応用情報技術者 試験情報＆徹底解説

令和7年秋期試験 午後問1(情報セキュリティ)についての投稿を受け付けるスレッドです。

何言ってるか分からん単語多すぎンゴ~得点源にできなかったぜ

設問1 ク、ウ、カ、オ
設問2 初期設定
設問3 (１)イ
（2）個人にアカウントあるからログ見たらバレるで
みたいなこと書いた気が
（3）子会社を踏み台にした攻撃を受けること？みたいな

全然分からなくて、投げやりです
みなさん回答作成励んでください

1.ク・ウ・カ・オ
2.初期設定
3.イ
4.ログによって不正が発覚するため、内部不正を心理的に抑止できる
5.過去に脆弱性有と判断されたものをと同型の製品が再び導入される可能性の懸念

自信はないです。難しいんだか簡単なんだが微妙な問題だったと思います。

3ってウだと思ったのですが。。
イも一応インシデント対応ってことで、リスク低減になるのかなと思いました。

番号間違えました。
3．（1）（2）（3）でした。訂正いたします。

初期設定パスワードで良いのか
なんか初期パスワードじゃ字数足りなすぎてカッコつけてイニシャルパスワードにして爆死した

3はウですね。

設問1 ク、ウ、カ、オ
設問2 初期
設問3 (１)ウ
（2）アクセスログにより不正を行ったことが発見されるから。
（3）ソフトウェア製品及びライブラリの状況管理ができていない的なこと書きました

難しく感じました
最後の設問の言語化が難しかったです

初期設定→初期
じゃだめかな？
なんか初期設定パスワードって自分は言わないから初期パスワードだと思って初期のみにしてしたった

1 ク、ウ、カ、オ
2 ワンタイム
3  1イ
    2不正を隠し通すことが難しいと分かるから

すいません3の1ウです

2はデフォルトじゃだめですかね？

不正の三大要素について、緑本に似た様なのあったから「内部不正を行うことが難しいとわかるため」みたいに書いたけど部分点貰えるかな？

初期→デフォルトでは？

私もデフォルトにしました
流石に大丈夫だと思いたいです

デフォルトパスワードにしちゃった…。初期か…意味が似てるから通してくれんかな

初期って書いてデフォルトって書き直しました
的確な表現の単語あるんですかね

不正の三要素の機会を減らせるからって書いたけど、よく考えたら動機か？

初期と迷ったんだよな…
デフォルトパスワードで点くれないかな？

設問2、「初期」でもいけますか？

adminパスワードとかいう意味わからんことしましたッ

あれ、もしかしてデフォルトパスワードじゃないとダメか？初期設定あかんかな

設問3(3)はSBOMを作る理由みたいなことで、対策ののヌケモレなくすみたいなこと書いちゃいました。

最初の選択問題、一瞬ゼロトラスト選んでそのあと境界防御に直したけど合ってますかね？
にしてもいやらしい問題だなと

発見されるため、機会がなくなるからも書きました

自分も管理者パスワードだと思って書いちゃった
オワタ

初期だけ書いちゃった、大丈夫かな

私もほぼ反射的にゼロトラストを選んで、でもよく考えたらFWでしか対策してないよな？って思い境界防御に変えました

Adminパスワードと書いてましたが、管理者用パスワードにしました。

不正抑止のやついくらでも正解作れそう
自分は親会社自身が面倒見なきゃって会話の中で言ってるから、親会社が監視してるぞって認識させるって回答したけど

プライマリパスワード
って言葉が降りてきた
5文字だしシックリ来てたけど、アカンか

楽勝すぎました。
合格確実です。

クウカオ
デフォルト
ウ
内部不正してもログからバレるで みたいなこと
業務システムで使用されるソフトウェア等の脆弱性を利用した攻撃のリスク

最後の問題は問題文そのまますぎて間違ってそう

> あやさん
機会で合ってます
自分は動機って書いちゃいました

イニシャルパスワードっすね

設問1 ク、ウ、カ、オ
設問2 初期
設問3 (１)ウ
（2）内部不正を行えば発覚してしまうと従業員が理解するため
（3）脆弱性が明らかになった直後にゼロデイ攻撃を受ける懸念があるため

最後の問題はうまくまとめられませんでした…。

最後の記述ってソフトウェア会社が攻撃される云々で書いたんですけど、違うんですかね

自分は最後の問題は「オープンソースのソフトウェアライブラリの脆弱性を利用した攻撃」みたいに書きました。

記述二つはそれぞれいかにしたんですが、

「アクセスログが記録、監視されていることが周知されているため」
 心理的な理由も必要か？

「セキュリティ対策が不十分な会社が存在する恐れがある」
 さらに踏み込んだだから何？とかいるんか？

最後の問題は運用している開発会社が攻撃を受けてZ社も攻撃されるみたいなことを書きました。
うまくまとめられなかった。

設問1、SEIM、ゼロトラスト、多層防御が選択肢にあるの、過去問大集合みたいな感じで謎にテンション上がってた

最新のセキュリティパッチになっていない

最後のは
外部委託したシステムの開発先が攻撃されたり、脆弱性が利用される可能性
って書きました。
ん〜…甘めに丸くれへんかなぁ…

運用会社への攻撃〜の方があってそうですね

設問3の(2）は
不正の否認ができず、不正のトライアングルの機会をなくすから
と書いてしまいました。。時間がなく焦って書いたけど前半が抽象的すぎてダメですよね。。部分点くらいもらえないかな・・

イニシャルパスワードでも同じ意味だよな？
だめかな

私も最後はゼロデイ攻撃に早期に対応する必要があるためと記載しました。
3ヶ月に1回しかチェックしないのが引っ掛けだろうなと思いましたので

最後の記述自分も
環境や設定によっては脆弱性対策が十分に行えない会社があるかも
みたいな感じで描きました〜
問題文そのまま書いたので根拠的には自信あったんですがw

最後は定期的な脆弱性診断ではゼロデイ攻撃の対応が〜
みたいなのにしました

最後の問題はソフトウェアサプライチェーンの視点で答えないといけないのかと思い、そこから抜き出した感じです。
気になる...

最後の問題、問題文で「ソフトウェアサプライチェーン攻撃の対策としては」とあって、そこの説明に
1ソフトウェアの開発会社を攻撃してソースコード改ざんする
2ソフトウェアライブラリの脆弱性を利用する
の2つが書かれていたので、対策されてない「ソースコードの改ざん」を主旨とした回答にしたのですが、皆さんゼロデイのことを言っていますね...私もそれと悩んだので不安です(⁠￣⁠ヘ⁠￣⁠;⁠)

最後は脆弱性のあるソフトウェアを使い続けるかもしれないから と答えた

設問1
a：ク
b：サ
c：カ
d：オ ←間違ってますね

設問2
c：初期 ←デフォルトでなければ×？

設問3
(1)ウ
(2)アクセス監視により気づかれず不正をするとが難しいと分かるため
(3)利用しているソフトウェアが攻撃を受けたものでないかすぐ確認できないこと

どうでしょうか、なんとか6割行きますかね

問3
(2)ログの記録を周知することで不正行為の心理的ハードルが上がる為
(3)導入しているソフトウェアの開発会社を踏み台とした攻撃

こんな感じで書きました
(3)がもやっとする感じ…こんなんでいいのかな

最後はゼロデイ攻撃にしましたねー

ゼロデイは違くないか
脆弱性が既知の古いOSSを気づかず使い続ける懸念とかにしたよ

最後はソフトウェアうんたらの観点から答えなきゃいけないからゼロデイではないのでは？

「安易な」パスワードじゃダメですかね…
せめて0.1点だけでも…泣

最後
マルウェア対策ソフトの選定やネットワーク機器の設定などを適切に行えるか
って書きました

最後は「ソフトウェア製品及びライブラリの脆弱性を利用した攻撃」としました！
今回のセキュリティ問題は内容自体は難しくないけど解釈に幅が出そうなタイプでしたね。

1 a ク b コ d カ e ア
2 デフォルト
3 （1）ウ
    （2）不正を行ってもいずれバレることを従業員が理解するから
 （3）外部委託した業務システムの脆弱性のリスクを懸念して指摘した

選択問題間違えすぎました（泣） 
最後よくわからないですねー。

問1
設問1 a.ク
   b.ウ
         d.ケ ←間違い
         e.カ ←間違い

設問2 c.初期

設問3 (1)ウ
         (2)アクセスした人が特定可能なログを記録・分析していると知るから
         (3)ソフトウェアについての脆弱性対策も実施すべきだと考えている

来年度のCBTでリベンジします…泣

最後はsbomを作成する理由につながるように
サーバや機器本体だけでなくそれらの使用している
ソフトウェアの脆弱性
みたいにしました

問3(3)はグループ全体の統制を強化するために対策5〜9を実質する。
部長に9では懸念点があると指摘されて実施策10を作った。
実施策10ではソフトウェアやライブラリを一覧化している。
っていう前提を踏まえると、「開発会社が攻撃された時にグループ全体で何のソフトウェアを利用してるか分からないと、グループ統一で対策が図れないから」的な感じかなって思いました。

最後は私もゼロデイ攻撃かなと思いましたが、対策'9'で脆弱性対策している＋対策'10'としてSBOMを作っていたので「脆弱性診断を行うソフトウェア製品やライブラリについて漏れが発生すること」としました。
ただスレッドを見ているとやっぱゼロデイ攻撃っぽそうだなー

自分はゼロデイじゃなくてnデイって書きました

脆弱性管理にSBOMを使用する、だからバージョン管理と思いますが、どうなんでしょうか？
「新たに発見された脆弱性に対するセキュリティパッチの適用漏れを懸念」
的な答えを書きました。
他にもなんとでも書けそうですが

最後はsbom作っても脆弱性をチェックするスパンは最低3カ月なのでゼロデイ攻撃の対策にはならないと思ってました
言及先が対策9じゃなくて対策3ならゼロデイかなーと思うんですが

設問1のbってウ.need-to-knowなのか
なにそれ知らん…と思ってシラバス見たらちゃんと書いてあって普通に見逃してるだけだった悲しい
ここ答えてる人の勉強の抜かりなさ素晴らしいですね！

設問2の解答、最初「初期」と書いたのに字数足りなすぎかと思って、「工場出荷時」にしてしまった…。

 need to knowはコナンの映画に出てきましたねｗ

設問1
a：ク
b：ウ
c：カ
d：オ

設問2
c：初期

設問3
(1)ウ
(2)不正持出しが記録されると知り、心理的に持出しにくくなるから
(3)脆弱性診断周期が長く、その間にベンダーのアップデートの可能性があること

配点はどんな感じか検討つく方はいらっしゃるのでしょうか？各分野20点満点ですよね？？

SSIDパスワードとかわけわからんこと書いたわ

3-2の「アクセスログから内部不正の実行者を特定可能だと周知できるから」は通りそうかなと思うけれど3-3の「ソースコードやソフトウェアライブラリに対して脆弱性診断をしていない点」は駄目そうだな

設問3はイとウで割れてるのですかね、、、？

たろさん
私もSSIDとわけわからんのを書きました笑笑

色々情報食べさせたgrokとgeminiにテーマ予想させてたの思い出した
どっちもサプライチェーンとSBOMは高確率で出るよ言うてたから一応抑えてたけどまさか本当に出てくるなんて

設問3(1)
私もイとウで迷いました
T主任:「各社がそれぞれ独自にセキュリティ対策を実施している」
イもウもあかんやんって
でも、Z社が報告及び対応のフローを定めると解釈してイは除外しました

設問2のパスワードの箇所、「機器ごとの型番に共通であることが多い」から
人間が理解しやすい英数字の記号を表すニモニックコードを思い出してしまって
「ニモニック」パスワード
と回答しましたがこれは部分点無理くさいですね。

設問1 ク、ウ、カ、オ
設問2 初期設定
設問3 (１)ウ
（2）内部不正はログからたどれることが従業員に認知さるため。
（3）使用しているサーバやネットワーク機器の全てを把握、管理できているか

最後の問いは指摘内容を聞かれていて、指摘された結果、対策10としてSBOMを作成したと書いてあるので、機器の管理ができているかだと思いました。

設問1 
ク，コ，カ，オ

設問2 
初期

設問3
ウ
データの持出しがログの記録によって困難だとわかるから
開発会社やライブラリを踏み台にして攻撃される恐れがある

最後の問題は、
グループ会社を含めた統合的なシステム管理が出来ていない
みたいなこと書きました、、

今回情報セキュリティ難しく感じましたね…
恐らく得点かなりここで落としてます…

最後の問題はマルウェア対策ソフトやネットワーク機器の設定をZ社グループで統一する
みたいなことを書きました...他の人の意見見てる限り違うのかな...

設問1
a:ク
b:ウ
d:エ(わからなかったので勘)
e:カ(同上)

設問2
c:デフォルト

設問3
(1)ウ
(2)不正が起きる原因の一つである機会をうばうため
(3)脆弱性が発見された際に、その対象かがすぐにわからず、対応が遅れること


とりあえず埋めたけど自信がない…
部分点頼む…

設問1
a: コ、b: エ、c: カ、d: オ
設問2
プレブート
設問3
(1)ウ
(2)どの従業員が内部不正をしたのかが記録されるため。
(3)セキュリティ対策が不十分な関連会社がサプライチェーン攻撃を受けること

設問1は全部カンでやりました。
設問2は、「初期」かもしれませんね。普通にわからなかったので、会社で聞いたことのあるものにしました。

設問1  a ク
  b ウ
  d ア
  e オ
設問2  c デフォルト
設問3 (1）  ウ
 (2）  不正したのが誰か分かるため
 (3）  利用しているオープンソースのソフトウェアライブラリの脆弱性

にしました

設問1 ク、ウ、カ、オ
設問2 製造番号 ←唯一無二の誤回答な気がします
設問3 (１)ウ
（2)内部不正がログにより検知されることを周知しているため
（3）各社のうちセキュリティ対策が不十分な会社が存在するおそれ

コウカキ

初期

ウ

内部不正を実施してもアクセスログで悪意を特定されるため

導入後に明らかになった脆弱性への対応が出来ていない恐れがあるため

不正を行った人物が特定されやすくなり不正の動機が減るため
とか書いちゃった。動機じゃなくて機会だわ。不正を行った人物が特定されてしまうからで終わればよかった泣

問1
a:ク
b:ウ
c:カ
d:オ

問2.admin
→何も出てこず当てずっぽうです

問3.ウ
→一箇所に集約したら侵入された時の被害が大きいのかと...

問4.不正が発覚した場合、アクセスログから従業員を特定可能だから
問5.ソフトウェアの開発会社を攻撃され、最終的にZ社への攻撃に派生すること
→対策9がZ社グループにしか言及してないから対策が不十分なのかと思い...

問3(3)、「他社のソフトウェア製品やライブラリの脆弱性を利用した攻撃の可能性」と書きましたが、製品のリストを作成している辺り、使用している製品に対する新規の脆弱性報告を見落とさないようにしたい、みたいなニュアンスを入れる必要があったかもしれませんね......。

設問１ aク、bコ、dカ、eオ
設問２ 初期設定
設問３ （１）ウ
    （２）内部不正をすることが難しいと思うため
    （３）診断の周期が長いとゼロデイ攻撃などの対策が難しいため

設問１のb「Need To Knowの原則」はノーケアでした。

設問2、「デフォルト」と書いた後に、「工場出荷時」に書き直しました。
正解にして欲しい！

問3(2)は「内部不正につながる不正のトライアングルの要因が低減するため」って書いた
過去問で似たような問題あって、機会なのか動機なのかで掲示板の意見わかれてたからぼかした

指摘事項の対応でSBOMを作成したのは、グループ各社が独自で対策しているためどんな製品をしようしているか把握しきれないからかなーと思いました、、、

私も設問2は製造番号って書きました。
同士見つけてテンション上がりますwww

設問３の（２）を
アクセスログから不正使用がわかることを周知してあるから
と書いたんですけど.....
部分点とかもらえませんかね.......
模試をやったときに、ある問題で「従業員に周知することでどのような効果があるか」
というのがあって、その時の答えが「従業員による不正使用を抑止できる」だったので..........(´；ω；｀)

ゼロデイ攻撃を懸念して未知の脆弱性へ早期に対応をするため指摘をした

で個人的にはこれで良いと思うんですけどね
設問も上司は何を懸念して?SBOMの作成が必要だと指摘したって内容ですし
既存の対策の3カ月以上の周期の脆弱性情報収集じゃ足りないって観点だとゼロデイ懸念してSBOMかなと思うけど
ちなみに上場企業でセキュリティ担当やってます

令和2年のセキュリティと同じじゃないの？
不正にデータを持ち出すことができないことがわかるから

設問1は全記号正解で加点でしょうか...？
aク、bコ、dカ、eオで回答したため、bが×で全滅でしょうか？泣

a.b.c.dそれぞれ空欄が分かれてたと思うので全滅はないです
全滅になるとすれば設問に全て答えよと書いてある時だけです

設問３の（２）は私も令和2年のセキュリティと同じ問題だと思い、当時のIPAの模範解答で答えました。
→不正を隠し通せないことがわかるから

設問3（1）がイ、ウで割れているかと思いますが

選択肢『イ』は
サプライチェーン攻撃に対してエスカレーション等のフローを定めることのように読み取れるので有効な対応策かと思います。

逆に『ウ』は同一のセグメントにシステムを含めてしまうとシステムが同一のセグメント内で扱われてしまうので境界防御の意味がなくなってしまうから『適切でない』に該当するのかと思いました。

ゆうさん
昨日はお疲れ様さん

ありがとうございます……祈るしかないです……🙏

最後の問題ですが、
③の下線部がサプライチェーン攻撃への対策としての指摘であることと、SBOMに開発会社名を加えている記述から、「会社」がキーワードなのかなと考えました。

よって回答内容「同じ開発会社が開発したシステムに、同様の脆弱性が含まれる可能性」としました。でも、かなり回答に悩みました・・・・

皆様、試験お疲れ様でした。

最後の問題はNo.89さんの回答かなと思う。
私は書けなかった、、

問題をよく見返すと「脆弱性の観点から」って明確に指示があるから確かにNo.89さんが一番理想的な解答かも…

log4j意識した問題だと思うんで
未知の脆弱性(ゼロデイ脆弱性)
早期対応
って用語が必須だと思うんだけどな懸念事項だし

設問3(3)は構成管理の問題と考え、「新たに発見された脆弱性に対するセキュリティパッチの適用漏れを懸念」（本文にない）のようなことを書きましたが、それ以前の前提であり本文にある「利用しているオープンソースのソフトウェアライブラリの脆弱性」を抜き出したのが正解かと今頃になって思いました。

ChatGPTの説明ですが、「ゼロデイ攻撃は、脆弱性自体がまだ知られていない段階で発生します。
したがって、SBOMによってソフトウェア構成を把握していても、その脆弱性が知られていなければ防ぐことはできません。」ということなのでゼロデイ攻撃対策ではないのでは？
ゼロデイ攻撃ではなくnデイ攻撃対策にはなると思います。脆弱性情報が公開された後、既知脆弱性であればSBOMで迅速に対応できるので。

最後の問題
『各社が独自にセキュリティ対策を実施してしまっている』って書いてしまいましたね。。。
脆弱性という観点に着目と書いてあるので
『システム導入以降に明らかになった脆弱性への対策ができていないこと』
が正しいかもですね、、、

そうすると対策10でSBOMを導入する理由として既存のシステムで使用しているソフトウェア製品やライブラリを水平展開調査して脆弱性対策を実施することができると文章が繋がってくる気がします。

やっと採点する気になった、、午前はギリギリ
スタディングの解答速報見たけど3はウだった

ログの記録を周知するところの問題、「ログが記録されることで情報を持ち出した人間を特定できうるから」みたいなこと書いたんですが、正解もらえそうですかね。

設問3(3) 最新のセキュリティパッチ適用前の脆弱性へのNディ攻撃などのリスク

と回答したのですが論点ズレてますかね？
問題文に「オープンソースのソフトウェアライブラリの脆弱性」とあり、対象となる脆弱性の記述がない気がしています。

設問2 admin どうですかね？？

機器によってrootやciscoが考えられるのでバツだと思います

最後の問題について、
‘製品の名称やバージョンが正確にわからないと脆弱性対応が必要なのか判断ができない’
のようなことを書いたのですがだめですかね…

最後の問題は「オープンリソースのソフトウェアライブラリの脆弱性を利用した標的攻撃」かなと思いました。
システム導入以降に明らかになった脆弱性への対応は対策9でできてると思うのと、追加した対策10で業務システムで利用しているソフトウェア製品及びライブラリについて一覧にしてるので、業務システムが対象ではないかと。

設問３(2)は、「心理的に不正が難しくなるよね」みたいなことを問われていると思うんだけど、それをIPA様はなんて書いてほしいのかよく分からなかった。

パスワードのところは「汎用」はだめですかね。。。

>のっちさん
よくよく問題見返したらそれで合ってますね。。。
サーバとネットワーク機器については記載してあるけど、オープンリソースのソフトウェアライブラリは脆弱性診断の対象外なんですねこれ🥲

不正のトライアングル の正当化を防ぐことができる
って書いてけどダメ？？

>> Kottanさん(No.125)
自分も動機って書いてしまった身ですが、
防ぐことができるのは機会なのでそれ以外を書いた場合はダメですね、、

やっちゃダメ！の周知で
知らなかった！が消えると思ったから正当化にしたんですけど部分点あるかなあ

インターネットで調べてみるとSBOMはOSSの管理にも使われるみたいです。なので、脆弱性の管理について網羅できているかってことを考えると、OSSの脆弱性について言及するのが正解に近い形なのかなって思いますね。

設問3-3はソフトウェアサプライチェーン攻撃への対策と書いてあるので、
問題文「サプライチェーン攻撃の調査」の(3)ソフトウェアサプライチェーン攻撃の記述を踏まえて解答すればいいのかな？と思って、
「使用しているソフトウェアやライブラリの脆弱性を利用した標的型攻撃」みたいな感じのことを書きましたね…。

設問3-2
周知することで、不正行為が容易でない事を認識させることができるため。
設問3-3
今後どのような脆弱性が発見される恐れがあるかを想定・予防する必要がある。

これはどちらも部分点貰えますかね…
3-3は最後に焦って、日本語が少しおかしくなってしまったかも😭

アイテックの回答来ましたよ!!!

定期診断の間に発生するゼロデイ攻撃への対応遅れを懸念したため

だから言ったやん、これはlog4jを題材にしてるんだからゼロデイですよ

各社解答速報でも割れてますね、、どれが正解だろうか

・TAC
発見された脆弱性を持つ別の業務システムの調査が遅れる

・大原
オープンソースのソフトウェアライブラリの脆弱性に気付けないこと 

・iTEC
定期診断の間に発生するゼロデイ攻撃への対応遅れを懸念したため

＞erye4ryuさん

大原の解答が最もよいと考えます。
サプライチェーン攻撃は構成管理が肝です。
個人的にはTACとITECの解答はソフトウェアに対するサプライチェーン攻撃が考慮されていないため、不正解か減点と思います。また現状の対策3に示すように、脆弱性の定期診断はネットワーク機器やサーバなどのハードウェア対象で、業務システムについては現状の対策4に示しているとおり、導入時のみに行われその後は何も対策されていません。

ソフトウェアサプライチェーン攻撃はSBOMによる構成管理が肝です

では、構成管理が肝な理由としては、
それはオープンソースのソフトウェアライブラリの脆弱性に気づく必要があるから
だと思いますが

何を懸念して、そんなことしないといけないの??
って設問であれば、
定期診断の間に発生するゼロデイ攻撃への対応遅れを懸念したため
だと思いますね

・STUDYing解答速報
オープンソースのソフトウェアライブラリの脆弱性を見逃してしまうこと

大原と同じ。

＞まんさんさん
ゼロデイ攻撃の対応以前に、業務システムには脆弱性の定期診断自体がありません。
業務システムは導入時に脆弱性診断して終わりです。その後業務システムで使用しているオープンソースソフトウェアに次々と脆弱性が発見されても、定期診断がないため脆弱性は残り続けます。それが問題になるので、SBOMを導入してOSSのバージョンを管理しましょうという流れです。

マンドリル先生がおっしゃる通り
定期診断の間に
は間違いになりますね。

ただ、マンドリル先生がおっしゃるように
次々と脆弱性が発見されるという点
が懸念なのではないか?と思います

そういう意味では、
ゼロデイ攻撃など次々とあらわれる脆弱性を突いてくるような脅威を懸念して、SBOMを導入してOSSのバージョンを管理しましょう
という流れだと思うので、やっぱり懸念すべきはゼロデイ攻撃で、脆弱性へ早期に対応すべきだからこそ、OSSのバージョンを管理するのだと思います

B部長の気持ちが分かりました。
担当任せにせず、指摘しよう

多分、模範回答は
オープンソースのソフトウェアライブラリの脆弱性に問題があることを懸念点として書くことでしょね。
わざわざ、通信機器、ネットワーク機器は点検対象としてるのにオープンソースソフトウェアは点検対象外だったりサプライチェーン攻撃の説明にOSSの脆弱性を利用して攻撃するみたいなこと書いてあるし。
よく見るとかなり答えを誘導して書かせるようにしてますね

ゼロデイ攻撃は深読みしすぎなのかね
部長が言いたいのはOSS管理してないじゃんの指摘かな

つまり、セキュリティ担当だけに任せておくとダメダメなので、管理職もしっかり指摘しなきゃってことですね。

>設問３(2)は、「心理的に不正が難しくなるよね」みたいなことを問われていると思うんだけど、それをIPA様はなんて書いてほしいのかよく分からなかった。
R2年午後の設問1の公式解答例に「不正を隠し通せないことが分かるから」というものがあるので、
そんな感じのことを書けばバツにはならないのではないかな、と思います。

そもそも「導入時脆弱性診断を定期脆弱性診断に変えてもまだ足りない」のがB部長の指摘③なので、ゼロデイ方面の回答がベターっぽいですね・・・

ゼロデイ攻撃方面が絶対に正解です。
大手予備校の解答が全て間違っています。

ちなみに大手企業で、セキュリティ担当してます!

12月25日の結果待ちましょう
ちなみに今日が引越し日で、少し家が広くなります！

ですよね、私も上場企業でセキュリティ担当ですがゼロデイ一択だと思いました
log4jのゼロデイ脆弱性を題材にしてるので

下記の回答が何点になると思うかご意見ください。

設問3 (2) 配点4
内部不正を行うと情報システム部に知られるかもしれないため

設問3 (3) 配点4
既知の脆弱性に対して、対応が行われる前に攻撃が行われること