R6秋 問4

【引用】
IPA「令和6年度 秋期 情報処理安全確保支援士試験 午後 問題冊子」
https://www.ipa.go.jp/shiken/mondai-kaiotu/index.html

設問1 図4中の2章について答えよ。

(1)表A中及び2.2.1(2)中の[  a  ]に入れる適切な記号を、図3中の画面遷移の記号(ア)~(ナ)から選び、答えよ。

(2)図A中の[  b  ]に入れる適切なURLを、表1から選び答えよ。

https://test.△△△.jp/

(3)図A中の[  c  ]に入れる適切な操作を答えよ。

メール受信者によるログイン

(4)2.2.1(2)中の[  d  ]に入れる適切な修正方法を具体的に答えよ。

使用済みのsessionIDを無効にした上で、新しいsessionIDを発行

(5)表D中の[  e  ]、[  f  ]に入れる適切な効果を答えよ。

Mサイトへの接続をHTTPSに強制することができる。
Mサイトのコンテンツに対して、Content-Typeヘッダーで指定したMIMEタイプを強制的に適用することができる。

設問2 図4中の4章にある図D中の[  g  ]、[  h  ]に入れる攻撃手順を答えよ。

画面09で、会社名に、図Cのabc@example.comを攻撃者のメールアドレスに変更した文字列を入力して変更ボタンをクリックする。
画面04からの一連の操作において、画面05又は画面07で再設定後のパスワードを入力して、WebAPIキーを確認又は発行する。

設問3 あなたがこの診断を担当したとして、図4中の5章の表F中の[  i  ]、[  j  ]及び表G中の[  k  ]、[  l  ]に記述する内容を答えよ。なお、複数の改善の方針案がある場合は、被害を防ぐ効果が最も高いものを答えよ。


i:求職者IDが推測困難なものになるように、求職者IDの生成方法を変更する。
j:APIkeyが窃取された場合、当該求人企業への問合せ又は応募をした求職者の情報漏えいだけに被害を軽減することができるから


i:WebAPIのアクセス元IPアドレスを限定して接続を許可するように変更する。
j:WebAPIへの第三者による不正なアクセスを防ぐことができるから


i:WebAPIで取得できる求職者属性情報は、個人を特定できないものだけに限定するように変更する。
j:不正にWebAPIが利用されても、個人を特定できない情報の漏えいだけに被害を軽減することができるから

k:ログインの認証を、多要素認証に変更する。
l:アカウントの乗っ取りを防ぐことができるから


k:利用者ごとにアクセス元IPアドレスを限定して接続を許可するように変更する。
l:第三者による不正なアクセスを防ぐことができるから


k:求人企業プロパティ変更において、メールアドレス以外を変更した場合でも、メールを送信するように変更する。
l:不正に求人企業プロパティが変更された場合に気づくことができるから
TOPへ