Web保護

情報セキュリティマネジメント試験入力悪用対策」の問題

情報セキュリティ対策・実装技術Web保護難易度:normal
P社は会員向けWebサービスを自社開発・運用する従業員約120名のIT企業である。利用者の個人情報を扱い、開発チームはクラウド上に構築した環境で在宅勤務を交えて作業している。Q主任が技術面のセキュリティを担当し、公開Webアプリの安全性と、社外からの開発環境への接続の安全確保が課題となっている。 公開Webアプリへの不正なSQL文の混入を狙う攻撃が観測された。Q主任が、根本対策に加え、運用中の追加的な防御として導入を検討するものはどれか。
利用者の画面の配色を見やすく調整して操作性を高める。
攻撃通信を検査して遮断するWAFを前段に導入する。
サーバの処理性能を増強して応答速度を速くしておく。
会員へのお知らせメールの配信頻度を増やしておく。
正解
攻撃通信を検査して遮断するWAFを前段に導入する。

根本対策はセキュアコーディング(入力値検証・プレースホルダ)だが、運用中の追加防御としてWAFを前段に置けば、Webアプリ宛ての通信内容を検査し、既知の攻撃パターンを遮断できる。多層防御の考え方である。

?選択肢ごとの解説

ア ×配色調整は使い勝手の話で、攻撃通信を防ぐ本問の追加的防御の目的とは無関係である。
イ ○根本対策はセキュアコーディング(入力値検証・プレースホルダ)だが、運用中の追加防御としてWAFを前段に置けば、Webアプリ宛ての通信内容を検査し、既知の攻撃パターンを遮断できる。多層防御の考え方である。
ウ ×性能増強は速度の話で、不正なSQLの混入を防ぐ本問の追加防御の目的とは異なる。
エ ×通知頻度の増加は攻撃の防御に寄与せず、本問の追加的防御の目的に合致しない。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。

情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-b-jirei2-0001

【情報セキュリティマネジメント試験】入力悪用対策の問題と解答・解説|ukamiru 過去問