基本情報処理技術者平成15年秋期問72
インターネット利用のセキュリティに関する記述のうち、適切なも
のは、どれか。
ア インターネットを経由して社内電子メールシステムを社外と接
続する場合、ファイアウォールを導入すれば、社内からの重要な
情報の流出は自動的に防止できる。
イ インターネットを経由してデータベースサーバを利用させる場
合、データベースヘの不正アクセスやデータの改ざんを防止する
対策が必要となる。
ウ インターネットを利用して電子メールを送信する場合、暗号化
を行えば電子メールの到達確認ができる。
エ インターネットを利用するには、利用者認証システムに登録す
る必要がある。
解答
イ インターネットを経由してデータベースサーバを利用させる場
合、データベースヘの不正アクセスやデータの改ざんを防止する
対策が必要となる。
インターネットを経由して社内のデータベースサーバを利用する場
合、不正アクセスという脅威に対して、対策が取られていなければ
なりません。
ファイアウォールで必要最小限の通信に留め、データベースの利用
者を限定し、アクセス権を付与したり、IDS(侵入検知システム)を
導入して不正アクセスやデータの改ざんがないかどうかをチェック
する必要があります。
◇IDS(侵入検知システム) とは。。。
Intrusion Detection System「侵入検知システム」
攻撃者(クラッカー)による不正侵入や攻撃をシグネチャと呼ば
れるパターンファイルに基づいて検出します。
IDSにはネットワーク型IDS(NIDS)とホスト型IDS(HIDS)があり
ます。現在は、シグネチャによる検出だけでなく、RFCなどで規定
されている本来のプロトコルの動きと実トラフィックの振る舞い
を比較し、攻撃を識別する製品もあります。
・ネットワーク型IDS
ネットワーク毎に設置し、ネットワークの通信を監視します。
通信内容を解析し、疑わしい通信を検出します。
・ホスト型IDS
ホスト(WEBサーバなど)毎にインストールして、ファイル
アクセスやログファイルなどを監視します。疑わしいファイル
アクセスやログ情報を検出します。
> ア インターネットを経由して社内電子メールシステムを社外と接
> 続する場合、ファイアウォールを導入すれば、社内からの重要な
> 情報の流出は自動的に防止できる。
ファイアウォールを導入したからといって、社内の重要な情報の流
出を防止できるわけではありません。
ファイアウォールにより必要なサービスだけを通過させるようにす
るために、通過ルール(ACL)を設定しなければなりません。
たとえ、正しくACLが設定されていたとしてもセキュリティホールな
どが存在した場合、防御することはできません。
また、社内から外部への通信もACLに則った通信である場合、情報の
流出は防ぐことはできません。
> ウ インターネットを利用して電子メールを送信する場合、暗号化
> を行えば電子メールの到達確認ができる。
電子メールを暗号化することにより、機密性の確保を図ることがで
きますが、電子メールが相手に到達したかどうかを確認することは
できません。
> エ インターネットを利用するには、利用者認証システムに登録す
> る必要がある。
利用者認証システムを利用することにより、ユーザの通信ログなど
取得することができますが、必ずしも登録する必要があるわけでは
ありません。
のは、どれか。
ア インターネットを経由して社内電子メールシステムを社外と接
続する場合、ファイアウォールを導入すれば、社内からの重要な
情報の流出は自動的に防止できる。
イ インターネットを経由してデータベースサーバを利用させる場
合、データベースヘの不正アクセスやデータの改ざんを防止する
対策が必要となる。
ウ インターネットを利用して電子メールを送信する場合、暗号化
を行えば電子メールの到達確認ができる。
エ インターネットを利用するには、利用者認証システムに登録す
る必要がある。
解説
難易度 ★解答
イ インターネットを経由してデータベースサーバを利用させる場
合、データベースヘの不正アクセスやデータの改ざんを防止する
対策が必要となる。
インターネットを経由して社内のデータベースサーバを利用する場
合、不正アクセスという脅威に対して、対策が取られていなければ
なりません。
ファイアウォールで必要最小限の通信に留め、データベースの利用
者を限定し、アクセス権を付与したり、IDS(侵入検知システム)を
導入して不正アクセスやデータの改ざんがないかどうかをチェック
する必要があります。
◇IDS(侵入検知システム) とは。。。
Intrusion Detection System「侵入検知システム」
攻撃者(クラッカー)による不正侵入や攻撃をシグネチャと呼ば
れるパターンファイルに基づいて検出します。
IDSにはネットワーク型IDS(NIDS)とホスト型IDS(HIDS)があり
ます。現在は、シグネチャによる検出だけでなく、RFCなどで規定
されている本来のプロトコルの動きと実トラフィックの振る舞い
を比較し、攻撃を識別する製品もあります。
・ネットワーク型IDS
ネットワーク毎に設置し、ネットワークの通信を監視します。
通信内容を解析し、疑わしい通信を検出します。
・ホスト型IDS
ホスト(WEBサーバなど)毎にインストールして、ファイル
アクセスやログファイルなどを監視します。疑わしいファイル
アクセスやログ情報を検出します。
> ア インターネットを経由して社内電子メールシステムを社外と接
> 続する場合、ファイアウォールを導入すれば、社内からの重要な
> 情報の流出は自動的に防止できる。
ファイアウォールを導入したからといって、社内の重要な情報の流
出を防止できるわけではありません。
ファイアウォールにより必要なサービスだけを通過させるようにす
るために、通過ルール(ACL)を設定しなければなりません。
たとえ、正しくACLが設定されていたとしてもセキュリティホールな
どが存在した場合、防御することはできません。
また、社内から外部への通信もACLに則った通信である場合、情報の
流出は防ぐことはできません。
> ウ インターネットを利用して電子メールを送信する場合、暗号化
> を行えば電子メールの到達確認ができる。
電子メールを暗号化することにより、機密性の確保を図ることがで
きますが、電子メールが相手に到達したかどうかを確認することは
できません。
> エ インターネットを利用するには、利用者認証システムに登録す
> る必要がある。
利用者認証システムを利用することにより、ユーザの通信ログなど
取得することができますが、必ずしも登録する必要があるわけでは
ありません。