基本情報技術者試験の過去問と解説
[TOP] [午前分野別] [午後分野別] [キーワード索引] [令和元年秋午前] [令和元年秋午後]

平成27年 春期 基本情報技術者 午後 問01
問01   必須問題

 インターネットを利用した受注管理システムのセキュリティに関する次の記述を読んで, 設問1〜4に答えよ。

 製造業のK社では,インターネットを利用した受注管理システムを開発している。 受注管理システムは,取引先も利用するので,セキュリティ上の欠陥があった場合, 自社だけでなく取引先にも損害を与える可能性がある。そこで,K社は, セキュリティ診断サービスを行っているZ社に,受注管理システムの脆(ぜい)弱性診断を依頼した。

〔受注管理システム〕

 受注管理システムのアプリケーション(以下,受注管理アプリケーションという)は, Web サーバ上で稼働する。受注や出荷などの情報は,データベース(以下,DB という)サーバ上で 稼働する受注情報 DB に格納され,受注管理アプリケーションから,参照,更新される。 取引先 PC にダウンロードできるファイルや,取引先 PC からアップロードされたファイルは, Web サーバに接続されているディスクに格納される。受注管理システムの構成を図1に示す。


図1 受注管理システムの構成

 RPS には,ディジタル証明書を設定しておく。受注管理システムを利用する取引先の 担当者は,取引先 PC のブラウザから RPS を経由して受注管理アプリケーションにアクセスし, ログイン画面で利用者 ID とパスワードを入力してログインする。 その際,取引先 PC のブラウザからの通信には,HTTP over SSL/TLS(以下,HTTPS という)を使用する。 RPS ではディジタル証明書を使って,HTTPS から HTTP にプロトコルを変換する。

〔Z社の脆弱性診断の結果〕

 受注管理アプリケーションには,想定していない操作を DB サーバに実行させて, DB に不正アクセスするような については, 対策がされている。しかし,Z社の脆弱性診断の結果,受注管理アプリケーションに対策が 必要なセキュリティ上の脆弱性が複数指摘された。表1にZ社からの指摘事項(抜粋)を示す。

表1 Z社からの指摘事項(抜粋)

 K社は,表1中の下線@及びAに対策を行った。さらに,Z社からのその他の 指摘事項にも対策を行って,K社は,受注管理システムの運用を開始することにした。

設問1 図1中の通信経路を表2に示す1〜5とした場合, 取引先 PC から Web サーバにアクセスするときに,HTTPS が通信に 使われる通信経路だけを全て示す正しい答えを,解答群の中から選べ。

表2 各機器の間の通信経路

解答群

ア 1      イ 1,2,3      ウ 1,2,3,4

エ 1,2,3,4,5       オ 2,3,4       カ 2,3,4,5

キ 3,4

解答 ←クリックすると正解が表示されます

基本情報技術者試験


設問2 本文中の に入れる適切な答えを, 解答群の中から選べ。

a,b に関する解答群

ア DoS 攻撃        イ SQL インジェクション

ウ クロスサイトスクリプティング       エ 辞書攻撃

オ ディレクトリトラバーサル       カ トラッシング

キ ブルートフォース攻撃       ク ポートスキャン

解答 a ←クリックすると正解が表示されます

解答 b ←クリックすると正解が表示されます

基本情報技術者試験


設問3  表1中の下線@の対策として適切な答えを,解答群から選べ。

解答群

ア ダウンロードしたいファイルを絶対パスで指定させ,該当ファイルが存在する場合には, ダウンロードの処理を行う。

イ ダウンロードしたいファイルを相対パスで指定させ,該当ファイルが存在する場合には, ダウンロードの処理を行う。

ウ ダウンロードしたいファイルのファイル名だけを指定させ, 取引先ごとに決められたフォルダ内に該当ファイルが存在する場合には,ダウンロードの処理を行う。

エ 取引先 PC のブラウザに,Web サーバ上の全てのフォルダ構成及びファイルを表示し, ダウンロードしたいファイルを指定させ,ダウンロードの処理を行う。

解答 ←クリックすると正解が表示されます

基本情報技術者試験


設問4 表1中の下線Aの脆弱性から考えられるセキュリティ事故として適切な答えを, 解答群の中から選べ。

解答群

ア 取引先の担当者が誕生日をパスワードにしていると,誕生日を知っている者がログインできてしまう。

イ パスワードの候補を自動で次々と入力するプログラムを利用することで,ログインできてしまう。

ウ パスワードを記載したメモを取引先の担当者が落とし,それを拾った者がログインできてしまう。

エ ログイン操作を背後から盗み見て,パスワードを入手し, ログインできてしまう。

解答 ←クリックすると正解が表示されます

[←前の問題] [次の問題→] [問題一覧表] [分野別] [基本情報技術者試験TOP ]