総視聴再生時間43万分以上(2017年5月13日現在)の動画で基本情報技術者試験の過去問&キーワード解説!スキマ時間に動画!〜これじょIT〜

PR広告

平成27年度春 基本情報技術者試験 午後 問1 情報セキュリティ

インターネットを利用した受注管理システムのセキュリティに関する次の記述を読んで、設問1~4に答えよ。

 製造業のK社では、インターネットを利用した受注管理システムを開発している。受注管理システムは、取引先も利用するので、セキュリティ上の欠陥があった場合、自社だけでなく取引先にも損害を与える可能性がある。そこで、K社は、セキュリティ診断サービスを行っているZ社に、受注管理システムの脆(ぜい)弱性診断を依頼した。

〔受注管理システム〕

 受注管理システムのアプリケーション(以下、受注管理アプリケーションという)は、Webサーバ上で稼働する。受注や出荷などの情報は、データベース(以下、DBという)サーバ上で稼働する受注情報DBに格納され、受注管理アプリケーションから、参照、更新される。取引先PCにダウンロードできるファイルや、取引先PCからアップロードされたファイルは、Webサーバに接続されているディスクに格納される。受注管理システムの構成を図1に示す。

平成27年度春 基本情報技術者試験 午後 問1 情報セキュリティ 図1

 RPSには、ディジタル証明書を設定しておく。受注管理システムを利用する取引先の担当者は、取引先PCのブラウザからRPSを経由して受注管理アプリケーションにアクセスし、ログイン画面で利用者IDとパスワードを入力してログインする。その際、取引先PCのブラウザからの通信には、HTTP over SSL/TLS(以下、HTTPSという)を使用する。RPSではディジタル証明書を使って、HTTPSからHTTPにプロトコルを変換する。

〔Z社の脆弱性診断の結果〕

 受注管理アプリケーションには、想定していない操作をDBサーバに実行させて、DBに不正アクセスするような【 a 】については、対策がされている。しかし、Z社の脆弱性診断の結果、受注管理アプリケーションに対策が必要なセキュリティ上の脆弱性が複数指摘された。表1にZ社からの指摘事項(抜粋)を示す。

平成27年度春 基本情報技術者試験 午後 問1 情報セキュリティ 表1

 K社は、表1中の下線①及び②に対策を行った。さらに、Z社からのその他の 指摘事項にも対策を行って、K社は、受注管理システムの運用を開始することにした。

設問1

図1中の通信経路を表2に示す1~5とした場合、取引先PCからWebサーバにアクセスするときに、HTTPSが通信に使われる通信経路だけを全て示す正しい答えを、解答群の中から選べ。

平成27年度春 基本情報技術者試験 午後 問1 情報セキュリティ 表2

解答群

  • ア : 1
  • イ : 1、2、3
  • ウ : 1、2、3、4
  • エ : 1、2、3、4、5
  • オ : 2、3、4
  • カ : 2、3、4、5
  • キ : 3、4

解説

問題文にヒントがあります

受注管理システムを利用する取引先の担当者は、取引先PCのブラウザからRPSを経由して受注管理アプリケーションにアクセスし、ログイン画面で利用者IDとパスワードを入力してログインする。その際、取引先PCのブラウザからの通信には、HTTP over SSL/TLS(以下、HTTPSという)を使用する。RPSではディジタル証明書を使って、HTTPSからHTTPにプロトコルを変換する。

上記は取引先のPCから、RPSにアクセスするときにディジタル証明書を使いHTTPS通信し、RPSから社内ネットはHTTPと説明しています。

経路番号1「取引先PCとFW3との間」→経路番号2「FW3とFW1との間」→経路番号3「FW1とRPSとの間」がHTTPSとなるので「イ 1, 2, 3」が正解となります。

設問2

本文中の に入れる適切な答えを、解答群の中から選べ。

a、b に関する解答群

  • ア : DoS攻撃
  • イ : SQLインジェクション
  • ウ : クロスサイトスクリプティング
  • エ : 辞書攻撃
  • オ : ディレクトリトラバーサル
  • カ : トラッシング
  • キ : ブルートフォース攻撃
  • ク : ポートスキャン

解説

まずは【 a 】から、「想定していない操作をDBサーバに実行させて、DBに不正アクセスする」攻撃を「SQLインジェクション」といいます!答えは「イ」です!

SQLインジェクションとは、Webサイトで、データベースから情報を引き出したり、追加や更新を行うプログラムにパラメータとしてSQL文の断片を与えることにより、データベースを改ざんしたり不正に情報を入手する攻撃手法です!

続いて【 b 】です。この問題も前後の文脈から分かります。「攻撃者によってWebページ内にスクリプトが埋め込まれてしまう攻撃」を「クロスサイトスクリプティング」といいます!

クロスサイトスクリプティングとは、セキュリティホールの一つです!

Webサイト上のプログラムが、悪意のあるコードを訪問者のブラウザに送ります。悪意あるユーザがフォームを通してJavaScriptをHTMLに埋め込み、一般の訪問者がページ閲覧した際にコンピュータでスクリプトが実行されてしまいます!

フォーム入力時には適切な入力チェックが必要です!

その他の選択肢のキーワードの解説をします。

DoS攻撃

DoSとは、攻撃方法の一つで、相手のコンピュータやルータに不正データを大量送信して使用不能にする攻撃方法です。

辞書攻撃

辞書攻撃とは、辞書に記載される単語やパスワードに使われる可能性が高い単語をリスト化(辞書化)したものを使い、総攻撃をかける方法です!

ディレクトリトラバーサル

ディレクトリトラサーバル攻撃とは、ネットワークの攻撃手法のひとつです!

ファイル名を扱うプログラムに特殊な文字列("."や"/" )を送信し、通常アクセスできないファイルやディレクトリ(フォルダ)の内容を取得する手法です!

トラッシング

トラッシング(スカビンジング)とは、ソーシャルエンジニアリングの一つで、オフィスから出た紙ゴミをあさり、機密情報を探し出す手口です!

ブルートフォース攻撃

ブルートフォース(総当たり)攻撃とは、暗号解読手法の一つです!考えられる全ての鍵をリストアップし、片っ端から解読を試みる方式です!

ポートスキャン

ポートスキャンとは、サーバのポートアクセスし、動作しているアプリケーションなどを調べ、脆弱なポートを調べる行為です!

セキュリティホールを探す際に利用しますが、悪用することで不正アクセスを助長もします。

設問3

表1中の下線①の対策として適切な答えを、解答群から選べ。

解答群

  • ア : ダウンロードしたいファイルを絶対パスで指定させ、該当ファイルが存在する場合には、ダウンロードの処理を行う。
  • イ : ダウンロードしたいファイルを相対パスで指定させ、該当ファイルが存在する場合には、ダウンロードの処理を行う。
  • ウ : ダウンロードしたいファイルのファイル名だけを指定させ、取引先ごとに決められたフォルダ内に該当ファイルが存在する場合には、ダウンロードの処理を行う。
  • エ : 取引先PCのブラウザに、Webサーバ上の全てのフォルダ構成及びファイルを表示し、ダウンロードしたいファイルを指定させ、ダウンロードの処理を行う。

解説

下線①は「受注管理アプリケーションでのファイルのダウンロード処理に問題がある。」とあります。

下線①に対する指摘事項は「取引先の担当者がWebサーバ上の任意のファイルをダウンロード可能である」とあります

別々の取引先が、別の取引先のファイルをダウンロードできることは問題です。絶対パス指定の場合でも、相対パス指定でもファイル名やパスが分かればアクセスすることが可能です。ましてや、Webサーバ上の全てのフォルダ構成及びファイルを表示すれば、不要な情報開示となります。

したがって正しい対策は「ダウンロードしたいファイルのファイル名だけを指定させ、取引先ごとに決められたフォルダ内に該当ファイルが存在する場合には、ダウンロードの処理を行う。」となります!こうすることで、取引先は自社のファイルのみダウンロード可能です。

設問4

表1中の下線②の脆弱性から考えられるセキュリティ事故として適切な答えを,解答群の中から選べ。

解答群

  • ア : 取引先の担当者が誕生日をパスワードにしていると、誕生日を知っている者がログインできてしまう。
  • イ : パスワードの候補を自動で次々と入力するプログラムを利用することで、ログインできてしまう。
  • ウ : パスワードを記載したメモを取引先の担当者が落とし、それを拾った者がログインできてしまう。
  • エ : ログイン操作を背後から盗み見て、パスワードを入手し、ログインできてしまう。

解説

下線②は「取引先の担当者がログイン時にパスワードを連続して間違えても利用者IDがロックされない」です。

もし「パスワードの候補を自動で次々と入力するプログラム」を利用した場合、いつかログインできる可能性があり、不正アクセスなどのセキュリティ事故につながります。

対策としてログイン時にパスワードを連続して間違えた場合利用者IDをロックすることで防ぐことができます!

従って正解は「イ : パスワードの候補を自動で次々と入力するプログラムを利用することで、ログインできてしまう。」となります!

タグ: ,,,

PR広告

フェイスブックコメント

平成28年度秋 基本情報技術者試験 午後 テキスト・動画解説

平成28年度秋 基本情報技術者試験 午前 テキスト・動画解説

平成28年度春 基本情報技術者試験 午後 テキスト・動画解説

平成28年度春 基本情報技術者試験 午前 テキスト・動画解説

平成27年度秋 基本情報技術者試験 午後 テキスト・動画解説

平成27年度春 基本情報技術者試験 午後 テキスト・動画解説

平成27年度春 基本情報技術者試験 午前 テキスト・動画解説

平成26年度秋 基本情報技術者試験 午前 テキスト・動画解説

平成26年度春 基本情報技術者試験 午前 テキスト・動画解説