応用情報技術者 2014年 春期 午前2 問45
問題文
Webサーバにおいて、機密情報を記載したページが第三者に不正利用されることを防止するためのセキュリティ対策のうち、最も適切なものはどれか。
選択肢
ア:Webサーバの受信用のポート番号を標準ポート番号から変更する。
イ:機密情報を記載したページでは、アクセス時に利用者認証を要求する。(正解)
ウ:機密情報を記載したページのURLは非公開にし、関係者だけに伝える。
エ:ドメイン名をDNSに登録せず、IPアドレスの直接入力だけでアクセスさせる。
Webサーバの機密情報保護対策【午前2 解説】
要点まとめ
- 結論:機密情報を含むページには利用者認証を設けることが最も効果的な防止策です。
- 根拠:認証により正当な利用者だけがアクセス可能となり、不正利用を防げます。
- 差がつくポイント:単なる隠蔽やポート変更では防御が甘く、認証の有無がセキュリティの本質を左右します。
正解の理由
イ: 機密情報を記載したページでは、アクセス時に利用者認証を要求する。
機密情報の保護には、アクセス制御が不可欠です。利用者認証を導入することで、許可されたユーザーのみがページを閲覧でき、不正アクセスや情報漏洩のリスクを大幅に減らせます。
機密情報の保護には、アクセス制御が不可欠です。利用者認証を導入することで、許可されたユーザーのみがページを閲覧でき、不正アクセスや情報漏洩のリスクを大幅に減らせます。
よくある誤解
ポート番号の変更やURLの非公開は「隠す」だけであり、攻撃者にとってはセキュリティ対策として不十分です。DNS未登録も利便性を損ねるだけで防御効果は限定的です。
解法ステップ
- 問題文から「機密情報の不正利用防止」が目的であることを確認する。
- 各選択肢のセキュリティ効果を検討する。
- 単なる隠蔽策(ポート変更、URL非公開、DNS未登録)は根本的な防御にならないと判断。
- 利用者認証によるアクセス制御が最も確実な対策と結論づける。
選択肢別の誤答解説
- ア: ポート番号変更は攻撃の難易度を多少上げるが、標準ポートをスキャンする攻撃は多いため効果は限定的。
- ウ: URL非公開はセキュリティの「隠蔽」に過ぎず、URLが漏れれば無防備になる。
- エ: DNS未登録でIP直打ちは利便性を著しく損ない、セキュリティ強化にはつながらない。
補足コラム
利用者認証には基本認証やフォーム認証、OAuthなど多様な方式があります。機密性の高い情報は多要素認証(MFA)を組み合わせることで、さらに安全性を高められます。
FAQ
Q: ポート番号を変えるだけではなぜ不十分ですか?
A: 攻撃者はポートスキャンで開いているポートを特定できるため、単なる番号変更は防御として弱いです。
A: 攻撃者はポートスキャンで開いているポートを特定できるため、単なる番号変更は防御として弱いです。
Q: URLを非公開にすることは意味がないのでしょうか?
A: URL非公開は「セキュリティ・スルー・オブ・オブスキュリティ(隠蔽による安全)」の典型で、漏洩時に無防備になるため推奨されません。
A: URL非公開は「セキュリティ・スルー・オブ・オブスキュリティ(隠蔽による安全)」の典型で、漏洩時に無防備になるため推奨されません。
関連キーワード: 利用者認証、アクセス制御、Webセキュリティ、機密情報保護、ポート番号変更、URL非公開、DNS管理
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!