設問2 [セキュリティ仕様の決定]について、(1)~(4)に答えよ。
(2) 表5中の【 e 】に入れる適切なリスクNo.を一つ答えよ。
【 e 】:2
解説
本文抜粋
機能 |
仕様 |
リスクNo. 1) |
Web画面入出力 |
・Web画面からの入力については、全て値チェックを行う。 ・Web画面の出力時には、エスケープ処理を行う。 (以下、省略) |
【e】 |
Web画面入出力に導入した以下の対策に対応するリスクNoを表4から一つ答えよ、という問題です。
- Web画面からの入力については、全て値チェックを行う。
- Web画面の出力時には、エスケープ処理を行う。
表4を見てみましょう。
表4 顧客データに対するリスク分析の結果(抜粋)
リスクNo. |
脅威 |
脆弱性 |
被害 |
発生確率 1) |
深刻度 2) |
対応要否 3) |
1 |
インターネット経由のHSSへの不正アクセス |
【b】 |
情報漏えい |
高 |
高 |
要 |
2 |
Webアプリケーションのセキュリティホール |
情報漏えい |
中 |
高 |
要 |
3 |
Webサーバ基板のセキュリティホール |
情報漏えい |
中 |
高 |
要 |
4 |
脆弱な認証とアクセス権管理の仕組み |
情報漏えい |
低 |
高 |
要 |
5 |
美容室従業員による物品持ち去り |
物品管理の不備 |
情報へのアクセス不能 |
低 |
中 |
不要 |
6 |
【c】 |
情報へのアクセス不能 |
低 |
中 |
不要 |
7 |
美容室従業員による不正アクセス |
【b】 |
情報漏えい |
中 |
高 |
要 |
8 |
脆弱な認証とアクセス権管理の仕組み |
情報漏えい |
低 |
高 |
要 |
9 |
不正プログラムによる管理端末からの情報窃取 |
ウイルス対策ソフトの停止 |
情報漏えい |
低 |
中 |
不要 |
10 |
未知のウイルスへの未対応 |
情報漏えい |
低 |
中 |
不要 |
注
1) 脅威が脆弱性を悪用し被害が発生する確率
2) 被害が発生した場合の、被害の深刻さ
3) リスクに対応するために、HSSに管理策を施す必要性の有無
表4 ここまで
Web画面からの入力をチェックする、出力時にはエスケープを行う。これらの対策は、Webアプリケーションへの攻撃として有名な「SQLインジェクション」や「クロスサイトスクリプティング」に対応するものです。これらの攻撃は、Webアプリケーションの脆弱性を利用する攻撃なので、リスクNo.2「Webアプリケーションのセキュリティホール」が正解です。
最終更新:2013年08月31日 04:18