総視聴再生時間43万分以上(2017年5月13日現在)の動画で基本情報技術者試験の過去問&キーワード解説!スキマ時間に動画!〜これじょIT〜

PR広告

平成28年度秋 基本情報技術者試験午後 過去問1設問3 情報セキュリティ 合格率アップ!動画付き解説!

販売支援システムの情報セキュリティに関する次の記述を読んで、設問1~3に答えよ。

 中堅の商社であるA社では、営業員が顧客先で営業活動を行い、自社に戻ってから見積書を作成している。

 この度、営業員がタブレット端末(以下、タブレットという)を携帯し、顧客先で要求を聞きながら、タブレットを使って見積書を作成し、その場で顧客に提示できる販売支援システムを構築することにした。

 営業員は、タブレットのWebブラウザからインターネット経由でHTTP over TLS(以下、HTTPSという)によって販売支援システムにアクセスする。このとき、営業員は、社員IDとパスワードを入力してログインする。

〔販売支援システムの構成〕

(1) 販売支援システムは次のサーバで構成され、A社のネットワークに設置される。

① リバースプロキシサーバ(以下、RPサーバという)1台

② アプリケーションソフトウェアが稼働するWebサーバ2台

③ 見積書作成に必要なデータを格納するデータベースサーバ(以下、DBサーバという)1台

(2) Webサーバ2台はクラスタリング構成にして、1台が故障してもサービスが継続できるようにする。

(3) DBサーバへのアクセスの監視は、PCと同じLANにある監視サーバで行う。

(4) インターネットから販売支援システムへの通信は、RPサーバを経由して行う。RPサーバは、HTTPSをHTTPに変換し、販売支援システムの他のサーバと、HTTPで通信する。

 A社のネットワーク構成を図1に示す。

平成28年度秋 基本情報技術者試験午後問1 情報セキュリティ

 販売支援システムに関わる通信経路について、通信経路で利用するプロトコル及び宛先ポート番号を表1に示す。また、FWにおけるフィルタリングの設定を表2に示す。

表1 通信経路で利用するプロトコル及び宛先ポート番号

通信経路 プロトコル 宛先ポート番号
監視サーバからDBサーバ 監視専用 1600
タブレットからRPサーバ HTTPS 443
RPサーバからWebサーバ HTTP 80
WebサーバからDBサーバ DB専用 1552

表2 FWにおけるフィルタリングの設定

項番 条件 動作
送信元 宛先 宛先ポート番号
1 任意 RPサーバ 443 許可
2 任意 DBサーバ 1552 許可
3 任意 任意 任意 拒否

注記 項番が小さいものから順に突き合わせ、最初に一致したものが適用される。

設問3 A社では、システムを構築する際に、情報セキュリティの3要素である機密性、完全性及び可用性を確保するための対応を整理して、情報セキュリティ担当者の確認を受けることになっている。そこで、次の(ⅰ)~(ⅵ)に示す販売支援システムに関する対応と情報セキュリティの3要素との関連を表3にまとめた。表3中の に入れる適切な答えを、解答群の中から選べ。

表3 情報セキュリティの3要素との関連(一部)

3要素 対応
機密性 a
完全性 b
可用性 c

〔販売支援システムに関する対応〕

  • (ⅰ) DBサーバ中のデータの正規化
  • (ⅱ) RPサーバとWebサーバとの間でのHTTPの利用
  • (ⅲ) Webサーバのクラスタリング
  • (ⅳ) コンテンツが改ざんされていないことの定期的な確認
  • (ⅴ) 社員IDとパスワードによるログイン
  • (ⅵ) タブレットの利用

a〜cに関する解答群

  • ア:(ⅰ)
  • イ:(ⅱ)
  • ウ:(ⅲ)
  • エ:(ⅳ)
  • オ:(ⅴ)
  • カ:(ⅵ)

解説 設問3

正解は

機密性のaには「オ (ⅴ) 社員IDとパスワードによるログイン」

完全性のbには「エ (ⅳ) コンテンツが改ざんされていないことの定期的な確認」

可用性のcには「ウ (ⅲ) Webサーバのクラスタリング」

が入ります!

機密性とは、情報セキュリティの概念の一つです!

例えば、IDとパスワードを使いログインするなど権限を持った者だけが情報に触れることを管理します!

システムにおける完全性とは、整合性が取れている事です!

Webページが改ざんされると、完全性が損なわれます!

可用性とは、システムが「継続して稼動」できる能力のことです。システムの継続性と言い換える事もできます!

例えば、可用性を向上するために2台のWebサーバをクラスタリング(冗長化)します!

上記より正解は

機密性のaには「オ (ⅴ) 社員IDとパスワードによるログイン」

完全性のbには「エ (ⅳ) コンテンツが改ざんされていないことの定期的な確認」

可用性のcには「ウ (ⅲ) Webサーバのクラスタリング」

が入ります!

平成28年度秋 基本情報技術者試験過去問午後 目次

PR広告

フェイスブックコメント

平成28年度秋 基本情報技術者試験 午後 テキスト・動画解説

平成28年度秋 基本情報技術者試験 午前 テキスト・動画解説

平成28年度春 基本情報技術者試験 午後 テキスト・動画解説

平成28年度春 基本情報技術者試験 午前 テキスト・動画解説

平成27年度秋 基本情報技術者試験 午後 テキスト・動画解説

平成27年度春 基本情報技術者試験 午後 テキスト・動画解説

平成27年度春 基本情報技術者試験 午前 テキスト・動画解説

平成26年度秋 基本情報技術者試験 午前 テキスト・動画解説

平成26年度春 基本情報技術者試験 午前 テキスト・動画解説