FUNDAMENTAL INFORMATION TECHNOLOGY ENGINEER
基本情報技術者の問題解説
問題
B社の社内文書管理システムでは,一般社員が文書のダウンロードURLを直接入力すると,役職者だけが閲覧できるはずの人事評価文書もダウンロードできてしまうことが分かった。画面のメニューには一般社員向けに評価文書へのリンクが表示されていないだけで,URLを知っていればサーバはファイルを返していた。担当者が対策を検討する。
対策として,最も適切なものはどれか。
- ア サーバ側で,ダウンロード要求のたびに利用者の権限を確認し,権限がなければ拒否する。
- イ メニューから評価文書のリンクを完全に削除する。
- ウ ダウンロードURLをより長い文字列に変更する。
- エ 評価文書のファイル名を日本語からローマ字に変える。
- オ 一般社員にシステムの利用マニュアルを配布する。
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目B範囲
正解と解説
正解:サーバ側で,ダウンロード要求のたびに利用者の権限を確認し,権限がなければ拒否する。
正解:ア
状況の整理:メニューにリンクを出していないだけで,URLを直接たたけば権限のない文書が手に入る。表示制御だけで,サーバ側の権限確認がない認可不備である。
なぜアか:ダウンロード要求ごとにサーバ側で権限を確認すれば,URLを知っていても権限のない利用者には返さない。画面の見せ方ではなくサーバ側の制御が要点。
誤答の理由:イ(リンク削除)は表示を消すだけでURL直打ちは防げない。ウ(URLを長く)・エ(ファイル名変更)は隠蔽に過ぎず,漏れれば突破される。オ(マニュアル)は無関係。
読み解きのコツ:「リンクを出していないだけ」「URLを知っていれば取れる」は認可不備。サーバ側の権限チェックを選ぶ。
この問題について
公開問題・サンプル問題のセキュリティ事例形式(A社シナリオ+もっともらしい誤答)を参考にした独自問題です。本文・選択肢・解説は新規作成しています。
公式試験問題、公開問題、市販教材、外部問題サイトの問題文を転載・改題したものではありません。