情報処理安全確保支援士
厳選10問ドリル|午前II+午後ミックス
証明書の失効確認・コマンドインジェクション・クレデンシャルスタッフィング・Webスキミング・セキュリティ訓練を集中的に潰します。
📋 目次
🔗 証明書の失効確認・信頼チェーン編
CRLとOCSPの仕組みの違い、そして「中間証明書を省略してよいか」という実務でよくあるミスを押さえます。
「誰が、どうやって問い合わせるか」を区別する
CRL・OCSP・OCSP Staplingは、いずれも「失効していないか確認する」仕組みですが、問い合わせる主体とタイミングが違います。動作主体を意識して読み分けましょう。
証明書の失効確認の仕組み(CRL・OCSP)に関する記述のうち、最も適切なものはどれか。
- アOCSPは証明書の失効状態をリアルタイムに問い合わせる仕組みであり、CRLに比べて最新の失効情報を取得しやすい
- イCRLは、失効した証明書の情報を都度オンラインで問い合わせる仕組みであり、リスト形式のファイルとして配布されることはない
- ウOCSPやCRLによる失効確認を行わなくても、証明書の有効期限内であれば常に信頼できる
- エOCSP Staplingは、クライアントが直接OCSPサーバへ問い合わせる方式であり、Webサーバを経由しない
OCSPは証明書の失効状態をリアルタイムでOCSP応答局に問い合わせる仕組みで、CRL(失効した証明書の一覧をリスト形式で配布する方式)に比べて、最新の失効情報を効率的に取得しやすいです。
イはCRLの説明が誤りで、CRLはリスト形式のファイルとして定期配布される方式です。エもOCSP Staplingの動作主体が誤りで、実際にはWebサーバが事前に問い合わせ、その結果をTLSハンドシェイクの際にクライアントへ提供します。
CRL=リスト配布方式、OCSP=リアルタイム問い合わせ方式、OCSP Stapling=サーバが代理で問い合わせて結果を添付する効率化方式。この3つの違いをセットで覚えましょう。
TLS証明書の信頼チェーン(ルートCA・中間CA)に関する記述のうち、最も適切なものはどれか。
- アサーバ証明書の検証では、ルートCAから中間CAを経てサーバ証明書までの信頼の連鎖全体を検証する
- イ中間CA証明書は省略しても、ルートCA証明書とサーバ証明書があれば検証は常に成立する
- ウルートCA証明書は、ブラウザやOSにあらかじめ組み込まれている必要はなく、Webサイト側のサーバにのみ保管されていればよい
- エ中間CAが侵害された場合でも、ルートCAの信頼性には一切影響しない
TLS証明書の検証では、サーバ証明書→中間CA証明書→ルートCA証明書という信頼の連鎖をすべて検証することで、サーバ証明書の正当性を保証します。ルートCAはブラウザ・OSに事前に組み込まれた信頼の起点として機能します。
イのように「中間証明書は省略できる」というのは実務でよくある設定ミスです。中間証明書を正しく提供しないと、クライアントが信頼の連鎖をたどれず検証に失敗する場合があります。
信頼の連鎖=サーバ証明書→中間CA→ルートCA。中間CAが侵害されると、その中間CAが発行したすべての証明書の信頼性が損なわれます。中間証明書の設定漏れは実際のWebサイトでよく見られるミスとして頻出です。
🗂️ コマンドインジェクション・パストラバーサル編
「利用者の入力をそのまま使う」ことが、OSコマンドの実行とファイルパスの参照、両方で問題になる構造を理解します。
入力値を「コマンド」や「パス」として直接使わない
SQLi・コマンドインジェクション・パストラバーサルは、いずれも「利用者の入力を、解釈される文字列としてそのまま使ってしまう」という共通の構造を持つ脆弱性です。
コマンドインジェクションに関する記述のうち、最も適切なものはどれか。
- ア利用者からの入力をOSコマンドの一部として直接実行してしまうことで、攻撃者が任意のOSコマンドを実行できる脆弱性である
- イ対策として、入力値をエスケープ処理せずシェル経由でコマンドを実行することが推奨される
- ウWebブラウザ上でのみ発生し、サーバサイドのプログラムには影響しない
- エ外部コマンドの呼び出しを行わないアプリケーションであっても、コマンドインジェクションのリスクは常に存在する
コマンドインジェクションは、アプリケーションが利用者からの入力をOSコマンドの一部として連結・実行してしまうことで、攻撃者が想定外のOSコマンドを実行できる脆弱性です。
イのようにエスケープせずシェル経由で実行するのはまさに脆弱な実装そのものです。エのように「外部コマンドを呼ばないなら関係ない」という当然の前提を、誤りの選択肢としてひっくり返している点に注意しましょう(呼び出しがなければリスクは生じません)。
コマンドインジェクション対策の優先順位は「①外部コマンドの呼び出しを避ける > ②シェルを経由しない安全なAPIを使う > ③入力値の厳格な検証(許可リスト化)」です。
📄 ケース
某社のWebアプリケーションには、ファイル名をパラメータで指定してドキュメントをダウンロードする機能(例:https://example.co.jp/download?file=report.pdf)がある。セキュリティ診断の結果、fileパラメータに「../../etc/passwd」のような文字列を指定すると、本来公開すべきでないサーバ内のファイルが取得できてしまうことが確認された。
設問:このWebアプリケーションが実装すべき対策を、その理由も含めて40字以内で述べよ。
「ファイル名から相対パス記号(../等)を除去・検証し、許可された保存先ディレクトリ内のファイルのみアクセス可能にする」
これはパストラバーサルと呼ばれる脆弱性で、利用者が指定したファイルパスをそのままファイルシステムへの参照に使ってしまうことで、想定外のディレクトリ階層を遡って機密ファイルにアクセスされてしまいます。
「ファイル名をエスケープする」だけでは不十分です(HTMLエスケープのような処理はこの脆弱性には直接効果がありません)。「相対パスの除去・検証」「許可リスト化」がキーワードです。
パストラバーサル対策の基本は、利用者からの入力を直接ファイルパスとして使わないことです。ファイル名から実体パスへの変換をサーバ側のマッピングテーブルで管理し、入力値が直接パスに反映されない設計にするのが最も安全です。
🔑 クレデンシャルスタッフィング編
「総当たり」ではなく「既に正しい組み合わせ」を使う攻撃、という点がブルートフォースとの最大の違いです。
パスワードを強くしても防げない攻撃がある
クレデンシャルスタッフィングは「弱いパスワード」が原因ではなく、「使い回し」が原因です。パスワードポリシーの強化では防げず、多要素認証が核心的対策になります。
クレデンシャルスタッフィングに関する記述のうち、最も適切なものはどれか。
- ア他のサービスから漏えいしたID・パスワードの組み合わせを用いて、別のサービスへ自動的にログインを試行する攻撃である
- イ特定の1つのIDに対して総当たりで様々なパスワードを試行する攻撃のことであり、ブルートフォース攻撃と完全に同じ手法である
- ウ対策として最も有効なのは、パスワードの文字数制限を緩和することである
- エ利用者が複数のサービスで同じパスワードを使い回していても、サービス提供者側には対策できることはない
クレデンシャルスタッフィングは、あるサービスから漏えいしたID・パスワードの組み合わせを、別の複数サービスに対して自動的に試行し、利用者が使い回している場合にログインに成功してしまう攻撃です。
イのようにブルートフォース攻撃と「完全に同じ」とするのは誤りです。ブルートフォースは1つのIDに対する総当たりですが、クレデンシャルスタッフィングは既に漏えいした正しい組み合わせを使う点が異なります。
クレデンシャルスタッフィング対策は「多要素認証」「ログイン試行のレート制限・異常検知」「既知の漏えいパスワードとの照合」がセットです。
📄 ケース
某社のECサイトでは、ある日、短時間に多数の異なる利用者IDに対して、それぞれ少数回ずつログイン試行が行われ、一部のアカウントでログインに成功し、登録されているクレジットカード情報の一部が不正に閲覧される事案が発生した。ログを確認したところ、試行されたID・パスワードの組み合わせは、過去に他社サービスから漏えいしたものと一致していた。
設問:このサイトの認証機能に追加で実装すべき対策を、その理由も含めて40字以内で述べよ。
「ID・パスワードに加えて多要素認証を導入し、ID・パスワードのみの突破では不正ログインできないようにする」
クレデンシャルスタッフィングは漏えいした「正しい」組み合わせを使うため、パスワードの複雑性要件を強化しても効果が薄く、多要素認証が最も効果的な対策となります。
「ログイン失敗回数によるロックアウト」は有効ですが、このケースでは「少数回ずつ」の試行(1IDあたりの試行回数を抑える手口)であるため、単純なロックアウトだけでは検知が難しい点に注意。多要素認証がより核心的な対策です。
クレデンシャルスタッフィングは「パスワードが弱い」ことが原因ではなく「漏えいした正しい組み合わせ」を使われることが原因のため、パスワードポリシーの強化だけでは防げません。
🛒 ドメイン管理・Webスキミング編
「ドメインを失う」リスクと、「決済ページに読み込む外部スクリプト」が乗っ取られるリスクを押さえます。
自社の管理範囲の外側にあるリスクに目を向ける
ドメインの更新管理も、決済ページの外部スクリプトも、「自社の外側にある依存先」がリスクの起点になります。サプライチェーン的な視点で読み解きましょう。
ドメイン名の管理に関する記述のうち、最も適切なものはどれか。
- アドメインの登録更新を忘れて失効させてしまうと、第三者がそのドメインを取得し、なりすましサイトの開設などに悪用される恐れがある
- イドメインレジストラのアカウントには、多要素認証を設定せず、IDとパスワードのみで管理することが望ましい
- ウWHOIS情報を非公開にしていれば、ドメインハイジャックのリスクは一切なくなる
- エドメインの自動更新設定を行っていれば、ドメインレジストラのアカウント自体が乗っ取られるリスクは考慮しなくてよい
ドメインの登録更新を忘れて失効させると、そのドメイン名を第三者が新たに取得できる状態になり、なりすましサイトの開設などに悪用されるリスクがあります。
ウ・エのように「対策をしているから完全に安全」と過信する選択肢に注意。WHOIS非公開やドメインの自動更新は有効な対策ですが、レジストラアカウントの乗っ取りなど他の経路のリスクは残ります。
ドメイン管理のリスクは「更新忘れによる失効」「レジストラアカウントの乗っ取り」「不正な移管」の3パターンを軸に整理しましょう。対策は自動更新設定+レジストラアカウントの多要素認証がセットです。
📄 ケース
某社のECサイトでは、決済時にクレジットカード情報を入力するページで、外部の広告配信会社から読み込んでいるJavaScriptライブラリが、何らかの理由で改ざんされ、悪意のあるコードが混入していた。このコードは、利用者がカード情報を入力するたびに、その内容を攻撃者の管理するサーバへひそかに送信していた。某社はこの事象に長期間気付かず、多数の顧客のカード情報が漏えいする被害が発生した。
設問:このようなインシデントを防ぐために整備すべき対策を、その理由も含めて40字以内で述べよ。
「Content Security Policy(CSP)でスクリプトの読み込み元を制限し、外部スクリプトの改ざん・追加を検知・防止する」
決済ページに外部のサードパーティスクリプトを読み込む構成は、そのスクリプトが乗っ取られた場合、決済ページ全体が攻撃者にコントロールされてしまうリスクを抱えます。CSPやSRI(Subresource Integrity)が有効です。
「決済ページの監視を強化する」だけでは具体性に欠けます。CSP・SRIなど、外部スクリプトの読み込みそのものを制御する技術的対策に言及することが採点上重要です。
Webスキミング(フォームジャッキング)は、決済ページに読み込まれるサードパーティスクリプトの改ざんを悪用する攻撃で、近年のECサイトで頻発しています。CSP・SRIによる外部スクリプトの統制が基本対策です。
🎓 セキュリティ教育・訓練編
「処罰すれば効果的」という直感に反する、報告文化と心理的安全性の重要性を押さえます。
「開封率」だけでなく「報告率」も見る
訓練の本当の目的は、開かないことだけではありません。開いてしまった時にすぐ報告できる文化があるかどうかが、実際のインシデント対応の速さを左右します。
標的型攻撃メール訓練に関する記述のうち、最も適切なものはどれか。
- ア訓練を通じて従業員の不審なメールへの気付きを高め、報告フローの実効性を検証することを目的とする
- イメールを開いてしまった従業員は、懲戒処分の対象とすることが最も効果的な再発防止策である
- ウ訓練を一度実施して全員が合格した場合、その後は訓練を継続する必要はない
- エ効果測定は、メールの開封率のみで判断すればよく、報告率は重要ではない
標的型攻撃メール訓練は、従業員の気付き(不審なメールを開かない)と、報告フロー(気付いた場合に適切に報告する行動)の実効性を検証・向上させることを目的とします。
イのように懲戒処分を前提にすると、従業員が「開いてしまったことを隠す」インセンティブを生み、結果的に報告率が下がり、訓練の効果を損ないます。エのように開封率のみで判断するのも誤りです。
標的型攻撃メール訓練の評価指標は「開封率」と「報告率」の両方です。懲戒よりも、心理的安全性を確保した報告しやすい文化づくりが効果的とされます。
📄 ケース
某社では、年1回標的型攻撃メール訓練を実施しており、過去3年間、開封率はおおむね20%前後で改善が見られなかった。一方で、不審なメールを受け取った際に情報システム部門へ報告した従業員の割合(報告率)は、年々低下していることが分かった。原因を調査したところ、過去に訓練メールを開いてしまった従業員の一部が、上司から厳しく注意されたことをきっかけに、その後は「開いてしまっても黙っておく」という行動を取るようになっていたことが判明した。
設問:この状況を改善するために、今後の訓練運用において見直すべき方針を、その理由も含めて40字以内で述べよ。
「開封してしまった従業員を非難せず、報告すること自体を評価・歓迎する文化を醸成する方針に見直す」
懲戒的・非難的な対応は、従業員が「失敗を隠す」インセンティブを生み、結果として報告率の低下という、訓練の本来の目的に反する結果を招いています。
「訓練の頻度を増やす」「罰則を強化する」は、この事例の根本原因(報告への心理的ハードル)に対応しておらず、むしろ逆効果になりうります。「非難しない文化」「報告を評価する」というキーワードが採点上の核心です。
セキュリティ教育・訓練の効果は、技術的な仕組みだけでなく組織文化に大きく依存します。「ミスを罰する文化」は早期報告を阻害し、結果的にインシデント対応の遅れにつながる、という人的要因の重要性は午後試験でも繰り返し問われるテーマです。
コメント