情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成26年度秋期 午前Ⅰ 問14: Web アプリケーションにおけるセキュリティ上の脅威と対策の適切な組合せはどれか。

問題本文

Web アプリケーションにおけるセキュリティ上の脅威と対策の適切な組合せはどれか。

選択肢

• ア.OS コマンドインジェクションを防ぐために，Web アプリケーションが発行するセッション ID を推測困難なものにする。
• イ.SQL インジェクションを防ぐために，Web アプリケーション内でデータベースへの問合せを作成する際にバインド機構を使用する。
• ウ.クロスサイトスクリプティングを防ぐために，外部から渡す入力データを Web サーバ内のファイル名として直接指定しない。
• エ.セッションハイジャックを防ぐために，Web アプリケーションからシェルを起動できないようにする。

正解

イ. SQL インジェクションを防ぐために，Web アプリケーション内でデータベースへの問合せを作成する際にバインド機構を使用する。

解説

脅威と対策の正しい対応を問う問題。SQLインジェクションは入力値が命令文に混入することで起きるため、値を命令と分離するバインド機構(プレースホルダ)の使用が根本対策となる。よってイが正解。他の選択肢は脅威と対策の組合せがずれている。脆弱性の発生原理に対応した対策を選ぶ視点がWebセキュリティの基本。

選択肢ごとの解説

• ア.セッションID推測困難化はセッションハイジャック対策で、OSコマンドインジェクションの防止策ではなく誤り。
• イ.バインド機構は値とSQL命令を分離しSQLインジェクションを根本から防ぐ正しい対策で、これが正解。
• ウ.入力をファイル名に直接使わないのはディレクトリトラバーサル対策で、XSSの防止策ではないため誤り。
• エ.シェル起動の禁止はOSコマンドインジェクション対策で、セッションハイジャックの防止策ではなく誤り。