情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和3年度春期 午前Ⅱ 問12: 安全な Web アプリケーションの作り方について,攻撃と対策の適切な組合せはどれか。
←情報処理安全確保支援士試験 令和3年度春期 午前Ⅱ
安全な Web アプリケーションの作り方について,攻撃と対策の適切な組合せはどれか。
| 攻撃 | 対策 |
|---|
| ア | SQL インジェクション | SQL 文の組立てに静的プレースホルダを使用する。 |
| イ | クロスサイトスクリプティング | 任意の外部サイトのスタイルシートを取り込めるようにする。 |
| ウ | クロスサイトリクエストフォージェリ | リクエストに GET メソッドを使用する。 |
| エ | セッションハイジャック | 利用者ごとに固定のセッション ID を使用する。 |
問題本文
安全な Web アプリケーションの作り方について,攻撃と対策の適切な組合せはどれか。
選択肢
- ア.SQL インジェクション:SQL 文の組立てに静的プレースホルダを使用する。
- イ.クロスサイトスクリプティング:任意の外部サイトのスタイルシートを取り込めるようにする。
- ウ.クロスサイトリクエストフォージェリ:リクエストに GET メソッドを使用する。
- エ.セッションハイジャック:利用者ごとに固定のセッション ID を使用する。
正解
ア. SQL インジェクション:SQL 文の組立てに静的プレースホルダを使用する。
解説
SQLインジェクション対策の本命は、SQL文の構造を固定しパラメータを値としてのみ渡す静的プレースホルダ(バインド機構)で、入力が命令として解釈されるのを根本的に防ぐ。これを示したアが正解。他の選択肢は攻撃と対策が逆効果・不適切な組合せで、安全なWebアプリの作り方の典型的な誤りに当たる。実務では文字列連結でのSQL組立てを避けることが基本原則となる。
選択肢ごとの解説
- ア.静的プレースホルダで入力を値として扱いSQL構造を固定する点がインジェクション対策として正しく、正解。
- イ.任意外部サイトのスタイルシート取込みはXSSやコンテンツ改ざんを招く危険な設計で、対策にならず誤り。
- ウ.GETの使用はCSRF対策にならず、むしろ意図しない実行を招きやすいため不適切な組合せで誤り。
- エ.固定セッションIDはセッションハイジャックを容易にする逆効果で、認証後の再発行こそ必要であり誤り。
情報処理安全確保支援士試験 令和3年度春期 午前Ⅱ の過去問一覧へ戻る・問12