【挑戦者募集】Webセキュリティの基礎が学べるクイズ15問
唐突ですが、クイズがしたい! 急に高まるクイズ熱。せっかくブログがあるんだから、この場でクイズをしてしまえばいいのでは?と、軽率に公私混同するブログ担当のワタクシもちゃじ。学生時代、テスト前に友人と問題の出し合いっこしませんでした? 答えるのも作問するのも楽しいんですよね。
よし、やろう!
ということで、今回の記事ではWebセキュリティの「基本のき」のクイズを出題していきます。出題範囲は、もちゃじが執筆した記事(しらんがなの声は鈍感力でスルー)。楽しく学ぶ、もしくは復習していきましょう。
脆弱性編
Webセキュリティ診断といえば、脆弱性対策が重要ですね。まずはこの5問に挑戦してください。
選択肢の中から正解を一つ選んでください。
脆弱性編:問題
Q-1
Webアプリケーションの脆弱性を狙った攻撃の一つで、攻撃者がアプリケーションのデータベースへの命令文に不正なコードを挿入することで、データベースの内容を盗み出したり、改ざんしたりする攻撃は何?
(a)クロスサイトスクリプティング(XSS)
(b)SQLインジェクション
(c)クロスサイトリクエストフォージェリ(CSRF)
Q-2.
インジェクション攻撃にも分類される、攻撃者が不正なスクリプトをWebページに入力して、他のユーザーのブラウザでその不正なスクリプトを実行させる攻撃手法は何?
(a)クロスサイトスクリプティング(XSS)
(b)SQLインジェクション
(c)パストラバーサル攻撃
Q-3.
ログインしたユーザーからのリクエストを処理するWebサイトにおいて、第三者のサイトを介したリクエストを識別できない脆弱性があります。この脆弱性を悪用されると、ログインしたユーザーが、悪い人が用意したわなにより、意図しない操作を知らないうちに実行させられてしまう危険性があります。この脆弱性を何という?
(a)フィッシング
(b)ウイルス感染
(c)クロスサイトリクエストフォージェリ(CSRF)
Q-4.
悪い人が検索窓に「’ or ‘1’=’1」と入力して、データベースへ不正な命令を実行させようとした場合、SQLインジェクション攻撃を防ぐために有効な対策は?
(a)データベースのバックアップを頻繁にとることで攻撃に備える
(b)SQL文の組み立ては全てプレースホルダーで実装する
(c)SSL/TLSを使用して通信を暗号化する
Q-5.
開発者が想定していない方法でファイルを指定し、本来アクセスできないはずのファイルを閲覧しようとするパストラバーサル攻撃。その対策として効果的なのは?
(a)エスケープ処理を追加する
(b)強力なパスワードを設定する
(c)外部からのパラメータでWebサーバー内のファイル名を直接指定する実装を避ける
脆弱性編:答え
1問1点です。さて、何点取れたでしょうか?
Q-1:正解は(b)SQLインジェクション
Q-2:正解は(a)クロスサイトスクリプティング(XSS)
Q-3:正解は(c)クロスサイトリクエストフォージェリ(CSRF)
SQLインジェクション、XSS、CSRFについて、詳しくはこちらの記事でご確認ください。
Q-4:正解は(b)SQL文の組み立ては全てプレースホルダーで実装する
(a)の「データベースのバックアップを頻繁にとることで攻撃に備える」は、データの復旧には有効ですが、SQLインジェクションの直接的な防止にはなりません。
(c)の「SSL/TLSを使用して通信を暗号化する」は、データの安全な送信を保証するための対策で、SQLインジェクション攻撃自体を防ぐための対策ではありません。
SQLインジェクションについて、詳しくはこちらの記事でご確認ください。
Q-5:正解は(c)外部からのパラメータでWebサーバー内のファイル名を直接指定する実装を避ける
パストラバーサルについて、詳しくはこちらの記事でご確認ください。
診断手法編
続いて、診断手法編です。Webセキュリティ診断の方法について、5問出題します。
診断手法編:問題
Q-6
ブラックボックス診断とは?
(a)黒い箱に入ったツールを利用する診断手法
(b)内部構造を確認することなく、アプリケーションの脆弱性を調べる手法
(c)ペネトレーションテストのこと
Q-7
ツールによる診断のメリットに該当しないものは次のうちどれ?
(a)診断が高速である
(b)人間による検証が不要である
(c)多くのケースを網羅的にテストできる
Q-8
手作業によるセキュリティ診断では、サイト特性や仕様に起因する脆弱性、自動診断ツールでは見つけられない脆弱性を発見することができます。次のうち、自動診断ツールでは見つけられない脆弱性はどれ?
(a)クロスサイトスクリプティング(XSS)
(b)SQLインジェクション
(c)アクセス制御や認可制御の欠落
Q-9
Webアプリケーションの脆弱性を検査する際に、ローカルプロキシツールを利用する理由は何?
(a)通信内容を監視するため
(b)通信速度を向上させるため
(c)通信量を削減するため
Q-10
別名「ペンテスト」「擬似アタックテスト」と呼ばれるペネトレーションテストの主な目的はセキュリティレベルを向上させることですが、その「シナリオ」に含まれる要素は?
(a)ゴール、スコープ、テスト条件
(b)予算、期間、人員
(c)ハードウェア、ソフトウェア、ネットワーク
診断手法編:答え
こちらも1問1点です。
Q-6:正解は(b)内部構造を確認することなく、アプリケーションの脆弱性を調べる手法
ブラックボックス診断について、詳しくはこちらの記事でご確認ください。
Q-7:正解は(b)人間による検証が不要である
ツールによる診断は高速で多くのケースを網羅的にテストできますが、検出された脆弱性の結果を正確に判断するためには、診断員による検証が必要です。誤検出や偽陰性の可能性もあるため、最終的には人間の目で確認する必要があります。
ツールによる診断について、詳しくはこちらの記事でご確認ください。
Q-8:正解は(c)アクセス制御や認可制御の欠落
手作業による診断について、詳しくはこちらの記事でご確認ください。
Q-9:正解は(a)通信内容を監視するため
ローカルプロキシツールについて、詳しくはこちらの記事でご確認ください。
Q-10:正解は(a)ゴール、スコープ、テスト条件
ペネトレーションテストについて詳しくは、こちらの記事をご確認ください。
セキュリティ対策編
最後に、セキュリティ対策編です。具体的なセキュリティ対策について、うすうすお気付きかもしれませんが、こちらも5問出題します。選択肢四つの中から、一つ選んでください。
セキュリティ対策編:問題
Q-11.
悪い人に特に狙われやすいサイトの特徴に当てはまるものは?
(a)ゲーム攻略サイト
(b)ポイントがたまるサイト
(c)ニュースサイト
(d)コーポレートサイト
Q-12.
Webサイトのセキュリティ対策の一環として推奨されないものは?
(a)定期的なソフトウェアのアップデート
(b)強固なパスワードの使用
(c)サポートが終了したソフトウェアの利用
(d)アクセス制御の強化
Q-13.
Webセキュリティ診断の費用を抑えるための方法として推奨されていることは?
(a)診断対象範囲や診断方法を理解し、目的を明確にすること
(b)毎月定期的に全てのシステムを診断すること
(c)全ての診断項目を包括的に実施すること
(d)外部の診断会社に全てを任せること
Q-14.
2023年に公開された「ECサイト構築・運用セキュリティガイドライン」において、ECサイトの構築時と運用時に必要なセキュリティ対策として、2024年度末までに義務化の方針とされているものは?
(a)顧客データの暗号化
(b)パスワードの定期的な変更要求
(c)脆弱性診断の実施と対策
(d)定期的なシステム監視
Q-15.
「ECサイト構築・運用セキュリティガイドライン」の運用時の対策要件において、定期的な脆弱性診断の頻度はどれくらいが推奨されている?
(a)月に1回
(b)四半期に1回
(c)半年に1回
(d)年に1回
セキュリティ対策編:答え
こちらも、1問1点です。最初から全部1点て言えやの声が聞こえてくるような気もしますが、鈍感力で以下略。
Q-11:正解は(b)ポイントがたまるサイト
Q-12:正解は(c)サポートが終了したソフトウェアの利用
どんなWebサイトが狙われやすいのか、詳しくはこちらの記事をご覧ください。
Q-13:正解は(a)診断対象範囲や診断方法を理解し、目的を明確にすること
他にもWebセキュリティ診断をお得にする方法を知りたい方は、こちらの記事をご覧ください。
Q-14:正解は(c)脆弱性診断の実施と対策
Q-15:正解は(b)四半期に1回
運用時のセキュリティ対策要件では、プラットフォーム診断を四半期に一度、Webアプリケーション診断を変更時に行うことが推奨されています。
「ECサイト構築・運用セキュリティガイドライン」については、こちらの記事をご覧ください。
まとめ
Webセキュリティ診断の「基本のき」として、脆弱性編、診断手法編、セキュリティ対策編合わせて15問のクイズを出題しました。「ああそういえばそうだったな」と思い出したこともあれば、「基本のきでは物足りん」と感じた方もいるでしょう。このクイズを通して、Webセキュリティに関わる知識のアップデートの必要性やら、Webセキュリティの奥深さやらに思いをはせていただけたら幸いです。
で、どれくらい取れましたか?
もちゃじの独断と偏見では、
- 14〜15点:あなたは基礎をマスターしています。あなたにもちゃじは必要ありません
- 6〜13点:うんうん、オトモダチ。間違えたところはもちゃじ記事を読み返すのよ
- 0〜5点:よーし、もちゃじの記事を最初から読もうか。そして信頼できる有能な相棒(書籍だったり先輩だったり)を見つけて、基礎知識を増やしていこう
ふう、書き終えた
実は、今回の記事をもって、ワタクシもちゃじはブログ担当を卒業することになりました。今まで読んでくださった皆さま、ありがとうございました!の気持ちを込めて、総集編としてこれまで書いたもちゃじ記事からクイズを作りました。楽しさの中に一握の砂ならぬ知だか学だかが届けられたらいいな、なーんて(偉そうだな)。
「知力! 体力! 時の運!」なクイズに憧れたものの、できなかったのは、もちゃじの筆力のせいなのかWebセキュリティ知識のせいなのか……。うん、世の中にはつまびらかにしない上品さってあるよね。
ライター/もちゃじ
IT業界に縁なく秘書畑をさすらい、前職はインドで社長秘書。ほぼ日本語とパッションのみで乗り切ったずうずうしさはスキルの一つか。完全なインドア派ながらたまにふらりと旅に出る。行き場のない母性を持て余し、友人の犬を溺愛するもほえられる。体が硬く、インドでヨガティーチャーに笑われたことに深く傷つく一面も。
ITド素人の私がWebセキュリティについて学び、レベルアップしていく(予定です)様子をお届けします。学びを発信することで、少しでもWebセキュリティに関する「難しそう」というイメージが下がり、苦手意識のある方たちに届いたらうれしいです。