[平成２８年度春] 午後 問1 解説

[問題文・解答]

平成２８年度４月に実施された基本情報技術者試験の午後試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）

[H28春 午後 問題文]　　　[H28春 午後 解答]

[問題概要]

この問題は必須問題です。
出題分野は情報セキュリティ、問題の題材はWebサーバに対する不正侵入とその対策です。
会員制の口コミ飲食店情報システムが不正アクセスされ、会員情報が漏えいした際の対策について問われます。専門知識はあまり必要とされず、難易度低めの問題です。

[設問]

a) 表1の被害状況欄「秘密鍵への不正アクセスがあったかは確認できなかった」との記述より、秘密鍵が漏えいしている可能性もあります。秘密鍵が漏えいすると、通信内容が傍受される恐れがあるため、秘密鍵と公開鍵を新たに生成しなおす必要があります。従って、「イ」が正解となります。
ア) HTTPは通信が暗号化されないため、情報漏えいのリスクを高めてしまいます。
ウ) 秘密鍵が漏えいしている可能性があるため、公開鍵証明書の再発行はできません。
エ) 漏えいの可能性を考えて、生成しなおすべきです。

b) TelnetやSSHなどのリモートメンテナンス用ポートを利用してWebサーバへ侵入された可能性があります。P.6中段に「現在はリモートメンテナンスの必要性はなくなっている。」とあることから、これらのポートを閉じ、FWでアクセスを禁止すべきです。従って、「イ」が正解となります。
解答群の記述だけを読むと、運用上の通信(インターネットからのHTTPS通信)まで禁止してしまうように誤解するかもしれませんが、表1より「リモートメンテナンス用ポートについて」が前に挿入されるため、問題ありません。
ア) HTTPも解放するとよりセキュリティリスクが高まります。
ウ) TelnetやSSHを利用された可能性を考えて、ポートを閉じるべきです。
エ) SSHは暗号化されているため、Telnetに比べれば安全ですが、今回の侵入でパスワードが突破されている可能性もあり、不正アクセスの原因になりかねません。

c) Webサーバへの不正アクセスで管理者パスワードが知られている可能性が高いため、変更すべきです。また、DBサーバへアクセスされ一部会員の会員情報が漏えいし、その他の会員については特定できていないため、会員全員を対象にパスワード変更を依頼すべきです。従って、正解は「ア」です。

d) 英小文字26文字で長さ６文字のパスワードの総数は26^6通り(a)、長さ８文字のパスワードの総数は26^8通り(b)です。
従って、26^8 / 26^6 = 26^2　となり、「カ」が正解です。

e) 英大文字26文字、英小文字26文字の計52文字で長さ８文字のパスワードの総数は52^8通り(c)であるため、52^8 / 26^8 = 2^8　となり、「オ」が正解です。

[答] a) イ　b) イ　c) ア　d) カ　e) オ

上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。