https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt80000009sgk-att/2022r04h_sc_pm2_qs.pdf
以下のおすすめ問題の解説となります。
良書。
[ 開発 プロセスの見直し]
B社のWebサイトのセキュリティ水準について、Rさんは、開発プロセスの観点からも調査を進めた。
B社では、顧客の機能の追加要望や性能の改善要望をヒアリングしながら、開発部内で目標を設定し、アジャイル開発を行っている。また、社外の研修などでセキュアプログラミングの知識を習得し、その知識を生かしてWebサイトを開発している。
B社の開発プロセスの概要を図7に示す。
Rさんは、B社のWebサイトのセキュリティ水準を十分なものにするためには、A社のようなWebセキュリティ管理基準をB社に導入する必要があると考えた。次は、B社の開発プロセスについてのRさんとE課長の会話である。
Rさん:B社でも表1のとおりに実施できますか。
E課長:開発フェーズにおいてはできると思います。しかし、改良リリースの周期は2週間程度です。専門技術者による脆弱性診断には、その周期の大半を費やしてしまうので、省略できないでしょうか。
Rさん:⑤ソースコードレビューやツールによる脆弱性診断では発見できないが、専門技術者による脆弱性診断では発見できる脆弱性が多くあります。専門技術者による脆弱性診断を改良リリースにおいて毎回実施できない場合でも、当該診断が長期間行われないことを避けるために、⑥時期を決めて実施することや、⑦ 開発 プロセスを見直すことを検討してみてください。
E課長:分かりました。そのほかに、アジャイル開発に合った脆弱性対策はないでしょうか。
Rさん:Webサイトの実装に必要となる一般的な機能や定型コードを、ライブラリとしてあらかじめ用意したフレームワークには、⑧脆弱性対策が組み込まれていて、それがデフォルトで有効になっている物もあるので、利用を検討してみてください。
その後、B社は、セキュリティを考慮したアジャイル開発を行うことになった。
下線⑤について、該当する脆弱性を二つ挙げ、それぞれ15字以内で答えよ。
①セッション管理の脆弱性
②認可・アクセス制御の脆弱性
開発プロセスには最初に何をやるか書かれている
ツールによる脆弱性ができないのは、セッション管理・アクセス制御の2点となる。
ここに手を打たないと検出できない。
下線⑥について、専門技術者による脆弱性診断が長期間行われないことを避けるためには、どのような時期に実施すればよいか。改良リリースの実施に影響を与えないことを前提に、20字以内で答えよ
専門技術者による脆弱性診断を改良リリースにおいて毎回実施できない場合でも、当該診断が長期間行われないことを避けるために、⑥時期を決めて実施することや、⑦ 開発 プロセスを見直すことを検討してみてください。
開発フェーズをみると1か月程度の休止期間が一番影響が少ない
下線⑦について、専門技術者による脆弱性診断が長期間行われないことを避けるためには、開発プロセスをどのように見直せばよいか。アジャイル開発の継続を前提に、40字以内で述べよ
定期的に、期間の長い改良リリースを設ける
下線⑧について、CSRF脆弱性の場合では、どのような処理を行う機能が考えられるか。その処理を、55字以内で具体的に述べよ。
CSRF対策用トークンの発行、HTMLへの埋め込み、必要なひも付け、及びこれを検証する処