セキュア開発
情報セキュリティマネジメント試験「入力値検証」の問題
P社は会員向けWebサービスを自社開発・運用する従業員約120名のIT企業である。利用者の個人情報を扱い、開発チームはクラウド上に構築した環境で在宅勤務を交えて作業している。Q主任が技術面のセキュリティを担当し、公開Webアプリの安全性と、社外からの開発環境への接続の安全確保が課題となっている。
入力値の検査をブラウザ側(画面上)だけで行っていたが、検査を回避した不正な値が送られてくる事例があった。Q主任が加えるべき対策はどれか。
ア入力欄の見た目を整えて利用者が入力しやすくする。
イサーバ側でも入力値を必ず検証するようにする。
ウ画面側の検査のメッセージ文言を丁寧に書き直す。
エサーバの処理性能を増強して応答を速くしておく。
正解
イ.サーバ側でも入力値を必ず検証するようにする。
ブラウザ側の入力検査は利用者の利便のためのもので、容易に回避されうる。改ざんされた値が直接送られても防げるよう、サーバ側でも必ず入力値を検証することが必須の対策である。
?選択肢ごとの解説
ア ×見た目の改善は使い勝手の話で、検査回避による不正入力を防ぐ本問の対策とは無関係である。
イ ○ブラウザ側の入力検査は利用者の利便のためのもので、容易に回避されうる。改ざんされた値が直接送られても防げるよう、サーバ側でも必ず入力値を検証することが必須の対策である。
ウ ×文言の改善は画面側の話で、回避されうるブラウザ側検査の限界を補う本問の対策にはならない。
エ ×性能増強は速度の話で、不正な入力値を検証する本問の対策とは異なる。
セキュア開発の他の問題
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-b-jirei2-0011
