情報処理安全確保支援士の過去問を解いていて、
この年度に受験していたら受かったのに。。
なんて思うことがあるかと思います。
仕事などで経験したことがある分野が出題されれば、スムーズに回答することができ、高得点を狙うことができます。
ですが、経験したことがない分野が出題されてしまうと、回答に苦戦し点数も低くなってしまいます。
じゃあ全ての分野を経験しようとか対策しようとするのは現実的ではありません。
出題されるテーマが予想できればいいのにな。。
ということで今回は『令和6年度 秋季試験』で出題されるであろうテーマを予想していきます。
注意事項
しっかりと過去問対策をした上で本記事をご覧ください。
情報処理安全確保支援士の勉強法は『こちら』
あくまで予想であり、確実に出題されるわけではありません。
また、この分野だけ勉強すればよいというわけでもありません。
ご理解いただけた方のみご覧頂き、予想が外れたり、合否の結果などに関しては当ページでは一切の責任を負いませんのでご了承ください。
試験の出題構成の変更について
令和5年度秋季試験より試験の出題構成が変更となっています。
変更内容としてはこれまで午後Ⅰ試験・午後Ⅱ試験と午後に2つの試験がありましたが、午後試験と1つの試験に統合されます。
| 午後Ⅰ試験 試験時間:90分 出題形式:記述式 出題数:3問 解答数:2問 |
午後試験 試験時間:150分 出題形式:記述式 出題数:4問 解答数:2問 |
| 午後Ⅱ試験 試験時間:120分 出題形式:記述式 出題数:2問 解答数:1問 |
詳しくは『別記事』にてまとめていますので、ぜひ一読ください。
令和6年度秋季試験 出題形式予想
試験構成変更後に令和5年度秋期試験、令和6年度春季試験の2回試験が開催されました。
試験構成変更後の難易度としては、旧午後Ⅰ試験よりも難しく、旧午後Ⅱ試験よりも簡単だったと思います。
問題や年度によって多少の差はあっても、基本的な難易度としては変わらないかと思いますので、この難易度の傾向はこれからも続くと思います。
その他に重要なこととして、2つのことが予想されます。
- セキュアプログラミングの固定出題
- 新出題形式の問題
セキュアプログラミングの固定出題
『令和5年度秋季試験 午後問題 問1』、『令和6年度春季試験 午後問題 問4』でセキュアプログラミングが連続して出題されました。
2回連続で出題されましたので、今後はセキュアプログラミングが毎回出題される固定化が考えられます。
一応まだ2回連続ではあるので、今回の令和6年度秋期試験でも出題されたら固定化されると考えて良いと思います。
苦手な分野は対策する必要がなく、得意な分野で戦えばいいというのが、情報処理安全確保支援士の試験対策における私の考えではあります。
ですが、セキュアプログラミングが確実に出題されるのであれば、セキュアプログラミングに関しては勉強・対策した方がいい分野になるかと思います。
固定化されたら、こちらのブログおよびYouTubeでも、皆様のお役に立てるようなセキュアプログラミングに関する内容を投稿していくよう検討していきます。
新出題形式の問題
『令和5年度秋季試験 午後問題 問4』では、リスクとなる行為を自由に記載して、その影響度など当てはまる選択肢も自分で選ぶという新しい出題形式の問題が出題されました。
この出題形式には賛否両論あって、YouTubeなどのコメントを見ていると否の意見の方が多かったような気がします。。
このこともあってか、自由に解答する新しい出題形式の問題は令和6年度春季試験での出題はありませんでした。
その代わりに、これまではXX文字以内で答えよと解答に文字数制限がありましたが、文字数制限がなく具体的に答えよという問題が、各大問の一部の問題で出題されていました。
これらのことから、『令和5年度秋期試験 問4』のような自由に記載するような新しい出題形式の問題は令和6年度秋期試験での出題はないと考えられ、令和6年度春季試験のように一部の問題で文字数制限がない問題が出題されるのではと考えられます。
とは言え、まだ出題される可能性も捨てきれないので、念の為、この新出題形式への対策として、セキュリティインシデントの発生、被害、対策や予防策などの一連を抑えておくとよいかと思います。
有名どころですとEmotetや、FortiGateのSSL-VPNの脆弱性を対応せずに放置していたという放置Gate問題などがあるかと思います。
『半田病院』や『大阪急性期・総合医療センター』の事例などの報告書が出ているものなどを一読しておくとよいかと思います。
セキュリティというよりも障害報告ではありますが、大きいものですと『全銀(全国データ通信システム)』や『大田区のシステム障害』の事例も目を通しておくと役立ちそうではあります。
出題テーマの傾向
情報処理安全確保支援士の出題テーマに関しては、以下2点の傾向があると言われています。
- 実際にあったセキュリティインシデント
- 午前Ⅱで新たに出題されたキーワード
この2つの観点のもと予測を行っていきます。
1つ目の『実際にあったセキュリティインシデント』に関しては、TVなどのニュース、ネットニュースになるレベルのセキュリティインシデントが発生した場合にその原因や関連したテーマが出題されることがあります。
本記事では実際に起こったセキュリティインシデントとともにこちらをメインに扱っていきます。
最近の試験の傾向として過去1年ぐらいのセキュリティインシデントから出題される傾向がありますので、前回の『令和6年度 春季試験 出題テーマ予想』に関しても合わせてご確認ください。
2つ目の『午前Ⅱで新たに出題されたキーワード』に関しては、試験当日にならないとわかりませんが、午前Ⅱは6割程度は過去問から出題され、残り4割は新規の問題が出題されます。
この新規4割の問題の中から午後問題のテーマが出題される場合があります。
このため、午前Ⅱで新規出題された問題の中に知らない用語などがあれば、お昼休みのうちに概要だけでも掴んでおくと合格に近づけるかもしれません。
2024年4月~2024年9月に起こったセキュリティインシデント
令和6年度春季試験が終了した2023年4から試験直前の2024年9月までに実際に起こったセキュリティインシデントの中で、特に話題になったものをピックアップしました。
- モバイルSuicaへのサイバー攻撃によるシステム障害
- KADOKAWAへのサイバー攻撃
- クラウドストライク
- OpenSSHの脆弱性:regreSSHion
それでは個別に見ていきましょう。
モバイルSuicaへのサイバー攻撃によるシステム障害
2024年5月10日の17:00頃にモバイルSuicaでチャージができないなどの障害が発生しました。
障害自体は同じ日の22時頃に解消しています。
障害の原因としてはサイバー攻撃によって通常とは異なる多数のアクセスを受けたためとされ、つまりはDDoS攻撃があったとされています。
私も普段からモバイルSuicaを使用しており、障害があった当時チャージしようとしましたが何度やっても失敗して、XなどのSNSを見たら同じような事象を訴える投稿が多かったので、これは何か障害が起きているなと思ったのを記憶しています。
このことから出題が予想されるものとしては、DDoS攻撃です。
直近の『令和6年度春季試験 午後問題 問2』で出題されているため、連続して出題される可能性は低いとは思います。
ただ、DDoSがどういう攻撃なのか、DDoS対策としてはどのような方法やネットワーク・セキュリティ機器が役立つかなどについて出題されていましたので、ぜひ復習のため、問題に目を通してみてください。
KADOKAWAへのサイバー攻撃
こちらがこの半年間で一番大きいニュースだったと思います。
2024年6月8日にランサムウェアの被害を受けて、KAWAKAWAグループが運営する複数のWebサイトが閲覧できなくなる障害が発生しました。
被害としてはKADOKAWAグループの業務システム、ニコニコ動画などが停止にまで陥ったこと、約1.5TBのデータが窃取されてダークウェブ上に公開されました。
ニコニコ動画やシステムが停止することによる経済的損失も大きいですが、窃取された情報には社員やクリエイター、運営する高校の生徒の個人情報などが含まれており、これらが漏洩することによる個人への被害も発生しています。
報告では感染拡大を防ぐためにPCやサーバなどをシャットダウンするもWake on LANにより遠隔で起動されられ、最終的にはデータセンター内の機器の電源コードを抜くに至ったということもあったとされています。
ネットワークセグメントが分割されていなかったこと、復旧までに約2ヶ月要しその間は過去のニコニコ全盛期の動画しか見れない状況となったり、身代金の支払いに応じてしまったなどのニュースもあり、しばらく話題になっていました。
今後さらに詳細な報告書なども出るかとは思いますので、引き続き注目していきたいと思います。
根本的な原因は特定に至っていないものの、現状としてはフィッシング攻撃によりドワンゴ社の従業員アカウントが窃取され、データセンター内にランサムウェアを感染拡大させて、発展させていったという可能性が高いとされています。
このことから出題が予想されるものとしては、フィッシング攻撃、ランサムウェア、Wake on LANが予想されます。
フィッシング攻撃に関しては、ランサムウェア(マルウェア)感染の初期段階と言いますか、トリガーとして行われることが多いかと思いますので、流れは抑えておくとよいかと思います。
ランサムウェアに関しては、マルウェア感染と捉えて良いかと思います。
マルウェア感染としては『令和3年度秋期試験 午後Ⅰ問3』、マルウェアの動作解析では『令和4年度秋期試験 午後Ⅱ問1』が挙げられます。
Wake on LANに関しては、『令和3年度春季試験 午後Ⅰ問3』で出題されていました。
クラウドストライク
セキュリティとは少し違うとも言えますが、こちらのニュースも話題になりました。
2024年7月14日にクラウドストライク社のCrowndStrike FalconというEDRソフトをインストールしているWindowsPCがクラッシュ(ブルースクリーン)を繰り返すという障害が発生しました。
日本時間ですとお昼頃に事象が発生し、夕方頃には対象ファイルを削除するというワークアラウンドが公式よりアナウンスされ、事象は徐々に収束をみせていきました。
日本だけに限らず全世界で850万台が被害を受け、これだけの規模は過去最大とされています。
日本国内を見ますと、SNS上では仕事にならないという投稿を見かけたり、一部店舗のレジ・POSやシステムなどが使用できなくなるなど、少なからず影響がありました。
原因としては、CrowndStrike FalconとWindows側のプログラムとの競合が原因とされています。
こちらから出題が予想されるものとしては、EDR(Endopint Detection and Response)が予想されます。
メイントピックとなったことはないですが、『令和2年度10月試験 午後Ⅱ問Ⅱ』や『令和3年度春季試験 午後Ⅰ問3』で一部出題がありました。
応用情報では直近の『令和6年度春季試験 午後問題 問1』で出題がありましたので、目を通しておくとよいかと思います。
OpenSSH脆弱性:regreSSHion
OpenSSHの脆弱性としてCVE-2024-6387、通称regreSSHionが公開されました。
この脆弱性が利用された際に特権でリモートから認証なしで任意のコードを実行される恐れがあるとされ、つまり何でも行われてしまう可能性があるということです。
OpenSSHの脆弱性はLinuxで動作している機器だけでなく、多くのネットワーク機器、セキュリティ機器などもLinuxベースのものは多いので、これらも脆弱性の対象となる可能性があります。
また、2024年4月にはPalo Altoに関する重大な脆弱性(CVE-2024-3400)も公開されています。
徳島県の半田病院、大阪急性期・総合医療センターの問題、通称放置Gate問題の二の舞いにならないように、各公式サイトやサポートへの問合せで脆弱性に該当するかの確認および該当する場合は対策バージョンへのアップグレードなどの早急な対策が必要になると考えられます。
こちらから出題が予想されるものとして、お決まりになりつつありますが、クラウド化・ゼロトラスト化、脆弱性診断、インシデント発生時の対応、認証が予想されます。
クラウドサービスの導入は『令和5年度春季試験 午後Ⅰ問3』、セキュリティインシデント発生時の対応としては、『令和4年度秋季試験 午後Ⅰ問3』、脆弱性と絡めてですと『令和4年度春季試験 午後Ⅰ問2』で出題されていました。
認証
令和6年度春季試験での出題はありませんでしたが、近年では認証周りが連続して出題されていまたので、今回も出題される可能性が高いのではないかと考えられます。
| WebAuthn/FIDO | |
| OAuth | |
| SMAL | |
| Kerberos、SAML、OAuth |
最近話題にあがるのはWebAuthn/FIDOかとは思います。
出題される順番・頻度を考えると、『Kerberos』、『SAML』、『OAuth』あたりが狙われるのではないでしょうか。
KADOKAWAの件でADサーバに関しても触れられていたので、個人的にはKerberosが出題されるのではと思います。
まとめ
まとめますと、令和6年度秋期試験では以下の7点が予想されます。
- DDoS
- フィッシング攻撃
- ランサムウェア(マルウェア感染)
- Wake on Lan
- EDR
- クラウド化・ゼロトラスト化
- 脆弱性診断
- インシデント発生時の対応
- 認証
知らなかった単語や苦手にしている分野があれば、過去問や参考書などに目を通して試験までに復習しておくようにしましょう。
それでは、皆さまの合格を祈っております。
YouTube解説動画
鋭意編集中につき少々お待ちください。
