接続先検証
情報セキュリティマネジメント試験「証明書ピンニング」の問題
アプリが接続先の正規の証明書や公開鍵をあらかじめ固定保持し、別の証明書を拒否して中間者攻撃を防ぐ手法はどれか。
ア正規の証明書や公開鍵を事前に固定保持し、それ以外を提示してくる相手との接続を拒否する手法。
イ証明書が失効していないかを認証局のサーバへ都度問い合わせ、有効か失効かの応答を得て確認する手法。
ウ利用者ごとに異なる値を付加して、保存するパスワードのハッシュを保護する手法。
エ接続元ごとに通信量の上限を設け、超えた分を破棄して負荷を抑える手法。
正解
ア.正規の証明書や公開鍵を事前に固定保持し、それ以外を提示してくる相手との接続を拒否する手法。
証明書ピンニングはアプリに正規サーバの証明書や公開鍵を埋め込み、不正なCAが発行した証明書を提示されても拒否することで中間者攻撃を防ぐ。
?選択肢ごとの解説
ア ○証明書ピンニングはアプリに正規サーバの証明書や公開鍵を埋め込み、不正なCAが発行した証明書を提示されても拒否することで中間者攻撃を防ぐ。
イ ×失効状態をサーバへ都度問い合わせるのはOCSPで、接続先を固定するピンニングとは目的が異なる。
ウ ×値を付加してパスワードハッシュを守るのはソルトで、接続先検証のピンニングとは全く別の対策である。
エ ×通信量の上限設定はレート制限で、証明書の真正性を固定するピンニングとは無関係である。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a3-w3-0013
