常時SSL/TLSのセキュリティ上の効果|情報処理安全確保支援士試験 令和元年 秋期午前Ⅱ試験 問14
出典:令和元年秋期 午前Ⅱ 問14
分野:セキュリティ / セキュリティ実装技術
Webサイトにおいて,全てのWebページをTLSで保護するよう設定する常時SSL/TLSのセキュリティ上の効果はどれか。
- ア:WebサイトでのSQL組立て時にエスケープ処理が施され,SQLインジェクション攻撃による個人情報などの非公開情報の漏えいやデータベースに蓄積された商品価格などの情報の改ざんを防止する。
- イ:Webサイトへのアクセスが人間によるものかどうかを確かめ,Webブラウザ以外の自動化されたWebクライアントによる大量のリクエストへの応答を避ける。
- ウ:Webサイトへのブルートフォース攻撃によるログイン試行を検出してアカウントロックし,Webサイトへの不正ログインを防止する。
- エ:WebブラウザとWebサイトとの間における中間者攻撃による通信データの漏えい及び改ざんを防止し,サーバ証明書によって偽りのWebサイトの見分けを容易にする。
TSUNAGARU-ADVICE
まず押さえたいこと
常時SSL/TLSは、Webサイトの全ページをHTTPSで保護し、WebブラウザとWebサイトの間の通信を暗号化する設定です。これにより、通信経路上での盗聴や改ざんを防ぎやすくなり、サーバ証明書によって接続先の正当性も確認しやすくなる点が重要です。
迷ったときの判断軸
SQLインジェクション対策は入力値処理やプレースホルダ、Bot対策はCAPTCHAなど、ブルートフォース対策はアカウントロックや多要素認証などが中心です。常時SSL/TLSは、通信の暗号化、改ざん検知、サーバ認証に関する対策と判断しましょう。
科目Bにつなげるために
科目Bでは、ログイン画面だけHTTPSにして他ページをHTTPにしている構成のリスクが問われることがあります。セッションCookieや個人情報が通信経路で漏えい・改ざんされないように、サイト全体をHTTPSで保護するという考え方を押さえておきましょう。
常時SSL/TLSは、Webサイト内の全てのページをHTTPSで保護し、WebブラウザとWebサイトとの間の通信を暗号化する設定です。
通信経路上で第三者に内容を盗み見られたり、改ざんされたりするリスクを低減できます。また、サーバ証明書によって接続先のWebサイトの正当性を確認しやすくなるため、偽サイトとの見分けにも役立ちます。
したがって、エが適切です。
❌他選択肢が誤りの理由ア:WebサイトでのSQL組立て時にエスケープ処理が施され,SQLインジェクション攻撃による個人情報などの非公開情報の漏えいやデータベースに蓄積された商品価格などの情報の改ざんを防止する。
⇒SQLインジェクション対策の説明です。常時SSL/TLSは通信経路を暗号化する仕組みであり、SQL文の組立て方法を安全にしたり、データベースへの不正なSQL実行を防いだりするものではありません。
イ:Webサイトへのアクセスが人間によるものかどうかを確かめ,Webブラウザ以外の自動化されたWebクライアントによる大量のリクエストへの応答を避ける。
⇒CAPTCHAなどに関する説明です。人間による操作か自動プログラムによる操作かを判定する仕組みであり、WebブラウザとWebサイト間の通信をTLSで保護する常時SSL/TLSとは異なります。
ウ:Webサイトへのブルートフォース攻撃によるログイン試行を検出してアカウントロックし,Webサイトへの不正ログインを防止する。
⇒ログイン試行回数の制限やアカウントロックに関する説明です。常時SSL/TLSは、ログイン試行そのものを検出・遮断するものではなく、通信データの漏えいや改ざんを防ぐための対策です。