22年秋期　午前Ⅱ② - 今さら学習帖

問６　DMZ上に公開しているWebサーバで入力データを受け付け、内部ネットワークのDBサーバにそのデータを蓄積するシステムがある。インターネット上からDMZを経由してなされるDBサーバへの不正侵入対策の一つとして、DMZと内部ネットワークとの間にファイアウォールを設置するとき、最も有効な設定はどれか。

ア DBサーバの受信ポート番号を固定にし、WebサーバからDBサーバの受信ポート番号へ発信された通信だけをファイアウォールで通す。
イ DMZからDBサーバへの通信だけをファイアウォールで通す。
ウ Webサーバの発信ポート番号は任意のポート番号を使用し、ファイアウォールでは、いったん終了した通信と同じ発信ポート番号を使った通信を拒否する。
エ Webサーバの発信ポート番号を固定し、その発信ポート番号の通信だけをファイアウォールで通す。

- - - - -

【解答】ア

問７　ファイアウォールにおいて、自ネットワークのホストへの侵入を防止する対策のうち、IPスプーフィング(spoofing)攻撃に有効なものはどれか。

ア　外部から入るTCPコネクション確立要求パケットのうち、外部へのインターネットサービスの提供に必要なもの以外を阻止する。
イ　外部から入るUDPパケットのうち、外部へのインタネットサービスの提供や利用したいインターネットサービスに必要なもの以外を阻止する。
ウ　外部から入るパケットのあて先IPアドレスが、インターネットとの直接の通信をすべきでない自ネットワークのホストのものであれば、そのパケットを阻止する。
エ　外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば、そのパケットを阻止する。

- - - - -

【解答】エ

問８　SQLインジェクション攻撃を防ぐ方法はどれか。

ア　入力から、上位ディレクトリを指定する文字列(．．/)を取り除く。
イ　入力中の文字がデータベースへの問合せや操作において特別な意味をもつ文字として解釈されないように保護する。
ウ　入力にHTMLタグが含まれていたら、解釈、実行できないほかの文字列に置き換える。
エ　入力の全体の長さが制限を越えていたときは受け付けない。

- - - - -

【解答】イ
→ア.サニタイジング(無害化)　ウ.クロスサイトスクリプティング
　エ.バッファオーバフロー攻撃の対策の説明です。

問９　通信を要求したPCに対し、ARPの仕組みを利用して実現できる通信の可否の判定方法のうち、最も適切なものはどれか。

ア　PCにインストールされているソフトウェアを確認し、登録されているソフトウェアだけがインストールされている場合に通信を許可する。
イ　PCのMACアドレスを確認し、事前に登録されているMACアドレスをもつ場合だけ通信を許可する。
ウ　PCのOSのパッチ適用状況を確認し、最新のパッチが適用されている場合だけ通信を許可する。
エ　PCのマルウェア対策ソフトの定義ファイルを確認し、最新になっている場合だけ通信を許可する。

- - - - -

【解答】イ
→ARP--IPアドレスからMACアドレスを調べる。
→RARP-MACアドレスからIPアドレスを調べる。

問10　暗号方式に関する記述のうち、適切なものはどれか。

ア　AESは公開鍵暗号方式、RSAは共通鍵暗号方式の一種である。
イ　共通鍵暗号方式では、暗号化及び復号に使用する鍵が同一である。
ウ　公開鍵暗号方式を通信内容の秘匿に使用する場合は、暗号化鍵を秘密にして、復号鍵を公開する。
エ　ディジタル署名に公開鍵暗号方式が使用されることはなく、共通鍵暗号方式が使用される。

- - - - -

【解答】イ
→AES--共通鍵,RSA--公開鍵、公開鍵暗号方式では公開鍵で暗号化し、秘密鍵で複合する。ディジタル署名はには公開鍵が添付される。