FUNDAMENTAL INFORMATION TECHNOLOGY ENGINEER
基本情報技術者の問題解説:CSRFへの対策として最も適切なものはどれか。
問題
CSRFへの対策として最も適切なものはどれか。
- ア DBの正規化を第1正規形に留める
- イ バックアップ媒体を遠隔地に保管する
- ウ 画像ファイルの解像度を下げる
- エ 推測困難なトークンをリクエストに付与して検証する(正解)
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目A範囲
正解と解説
正解:推測困難なトークンをリクエストに付与して検証する
考え方:これは「ログイン中の利用者を悪用する攻撃をどう防ぐか」を問う論点です。CSRFは、利用者がログイン中であることを悪用し、外部サイトから意図しない更新リクエストを送らせる攻撃です。対策としては、正規の画面で発行した推測困難なトークンをリクエストに付与し、サーバ側で一致を確認します。
誤答の理由:遠隔地バックアップは障害や災害への対策、画像解像度の変更は画像処理、DB正規化はデータ設計であり、いずれも外部サイトからの偽リクエストを防ぐものではありません。
注意点:XSSはスクリプトを実行させる攻撃、CSRFは本人の権限で勝手にリクエストを送らせる攻撃です。対策も、XSSは出力エスケープ、CSRFはトークン検証と整理して覚えておくと迷いません。
他の選択肢はなぜ違う?
- ア正規化はDB設計の話。リクエストの正当性検証にはならない。
- イバックアップでは「本人になりすました不正リクエスト」は止められない。
- ウ画像の解像度はWeb攻撃対策と無関係。
この問題について
IPAが公開するシラバス・試験範囲・公開問題の出題形式を参考にした独自作成問題。公式問題・過去問題の転載ではありません。
公式試験問題、過去問題、公式サンプル問題、市販教材の問題文を転載したものではありません。