情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和元年度秋期 午前Ⅱ 問14: Web サイトにおいて,全ての Web ページを TLS で保護するよう設定する常時 SSL/TLS のセキュリティ上の効果はどれか。
←情報処理安全確保支援士試験 令和元年度秋期 午前Ⅱ
Web サイトにおいて,全ての Web ページを で保護するよう設定する常時 SSL/TLS のセキュリティ上の効果はどれか。
問題本文
Web サイトにおいて,全ての Web ページを TLS で保護するよう設定する常時 SSL/TLS のセキュリティ上の効果はどれか。
選択肢
- ア.Web サイトでの SQL 組立て時にエスケープ処理が施され,SQL インジェクション攻撃による個人情報などの非公開情報の漏えいやデータベースに蓄積された商品価格などの情報の改ざんを防止する。
- イ.Web サイトへのアクセスが人間によるものかどうかを確かめ,Web ブラウザ以外の自動化された Web クライアントによる大量のリクエストへの応答を避ける。
- ウ.Web サイトへのブルートフォース攻撃によるログイン試行を検出してアカウントロックし,Web サイトへの不正ログインを防止する。
- エ.Web ブラウザと Web サイトとの間における中間者攻撃による通信データの漏えい及び改ざんを防止し,サーバ証明書によって偽りの Web サイトの見分けを容易にする。
正解
エ. Web ブラウザと Web サイトとの間における中間者攻撃による通信データの漏えい及び改ざんを防止し,サーバ証明書によって偽りの Web サイトの見分けを容易にする。
解説
常時SSL/TLSは全ページをTLSで保護する設定で、通信全体の暗号化により中間者攻撃による盗聴・改ざんを防ぎ、サーバ証明書で接続先の正当性を確認しやすくする。よってエが正解。SQLインジェクション対策やbot判別、ブルートフォース検知はTLSの役割ではなく、別途アプリ側の対策が必要。実務ではCookie盗聴やセッション乗っ取りの抑止にも有効で、近年は標準的な実装。
選択肢ごとの解説
- ア.エスケープでSQLインジェクションを防ぐのはアプリ側の実装対策で、TLSの効果ではない。
- イ.人間かbotかの判別はCAPTCHA等の役割で、通信を暗号化するTLSの効果ではない。
- ウ.ブルートフォース検知やアカウントロックは認証側の対策で、TLSが担う機能ではない。
- エ.中間者攻撃による盗聴・改ざんを防ぎ証明書で正当性を確認できる点が常時TLSの効果で、これが正解。
情報処理安全確保支援士試験 令和元年度秋期 午前Ⅱ の過去問一覧へ戻る・問14