応用情報技術者試験の過去問&キーワードを動画2443本の動画で解説!スキマ時間に動画!※2017年9月11日現在

PR広告

平成28年度春 応用情報技術者試験 午後問1 情報セキュリティ 設問4 合格率アップ!動画付き解説!

Webサイトを用いた書籍販売システムのセキュリティに関する次の記述を読んで、設問1~4に答えよ。

 K社は技術書籍の大手出版社である。従来は全ての書籍を書店で販売していたが、顧客からの要望によって、高額書籍を自社のWebサイトでも販売することになった。

K社システム部のL部長は、Webサイトを用いた書籍販売システム(以下、Webシステムという)の開発のためのプロジェクトチームを立ち上げ、開発課のM課長をリーダに任命した。L部長は、情報セキュリティ確保のための対策として、サイバー攻撃によるWebシステムへの侵入を想定したテスト(以下、侵入テストという)を実施するようにM課長に指示した。M課長は、開発作業が結合テストまで完了した段階で、Webシステムのテスト環境を利用して侵入テストを実施することにした。

 〔Webシステムのテスト環境〕

 Webシステムは、高額書籍を購入する顧客の氏名、住所、購入履歴などの個人情報(以下、顧客情報という)を内部ネットワーク上のデータベースサーバ(以下、DBサーバという)に保存し、WebサーバがDBサーバ、業務サーバにアクセスして販売処理を行う。Webシステムのテスト環境の構成を図1に示す。

平成28年度春 応用情報技術者試験 午後問1 情報セキュリティ 設問1 合格率アップ!動画付き解説!

 〔Webシステムの認証と通信〕

 顧客がWebシステムを利用する際、利用者IDとパスワードで認証する。また、顧客との通信には、インターネット標準として利用されているaによる暗号化通信を用いる。

 サーバ管理者は、各サーバやファイアウォールのログを定期的にチェックすることによって、Webシステムにおける不正なアプリケーションの稼働を監視する。

 〔侵入テストの実施〕

 M課長は、社外のセキュリティコンサルタントのN氏に侵入テストの実施を依頼した。N氏は、表1に示す侵入テストのテスト項目を作成し、M課長に提出した。

平成28年度春 応用情報技術者試験 午後問1 情報セキュリティ 設問1 合格率アップ!動画付き解説!

〔結果〕

 N氏は、テスト項目に沿って侵入テストを実施し、その結果と改善項目をM課長に報告した。

テスト結果と改善項目を表2に示す。

平成28年度春 応用情報技術者試験 午後問1 情報セキュリティ 設問1 合格率アップ!動画付き解説!

 〔改善項目とその対策〕

   M課長とN氏は、Webシステムの侵入テストの結果と、セキュリティ上の改善項目について、表1と表2を基にしてL部長に報告した。

N氏 :現在のWebシステムには、サイバー攻撃に対して多くの脆弱性が存在します。

L部長:項番1について説明したください。

N氏 :攻撃者は①Webサーバの構成情報の調査によって、攻撃するために有用な情報を得ることで、Webサーバの脆弱性を探ってきます。

L部長:どのような対策が有効ですか。

N氏 :②ボートスキャンについては、Webサーバやファイアウォールの設定で防止する必要があります。Webサーバの構成情報の調査については、Webサーバの設定情報を変更して、必要のない問合せに応答しないようにすることで対処します。

L部長:項番2で、Webサーバについて改善項目がありますが、どのような対策が必要ですか。

N氏 :③Webサーバへの攻撃の疑いがあるアクセスを遮断するセキュリティ機器の導入が効果的です。保護する対象をWebアプリケーションに特化しており、Webサーバ上で使用するアプリケーションに潜む未知の脆弱性を突く攻撃を、プロトコルの異常などによって検知し、遮断できるようになります。

L部長:項番3のバッファオーバフローとSQLインジェクションについては、どのような対策が必要ですか。

N氏 :ソースコードをチェックするツールを使用して、Webアプリケーションの脆弱性を調査し、その結果に基づいたソースコードの修正が必要です。バッファオーバフローは、バッファにデータを保存する際にdを常にチェックすることで防ぐことができます。SQLインジェクションは、データをSQLに埋め込むところで、データの特殊文字を適切にeすることで防ぐことができます。

M課長:改善項目に対応するようWebアプリケーションのソースコードを修正します。

N氏 :Webシステムの構成にも問題点があります。攻撃者が、攻撃の発見を遅らせるために、Webシステム内でログを消去するおそれがあります。

L部長:対策方法はありますか。

N氏 :各サーバやファイアウォールのログを集中して保存する専用のサーバを設置し、ログが消去されることを防ぎます。また、④ログをリアルタイムにチェックするツールを導入します。

N氏の指摘に基づいて、開発課がWebシステムを改善し、L部長はWebシステムの総合テストの実施を承認した。

設問4

本文中の下線④について、ログのリアルタイムでのチェックで、サイバー攻撃の可能性があると判断される痕跡を解答群の中から選び、記号で答えよ。

解答群

  1. DNSを使用せずURLの中にIPアドレスを直接書き込んで通信している。
  2. URLフィルタのホワイトリストに一致した通信が発生している。
  3. 送られてくるファイルの拡張子が偽装されている。
  4. 業務時間外に内部ネットワークから業務サーバへのアクセスが減少している。
  5. 通信元のIPアドレスが、想定した範囲から外れている。

解説

下線④は「ログのリアルタイムでのチェックで攻撃の痕跡を探る」です。

選択肢の中で攻撃の痕跡と思われるのは「ア」「ウ」です!

ア DNSを使用せずURLの中にIPアドレスを直接書き込んで通信している

→通常の通信であればDNSを利用するので攻撃の可能性があります。

ウ 送られてくるファイルの拡張子が偽装されている。

→通常の通信であればファイルの拡張子を偽装する必要はありませんので、マルウェアなどを偽装している可能性などがあります。

オ 通信元のIPアドレスが、想定した範囲から外れている 通常であれば、取引先やよく見られるWebサイトとの通信となります。 想定していないIPアドレスとの通信が大量に発生した場合攻撃されている可能性が高いです。

平成28年度春 応用情報技術者試験 午後 目次


タグ: ,

PR広告

フェイスブックコメント

難解な応用情報技術者試験午前で80点中48点を取る優しい方法

平成28年度春 応用情報技術者試験 午後 テキスト・動画解説

平成28年度春 応用情報技術者試験 午後 動画解説再生リスト

平成28年度春 応用情報技術者試験 午前 テキスト・動画解説

平成28年度秋 応用情報技術者試験 午前 動画解説再生リスト

平成27年度秋 応用情報技術者試験 午前 テキスト・動画解説

平成27年度秋 応用情報技術者試験 午前 動画解説再生リスト

平成27年度春 応用情報技術者試験 午後 テキスト・動画解説

平成27年度春 応用情報技術者試験 午後 動画解説再生リスト

平成27年度春 応用情報技術者試験 午前 テキスト・動画解説

平成27年度春 応用情報技術者試験 午前 動画解説再生リスト

平成26年度秋 応用情報技術者試験 午前 テキスト・動画解説

平成26年度秋 応用情報技術者試験 午前 動画解説再生リスト

平成26年度春 応用情報技術者試験 午前 テキスト・動画解説

平成26年度春 応用情報技術者試験 午前 動画解説再生リスト