総視聴再生時間43万分以上(2017年5月13日現在)の動画で基本情報技術者試験の過去問&キーワード解説!スキマ時間に動画!〜これじょIT〜

PR広告

平成30年度秋 基本情報技術者試験午後 問1 情報セキュリティ|合格率アップ!動画解説!

情報セキュリティ事故と対策に関する次の記述を読んで、設問1~3に答えよ。

 自動車の販売代理店であるA社は、Webサイトで自動車のカタログ請求を受け付けている。Webサイトは、Webアプリケーションソフト(以下、Webアプリという)が稼働するWebサーバと、データベースが稼働するデータベースサーバ(以下、DBサーバという)で構成されている。WebサーバはA社のDMZに設置され、DBサーバはA社の社内LANに接続されている。Webサイトの管理はB氏が、A社の社内LANに接続されている保守用PCからアクセスして行っている。カタログ請求者は、Webブラウザからインターネット経由でHTTP over TLSによってWebサイトにアクセスする。

〔カタログ請求者の情報の登録〕

 A社では、次の目的で、カタログ請求者の情報を保持し、利用することの同意を、カタログ請求者から得ている。

・情報提供や購入支援を行う。

・カタログ請求者が別のカタログを請求したいときなどに、登録した電子メールアドレスとパスワードを使用してログインできるようにする。

 同意が得られたときは、氏名、住所、電話番号、電子メールアドレス、パスワード、購入予定時期、購入予算、希望車種などの情報を、Webアプリに入力してもらい、データベースに登録している。パスワードはハッシュ化して、それ以外の情報は平文で、データベースに格納している。A社では、カタログ請求者から要求があったときにだけ、データベースからそのカタログ請求者の情報を消去する運用としている。

〔カタログ請求者への対応〕

 A社では、カタログ請求者へのカタログ送付後の購入支援を、データベースに登録されている情報を基に、電子メールと電話で行っている。

〔情報セキュリティ事故の発生〕

 ある日、A社の社員から、"A社のカタログ請求者一覧と称する情報が、インターネットの掲示板に公開されている"とB氏に連絡があった。公開されている情報をB氏が確認したところ、データベースに登録されている情報の一部であったので、自社のデータベースから情報が流出したと判断して上司に報告した。B氏は上司からの指示を受けて、Webサイトのサービスを停止し、情報が流出した原因と流出した情報の範囲を特定することにした。

〔情報セキュリティ事故の原因と流出した情報の範囲〕

 B氏の調査の結果、WebアプリにSQLインジェクションの脆弱性があることが分かった。そのことからB氏は、攻撃者が①インターネット経由でSQLインジェクション攻撃を行い、データベースに登録されているカタログ請求者の情報を不正に取得したと推測した。Webサーバとデータベースではアクセスログを取得しない設定にしていたこともあり、流出した情報の範囲は特定できなかった。そこで、データベースに登録されている全ての情報が流出したことを前提に、A社では、データベースに登録されている全てのカタログ請求者に情報の流出について連絡するとともに、対策を講じることにした。

〔情報セキュリティ事故を踏まえたシステム面での対策〕

 B氏は、今回の情報セキュリティ事故を踏まえたシステム面での対策案を、表1のようにまとめた。

表1 情報セキュリティ事故を踏まえたシステム面での対策案

目的 対策
SQLインジェクション攻撃からの防御

・SQL文の組立てはプレースホルダで実装する・

a

情報流出リスクの低減 b
情報流出の原因と流出した情報の範囲の特定 c

設問1

本文中の下線①について、この攻撃の説明として適切な答えを、解答群の中から選べ。

解答群

ア 攻撃者が、DNSに登録されているドメインの情報をインターネット経由で外部から改ざんすることによって、カタログ請求者を攻撃者のWebサイトに誘導し、カタログ請求者のWebブラウザで不正スクリプトを実行させる。

イ 攻撃者が、インターネット経由でDBサーバに不正ログインする。

ウ 攻撃者が、インターネット経由でWebアプリに、データベース操作の命令文を入力することによって、データベースを不正に操作する。

エ 攻撃者が、インターネット経由で送信されている情報を盗聴する。

設問2

表1中の に入れる対策として最も適切な答えを、解答群の中から選べ。

a に関する解答群

ア Webアプリへの入力パラメタには、Webサーバ内のファイル名を直接指定できないようにする。

イ Webサーバのメモリを直接操作するような命令を記述できないプログラム言語を用いて、Webアプリを作り直す。

ウ Webページに出力する要素に対して、エスケープ処理を施す。

エ データベース操作の命令文の組立てを文字列連結によって行う場合は、連結する文字列にエスケープ処理を施す。

b に関する解答群

ア カタログ請求者の情報の適切な保管期間を定め、カタログ請求者の同意を得た上で、保管期間を過ぎた時点でデータベースから消去する。

イ カタログ請求者の情報を、カタログ送付後に直ちに、データベースから消去する。

ウ カタログ請求者へ送付する電子メールにディジタル署名を付ける。

エ データベースに登録されている情報を定期的にバックアップする。

c に関する解答群

ア Webサイトの管理に使用する保守用PCは、必要なときだけ起動する。

イ WebサーバとDBサーバにインストールするミドルウェアは、必要最低限にする。

ウ WebサーバとDBサーバのハードディスクのデフラグメンテーションを、定期的に行う。

エ データベースへのアクセスログを取得する。

設問3

B氏は上司から、表1にまとめた対策案だけで十分なのか検討せよとの指示を受けた。そこで、社外のセキュリティコンサルタント会社に相談したところ、"Webアプリに脆弱性がないか調査をした方がよい"と助言され、Webアプリの一部について脆弱性の調査を依頼した。その結果、クロスサイトスクリプティングの脆弱性が存在することが判明した。また、"Webアプリの他の部分にも脆弱性があることが疑われるので、Webアプリ全体の調査を行うとともに、新たな対策を講じた方がよい"と助言された。新たな対策として適切な答えを、解答群の中から選べ。

解答群

ア DBサーバを、Webサーバと同じく、DMZに設置する。

イ 不正な通信を遮断するために、WAF(Web Application Firewall)を導入する。

ウ Webサーバを増設して冗長化した構成にする。

エ 保守用PCのログインパスワードには英数字及び記号を使用し、推測が難しい複雑なものを設定する。

状況の整理

平成30年度秋 基本情報技術者試験午後 過去問1 情報セキュリティ

設問1 解説

平成30年度秋 基本情報技術者試験午後 過去問1 情報セキュリティ

本文中の下線①について、この攻撃の説明として適切な答えを、解答群の中から選べ。

下線①「インターネット経由でSQLインジェクション攻撃を行い

→ SQLインジェクションの説明が解答になります。

解答群

ア 攻撃者が、DNSに登録されているドメインの情報をインターネット経由で外部から改ざんすることによって、カタログ請求者を攻撃者のWebサイトに誘導し、カタログ請求者のWebブラウザで不正スクリプトを実行させる。→ DNSポイズニングの説明

イ 攻撃者が、インターネット経由でDBサーバに不正ログインする。→ 不正アクセスの説明

ウ 攻撃者が、インターネット経由でWebアプリに、データベース操作の命令文を入力することによって、データベースを不正に操作する。→ SQLインジェクションの説明

エ 攻撃者が、インターネット経由で送信されている情報を盗聴する。→ 盗聴の説明

したがって、正解は「ウ 攻撃者が、インターネット経由でWebアプリに、データベース操作の命令文を入力することによって、データベースを不正に操作する。」

設問2 解説

表1中の に入れる対策として最も適切な答えを、解答群の中から選べ。

表1 情報セキュリティ事故を踏まえたシステム面での対策案

目的 対策
SQLインジェクション攻撃からの防御

・SQL文の組立てはプレースホルダで実装する・

a

情報流出リスクの低減 b
情報流出の原因と流出した情報の範囲の特定 c

aの解説

これはSQLインジェクションの対策を答えれば良いです。

SQLインジェクトとは設問1で解説した通り...「攻撃者が、インターネット経由でWebアプリに、データベース操作の命令文を入力することによって、データベースを不正に操作する。」攻撃です。

上記を踏まえて「a に関する解答群」をみると

ア Webアプリへの入力パラメタには、Webサーバ内のファイル名を直接指定できないようにする。→ ディレクトリトラサーバルの対策

イ Webサーバのメモリを直接操作するような命令を記述できないプログラム言語を用いて、Webアプリを作り直す。→ Webサーバのメモリは関係ない

ウ Webページに出力する要素に対して、エスケープ処理を施す。→ クロスサイトスクリプティングなどの対策

エ データベース操作の命令文の組立てを文字列連結によって行う場合は、連結する文字列にエスケープ処理を施す。→ SQLインジェクションの対策

従って、正解は「エ データベース操作の命令文の組立てを文字列連結によって行う場合は、連結する文字列にエスケープ処理を施す。」です!

bの解説

これは「情報流出リスクの低減」の対策です。

リスクの低減なので、仮にリスクが起きても被害が最小限に済む対策をします。

b に関する解答群

ア カタログ請求者の情報の適切な保管期間を定め、カタログ請求者の同意を得た上で、保管期間を過ぎた時点でデータベースから消去する。→ 保管期限を過ぎたものは情報流出を防げるので正しい

イ カタログ請求者の情報を、カタログ送付後に直ちに、データベースから消去する。→ カタログ送付後にデータベースから消去するのでリスク低減策だがカタログ請求者は毎回登録するので利便性が低下していい対策ではないので間違い

ウ カタログ請求者へ送付する電子メールにディジタル署名を付ける。→ ディジタル署名はカタログ請求者の証明をするだけなので情報流出のリスクとは関係ない

エ データベースに登録されている情報を定期的にバックアップする。→ 情報流出のリスクとは関係ない

cの解説

情報流出の原因と流出した情報の範囲の特定の対策です。

問題文に「Webサーバとデータベースではアクセスログを取得しない設定にしていた」とあり、これが原因で「情報流出の原因と流出した情報の範囲の特定」できません。

c に関する解答群

ア Webサイトの管理に使用する保守用PCは、必要なときだけ起動する。→ 不正アクセスの対策

イ WebサーバとDBサーバにインストールするミドルウェアは、必要最低限にする。→ 攻撃機会を減らす対策

ウ WebサーバとDBサーバのハードディスクのデフラグメンテーションを、定期的に行う。→ アクセス効率をあげる対策

エ データベースへのアクセスログを取得する。→ 正解

正解は「エ データベースへのアクセスログを取得する。」です!

設問3 解説

平成30年度秋 基本情報技術者試験午後 過去問1 情報セキュリティ

B氏は上司から、表1にまとめた対策案だけで十分なのか検討せよとの指示を受けた。そこで、社外のセキュリティコンサルタント会社に相談したところ、"Webアプリに脆弱性がないか調査をした方がよい"と助言され、Webアプリの一部について脆弱性の調査を依頼した。その結果、クロスサイトスクリプティングの脆弱性が存在することが判明した。また、"Webアプリの他の部分にも脆弱性があることが疑われるので、Webアプリ全体の調査を行うとともに、新たな対策を講じた方がよい"と助言された。新たな対策として適切な答えを、解答群の中から選べ。

整理すると

表1にまとめた対策案だけで十分なのか検討せよとの指示

Webアプリに脆弱性がないか調査をした方がよいと助言

クロスサイトスクリプティングの脆弱性が存在

Webアプリ全体の調査を行うとともに、新たな対策を講じた方がよいと助言

上記より、クロスサイトスクリプティングと「新たな対策」の2つが必要です。

クロスサイトスクリプティングの対策は...

・入力値の制限

・サイニタイズ(不正入力のJavaScriptのコードを無害化)

・WAF導入

解答群

ア DBサーバを、Webサーバと同じく、DMZに設置する。→ より危険になります

イ 不正な通信を遮断するために、WAF(Web Application Firewall)を導入する。→ 正しい

ウ Webサーバを増設して冗長化した構成にする。→ 稼働率をあげる(信頼性向上の対策)

エ 保守用PCのログインパスワードには英数字及び記号を使用し、推測が難しい複雑なものを設定する。→ 不正アクセスの対策

PR広告

フェイスブックコメント

平成28年度秋 基本情報技術者試験 午後 テキスト・動画解説

平成28年度秋 基本情報技術者試験 午前 テキスト・動画解説

平成28年度春 基本情報技術者試験 午後 テキスト・動画解説

平成28年度春 基本情報技術者試験 午前 テキスト・動画解説

平成27年度秋 基本情報技術者試験 午後 テキスト・動画解説

平成27年度春 基本情報技術者試験 午後 テキスト・動画解説

平成27年度春 基本情報技術者試験 午前 テキスト・動画解説

平成26年度秋 基本情報技術者試験 午前 テキスト・動画解説

平成26年度春 基本情報技術者試験 午前 テキスト・動画解説