今週の午後問題〔解答〕情報セキュリティ 情報セキュリティ事故と対策 2018 年度 秋期

今週の午後問題

このコーナーでは毎週月曜に午後の必須選択問題から 1 問ピックアップして出題し、 解答欄 を設け、読者の皆さまにも解答してもらっています!

今週の午後問題は「情報セキュリティ事故と対策」でしたが、皆さん、手応えはいかがでしょうか?

金曜になりましたので、出題の 解答 と 矢沢久雄さんによる 解説 に加えて、皆さんの正解率を公開します。

今週の午後問題
2018 年度 秋期 情報セキュリティ事故と対策

解答と解説

設問 1
正解

本文中の下線 looks_one にある「 SQL インジェクション攻撃」とは何か、という問題です。

DNS ( Domain Name System )の改ざん

は、 SQL インジェクション攻撃とは無関係です。

DB サーバに不正ログイン

は、 SQL インジェクション攻撃とは直接関係しません。

データベース操作の命令文を入力して不正に操作

は、 SQL インジェクション攻撃に該当します。

盗聴

は、 SQL インジェクション攻撃とは無関係です。

したがって、ウが正解です。

設問 2a

正解

ファイル名の直接指定

は、 SQL インジェクション攻撃とは無関係です。

メモリの直接操作

も、 SQL インジェクション攻撃とは無関係です。

エスケープ処理は、 SQL インジェクション攻撃の対策の 1 つですが、

Webページに出力する要素に対して

という部分が不適切です。

データベース操作の命令文で連結する文字列にエスケープ処理を施す

は、 SQL インジェクション攻撃の対策として適切です。

したがって、エが正解です。

設問 2b

正解

保存期間を過ぎた時点でデータベースから消去

は、情報流出リスクの低減になります。

カタログ送付後に直ちにデータベースから消去

は、情報流出リスクの低減になりますが、利用者へのサービスが著しく低下してしまうので不適切です。

電子メールにディジタル署名を付ける

は、情報流出リスクの低減と無関係です。

情報を定期的にバックアップ

も、情報流出リスクの低減と無関係です。

したがって、アが正解です。

設問 2c

正解

保守用PCを必要なときだけ起動

は、情報流出の原因と範囲の特定に無関係です。

インストールするミドルウェアを必要最低限にする

も、情報流出の原因と範囲の特定に無関係です。

デフラグメンテーション(断片化を解消すること)

も、情報流出の原因と範囲の特定に無関係です。

アクセスログ

は、情報流出の原因と範囲の特定に利用できる情報です。

したがって、エが正解です。

設問 3
正解

DB サーバを DMZ に設置する

は、危険が増すことになるので不適切です。

WAF を導入する

は、 Web アプリの脆弱性の対策となるものです。

Web サーバの増設

は、 Web アプリの脆弱性の対策とは無関係です。

ログインパスワードを複雑なものにする

は、 Web アプリの脆弱性の対策とは直接関係しません。

したがって、イが正解です。

みんなの解答

ご解答いただいた皆さん、ありがとうございました!

皆さんの手応えはいかがだったでしょうか?

 

なお、以下はこの問題の IPA の講評です。今後の参考になれば幸いです。

 問1 では,インターネットを経由した攻撃を題材に,公開しているWeb サイトで情報セキュリティ事故が発生した場合の,原因の特定と適切な対策の立案について出題した。
 設問 1 の SQL インジェクションの脆弱性を悪用する攻撃については,正答率は高く,よく理解されていた。
 設問 2 では, a の正答率は平均的で,おおむね理解されていた。アやイと誤って解答した受験者が見受けられた。インターネットを経由した攻撃の種類によって対策方法が異なるので,具体的な対策について理解しておくことが重要である。 b と c の正答率は高く,よく理解されていた。
 設問 3 の正答率は高く,よく理解されていた。 Web アプリケーションソフトのセキュアな実装に加え,システムにセキュリティ対策機能を組み込むことによって,より多層的な防御が可能となる。
 Web サイトを構築する場合, Web アプリケーションソフトの脆弱性への適切な対策を行う能力は欠くことができないものなので,身につけておいてほしい。

来週も引き続き、情報セキュリティから出題します!ぜひ挑戦してみてください!

label 関連タグ
Q. 午前試験を
『免除』するには?
A. 独習ゼミで午前免除制度を活用しましょう。
免除試験を受けた 87% の方が、
1 年間の午前免除資格を得ています。
2022 年 上期 試験向け
コース申込受付中!
info_outline
2022 年 上期 試験向け
コース申込受付中!
詳しく見てみるplay_circle_filled
label これまでの『今週の午後問題』の連載一覧 label 著者