情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成26年度秋期 午前Ⅱ 問17: サンドボックスの仕組みについて述べたものはどれか。

問題本文

サンドボックスの仕組みについて述べたものはどれか。

選択肢

• ア.Web アプリケーションの脆弱性を悪用する攻撃に含まれる可能性が高い文字列を定義し，攻撃であると判定した場合には，その通信を遮断する。
• イ.侵入者をおびき寄せるために本物そっくりのシステムを設置し，侵入者の挙動などを監視する。
• ウ.プログラムの影響がシステム全体に及ばないように，プログラムが実行できる機能やアクセスできるリソースを制限して動作させる。
• エ.プログラムのソースコードで SQL 文の雛形の中に変数の場所を示す記号を置いた後，実際の値を割り当てる。

正解

ウ. プログラムの影響がシステム全体に及ばないように，プログラムが実行できる機能やアクセスできるリソースを制限して動作させる。

解説

サンドボックスは、プログラムを隔離環境で動かし、実行できる機能やアクセスできるリソースを制限することで、不正・未知のコードの影響がシステム全体に及ばないようにする仕組み。よってウが正解。WAF・ハニーポット・プレースホルダの説明と区別する問題。実務では未知マルウェアの動的解析やブラウザ・アプリの隔離実行に使われる。

選択肢ごとの解説

• ア.攻撃文字列を判定して通信を遮断するのはWAFでありサンドボックスではないので誤り。
• イ.偽システムで侵入者を観察するのはハニーポットでありサンドボックスではないので誤り。
• ウ.実行可能な機能やリソースを制限し影響を封じ込める点でサンドボックスとして正しい。
• エ.SQL文の雛形に値を割り当てるのはプレースホルダ(バインド機構)であり誤り。