平成２８年度 春期 応用情報技術者試験 午後問１過去問題解説

この動画では、平成28年度春期 応用情報技術者試験 午後問1に出題された情報セキュリティ分野の問題を扱います。本問は、K社が運営する書籍販売サイトを対象とした侵入テストにおいて明らかになった脆弱性と、その改善策を総合的に検討するという実務寄りのシナリオで構成されており、Webシステムのセキュリティ設計と運用の双方を深く理解しているかを問う良問です。最近のサイバー攻撃に共通する本質を把握しながら、侵入テストで明らかになった脆弱性がどのように攻撃へと結びつくのか、そして試験で問われる改善策の根拠をどのように読み解くべきかを丁寧に解説していきます。

まず重要なのは、本問が「Webサーバ」「ファイアウォール」「内部ネットワーク」「Webアプリケーション」という複数のレイヤにまたがる攻撃シナリオを扱っている点です。単一レイヤの脆弱性のみではなく、複数の弱点が連鎖して深刻な被害につながるという、セキュリティ対策の全体最適を問う典型的な出題構造になっています。午後Ⅰでは、このような多層防御（Defense in Depth）を前提にした読解が求められるため、設問文の意図を正確に読み取りながら、攻撃者の視点とシステム管理者の視点を切り替えて理解することが合格の鍵となります。

侵入テストの結果として明らかになった最初の脆弱性は、Webサーバに対する構成情報の探索行為です。攻撃者は、OS や Web サーバソフトウェアのバージョン情報、公開されているディレクトリ構成、エラーメッセージの内容などからシステム内部の特徴を推定し、未適用パッチや設定不備といった脆弱性を突く足掛かりを得ようとします。こうした情報は本来外部へ漏れるべきではなく、エラーメッセージのカスタマイズや不要なディレクトリへのアクセス制限など、基本的な設定の徹底によって容易に防ぐことができます。本問でも、攻撃者が得た構成情報が内部侵入の足掛かりとなる可能性が示されており、運用設計段階における対策の不足が明確になっています。

次に深刻な指摘として挙げられているのが、内部ネットワークへの侵入の可能性です。Web サーバが DMZ に配置されている場合でも、ファイアウォールの設定や中間サーバの構成が適切でなければ、攻撃者に内部ネットワーク側のサーバへ接続されてしまう可能性があります。Web サーバが突破されると内部ネットワークの端末を踏み台として悪用され、他システムへ攻撃が拡大するだけでなく、不正操作、情報漏えい、改ざんといった被害が連鎖的に発生しかねません。本問のシナリオでは「踏み台にされるリスク」が強調されており、Web サーバが攻撃者の視点からどれほど重要な侵入ポイントであるかを理解することが重要です。

さらに、Web アプリケーション自身が持つ脆弱性も重大な問題として扱われています。本問では、不正入力により管理者権限を奪取される可能性のある SQL インジェクション、バッファオーバーフローといった典型的な脆弱性の存在が示されています。これらはプログラムの入力値に対するチェック不足が原因であり、適切なエスケープ処理や入力値検証、文字列長チェックといった基本的なコーディング対策を徹底することで防止できます。特に SQL インジェクションは、データベースから個人情報が流出する深刻な事故につながるため、IPA が毎年のように重要性を指摘している攻撃手法です。本問でも SQL 文に混入する特殊文字を無害化するエスケープ処理の必要性が問われており、Web 開発者が理解しておくべき基本が試されています。

こうした脆弱性を改善するために必要な対策として、まず通信の暗号化が挙げられます。顧客との通信を保護するために利用する暗号化プロトコルとしては、TLS（Transport Layer Security）が選択されるべきであり、HTTP over TLS（HTTPS）が標準的な方法です。暗号化されていない通信では、ID やパスワードなどの重要情報が盗聴されるリスクがあり、近年の情報セキュリティにおいて必須の対応です。本問では、TLS が適切である理由を、プロトコルの特徴や利用場面と関連付けて説明する力が求められています。

また、ポートスキャンへの対策も重要な改善項目として扱われています。攻撃者はサーバ上で稼働しているサービスを把握するためにポートスキャンを行い、空いているポートを通じて侵入を試みます。そのため、不要なポートはすべて閉じ、外部に公開するサービスは最小限に留めることが基本です。ファイアウォールのルール設定とサーバ側のサービス管理が一貫していなければ、意図せず開放されているポートが攻撃の入口となるため、複数のレイヤで構成管理を徹底する必要があります。

さらに、本問では WAF（Web Application Firewall）の導入効果についても取り上げられています。WAF は HTTP リクエストの異常やパターンを解析し、SQL インジェクションやクロスサイトスクリプティングといった攻撃を遮断する役割を持ちます。未知の脆弱性を狙うゼロデイ攻撃に対しても、通信内容の異常を検知することで防衛が可能となるため、Web アプリケーションの防御において非常に重要な要素です。WAF はネットワーク型・ホスト型など複数の方式がありますが、本問ではアプリケーションの安全性を補完する役割として適切に説明することが求められています。

監視と運用の観点では、ログ管理体制の強化が設問として問われています。ログは攻撃の発見、インシデント対応、原因調査の全てにおいて重要な証跡であり、適切に記録し、改ざんや削除を防ぎ、安全に保管する必要があります。本問では、ログ消去を防止する仕組みとして集中管理が挙げられ、またサイバー攻撃を検知するために参照すべきログの種類や異常値の判定方法（設問4のア、ウ、オ）が問われています。ログの収集・分析・保存をどのように運用に組み込むかを理解することは、セキュリティ担当者として必須の知識です。

このように、本問は Web サーバの構成管理、アプリケーションの脆弱性対策、ネットワークの防御構造、暗号化通信、ログ管理など、情報セキュリティの多方面にわたる基礎と応用を総合的に扱う構成になっています。午後Ⅰの特徴でもある「文章構造と因果関係の読み取り」が非常に重要であり、攻撃者と防御側の動き、脆弱性と対策の対応関係を正確に把握することで、確実に得点できる問題です。

この動画では、侵入テストで明らかになった脆弱性がどのように攻撃へと発展するのか、どの対策がどの脆弱性に対応するのかを明確にしながら、IPA が求める情報セキュリティの考え方を丁寧に解説します。セキュリティ対策を単なる知識として覚えるのではなく、実務に即した背景と合わせて理解することで、本問を通じてセキュリティ設計の本質を学ぶことができます。午後問題の読解力を高めたい方や、情報セキュリティ分野を強化したい方にとって非常に有益な内容になっていますので、ぜひ最後までご覧ください。