総視聴再生時間43万分以上(2017年5月13日現在)の動画で基本情報技術者試験の過去問&キーワード解説!スキマ時間に動画!〜これじょIT〜

PR広告

基本情報技術者試験午後 問1 情報セキュリティ 設問4

インターネットを利用した受注管理システムのセキュリティに関する次の記述を読んで、設問1~4に答えよ。

 製造業のK社では、インターネットを利用した受注管理システムを開発している。受注管理システムは、取引先も利用するので、セキュリティ上の欠陥があった場合、自社だけでなく取引先にも損害を与える可能性がある。そこで、K社は、セキュリティ診断サービスを行っているZ社に、受注管理システムの脆(ぜい)弱性診断を依頼した。

〔受注管理システム〕

 受注管理システムのアプリケーション(以下、受注管理アプリケーションという)は、Webサーバ上で稼働する。受注や出荷などの情報は、データベース(以下、DBという)サーバ上で稼働する受注情報DBに格納され、受注管理アプリケーションから、参照、更新される。取引先PCにダウンロードできるファイルや、取引先PCからアップロードされたファイルは、Webサーバに接続されているディスクに格納される。受注管理システムの構成を図1に示す。

平成27年度春 基本情報技術者試験 午後 問1 情報セキュリティ 図1

 RPSには、ディジタル証明書を設定しておく。受注管理システムを利用する取引先の担当者は、取引先PCのブラウザからRPSを経由して受注管理アプリケーションにアクセスし、ログイン画面で利用者IDとパスワードを入力してログインする。その際、取引先PCのブラウザからの通信には、HTTP over SSL/TLS(以下、HTTPSという)を使用する。RPSではディジタル証明書を使って、HTTPSからHTTPにプロトコルを変換する。

〔Z社の脆弱性診断の結果〕

 受注管理アプリケーションには、想定していない操作をDBサーバに実行させて、DBに不正アクセスするような【 a 】については、対策がされている。しかし、Z社の脆弱性診断の結果、受注管理アプリケーションに対策が必要なセキュリティ上の脆弱性が複数指摘された。表1にZ社からの指摘事項(抜粋)を示す。

平成27年度春 基本情報技術者試験 午後 問1 情報セキュリティ 表1

 K社は、表1中の下線①及び②に対策を行った。さらに、Z社からのその他の 指摘事項にも対策を行って、K社は、受注管理システムの運用を開始することにした。

設問4

表1中の下線②の脆弱性から考えられるセキュリティ事故として適切な答えを,解答群の中から選べ。

解答群

  • ア : 取引先の担当者が誕生日をパスワードにしていると、誕生日を知っている者がログインできてしまう。
  • イ : パスワードの候補を自動で次々と入力するプログラムを利用することで、ログインできてしまう。
  • ウ : パスワードを記載したメモを取引先の担当者が落とし、それを拾った者がログインできてしまう。
  • エ : ログイン操作を背後から盗み見て、パスワードを入手し、ログインできてしまう。

解説

下線②は「取引先の担当者がログイン時にパスワードを連続して間違えても利用者IDがロックされない」です。

もし「パスワードの候補を自動で次々と入力するプログラム」を利用した場合、いつかログインできる可能性があり、不正アクセスなどのセキュリティ事故につながります。

対策としてログイン時にパスワードを連続して間違えた場合利用者IDをロックすることで防ぐことができます!

従って正解は「イ : パスワードの候補を自動で次々と入力するプログラムを利用することで、ログインできてしまう。」となります!

平成27年度春 基本情報技術者試験 午後 問1 情報セキュリティ 目次

  1. 問題文とキーワード
  2. 設問1
  3. 設問2
  4. 設問3
  5. 設問4

タグ: ,,,

PR広告

フェイスブックコメント

平成28年度秋 基本情報技術者試験 午後 テキスト・動画解説

平成28年度秋 基本情報技術者試験 午前 テキスト・動画解説

平成28年度春 基本情報技術者試験 午後 テキスト・動画解説

平成28年度春 基本情報技術者試験 午前 テキスト・動画解説

平成27年度秋 基本情報技術者試験 午後 テキスト・動画解説

平成27年度春 基本情報技術者試験 午後 テキスト・動画解説

平成27年度春 基本情報技術者試験 午前 テキスト・動画解説

平成26年度秋 基本情報技術者試験 午前 テキスト・動画解説

平成26年度春 基本情報技術者試験 午前 テキスト・動画解説