【解答速報】情報処理安全確保支援士 令和6年度春季【午後 問4】
syun032024年4月21日実施の情報処理安全確保支援士解答速報
毎年のことながら7~8割の正解率かと思います。間違いや不明点ございましたらコメントください。
- 1. 問4 Webアプリケーションプログラム
- 1.1. 設問1 [データ連携機能のセキュリティレビュー]について答えよ。
- 1.1.1. (1) 本文中のaに入れる適切な字句を,解答群の中から選び,記号で答えよ。
- 1.1.2. (2) 本文中のbに入れる適切な所属グループを, 表3中から選び答えよ。
- 1.1.3. (3) 本文中のcに入れる適切なプログラムを表4中から選び、No列の番号で答えよ。
- 1.2. 設問2 [ユーザー登録機能のセキュリティレビュー]について答えよ。
- 1.2.1. (1) 本文中のdに入れる適切な行番号を、図3中から選び,答えよ。
- 1.2.2. (2) 本文中のeに入れる適切な字句を答えよ。
- 1.2.3. (3) 本文中の下線1について,システム運用担当者とシステム開発者が,アクセスが禁止されているのにアクセスできてしまう情報は何か。 図2中のユーザマスターテーブルの列名で, それぞれ全て答えよ。 また, その情報が出力される場所を, 解答群の中から選び, それぞれ記号で答えよ。
- 1.2.4. (4) 図4中のfに入れる適切な字句を答えよ。
- 1.2.5. (5) 図4中のgに入れる適切な処理を,ソースコード又は具体的な処理内容のいずれかで答えよ。
- 1.2.6. (6) 図4中のhに入れる適切なソースコードを答えよ。
- 1.2.7. (7) 本文中の下線2について,図4の6,7行目をどのように修正すればよいか。修正後の適切なソースコードを解答群の中から選び, 記号で答えよ。 ここで,変数saltには,addUserメソッドの呼出しごとに異なる32 バイトの固定長文字列が入っているものとし,ユーザーマスターテーブルの定義に変更はないものとする。
- 2. おすすめ参考書
問4 Webアプリケーションプログラム
設問1 [データ連携機能のセキュリティレビュー]について答えよ。
(1) 本文中のaに入れる適切な字句を,解答群の中から選び,記号で答えよ。
解答
ア
解説
operation権限グループに所属しているアカウントはバッチサーバにアクセスできます。また、バッチサーバに保存されているCSVはパーミッションが660なのでbatchappuserと同じグルーブに属している必要があります。
上記を満たすと注文情報CSVに含まれる重要情報が参照できます。
(2) 本文中のbに入れる適切な所属グループを, 表3中から選び答えよ。
解答
personal
解説
バッチサーバと本番APサーバへのアクセス権限が必要で、batchappuserと異なる権限グループにする必要があるため。
(3) 本文中のcに入れる適切なプログラムを表4中から選び、No列の番号で答えよ。
解答
4
解説
CSVファイルの送信元で暗号化し、受け取り側で復号します。
暗号化するべきは重要情報が含まれている注文情報が対象になります。
設問2 [ユーザー登録機能のセキュリティレビュー]について答えよ。
(1) 本文中のdに入れる適切な行番号を、図3中から選び,答えよ。
解答
5
解説
(2) 本文中のeに入れる適切な字句を答えよ。
解答
NoSuchAlgolithmException
解説
(3) 本文中の下線1について,システム運用担当者とシステム開発者が,アクセスが禁止されているのにアクセスできてしまう情報は何か。 図2中のユーザマスターテーブルの列名で, それぞれ全て答えよ。 また, その情報が出力される場所を, 解答群の中から選び, それぞれ記号で答えよ。
解答
| システム運用担当者 | エ | 氏名、住所、電話番号、パスワード、メールアドレス |
| システム開発担当者 | オ | 氏名、住所、電話番号、パスワード、メールアドレス |
解説
運用担当者は注文情報CSVファイルが見れてしまうことが問題。
システム開発担当者は会員登録時のログが見れてしまうことが問題。開発担当者はAPサーバへのアクセス権限は持っていませんが、ログ転送先のログサーバ上で情報が参照できます。
【記載誤っていたので修正】
まずシステムの全体像を整理します。
本番APサーバ・本番バッチサーバ・本番ログサーバに各種ログ等が保存されており、サーバへのアクセスやファイルアクセスは権限により細かく制御されています。
ではまずシステム運用担当者がアクセス可能は範囲を確認してみます。
システム運用担当者は「本番APサーバ」と「本番バッチサーバ」へアクセスできます。
また、本番APサーバに保存されているログについては「rw-rw-r」なので、サーバにアクセスできれば誰でも参照することができます。
よってシステム運用担当者は本番APサーバからaddUser時のログが参照できてしまいます。
次にシステム開発者がアクセス可能な範囲を確認します。
システム開発者は参照本番ログサーバも参照できます。ここにはAPサーバからログが転送されてきておりますので、addUser時のログが参照できてしまいます。
参照できてはならない情報については、ユーザマスタテーブルのうち表1で重要情報と挙げられているものになります。
ユーザOID, ユーザID, パスワード, 氏名, 郵便番号, 住所, 電話番号, メールアドレス, 作成日時, 更新日時
(4) 図4中のfに入れる適切な字句を答えよ。
解答
SHA-256
解説
(5) 図4中のgに入れる適切な処理を,ソースコード又は具体的な処理内容のいずれかで答えよ。
解答
エラーメッセージをWebシステムに返し処理を終了する
解説
このシステムでの「回復不能」な場合の期待値がわからない、、
(6) 図4中のhに入れる適切なソースコードを答えよ。
解答
finally
解説
該当のコードを確認すると、変数psObjの状態を確認しています。
変数psObjについては問題文中で下記指摘がされています。
利用するAPサーバの実装では, 変数psObjの指すメモリ領域においてメモリリークが発生する可能性がある。
この指摘に対応するため、変数psObjが存在していれば必ず開放して処理を終了するという処理が入れられています。
(7) 本文中の下線2について,図4の6,7行目をどのように修正すればよいか。修正後の適切なソースコードを解答群の中から選び, 記号で答えよ。 ここで,変数saltには,addUserメソッドの呼出しごとに異なる32 バイトの固定長文字列が入っているものとし,ユーザーマスターテーブルの定義に変更はないものとする。
解答
ア
解説
saltの使い方
全裸待機しています。
お待たせしました笑
私は靴下だけは履いて待機しています。
お待たせしました笑
設問2の(3)について2点質問です。
表1のNo.16に「APサーバの標準出力はAPサーバの/var/log/serverlog に出力される」とあります。
そして図3の21-22行目でAPログと同じ内容が標準出力されています。
運用担当者はAPサーバへのアクセス権があるのですから、運用担当者の記号はエ、内容は開発者と同じものになると思いますが、いかがでしょうか?
また、実際のコードでは省略されていますが図2のプログラム仕様を読むとInsertの内容は図2中の通りだと思われます。
住所やメールアドレスが入っていないのは何故でしょうか?
失礼します。
私も同じ意見です。
本問は、「ソースコードに対しての指摘」と問題文にありましたので、
運用者と開発者の内容は同じものを解答しました。
失礼します。私も運用担当者はエを選んでましたが、考えるとエは間違っていたかもしれません。
確かに運用担当者はAPサーバへのアクセス権があり、でもログを格納した「/var/log/serverlog」ファイルのオーナーはwebappuserであり、664の権限です。
つまり、webappuserの所属グループ以外のユーザーは、4の権限「rwx」でWとXできるが、Readができません。
実際に、運用担当者は所属グループがoperationであり、rの権限をもっていないから、ログファイルを見ることができないと思います。
合格したいDさん
失礼します。
「4の権限「rwx」でWとXできるが」とありますが、4はRとなり読み込みできるのではないでしょうか?
問題文読み間違っていたので、解答を修正して解説も追加いたしました。
ご指摘の通りで「エ」で合っていると思います!
いつもありがとうございます。
修正して頂いたところ申し訳ないのですが、今回の問題はレインボーテーブル攻撃がテーマになっています。
それを踏まえるとハッシュ化されたパスワードであっても重要情報だと捉えるべきだと思うのですが、この考え方は間違えていますか?
また、下線1の段階ではハッシュ化されない可能性もあるため確実に重要情報から外せるとは到底思えません。
確かにおっしゃる通りですね。まだパスワードがそのまま登録される課題が残った状態のソースに関する出題でした。
なので素直に「パスワード」も含めるのが正しそうです。
修正させていただきました!