【FE科目B対策】基本情報技術者H30秋セキュリティの解説

※以下は、＞＞【FE科目B対策】基本情報技術者R01秋セキュリティの解説＜＜ と同じ文章です。リピータの読者さんは目次まで飛ばして大丈夫です

---

基本情報技術者試験の科目Bは、大きく変わって、セキュリティとアルゴリズムだけになりました。

問題は小問形式になり正直易しくなりましたが、問題は、科目Bの過去問は非公開なこと。

まずは無料公開されている昔の午後問題（現：科目B）で無料で対策を始める方が多いでしょう。

私が勤めているIT専門学校でも、資格対策授業に大きな変化はありません。まずは、午後問題を解いて力を付けます。

どうせ応用情報技術者では午後問題に直面しますから、無駄になりませんからね。

このNoteでは、授業での解説をベースに書きました。書籍の解説とは違って、一緒に読んで解いていきますし、解くためのコツや学ぶべき追加知識も書いています。

「短い解説では良く分からなかった」「正解だけでなく、どう解いていくかが知りたい」方には、特に学習効果が期待できます。

ぜひ少しでも参考にして頂ければ、嬉しいです。

---

過去問は自分で持っておいてくださいね。
＞＞公式の問題pdfへのリンク＜＜
＞＞公式の解答pdfへのリンク＜＜

---

解説 | 今回の問題は「知識」＞「考える」

今回は単純に「知識が問われる」問題でした。セキュリティやネットワークの仕組みを「考える」問題ではなかったです。

知らなければ正解できなくて当然です。

まずは7ページの下線①まで読んでいきます。

---

読み：6ページ序盤 | 必ず最初にチェックする2点

6ページ上部で分かること。

• Webサーバ（Webアプリが動く）は、DMZにある

• DBサーバは、社内LANにある

• 社内LANの保守PCで、DMZのWebサーバを管理

• 利用者はWebブラウザを使いインターネット経由でHTTPSでWebサーバにアクセスする

特段問題点はありません。

私が最初にチェックするポイントは、

• WebサーバがDMZにあるか・・・外からも内からもアクセスするので

• DBサーバや共有サーバが社内LANにあるか・・・大事なデータがあるので

以上2点を外してきた場合、必ずテーマになるはずです。

---

読み：6ページ中盤 | 一瞬で良いので重箱の隅をつつく

次は6ページ中盤以降。

• 利用者はカタログ請求ができる

• メアドとパスワードでログインできる

• 個人情報はDBサーバに保管（氏名などなど。パスワードはハッシュ値を保管）

• 利用者から消去要求があったら消去する

特段問題はなさそうですが、セキュリティは「石橋を叩く思考」が重要。「どうやったら悪いことができるか」を重箱の隅をつついでも一瞬考えましょう。

例えば、メアドを忘れた時の手続きを悪用して「なりすまし」はできないか？利用者から消去要求がないからと言って10年残して良いのか？など。

ほんの一瞬で良いので「なにか悪用できないか」「なにか困ったことは起こらないか」を考えます。

もし、ツッコミ所があれば問われるからです。むしろ問われなければ「え？あの問題点を見過ごしてるけど良かったの？」と問題にツッコムぐらい。情報安全確保支援士（セキュスペ）を目指すなら、ゆくゆくはそうなって下さいね。当たると「キタキタキター」と気持ち良いですよ。

---

コツ：セキュリティは疑う心が大事

では、一瞬。重箱の隅をつついででも難癖つけていきましょう。

まず、パスワードがハッシュ値保管されているのはOKです。利用者側でパスワードをハッシュ化して送信して確認して認証します。インターネットの通信ではハッシュ値で送られるため、盗聴されてもパスワード自体は漏れません。

次、「利用者から消去要求があったときにだけ消去する」の「にだけ」の言い回しが引っ掛かります。

セキュリティの問題では「～だけ」「～あり得ない」「～に関わらず」は「怪しい言葉」なんです。