新しい連載ですよ！


情報処理安全確保支援士試験の平成３０年春午前の問
題（全２５問）を３問ずつ解いていきます。問題の解
き方や考え方をわかりやすく、解説してみる連載です。

なお、問題の引用ルールはＩＰＡに準じています。

問１
CVSS v3の評価基準には、基本評価基準、現状評価基
準、環境評価基準の三つがある。基本評価基準の説明
はどれか。

ア 機密性への影響、どこから攻撃が可能かといった攻撃
　元区分、攻撃する際に必要な特権レベルなど、脆弱性
　そのものの特性を評価する。

イ 攻撃される可能性、利用可能な対策のレベル、脆弱性
　情報の信頼性など、評価時点における脆弱性の特性を
　評価する。

ウ 脆弱性を悪用した攻撃シナリオについて、機会、正当
　化、動機の三つの観点から、脆弱性が悪用される基本
　的なリスクを評価する。

エ 利用者のシステムやネットワークにおける情報セキュ
　リティ対策など、攻撃の難易度や攻撃による影響度を
　再評価し、脆弱性の最終的な深刻度を評価する。

問２
Webサーバのログを分析したところ、Webサーバへの攻
撃と思われるHTTPリクエストヘッダが記録されていた。
次のHTTPリクエストヘッダから推測できる、攻撃者が
悪用しようとしている脆弱性はどれか。ここで、HTTP
リクエストヘッダはデコード済みである。

〔HTTPリクエストヘッダの部分〕
GET /cgi-bin/submit.cgi?user=;cat /etc/passwd HTTP/1.1
Accept: */*
Accept-Language: ja
UA-CPU: x86
Accept-Encoding: gzip、deflate
User-Agent: (省略)
Host: test.example.com
Connection: Keep-Alive

ア HTTPヘッダインジェクション
イ OSコマンドインジェクション
ウ SQLインジェクション
エ クロスサイトスクリプテイング

問３
XMLディジタル署名の特徴のうち、適切なものはどれ
か。

ア XML文書中の、任意のエレメントに対してデタッチ署名
　(Detached Signature)を付けることができる。

イ エンベローピング署名(Enveloping Signature)では一
　つの署名対象に必ず複数の署名を付ける。

ウ 署名形式として、CMS(Cryptographic Message Syntax)を
　用いる。

エ 署名対象と署名アルゴリズムをASN.1によって記述する。

 

 

（正解でござんすよ）

ア
イ
ア

（解説するぞなもし）

問１

基本評価基準　それそのものの深刻度です。ユーザに左右されません
現状評価基準　現時点での深刻度です。ユーザに左右されませんが、時間に左右されます。
環境評価基準　最終的な基準で、ユーザによって変化します

なので、アになります。

問２

ＯＳに任意のコマンドを実行させようとしているので、
イになります。

問３
ア　正解です。
イ　エンベロービングは親の立場なので、署名は一つ。
ウ　XMLを使います
エ　XMLを使います。