問題
問95
SQLインジェクションの対策などで用いられ、処理の誤動作を招かないように、利用者がWebサイトに入力した内容に含まれる有害な文字列を無害な文字列に置き換えることを何と呼ぶか。
- MACアドレスフィルタリング
- サニタイジング
- ストライピング
- ソーシャルエンジニアリング
[出典:ITパスポート試験 令和8年度 問95]
正解
正解は「イ」です。
解説
正解は「サニタイジング」です。サニタイジング(Sanitizing)とは、英語で「消毒する」「清潔にする」といった意味を持つ言葉で、ITの分野ではWebサイトの入力フォームなどから送られてくるデータの中に、悪意のあるプログラムコードや特別な意味を持つ記号が含まれていた場合、それを無害な文字列に置き換えたり削除したりする処理を指します。
Webサイトのお問い合わせ欄などに「<」や「’」といった記号を含んだ命令文が入力されると、システムがそれを「データ」ではなく「プログラムへの命令」だと勘違いしてしまい、データの盗難や破壊といった誤動作を引き起こすことがあります(これがSQLインジェクションなどの攻撃です)。
例えるなら、サニタイジングは「工場の検品作業」のようなものです。原料の中に機械を壊すような石やゴミが混じっていないかチェックし、もしあれば取り除くことで、後の製造ラインを安全に守る役割を果たします。このように、外部からの入力をそのまま信じず、まずは安全な形に「洗浄」することが、セキュリティ対策の基本となります。
ア(MACアドレスフィルタリング):
ネットワーク機器固有の識別番号(MACアドレス)を使い、あらかじめ登録された端末以外がネットワークに接続できないように制限する手法です。
ウ(ストライピング):
複数のハードディスクにデータを分散して書き込むことで、データの読み書き速度を向上させる技術です(RAID 0と呼ばれます)。
エ(ソーシャルエンジニアリング):
技術的な手段ではなく、パスワードを盗み見たり、管理者になりすまして電話で聞き出したりするなど、人間の心理的な隙やミスを突く攻撃手法です。
難易度
この問題は、情報セキュリティの基礎用語を問う内容であり、初心者の方にとっても比較的正解しやすい難易度です。「サニタイジング」という言葉の語源(サニタリー=清潔な)を知っていれば、問題文の「無害な文字列に置き換える」という表現とすぐに結びつけることができます。他の選択肢も全く異なる分野の重要用語であるため、消去法も使いやすく、確実に得点したい基本問題と言えます。
用語補足
SQLインジェクション:
Webサイトの入力欄にデータベース操作命令を紛れ込ませ、不正に情報を抜き出す攻撃です。玄関のポストから泥棒が家の鍵を開けるようなものです。
MACアドレス:
パソコンやスマホなどのネットワーク機器一台ずつに割り当てられた世界で唯一の住所のような番号です。製品自体に刻まれた識別票のようなものです。
RAID(レイド):
複数のハードディスクを一つにまとめて扱う技術です。一つのカバンが壊れても、予備のカバンがあるから中身は守れる、というような仕組みです。
脆弱性(ぜいじゃくせい):
コンピュータのプログラムやシステムにある「弱点」や「セキュリティ上の欠陥」のことです。泥棒に狙われやすい、鍵の壊れた窓のようなイメージです。
対策
この問題を解くためのポイントは、セキュリティにおける「攻撃手法」と「対策技術」をセットで覚えることです。試験では「SQLインジェクションの対策はサニタイジング」という組み合わせが非常によく出題されます。また、カタカナ用語は英語の本来の意味(サニタリー=衛生的な、など)を意識してイメージを持つようにすると、暗記ではなく理解として定着しやすくなります。
