- トップページ
- 情報セキュリティスペシャリスト
- 平成22年度秋季問題
- 平成22年度秋季解答・解説
平成22年度秋季解答
問題6
DMZ上に公開しているWebサーバで入力データを受け付け、内部ネットワークのDBサーバにそのデータを蓄積するシステムがある。 インターネット上からDMZを経由してなされるDBサーバへの不正侵入対策の一つとして、DMZと内部ネットワークとの間にファイアウォールを設置するとき、最も有効な設定はどれか。
| ア | DBサーバの受信ポート番号を固定にし、WebサーバからDBサーバの受信ポート番号へ発信された通信だけをファイアウォールで通す。 |
| イ | DMZからDBサーバへの通信だけをファイアウォールで通す。 |
| ウ | Webサーバの発信ポート番号は任意のポート番号を使用し、ファイアウォールでは、いったん終了した通信と同じ発信ポート番号を使った通信を拒否する。 |
| エ | Webサーバの発信ポート番号を固定し、その発信ポート番号の通信だけをファイアウォールで通す。 |
解答:ア
<解説>
DBサーバへの不正侵入を防ぐには,DMZ上の公開Webサーバから送られてくる入力データだけを受け付けるよう設定する必要がある。そのためファイアウォールの設定で、DBサーバが受け付けるデータは、送信元がWebサーバのIPアドレスかつ受信専用ポートに送られてきたものだけを受け付けるように設定する。
よって正解はアである。
問題7
ファイアウォールにおいて、自ネットワークのホストへの侵入を防止する対策のうち、IPスプーフィング(spoofing)攻撃に有効なものはどれか。
| ア | 外部から入るTCPコネクション確立要求パケットのうち、外部へのインターネットサービスの提供に必要なもの以外を阻止する。 |
| イ | 外部から入るUDPパケットのうち、外部へのインタネットサービスの提供や利用したいインターネットサービスに必要なもの以外を阻止する。 |
| ウ | 外部から入るパケットのあて先IPアドレスが、インターネットとの直接の通信をすべきでない自ネットワークのホストのものであれば、そのパケットを阻止する。 |
| エ | 外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば、そのパケットを阻止する。 |
解答:エ
<解説>
問題8
SQLインジェクション攻撃を防ぐ方法はどれか。
| ア | 入力から、上位ディレクトリを指定する文字列(../)を取り除く。 |
| イ | 入力中の文字がデータベースへの問合せや操作において特別な意味をもつ文字として解釈されないように保護する。 |
| ウ | 入力にHTMLタグが含まれていたら、解釈、実行できないほかの文字列に置き換える。 |
| エ | 入力の全体の長さが制限を越えていたときは受け付けない。 |
解答:イ
<解説>
SQLインジェクションとは、アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のこと。また、その攻撃を可能とする脆弱性のことである。
| ア | × | ディレクトリトラバーサル攻撃を防ぐ方法である。 |
| イ | ○ | SQLインジェクションを防ぐ方法である。 |
| ウ | × | クロスサイトスクリプティングを防ぐ方法である。 |
| エ | × | バッファオーバフロー攻撃を防ぐ方法である。 |
問題9
通信を要求したPCに対し、ARPの仕組みを利用して実現できる通信の可否の判定方法のうち、最も適切なものはどれか。
| ア | PCにインストールされているソフトウェアを確認し、登録されているソフトウェアだけがインストールされている場合に通信を許可する。 |
| イ | PCのMACアドレスを確認し、事前に登録されているMACアドレスをもつ場合だけ通信を許可する。 |
| ウ | PCのOSのパッチ適用状況を確認し、最新のパッチが適用されている場合だけ通信を許可する。 |
| エ | PCのマルウェア対策ソフトの定義ファイルを確認し、最新になっている場合だけ通信を許可する。 |
解答:イ
<解説>
ARP(Address Resolution Protoco)とは、TCP/IPネットワークにおいて、IPアドレスからEthernetの物理アドレス(MACアドレス)を求めるのに使われるプロトコルである。
| ア | × | ARPの仕組みを利用していない。IPアドレスやMACアドレスだけではPCにインストールされているソフトウェアは分からない。 |
| イ | ○ | ARPを利用した通信可否の判定方法としてはPCのMACアドレスを確認し、登録したMACアドレスかどうかで通信の可否を判定する。 |
| ウ | × | IPアドレスやMACアドレスで最新のパッチが適用されているかは判別できない。 |
| エ | × | IPアドレスやMACアドレスでマルウェア対策ソフトの定義ファイルを確認することはできない。 |
問題10
暗号方式に関する記述のうち、適切なものはどれか。
| ア | AESは公開鍵暗号方式、RSAは共通鍵暗号方式の一種である。 |
| イ | 共通鍵暗号方式では、暗号化及び復号に使用する鍵が同一である。 |
| ウ | 公開鍵暗号方式を通信内容の秘匿に使用する場合は、暗号化鍵を秘密にして、復号鍵を公開する。 |
| エ | ディジタル署名に公開鍵暗号方式が使用されることはなく、共通鍵暗号方式が使用される。 |
解答:イ
<解説>
| ア | × | AESは共通鍵暗号方式、RSAは公開鍵暗号方式の一種である。 |
| イ | ○ | 共通鍵暗号方式では、暗号化及び復号に使用する鍵が同一である。 |
| ウ | × | 公開鍵暗号方式を通信内容の秘匿に使用する場合は、暗号化に使用する鍵を公開にして、復号に使用する鍵を秘密にする。 |
| エ | × | ディジタル署名には、公開鍵暗号方式が使用される。 |
お問い合わせ
