今週の午後問題〔解答〕情報セキュリティ 情報セキュリティ事故と対策 2018 年度 秋期


2021-09-21 更新

error

この記事は基本情報技術者試験の旧制度( 2022 年以前)の記事です。
この記事の題材となっている「午後問題」は現在の試験制度では出題されません。 ご注意くださいませ。

今週の午後問題

このコーナーでは毎週月曜に午後の必須選択問題から 1 問ピックアップして出題し、 解答欄 を設け、読者の皆さまにも解答してもらっています!

今週の午後問題は「情報セキュリティ事故と対策」でしたが、皆さん、手応えはいかがでしょうか?

金曜になりましたので、出題の 解答 と 矢沢久雄さんによる 解説 に加えて、皆さんの正解率を公開します。

今週の午後問題
2018 年度 秋期 情報セキュリティ事故と対策

解答と解説

設問 1
正解

本文中の下線 looks_one にある「 SQL インジェクション攻撃」とは何か、という問題です。

DNS ( Domain Name System )の改ざん

は、 SQL インジェクション攻撃とは無関係です。

DB サーバに不正ログイン

は、 SQL インジェクション攻撃とは直接関係しません。

データベース操作の命令文を入力して不正に操作

は、 SQL インジェクション攻撃に該当します。

盗聴

は、 SQL インジェクション攻撃とは無関係です。

したがって、ウが正解です。

設問 2a

正解

ファイル名の直接指定

は、 SQL インジェクション攻撃とは無関係です。

メモリの直接操作

も、 SQL インジェクション攻撃とは無関係です。

エスケープ処理は、 SQL インジェクション攻撃の対策の 1 つですが、

Webページに出力する要素に対して

という部分が不適切です。

データベース操作の命令文で連結する文字列にエスケープ処理を施す

は、 SQL インジェクション攻撃の対策として適切です。

したがって、エが正解です。

設問 2b

正解

保存期間を過ぎた時点でデータベースから消去

は、情報流出リスクの低減になります。

カタログ送付後に直ちにデータベースから消去

は、情報流出リスクの低減になりますが、利用者へのサービスが著しく低下してしまうので不適切です。

電子メールにディジタル署名を付ける

は、情報流出リスクの低減と無関係です。

情報を定期的にバックアップ

も、情報流出リスクの低減と無関係です。

したがって、アが正解です。

設問 2c

正解

保守用PCを必要なときだけ起動

は、情報流出の原因と範囲の特定に無関係です。

インストールするミドルウェアを必要最低限にする

も、情報流出の原因と範囲の特定に無関係です。

デフラグメンテーション(断片化を解消すること)

も、情報流出の原因と範囲の特定に無関係です。

アクセスログ

は、情報流出の原因と範囲の特定に利用できる情報です。

したがって、エが正解です。

設問 3
正解

DB サーバを DMZ に設置する

は、危険が増すことになるので不適切です。

WAF を導入する

は、 Web アプリの脆弱性の対策となるものです。

Web サーバの増設

は、 Web アプリの脆弱性の対策とは無関係です。

ログインパスワードを複雑なものにする

は、 Web アプリの脆弱性の対策とは直接関係しません。

したがって、イが正解です。

みんなの解答

ご解答いただいた皆さん、ありがとうございました!

皆さんの手応えはいかがだったでしょうか?

 

なお、以下はこの問題の IPA の講評です。今後の参考になれば幸いです。

 問1 では,インターネットを経由した攻撃を題材に,公開しているWeb サイトで情報セキュリティ事故が発生した場合の,原因の特定と適切な対策の立案について出題した。

 設問 1 の SQL インジェクションの脆弱性を悪用する攻撃については,正答率は高く,よく理解されていた。

 設問 2 では, a の正答率は平均的で,おおむね理解されていた。アやイと誤って解答した受験者が見受けられた。インターネットを経由した攻撃の種類によって対策方法が異なるので,具体的な対策について理解しておくことが重要である。 b と c の正答率は高く,よく理解されていた。

 設問 3 の正答率は高く,よく理解されていた。 Web アプリケーションソフトのセキュアな実装に加え,システムにセキュリティ対策機能を組み込むことによって,より多層的な防御が可能となる。

 Web サイトを構築する場合, Web アプリケーションソフトの脆弱性への適切な対策を行う能力は欠くことができないものなので,身につけておいてほしい。

来週も引き続き、情報セキュリティから出題します!ぜひ挑戦してみてください!

label 関連タグ
午後問題の解説情報セキュリティ過去問演習
科目A試験は、
免除できます。 独習ゼミで科目A試験を1年間免除して、科目B試験だけに集中しましょう。
免除試験を受けた 74.9% の方が、
科目A免除資格を得ています。
詳しく見てみるplay_circle_filled
科目A免除試験 最大 2 回の
受験チャンス !
info_outline
科目A免除試験 最大 2 回の
受験チャンス !
詳しく見てみるplay_circle_filled
label これまでの『今週の午後問題』の連載一覧

今週の午後問題〔解答〕アルゴリズム 文字列の誤りの検出 2017 年度 秋期

update

今週の午後問題〔問題〕アルゴリズム 文字列の誤りの検出 2017 年度 秋期

update

今週の午後問題〔解答〕アルゴリズム ヒープの性質を利用したデータの整列 2018 年度 春期

update

今週の午後問題〔問題〕アルゴリズム ヒープの性質を利用したデータの整列 2018 年度 春期

update

今週の午後問題〔解答〕アルゴリズム 整数式の解析と計算 2018 年度 秋期

update

今週の午後問題〔問題〕アルゴリズム 整数式の解析と計算 2018 年度 秋期

update

今週の午後問題〔解答〕アルゴリズム ハフマン符号化を用いた文字列圧縮 2019 年度 春期

update

今週の午後問題〔問題〕アルゴリズム ハフマン符号化を用いた文字列圧縮 2019 年度 春期

update

今週の午後問題〔解答〕情報セキュリティ SSH による通信 2017 年度 秋期

update

今週の午後問題〔問題〕情報セキュリティ SSH による通信 2017 年度 秋期

update
label 著者

grade IPA認定
科目A免除制度対応
eラーニング

play_circle_filledYouTube でも学べる

guide_youtube

LINE 友だち登録で
「試験によく出る
情報セキュリティ用語集 Top 30 」をプレゼント!

人気記事

1

稼働率の計算方法がわかる|かんたん計算問題

update 2021-02-09
2

基本情報でわかる 浮動小数点 「3つの情報で1つの数を表す仕組みを知れば、浮動小数点数がわかる」

update 2021-12-03
3

基本情報技術者試験 とは ~難易度や過去問、勉強法、勉強計画など疑問に答えます

update 2023-03-29
4

基本情報でわかる 論理演算 「真理値表を書けば、半加算器と全加算器の仕組みがわかる」

update 2021-12-16
5

基本情報でわかる IPアドレス と サブネットマスク

update 2021-12-02
6

音声サンプリングの計算方法がわかる|かんたん計算問題

update 2021-02-25
7

略語でわかる MIPS の計算方法|かんたん計算問題

update 2022-10-31
8

工数の計算方法がわかる|かんたん計算問題

update 2021-02-09
9

ビットパターンの計算問題|かんたん計算問題

update 2021-12-02
10

基本情報でわかる FIFO LFU LRU 「略語の意味がわかればわかる」

update 2021-12-02

人気のタグ

アルゴリズム 過去問演習 午前免除試験 勉強方法 午後問題の解説 午前問題 科目 B 午後プログラミング言語問題 試験講評 科目 A 新試験情報 情報セキュリティ 計算問題 午前問題と午後問題の違い Python 2進数 試験情報 テクニック 具体的な値を想定 試験ガイド 出題傾向 2019見直し 勉強時間 学習方法 データベース ネットワーク SQL 論理回路 公開鍵秘密鍵 IPアドレス オブジェクト指向