情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 令和5年度 科目A 公開問題 問7: Webアプリケーションにおけるセキュリティ上の脅威とその対策に関する記述のうち，適切なものはどれか。

問題本文

Webアプリケーションにおけるセキュリティ上の脅威とその対策に関する記述のうち，適切なものはどれか。

選択肢

• ア.OSコマンドインジェクションを防ぐために，Webアプリケーションが発行するセッションIDに推測困難な乱数を使用する。
• イ.SQLインジェクションを防ぐために，Webアプリケーション内でデータベースへの問合せを作成する際にプレースホルダを使用する。
• ウ.クロスサイトスクリプティングを防ぐために，Webサーバ内のファイルを外部から直接参照できないようにする。
• エ.セッションハイジャックを防ぐために，Webアプリケーションからシェルを起動できないようにする。

正解

イ. SQLインジェクションを防ぐために，Webアプリケーション内でデータベースへの問合せを作成する際にプレースホルダを使用する。

解説

本問はWebアプリケーションの代表的な脆弱性とその正しい対策の組合せを問うものである。SQLインジェクションは入力値がSQL文に混入することで起こるため、問合せをあらかじめ固定しパラメータを別に渡すプレースホルダ（バインド機構）が有効であり、正解はイである。各脅威には固有の対策があり、対策と脅威の対応を取り違えないことが重要である。

選択肢ごとの解説

• ア.セッションIDに推測困難な乱数を使うのはセッションハイジャック対策であり、OSコマンドインジェクションの対策ではないため誤りです。
• イ.プレースホルダ（バインド機構）を用いると入力値がSQL構文として解釈されないためSQLインジェクションを防げ、正しい記述です。
• ウ.サーバ内ファイルへの直接参照を防ぐのはディレクトリトラバーサル等への対策であり、出力時のエスケープが要となるクロスサイトスクリプティングの対策ではないため誤りです。
• エ.シェル起動を禁止するのはOSコマンドインジェクション対策であり、セッションハイジャックの対策ではないため誤りです。