セキュリティバイデザイン 聞いたことありますか?
基本1情報処理技術者試験の平成30年春 午前の問題
(全80問)を3問ずつ解いていきます。問題の解き
方や考え方をわかりやすく、解説してみる連載です。
なお、問題の引用ルールはIPAに準じています。
問40
SPF(Sender Policy Framework)の仕組みはどれか。
ア 電子メールを受信するサーバが、電子メールに付
与されているディジタル署名を使って、送信元ド
メインの詐称がないことを確認する。
イ 電子メールを受信するサーバが、電子メールの送
信元のドメイン情報と、電子メールを送信したサ
ーバのIPアドレスから、ドメインの詐称がない
ことを確認する。
ウ 電子メールを送信するサーバが、送信する電子メ
ールの送信者の上司からの承認が得られるまで、
一時的に電子メールの送信を保留する。
エ 電子メールを送信するサーバが、電子メールの宛
先のドメインや送信者のメールアドレスを問わず、
全ての電子メールをアーカイブする。
問41
SQLインジェクション攻撃を防ぐ方法はどれか。
ア 入力中の文字が、データベースへの問合せや操作
において、特別な意味をもつ文字として解釈され
ないようにする。
イ 入力にHTMLタグが含まれていたら、HTML
タグとして解釈されない他の文字列に置き換える。
ウ 入力に上位ディレクトリを指定する文字(../)を
含むときは受け付けない。
エ 入力の全体の長さが制限を超えているときは受け
付けない。
問42
セキュリティバイデザインの説明はどれか。
ア 開発済みのシステムに対して、第三者の情報セキ
ュリティ専門家が、脆弱性診断を行い、システム
の品質及びセキュリティを高めることである。
イ 開発済みのシステムに対して、リスクアセスメン
トを行い、リスクアセスメント結果に基づいてシ
ステムを改修することである。
ウ システムの運用において、第三者による監査結果
を基にシステムを改修することである。
エ システムの企画・設計段階からセキュリティを確
保する方策のことである。
(正解でござんすよ)
イ
ア
エ
(解説するぞなもし)
40
詳しくは省きますが、DNSを使います。
41
インジェクション攻撃は、アプリケーショ
ンなどの操作命令にSQLを紛れ込ませま
す。
42
セキュリティ(についての考え方)に基づ
いたデザインを言います。