基本情報対策 セキュリティ (3)

今回の基本情報対策は、セキュリティです。3回目になります。ソーシャルエンジニアリングや情報漏えい対策の問題、HTTPSに関する問題を選びました。ソーシャルエンジニアリングはよく取り上げられるので、手法や特徴を覚えておきましょう。

問題 1

企業内ネットワークやサーバに侵入するために攻撃者が組み込むものはどれか。 (基本情報技術者試験 平成26年春期 午前問43)

(A) シンクライアントエージェント

(B) ストリクトルーティング

(C) ディジタルフォレンジックス

(D) バックドア

正解は D


バックドアとは、ソフトウェアに仕込まれた裏口であり、セキュリティ対策を回避して侵入することを可能とします。

(A) シンクライアントエージェント

これは誤りです。シンクライアントエージェントは、シンクライアントとサーバを仲介するソフトウェアです。

(B) ストリクトルーティング

これは誤りです。ストリクトルーティングは、送信元のルータで、通信パケットの転送経路を決定することです。

(C) ディジタルフォレンジックス

これは誤りです。ディジタルフォレンジックスは、犯罪捜査などで、コンピュータに残る記録を分析し、証拠を導き出すことです。

(D) バックドア

これは正しいです。

問題 2

ソーシャルエンジニアリングに分類される手口はどれか。 (基本情報技術者試験 平成26年秋季 午前問36)

(A) ウイルス感染で自動作成されたバックドアからシステムに侵入する。

(B) システム管理者などを装い,利用者に問い合わせてパスワードを取得する。

(C) 総当たり攻撃ツールを用いてパスワードを解析する。

(D) バッファオーバフローなどのソフトウェアの脆(ぜい)弱性を利用してシステムに侵入する。

正解は B


ソーシャルエンジニアリングとは、コンピュータの利用者から、のぞき見や話術などの社会的な手段で、機密情報を入手することです。

(A) ウイルス感染で自動作成されたバックドアからシステムに侵入する。

これは誤りです。バックドアによる侵入は、社会的な手段ではないため、ソーシャルエンジニアリングではありません。

(B) システム管理者などを装い,利用者に問い合わせてパスワードを取得する。

これは正しいです。ソーシャルエンジニアリングの手口の1つです。

(C) 総当たり攻撃ツールを用いてパスワードを解析する。

これは誤りです。ブルートフォース攻撃は、社会的な手段ではないため、ソーシャルエンジニアリングではありません。

(D) バッファオーバフローなどのソフトウェアの脆(ぜい)弱性を利用してシステムに侵入する。

これは誤りです。バッファオーバーフローによる攻撃は、社会的な手段ではないため、ソーシャルエンジニアリングではありません。

問題 3

情報漏えい対策に該当するものはどれか。 (基本情報技術者試験 平成26年秋季 午前問38)

(A) 送信するデータにチェックサムを付加する。

(B) データが保存されるハードディスクをミラーリングする。

(C) データのバックアップ媒体のコピーを遠隔地に保管する。

(D) ノート型PCのハードディスクの内容を暗号化する。

正解は D


情報漏えい対策としては、適切なアクセス権限の設定や、ハードディスクの暗号化、遠隔消去などがあります。

(A) 送信するデータにチェックサムを付加する。

これは誤りです。チェックサムの付加は、データ改ざんの対策です。

(B) データが保存されるハードディスクをミラーリングする。

これは誤りです。ミラーリングは、システム障害の対策です。

(C) データのバックアップ媒体のコピーを遠隔地に保管する。

これは誤りです。遠隔地へのバックアップは、システム障害の対策です。

(D) ノート型PCのハードディスクの内容を暗号化する。

これは正しいです。ハードディスクを暗号化しておくと、紛失や盗難が発生した際に、不正なデータの参照を防ぐことができます。

問題 4

WAF(Web Application Firewall)を利用する目的はどれか。 (基本情報技術者試験 平成26年秋季 午前問41)

(A) Webサーバ及びアプリケーションに起因する脆(ぜい)弱性への攻撃を遮断する。

(B) Webサーバ内でワームの侵入を検知し,ワームの自動駆除を行う。

(C) Webサーバのコンテンツ開発の結合テスト時にアプリケーションの脆弱性や不整合を検知する。

(D) Webサーバのセキュリティホールを発見し,OSのセキュリティパッチを適用する。

正解は A


WAFとは、Webアプリケーションのぜい弱性を利用した攻撃から、アプリケーションを防御する仕組みです。

WAF…Web Application Firewall

(A) Webサーバ及びアプリケーションに起因する脆(ぜい)弱性への攻撃を遮断する。

これは正しいです。

(B) Webサーバ内でワームの侵入を検知し,ワームの自動駆除を行う。

これは誤りです。WAFでは、ワームの自動駆除はできません。

(C) Webサーバのコンテンツ開発の結合テスト時にアプリケーションの脆弱性や不整合を検知する。

これは誤りです。WAFは単体・結合テストでは考慮しません。

(D) Webサーバのセキュリティホールを発見し,OSのセキュリティパッチを適用する。

これは誤りです。WAFでは、OSのセキュリティパッチを自身では適用しません。

問題 5

HTTPS(HTTP over SSL/TLS)の機能を用いて実現できるものはどれか。 (基本情報技術者試験 平成26年秋季 午前問43)

(A) SQLインジェクションによるWebサーバへの攻撃を防ぐ。

(B) TCPポート80番と443番以外の通信を遮断する。

(C) Webサーバとブラウザの間の通信を暗号化する。

(D) Webサーバへの不正なアクセスをネットワーク層でのパケットフィルタリングによって制限する。

正解は C


HTTPSとは、Webのデータ転送プロトコルであるHTTPの通信が、SSLやTLSによって暗号化された状態を言い、盗聴やなりすましを防止できます。

(A) SQLインジェクションによるWebサーバへの攻撃を防ぐ。

これは誤りです。WAFの説明です。

(B) TCPポート80番と443番以外の通信を遮断する。

これは誤りです。ファイアウォールの説明です。

(C) Webサーバとブラウザの間の通信を暗号化する。

これは正しいです。HTTPSの説明です。

(D) Webサーバへの不正なアクセスをネットワーク層でのパケットフィルタリングによって制限する。

これは誤りです。ファイアウォールの説明です。