情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成28年度春期 午前Ⅰ 問14: Webアプリケーションのセッションが攻撃者に乗っ取られ,攻撃者が乗っ取ったセッションを利用してアクセスした場合でも,個人情報の漏えいなどの被害が拡大しないように
←情報セキュリティスペシャリスト試験 平成28年度春期 午前Ⅰ
Webアプリケーションのセッションが攻撃者に乗っ取られ,攻撃者が乗っ取ったセッションを利用してアクセスした場合でも,個人情報の漏えいなどの被害が拡大しないようにするために,Webアプリケーションが重要な情報をWebブラウザに送信する直前に行う対策として,最も適切なものはどれか。
問題本文
Webアプリケーションのセッションが攻撃者に乗っ取られ,攻撃者が乗っ取ったセッションを利用してアクセスした場合でも,個人情報の漏えいなどの被害が拡大しないようにするために,Webアプリケーションが重要な情報をWebブラウザに送信する直前に行う対策として,最も適切なものはどれか。
選択肢
- ア.Webブラウザとの間の通信を暗号化する。
- イ.発行済セッションIDをCookieに格納する。
- ウ.発行済セッションIDをURLに設定する。
- エ.パスワードによる利用者認証を行う。
解説
セッションを乗っ取られても被害を最小化するには、重要情報を返す直前に改めてパスワード等で本人確認(再認証)を行うのが有効。攻撃者はセッションを奪えても本人のパスワードは知らないため、機密表示を阻止できる。エが正解。通信暗号化やCookie格納はセッションID自体の保護で乗っ取り後の拡大防止には直結しない。重要操作の前に再認証を挟む多層防御の発想が要点。
選択肢ごとの解説
- ア.通信暗号化は盗聴対策で、乗っ取り後の被害拡大は防げず誤り。
- イ.セッションIDのCookie格納はID保護策で再認証ではなく誤り。
- ウ.セッションIDをURLに置くのはむしろ漏えいを招き不適切で誤り。
- エ.重要情報送信の直前に再認証すれば乗っ取り後の漏えいを防げ正解。
情報セキュリティスペシャリスト試験 平成28年度春期 午前Ⅰ の過去問一覧へ戻る・問14