セキュリティ事故の対応に関する次の記述を読んで,設問1〜4に答えよ。
自転車用品の中堅通信販売会社のD社では,顧客からの注文を郵便及び電話で受け付けていた。 顧客へのサービスの拡大を目的として,インターネットを利用した会員制のサービスを開始することとした。
会社の紹介だけを掲載していた従来の Web サイトを改修し,Web サイトでの会員情報の 登録及び修正,会員に対する Web サイトでの商品の販売並びに会員向けのメールマガジン送付の登録を行う。
なお,Web サイトでの商品の販売における決済手段はクレジットカードだけとする。
改修後の Web サイトは,D社の DMZ 上に設置された Web サーバと,社内 LAN 内に 設置されたデータベースサーバで構成される。データベースサーバのデータは平文で保存しており, 会員情報の登録及び修正,商品の販売並びに会員向けのメールマガジン送付の登録を 行う際には,SSL によってネットワーク経路の暗号化を行う。
〔会員情報の登録〕
D社では,Web サイトで取得する個人情報の利用目的を,注文の受付,決済,商品の配送, 及びメールマガジンの送付に限定し,会員登録の希望者に対し,登録時に 利用目的を通知して同意を得ることとした。同意を得た会員に対しては,会員情報として次の 情報を登録してもらうこととした。
【全員に登録してもらう情報】
利用者 ID,パスワード,メールアドレス,メールマガジン送付の有無
【任意に登録してもらう情報】
性別,生年月日
【商品を購入する会員に登録してもらう情報】
氏名,配送先住所,電話番号,クレジットカードの発行会社名,
クレジットカード番号,クレジットカードの有効期限
〔セキュリティ事故の発生〕
複数の会員から,“D社のサービスに登録したメールアドレス宛てに迷惑メールが 大量に送られてくるようになった”との連絡がお客様相談窓口に入った。さらに, 連絡があった会員のうち数名については,迷惑メールの宛先メールアドレスはD社以外の サービスでは利用していないことが分かった。
この報告を受けてD社の情報システム部のY部長は,会員情報が漏えいしている可能性が あると判断した。また,会員情報として登録されているクレジットカード情報が 漏えいしていることも考えられると判断した。そこで, 情報システム部の Web サイト担当者Z氏に対し,Web サイトを停止して調査するよう指示した。
Z氏の調査の結果,D社の Web サイトにおいて,会員が利用者 ID とパスワードの 入力を行うログインの処理に不備があり,外部から SQL インジェクション攻撃を 受けていたことが判明した。
〔セキュリティ事故への対応〕
Z氏は,一般的な Web サイトにおけるセキュリティ事故に関して考えられる対策と 対応を調査し,今回のセキュリティ事故において会員と Web サイトに対して必要と 思われる対策と対応を表1にまとめて,Y部長に報告した。
| 対象 | 対策と対応 |
| 会員 |
@ 全ての会員に対する謝罪 A 事故の公表と被害状況の説明 B 会員への事故対応の依頼 |
| Web サイト |
C 被害状況の把握及び原因の特定 D SQL インジェクション攻撃を防ぐための Web サイトの改修 E Web サイトへのアクセスの常時監視 F ネットワークを介した攻撃によるネットワークアクセス負荷上昇に 対応するためのネットワーク回線の二量化 |
Y部長は,表1のFは実施を見合わせ,Z氏に@〜Eの実施を急がせるとともに, 更なる情報セキュリティ対策の実施を指示した。
設問1 今回受けた SQL インジェクション攻撃に関する記述として適切な答えを, 解答群の中から選べ。
解答群
イ 攻撃者が,D社の Web サイトの入力項目に対し,命令文を送り込むことによって, データベースを不正に操作した。
ウ 攻撃者がD社のデータベースの管理ツールを入手し,管理ツール経由で直接D社の データベースを不正に操作した。
エ 攻撃者がネットワーク上で情報の盗聴を行い,D社のデータベースの管理者の ID と パスワードを入手し,データベースを不正に操作した。
設問2 表1中のBに関して,今回のセキュリティ事故の対応として選切な答えを, 解答群の中から選べ。
解答群
イ 攻撃を受けた場合の被害を抑えるために,メールマガジン購読だけを利用する会員の 会員情報を格納したデータベースと商品の購入を行う会員の会員情報を 格納したデータベースとを分離し,商品の購入を行う会員だけには,利用者 ID 及び パスワードの変更を依頼する。
ウ 個人情報の目的外利用を避けるために,D社が取得する個人情報の利用目的に 事故の対応を追加し,同意を会員に依頼する。
エ クレジットカード情報が漏えいしている場合の不正利用を防止するために, 登録されたクレジットカードの停止及び番号変更の手続を会員に依頼する。
設問3 表1中のFに関して,Y部長が実施を見合わせた理由として適切な答えを, 解答群の中から選べ。
解答群
イ 稼働中のサービスの停止が必要であり,事業への影響が大きい。
ウ 今回の SQL インジェクション攻撃を防ぐ対策にならない。
エ セキュリティ事故発生時に攻撃者の侵入経路の特定に時間が掛かる。
設問4 Y部長は,Z氏に事故の再発防止のために更なる情報セキュリティ対策の 実施を指示した。次の記述中の
に入れる適切な答えを,
解答群の中から選べ。
〔 SQL インジェクション攻撃への追加対策〕
SQL インジェクション攻撃は,システム開発の際にセキュリティを考慮した
設計及び実装を行うことで回避できる。例えば, 
ことで,
アプリケーション開発時に脆(ぜい)弱性が作り込まれる可能性を減らすこととする。
〔会員情報に対するその他のセキュリティ対策〕
会員情報を格納したデータベースサーバへの不正アクセス対策として,
こととする。また,情報漏えいが発生した場合の原因の
分析や犯人の追跡を行うための証拠の確保には,
を行うこととする。
a に関する解答群
イ 開発用の端末と通常利用の端末を分離する
ウ 瑕疵(かし)の発生に備えた保険に加入する
エ 機密保持に関する誓約書を作成する
オ セキュアプログラミングのルールを作成する
カ 負荷分散装置を設置する
b に関する解答群
イ 会員情報を暗号化する
ウ 社内からのインターネット利用時にフィルタリングを実施する
エ 共有 ID を利用する
オ データベースサーバを RAID 構成にする
c に関する解答群
イ 外部記憶媒体の利用禁止を明文化
ウ 業界団体との連携によるセキュリティ事故情報の共有
エ 担当する業務に応じた情報セキュリティ教育の実施
オ 内部不正に対する罰則の強化
[←前の問題] [次の問題→] [問題一覧表] [分野別] [基本情報技術者試験TOP ]
