応用情報技術者試験の過去問&キーワードを動画1679本以上の動画で解説!スキマ時間に動画!※2015年9月30日現在

PR広告

平成28年度春 応用情報技術者試験 午後問1 情報セキュリティ 設問1 合格率アップ!動画付き解説!

Webサイトを用いた書籍販売システムのセキュリティに関する次の記述を読んで、設問1~4に答えよ。

 K社は技術書籍の大手出版社である。従来は全ての書籍を書店で販売していたが、顧客からの要望によって、高額書籍を自社のWebサイトでも販売することになった。

K社システム部のL部長は、Webサイトを用いた書籍販売システム(以下、Webシステムという)の開発のためのプロジェクトチームを立ち上げ、開発課のM課長をリーダに任命した。L部長は、情報セキュリティ確保のための対策として、サイバー攻撃によるWebシステムへの侵入を想定したテスト(以下、侵入テストという)を実施するようにM課長に指示した。M課長は、開発作業が結合テストまで完了した段階で、Webシステムのテスト環境を利用して侵入テストを実施することにした。

 〔Webシステムのテスト環境〕

 Webシステムは、高額書籍を購入する顧客の氏名、住所、購入履歴などの個人情報(以下、顧客情報という)を内部ネットワーク上のデータベースサーバ(以下、DBサーバという)に保存し、WebサーバがDBサーバ、業務サーバにアクセスして販売処理を行う。Webシステムのテスト環境の構成を図1に示す。

平成28年度春 応用情報技術者試験 午後問1 情報セキュリティ 設問1 合格率アップ!動画付き解説!

 〔Webシステムの認証と通信〕

 顧客がWebシステムを利用する際、利用者IDとパスワードで認証する。また、顧客との通信には、インターネット標準として利用されているaによる暗号化通信を用いる。

 サーバ管理者は、各サーバやファイアウォールのログを定期的にチェックすることによって、Webシステムにおける不正なアプリケーションの稼働を監視する。

 〔侵入テストの実施〕

 M課長は、社外のセキュリティコンサルタントのN氏に侵入テストの実施を依頼した。N氏は、表1に示す侵入テストのテスト項目を作成し、M課長に提出した。

平成28年度春 応用情報技術者試験 午後問1 情報セキュリティ 設問1 合格率アップ!動画付き解説!

〔結果〕

 N氏は、テスト項目に沿って侵入テストを実施し、その結果と改善項目をM課長に報告した。

テスト結果と改善項目を表2に示す。

平成28年度春 応用情報技術者試験 午後問1 情報セキュリティ 設問1 合格率アップ!動画付き解説!

 〔改善項目とその対策〕

   M課長とN氏は、Webシステムの侵入テストの結果と、セキュリティ上の改善項目について、表1と表2を基にしてL部長に報告した。

N氏 :現在のWebシステムには、サイバー攻撃に対して多くの脆弱性が存在します。

L部長:項番1について説明したください。

N氏 :攻撃者は①Webサーバの構成情報の調査によって、攻撃するために有用な情報を得ることで、Webサーバの脆弱性を探ってきます。

L部長:どのような対策が有効ですか。

N氏 :②ボートスキャンについては、Webサーバやファイアウォールの設定で防止する必要があります。Webサーバの構成情報の調査については、Webサーバの設定情報を変更して、必要のない問合せに応答しないようにすることで対処します。

L部長:項番2で、Webサーバについて改善項目がありますが、どのような対策が必要ですか。

N氏 :③Webサーバへの攻撃の疑いがあるアクセスを遮断するセキュリティ機器の導入が効果的です。保護する対象をWebアプリケーションに特化しており、Webサーバ上で使用するアプリケーションに潜む未知の脆弱性を突く攻撃を、プロトコルの異常などによって検知し、遮断できるようになります。

L部長:項番3のバッファオーバフローとSQLインジェクションについては、どのような対策が必要ですか。

N氏 :ソースコードをチェックするツールを使用して、Webアプリケーションの脆弱性を調査し、その結果に基づいたソースコードの修正が必要です。バッファオーバフローは、バッファにデータを保存する際にdを常にチェックすることで防ぐことができます。SQLインジェクションは、データをSQLに埋め込むところで、データの特殊文字を適切にeすることで防ぐことができます。

M課長:改善項目に対応するようWebアプリケーションのソースコードを修正します。

N氏 :Webシステムの構成にも問題点があります。攻撃者が、攻撃の発見を遅らせるために、Webシステム内でログを消去するおそれがあります。

L部長:対策方法はありますか。

N氏 :各サーバやファイアウォールのログを集中して保存する専用のサーバを設置し、ログが消去されることを防ぎます。また、④ログをリアルタイムにチェックするツールを導入します。

N氏の指摘に基づいて、開発課がWebシステムを改善し、L部長はWebシステムの総合テストの実施を承認した。

設問1

本文中のa及び表2中のbcに入れる適切な字句をそれぞれ4字以内で答えよ。

解説

aには「TLS」が入ります!

aの前後の問題文は下記の通りです。

「顧客との通信には、インターネット標準として利用されるaによる暗号化通信を用いる」

とあります。

2016年4月現在のインターネット標準の暗号化はSSL3.0です。SSL3.0はTLSとも呼ばれます。

4文字以内とあるのでTLSが正解となります(SSLでも正解もしくは部分点もらえるかもしれません)!


bには「踏み台」が入ります!

bは「表2 テスト結果と改善項目(抜粋)」の項目2のテスト結果にあります。

Webサーバの脆弱性を利用して、Webサーバを「b 踏み台」にし、そこを中継点として内部ネットワークに侵入できた。

表1の頁番2をみると

Webシステムへの攻撃によって、Webシステム内に浸入した後、Webサーバの管理者権限の奪取が可能か。

「Webシステム内に浸入した後、Webサーバの管理者権限の奪取」

「Webシステムを踏み台にして、Webサーバの管理者権限の奪取」

と言い換えられます。

複数システムがあり、入り口となるシステムに浸入後、目的のシステムに侵入したり、権限を奪うことを「踏み台」にするといいます!


cには「ゼロデイ」が入ります!

cは「表2 テスト結果と改善項目(抜粋)」の項目2の改善項目にあります。

以下抜粋

脆弱性の存在自体が広く公表される前にそれを悪用するc攻撃

「脆弱性の存在自体が広く公表される前にそれを悪用する」攻撃方法をゼロデイ攻撃といいます!

平成28年度春 応用情報技術者試験 午後 目次


タグ: ,

PR広告

フェイスブックコメント

難解な応用情報技術者試験午前で80点中48点を取る優しい方法

平成28年度春 応用情報技術者試験 午後 テキスト・動画解説

平成28年度春 応用情報技術者試験 午後 動画解説再生リスト

平成28年度春 応用情報技術者試験 午前 テキスト・動画解説

平成28年度秋 応用情報技術者試験 午前 動画解説再生リスト

平成27年度秋 応用情報技術者試験 午前 テキスト・動画解説

平成27年度秋 応用情報技術者試験 午前 動画解説再生リスト

平成27年度春 応用情報技術者試験 午後 テキスト・動画解説

平成27年度春 応用情報技術者試験 午後 動画解説再生リスト

平成27年度春 応用情報技術者試験 午前 テキスト・動画解説

平成27年度春 応用情報技術者試験 午前 動画解説再生リスト

平成26年度秋 応用情報技術者試験 午前 テキスト・動画解説

平成26年度秋 応用情報技術者試験 午前 動画解説再生リスト

平成26年度春 応用情報技術者試験 午前 テキスト・動画解説

平成26年度春 応用情報技術者試験 午前 動画解説再生リスト