ホーム > 情報処理安全確保支援士試験 > 2014年 秋期
情報処理安全確保支援士試験 2014年 秋期 午前2 問17
サンドボックスの仕組みについて述べたものはどれか。
ア:Webアプリケーションの脆弱性を悪用する攻撃に含まれる可能性が高い文字列を定義し、攻撃であると判定した場合には,その通信を遮断する。
イ:侵入者をおびき寄せるために本物そっくりのシステムを設置し,侵入者の挙動などを監視する。
ウ:プログラムの影響がシステム全体に及ばないように,プログラムが実行できる機能やアクセスできるリソースを制限して動作させる。(正解)
エ:プログラムのソースコードでSQL文の雛形の中に変数の場所を示す記号を置いた後、実際の値を割り当てる。
解説
サンドボックスの仕組みについて述べたものはどれか【午前2 解説】
要点まとめ
- 結論:サンドボックスはプログラムの動作範囲やアクセス権限を制限し、システム全体への影響を防ぐ仕組みです。
- 根拠:プログラムが実行できる機能やアクセスできるリソースを限定することで、不正や誤動作による被害を最小化します。
- 差がつくポイント:攻撃検知や侵入者監視とは異なり、サンドボックスは「隔離と制限」による安全確保の技術である点を理解しましょう。
正解の理由
選択肢ウは「プログラムの影響がシステム全体に及ばないように、プログラムが実行できる機能やアクセスできるリソースを制限して動作させる」と述べています。これはサンドボックスの本質的な役割であり、未知のプログラムや不審なコードを安全に実行するための隔離環境を指します。したがって、正解はウです。
よくある誤解
サンドボックスは攻撃を検知して遮断する仕組みではなく、攻撃者を誘導する罠でもありません。これらはそれぞれファイアウォールやハニーポットの役割です。
解法ステップ
- 問題文の「サンドボックスの仕組み」に注目する。
- 各選択肢の説明がサンドボックスの定義に合致するかを確認する。
- 「プログラムの動作範囲やアクセス権限を制限する」という特徴を持つ選択肢を探す。
- 選択肢ウが該当するため、正解と判断する。
選択肢別の誤答解説
- ア:これはシグネチャベースの攻撃検知や通信遮断の説明であり、サンドボックスとは異なります。
- イ:侵入者を誘導して監視するハニーポットの説明で、サンドボックスの機能ではありません。
- ウ:プログラムの動作を制限し、システム全体への影響を防ぐサンドボックスの正しい説明です。
- エ:SQLインジェクション対策のプリペアドステートメントの説明で、サンドボックスとは無関係です。
補足コラム
サンドボックスはセキュリティ分野で幅広く利用されており、ブラウザのプラグインやモバイルアプリの実行環境、クラウドサービスの仮想環境などで活用されています。これにより、悪意あるコードの実行や誤動作によるシステム障害を防止します。
FAQ
Q: サンドボックスは攻撃を検知する仕組みですか?
A: いいえ。サンドボックスは攻撃を検知するのではなく、プログラムの動作を制限して安全に実行する環境です。
A: いいえ。サンドボックスは攻撃を検知するのではなく、プログラムの動作を制限して安全に実行する環境です。
Q: ハニーポットとサンドボックスの違いは何ですか?
A: ハニーポットは攻撃者を誘導して監視する罠であり、サンドボックスはプログラムを隔離して安全に動作させる環境です。
A: ハニーポットは攻撃者を誘導して監視する罠であり、サンドボックスはプログラムを隔離して安全に動作させる環境です。
関連キーワード: サンドボックス, セキュリティ, プログラム隔離, ハニーポット, 攻撃検知, プリペアドステートメント