問６　DMZ上に公開しているWebサーバで入力データを受け付け、内部ネットワークのDBサーバにそのデータを蓄積するシステムがある。
インターネット上からDMZを経由してなされるDBサーバへの不正侵入対策の一つとして、DMZと内部ネットワークとの間にファイアウォールを設置するとき、最も有効な設定はどれか。

ア　DBサーバの受信ポート番号を固定にし、WebサーバからDBサーバの受信ポート番号へ発信された通信だけをファイアウォールで通す。
イ　DMZからDBサーバへの通信だけをファイアウォールで通す。
ウ　Webサーバの発信ポート番号は任意のポート番号を使用し、ファイアウォールでは、いったん終了した通信と同じ発信ポート番号を使った通信を拒否する。
エ　Webサーバの発信ポート番号を固定し、その発信ポート番号の通信だけをファイアウォールで通す。

---

【解答】ア

---

問７　ファイアウォールにおいて、自ネットワークのホストへの侵入を防止する対策のうち、IPスプーフィング(spoofing)攻撃に有効なものはどれか。

---

【解答】エ
→外部からはいってくるはずのないパケット--->なりすまし対策

---

問８　SQLインジェクション攻撃を防ぐ方法はどれか。

ア　入力から、上位ディレクトリを指定する文字列(．．/)を取り除く。
イ　入力中の文字がデータベースへの問合せや操作において特別な意味をもつ文字として解釈されないように保護する。
ウ　入力にHTMLタグが含まれていたら、解釈、実行できないほかの文字列に置き換える。
エ　入力の全体の長さが制限を越えていたときは受け付けない。

---

【解答】イ
→ア サニタイジング　ウ クロスサイトスクリプティング　エ バッファオーバーフロー

---

問９　通信を要求したPCに対し、ARPの仕組みを利用して実現できる通信の可否の判定方法のうち、最も適切なものはどれか。

ア　PCにインストールされているソフトウェアを確認し、登録されているソフトウェアだけがインストールされている場合に通信を許可する。
イ　PCのMACアドレスを確認し、事前に登録されているMACアドレスをもつ場合だけ通信を許可する。
ウ　PCのOSのパッチ適用状況を確認し、最新のパッチが適用されている場合だけ通信を許可する。
エ　PCのマルウェア対策ソフトの定義ファイルを確認し、最新になっている場合だけ通信を許可する。

---

【解答】イ

---

問10　暗号方式に関する記述のうち、適切なものはどれか。

ア　AESは公開鍵暗号方式、RSAは共通鍵暗号方式の一種である。
イ　共通鍵暗号方式では、暗号化及び復号に使用する鍵が同一である。
ウ　公開鍵暗号方式を通信内容の秘匿に使用する場合は、暗号化鍵を秘密にして、復号鍵を公開する。
エ　ディジタル署名に公開鍵暗号方式が使用されることはなく、共通鍵暗号方式が使用される。

---

【解答】イ