情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和3年度春期 午前Ⅰ 問15: Webシステムにおいて,セッションの乗っ取りの機会を減らすために,利用者のログアウト時にWebサーバ又はWebブラウザにおいて行うべき処理はどれか。ここで,利用
←情報処理安全確保支援士試験 令和3年度春期 午前Ⅰ
Webシステムにおいて,セッションの乗っ取りの機会を減らすために,利用者のログアウト時にWebサーバ又はWebブラウザにおいて行うべき処理はどれか。ここで,利用者は自分専用のPCにおいて,Webブラウザを利用しているものとする。
問題本文
Webシステムにおいて,セッションの乗っ取りの機会を減らすために,利用者のログアウト時にWebサーバ又はWebブラウザにおいて行うべき処理はどれか。ここで,利用者は自分専用のPCにおいて,Webブラウザを利用しているものとする。
選択肢
- ア.WebサーバにおいてセッションIDを内蔵ストレージに格納する。
- イ.WebサーバにおいてセッションIDを無効にする。
- ウ.WebブラウザにおいてキャッシュしているWebページをクリアする。
- エ.WebブラウザにおいてセッションIDを内蔵ストレージに格納する。
正解
イ. WebサーバにおいてセッションIDを無効にする。
解説
セッションの乗っ取りを防ぐには、ログアウト時にサーバ側で当該セッションIDを無効化(破棄)し、以後そのIDを再利用できないようにすることが本質的に有効。よってイが正解。クライアント側でキャッシュを消したりIDを保管したりしても、サーバがIDを有効なまま保持していれば盗まれたIDで不正利用される。サーバ主導のセッション失効はセッション管理の基本対策である。
選択肢ごとの解説
- ア.サーバでセッションIDをストレージに格納するだけでは無効化されず、乗っ取りの機会は減らない。
- イ.ログアウト時にサーバ側でセッションIDを無効にすれば盗用された後の不正利用を防げ、正しい。
- ウ.ブラウザのページキャッシュ削除は情報残存対策にはなるが、サーバ側セッションは有効なままで不十分。
- エ.ブラウザでセッションIDを保管することはむしろID残存のリスクで、乗っ取り対策にならず誤り。
情報処理安全確保支援士試験 令和3年度春期 午前Ⅰ の過去問一覧へ戻る・問15