設問2 [セキュリティ仕様の決定]について、(1)~(4)に答えよ。

(2) 表5中の【 e 】に入れる適切なリスクNo.を一つ答えよ。
【 e 】:2

解説

本文抜粋
機能 仕様 リスクNo. 1)
Web画面入出力 ・Web画面からの入力については、全て値チェックを行う。
・Web画面の出力時には、エスケープ処理を行う。
(以下、省略)
【e】

Web画面入出力に導入した以下の対策に対応するリスクNoを表4から一つ答えよ、という問題です。
  • Web画面からの入力については、全て値チェックを行う。
  • Web画面の出力時には、エスケープ処理を行う。

表4を見てみましょう。

表4 顧客データに対するリスク分析の結果(抜粋)

リスクNo. 脅威 脆弱性 被害 発生確率 1) 深刻度 2) 対応要否 3)
1 インターネット経由のHSSへの不正アクセス 【b】 情報漏えい
2 Webアプリケーションのセキュリティホール 情報漏えい
3 Webサーバ基板のセキュリティホール 情報漏えい
4 脆弱な認証とアクセス権管理の仕組み 情報漏えい
5 美容室従業員による物品持ち去り 物品管理の不備 情報へのアクセス不能 不要
6 【c】 情報へのアクセス不能 不要
7 美容室従業員による不正アクセス 【b】 情報漏えい
8 脆弱な認証とアクセス権管理の仕組み 情報漏えい
9 不正プログラムによる管理端末からの情報窃取 ウイルス対策ソフトの停止 情報漏えい 不要
10 未知のウイルスへの未対応 情報漏えい 不要

 1) 脅威が脆弱性を悪用し被害が発生する確率
 2) 被害が発生した場合の、被害の深刻さ
 3) リスクに対応するために、HSSに管理策を施す必要性の有無

表4 ここまで


 Web画面からの入力をチェックする、出力時にはエスケープを行う。これらの対策は、Webアプリケーションへの攻撃として有名な「SQLインジェクション」や「クロスサイトスクリプティング」に対応するものです。これらの攻撃は、Webアプリケーションの脆弱性を利用する攻撃なので、リスクNo.2「Webアプリケーションのセキュリティホール」が正解です。


最終更新:2013年08月31日 04:18