情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成30年度春期 午前Ⅰ 問15: Webシステムにおいて,セッションの乗っ取りの機会を減らすために,利用者のログアウト時にWebサーバ又はWebブラウザにおいて行うべき処理はどれか。ここで,利用
←情報処理安全確保支援士試験 平成30年度春期 午前Ⅰ
Webシステムにおいて,セッションの乗っ取りの機会を減らすために,利用者のログアウト時にWebサーバ又はWebブラウザにおいて行うべき処理はどれか。ここで,利用者は自分専用のPCにおいて,Webブラウザを利用しているものとする。
問題本文
Webシステムにおいて,セッションの乗っ取りの機会を減らすために,利用者のログアウト時にWebサーバ又はWebブラウザにおいて行うべき処理はどれか。ここで,利用者は自分専用のPCにおいて,Webブラウザを利用しているものとする。
選択肢
- ア.WebサーバにおいてセッションIDをディスクに格納する。
- イ.WebサーバにおいてセッションIDを無効にする。
- ウ.WebブラウザにおいてキャッシュしているWebページをクリアする。
- エ.WebブラウザにおいてセッションIDをディスクに格納する。
正解
イ. WebサーバにおいてセッションIDを無効にする。
解説
セッション乗っ取りを減らすには、ログアウト時にサーバ側で当該セッションIDを無効化(破棄)し、以後そのIDを使えなくするのが本質的な対策。これを述べたイが正解。クライアント側の操作だけではサーバに残ったセッションが悪用され得るため、サーバ主導の失効が重要。実務ではログアウト時のセッション破棄とCookie削除を併用する。
選択肢ごとの解説
- ア.セッションIDをディスクに保存すると残存・流出の恐れが増し、乗っ取り対策に逆行するため誤り。
- イ.サーバ側でセッションIDを無効化すれば以後悪用できず、乗っ取り防止に有効で正解。
- ウ.ブラウザのページキャッシュ削除は情報残留対策にはなるが、セッション失効そのものではなく誤り。
- エ.ブラウザでセッションIDをディスクに格納すると永続化し漏えい時の危険が増すため誤り。
情報処理安全確保支援士試験 平成30年度春期 午前Ⅰ の過去問一覧へ戻る・問15