総視聴再生時間43万分以上(2017年5月13日現在)の動画で基本情報技術者試験の過去問&キーワード解説!スキマ時間に動画!〜これじょIT〜

PR広告

基本情報技術者試験午後 問1 情報セキュリティ 設問2

インターネットを利用した受注管理システムのセキュリティに関する次の記述を読んで、設問1~4に答えよ。

 製造業のK社では、インターネットを利用した受注管理システムを開発している。受注管理システムは、取引先も利用するので、セキュリティ上の欠陥があった場合、自社だけでなく取引先にも損害を与える可能性がある。そこで、K社は、セキュリティ診断サービスを行っているZ社に、受注管理システムの脆(ぜい)弱性診断を依頼した。

〔受注管理システム〕

 受注管理システムのアプリケーション(以下、受注管理アプリケーションという)は、Webサーバ上で稼働する。受注や出荷などの情報は、データベース(以下、DBという)サーバ上で稼働する受注情報DBに格納され、受注管理アプリケーションから、参照、更新される。取引先PCにダウンロードできるファイルや、取引先PCからアップロードされたファイルは、Webサーバに接続されているディスクに格納される。受注管理システムの構成を図1に示す。

平成27年度春 基本情報技術者試験 午後 問1 情報セキュリティ 図1

 RPSには、ディジタル証明書を設定しておく。受注管理システムを利用する取引先の担当者は、取引先PCのブラウザからRPSを経由して受注管理アプリケーションにアクセスし、ログイン画面で利用者IDとパスワードを入力してログインする。その際、取引先PCのブラウザからの通信には、HTTP over SSL/TLS(以下、HTTPSという)を使用する。RPSではディジタル証明書を使って、HTTPSからHTTPにプロトコルを変換する。

〔Z社の脆弱性診断の結果〕

 受注管理アプリケーションには、想定していない操作をDBサーバに実行させて、DBに不正アクセスするような【 a 】については、対策がされている。しかし、Z社の脆弱性診断の結果、受注管理アプリケーションに対策が必要なセキュリティ上の脆弱性が複数指摘された。表1にZ社からの指摘事項(抜粋)を示す。

平成27年度春 基本情報技術者試験 午後 問1 情報セキュリティ 表1

 K社は、表1中の下線①及び②に対策を行った。さらに、Z社からのその他の 指摘事項にも対策を行って、K社は、受注管理システムの運用を開始することにした。

設問2

本文中の に入れる適切な答えを、解答群の中から選べ。

a、b に関する解答群

解説

まずは【 a 】から、「想定していない操作をDBサーバに実行させて、DBに不正アクセスする」攻撃を「SQLインジェクション」といいます!答えは「イ」です!

SQLインジェクションとは、Webサイトで、データベースから情報を引き出したり、追加や更新を行うプログラムにパラメータとしてSQL文の断片を与えることにより、データベースを改ざんしたり不正に情報を入手する攻撃手法です!

続いて【 b 】です。この問題も前後の文脈から分かります。「攻撃者によってWebページ内にスクリプトが埋め込まれてしまう攻撃」を「クロスサイトスクリプティング」といいます!

クロスサイトスクリプティングとは、セキュリティホールの一つです!

Webサイト上のプログラムが、悪意のあるコードを訪問者のブラウザに送ります。悪意あるユーザがフォームを通してJavaScriptをHTMLに埋め込み、一般の訪問者がページ閲覧した際にコンピュータでスクリプトが実行されてしまいます!

フォーム入力時には適切な入力チェックが必要です!

その他の選択肢のキーワードの解説をします。

DoS攻撃

DoSとは、攻撃方法の一つで、相手のコンピュータやルータに不正データを大量送信して使用不能にする攻撃方法です。

辞書攻撃

辞書攻撃とは、辞書に記載される単語やパスワードに使われる可能性が高い単語をリスト化(辞書化)したものを使い、総攻撃をかける方法です!

ディレクトリトラバーサル

ディレクトリトラサーバル攻撃とは、ネットワークの攻撃手法のひとつです!

ファイル名を扱うプログラムに特殊な文字列("."や"/" )を送信し、通常アクセスできないファイルやディレクトリ(フォルダ)の内容を取得する手法です!

トラッシング

トラッシング(スカビンジング)とは、ソーシャルエンジニアリングの一つで、オフィスから出た紙ゴミをあさり、機密情報を探し出す手口です!

ブルートフォース攻撃

ブルートフォース(総当たり)攻撃とは、暗号解読手法の一つです!考えられる全ての鍵をリストアップし、片っ端から解読を試みる方式です!

ポートスキャン

ポートスキャンとは、サーバのポートアクセスし、動作しているアプリケーションなどを調べ、脆弱なポートを調べる行為です!

セキュリティホールを探す際に利用しますが、悪用することで不正アクセスを助長もします。

平成27年度春 基本情報技術者試験 午後 問1 情報セキュリティ 目次

  1. 問題文とキーワード
  2. 設問1
  3. 設問2
  4. 設問3
  5. 設問4

タグ: ,,,

PR広告

フェイスブックコメント

平成28年度秋 基本情報技術者試験 午後 テキスト・動画解説

平成28年度秋 基本情報技術者試験 午前 テキスト・動画解説

平成28年度春 基本情報技術者試験 午後 テキスト・動画解説

平成28年度春 基本情報技術者試験 午前 テキスト・動画解説

平成27年度秋 基本情報技術者試験 午後 テキスト・動画解説

平成27年度春 基本情報技術者試験 午後 テキスト・動画解説

平成27年度春 基本情報技術者試験 午前 テキスト・動画解説

平成26年度秋 基本情報技術者試験 午前 テキスト・動画解説

平成26年度春 基本情報技術者試験 午前 テキスト・動画解説