この記事は約8分で読めます。
筆者プロフィール: ソフトウェアエンジニア。「知った気にならない。いつまでも学び続ける」を信条に、業務と個人開発の両輪で技術を磨いています。AI 駆動開発で複数の個人開発アプリを構築・運用中。
👉 ポートフォリオ: 筆者ホームページ
生成AIに「中学生にもわかりやすいように解説して!」と頼んだら、とても読みやすい記事ができました。情報処理安全確保支援士試験の不正解・未回答の問題を、やさしい解説付きでまとめています。
学習の背景
2026年秋の 情報処理安全確保支援士 試験合格を目指して、現在学習中です。本記事は、学習過程で遭遇した過去問の中から、つまずいた問題・未回答だった問題を整理し、生成AIに「中学生にもわかりやすく」解説してもらった内容をまとめたものです。
学習全体の進め方・学習記録・他分野の解説記事は、以下のまとめ記事で随時更新しています。
問1: 令和3年春期 問6(セキュリティ)
問題文: ステートフルパケットインスペクション方式のファイアウォールの特徴はどれか。
選択肢:
- ア: Webクライアントとクライアント間に配置され,リバースプロキシとして動作する方式であり,通信を中継する際に受け付けたパケットの不正なデータを検査する。
- イ: アプリケーションプロトコルごとにプロキシソフトウェアを用意する方式であり,通信を中継する際に不正なデータの有無を検査する。
- ウ: 特定のアプリケーションプロトコルだけを通す方式であり,コネクション要求を受け付け,改めてサーバにコネクション要求することでアクセスを制御する。
- エ: パケットフィルタリングの拡張方式であり,過去のパケットからセッションを認識し,状態に照らし合わせて通過させるか遮断するかを判断する。
正解: エ
やさしい解説:
この問題は問46(平成29年秋期問9)と同じテーマです。
ステートフルパケットインスペクション(SPI)は、通信の「状態」を記憶して、それに基づいて通信を許可するか拒否するかを判断するファイアウォールの方式です。
もう一度たとえで説明すると、普通のパケットフィルタリングは「入場者名簿に名前がある人だけ通す門番」です。でも、一度入った人が出るときのチェックや、入った人への返事かどうかは確認しません。
一方、ステートフルパケットインスペクションは「Aさんが中に入ったことを覚えている門番」です。外からBさんの返事が来たとき、「Aさんが先にBさんに手紙を送ったから、この返事は通してOK」と判断できます。逆に、誰にも聞かれていないのに勝手に来た通信はブロックします。
問2: 平成27年秋期 問3(セキュリティ)
問題文: ステートフルインスペクション方式のファイアウォールの特徴はどれか。
選択肢:
- ア: Webブラウザとサーバ間に配置されるリバースプロキシサーバとして動作し,通信内容の検査を行う方式
- イ: アプリケーションプロトコルごとにプロキシプログラムを用意し,通信中継時に不正データを検査する方式
- ウ: 特定プロトコルのみを通過させるゲートウェイソフトウェアで,コネクション要求を受け付けて目的サーバに改めて要求する方式
- エ: パケットフィルタリングを拡張した方式で,過去に通過したパケットから通信セッションを認識し,受け付けたパケットを通信セッションの状態に照らし合わせて通過させるか遮断させるかを判断する
正解: エ
やさしい解説:
ステートフルインスペクションは、「通信の流れ(状態)を覚えておいて判断する」賢いファイアウォールの方式です。
ホテルのフロントに例えると、普通のパケットフィルタリングは「予約リストに名前があるか」だけで判断します。一方、ステートフルインスペクションは「チェックインからチェックアウトまでの滞在状態」を管理し、「この人はさっきチェックインしたから部屋に入れてOK」「この人はチェックアウト済みだからもう入れない」と判断します。
- ア(間違い): リバースプロキシはWAFなどの説明です。
- イ(間違い): プロトコルごとのプロキシはアプリケーションゲートウェイの説明です。
- ウ(間違い): サーキットレベルゲートウェイの説明です。
- エ(正解): 通信セッションの状態を管理して判断するのがステートフルインスペクションです。
問3: 平成26年秋期 問17(セキュリティ)
問題文: サンドボックスの仕組みについて述べたものはどれか。
選択肢:
- ア: Webアプリケーションの脆弱性を悪用する攻撃に含まれる可能性が高い文字列を定義し,攻撃であると判定した場合には,その通信を遮断する。
- イ: 侵入者をおびき寄せるために本物そっくりのシステムを設置し,侵入者の挙動などを監視する。
- ウ: プログラムの影響がシステム全体に及ばないように,プログラムが実行できる機能やアクセスできるリソースを制限して動作させる。
- エ: プログラムのソースコードでSQL文の雛形の中に変数の場所を示す記号を置いた後,実際の値を割り当てる。
正解: ウ
やさしい解説:
サンドボックス(砂場)は、怪しいプログラムを「安全な囲いの中」で動かす仕組みです。子どもが砂場の中でだけ遊ぶように、プログラムも決められた範囲の中でしか動けないようにします。もしプログラムが悪さをしようとしても、砂場の外(システム全体)には影響が出ないようになっています。
- アが間違いの理由: これはWAF(Webアプリケーションファイアウォール)の説明です。
- イが間違いの理由: これはハニーポット(おとりシステム)の説明です。
- エが間違いの理由: これはプレースホルダ(SQLインジェクション対策)の説明です。
問4: 令和4年秋期 問11(セキュリティ)
問題文: クリックジャッキング攻撃に有効な対策はどれか。
選択肢:
- ア: cookieに,HttpOnly属性を設定する。
- イ: cookieに,Secure属性を設定する。
- ウ: HTTPレスポンスヘッダーに,Strict-Transport-Securityを設定する。
- エ: HTTPレスポンスヘッダーに,X-Frame-Optionsを設定する。
正解: エ
やさしい解説:
クリックジャッキング攻撃は、透明な罠のページを正規のページの上に重ねて、ユーザーに気づかないうちに罠のページをクリックさせる攻撃です。たとえるなら、「ここを押してください」というボタンの上に透明な「購入確定」ボタンを重ねるようなもので、押したつもりのないボタンを押されてしまいます。
X-Frame-Options(エックスフレームオプションズ)は、「このWebページを他のサイトのフレーム(枠の中)に埋め込むことを禁止する」という設定です。これにより、攻撃者が透明なフレームで正規サイトを重ねることができなくなります。
- アが間違いの理由: HttpOnly属性はJavaScriptからcookieを読み取れなくする設定で、XSS対策です。
- イが間違いの理由: Secure属性はHTTPS通信時のみcookieを送る設定で、盗聴対策です。
- ウが間違いの理由: Strict-Transport-Security(HSTS)はHTTPSの強制で、中間者攻撃対策です。
問5: 令和6年春期 問9(セキュリティ)
問題文: JVNなどの脆弱性対策ポータルサイトで採用されているCWEはどれか。
選択肢:
- ア: IT製品の脆弱性を評価する手法
- イ: 製品を識別するためのプラットフォーム名の一覧
- ウ: セキュリティに関連する設定項目を識別するための識別子
- エ: ソフトウェア及びハードウェアの脆弱性の種類の一覧
正解: エ
やさしい解説:
CWE(Common Weakness Enumeration=共通脆弱性タイプ一覧)は、ソフトウェアやハードウェアの「弱点の種類」を番号付きでまとめたリストです。
身近な例で言うと、病院で使われる「病気の分類リスト」のようなものです。「風邪」「骨折」「アレルギー」のように病気に名前と番号をつけて分類するのと同じように、CWEではセキュリティの弱点に「CWE-79: クロスサイトスクリプティング」「CWE-89: SQLインジェクション」のように分類番号をつけています。
- ア: これはCVSS(脆弱性の深刻度を点数で評価する仕組み)の説明です。
- イ: これはCPE(Common Platform Enumeration)の説明です。
- ウ: これはCCE(Common Configuration Enumeration)の説明です。
- エ(正解): CWEは脆弱性の「種類」を分類した一覧です。
問6: 平成21年秋期 問7(セキュリティ)
問題文: クロスサイトスクリプティングによる攻撃へのセキュリティ対策に該当するものはどれか。
選択肢:
- ア: OSのセキュリティパッチを適用することによって、Webサーバへの侵入を防止する。
- イ: Webアプリケーションがクライアントに入力データを表示する場合、データ内の特殊文字を無効にする処理を行う。
- ウ: WebサーバにSNMPエージェントを常駐稼動させることによって、攻撃を検知する。
- エ: 許容範囲を超えた大きさのデータの書込みを禁止し、Webサーバへの侵入を防止する。
正解: イ
やさしい解説:
クロスサイトスクリプティング(XSS)とは、Webサイトに悪意のあるスクリプト(プログラムコード)を埋め込む攻撃です。
-
イが正解の理由: XSS攻撃は、ユーザーが入力したデータの中に
<script>などの特殊文字(HTMLやJavaScriptとして動くコード)が含まれていると、それがそのまま画面に表示されて悪いプログラムが動いてしまうものです。対策は、これらの特殊文字を「ただの文字」に変換する(エスケープ処理、サニタイジングと呼びます)ことです。たとえるなら、手紙に書かれた「呪文」を読み上げる前に、呪文の効力をなくすようなものです。 - アが間違いの理由: OSのパッチ適用はOS自体の脆弱性対策であり、Webアプリケーションの問題であるXSSの対策にはなりません。
- ウが間違いの理由: SNMP(ネットワーク管理プロトコル)はネットワーク機器の監視に使うもので、XSS攻撃の検知には適していません。
- エが間違いの理由: これはバッファオーバーフロー攻撃の対策であり、XSSの対策ではありません。
問7: 平成26年春期 問14(セキュリティ)
問題文: JVN(Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCWE(Common Weakness Enumeration)はどれか。
選択肢:
- ア: 基本評価基準,現状評価基準,環境評価基準の三つの基準でIT製品の脆弱性を評価する手法
- イ: 製品を識別するためのプラットフォーム名の一覧
- ウ: セキュリティに関連する設定項目を識別するための識別子
- エ: ソフトウェアの脆弱性の種類の一覧
正解: エ
やさしい解説:
CWE(Common Weakness Enumeration)は、ソフトウェアの弱点(脆弱性)を種類ごとに分類した「辞書」のようなものです。
- エが正解の理由: CWEは、米国のMITRE(マイター)という組織が作った「ソフトウェアの弱点の種類一覧表」です。たとえば「CWE-79: クロスサイトスクリプティング」「CWE-89: SQLインジェクション」のように、弱点の種類ごとに番号と名前が付けられています。たとえるなら、病気の種類を番号で分類した「病気カタログ」のようなものです。
- アが間違いの理由: これはCVSS(Common Vulnerability Scoring System/共通脆弱性評価システム)の説明です。脆弱性の深刻さを点数で評価します。
- イが間違いの理由: これはCPE(Common Platform Enumeration/共通プラットフォーム一覧)の説明です。
- ウが間違いの理由: これはCCE(Common Configuration Enumeration/共通セキュリティ設定一覧)の説明です。