ITパスポート 令和8年度 問95：securityに関する問題

答えは b（サニタイジング） です。

Webサイトの入力欄に、悪い人がワザと『コンピュータを誤動作させる文字』を打ち込むことがあります。

それを防ぐため、入力された文字の中の“危険な文字”を『安全な文字に置き換えてしまう』のがサニタイジング（無害化）です。掃除（サニタイズ＝消毒）のイメージです。

👉 覚え方：サニタイジング＝危険な文字を消毒して無害化。

ほかの選択肢：a MACアドレスフィルタリング＝機器ごとの接続許可／c ストライピング＝データを分けて速く保存する技術／d ソーシャルエンジニアリング＝人をだまして情報を聞き出す手口です。

なぜこれが正解か

正解は b。サニタイジング（無害化）は、利用者がWebサイトに入力した内容に含まれる、処理の誤動作や攻撃を招く有害な文字列を、無害な文字列に置き換える処理。SQLインジェクションやクロスサイトスクリプティング（XSS）の対策として用いられる。

各選択肢の解説

• a：MACアドレスフィルタリング＝機器固有のMACアドレスで接続可否を制御するネットワークアクセス制御。
• b：サニタイジング＝有害文字列の無害化。正しい。
• c：ストライピング＝データを複数ディスクに分散書込みする高速化技術（RAID0）。
• d：ソーシャルエンジニアリング＝人の心理の隙を突いて情報を盗む攻撃手法。

覚え方・ひっかけ注意

『サニタイズ＝消毒・浄化』から無害化を連想。SQLインジェクション対策としては、サニタイジングに加え『プレースホルダ（バインド機構）の利用』も定番の正解パターンなので併せて覚える。cのストライピング（RAID）との混同に注意。

理論的背景

サニタイジング（Sanitizing）はWebアプリケーションセキュリティにおける入力値処理の核心的防御手法であり、本問正解bの「利用者がWebサイトに入力した内容に含まれる有害な文字列を無害な文字列に置き換えること」が正確な定義。SQLインジェクション・XSS（クロスサイトスクリプティング）・コマンドインジェクション等の入力値攻撃に対する防御の第一線として機能する。

サニタイジングの種類：エスケープ処理（特殊文字を無害な表現に変換：`<`→`&lt;`・`'`→`\'`等）・入力検証（ホワイトリスト方式：許可された文字種・長さ・形式のみ受け入れ）・入力フィルタリング（ブラックリスト方式：危険な文字列のパターンを除去）。OWASPはホワイトリスト方式（許可される入力の明示）をブラックリスト方式（禁止パターンの列挙）より推奨する。

SQLインジェクション対策としてのサニタイジングとプリペアドステートメント（Prepared Statement）の関係：プリペアドステートメントはSQLクエリのロジックとデータを分離してバインドパラメータで処理するため、SQLインジェクションの根本的対策となる（サニタイジングに依存せず安全）。サニタイジングは補完的対策として併用が推奨される。

実務での使われ方

Webフレームワーク（Rails・Django・Laravel・Next.js等）は自動的にXSS対策（テンプレートエンジンのデフォルトエスケープ）・SQLインジェクション対策（ORMのプリペアドステートメント）を実装しているため、開発者が明示的にサニタイジングを記述しないケースが多い。しかしカスタム処理・生のSQL使用・ファイルアップロード・外部API連携等では明示的なサニタイジングが必須。WAF（Web Application Firewall：Cloudflare・AWS WAF・F5等）でネットワーク層でのサニタイジング・フィルタリングを実施することもある。

OWASP Top 10（2021版）ではインジェクション攻撃（SQLインジェクション・XSS等）が依然として上位ランクに入っており、サニタイジングの実装は全てのWebアプリ開発者の必須スキル。CVE/NVDに登録されるWebアプリケーション脆弱性の多くがサニタイジング不備に起因する。

試験での位置づけ

サニタイジングはITパスポートのセキュリティ分野で出題される重要トピック。SQLインジェクション・XSSと対策（サニタイジング・エスケープ処理・プリペアドステートメント）の関係は毎年出題されている。本問の誤り選択肢との識別：MACアドレスフィルタリング（ネットワークアクセス制御）・ストライピング（RAID技術）・ソーシャルエンジニアリング（人間の心理的操作による情報詐取）はWebアプリケーション入力処理とは異なるカテゴリ。近年のITパスポート試験ではXSS・CSRF・SQLインジェクション・コマンドインジェクション・XXE（XML外部エンティティ）等の具体的な攻撃手法と対策の対応関係を問う問題が増加している。基本情報技術者試験ではOWASP Top 10の全項目・各攻撃の技術的詳細・セキュアコーディングガイドライン（IPA「安全なウェブサイトの作り方」）の実践まで踏み込んだ問題が出題される。

選択肢の発展補足

ソーシャルエンジニアリング（選択肢d）はサニタイジングと全く異なる攻撃ベクターで、技術的な脆弱性ではなく人間の心理・信頼・権威への服従を悪用する。フィッシング・ビッシング（音声フィッシング）・スミッシング（SMS フィッシング）・なりすまし・テールゲーティング（物理的尾行による入室）等が代表的手法。ソーシャルエンジニアリング対策は技術的手段（サニタイジング・ファイアウォール）ではなく人的対策（セキュリティ教育・訓練・手順の厳守）が主体となる点で根本的に異なる。ストライピング（選択肢c）はRAID 0の別名でデータを複数ディスクに分散して書き込む技術であり、速度向上の効果はあるが冗長性がない。サニタイジングと混同する受験者はほとんどいないが、MACアドレスフィルタリング（選択肢a）については「アクセス制御の一形態」という意味で混同する可能性がある。MACアドレスフィルタリングはネットワーク機器（Wi-FiアクセスポイントのL2フィルタ）のアクセス制御技術であり、アプリケーション層の入力値処理であるサニタイジングとはOSI参照モデルの全く異なるレイヤーの技術。