令和7年度秋期 情報処理安全確保支援士試験(SC)の振り返り 午後問題
前置き 令和7年度秋期情報処理安全確保支援士試験(SC)を受験したので、記憶が新しいうちに復習を兼ねて振り返り記事を書きます。 この記事では、午後問題のうち問1と問2に対して、 当日の回答 思考プロセス 復習・再検討 今の回答 をそれぞれ書いていきます。 問題は IPA公式サイトのページ (別ウィンドウでリンクが開きます)でご参照ください。 問1 設問1 当日の回答 a:できない b:できない 思考プロセス a:「X-Frame-Options: SAMEORIGIN」とあり、他ドメインの記載がないため。 b:最初は迷って「できる」と問題用紙にメモしたが、設問2を解くうちに「「できない」なら話の筋が通るかな?」と思って「できない」に変更した。 復習・再検討 「Content-Security-Policy: default-src 'self';」なので、他ドメインからのリソース読み込みはできない。 また、default-srcの記載のみでscript-srcの記載がないため、インラインスクリプトの実行もできない。 確認のために検索していたら IPAのページ(別ウィンドウ、別サイトのリンク) がヒットした。 今の回答 a:できない b:できない 設問2 当日の回答 (1)ロール管理 (2)タスク名 (3)個人タスク<script(省略)</script> (4)e:管理者 f:締切日を過ぎた状態 g:管理者ロールの設定 (5)スクリプトタグ内にスクリプトを直接記述せず、参照させるファイルに記述する 思考プロセス 図3の「/management/role」などの記載から、スクリプトの目的は「管理者に、攻撃者のアカウントを管理者ロールに設定変更させること」と読解。 それを踏まえて(1)から(4)までは問題の各図表から当てはまるところを引っ張ってきて書いた。 (5)は前述の通り、この問題を考えているうちに「なんでxlsxファイルにスクリプトを書いたのか」→「インラインで実行できないからか!?」と思ってこう書いた。 復習・再検討 (1)から(4)までは、当日の回答を否定する材料は見つからなかった。 (5)も、設問1の再検討から内容は合っているはず。文章の書き方はもっと工夫の余地があったかも。 今の回答 (1)から(4)当日の回答と同様 (5...