データベーススペシャリスト 試験情報＆徹底解説

セキュリティ事故Cにおいて
復号関数名と鍵が盗まれた場合に、有効ではないとありますが

前提として
「暗号化と復号の鍵は、AP内に埋め込み、外部から見えないようにする」
そしてCは
「APを利用せずに」
とあります。

APを利用せずに、鍵を盗まれる状況というのがイメージできないのですが
どこから盗まれる可能性があるのでしょうか？

「AP」という言葉自体がピンと来ておらず、変な質問でしたら申し訳ございません。

APを利用せずにセレクト文を実行しました、というだけで、APを覗けば鍵は見えるわけです。Oracleとかの暗号化関数とか調べてみればわかると思いますが、ふつうにSQL文組んでsqlplusとかでその復号関数を呼べばいい（引数にその鍵の値とかを指定する）だけです。
APはアプリと思ってください。スクリプトか実行バイナリかどうかはなんとも言えませんが、リバースエンジニアリングすればいいだけです（C#ならilspyで見るようなもの）。

あとは、純粋に利用しないなら、ブルートフォースで鍵を探り当てるとかになります。そうすれば、APは一切触れていないことになります。

ご回答ありがとうございます。
あくまで、SELECT文はAPを利用してないというだけだったのですね。 


ちなみにですが
Bについても、メディアから顧客基本テーブルを取得して、それに対して(Cと同様に)盗んだ復号関数と鍵を使ってSQLを叩けば復号できてしまうような気がするのですが、そのあたりはどのように考えればよいでしょうか？

メディアから顧客基本テーブルを取得して、というよりは、インポートする際に例えばOracle DatapumpのENCRYPTION=ENCRYPTED_COLUMNS_ONLYなんかになるわけですが、まずインポートする際に列を暗号化した際の鍵を特定しないとインポートできないという意味では、いずれ試行しているうちに突破される問題ではありますが、それ以前の問題です。
鍵がないから（現実的な時間で求められないから）○をつけているとしか見えないような気がします。正直このセキュリティの問題が出なくなったのは、この反省からかもわかりません。この問題で問いたいことが正直よくわからんのです。

ご回答ありがとうございます。
インポート時だと、Cよりは復号が難しいという感じなのですね。

問題文見返して気づいたのですが、空欄hとiは◯or✕を記入せよという問題だったので、どちらかといえば◯なのは一応納得です。(△もあると勘違いしていました。)

最新年から遡って解いていますが、たしかに初めて見たような気がします。
模範解答から逆算したり解説いただければ、そうなんだなと思えますが
実際に試験に出るとどこまで想像していいのか分からないので、もう少し前提条件が欲しいところですね…
引き続き出題されないことを祈ります！