今回の基本情報対策は、引き続きセキュリティです。ディジタル証明書に関する問題のほか、改ざん検知、脆弱性テストに関する問題を選びました。セキュリティ関連はパソコンだけなく、スマートフォンをターゲットにすることもあるので、よく調べておきましょう。
問題 1
Webサーバのコンテンツの改ざんを検知する方法のうち,最も有効なものはどれか。 (基本情報技術者試験 平成27年春期 午前問43)
(A) Webサーバのコンテンツの各ファイルの更新日を保管しておき,定期的に各ファイルの更新日と比較する。
(B) Webサーバのコンテンツの各ファイルのハッシュ値を保管しておき,定期的に各ファイルから生成したハッシュ値と比較する。
(C) Webサーバのメモリ使用率を定期的に確認し,バッファオーバフローが発生していないことを確認する。
(D) Webサーバへの通信を監視し,HTTP、HTTPS以外の通信がないことを確認する。
正解は B。
ハッシュ値は、原文からハッシュ関数により求めた固定長の値であり、改ざんの検知に利用されます。
(A) Webサーバのコンテンツの各ファイルの更新日を保管しておき,定期的に各ファイルの更新日と比較する。
これは誤りです。更新日は書き換えできるため、検知できません。
(B) Webサーバのコンテンツの各ファイルのハッシュ値を保管しておき,定期的に各ファイルから生成したハッシュ値と比較する。
これは正しいです。
(C) Webサーバのメモリ使用率を定期的に確認し,バッファオーバフローが発生していないことを確認する。
これは誤りです。バッファオーバフローは改ざんとは直接関係ありません。
(D) Webサーバへの通信を監視し,HTTP、HTTPS以外の通信がないことを確認する。
これは誤りです。HTTP,HTTPSでも改ざんされる可能性はあります。
問題 2
社員が利用するスマートフォンにディジタル証明書を導入しておくことによって,当該スマートフォンから社内システムへアクセスがあったときに,社内システム側で確認できるようになることはどれか。 (基本情報技術者試験 平成27年春期 午前問45)
(A) 当該スマートフォンがウイルスに感染していないこと
(B) 当該スマートフォンが社内システムへのアクセスを許可されたデバイスであること
(C) 当該スマートフォンのOSに最新のセキュリティパッチが適用済みであること
(D) 当該スマートフォンのアプリケーションが最新であること
正解は B。
ディジタル証明書とは、認証局が発行する証明書で、公開鍵が本人であることを確認するために利用されます。
(A) 当該スマートフォンがウイルスに感染していないこと
これは誤りです。ウイルスの感染は確認できません。
(B) 当該スマートフォンが社内システムへのアクセスを許可されたデバイスであること
これは正しいです。社内システムにアクセスされた際に、証明書を検証し、デバイスが許可されているかを確認できます。
(C) 当該スマートフォンのOSに最新のセキュリティパッチが適用済みであること
これは誤りです。セキュリティパッチの適用状況は確認できません。
(D) 当該スマートフォンのアプリケーションが最新であること
これは誤りです。アプリケーションのバージョンは確認できません。
問題 3
コンピュータやネットワークのセキュリティ上の脆弱性を発見するために,システムを実際に攻撃して侵入を試みる手法はどれか。 (基本情報技術者試験 平成27年春期 午前問46)
(A) ウォークスルー
(B) ソフトウェアインスペクション
(C) ペネトレーションテスト
(D) リグレッションテスト
正解は C。
ペネトレーションテストとは、セキュリティ上の弱点を調査するために、システムに実際に侵入を試みるテストです。
(A) ウォークスルー
これは誤りです。ウォークスルーは、開発メンバーが集まってプログラムの問題点をチェックすることです。
(B) ソフトウェアインスペクション
これは誤りです。ソフトウェアインスペクションは、プログラムを実際に動作させずに、人間の目でチェックすることです。
(C) ペネトレーションテスト
これは正しいです。
(D) リグレッションテスト
これは誤りです。リグレッションテストは、プログラムを変更する際に、以前動作していた箇所が正しく動作するかチェックすることです。