FUNDAMENTAL INFORMATION TECHNOLOGY ENGINEER
基本情報技術者の問題解説:B社の社内文書管理システムでは、一般社員が文書のダウンロード…
問題
B社の社内文書管理システムでは、一般社員が文書のダウンロードURLを直接入力すると、役職者だけが閲覧できるはずの人事評価文書もダウンロードできてしまうことが分かった。画面のメニューには一般社員向けに評価文書へのリンクが表示されていないだけで、URLを知っていればサーバはファイルを返していた。担当者が対策を検討する。
対策として、最も適切なものはどれか。
- ア サーバ側で、ダウンロード要求のたびに利用者の権限を確認し、権限がなければ拒否する。(正解)
- イ メニューから評価文書のリンクを完全に削除する。
- ウ ダウンロードURLをより長い文字列に変更する。
- エ 評価文書のファイル名を日本語からローマ字に変える。
- オ 一般社員にシステムの利用マニュアルを配布する。
正解と解説
正解:サーバ側で、ダウンロード要求のたびに利用者の権限を確認し、権限がなければ拒否する。
状況の整理:メニューにリンクを出していないだけで、URLを直接たたけば権限のない文書が手に入ります。表示制御だけで、サーバ側の権限確認がない認可不備です。
なぜアか:ダウンロード要求ごとにサーバ側で権限を確認すれば、URLを知っていても権限のない利用者には返しません。画面の見せ方ではなくサーバ側の制御が要点です。
誤答の理由:イ(リンク削除)は表示を消すだけでURL直打ちは防げません。ウ(URLを長く)・エ(ファイル名変更)は隠蔽に過ぎず、漏れれば突破されます。オ(マニュアル)は無関係です。
読み解きのコツ:「リンクを出していないだけ」「URLを知っていれば取れる」は認可不備です。サーバ側の権限チェックを選びましょう。
他の選択肢はなぜ違う?
- イメニューからリンクを消しても、URL直接入力で取得できる。
- ウURLを長くするのは難読化で、権限確認の代わりにならない。
- エファイル名の表記は無関係。
- オマニュアルの配布は認可不備を直さない。
この問題について
公開問題・サンプル問題のセキュリティ事例形式(A社シナリオ+もっともらしい誤答)を参考にした独自問題です。本文・選択肢・解説は新規作成しています。
公式試験問題、公開問題、市販教材、外部問題サイトの問題文を転載・改題したものではありません。