基本情報技術者講座
★ 猫本 8-03 サイバー攻撃(その4) ★
基本情報技術者 平成28年度秋期 問42
WAFの説明はどれか。
| ア | Webサイトに対するアクセス内容を監視し,攻撃とみなされるパターンを検知したときに当該アクセスを遮断する。 |
| イ | Wi-Fiアライアンスが認定した無線LANの暗号化方式の規格であり,AES暗号に対応している。 |
| ウ | 様々なシステムの動作ログを一元的に蓄積,管理し,セキュリティ上の脅威となる事象をいち早く検知,分析する。 |
| エ | ファイアウォール機能を有し,ウイルス対策,侵入検知などを連携させ,複数のセキュリティ機能を統合的に管理する。 |
解説
(頭の準備体操)
WAF(Web Application Firewall):Webアプリケーションの脆弱性を突いた攻撃(SQLインジェクション攻撃,クロスサイトスクリプティング攻撃など)を遮断する。
| ア | WAF |
| イ | WPA2 |
| ウ | SIEM |
| エ | UTM |
解答
ア
基本情報技術者 平成28年度春期 問43
クライアントとWebサーバの間において,クライアントからWebサーバに送信されたデータを検査して,SQLインジェクションなどの攻撃を遮断するためのものはどれか。
| ア | SSL-VPN機能 |
| イ | WAF |
| ウ | クラスタ構成 |
| エ | ロードバランシング機能 |
解説
(頭の準備体操)
WAF(Web Application Firewall):Webアプリケーションの脆弱性を突いた攻撃(SQLインジェクション攻撃,クロスサイトスクリプティング攻撃など)を遮断する。
| ア | VPNを構築する技術の一つ。通信の暗号化にSSL/TLSを採用した方式 |
| イ | 「Webサーバ及びアプリケーションに起因する脆弱性への攻撃を遮断する。」(FE26.2.41) |
| ウ | 複数のサーバを連携させて,あたかも1台のサーバであるかのように動作させる。 |
| エ | 負荷分散。特定のサーバに負荷がかからないように,複数のサーバに処理を分散させる。 |
解答
イ
基本情報技術者 平成30年度秋期 問42
IDSの機能はどれか。
| ア | PCにインストールされているソフトウェア製品が最新のバージョンであるかどうかを確認する。 |
| イ | 検査対象の製品にテストデータを送り,製品の応答や挙動から脆(ぜい)弱性を検出する。 |
| ウ | サーバやネットワークを監視し,侵入や侵害を検知した場合に管理者へ通知する。 |
| エ | 情報システムの運用管理状況などの情報セキュリティ対策状況と企業情報を入力し,組織の情報セキュリティへの取組み状況を自己診断する。 |
解説
(頭の準備体操)
IDS:不正侵入検知システム。ネットワーク上の通信を監視して,不正なアクセスを検知し管理者へ通知する。
IPS:不正侵入防止システム。ネットワーク上の通信を監視して,不正なアクセスを遮断する。
よって,ウである。
解答
ウ
基本情報技術者 平成30年度春期 問37
攻撃者がシステムに侵入するときにポートスキャンを行う目的はどれか。
| ア | 後処理の段階において,システムログに攻撃の痕跡が残っていないかどうかを調査する。 |
| イ | 権限取得の段階において,権限を奪取できそうなアカウントがあるかどうかを調査する。 |
| ウ | 事前調査の段階において,攻撃できそうなサービスがあるかどうかを調査する。 |
| エ | 不正実行の段階において,攻撃者にとって有益な利用者情報があるかどうかを調査する。 |
解説
(頭の準備体操)
Webサーバなどに対して,データを送信して接続可能なサービス(ポート番号)を調査する。
よって,ウである。
解答
ウ
基本情報技術者 平成29年度春期 問45
Webサーバの検査におけるポートスキャナの利用目的はどれか。
| ア | Webサーバで稼働しているサービスを列挙して,不要なサービスが稼働していないことを確認する。 |
| イ | Webサーバの利用者IDの管理状況を運用者に確認して,情報セキュリティポリシからの逸脱がないことを調べる。 |
| ウ | Webサーバへのアクセス履歴を解析して,不正利用を検出する。 |
| エ | 正規の利用者IDでログインし,Webサーバのコンテンツを直接確認して,コンテンツの脆弱性を検出する。 |
解説
(頭の準備体操)
Webサーバなどに対して,データを送信して接続可能なサービス(ポート番号)を調査する。
よって,アである。
解答
ア