セキュア開発

情報セキュリティマネジメント試験入力値検証」の問題

情報セキュリティ対策・実装技術セキュア開発難易度:hard
WebアプリでSQLインジェクションやクロスサイトスクリプティングを防ぐために、開発段階で行うべき最も根本的な対策はどれか。
攻撃の兆候を検知して管理者へ通知するIDSの設置のこと。
入力値の検証や安全な出力処理を行うセキュアコーディング。
通信を暗号化して盗聴から保護するTLSの導入のこと。
修正プログラムを当てて既知の欠陥を直すパッチ適用のこと。
正解
入力値の検証や安全な出力処理を行うセキュアコーディング。

SQLインジェクションやXSSは、入力値の検証不足や出力時の無害化不足が原因。開発段階で入力値検証・プレースホルダ利用・出力エスケープなどのセキュアコーディングを徹底するのが根本対策である。

?選択肢ごとの解説

ア ×IDSは検知・通知の対策で、脆弱性を作り込まない本問の開発段階の根本対策とは位置づけが異なる。
イ ○SQLインジェクションやXSSは、入力値の検証不足や出力時の無害化不足が原因。開発段階で入力値検証・プレースホルダ利用・出力エスケープなどのセキュアコーディングを徹底するのが根本対策である。
ウ ×TLSは通信の暗号化で、入力悪用の脆弱性を防ぐ本問の根本対策とは対象が異なる。
エ ×パッチ適用は既知欠陥の事後修正で、脆弱性を作り込まない本問の開発段階の対策とは段階が異なる。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。

情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a3-0023

【情報セキュリティマネジメント試験】入力値検証の問題と解答・解説|ukamiru 過去問