https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt80000009sgk-att/2022r04h_sc_pm2_qs.pdf
以下のおすすめ問題の解説となります。
良書。
問1 Webサイトの セキュリティに関する次の記述を読んで、設問1〜6に答えよ。
A社は、従業員1,500名の中堅システム開発会社である。A社では、セキュリティ品質の高いWebサイトを開発するために、表1に示すWebセキュリティ管理基準を定めて運用している。
[A社によるB社の子会社化]
B社は、従業員200名の新興のITサービス会社であり、各種SaaSを提供している。アジャイル開発の能力が高く、機能の追加や性能の改善を頻繁に行っている。B社とA社とは協業関係にあったが、両者の経営陣は、双方の強みを生かせると判断し、A社によるB社の子会社化について合意した。
B社のクラウド環境には、コーポレートサイト(以下、サイトBという)、及びB社が提供中の三つのSaaSそれぞれのWebサイト(以下、サイトX、サイトY、サイトZという)がある。それらの概要を表2に示す。
子会社化に当たって、B社のWebサイトのセキュリティ水準を確認することになり、A社の品質管理部でセキュリティ技術を担当しているRさんが対応することになった。
[B社のWebサイトのセキュリティ水準の確認]
Rさんは、サイトB、サイトX、サイトY及びサイトZに対する脆弱性診断をD社に依頼した。診断の結果、検出された脆弱性を表3に示す。
[サイトBのXSS脆弱性]
D社は、サイトBに①診断用リクエストを送ることで、XSS脆弱性があることを確認した。このリクエストは、ライブラリMを使ってプログラムCが処理する。ライブラリMのコードを図1に示す。
ライブラリMは、SEOのためのライブラリである。
B社では、開発部のメンバそれぞれが、開発時に利用可能なライブラリを収集している。使用するライブラリは、 マルウェアが含まれていない、既知の脆弱性が修正された、安全性が確認できているライブラリを公開しているWebサイトから、ファイルサーバにダウンロードし、利用している。ファイルサーバは、開発部のメンバであればアクセス可能である。
今回使われていたライブラリMは、既知のXSS脆弱性の対策をしていないバージョンであった。その結果、ライブラリMを使っているサイトB、サイトX、サイトY及びサイトZにおいて、同じXSS脆弱性が検出された。
これを受けて、B社における②再発防止策について検討した。
下線①における診断用リクエストの構成要素を、解答群の中から選び、記号で答えよ
ア
D社は、サイトBに①診断用リクエストを送ることで、XSS脆弱性があることを確認した。このリクエストは、ライブラリMを使ってプログラムCが処理する。ライブラリMのコードを図1に示す。
ライブラリMは、SEOのためのライブラリである。
図1のout.printlnはgetに関わる処理しか記載されていない。postはない
URLの設定をあてはめると、イはコンパイルエラーになるので、答えはあとなる
下線②について、考えられる再発防止策を、35字以内で述べよ
問題:XSS対応していない脆弱性を含んだバージョンが採用されていたことになる
どのようなライブラリ選定プロセスを踏んでいるかが再発防止策を考えるうえで重要なポイントであると業務で習ったことがある。
脆弱性を含んでいるかどうかは、ライブラリのバージョン、既知脆弱性の有無を検証する必要があるので、SBOM管理システムを導入し、脆弱性を管理することが重要です
教科書解答とずれるが、同じ個所・バージョンを確認し、導入を検討するなど、プロセス上の不備を指摘するとよい。