もう一歩得点アップを狙うために、設問の系統によって答えがどこに書かれているか把握しよう!というアプローチ方法を考えました。具体例3パターンをあげてみましたので、過去問を見ながら読んで頂けたらと思います。
【この記事の対象者】
● 用語の暗記などはもう終わっているが、午後問題に自信がない方
● 過去問演習はそれなりにやったが何をやって良いかわからず得点アップのネタがほしい方
● 点数が伸び悩んでいて、あと10点取れるようになりたい方
パターン1
引用)H28秋午後Ⅱ問1 設問2(1)
◆問題
「Jシステムの基本要件を満たすために、システム部が確認すべきことはなにか」?
◆考え方
前提として、以下の2つがあります。
5ページ目に、図1 Jシステムの基本要件と手順
8ページ目に、図4 認証カードの失効手順案
「認証カードの失効手順案」の中で「図1 Jシステムの基本要件と手順」を満たしていないポイントを見つける。
◆答えの場所
「図1 Jシステムの基本要件と手順」にあります。
◆公式解答
・申請者に認証カードを貸与済みでないこと
・申請者が事業用システムの利用を業務上必要としていること
※おまけ※
「基本要件」の中には「手順」と「制約」が書かれていることが多いです。問題文の中で「問題発生→対策→手順変更」になっても、最初に提示されている「制約」は基本的に変わりません。この変わらない「制約」に関することを答えさせる問題もよく出ます。
パターン2
引用)H28秋午後Ⅱ問1 設問2(3)
◆問題
失効手順に不備があるが、改善すべき不備の内容は?
◆考え方
前提として、以下の2つがあります。
5ページ目に、図1 Jシステムの基本要件と手順
8ページ目に、図4 認証カードの失効手順案
「不備」とは何かを考えるときに、前提にまず「基本要件」を確認します。「基本要件」を満たしていないポイントが不備に当たります。
◆答えの場所
「図1 Jシステムの基本要件と手順」と「図4 認証カードの失効手順案」を見比べてください。「失効手順」の中で「基本要件」が満たされていないポイントが、答えになります。今回の回答のように、時系列に関することが書かれていたら要チェックです。
◆公式解答
失効の申請がされてから失効情報の開示まで最短でも2日掛かるという不備
パターン3
引用)H28春午後Ⅱ問1 設問3(2)
◆問題
どのように検知すべきか?
◆考え方
まず一番重要なポイントです。
「③新たな検知方法」にだけ下線が書かれていますが、直前も読んで考慮いますか?この場合は「A社のLDAPサーバの運用管理を考慮した」という前置きをわざわざ書いてくれています。「③新たな検知方法」だけを見たらいくつも回答は考えられますが、IPAは別解が出ないように工夫して試験を作っていますから、多くの問題でこういう直前に前置きを書いてくれています。
では、A社のLDAPサーバの運用管理について書かれていそうな箇所を読みます。
「表3 情報機器の概要(抜粋)」に運用チーム4名のLDAPIDでだけログインできる。という記載があります。4名のLDAPID以外からリクエストがきたらおかしい、ということを利用して検知できることになります。
こういった、「~だけ~できる」というのはセキュリティの基本の一つである「最小権限の原則」といいます。「必要な人にだけ必要なものを与えて、不正が起きる可能性をできるだけ抑えよう」と考え方です。 また、別の記事に書いている「だけ」にマーキングが出来ていて「制限」が書かれていることが意識できれば解ける問題かなと思います。
◆答えの場所
表3 情報機器の概要(抜粋)の「制限」が書かれている部分
◆公式解答
IT部運用チームのメンバのLDAPID以外によるログイン要求の検知