情報処理安全確保支援士の過去問を解いていて、
この年度に受験していたら受かったのに。。
なんて思うことがあるかと思います。
仕事などで経験したことがある分野が出題されれば、スムーズに回答することができ、高得点を狙うことができます。
ですが、経験したことがない分野が出題されてしまうと、回答に苦戦し点数も低くなってしまいます。
じゃあ全ての分野を経験しようとか対策しようとするのは現実的ではありません。
出題されるテーマが予想できればいいのにな。。
ということで今回は『令和5年度 秋季試験』で出題されるであろうテーマを予想していきます。
注意事項
しっかりと過去問対策をした上で本記事をご覧ください。
情報処理安全確保支援士の勉強法はこちら
あくまで予想であり、確実に出題されるわけではありません。
また、この分野だけ勉強すればよいというわけでもありません。
ご理解いただけた方のみご覧頂き、予想が外れたり、合否の結果などに関しては当ページでは一切の責任を負いませんのでご了承ください。
試験の出題構成の変更について
令和5年度秋季試験より試験の出題構成が変更となります。
変更内容としてはこれまで午後Ⅰ試験・午後Ⅱ試験と午後に2つの試験がありましたが、午後試験と1つの試験に統合されます。
午後Ⅰ試験 試験時間:90分 出題形式:記述式 出題数:3問 解答数:2問 |
午後試験 試験時間:150分 出題形式:記述式 出題数:4問 解答数:2問 |
午後Ⅱ試験 試験時間:120分 出題形式:記述式 出題数:2問 解答数:1問 |
詳しくは別記事にてまとめていますので、ぜひ一読ください。
出題テーマの傾向
情報処理安全確保支援士の出題テーマに関しては、以下2点の傾向があると言われています。
- 実際にあったセキュリティインシデント
- 午前Ⅱで新たに出題されたキーワード
この2つの観点のもと予測を行っていきます。
1つ目の『実際にあったセキュリティインシデント』に関しては、TVなどのニュース、ネットニュースになるレベルのセキュリティインシデントが発生した場合にその原因や関連したテーマが出題されることがあります。
本記事では実際に起こったセキュリティインシデントとともにこちらをメインに扱っていきます。
最近の試験の傾向として過去1年ぐらいのセキュリティインシデントから出題される傾向がありますので、前回の『令和5年度 春季試験 出題テーマ予想』に関しても合わせてご確認ください。
2つ目の『午前Ⅱで新たに出題されたキーワード』に関しては、試験当日にならないとわかりませんが、午前Ⅱは6割程度は過去問から出題されますが、残り4割は新規の問題が出題されます。
この新規4割の問題の中から午後Ⅰ・Ⅱのテーマが出題される場合があります。
このため、午前Ⅱで新規出題された問題の中に知らない用語などがあれば、お昼休みのうちに概要だけでも掴んでおくと合格に近づけるかもしれません。
2023年4月~2023年9月に起こったセキュリティインシデント
春季試験が終了した2023年4月から試験直前の2023年9月までに実際に起こったセキュリティインシデントの中で、特に話題になったものをピックアップしました。
- 名古屋港 ランサムウェア被害
- 富士通 コンビニ交付システムおける証明書の誤発行
- Booking.comの管理画面への不正アクセス
それでは個別に見ていきましょう。
名古屋港 ランサムウェア被害
さて 2023 年 7月 4 日 06:30 頃より NUTS(名古屋港統一ターミナルシステム)に障害が発生し、名古屋港全ターミナルの作業停止を余儀なくされました。障害の要因につきましては、愛知県警察本部及びシステム保守会社の見解より、ランサムウェアへの感染と判明しております。ターミナル関係者が総力をあげて復旧に取り組み、7 月 6 日 18:15 に全ターミナルで作業を再開するに至りました。
引用元:https://meikoukyo.com/wp-content/uploads/2023/07/0bb9d9907568e832da8f400e529efc99.pdf
2023年7月に名古屋港のコンテナターミナルで使用されている統一ターミナルシステム(NUTS)がランサムウェアに感染し、この影響で7月4日早朝から7月6日午後までコンテナ搬出入作業が中止となりました。
感染経緯としては調査中となっていますが、リモート接続機器の脆弱性を利用されたのではとあります。
リモート接続機器、つまりVPN装置、もっと言えばFortiGareだと考えられますが、FortiGareの古いバージョンのOSにはSSL-VPN機能に関する脆弱性があり、こちらを利用されてランサムウェアに感染したものと考えられます。
いわゆる『放置GATE』問題です。
令和4年度秋季からこのような半年間内に行ったセキュリティインシデントを取り上げていますが、『令和4年度 秋季試験 出題テーマ予想』徳島県の半田病院の報告書、『令和5年度 春季試験 出題テーマ予想』大阪急性期・総合医療センターの事例など毎回取り上げています。。
これだけニュースになったり実害が大きく出ていますが、まだまだ対策がなされていないようです。
2023年10月10日にWindows Server2012/2012R2のサポート期間が終了しますので、これでも放置問題が発生しそうです。
このセキュリティインシデントから考えられる出題テーマとしては、『クラウド化・ゼロトラスト化』、『認証』、『脆弱性診断』や『インシデント発生時の対応』などの出題が予想されいます。
出題予想テーマとしてはお決まりになっていますが、クラウドサービスの導入は『令和5年度 春季試験 午後Ⅰ 問3』で出題がありましたし、セキュリティインシデントの対応は『令和5年度 春季試験 午後Ⅰ 問3』で出題されていました。
また、認証はほぼ毎年出題されていますので、『令和4年度 春季試験 午後Ⅱ 問2』でKerberos認証、SAML認証、OAuth2.0/OIDCの出題がありましたので、一読しておくと良いかと思います。
富士通 コンビニ交付システムおける証明書の誤発行
富士通Japan株式会社(以下、富士通Japan)の提供するシステム「Fujitsu MICJET コンビニ交付」(以下、当該サービス)に起因する度重なる証明書誤発行により、自治体様ならびにサービスご利用の皆様に多大なるご迷惑ご心配をおかけいたしましたことをあらためて深くお詫び申し上げます。
引用元:https://pr.fujitsu.com/jp/news/2023/06/29-2.html
この半年の中で一番大きなニュースでしたし、社会的にも一番影響があった内容かと思います。
ランサムウェアに感染したというわけではありませんが、システムの不具合によって、本人ではない住民票が発行されてしまうという内容です。
出題予想テーマとしては、『インシデント対応チームの発足』の出題が予想されます。
具体的には、ランサムウェアなどであればCSIRTの発足や、専用チームの発足から連絡体制や手順の確立が考えられます。
情報処理安全確保支援士ではありませんが、応用情報技術者試験の『令和5年度 春季試験 午後問題 問1:セキュリティ』で近しい内容の出題がありました。
Booking.comの管理画面への不正アクセス
2023年6月10日、「MIMARU SUITES 東京浅草」の宿泊をBooking.com社を通じて予約された一部のお客様に対して、弊社の管理下にあるBooking.comサイト内に不正なアクセスがあり、フィッシングサイト等へ誘導するメッセージが配信されていたことが確認されました。また、管理システムに保存されているお客様の個人情報が第三者により閲覧された可能性があります。
引用元:https://mimaruhotels.com/jp/news/bookingcom2/
半年の間に不正アクセスやクレジットカード・顧客情報の流出は至るところで発生します。
その中で印象に残ったのはこちらのニュースです。
宿泊予約サイトであるBooking.comの宿泊施設側が管理する画面に不正アクセスが行われました。
利用したことがある顧客の顧客情報が漏洩したり、チャットやメール送信機能を使用し、フィッシングサイトに誘導する内容が送られたとあります。
一部の顧客に関しては、フィッシングサイトへアクセスしてしまい、クレジットカードの情報を入力し、金銭的被害を受けてしまったようです。
引用したホテルの調査報告としては、システム管理で使用する端末がマルウェアに感染して、そこから不正アクセスが行われたとあります。
また、引用したホテル以外にもいくつかのホテルで被害が確認されているようです。
宿泊したことがあるホテルから、例えば入湯税や宿泊税の徴収を忘れていたとか、(本当に忘れていて)充電器を忘れているから送料払えば送るよというような内容の連絡がきたら、クレジットカードの入力をしたり払ってしまいそうなものです。
出題予想としては『フィッシング攻撃』が考えられます。
フィッシング攻撃は『令和2年度 10月試験 午後Ⅱ 問2』の一部の問題で出題がありました。
まとめ
2023年4月から2023年9月までに実際に起こったセキュリティインシデントの中で出題が予想されるものをまとめますと、以下の6点が予想されます。
- クラウド化・ゼロトラスト化
- 認証
- 脆弱性(診断・対策)
- インシデント発生時の対応
- インシデント対応チームの発足
- フィッシング攻撃
知らなかった単語や苦手にしている分野があれば、過去問や参考書などに目を通して試験までに復習しておくようにしましょう。
それでは、皆さまの合格を祈っております。