平成30年春の情報処理安全確保支援士試験(SC)午前Ⅱ―過去問と解説
トップ
各試験用の問題と解説
情報処理安全確保支援士
平成30年春の情報処理安全確保支援士試験(SC)午前Ⅱ
平成30年春の情報処理安全確保支援士試験(SC)午前Ⅱの過去問と解説を掲載しています。
ご利用について
このページを表示した場合、答えと解説が、表示される設定になっています。 ページ全体の答えと解説の表示、非表示は以下で、個別は各問題のところのリンクで切り替えてください。
目次
このページの目次です。
- 問1 CVSS v3の評価基準
- 問2 攻撃と思われるHTTPリクエストヘッダ
- 問3 XMLディジタル署名の特徴
- 問4 エクスプロイトコード
- 問6 ダイナミックパケットフィルタリングの特徴
- 問7 ディジタル署名を生成するのに使う鍵
- 問8 CRL(Certificate Revocation List)
- 問9 認証デバイス
- 問10 サイバー情報共有イニシアティブ(J-CSIP)
- 問11 cookieにsecure属性
- 問12 DKIM(DomainKeys Identified Mail)
- 問13 テンペスト攻撃
- 問14 マルウェアをダウンロードすることを防ぐ方策
- 問15 ルートキットの特徴
- 問16 DNSSECで実現できること
- 問17 SQLインジェクション対策
- 問18 IPパケットで送られているデータ
- 問19 IEEE 802.1QのVLAN機能を有したスイッチ
- 問20 WebDAVの特徴
- 問21 DBMSがトランザクションのコミット処理を完了とするタイミング
- 問22 オブジェクト間の相互作用を時間の経過に着目して記述するもの
- 問23 テスト駆動開発の特徴
平成30年春 問1 CVSS v3の評価基準―情報処理安全確保支援士(SC)午前Ⅱ
CVSS v3の評価基準には、基本評価基準、現状評価基準、環境評価基準の三つがある。 基本評価基準の説明はどれか。
【ア】機密性への影響、どこから攻撃が可能かといった攻撃元区分、 攻撃する際に必要な特権レベルなど、脆弱性そのものの特性を評価する。
【イ】攻撃される可能性、利用可能な対策のレベル、脆弱性情報の信頼性など、 評価時点における脆弱性の特性を評価する。
【ウ】脆弱性を悪用した攻撃シナリオについて、機会、正当化、動機の三つの観点から、 脆弱性が悪用される基本的なリスクを評価する。
【エ】利用者のシステムやネットワークにおける情報セキュリティ対策など、 攻撃の難易度や攻撃による影響度を再評価し、脆弱性の最終的な深刻度を評価する。
出典:平成30年度 春期 情報処理安全確保支援士 午前Ⅱ 問題 問1
答えと解説
答え 【ア】
CVSS v3
CVSS v3の評価基準には、基本評価基準、現状評価基準、環境評価基準の三つがあります。 基本評価準では、機密性への影響、どこから攻撃が可能かといった攻撃元区分、 攻撃する際に必要な特権レベルなど、脆弱性そのものの特性を評価するします。
もっと知識を深めるための参考
平成30年春 問2 攻撃と思われるHTTPリクエストヘッダ―情報処理安全確保支援士(SC)午前Ⅱ
Webサーバのログを分析したところ、Webサーバへの攻撃と思われるHTTPリクエストヘッダが記録されていた。 次のHTTPリクエストヘッダから推測できる、攻撃者が悪用としている脆弱性はどれか。 ここで、HTTPリクエストヘッダはでコード済みである。
【ア】HTTPヘッダインジェクション
【イ】OSコマンドインジェクション
【ウ】SQLインジェクション
【エ】クロスサイトスクリプティング
出典:平成30年度 春期 情報処理安全確保支援士 午前Ⅱ 問題 問2
答えと解説
答え 【イ】
OSコマンドインジェクション
OSコマンドインジェクションとは、OSの操作コマンドを利用するアプリケーションに対して、 攻撃者が、OSのディレクトリ操作コマンドを渡して実行する攻撃です。
攻撃例
以下は、OSコマンドインジェクションWebサーバへの攻撃と思われるHTTPリクエストヘッダが記録例です。
もっと知識を深めるための参考
-
OSコマンドインジェクション
OSコマンドインジェクション(comand injection)とはどのようなサイバー攻撃かまとめています。例や対策についても記載しています。
-
攻撃手法
情報システムへの外部からの不正な行為や手法など、サイバー攻撃の種類と対策知識をまとめています。 またサイバー攻撃の被害額、被害件数、被害事例をまとめた公共機関の資料のリンクもまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成30年春 問3 XMLディジタル署名の特徴―情報処理安全確保支援士(SC)午前Ⅱ
XMLディジタル署名の特徴のうち、適切なものはどれか。
【ア】XML文書中の、任意のエレメントに対してデタッチ署名(Detached Signature) を付けることができる。
【イ】エンベローピング署名(Enveloping Signature)では一つの署名対象に必ず複数 の署名を付ける。
【ウ】署名形式として、CMS(Cryptographic Message Syntax)を用いる。
【エ】署名対象と署名アルゴリズムをANS.1によって記述する。
出典:平成30年度 春期 情報処理安全確保支援士 午前Ⅱ 問題 問3
答えと解説
答え 【ア】
XMLデジタル署名
XMLデジタル署名は、XMLにデジタル署名を行う技術です。
XMLデジタル署名では、署名対象や署名アルゴリズムをXMLで記述します。 署名の対象となるXML文書全体だけでなく、文書の一部(エレメント)に対しても署名することができます。
XMLデジタル署名には、Enveloped署名、Enveloping署名、Detached署名の3つがあります。 XML文書中の任意のエレメントに対しては、デタッチ署名(Detached Signature)を付けることができます。
もっと知識を広げるための参考
平成30年春 問4 エクスプロイトコード―情報処理安全確保支援士(SC)午前Ⅱ
エクスプロイトコードの説明はどれか。
【ア】攻撃コードとも呼ばれ、脆弱性を悪用するソフトウェアのコードのことであるが、 使い方によっては脆弱性の検証に役立つこともある。
【イ】マルウェアのプログラムを解析して得られる、マルウェアを特定するための特徴的なコード のことであり、マルウェア対策ソフトの定義ファイルとしてマルウェアの検証に用いられる。
【ウ】メッセージとシークレットデータから計算されるハッシュコードのことであり、 メッセージの改ざんの検知に用いられる。
【エ】ログインの度に変化する認証コードのことであり、 窃取されても再利用できないので不正アクセスを防ぐ。
出典:平成30年度 春期 情報処理安全確保支援士 午前Ⅱ 問題 問4
答えと解説
答え 【ア】
エクスプロイトコード
脆弱性を見つける際に使用する攻撃用のコードをエクスプロイトあるいはエクスプロイトコードと呼びます。
エクスプロイトコードは、攻撃コードとも呼ばれ、脆弱性を悪用するソフトウェアのコードのことでですが、 使い方によっては脆弱性の検証に役立つこともあります。
もっと知識を深めるための参考
平成30年春 問6 ダイナミックパケットフィルタリングの特徴―情報処理安全確保支援士(SC)午前Ⅱ
ファイアウォールにおけるダイナミックパケットフィルタリングの特徴はどれか。
【ア】IPアドレスの変換が行われるので、ファイアウォール内部のネットワーク構成を外部から隠蔽できる。
【イ】暗号化されたパケットのデータ部を復号して、許可された通信かどうかを判断できる。
【ウ】過去に通過したリクエストパケットに対応付けられる戻りのパケットを通過させることができる。
【エ】パケットのデータ部をチェックして、アプリケーション層での不正なアクセスを防止できる。
出典:平成30年度 春期 情報処理安全確保支援士 午前Ⅱ 問題 問6
答えと解説
答え 【ウ】
ダイナミックパケットフィルタリング
ダイナミックパケットフィルタリングは、 最初にコネクションを確立する方向のみを意識した基本的なルール(あらかじめ設定されたルール)を事前に登録しておき、 実際に接続要求があると、個々の通信をセッション管理テーブルに登録するとともに必要なルールが動的に生成され、 フィルタリング処理を行う方式です。
ダイナミックパケットフィルタリングでは、戻りのパケットに関しては、 過去に通過したリクエストパケットに対応付けられるものだけを通過させることができます。 過去の通信の状態が記録されており、それと矛盾するパケットは不正パケットとして遮断することができます。
もっと知識を深めるための参考
-
パケットフィルタリング
パケットフィルタリングは、外部から受信したパケットを管理者などが設定した一定の基準に従って通したり破棄したりする通信機器やコンピュータの持つネットワーク制御機能です。
-
ネットワークセキュリティ
VLAN、OP25B、ダイナミックパケットフィルタリングなどネットワークに対する不正アクセス、不正利用、サービスの妨害行為などの脅威に対するネットワークセキュリティの実装技術についてまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成30年春 問7 ディジタル署名を生成するのに使う鍵―情報処理安全確保支援士(SC)午前Ⅱ
発信者がメッセージのハッシュ値からディジタル署名を生成するのに使う鍵はどれか。
【ア】受信者の公開鍵
【イ】受信者の秘密鍵
【ウ】発信者の公開鍵
【エ】発信者の秘密鍵
出典:平成30年度 春期 情報処理安全確保支援士 午前Ⅱ 問題 問7
答えと解説
答え 【ウ】
公開鍵基盤とハッシュ関数を利用したメッセージのディジタル署名の手法
公開鍵基盤とハッシュ関数を利用したメッセージのディジタル署名の手法では、 受信者は、ハッシュ関数を用いてメッセージからハッシュ符号を生成し、送信者の公開鍵で複合したハッシュ符号と比較します。 発信者がメッセージのハッシュ値からディジタル署名を生成するのに使う鍵は発信者の秘密鍵になります。
もっと知識を深めるための参考
平成30年春 問8 CRL(Certificate Revocation List)―情報処理安全確保支援士(SC)午前Ⅱ
X.509におけるCRL(Certificate Revocation List)に関する記述のうち、適切なものはどれか。
【ア】PKIの利用者は、認証局の公開鍵がWebブラウザに組み込まれて入れば、 CRLを参照しなくてもよい。
【イ】認証局は、発行した全てのディジタル証明書の有効期限をCRLに登録する。
【ウ】認証局は、発行したディジタル証明書のうち、失効したものは、 シリアル番号を失効後1年間CRLに登録するよう義務付けられている。
【エ】認証局は、有効期限内のディジタル証明書のシリアル番号をCRLに登録することがある。
出典:平成30年度 春期 情報処理安全確保支援士 午前Ⅱ 問題 問8
答えと解説
答え 【エ】
X.509とは
X.509は、ITU-Tが1988年に勧告したディジタル証明書およびCRLの標準仕様です。 ISO/IEC9594-8として国際規格化されています。
CRLとは
CRLとは、Certificate Revocation Listを省略した呼び方で証明書失効リストのことをいいます。 認証局は、有効期限内のディジタル証明書のシリアル番号をCRLに登録することがあります。
CRLは、デジタル証明書の悪用やご発行などの不測事態が発生したことによって 有効期限内に失効させる必要が生じたデジタル証明書が登録されたリストです。 CRLは、申請者からの証明書廃棄申請を受けて検証期間もしくは認証局が発行し、公開します。
もっと知識を広げるための参考
平成30年春 問9 認証デバイス―情報処理安全確保支援士(SC)午前Ⅱ
認証デバイスに関する記述のうち、適切なものはどれか。
【ア】USBメモリにディジタル証明書を組み込み、認証デバイスとする場合は、 そのUSBメモリを接続するPCのMACアドレスを組み込む必要がある。
【イ】成人の虹彩は、経年変化がなく、虹彩認証では、認証デバイスでのパターン更新がほとんど不要である。
【ウ】静電容量方式の指紋認証デバイスは、LED証明を設置した室内では正常に認証できなくなる可能性が高くなる。
【エ】認証に利用する接触型ICカードは、カード内のコイルの誘導起電力を利用している。
出典:平成30年度 春期 情報処理安全確保支援士 午前Ⅱ 問題 問9
答えと解説
答え 【イ】
虹彩認証
虹彩認証は、個人の目の虹彩の高解像度の画像にパターン認識技術を応用して行われる認証です。網膜認証とは異なります。 成人の虹彩は、経年変化がなく、虹彩認証では、認証デバイスでのパターン更新がほとんど不要です。
もっと知識を深めるための参考
平成30年春 問10 サイバー情報共有イニシアティブ(J-CSIP)―情報処理安全確保支援士(SC)午前Ⅱ
サイバー情報共有イニシアティブ(J-CSIP)の説明として、適切なものはどれか。
【ア】サイバー攻撃対策に関する情報セキュリティ監査を参加組織間で相互に実施して、監査結果を共有する取組み
【イ】参加組織がもつデータを相互にバックアップして、サイバー攻撃から保護する取組み
【ウ】セキュリティ製品のサイバー攻撃に対する有効性に関する情報を参加組織がとりまとめ、 その情報を活用できるように公開する取組み
【エ】標的型サイバー攻撃などに関する情報を参加組織間で共有し、高度なサイバー攻撃対策につなげる取組み
出典:平成30年度 春期 情報処理安全確保支援士 午前Ⅱ 問題 問10
答えと解説
答え 【エ】
サイバー情報共有イニシアティブ(J-CSIP)
サイバー情報共有イニシアティブ(J-CSIP)は、 検知したサイバー攻撃の情報を公的機関に集約し、標的型サイバー攻撃などに関する情報を参加組織間で共有し、 高度なサイバー攻撃対策につなげていく取り組みです。
具体的には、IPAと各参加組織間で締結した秘密保持契約のもと、 参加組織およびそのグループ企業において検知されたサイバー攻撃等の情報をIPAに集約します。 情報提供元に関する情報や機微情報の匿名化を行い、IPAによる分析情報を付加した上で、情報提供元の承認を得て共有可能な情報とし、 参加組織間での情報共有を行っています。
出典:サイバー情報共有イニシアティブ(J-CSIP(ジェイシップ)) https://www.ipa.go.jp/security/J-CSIP/
もっと知識を深めるための参考
-
情報セキュリティ組織・機関
不正アクセスによる被害受付の対応、再発防止のための提言、セキュリティに関する啓発活動などを行うセキュリティ機関があります。 jvn、cryptrec暗号リスト、サイバー情報共有イニシアティブなど情報セキュリティ組織・機関についてまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成30年春 問11 cookieにsecure属性―情報処理安全確保支援士(SC)午前Ⅱ
cookieにsecure属性を設定しなかったときに比較した、設定したときの動作の差として、 適切なものはどれか。
【ア】cookieに設定された有効期間を過ぎると、cookieが無効化される。
【イ】JavaScriptによるcookieの読出しが禁止される。
【ウ】URLのスキームがhttpsのときだけ、Webブラウザからcookieが送出される。
【エ】WebブラウザがアクセスするURL内のパスとcookieに設定されたパスのプレフィックスが一致するとき、 Webブラウザからcookieが送出される。
出典:平成30年度 春期 情報処理安全確保支援士 午前Ⅱ 問題 問11
答えと解説
答え 【ウ】
cookieのsecure属性
この属性は、HTTPのレスポンスのヘッダー部に設定されるSet-Cookieのsecure属性です。 これは、ブラウザにURLのスキームがhttpsのときだけ、Webブラウザからcookieが送出するよう指示を与えます。
もっと知識を深めるための参考
-
HTTPレスポンスヘッダのセキュリティ設定
HTTPレスポンスヘッダにセキュリティ対策用のパラメータがあります。Set-Cookieのsecure、httplonlyなどHTTPレスポンスヘッダのセキュリティ設定一覧をまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成30年春 問12 DKIM(DomainKeys Identified Mail)―情報処理安全確保支援士(SC)午前Ⅱ
スパムメールへの対策であるDKIM(DomainKeys Identified Mail)の説明はどれか。
【ア】受信側メールサーバにおいてディジタル署名を電子メールのヘッダに付加し、 受信側メールサーバにおいてそのディジタル署名を公開鍵によって検証する仕組み
【イ】送信側メールサーバにおいて利用者が認証された場合、 電子メールの送信が許可される仕組み
【ウ】電子メールのヘッダや配送経路の情報から得られる送信元情報を用いて、 メール送信元のIPアドレスを検証する仕組み
【エ】ネットワーク機器において、内部ネットワークから外部のメールサーバのTCPポート番号25への 直接の通信を禁止する仕組み
出典:平成30年度 春期 情報処理安全確保支援士 午前Ⅱ 問題 問12
答えと解説
答え 【ア】
DKIM(DomainKeys Identified Mail)
DKIM(DomainKeys Identified Mail)は、スパムメールへの対策のための技術です。 受信側メールサーバにおいてディジタル署名を電子メールのヘッダに付加し、 受信側メールサーバにおいてそのディジタル署名を公開鍵によって検証する仕組みとなっています。
もっと知識を深めるための参考
平成30年春 問13 テンペスト攻撃―情報処理安全確保支援士(SC)午前Ⅱ
テンペスト攻撃を説明したものはどれか。
【ア】故意に暗号化演算を誤動作させて正しい処理結果との差異を解析する。
【イ】処理時間の差異を計測して解析する。
【ウ】処理中に機器から放射される電磁波を観測して解析する。
【エ】チップ内の信号線などに探針を直接当て、処理中のデータを観測して解析する。
出典:平成30年度 春期 情報処理安全確保支援士 午前Ⅱ 問題 問13
答えと解説
答え 【ウ】
テンペスト攻撃
テンペスト攻撃とは、テンペスト技術を用いて、 PCのディスプレイ装置や接続ケーブルなどから放射される微弱な電磁波を傍受し、 それを解析することによって、入力された文字や画面に表示された情報を盗む攻撃です。
テンペスト技術とは、英語でTEMPEST(Transient Electromagnetic Pulse Surveillance Technology)といい、 ディスプレイやケーブルなどから放射される電磁波を傍受し、内容を観察する技術です。 電磁波遮断が施された部屋に機器を設置することによって対抗します。
もっと知識を深めるための参考
-
テンペスト攻撃
テンペスト攻撃とは、テンペスト技術を用いて、 PCのディスプレイ装置や接続ケーブルなどから放射される微弱な電磁波を傍受し、 それを解析することによって、入力された文字や画面に表示された情報を盗む攻撃です。
-
攻撃手法
情報システムへの外部からの不正な行為や手法など、サイバー攻撃の種類と対策方法についてまとめています。
-
セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成30年春 問14 マルウェアをダウンロードすることを防ぐ方策―情報処理安全確保支援士(SC)午前Ⅱ
内部ネットワークのPCがダウンロード型マルウェアに感染したとき、 そのマルウェアがインターネット経由で他のマルウェアをダウンロードすることを防ぐ方策として、 最も有効なものはどれか。
【ア】インターネットから内部ネットワークに向けた要求パケットによる不正侵入行為をIPSで破棄する。
【イ】インターネット上の危険なWebサイトの情報を保持するURLフィルタを用いて、 危険なWebサイトとの接続を遮断する。
【ウ】スパムメール対策サーバでインターネットからのスパムメールを拒否する。
【エ】メールフィルタでインターネット上の他のサイトへの不正な電子メールの発信で遮断する。
出典:平成30年度 春期 情報処理安全確保支援士 午前Ⅱ 問題 問14
答えと解説
答え 【ウ】
URLフィルタ
URLフィルタは、インターネット上の危険なWebサイトの情報を保持し、 危険なWebサイトとそうでないWebサイトを振り分ける技術のことをいいます。
内部ネットワークのPCがダウンロード型マルウェアに感染したとき、 そのマルウェアがインターネット経由で他のマルウェアをダウンロードすることを防ぐ方策として有効です。
もっと知識を深めるための参考
-
情報セキュリティ対策
情報セキュリティ対策(英語でInformation security measures)は、人的、技術的、物理的セキュリティの側面から対策が必要です。ビヘイビア検出ソフトも含め、各種セキュリティ対策の概要を把握する一覧としてまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成30年春 問15 ルートキットの特徴―情報処理安全確保支援士(SC)午前Ⅱ
ルートキットの特徴はどれか。
【ア】OSなどに不正に組み込んだツールを隠蔽する。
【イ】OSの中核であるカーネル部分の脆弱性を分析する。
【ウ】コンピュータがウイルスやワームに感染していないことをチェックする。
【エ】コンピュータやルータのアクセス可能な通信ポートを外部から調査する。
出典:平成30年度 春期 情報処理安全確保支援士 午前Ⅱ 問題 問15
答えと解説
答え 【ア】
ルートキット
ルートキットは、英語でrootkitまたはroot kitのことで、コンピュータシステムへのアクセスを確保したあとで第三者によって使用されるソフトウェアツールのセットのことをいいます。 ルートキットの特徴にはOSなどに不正に組み込んだツールを隠蔽などがあります。
もっと知識を深めるための参考
-
マルウェア・不正プログラム
マルウェア・不正プログラムとはどのようなものかをテーマに、マルウェアの挙動やランサムウェア、ボット、mirai、pentyaなどの種類についてまとめています。
-
脅威
情報セキュリティを考えるうえで、まずは、どのような脅威があるか理解しておく必要があります。 脅威の種類、マルウェアとコンピュータウイルスの種類を見ていきます。またPCやスマホの感染時の駆除方法も補足していきます。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成30年春 問16 DNSSECで実現できること―情報処理安全確保支援士(SC)午前Ⅱ
DNSSECで実現できることはどれか。
【ア】DNSキャッシュサーバが得た応答中のリソースレコードが、権威DNSサーバで管理されているものであり、改ざんされていないことの検証
【イ】権威DNSサーバとDNSキャッシュサーバとの通信を暗号化することによる、ゾーン情報の漏えいの防止
【ウ】長音“-”と漢数字“一”などの似た文字をドメイン名に用いて、正規サイトのように見せかける攻撃の防止
【エ】利用者のURLの入力誤りを悪用して、偽サイトに誘導する攻撃の検知
出典:平成30年度 春期 情報処理安全確保支援士 午前Ⅱ 問題 問16
答えと解説
答え 【ア】
DNSSEC
DNSSECとは、DNS Security Extentionsの略で、DNSのセキュリティ拡張方式です。 DNSキャッシュポイズニング攻撃への対策となります。
DNSSECで実現できることは、 DNSキャッシュサーバが得た応答中のリソースレコードが、権威DNSサーバで管理されているものであり、 改ざんされていないことの検証です。
もっと知識を深めるための参考
平成30年春 問17 SQLインジェクション対策―情報処理安全確保支援士(SC)午前Ⅱ
SQLインジェクション対策について、Webアプリケーションの実装における対策と、 Webアプリケーションの実装以外の対策として、ともに適切なものはどれか。
| Webアプリケーションの実装における対策 | Webアプリケーションの実装以外の対策 | |
|---|---|---|
| 【ア】 | Webアプリケーション中でシェルを起動しない。 | chroot環境でWebサーバを稼働させる。 |
| 【イ】 | セッションIDを乱数で生成する。 | TLSによって通信内容を秘匿する。 |
| 【ウ】 | パス名やファイル名をパラメタとして受け取らないようにする。 | 重要なファイルを公開領域に置かない。 |
| 【エ】 | プレースホルダを利用する。 | データベースのアカウントが持つデータベースアクセス権限を必要最小限にする。 |
出典:平成30年度 春期 情報処理安全確保支援士 午前Ⅱ 問題 問17
答えと解説
答え 【エ】
SQLインジェクション
SQLインジェクションとは、 Webページ上の入力フォームなどパラメータとして送信される文字列から生成されたSQL文を不正なものにするようにパラメータを変更して、 Webアプリケーションを誤動作させたり、データベースの内容を不正に閲覧したりするサイバー攻撃のことをいいます。
原因
SQLを実行するアプリケーションで、SQL文のリテラル部分の生成処理のチェック不備が原因です。
フォームや入力値、GETやPOSTなどの入力値を使用して、実行するSQL文に組み立てる際に入力値に害のあるコードが含まれていないか十分にチェックされないことが原因になります。
対策
対策方法はいくつかあります。複数合わせて多層防衛するのが望ましいです。
Webアプリケーションの実装における対策
SQLインジェクション攻撃を防ぐ方法は、SQLとして解釈されないように文字列をチェックします。
対策としては、以下のような方法があります。
- プレースホルダを利用する
Webアプリケーションの実装以外の対策
入力された文字列が、データベースへの問合せや操作において、特別な意味を持つ文字として解釈されないようにします。
対策としては、以下のような方法があります。
- データベースのアカウントがもつデータベースアクセス権限を必要最小限にする
もっと知識を深めるための参考
-
SQLインジェクション
SQLインジェクションは、アプリケーションのSQL文生成処理の不備を突いたサイバー攻撃です。SQLインジェクションのメカニズム、攻撃例、対策、IPA情報処理試験の問題など、サイバー攻撃の種類の一つSQLインジェクションについての情報をまとめています。
-
攻撃手法
情報システムへの外部からの不正な行為や手法など、サイバー攻撃の種類と対策知識をまとめています。またサイバー攻撃の被害額、被害件数、被害事例をまとめた公共機関の資料のリンクもまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成30年春 問18 IPパケットで送られているデータ―情報処理安全確保支援士(SC)午前Ⅱ
IPv4において、IPパケットで送られているデータが、ICMPメッセージであることを 識別できるヘッダ情報はどれか。
【ア】IPヘッダのプロトコル番号
【イ】MACヘッダのイーサタイプ値
【ウ】TCPヘッダのコントロールフラグ
【エ】UDPヘッダの宛先ポート番号
出典:平成30年度 春期 情報処理安全確保支援士 午前Ⅱ 問題 問18
答えと解説
答え 【ア】
ICMP
IPv4において、IPパケットで送られているデータが、ICMPメッセージであることはIPヘッダのプロトコル番号で識別できます。
もっと知識を深めるための参考
-
ネットワーク層のプロトコル
サブネットマスクとは何かや計算方法、ブロードキャストアドレスへICMP(Pingコマンド)を実行するとどうなる?などの話題も含めて、ネットワーク層のプロトコルについてまとめています。
-
ネットワーク
通信プロトコル、osi基本参照モデル7階層の覚え方などネットワーク関連の知識をまとめています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成30年春 問19 IEEE 802.1QのVLAN機能を有したスイッチ―情報処理安全確保支援士(SC)午前Ⅱ
IEEE 802.1QのVLAN機能を有したスイッチにおいて、複数のVLANに所属しているポートを何と呼ぶか。
【ア】アクセスポート
【イ】代表ポート
【ウ】トランクポート
【エ】ルートポート
出典:平成30年度 春期 情報処理安全確保支援士 午前Ⅱ 問題 問19
答えと解説
答え 【ウ】
VLAN
VLANは、 Virtual LANの略で、物理的な接続形態とは独立して、仮想的なLANセグメントを作る技術のことをいいます。
トランクポート
IEEE 802.1QのVLAN機能を有したスイッチにおいて、複数のVLANに所属しているポートをトランクポートといいます。
もっと知識を深めるための参考
-
ネットワークセキュリティ
VLAN、OP25B、ダイナミックパケットフィルタリングなどネットワークに対する不正アクセス、不正利用、サービスの妨害行為などの脅威に対するネットワークセキュリティの実装技術についてまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成30年春 問20 WebDAVの特徴―情報処理安全確保支援士(SC)午前Ⅱ
WebDAVの特徴はどれか。
【ア】HTTP上のSOAPによってソフトウェア同士が通信して、ネットワーク上に分散したアプリケーションを連携させることができる。
【イ】HTTPを拡張したプロトコルを使って、サーバ上のファイルの参照、作成、削除及びバージョン管理が行える。
【ウ】WebアプリケーションからIMAPサーバにアクセスして、Webブラウザから添付ファイルを含む電子メールの操作ができる。
【エ】Webブラウザで“ftp://”から始まるURLを指定して、ソフトウェアなどの大きなファイルのダウンロードができる。
出典:平成30年度 春期 情報処理安全確保支援士 午前Ⅱ 問題 問20
答えと解説
答え 【イ】
WebDAV
WebDAVは、Webサーバ上のファイル管理を目的とした分散ファイルシステムを実現するHTTPを拡張したプロトコルです。 HTTPを拡張したプロトコルを使って、サーバ上のファイルの参照、作成、削除及びバージョン管理が行えるという特徴があります。
もっと知識を広げるための参考
-
アプリケーション層のプロトコル
HTTP、SMTP、POP、FTP、DNS などの役割、機能、IMAPとPOPの違いなどアプリケーション層のプロトコルについてまとめています。
-
ネットワーク
通信プロトコル、osi基本参照モデル7階層の覚え方などネットワーク関連の知識をまとめています。
-
テクノロジ系
テクノロジ系の分野のサイトオリジナル教科書です。テクノロジ系の各分野の解説と情報処理の過去問をマッピングしています。
平成30年春 問21 DBMSがトランザクションのコミット処理を完了とするタイミング―情報処理安全確保支援士(SC)午前Ⅱ
DBMSがトランザクションのコミット処理を完了とするタイミングはどれか。
【ア】アプリケーションの更新命令完了時点
【イ】チェックポイント処理完了時点
【ウ】ログバッファへのコミット情報書込み完了時点
【エ】ログファイルへのコミット情報書込み完了時点
出典:平成30年度 春期 情報処理安全確保支援士 午前Ⅱ 問題 問21
答えと解説
答え 【エ】
DBMSがトランザクションのコミット処理を完了とするタイミング
DBMSがトランザクションのコミット処理を完了とするタイミングは、ログファイルへのコミット情報書込み完了時点です。
もっと知識を広げるための参考
-
排他制御
排他制御とは、英語でexclusive controlといいます。デットロックなど、具体例を用いてデータベースの排他制御について解説しています。
-
トランザクション処理
トランザクションとは、利用者から見たデータベースに対する処理の単位です。 利用者からみた場合は1つのデータベース更新処理ですが、データベースから見れば複数の利用者からの処理依頼があり、 データベースの更新を矛盾なく行う必要があります。 データベースにおけるトランザクションの意味、ACID特性などの解説をまとめています。
-
データベース
データベースの方式、設計、データ操作、トランザクション処理、応用など。データベース関連のオリジナルテキストと情報処理試験の過去問もまとめています。
-
テクノロジ系
テクノロジ系の分野のサイトオリジナル教科書です。テクノロジ系の各分野の解説と情報処理の過去問をマッピングしています。
平成30年春 問22 オブジェクト間の相互作用を時間の経過に着目して記述するもの―情報処理安全確保支援士(SC)午前Ⅱ
UML2.0において、オブジェクト間の相互作用を時間の経過に着目して記述するものはどれか。
【ア】アクティビティ図
【イ】コミュニケーション図
【ウ】シーケンス図
【エ】ユースケース図
出典:平成30年度 春期 情報処理安全確保支援士 午前Ⅱ 問題 問22
答えと解説
答え 【ウ】
シーケンス図
シーケンス図とは、オブジェクト間の相互作用を、時系列的な視点から表現する図です。 相互作用図の1つで時系列に沿った処理の流れを、ライフライン同士のメッセージのやり取りで表現します。
もっと知識を広げるための参考
-
UML
UMLは、システムの設計結果を可視化し、文書化するために用いられる言語です。クラス図の集約の矢印など、図の種類、意味、書き方など、UMLとはどのようなものかまとめています。
-
業務分析や要件定義に用いられる手法
ヒヤリングやユースケース、モックアップ及びプロトタイプ、DFDによる業務分析の手順など、 業務分析や要件定義に用いられる手法をまとめています。
-
システム要件定義・ソフトウェア要件定義
システムとソフトウェア要件定義のあらましについてまとめています。
-
システム開発技術
システム開発技術をテーマに要件定義、方式設計、詳細設計、構築、テスト、導入、受入れ、保守など、 システムやソフトウェア開発の考え方、手順、手法、留意事項をまとめています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成30年春 問23 テスト駆動開発の特徴―情報処理安全確保支援士(SC)午前Ⅱ
エクストリームプログラミング(XP:eXtreme Programming)における“テスト駆動開発”の特徴はどれか。
【ア】最初のテストで、なるべく多くのバグを摘出する。
【イ】テストケースの改善を繰り返す。
【ウ】テストでのカバレージを高めることを重視する。
【エ】プログラムを書く前にテストケースを作成する。
出典:平成30年度 春期 情報処理安全確保支援士 午前Ⅱ 問題 問23
答えと解説
答え 【エ】
テスト駆動開発
エクストリームプログラミング(XP:eXtreme Programming)におけるテスト駆動開発は プログラムを書く前にテストケースを作成するなどの特徴があります。
もっと知識を深めるための参考
更新履歴
- 2018年10月2日 ページを作成いたしました。