情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成29年度春期 午前Ⅱ 問16: サンドボックスの仕組みに関する記述のうち，適切なものはどれか。

問題本文

サンドボックスの仕組みに関する記述のうち，適切なものはどれか。

選択肢

• ア.Web アプリケーションの脆弱性を悪用する攻撃に含まれる可能性が高い文字列を定義し，攻撃であると判定した場合には，その通信を遮断する。
• イ.クラウド上で動作する複数の仮想マシン（ゲスト OS）間で，お互いの操作ができるように制御する。
• ウ.プログラムの影響がシステム全体に及ばないように，プログラムが実行できる機能やアクセスできるリソースを制限して動作させる。
• エ.プログラムのソースコードで SQL 文の雛形の中に変数の場所を示す記号を置いた後，実際の値を割り当てる。

正解

ウ. プログラムの影響がシステム全体に及ばないように，プログラムが実行できる機能やアクセスできるリソースを制限して動作させる。

解説

サンドボックスは、プログラムを隔離環境で動かし、実行できる機能やアクセスできるリソースを制限することで、不正・未知のプログラムの影響がシステム全体に及ばないようにする仕組み。よってウが正解。アはWAF、イは仮想マシン間連携、エはプレースホルダ(プレースホルダ付きプリペアドステートメント)の説明。実務では未知マルウェアの動的解析や危険コードの安全な実行に使う。

選択肢ごとの解説

• ア.攻撃文字列を定義して通信を遮断するのはWAFの説明で、サンドボックスではない。
• イ.仮想マシン間で相互操作を許す制御はサンドボックスの隔離の目的とは逆である。
• ウ.機能やリソースを制限して隔離実行し全体への影響を防ぐ点がサンドボックスで、正解。
• エ.SQL文の雛形に値を割り当てるのはプレースホルダ(バインド機構)で、サンドボックスではない。