構築中。

名古屋のITインフラお守り係です。ITイベントへの参加記録などを残していきます。

デスペとセキスペの午後問だけさらっと流し読みしてみた(注:解説ではありません)

今回の情報処理技術者試験+情報処理安全確保支援士試験問題が公開されたので、データベーススペシャリスト試験と情報処理安全確保支援士試験の午後問だけ流し読みしてみました。

※今年は身近に応用情報以上を受けた人がいなかったのと、遠方へ桜巡りに出かけていて疲れたので、他分野はパスです。

IPA 独立行政法人 情報処理推進機構:問題冊子・配点割合・解答例・採点講評(2017、平成29年)

 

まずはデスペ。午後Ⅰの問1はDB基礎理論、問2はトランザクションと隔離性水準(ISOLATION LEVEL)問3はチューニング(SQLとINDEX・テーブル構造)問題でした。

問1、グループウェアを「GW」と略されると(私の職場でもそう略していますが)、どうしても間近に迫ったゴールデンウィークが頭にちらついてしまって、問題に集中できなくなりそうです。また、リレーションシップの線が斜め方向の直線で示されていて、いつもと見た目が違って動揺した人がいたかも。

問2の隔離性水準は、設問はともかく、実務上は使うRDBMSによって気を付けるポイントが違うので注意が必要です。この問題では当初REPEATABLE READで設計・運用していたようなので、いつものOracleではなくMySQLだったのでしょうかね?ただ、MySQLInnoDB)では主キー順のクラスタインデックス形式でテーブル列が記録されるので、主キーにAUTO_INCREMENT値などの登録順が昇順になる値(自然キーがそうでない場合は代理キー)を使わないと、デフォルトのREPEATABLE READ(ほぼSERIALIZABLEに近い)では更新時にロックが掛かりまくってトランザクション処理が辛くなります(その上、一部のSQLだけREAD COMITTEDになったり、逆にREAD COMITTEDで流しているときに一部のSQLが勝手にREPEATABLE READになるという罠も)。問3とは直接関係なさそうですが、この点はチューニングにも関連します。

午後Ⅱの問1、DBA分野ではレプリケーションが登場しました。やはり、出題者にMySQLおじさんがいるのでしょうか?(他のRDBMSでもサポートしているけど)。と思って読み進めたら、VIEWを使っていたのでやっぱり違うかも(MySQLでもVIEWは使えますが、オプティマイザの制約でパフォーマンスが落ちるケースが多いので)。

問2はいつものデスペでした。

 

次にセキスペ。当然と言えば当然ですが、インシデント祭りです。ARPスプーフィング(設問ではARPポイズニング)、CSRFらしきことを使ってヤラレているようです。

午後Ⅰ問2ではセキュリティ専門業者J社に所属するK氏(JK?)という設定で、情報処理安全確保支援士が登場しています。本当に役に立つのだろうか(失礼)。フィクションなので「何でもあり」なんでしょうけど。

問3ではSAML認証によるSSOに接続元制限機能を組み合わせています。SAMLではクライアントでリダイレクトしたり等、流れがちょっと複雑です。また、日本語の資料が少ないので、資料を読み解いて実装しようとするとかなり大変です。

午後Ⅱ問1ではPackerが説明付きで登場しています。私のようなインフラのお守り係(但し片足脱出企図中)にとっては、マルウェア用の暗号化ツールではなくてHashiCorp社のPackerのほうを先にイメージしてしまいます。いずれにせよ、「パッカー」とカタカナで書かれるとマヌケな感じがしてしまいます。危険なのに。

問2ではマルウェア感染とC&C接続の調査をしていますが、やはりログをちゃんと取ることが肝心ですね。

 

…設問の解説ではなくて、設問に出てきたキーワードやシチュエーションからの思い付きばかり書いてしまいました。