今週の午後問題〔解答〕情報セキュリティ 情報セキュリティ事故と対策 2018 年度 秋期
error
この記事は基本情報技術者試験の旧制度( 2022 年以前)の記事です。
この記事の題材となっている「午後問題」は現在の試験制度では出題されません。 ご注意くださいませ。
このコーナーでは毎週月曜に午後の必須選択問題から 1 問ピックアップして出題し、 解答欄 を設け、読者の皆さまにも解答してもらっています!
今週の午後問題は「情報セキュリティ事故と対策」でしたが、皆さん、手応えはいかがでしょうか?
金曜になりましたので、出題の 解答 と 矢沢久雄さんによる 解説 に加えて、皆さんの正解率を公開します。
今週の午後問題
2018 年度 秋期 情報セキュリティ事故と対策
解答と解説
設問 1
正解 ウ
本文中の下線 looks_one にある「 SQL インジェクション攻撃」とは何か、という問題です。
- ア
-
DNS ( Domain Name System )の改ざん
は、 SQL インジェクション攻撃とは無関係です。
- イ
-
DB サーバに不正ログイン
は、 SQL インジェクション攻撃とは直接関係しません。
- ウ
-
データベース操作の命令文を入力して不正に操作
は、 SQL インジェクション攻撃に該当します。
- エ
-
盗聴
は、 SQL インジェクション攻撃とは無関係です。
したがって、ウが正解です。
設問 2a
正解 エ
- ア
-
ファイル名の直接指定
は、 SQL インジェクション攻撃とは無関係です。
- イ
-
メモリの直接操作
も、 SQL インジェクション攻撃とは無関係です。
- ウ
- エスケープ処理は、 SQL インジェクション攻撃の対策の 1 つですが、
Webページに出力する要素に対して
という部分が不適切です。
- エ
-
データベース操作の命令文で連結する文字列にエスケープ処理を施す
は、 SQL インジェクション攻撃の対策として適切です。
したがって、エが正解です。
設問 2b
正解 ア
- ア
-
保存期間を過ぎた時点でデータベースから消去
は、情報流出リスクの低減になります。
- イ
-
カタログ送付後に直ちにデータベースから消去
は、情報流出リスクの低減になりますが、利用者へのサービスが著しく低下してしまうので不適切です。
- ウ
-
電子メールにディジタル署名を付ける
は、情報流出リスクの低減と無関係です。
- エ
-
情報を定期的にバックアップ
も、情報流出リスクの低減と無関係です。
したがって、アが正解です。
設問 2c
正解 エ
- ア
-
保守用PCを必要なときだけ起動
は、情報流出の原因と範囲の特定に無関係です。
- イ
-
インストールするミドルウェアを必要最低限にする
も、情報流出の原因と範囲の特定に無関係です。
- ウ
-
デフラグメンテーション(断片化を解消すること)
も、情報流出の原因と範囲の特定に無関係です。
- エ
-
アクセスログ
は、情報流出の原因と範囲の特定に利用できる情報です。
したがって、エが正解です。
設問 3
正解 イ
- ア
-
DB サーバを DMZ に設置する
は、危険が増すことになるので不適切です。
- イ
-
WAF を導入する
は、 Web アプリの脆弱性の対策となるものです。
- ウ
-
Web サーバの増設
は、 Web アプリの脆弱性の対策とは無関係です。
- エ
-
ログインパスワードを複雑なものにする
は、 Web アプリの脆弱性の対策とは直接関係しません。
したがって、イが正解です。
みんなの解答
ご解答いただいた皆さん、ありがとうございました!
皆さんの手応えはいかがだったでしょうか?
なお、以下はこの問題の IPA の講評です。今後の参考になれば幸いです。
設問 1 の SQL インジェクションの脆弱性を悪用する攻撃については,正答率は高く,よく理解されていた。
設問 2 では, a の正答率は平均的で,おおむね理解されていた。アやイと誤って解答した受験者が見受けられた。インターネットを経由した攻撃の種類によって対策方法が異なるので,具体的な対策について理解しておくことが重要である。 b と c の正答率は高く,よく理解されていた。
設問 3 の正答率は高く,よく理解されていた。 Web アプリケーションソフトのセキュアな実装に加え,システムにセキュリティ対策機能を組み込むことによって,より多層的な防御が可能となる。
Web サイトを構築する場合, Web アプリケーションソフトの脆弱性への適切な対策を行う能力は欠くことができないものなので,身につけておいてほしい。
来週も引き続き、情報セキュリティから出題します!ぜひ挑戦してみてください!
label 関連タグ免除試験を受けた 74.9% の方が、 科目A免除資格を得ています。
今週の午後問題〔解答〕アルゴリズム 文字列の誤りの検出 2017 年度 秋期
update今週の午後問題〔問題〕アルゴリズム 文字列の誤りの検出 2017 年度 秋期
update今週の午後問題〔解答〕アルゴリズム ヒープの性質を利用したデータの整列 2018 年度 春期
update今週の午後問題〔問題〕アルゴリズム ヒープの性質を利用したデータの整列 2018 年度 春期
update今週の午後問題〔解答〕アルゴリズム 整数式の解析と計算 2018 年度 秋期
update今週の午後問題〔問題〕アルゴリズム 整数式の解析と計算 2018 年度 秋期
update今週の午後問題〔解答〕アルゴリズム ハフマン符号化を用いた文字列圧縮 2019 年度 春期
update今週の午後問題〔問題〕アルゴリズム ハフマン符号化を用いた文字列圧縮 2019 年度 春期
update今週の午後問題〔解答〕情報セキュリティ SSH による通信 2017 年度 秋期
update今週の午後問題〔問題〕情報セキュリティ SSH による通信 2017 年度 秋期
update- 基本情報技術者試験 の受験勉強をレポート頂ける方を募集中です!
- ツイッター で過去問を配信しています
姉妹サイト 「IT資格の歩き方」 では応用情報技術者以上の情報処理技術者試験の対策記事があります!
基本情報技術者試験を合格されたら、「IT資格の歩き方」で末永く、スキルアップにお役立てください!