情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成31年度春期 午前 問21: Webサイトで利用されるCAPTCHAに該当するものはどれか。

問題本文

Webサイトで利用されるCAPTCHAに該当するものはどれか。

選択肢

• ア.人からのアクセスであることを確認できるよう，アクセスした者に応答を求め，その応答を分析する仕組み
• イ.不正なSQL文をデータベースに送信しないよう，Webサーバに入力された文字列をプレースホルダに割り当ててSQL文を組み立てる仕組み
• ウ.利用者が本人であることを確認できるよう，Webサイトから一定時間ごとに異なるパスワードを要求する仕組み
• エ.利用者が本人であることを確認できるよう，乱数をWebサイト側で生成して利用者に送り，利用者側でその乱数を鍵としてパスワードを暗号化し，Webサイトに送り返す仕組み

正解

ア. 人からのアクセスであることを確認できるよう，アクセスした者に応答を求め，その応答を分析する仕組み

解説

CAPTCHAは、ゆがんだ文字の判読や画像選択など人間には容易だが機械には難しい課題を提示し、その応答を分析することで、アクセスしているのが人間かプログラム（ボット）かを判別する仕組みである。これにより自動化された不正登録やスパム投稿などを防ぐ。よって、人からのアクセスかを確認するため応答を求め分析するとしたアが正解である。

選択肢ごとの解説

• ア.応答を求めて人間かボットかを判別する仕組みという記述で、CAPTCHAの目的そのものであり正しい。
• イ.プレースホルダでSQL文を組み立て不正なSQLを防ぐのはSQLインジェクション対策（プレースホルダ）であり、CAPTCHAではない。
• ウ.一定時間ごとに異なるパスワードを要求するのはワンタイムパスワードの説明であり、CAPTCHAではない。
• エ.乱数を鍵にパスワードを暗号化して送り返すのはチャレンジレスポンス認証の説明であり、CAPTCHAではない。