ホーム > 情報処理安全確保支援士試験 > 2019年 秋期
情報処理安全確保支援士試験 2019年 秋期 午前2 問14
Web サイトにおいて,全ての Web ページを TLS で保護するよう設定する常時 SSL/TLS のセキュリティ上の効果はどれか。
ア:Web サイトでの SQL 組立て時にエスケープ処理が施され,SQLインジェクション攻撃による個人情報などの非公開情報の漏えいやデータベースに蓄積された商品価格などの情報の改ざんを防止する。
イ:Web サイトへのアクセスが人間によるものかどうかを確かめ,Web ブラウザ以外の自動化された Web クライアントによる大量のリクエストへの応答を避ける。
ウ:Web サイトへのブルートフォース攻撃によるログイン試行を検出してアカウントロックし,Web サイトへの不正ログインを防止する。
エ:Web ブラウザと Web サイトとの間における中間者攻撃による通信データの漏えい及び改ざんを防止し,サーバ証明書によって偽りの Web サイトの見分けを容易にする。(正解)
解説
Webサイトにおいて全てのWebページをTLSで保護する常時SSL/TLSのセキュリティ上の効果【午前2 解説】
要点まとめ
- 結論:常時SSL/TLSは通信の暗号化により中間者攻撃の防止とサーバ証明書による正当性の確認を可能にします。
- 根拠:TLSは通信経路の盗聴や改ざんを防ぎ、サーバ証明書は偽サイトの識別に役立つため信頼性が向上します。
- 差がつくポイント:SQLインジェクションやブルートフォース攻撃などはTLSの役割外であり、通信の保護に特化している点を理解することが重要です。
正解の理由
選択肢エは、TLS(Transport Layer Security)による通信の暗号化がもたらすセキュリティ効果を正確に表しています。TLSはWebブラウザとWebサーバ間の通信を暗号化し、中間者攻撃(MITM)による通信内容の盗聴や改ざんを防止します。また、サーバ証明書によりユーザは接続先が正当なWebサイトであることを確認でき、偽サイトへの誘導を防ぐことができます。これが常時SSL/TLSの本質的なセキュリティ効果です。
よくある誤解
TLSは通信の暗号化と認証に特化しており、SQLインジェクションやブルートフォース攻撃の防止には直接関与しません。これらは別のセキュリティ対策が必要です。
解法ステップ
- 問題文の「全てのWebページをTLSで保護する常時SSL/TLS」に注目する。
- TLSの役割が「通信の暗号化」と「サーバ証明書による認証」であることを思い出す。
- 各選択肢の内容がTLSの効果に合致しているかを検証する。
- 通信の暗号化や中間者攻撃防止、サーバ証明書の役割を説明している選択肢を選ぶ。
- 選択肢エがこれらの条件を満たしているため正解と判断する。
選択肢別の誤答解説
- ア: SQLインジェクション対策は入力値の検証やエスケープ処理であり、TLSの役割ではありません。
- イ: アクセス元が人間かどうかの判別はCAPTCHAなどの技術であり、TLSとは無関係です。
- ウ: ブルートフォース攻撃の検出やアカウントロックは認証システムの機能であり、TLSの効果ではありません。
- エ: 通信の暗号化とサーバ証明書による認証を正しく説明しており、常時SSL/TLSの効果を示しています。
補足コラム
TLSはHTTPSの基盤技術であり、Webサイトの信頼性向上に不可欠です。常時SSL/TLSの導入はGoogleなどの検索エンジン評価にも影響し、SEO対策としても重要視されています。また、TLSは通信の機密性と完全性を保証し、ユーザのプライバシー保護に寄与します。
FAQ
Q: TLSはどのようにして通信を安全にするのですか?
A: TLSは公開鍵暗号方式を用いて通信経路を暗号化し、第三者による盗聴や改ざんを防止します。
A: TLSは公開鍵暗号方式を用いて通信経路を暗号化し、第三者による盗聴や改ざんを防止します。
Q: サーバ証明書はどのように偽サイトを見分けるのですか?
A: サーバ証明書は認証局(CA)によって発行され、正当なサイトであることを証明します。ブラウザは証明書の有効性を検証し、偽サイトを警告します。
A: サーバ証明書は認証局(CA)によって発行され、正当なサイトであることを証明します。ブラウザは証明書の有効性を検証し、偽サイトを警告します。
関連キーワード: TLS, HTTPS, 中間者攻撃, サーバ証明書, 通信暗号化, 常時SSL, セキュリティ対策, MITM, Webセキュリティ