本文へスキップ

FE SUBJECT B

情報セキュリティの問題一覧

基本情報技術者 科目Bの「情報セキュリティ」分野を、問題ごとの解説ページで確認できます。

OVERVIEW

情報セキュリティとは(学習のポイント)

「情報セキュリティ」は、情報資産を脅威から守るための基本的な考え方と、具体的な攻撃手法・対策を扱う分野です。多要素認証によるログインの強化、SQLインジェクション・クロスサイトスクリプティング(XSS)・CSRF・SSRFといったWebアプリケーションの脆弱性、セッション管理や認可(アクセス制御)の不備、パスワードの安全な保管、ランサムウェアや標的型メールへの備え、最小権限の原則やゼロトラストの考え方、インシデント対応や情報分類など、技術と運用の両面を広くカバーします。

基本情報技術者試験では、情報セキュリティは科目Bで重点的に問われる中心テーマです。本サイトの収録問題も、企業の具体的な場面(A社の事例)を読み、複数のもっともらしい選択肢の中から最も適切な、あるいは根本原因に対応した対策を選ぶ事例判断型が中心になっています。単なる用語の暗記ではなく、状況の中で原理を当てはめて考える力が求められます。

学習のコツは、それぞれの脅威について「何が弱点で、どの対策がその原因を直接断つのか」を結び付けて理解することです。WAFの導入や文字数制限、URLの秘匿といった補助策・対症療法と、パラメタ化クエリや認可確認のような根本対策を区別できるかが得点の分かれ目になります。一つの事例に複数の弱点が潜む問題もあるため、対策が漏れなく原因に対応しているかを丁寧に確認しましょう。

SUMMARY

出題数と難易度

掲載問題数 40問
標準 30問
難しい 10問

QUESTION LIST

問題一覧

クラウドサービスへの社外直接接続 A社は従業員300名の商社で、在宅勤務を進めるため、グループ… 標準 / fe_b_v89_sec_001 SQLインジェクション A社の管理画面では、担当者IDと期間を入力して売上明細を検索… 難しい / fe_b_v89_sec_002 XSS A社のFAQサイトでは、管理者が回答本文を登録し、利用者画面… 難しい / fe_b_v89_sec_003 CSRF A社の経費精算システムでは、ログイン済み利用者が承認ボタンを… 難しい / fe_b_v89_sec_004 SSRF A社の画像取得APIでは、利用者が指定したURLをサーバが取… 難しい / fe_b_v89_sec_005 セッション固定 A社の会員サイトでは、未ログイン状態で発行したセッションID… 難しい / fe_b_v89_sec_006 認可不備 A社の文書管理システムでは、文書IDを指定するとPDFをダウ… 難しい / fe_b_v89_sec_007 パスワード保管 A社の会員サイトでは、会員のパスワードをデータベースに平文(… 標準 / fe_b_v89_sec_008 ログの機密情報 A社のWebアプリは、障害調査をしやすくするため、利用者がフ… 標準 / fe_b_v89_sec_009 ランサムウェア A社はファイルサーバを毎晩バックアップしているが、バックアッ… 難しい / fe_b_v89_sec_010 標的型メール A社の経理担当者宛てに、取引先の担当者名をかたり「請求書を更… 標準 / fe_b_v89_sec_011 最小権限 A社の業務システムでは、全社員に管理者権限を含むすべての操作… 標準 / fe_b_v89_sec_012 脆弱性管理 A社が運用するWebサーバには、外部から悪用可能な既知の脆弱… 標準 / fe_b_v89_sec_013 WAF A社のWebアプリには、すぐには改修できない既知の脆弱性が複… 標準 / fe_b_v89_sec_014 通信の盗聴 A社の会員サイトは、ログインや個人情報の入力を含むのに、通信… 標準 / fe_b_v89_sec_015 ゼロトラスト A社では、社内LANに接続した端末からのアクセスは基本的に信… 難しい / fe_b_v89_sec_016 インシデント対応 A社の端末で、EDRが不審な外部通信と認証情報窃取の疑いを検… 難しい / fe_b_v89_sec_017 情報分類 A社では、社外秘の契約書から公開済みの製品カタログまで、あら… 標準 / fe_b_v89_sec_018 APIキー管理 A社の開発者が、外部決済サービスのAPIキーを含む設定ファイ… 難しい / fe_b_v89_sec_019 メールなりすまし A社のドメインをかたるなりすましメールが、A社の取引先に多数… 標準 / fe_b_v89_sec_020 クラウドサービスへの社外直接接続 B社は営業担当者が外出先のスマートフォンから、顧客管理Saa… 標準 / fe_b_v89_sec_021 SQLインジェクション B社の会員制サイトでは、ログイン処理で利用者が入力したIDと… 標準 / fe_b_v89_sec_022 XSS B社の問い合わせフォームでは、利用者が入力した氏名やコメント… 標準 / fe_b_v89_sec_023 CSRF B社の社内Webシステムでは、ログイン中の社員が「退会申請の… 標準 / fe_b_v89_sec_024 SSRF B社の業務システムには、外部サービスのAPIを呼び出して為替… 標準 / fe_b_v89_sec_025 セッション固定 B社のオンライン手続サイトでは、URLのパラメタにセッション… 標準 / fe_b_v89_sec_026 認可不備 B社の社内文書管理システムでは、一般社員が文書のダウンロード… 標準 / fe_b_v89_sec_027 パスワード保管 B社の社内システムでは、利用者のパスワードを共通の方式で暗号… 標準 / fe_b_v89_sec_028 ログの機密情報 B社のシステムでは、外部サービスとの通信内容をデバッグ用に詳… 標準 / fe_b_v89_sec_029 ランサムウェア B社では、重要データを1台の外付けディスクに1日1回だけ上書… 標準 / fe_b_v89_sec_030 標的型メール B社では、採用担当部署に「応募書類を送ります」という件名のメ… 標準 / fe_b_v89_sec_031 最小権限 B社では、臨時のデータ集計のために一時的に管理者権限を付与さ… 標準 / fe_b_v89_sec_032 脆弱性管理 B社では、業務で利用している外部製のソフトウェア部品(ライブ… 標準 / fe_b_v89_sec_033 WAF B社の公開Webサイトに対し、SQLインジェクションやXSS… 標準 / fe_b_v89_sec_034 通信の盗聴 B社では、社内システムと外部のデータ連携先との間で、APIを… 標準 / fe_b_v89_sec_035 ゼロトラスト B社では、VPNで社内ネットワークに入った端末は、その後は社… 標準 / fe_b_v89_sec_036 インシデント対応 B社のWebサーバから、深夜に大量の顧客データが外部へ送信さ… 標準 / fe_b_v89_sec_037 情報分類 B社では、個人情報を含む顧客名簿と、社外公開用のプレスリリー… 標準 / fe_b_v89_sec_038 APIキー管理 B社では、複数の開発者が共通の設定ファイルにデータベース接続… 標準 / fe_b_v89_sec_039 メールなりすまし B社では、自社をかたるフィッシングメールが顧客に送られ、偽サ… 標準 / fe_b_v89_sec_040