情報処理安全確保支援士令和元年秋期 午前U 問14

午前U 問14

Webサイトにおいて,全てのWebページをTLSで保護するよう設定する常時SSL/TLSのセキュリティ上の効果はどれか。
  • WebサイトでのSQL組立て時にエスケープ処理が施され,SQLインジェクション攻撃による個人情報などの非公開情報の漏えいやデータベースに蓄積された商品価格などの情報の改ざんを防止する。
  • Webサイトへのアクセスが人間によるものかどうかを確かめ,Webブラウザ以外の自動化されたWebクライアントによる大量のリクエストへの応答を避ける。
  • Webサイトへのブルートフォース攻撃によるログイン試行を検出してアカウントロックし,Webサイトへの不正ログインを防止する。
  • WebブラウザとWebサイトとの間における中間者攻撃による通信データの漏えい及び改ざんを防止し,サーバ証明書によって偽りのWebサイトの見分けを容易にする。

分類

テクノロジ系 » セキュリティ » セキュリティ実装技術

正解

解説

一般的にHTTPSといえば、WebブラウザとWebサーバとの間の通信を暗号化する特長が際立っていますが、TLSにはサーバ認証や改ざん防止の機能もあります。暗号化機能には通信経路上での漏えい・改ざんを防止する効果が期待できますが、認証機能には接続先のWebサーバが意図したWebサーバであることを確認し、フィッシングサイトなどの悪意のある第三者がなりすましたWebサイトに誘導されることを防止する効果が期待できます。

中間者攻撃では攻撃者がWebブラウザとWebサーバとの間に介入し、通信内容の改ざんによって偽の公開鍵の使用をWebブラウザに強制しますが、認証局のディジタル署名を含むサーバ証明書は偽装できません。このためサーバ証明書(サーバの公開鍵証明書)を使用すれば、サーバ認証のプロセスで中間者攻撃をブロックできることになります。TLSではサーバ証明書の使用が必須です。

秘密情報を扱うWebページではSSL/TLSで保護することが当然ですが、秘密情報を特に扱わないWebページについても常時SSL/TLSにより中間者攻撃を防ぐセキュリティ効果が期待できます。Webサイトでは、GoogleやMozillaなどの先導もあり常時SSL/TLS(完全HTTPS化)の動きが加速しています。
  • SQLインジェクションを防ぐバインド機構の効果です。
  • ボットによるリクエストをブロックするCaptchaの効果です。
  • ロックアウト機構の効果です。
  • 正しい。常時SSL/TLS化の効果です。
© 2014-2020 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop