基本情報技術者試験「コードサイニング証明書」の問題
I社は、自社開発のソフトウェアをインターネットで配布している。利用者から『ダウンロードしたファイルが本物か、改ざんされていないか確かめたい』との要望がある。配布物の発行元と完全性を利用者が検証できるようにする手段として、最も適切なものはどれか。
ア発行元の秘密鍵で署名し、対応する証明書で利用者が検証できるようにする。
イ配布ページに『改ざんしていません』との運営者による文章での宣言を掲載する。
ウ配布ファイルをパスワード付きの圧縮形式にまとめて提供する。
エ配布ファイルのハッシュ値を同じ配布ページに併記しておく。
正解
ア.発行元の秘密鍵で署名し、対応する証明書で利用者が検証できるようにする。
利用者が『誰が作った本物か』と『改ざんされていないか』を検証したい要望には、コードサイニング証明書を用いた電子署名が適する。発行元の秘密鍵で署名し、対応する証明書で検証することで、発行元の正当性(真正性)と配布後に改ざんされていないこと(完全性)を利用者が同時に確認できる。
?選択肢ごとの解説
ア ○利用者が『誰が作った本物か』と『改ざんされていないか』を検証したい要望には、コードサイニング証明書を用いた電子署名が適する。発行元の秘密鍵で署名し、対応する証明書で検証することで、発行元の正当性(真正性)と配布後に改ざんされていないこと(完全性)を利用者が同時に確認できる。
イ ×運営者の宣言は作り手の主張に過ぎず、利用者が技術的に発行元や改ざんの有無を検証する手段を提供しないため要望に応えられない。
ウ ×パスワード付き圧縮は閲覧制限が目的で、発行元の特定や配布後の改ざん検知の機能はなく、真正性を保証しない。
エ ×ハッシュ値を同じページに併記しても、攻撃者がファイルとハッシュを共に差し替えられるため、発行元を保証できず真正性検証にならない。
✎くわしく
コードサイニングは電子署名をソフトウェア配布に応用したもので、署名鍵の正当性を認証局発行の証明書が裏付ける。利用者環境は署名を自動検証し、発行元不明や改ざん検知時に警告を出す。配布物の信頼の起点となる仕組みである。
✓本番での押さえどころ
試験のコツ
配布ソフトの発行元保証+改ざん検知には『コードサイニング証明書による電子署名』が正解。主張や圧縮では不可。
覚え方
コードサイニングは『作品に作者のサインと封印』。サインで作者、封印で未開封(未改ざん)を証明。
よくある誤り
宣言や圧縮、ハッシュ併記で安心させようとする。発行元を第三者が保証する署名でなければ真正性は保証できない。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0152