令和7年秋 情報処理安全確保支援士試験 受験レポート -最後の「紙」試験を受けてきた話-

本記事はアジアクエスト Advent Calendar 2025の記事です。

1. 最後の「紙」試験へ

はじめに

アジアクエスト クラウドインテグレーション部の須藤匠です。
去る10月12日（日）に情報処理安全確保支援士試験を受験してまいりましたので、受験レポートを書き残しておきたいと思います。

2026年度からCBT化へ

情報処理安全確保支援士試験は、2026年度からCBT（Computer Based Testing）化が予定されていますので、今回受験した令和7年度秋期が、最後の「紙」での試験となりました。
つまり、たいへん寂しいことに、年2回の試験で受験者が一堂に会して一斉にガリガリ回答する方式は今回で最後となります。

2. 受験会場

最高の環境だが徹夜には失敗

• 会場: 工学院大学 新宿キャンパス
  • アクセス抜群
  • 新宿駅からの脱出に時間を要しました
• 周辺環境:
  • 周辺にカフェやコンビニが多く、待機に便利な環境でした
• 前日の失敗談:
  • 試験前日から当日の朝まで新宿の24時間営業の喫茶店で最後の追い込みをかけようと計画していました
  • 試験前日は自宅にて1日中爆睡してしまい、計画は失敗に終わりました

3. 【無駄知識】CBT化で役に立たなくなるTips

IPA以外のペーパー試験を受験する際に役立てて下さると幸いです

• 受験申し込み時の先着順で、住所に近い会場が割り当てられるという伝説があります
  • CBT化後は受験者の都合に合わせて試験時期と会場の選択が可能となります
  • テストセンターの席も有限ですので、今後も早く申し込むに越したことはありません
• 受験票に貼る写真は、自分で撮影したものをコンビニなどで印刷すると撮影と印刷のコストを抑えられます
  • CBT化後は紙の受験票は廃止となります
• 午前試験はマーク方式であるため、鉛筆を持参すると高速で回答できます
  • CBT化後は筆記用具の持参は不要となります

4. 午後問題の選択と試験形式

午後試験の変遷

• 試験時間:
  • 令和5年度から午後I（90分）と午後II（120分）が統合され、12:30〜15:00の150分に
  • 統合前より早く帰れるようになりました
• 選択問題:
  • 問1〜問4の中から2問を選択して解答します
  • 今回の出題:
    • 問1 コンサルティング業務で利用するSaaSについて
    • 問2 暗号資産交換業におけるセキュリティについて
    • 問3 情報システムのセキュリティ強化について
    • 問4 製造業におけるセキュリティ管理について
• 筆者は問1と問3を選択しました

5. 午後問題 問1 解説（SaaSの脆弱性）

格納型XSS（ファイル参照型）とCSRFの複合攻撃

• テーマ: プロジェクト管理SaaSにおける管理者権限奪取と情報漏洩

• 前提となる脆弱性:

  1. ファイルアップロード機能の不備: 拡張子チェックのみで、アップロードされたファイルが本当にそのコンテンツタイプかを確認しない
  2. プロジェクト進捗管理画面の不備（格納型XSS）: タスク名の入力値に対して、HTMLタグのエスケープがされていなかった

• 具体的な攻撃連鎖:

  1. 悪意のあるファイル名の悪用: 攻撃者がscriptタグを含むファイル（例: F1234567890.xlsx）をSaaSにアップロード。このファイル自体は、管理者昇格用のCSRFスクリプトが記述されたものです
  2. スクリプトの注入（XSS）: タスク名として、<script src="/files/F1234567890.xlsx"></script>という文字列を登録
  3. Content Security Policy（CSP）の回避: 読み込まれるパスが自サイト内であるため、CSPのdefault-src 'self'をすり抜けて、スクリプトが実行されました
  4. 管理者権限奪取（CSRF）: 実行されたスクリプトにより、管理者のセッションを利用して、自分自身を管理者ロールに変更するCSRFリクエストが自動的に送信されました
     • リクエスト先: /management/roleset | パラメータ: is_admin=1
  5. 実行の限定条件: この攻撃が成功するのは、管理者ユーザーが「プロジェクト進捗管理画面」を開き、かつ当該タスクが「未完了で期限切れ」として表示されている場合に限られます。一般ユーザーのセッションでは権限不足でCSRFは失敗します
  6. 最終目的達成: 管理者権限を奪取し、本来アクセスできないファイルをダウンロード

• 教訓:

  • 類似のSaaSやWebアプリケーションにおいては、アップロードされたファイルの検証と入力されたデータの出口でのエスケープが不可欠です
  • 反省: 筆者は試験中、XSS対策として何を改修すべきかという問いに対して、出力時（プロジェクト進捗管理画面）でのエスケープではなく、入力時（タスク管理画面）でのエスケープをすると回答してしまいましたが、恐らく点は取れていません
    • エスケープの方法は出力時のデータの使い方によって変化するため、入力時でのエスケープは悪い例となります
    • 参考: 徳丸浩の日記「悪いサニタイズ、良い(?)サニタイズ、そして例外処理」

6. 午後問題 問3 解説（セキュリティ強化）

インターネットバンキングの認証方法比較: MITB攻撃とWYSIWYS原則

• テーマ: インターネットバンキング（IB）の認証トークンの比較による振込先改ざんリスクの評価

• 想定攻撃: MITB（Man-in-the-Browser）攻撃

  • ユーザーのPCに感染したマルウェアが、ブラウザ内部で通信内容や表示内容を改ざんする

• Y-IB（数字入力トークン）のリスク:

  • 認証の対象が限定的: トークンは口座番号など一部のパラメータのみを基に認証番号を生成
  • MITB攻撃に脆弱: マルウェアにより画面が改ざんされても、トークンには取引内容が表示されないため、ユーザーは不正を見破れません

• Z-IB（カメラ付きトークン）の優位性:

  • 2次元コードの利用: Web画面の2次元コードに、取引内容がエンコードされます
  • 物理的な独立性: カメラ付きトークンがコードを読み取り、改ざん後の取引内容を独立したディスプレイに表示することで、PC内のマルウェアに表示を騙されることなく「目視チェック」を強制し、改ざんリスクを大幅に低減します

• 教訓

  • WYSIWYS（What You See Is What You Sign） の徹底
    • 認証や署名の対象となる情報（この場合は振込内容のすべて）を、信頼できる独立した媒体（カメラ付きトークン）でユーザーに確認させることが、PCがマルウェアに感染している状況下での情報改ざんリスクを防ぐ上で極めて重要です

デバイスの健全性をチェックするアクセス制御

• Kサービス（VPN）の利用: HTTPS VPNサービスをリモートアクセスインフラとして導入

• ゼロトラスト的なアクセス制御:

  • 接続元PCのOSのバージョン、脆弱性修正プログラムの適用状況、マルウェア対策ソフトのバージョンなどを確認
  • 安全な状態にあるPCからのみ接続を許可し、ログに記録することで、ネットワークに接続するデバイスの信頼性を担保する仕組みです

• 使用できる認証要素の追加:

  • 社有スマホ故障時の対策として、MFA（多要素認証）を、アプリ認証だけでなくSMS認証（予備の認証情報） も選べる認証方式に変更し、業務継続性を確保

• 教訓: 多層防御の重要性

  • MFA（多要素認証）、PC情報チェック（デバイスの健全性）、Kサービス（通信経路のフィルタリング）と、複数の層で防御を重ねていました
  • 単一の対策に依存せず、各レイヤーでの防御を徹底することの重要性を学びました

7. 受験後の所感

所感とこれからの提言

• 手応え:
  • 午後問題は、単なる知識の暗記ではなく、インシデントの分析と基本原則に基づいた対策の論述に重点が置かれていました
  • ほとんどの記述問題で回答の文字数指定がなく、回答の作成はし易かったです
    • 一方で、得点に十分な情報を回答に盛り込めているかの判断をつけ難かったです
  • 問1も問3も、根本は「最小権限の原則」「入力と出力の分離」「業務継続性を考慮した多要素認証方式」といった基本原則の適用方法が問われていると感じました
    • 最新技術へのキャッチアップも重要ですが、基本原則を確認する姿勢が重要だと再認識しました
• 所感:
  • 最後の紙試験という貴重な経験をすることができました。合否はまだわかりませんが、この経験を活かし、チームのセキュリティ向上に貢献していきます！
  • 筆者と同日に受験された皆様、本当にお疲れ様でした！