type
status
date
slug
summary
tags
category
icon
password
Webサイトのセキュリティ強化策に関する次の記述を読んで,設問1~4に答えよ。
A社は,家庭向けのソフトウェアを製造販売する会社である。A社のWebサイトは,自社の会社情報や製品情報などを掲載しており,アクセスしてきた全ての人に同じ情報を提供する静的なページで構成されている。このたび,ユーザサポートの向上を目的としてWebサイトを更改し,Webサイト内に会員専用のサイトを設けることにした。会員専用サイトでは,ユーザIDとパスワードでユーザを認証し,ユーザが購入した製品や興味のある製品に関する詳細な技術情報を含むページを動的に生成するWebアプリケーションを用いる。
〔セキュリティの強化〕
A社のセキュリティ担当課長は,今回の更改に併せて,Webサイトのセキュリティを強化したいと考えている。想定する脅威としては,SQLインジェクション,Webサイトの改ざん,クロスサイトスクリプティング,認証情報の盗聴の四つを懸念している。これらの脅威に対応するセキュリティ強化策を検討した結果,セキュアプログラミングを意識してWebアプリケーションを開発することとし,さらに(1)~(3)の3点を実施することにした。
(1)更改前は全てHTTPでアクセスさせるようになっていたWebサイトを,部分では,HTTPSでアクセスさせるようにする。HTTPSでアクセスされるべきページにHTTPでアクセスされた場合は,クライアントにHTTPSのURLをリダイレクトで返し,自動的にHTTPSで再アクセスさせるようにする。①暗号化されていないデータがそのままインターネット上に流れては問題がある
設問1
本文中の下線①で,暗号化せずにインターネット上に流れては問題があるデータを二つ,本文中の字句を用いて答えよ。
解答
ユーザID パスワード
(2)更改前はDMZに配置し,インターネットから直接アクセスさせていたWebサーバを,インターネットから直接アクセスできない内部のLANに移設する。DMZにはロードバランサと2台のリバースプロキシサーバを配置する。ロードバランサは,ユーザからのHTTP/HTTPSリクエストを,Cookieの情報を基にWebアプリケーションのセッションを維持するようにリバースプロキシサーバに振り分ける。各リバースプロキシサーバは,受け取ったリクエストを,対応するWebサーバに転送する。
(3)リバースプロキシサーバには,WAF(Web Application Firewall)の機能をもたせ,ブラックリストによる検査によって外部からの攻撃を防御する。ブラックリストには,Webアプリケーションの脆弱性を悪用した攻撃の特徴的なパターンを登録しておく。
更改後のA社Webサイトのシステム構成を図1に示す。
〔WebサイトでHTTPSを使用するための準備〕
HTTPSを使って通信するためには,(a)取得する必要がある。(a)の申請には,識別名(Distinguished Name)が必要になる。識別名は,国コード,都道府県名,市区町村名,組織名,部署名,コモンネーム(SSL接続するサイトのFQDN)から構成される。A社では,SSL通信を行うWebサイトのURLを"https://www.a.co.jp/member/"とし,識別名を表1のように決定した。
A社のWebサイト管理者は,識別名を決定し,コモンネームの重複がないことを確認した後,証明書署名要求(CSR:Certificate Signing Request)を生成し,認証局に申請することでaを取得した。証明書署名要求には,識別名とcが含まれており,認証局から取得したaを機器に導入する際には,cとペアを成すdが必要になる。aとdを機器に導入し,HTTPSでのアクセスが可能になるよう設定した。
〔セキュリティの警告〕
Webサイトの更改から1年ほど経過したころ,会員からサポート窓口に,「WebブラウザからA社のWebサイトにアクセスした際に"セキュリティの警告"ダイアログボックスが表示された。どうすればいいのか」との問合せが寄せられた。"セキュリティの警告"ダイアログボックスに含まれていたメッセージを図2に示す。
サポート窓口担当者はセキュリティ担当課長に問合せに対する処置を依頼し,セキュリティ担当課長は,Webサイト管理者に対して,適切な対応をとるよう指示した。
設問2
〔セキュリティの強化〕で示した(1)~(3)のセキュリティ強化策は,セキュリティ担当課長が懸念している四つの脅威のうち,どの脅威に向けた強化策であるか。解答群の中から最も適切なものを選び,記号で答えよ。
解答群
- SQLインジェクション
- Webサイトの改ざん
- クロスサイトスクリプティング
- 認証情報の盗聴
- SQLインジェクション及びクロスサイトスクリプティング
- SQLインジェクション及び認証情報の盗聴
- クロスサイトスクリプティング及び認証情報の盗聴
解答入力欄
- (1):
ア SQLインジェクション
イ Webサイトの改ざん
ウ クロスサイトスクリプティング
エ 認証情報の盗聴
オ SQLインジェクション及びクロスサイトスクリプティング
カ SQLインジェクション及び認証情報の盗聴
キ クロスサイトスクリプティング及び認証情報の盗聴
- (2):
ア SQLインジェクション
イ Webサイトの改ざん
ウ クロスサイトスクリプティング
エ 認証情報の盗聴
オ SQLインジェクション及びクロスサイトスクリプティング
カ SQLインジェクション及び認証情報の盗聴
キ クロスサイトスクリプティング及び認証情報の盗聴
- (3):
ア SQLインジェクション
イ Webサイトの改ざん
ウ クロスサイトスクリプティング
エ 認証情報の盗聴
オ SQLインジェクション及びクロスサイトスクリプティング
カ SQLインジェクション及び認証情報の盗聴
キ クロスサイトスクリプティング及び認証情報の盗聴
解答例・解答の要点
正解を表示する
設問3
本文及び表1中のa~dについて,(1)~(3)に答えよ。
- a,c,dに入れる適切な字句を解答群の中から選び,記号で答えよ。
- bに入れる適切な字句を答えよ。
- A社のシステム構成のどの機器にaを導入する必要があるか。図1中のDMZ内の機器の名称で答えよ。また,その機器でなければならない理由を30字以内で述べよ。
a,c,d に関する解答群
- SSLクライアント証明書
- SSLサーバ証明書
- SSLルート証明書
- 共通鍵
- 公開鍵
- 秘密鍵
解答入力欄
- ア SSLクライアント証明書イ SSLサーバ証明書ウ SSLルート証明書エ 共通鍵オ 公開鍵カ 秘密鍵ア SSLクライアント証明書イ SSLサーバ証明書ウ SSLルート証明書エ 共通鍵オ 公開鍵カ 秘密鍵ア SSLクライアント証明書イ SSLサーバ証明書ウ SSLルート証明書エ 共通鍵オ 公開鍵カ 秘密鍵
- a:
- c:
- d:
ア SSLクライアント証明書
イ SSLサーバ証明書
ウ SSLルート証明書
エ 共通鍵
オ 公開鍵
カ 秘密鍵
ア SSLクライアント証明書
イ SSLサーバ証明書
ウ SSLルート証明書
エ 共通鍵
オ 公開鍵
カ 秘密鍵
ア SSLクライアント証明書
イ SSLサーバ証明書
ウ SSLルート証明書
エ 共通鍵
オ 公開鍵
カ 秘密鍵
- b:
- 機器:
- 理由:
解答例・解答の要点
正解を表示する
設問4
図2の"セキュリティの警告"ダイアログボックスが表示されたことに対するWebサイト管理者の適切な対応を,20字以内で述べよ。
解答入力欄
- o:
解答例・解答の要点
正解を表示する
- Author:minami
- URL:http://preview.tangly1024.com/national-license/1ebd7ae8-88e2-80cd-9fd5-d9a7f8b5946c
- Copyright:All articles in this blog, except for special statements, adopt BY-NC-SA agreement. Please indicate the source!
Relate Posts
