平成27年度 春期 ITパスポート試験 公開問題 問70 解説 Webブラウザのセキュリティ

セキュリティリスクを判断する根拠

この問題は、それぞれの行為が情報セキュリティの「機密性」「完全性」「可用性」を脅かすかどうかを判断する問題です。

• ①は、IDやパスワードをブラウザに保存すると、PCを物理的に盗まれたり、悪意のあるプログラムにブラウザの保存領域を読み取られたりした際に、認証情報が流出するリスクがあります。
• ②は、JavaScriptを無効にすると、Webサイト上の動的な機能が制限されますが、同時に悪意のあるスクリプトの実行も阻止できるため、攻撃の機会を減らすことにつながります。
• ③は、管理者権限でログインした状態でウイルスに感染すると、ウイルスがシステム設定を変更したり、他のユーザー情報を削除したりする高い権限を行使できるようになり、被害が甚大になります。 したがって、セキュリティリスクが軽減するのは②のみとなります。

なぜJavaScriptの無効化がリスク軽減になるのか

JavaScriptは、Webブラウザ上で複雑な処理や画面の書き換えを行うためのプログラム言語です。現代のWebサイトでは当たり前のように使われていますが、攻撃者はこのJavaScriptの仕組みを悪用します。

例えば「クロスサイトスクリプティング（XSS）」という攻撃手法では、細工されたWebページにアクセスさせることで、ユーザーのブラウザ上で勝手にスクリプトを実行させ、クッキーなどの重要情報を盗み取ります。JavaScriptを無効にすれば、こうした攻撃プログラムがブラウザ上で動くことを未然に防げるため、安全性が高まります。ただし、多くのWebサイトが正しく表示されなくなるという「利便性」とのトレードオフになる点には注意が必要です。

管理者権限での利用が危険な理由

PCの管理者権限（Administrator権限）は、ソフトウェアのインストールやシステムの設定変更など、PCのすべてを操作できる権限です。一方で、普段のWeb閲覧やメールの利用には、通常「一般ユーザー権限」で十分です。

もし「管理者権限」でWebブラウザを使用中にウイルスを踏んでしまうと、ウイルスも同じ「管理者権限」を得ることになります。すると、セキュリティソフトを無効化したり、PCの根幹部分を書き換えたりといった破壊活動が自由に行えてしまいます。このように、権限を必要最小限に抑えることを「最小権限の原則」と呼び、ITパスポート試験でも非常に重要な概念として扱われます。

日常生活でのセキュリティ対策

この知識は、PCの設定やブラウザの運用方法を選ぶ際の判断基準になります。 例えば、パスワード管理については、ブラウザの自動保存機能に頼り切るのではなく、専用のパスワード管理ツールを利用して暗号化・管理するのが現代のベストプラクティスです。また、会社や学校のPCであれば、管理者権限を制限することで組織全体のリスクを大幅に減らすことができます。この問題は、単なる知識として覚えるだけでなく、自身のPC利用環境を見直すためのヒントとして活用してください。

参考リンク

• 【ITパスポート試験対策】情報セキュリティの基礎知識（IPA公式）
• ブラウザのJavaScriptを無効化して遊んでみよう（Qiita記事）
• 最小権限の原則とは何か？（情報セキュリティ用語解説）