総視聴再生時間43万分以上(2017年5月13日現在)の動画で基本情報技術者試験の過去問&キーワード解説!スキマ時間に動画!〜これじょIT〜

PR広告

平成27年度春 基本情報技術者試験 午後 問1 情報セキュリティ 問題文とキーワード

インターネットを利用した受注管理システムのセキュリティに関する次の記述を読んで、設問1~4に答えよ。

 製造業のK社では、インターネットを利用した受注管理システムを開発している。受注管理システムは、取引先も利用するので、セキュリティ上の欠陥があった場合、自社だけでなく取引先にも損害を与える可能性がある。そこで、K社は、セキュリティ診断サービスを行っているZ社に、受注管理システムの脆(ぜい)弱性診断を依頼した。

〔受注管理システム〕

 受注管理システムのアプリケーション(以下、受注管理アプリケーションという)は、Webサーバ上で稼働する。受注や出荷などの情報は、データベース(以下、DBという)サーバ上で稼働する受注情報DBに格納され、受注管理アプリケーションから、参照、更新される。取引先PCにダウンロードできるファイルや、取引先PCからアップロードされたファイルは、Webサーバに接続されているディスクに格納される。受注管理システムの構成を図1に示す。

平成27年度春 基本情報技術者試験 午後 問1 情報セキュリティ 図1

 RPSには、ディジタル証明書を設定しておく。受注管理システムを利用する取引先の担当者は、取引先PCのブラウザからRPSを経由して受注管理アプリケーションにアクセスし、ログイン画面で利用者IDとパスワードを入力してログインする。その際、取引先PCのブラウザからの通信には、HTTP over SSL/TLS(以下、HTTPSという)を使用する。RPSではディジタル証明書を使って、HTTPSからHTTPにプロトコルを変換する。

〔Z社の脆弱性診断の結果〕

 受注管理アプリケーションには、想定していない操作をDBサーバに実行させて、DBに不正アクセスするような【 a 】については、対策がされている。しかし、Z社の脆弱性診断の結果、受注管理アプリケーションに対策が必要なセキュリティ上の脆弱性が複数指摘された。表1にZ社からの指摘事項(抜粋)を示す。

平成27年度春 基本情報技術者試験 午後 問1 情報セキュリティ 表1

 K社は、表1中の下線①及び②に対策を行った。さらに、Z社からのその他の 指摘事項にも対策を行って、K社は、受注管理システムの運用を開始することにした。

設問1

図1中の通信経路を表2に示す1~5とした場合、取引先PCからWebサーバにアクセスするときに、HTTPSが通信に使われる通信経路だけを全て示す正しい答えを、解答群の中から選べ。

平成27年度春 基本情報技術者試験 午後 問1 情報セキュリティ 表2

解答群

  • ア : 1
  • イ : 1、2、3
  • ウ : 1、2、3、4
  • エ : 1、2、3、4、5
  • オ : 2、3、4
  • カ : 2、3、4、5
  • キ : 3、4

設問2

本文中の に入れる適切な答えを、解答群の中から選べ。

a、b に関する解答群

設問3

表1中の下線①の対策として適切な答えを、解答群から選べ。

解答群

  • ア : ダウンロードしたいファイルを絶対パスで指定させ、該当ファイルが存在する場合には、ダウンロードの処理を行う。
  • イ : ダウンロードしたいファイルを相対パスで指定させ、該当ファイルが存在する場合には、ダウンロードの処理を行う。
  • ウ : ダウンロードしたいファイルのファイル名だけを指定させ、取引先ごとに決められたフォルダ内に該当ファイルが存在する場合には、ダウンロードの処理を行う。
  • エ : 取引先PCのブラウザに、Webサーバ上の全てのフォルダ構成及びファイルを表示し、ダウンロードしたいファイルを指定させ、ダウンロードの処理を行う。

設問4

表1中の下線②の脆弱性から考えられるセキュリティ事故として適切な答えを,解答群の中から選べ。

解答群

  • ア : 取引先の担当者が誕生日をパスワードにしていると,誕生日を知っている者がログインできてしまう。
  • イ : パスワードの候補を自動で次々と入力するプログラムを利用することで,ログインできてしまう。
  • ウ : パスワードを記載したメモを取引先の担当者が落とし,それを拾った者がログインできてしまう。
  • エ : ログイン操作を背後から盗み見て,パスワードを入手し,ログインできてしまう。

キーワード

ディジタル証明書

電子証明書(ディジタル証明書)とは、認証局(CA)が発行する「デジタル署名」解析用の公開鍵が正しいことを証明するデータでし〜

サーバ用のディジタル証明書をサーバ証明書といいます(この言葉を使う方が多いかもしれません)。上の動画はサーバ証明書の説明ですが、同じ仕組みです!

HTTPS

HTTPSとは、Webデータ転送に用いられるHTTPが、SSLで暗号化されているものです!

HTTP

HTTPとは、Webデータ転送に用いられます。

ウェブサイトをみるためのプロトコルです。

不正アクセス

不正アクセスとは文字通り、正当な手続きを踏まずにコンピュータシステムにアクセスすることです。

ニュースなどで、「●●会社のシステムがハッキングされ、個人情報が流出しました」とありますが、これは不正アクセスされた結果、個人情報が流出してしまったという事件です。

Windowsなどのオペーレーションシステム(OS)には必ずセキュリティホールがあり、この弱点(脆弱性)をつき無断でコンピュータを使用し、中身のデータを取得することを不正アクセスといいます。

平成27年度春 基本情報技術者試験 午後 問1 情報セキュリティ 目次

  1. 問題文とキーワード
  2. 設問1
  3. 設問2
  4. 設問3
  5. 設問4

タグ: ,,,

PR広告

フェイスブックコメント

平成28年度秋 基本情報技術者試験 午後 テキスト・動画解説

平成28年度秋 基本情報技術者試験 午前 テキスト・動画解説

平成28年度春 基本情報技術者試験 午後 テキスト・動画解説

平成28年度春 基本情報技術者試験 午前 テキスト・動画解説

平成27年度秋 基本情報技術者試験 午後 テキスト・動画解説

平成27年度春 基本情報技術者試験 午後 テキスト・動画解説

平成27年度春 基本情報技術者試験 午前 テキスト・動画解説

平成26年度秋 基本情報技術者試験 午前 テキスト・動画解説

平成26年度春 基本情報技術者試験 午前 テキスト・動画解説