にしのクエスト2

情報処理技術者試験と資格学校講師の日常

20221224103753

まいにち基本 平成30年春問題解説 問40 問41 問42

セキュリティバイデザイン 聞いたことありますか?

f:id:koharuwest:20200726101904p:plain

基本1情報処理技術者試験の平成30年春 午前の問題
(全80問)を3問ずつ解いていきます。問題の解き
方や考え方をわかりやすく、解説してみる連載です。
なお、問題の引用ルールはIPAに準じています。

問40
SPF(Sender Policy Framework)の仕組みはどれか。

ア 電子メールを受信するサーバが、電子メールに付
  与されているディジタル署名を使って、送信元ド
  メインの詐称がないことを確認する。
イ 電子メールを受信するサーバが、電子メールの送
  信元のドメイン情報と、電子メールを送信したサ
  ーバのIPアドレスから、ドメインの詐称がない
  ことを確認する。
ウ 電子メールを送信するサーバが、送信する電子メ
  ールの送信者の上司からの承認が得られるまで、
  一時的に電子メールの送信を保留する。
エ 電子メールを送信するサーバが、電子メールの宛
  先のドメインや送信者のメールアドレスを問わず、
  全ての電子メールをアーカイブする。

問41

SQLインジェクション攻撃を防ぐ方法はどれか。

ア 入力中の文字が、データベースへの問合せや操作
  において、特別な意味をもつ文字として解釈され
  ないようにする。
イ 入力にHTMLタグが含まれていたら、HTML
  タグとして解釈されない他の文字列に置き換える。
ウ 入力に上位ディレクトリを指定する文字(../)を
  含むときは受け付けない。
エ 入力の全体の長さが制限を超えているときは受け
  付けない。


問42
セキュリティバイデザインの説明はどれか。

ア 開発済みのシステムに対して、第三者の情報セキ
  ュリティ専門家が、脆弱性診断を行い、システム
  の品質及びセキュリティを高めることである。
イ 開発済みのシステムに対して、リスクアセスメン
  トを行い、リスクアセスメント結果に基づいてシ
  ステムを改修することである。
ウ システムの運用において、第三者による監査結果
  を基にシステムを改修することである。
エ システムの企画・設計段階からセキュリティを確
  保する方策のことである。

 


(正解でござんすよ)




(解説するぞなもし)


40
詳しくは省きますが、DNSを使います。

41
インジェクション攻撃は、アプリケーショ
ンなどの操作命令にSQLを紛れ込ませま
す。

42
セキュリティ(についての考え方)に基づ
いたデザインを言います。