ホーム > 情報処理安全確保支援士試験 > 2017年 春期
情報処理安全確保支援士試験 2017年 春期 午前2 問16
サンドボックスの仕組みに関する記述のうち,適切なものはどれか。
ア:Webアプリケーションの脆弱性を悪用する攻撃に含まれる可能性が高い文字列を定義し、攻撃であると判定した場合には,その通信を遮断する。
イ:クラウド上で動作する複数の仮想マシン(ゲストOS)間で、お互いの操作ができるように制御する。
ウ:プログラムの影響がシステム全体に及ばないように,プログラムが実行できる機能やアクセスできるリソースを制限して動作させる。(正解)
エ:プログラムのソースコードでSQL文の雛形の中に変数の場所を示す記号を置いた後、実際の値を割り当てる。
解説
サンドボックスの仕組みに関する問題【午前2 解説】
要点まとめ
- 結論:サンドボックスはプログラムの動作範囲やアクセス権限を制限し、システム全体への影響を防ぐ仕組みです。
- 根拠:プログラムが実行できる機能やアクセスできるリソースを限定することで、不正や誤動作による被害を最小化します。
- 差がつくポイント:サンドボックスは攻撃検知や仮想マシン間の操作制御ではなく、プログラムの安全な実行環境の提供に特化している点を理解しましょう。
正解の理由
選択肢ウは「プログラムの影響がシステム全体に及ばないように、プログラムが実行できる機能やアクセスできるリソースを制限して動作させる」とあり、サンドボックスの本質を正確に表現しています。
サンドボックスは安全な隔離環境を提供し、悪意あるコードやバグによるシステム全体への影響を防ぐために用いられます。
サンドボックスは安全な隔離環境を提供し、悪意あるコードやバグによるシステム全体への影響を防ぐために用いられます。
よくある誤解
サンドボックスは攻撃パターンの検知や通信遮断を行うものではありません。また、仮想マシン間の相互操作を許可する仕組みでもありません。
解法ステップ
- 問題文の「サンドボックスの仕組み」に注目する。
- 各選択肢の内容がサンドボックスの定義に合致するか検討する。
- 「プログラムの動作範囲やアクセス権限を制限する」という特徴を持つ選択肢を探す。
- 選択肢ウが該当するため、正解と判断する。
選択肢別の誤答解説
- ア:攻撃パターンの文字列を定義し通信を遮断するのはIDS/IPSの機能であり、サンドボックスの説明ではありません。
- イ:仮想マシン間で操作を可能にするのはセキュリティ上問題があり、サンドボックスはむしろ隔離を目的とします。
- ウ:プログラムの実行環境を制限し影響範囲を限定する点がサンドボックスの本質です。
- エ:SQL文の雛形に変数を割り当てるのはプリペアドステートメントの説明で、サンドボックスとは無関係です。
補足コラム
サンドボックスはマルウェア解析やWebブラウザの安全機能、モバイルアプリの実行環境など幅広く利用されています。仮想化技術やコンテナ技術と組み合わせて、より強固な隔離環境を実現しています。
FAQ
Q: サンドボックスと仮想マシンの違いは何ですか?
A: 仮想マシンはOS単位で仮想化された環境ですが、サンドボックスはプログラム単位で動作範囲を制限し安全に実行する仕組みです。
A: 仮想マシンはOS単位で仮想化された環境ですが、サンドボックスはプログラム単位で動作範囲を制限し安全に実行する仕組みです。
Q: サンドボックスはどのような攻撃に有効ですか?
A: 不正コードの実行や未知のマルウェアの影響を局所化し、システム全体への被害を防ぐことに有効です。
A: 不正コードの実行や未知のマルウェアの影響を局所化し、システム全体への被害を防ぐことに有効です。
関連キーワード: サンドボックス, セキュリティ, プログラム隔離, 仮想化, マルウェア解析