるだろうけど、IPAならバツかな汗
2024.10.13 19:09
誤字脱字が怖いさん 
(No.92)
x^yの指数(^の記号なし)で書けという問題だったので^なしの70^4で正解じゃないですか……?
2024.10.13 19:14
taさん 
(No.93)
誤字脱字が怖いさん
ありがとうございます!もう一度問題文確認してみます!
2024.10.13 19:22
しんどいさん 
(No.94)
多重防御の、ぎょ、を1マスに無理やり書いた。
部分点くれ無いかな…
2024.10.13 19:43
taさん 
(No.95)
御は恥ずかしながら私も書けなかったんですが、頭の片隅に置いてたら、ネットワークの冒頭文にありました
2024.10.13 20:22
鼻声さん 
(No.96)
設問1について
「異なる文字列からは同じハッシュ値が生成されない特性」でも正解でしょうか、?
2024.10.13 21:19
おじさんさん 
(No.97)
表1のハッシュ値が老眼にはきつい。
ハズキルーペか虫眼鏡いるやん。
おじさんの意見でした。
2024.10.13 21:21
サディスさん 
(No.98)
サニタイズはXSS、プレースホルダはSQLインジェクションの対策です
2024.10.13 21:33
マグロさん 
(No.99)
96さん
残念ながらその回答は不正解だと思います...(部分点も厳しいかと)
異なる文字列から同じハッシュ値が生成される可能性はあります。すごく低確率ですが

ハッシュ関数から出力されるハッシュ値は有限の長さをしています
例えばSHA256なら256 Bit です
それに対してハッシュ関数に入力されるデータのパターンは無限に考えられます。なので、無限の入力に対して有限の出力なので何かしら被ることになります
具体例を挙げると1クラス366人いるクラスの場合、絶対誰かしらが同じ誕生日です。
このような事象が起きるので不正解ということになります
2024.10.13 21:39
うにょさん 
(No.100)
「対策の1つが破られても他の対策で攻撃を防ぐという考え方」
個人的には多重防御も多層防御もどちらも正解なのでは?と思っています。
英語ではこの考え方を「Defense in Depth」というらしいですが、これを日本語訳したときに大きく意味を間違えていなければ良いという意見です。
2024.10.13 21:43
ジャスティス影山さん 
(No.101)
応用情報のシラバスでは「多層防御」なので、私が自己採点するなら多層防御以外はペケにしますね。
実際の採点では多重防御も正解にしてくれそうですが

話が変わりますが、ハッシュ関数には以下の3つの特性があります。
・原像計算困難性(一方向性)
・第二原像計算困難性(弱衝突耐性)
・衝突発見困難性(強衝突耐性)
で、今回の問題では原像計算困難性(一方向性)について問われているのではないでしょうか。
なぜなら、「情報漏洩の脅威に対するメリット」が聞かれていて、ここでいう情報漏洩というのは「ハッシュ値が漏洩した」ということであり、上記3特性の中で最もこの情報漏洩の脅威に結びつくのは原像計算困難性(一方向性)だからです。
2024.10.13 21:52
jun1125さん 
(No.102)
この投稿は投稿者により削除されました。(2024.10.13 22:03)
2024.10.13 22:03
ぽぽよんよんさん 
(No.103)
ペッパーは全ての会員に共通の文字列が付加されるからどの会員のパスワードか区別できないみたいなことを書きましたが、違うのかな。。
2024.10.13 22:08
パチさん 
(No.104)
≪103
ペッパーが特定された時にアカウントとパスワードを区別するのではなく、アカウントとパスワードがセットで入ったテーブルが窃取された際にペッパーやソルトまで窃取されるかどうか、それを利用してハッシュから復元されるかどうかなので今回は因果が逆になりますね。
2024.10.13 22:17
jogerさん 
(No.105)
多層防御 = 主に「入口」「内部」「出口」の3つの領域に対し、複数の防御層を設置
多重防御 = 入口など特定の領域に集中して、セキュリティを幾重にもかけるもの

どうやら多層防御が正解っぽいですね。
多重防御しか思いつきませんでした。
2024.10.13 22:31
jogerさん 
(No.106)
ん?もう一度問題文見たら多重防御の方が正しく見えてきた。
2024.10.13 22:44
受かってますようにさん 
(No.107)
いろいろ調べましたが、多層防御も多重防御もサイトによって言ってることはまちまちで結構違いますね
多層防御→入口、出口、内部を守る
多重防御→入口に複数のセキュリティを設ける
これが正だとしたら、FWとWAFで異なる部分を守ってると考えたら多層防御が正解……なんですかね?
2024.10.13 22:59
けあれすおさん 
(No.108)
ペッパー、ソルトと比較するとか聞いてない(問題文読め)
2024.10.13 23:33
ARTIさん 
(No.109)
「本システム自体」と書いているので多層防御だと思います
2024.10.13 23:34
たまみさん 
(No.110)
1 ハッシュ値から元の情報を復元しにくい特性
2 機密性
3a オ
3b カ
4 オ
5 多重防衛
6-1 ペッパーは外部からアクセスできない安全な領域に格納されているから
6-2 70^4

設問4で早とちりしたのが残念すぎる
ペッパーについて部分点もらえてたらいいな
2024.10.14 00:00
ゆぴさん 
(No.111)
ペッパーのことだけ書くんじゃダメなんです?ソルトとの違いに着目した内容ならわざわざ書かなくても……
2024.10.14 00:15
ペッパーさん 
(No.112)
ペッパーはもうペッパー君が頭にまとわりついてた
2024.10.14 00:15
2度目ダメそうさん 
(No.113)
自分の回答を書きます、もちろん間違ってるものもあります。

設問1 ハッシュ値からパスワードを求める事が困難だから
設問2 機密性
設問3 a: オ, b : ア
設問4 オ
設問5 (空欄)
設問6 (1) 会員テーブルが流出時にソルトと違いペッパーはテーブルに格納されていないから
(2) 70^4
2024.10.14 01:22
タイタンさん 
(No.114)
この投稿は投稿者により削除されました。(2024.10.14 02:26)
2024.10.14 02:26
タイタンさん 
(No.115)
自分の回答です
設問1 ハッシュ値から一意の元の値を求めることが難しい特性
設問2 機密性
設問3 a:オ
      b:ウ(誤答)
設問4 イ
設問5 二重防御(誤答:適当な造語の割におしい!)
設問6 (1):ソルトは会員テーブルから取得できるがペッパーは取得できないから
      (2):70^4
2024.10.14 02:27
ながいたけ氏さん 
(No.116)
この投稿は投稿者により削除されました。(2024.10.14 08:02)
2024.10.14 08:02
ながいたけ氏さん 
(No.117)
ハッシュ値からでは元のパスワードを復元不可な特性
機密性



多層防御
WEBサーバの外部からアクセス不可の領域に格納せるため、漏えいリスクが減少する
70^4


満点逃したかもしれんな。
2024.10.14 08:02
pekatsuさん 
(No.118)
多層防御か・・・。全然うかばなかったので学習が甘かったですね。
2024.10.14 08:07
adkさん 
(No.119)
この投稿は投稿者により削除されました。(2024.10.30 19:23)
2024.10.30 19:23
seikinさん 
(No.120)
多層防御の配点高くなりそうですね
2024.10.14 08:29
かたさん 
(No.121)
説問1 一方向性の性質があるから復号する事が出来ない

これは大丈夫なのか。。
2024.10.14 08:45
厳しいってさん 
(No.122)
この投稿は投稿者により削除されました。(2024.10.14 08:58)
2024.10.14 08:58
厳しいってさん 
(No.123)
設問一

そのままでは利用できず、複合が必要になる

有識者の方、この回答では問題ありますかね…
2024.10.14 09:00
たまさん 
(No.124)
設問1 ハッシュ値から元のデータを推測することは困難なため
これ「推測」ってとこが減点対象になりますかね…
2024.10.14 09:47
可愛くてごめんさん 
(No.125)
ならないでしょう
2024.10.14 09:58
aakさん 
(No.126)
多層防御を多層防卸と書いてしまいました、、
応用情報は漢字ミスは×になりますか?
2024.10.14 10:16
パチさん 
(No.127)
≪123 漢字はただの誤字だと思いますが、(ハッシュという暗号化の特性として)復号自体が困難であるところに注目しなくてはならないので部分点が貰えるかな、というくらいですね。
2024.10.14 10:24
可愛くてごめんさん 
(No.128)
ハッシュ化は複合困難どころか複合しないのよ
ハッシュ化は暗号化ではなく値の変換(暗号化とハッシュ化の違いについて検索おすすめ)
2024.10.14 10:33
スターさん 
(No.129)
理解できました!ありがとうございました!
2024.10.14 11:08
ふみおさん 
(No.130)
漢字に弱くて機密性は書き間違い、
多層防御も全然思い浮かばなくてヤケクソで「前虎後狼」って書いたわw
2024.10.14 12:40
やまさん 
(No.131)
この投稿は投稿者により削除されました。(2024.10.14 18:01)
2024.10.14 18:01
たにさん 
(No.132)
最初の問題でパスワード少しでも違うと値が大きく変わるとか書いちゃいました。皆さんの見たら、逆演算で元のパスワードわからないよねと書けばよかったのか
2024.10.14 14:19
touristさん 
(No.133)
これは問題に対する愚痴ですが、ペッパーがソルトに対してアドバンテージがあるのはレインボーテーブル攻撃に対してというよりブルートフォース攻撃に対してでは?
ソルトが漏れたからと言ってレインボーテーブル攻撃には殆ど役に立たないと思います。
2024.10.14 15:09
たかはしさん 
(No.134)
ちょっとしらべてみましたが

サニタイズ、エスケープ処理はほぼ同じ意味でも使われるらしいので答えにはならなそう、

また、利用者が入力した値を置き換えるのがサニタイズやエスケープ処理と呼ばれるもので、
sql上の可変にしたい部分を別の文字で置き換えておいて、構文処理を先にしておくのがプレースホルダーなので

設問3bはカでまちがいなさそうですかね
2024.10.14 17:21
たらこさん 
(No.135)
ペッパーについては、安全な領域に格納することでレインボーテーブルが作成できなくなるからと書きました。
どこかでレインボーテーブル攻撃にはテーブルを作れなくさせる対策が有効と見た記憶が……
2024.10.14 22:44
りんりおさん 
(No.136)
セキュリティ最後の問題70^4のようですけど、問題は何倍かなのに70^4が答えなんですかね。
70^10-70^6なので差は70^4だと思いましたが、◯倍ではないと思い書かずじまいでした。誤答覚悟で書いておけば良かった。数学の弱さが響きました。
2024.10.14 23:29
中郎さん 
(No.137)
うわあああ
同じ姓名の「中郎」であるオが答えだと思ったら、よくみたらイのパスワードがハッシュ値同じじゃないか!
自分馬鹿過ぎ…
2024.10.14 23:42
太郎さん 
(No.138)
70^10-70^6の差は70^4どころじゃないですよ?
わかりやすい例だと
10^3-10^1の場合、差は990で10^2倍異なるとなります
2024.10.15 07:51
ペッパさん 
(No.139)
「外部からアクセスできない領域に格納されているから」はじゃあソルトそこに置けばいいじゃんってなるので正答じゃないと思った、、
「ソルトと別の(安全な)サーバに置かれているから〜」的な方が自分的にしっくりきた

・安全な
・ソルトと別の領域

が両方入ってて◯?
一方だと△?
2024.10.15 09:50
ぽむぽさん 
(No.140)
>>139
流石に「ペッパーは安全に管理されているから」とかで部分点はもらえないでしょう

別の領域にあるから安全なのであって、安全をかいても抽象的で答えにならない気がします
2024.10.15 10:17
たまさん 
(No.141)
ソルトとは違い、安全な領域に保管されているから
なら満点ですかね?
2024.10.15 10:50
ツツミさん 
(No.142)
≪ペッパーは窃取されたデータと保存領域が異なること、が本質なので満点かと言われると微妙な気がしますね。間違いなく部分点以上はあると思いますが。
2024.10.15 11:23
やまださん 
(No.143)
最終問題の乗数の問題についてです

上に出ている10^1と10^3で例にすると、
10^1=10
10^3=1000
”何倍違うか”という問題なので上記の例だと「100倍」違います。
100倍つまりは”10^2=100”です。

もう一つ例にすると  5の2乗と5乗で考えた時に、
5^2=25
5^5=3125
3125÷25=125
125=5^3
つまり5の2乗と5乗では”5の3乗”倍となっています。
2024.10.15 14:58
当落上さん 
(No.144)
特性のところの答え
ハッシュ値を元の値を特定するのが計算量的に難しい
と書いたのですが、「特性」が抜けているとアウトですかね?
2024.10.15 18:49
HLさん 
(No.145)
特性のところの答えだからむしろ「特性」は不要
2024.10.15 19:28
当落上さん 
(No.146)
訂正

ハッシュ値を元の値を特定するのが計算量的に難しい

ハッシュ値から元の値を特定するのが計算量的に難しい

ありがとうございます。国語だと部分点になっていた記憶がありますので、IPA的に大丈夫ならホッとしました。
2024.10.15 19:39
そこら辺の人さん 
(No.147)
ハッシュ値には不可逆性があるから。では?
2024.10.15 19:48
なおてぃんさん 
(No.148)
セキュリティの1番最初の問題、

パスワードの導出が難しい一方向特性

という感じで書きましたが、正解になるでしょうか??
2024.10.15 23:55
杉村さん 
(No.149)
特性の言葉が不要とは思わないけど、無くても間違いとは感じませんね。
例えば、どんな人?って聞かれてこんな人。と答えるのは別に違和感ある話じゃないですし、同様にどんな特性?と聞かれてこんな特性。と答えるのは自然ではないでしょうか
2024.10.16 07:41
かなさん 
(No.150)
問1、ハッシュ値からパスワードの割り出しが困難であること
これアウトですか?
2024.10.16 20:41
4度目の正直さん 
(No.151)
ペッパーの問題で、純粋に理解不足でわからないのですが、DBサーバーはWEBサーバーと比べると外部からのアクセスの観点での安全度が低い(WEBの方が安全)、と言えるのでしょうか?
DBサーバーにアクセスするにはWAF→WEB→DBの経路を踏む必要があるので、WEBが安全ならDBも安全なのでは?と思い、WEBの方が安全、というニュアンスは含めずに解答してしまいました。
踏み台サーバー経由でDBサーバーにアクセスされる可能性があるからDBサーバーの方が安全なのかな?とも考えましたが、同様にWEBサーバーも踏み台経由でWAFを経由することなくアクセスされてしまうリスクもあるのかと思っており、、
この辺詳しい方いらっしゃいましたら是非ご教示いただきたいです!!
2024.10.17 00:46
IPさん 
(No.152)
多層防御はちょっと検索するだけで
多段防御、階層防御、多重防御、縦深防御、深層防御と似た用語がわんさか出ますが
どこまでを正解とするんでしょうかね
2024.10.17 11:23
シーザーさん 
(No.153)
多層防御なんて仕事で使わんけど、今回の覚えたわ。
2024.10.17 19:52
あかさん 
(No.154)
ペッパーのとこ、Xで問題の不備ではないですが、なんか言ってた人がいましたね
みんなに一律で点くれ
2024.10.17 20:46
あそさん 
(No.155)
>>151
ソルトはパスワードのハッシュと同じテーブル、同じレコードに保存されている。ペッパーは別の場所(例えぼアプリサーバ上で環境変数で持ってたり、フレームワークの秘匿情報を管理する仕組みを使ってたりとか)にある。

SQLインジェクション等で前者のテーブルの情報が流出したとしてもペッパーは流出しない、というのがポイントてす。

あなたが書いた例のようにシステムのすべての構成要素に自由に侵入されたらあんま意味ないけどね、、、
2024.10.17 23:15
4度目の正直さん 
(No.156)
>>155
反応ありがとうございます。
やはり、実データと別場所に格納することで防御力を上げる、がポイントですよね。
大原の解答例だと、「ペッパーは安全な場所に格納されており、〜〜」という解答例になっていて、ソルト(dbサーバーに存在)も安全な場所にあると思ってたので、なぜソルト対比でペッパーが優位な点と言える?が気になってた点です。
(説明端折りすぎててすみません🙇)
2024.10.18 08:04
4度目の正直さん 
(No.157)
> 例えぼアプリサーバ上で環境変数で持ってたり、フレームワークの秘匿情報を管理する仕組みを使ってたりとか
→この辺踏まえて、一般的にdbよりwebの方が安全だよね、ってことですかね
2024.10.18 08:08
あそさん 
(No.158)
> 別場所に格納することで防御力を上げる、がポイント
これはそのとおり。

> 一般的にdbよりwebの方が安全
これはたぶん考え方を変える必要がある。
どんな攻撃方法を想定するかによって違うから、一概にどっちがより安全とかは言いづらい。

あなたが最初に書いた例のように、サーバーへの侵入に対しては普通はDBサーバーの方がより安全だろうと言える。Webサーバーはその役割上どうしても外部からの直接的なアクセスにさらされやすい(外部からの入口に近い)ので、DBとWebではWebの方がリスクが高いと言える。
例えば実務でOSの脆弱性対応のためのアップデート作業とか計画するとき、DBサーバーよりはWebサーバーの方を優先しがち。

一方でSQLインジェクションを想定するとこれはDBサーバーのデータが脅威にさらされるわけです。データを書き換えられたり、盗み出されたり。逆にWebサーバーに影響を及ぼすことは考えづらい。

今回の試験問題では文中で、SQLインジェクションを招く脆弱性が指摘された、とあるので、その文脈では「安全な場所=Webサーバー」というのは成立する
2024.10.18 12:37
あいうさん 
(No.159)
この投稿は投稿者により削除されました。(2024.10.18 15:42)
2024.10.18 15:42
あいうさん 
(No.160)
ペッパーの問題、
「webサーバ内の外部からアクセスできない安全な領域に格納されるから」
これは0でしょうか。。。
2024.10.18 15:43
4度目の正直さん 
(No.161)
>>158
めっちゃ納得です、ありがとうございます。
問題文にも “レインボーテーブル攻撃が困難になる理由” と書いてますね。
webサーバーとテーブル形式ではない可能性もありますし、攻撃者としてはひと工夫必要になるので安全と言えそうですね。
↑については過去問の似たような問題でもモヤモヤしたことがあり、そのまま試験を迎えてたので、とてもスッキリしました。。
2024.10.18 20:32
ガン子さん 
(No.162)
多重防御と書いてしまいました
もしこれがバツになって自分が59点あたりで落ちてたらゴネる予定です
多層と言わせたさそうだし書けたらそっちのがいいかなとは思いますが
問題文からは多層防御だけだとは言い切れないなぁって感じがします
それはそうと皆様の四文字熟語大喜利面白いからこれだけ別スレッドにしたいぐらいだった
2024.10.18 23:56
名無しさん 
(No.163)
ハッシュ値の特性、一方向性というワードは正確でしょうか。
2024.10.19 12:37
あそさん 
(No.164)
一方向性は違和感ないですよ。英語だとOne way hash function とかよく言う
2024.10.20 21:16
ペニはちさん 
(No.165)
衝突可能性が極めて低い はどうですか?
衝突 と 衝突困難性 は用語としてあるようなのですか衝突可能性という言い回しはしないのでしょうか
2024.10.20 23:05
ろくさん 
(No.166)
みなさん、多層防御なんてどこから覚えたんですか?
過去問10年以上やってもそんな問題なかったですが
2024.10.23 07:05
間違えたさん 
(No.167)
「応用情報技術者試験(レベル3)」シラバス(Ver.7.0)のセキュリティで1-(1)に書かれてますね・・・
勉強不足です
2024.10.23 09:36
午後当落線上さん 
(No.168)
この投稿は投稿者により削除されました。(2024.10.29 00:43)
2024.10.29 00:43

返信投稿用フォーム

※SQL文は全角文字で記載してください。
※宣伝や迷惑行為を防止するため、当サイト、姉妹サイト、IPAサイト以外のURLを含む記事の投稿はできません。

投稿記事削除用フォーム

投稿番号:
パスワード:

その他のスレッド


Pagetop