本文へスキップ

FUNDAMENTAL INFORMATION TECHNOLOGY ENGINEER

基本情報技術者の問題解説:A社の文書管理システムでは、文書IDを指定するとPDFをダウ…

情報セキュリティ 難しい fe_b_v89_sec_007

問題

A社の文書管理システムでは、文書IDを指定するとPDFをダウンロードできる。ログイン済みかどうかは確認しているが、その文書を閲覧できる部署・役職かどうかは画面のメニュー表示だけで制御していた。利用者がURLの文書IDを変更すると、他部署の文書を取得できた。

対策として、最も適切なものはどれか。

  1. 文書IDを長いランダム文字列に変更し、サーバ側の権限確認は省略する。
  2. メニューに表示しなければ十分である。
  3. PDFを返すAPIごとに、ログイン利用者が対象文書を閲覧できる権限を持つかサーバ側で確認する。(正解)
  4. 文書一覧画面の検索欄を削除する。
  5. PDFファイル名に部署名を入れない。
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目B範囲

正解と解説

正解:PDFを返すAPIごとに、ログイン利用者が対象文書を閲覧できる権限を持つかサーバ側で確認する。

認証済みであることと、対象文書を閲覧してよいことは別です。URLやAPIを直接呼ばれても防げるよう、サーバ側でオブジェクト単位の認可確認を行う必要があります。

IDを推測しにくくするだけでは、権限確認の代わりにはなりません。

Hardでの見抜き方:ログイン確認は認証であり、対象データを見てよいかは認可です。メニュー非表示やID難読化は直接API呼出しを防げないため、サーバ側のオブジェクト単位認可が必要になります。

追加の確認:一見有効そうな補助策と、原因を直接取り除く対策を区別しましょう。運用上の注意喚起や表示変更だけでは、攻撃経路や権限不備そのものは残るため、根本原因に対応する選択肢を選びます。

他の選択肢はなぜ違う?

  • IDをランダム化しても、権限確認を省けば直接API呼出しで取得され得る。
  • メニュー非表示はURL直打ちを防げない。
  • 検索欄の削除は認可の代わりにならない。
  • ファイル名から部署名を消しても、IDを変えれば取得できる。

この問題について

出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目B範囲

公開問題・サンプル問題のセキュリティ事例形式(A社シナリオ+もっともらしい誤答)を参考にした独自問題です。本文・選択肢・解説は新規作成しています。

公式試験問題、公開問題、市販教材、外部問題サイトの問題文を転載・改題したものではありません。

参考範囲: 2026年度現行科目B・シラバスVer.9.x参考

参考文献・出典(公式情報)

RELATED

関連問題