FUNDAMENTAL INFORMATION TECHNOLOGY ENGINEER
基本情報技術者の問題解説:B社では、社内システムと外部のデータ連携先との間で、APIを…
問題
B社では、社内システムと外部のデータ連携先との間で、APIを通じて顧客データをやり取りしている。この通信は暗号化されておらず、途中の経路で通信内容を傍受されると顧客データが漏れるおそれがあると指摘された。また、接続先が本当に正規のデータ連携先かを確認していない点も問題とされた。担当者が通信の安全性を高める。
対策として、最も適切なものはどれか。
- ア 通信をTLSで暗号化し、サーバ証明書の検証を有効にして接続先の正当性も確認する。(正解)
- イ APIで送るデータの項目名を短くする。
- ウ 通信に使うポート番号を大きい数字に変える。
- エ 顧客データの送信を平日昼間だけにする。
- オ 連携先の会社名をメモに残しておく。
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目B範囲
正解と解説
正解:通信をTLSで暗号化し、サーバ証明書の検証を有効にして接続先の正当性も確認する。
状況の整理:暗号化されていない通信(盗聴リスク)と、接続先の正当性未確認(なりすまし先へ送るリスク)の二つが問題です。
なぜアか:TLSで暗号化すれば傍受されても内容を読めず、証明書検証で接続先が正規かを確認できます。指摘された両方に対応できます。
誤答の理由:イ(項目名短縮)・ウ(ポート変更)・エ(時間帯制限)・オ(社名メモ)は、暗号化と接続先検証という核心に無関係です。ウは隠蔽にすぎません。
読み解きのコツ:盗聴+なりすまし先への送信が論点なら、TLS暗号化+証明書検証をセットで選びましょう。
他の選択肢はなぜ違う?
- イ項目名を短くしても通信は平文のまま。
- ウポート番号を変えても傍受は防げない。
- エ送信時間帯の限定は盗聴対策にならない。
- オ会社名のメモは接続先の検証にならない。
この問題について
公開問題・サンプル問題のセキュリティ事例形式(A社シナリオ+もっともらしい誤答)を参考にした独自問題です。本文・選択肢・解説は新規作成しています。
公式試験問題、公開問題、市販教材、外部問題サイトの問題文を転載・改題したものではありません。