Take's Software Engineer Blog

TOEIC200点&プロマネな私が社内公募を経て、ソフトエンジニア&英語部門へ異動して奮闘していく話をしていきます

情報処理安全確保支援士試験 令和5年度 春期 午後2問1 その1

【出典:情報処理安全確保支援士試験 令和5年度 春期 午後2 問1】

https://www.ipa.go.jp/shiken/mondai-kaiotu/ps6vr70000010d6y-att/2023r05h_sc_pm2_qs.pdf

 

問1 Web セキュリティに関する次の記述を読んで、設問に答えよ。

 A社グループは、全体で従業員20,000名に製造業グループである。技術開発や新製品の製造・販売を行うA社のほか、特化型の製品の製造・販売を行う複数の子会社(以下、グループ各社という)がある。A社及びグループ各社には、様々なWebサイトがある。A社では、資産管理システムを利用し、IT資産の管理を効率化している。Webサイトの立上げ時は、資産管理システムへのWebサイトの概要、システム構成、IPアドレス、担当者などの登録申請が必要である。
 A社には、CISOが率いる セキュリティ推進部がある。 セキュリティ推進部の業務は、主に次の三つである。

  • A社の 情報セキュリティマネジメントを統括する。
  • A社のWebサイトの脆弱性診断(以下、脆弱性診断を診断という)を管理する。例えば、A社の会員サイトなど、重要なWebサイトについて、診断を新規リリース前に実施し、その後も年1回実施する。なお、診断は、 セキュリティ専門業社のB社に委託している。
  • グループ各社に対して、 情報セキュリティポリシーや セキュアコーディング規約を配布する。なお、診断の実施有無や内容はグループ各社の判断に任せている。

 IoT製品の市場拡大によってグループ各社による新規Webサイト開発の増加が予想されている中、A社の経営陣は、グループ各社のWebサイトの セキュリティが十分かどうかを懸念し始めた。そこで、グループ各社の重要なWebサイトも、A社の セキュリティ推進部がグループ各社と協議しつつ診断を管理することになった。
 セキュリティ推進部がB社に診断対象となるWebサイトのリリーススケジュールを伝えたところ、同時期に多数の診断を依頼されても対応することができない可能性があるとのことだった。そこで、グループ各社の一部のWebサイトに対する診断をA社グループ内で実施できるようにするための内製化推進プロジェクト(以下、Sプロジェクトという)を立ち上げた。
 セキュリティ推進部のZさんは、Sプロジェクトを担当することになった。ZさんはこれまでもB社への診断の依頼を担当しており、診断の準備から診断結果の報告まで、診断全体をおおむね把握していた。

[プロジェクトの進め方]
 Sプロジェクトは、B社の支援を得ながら、表1のとおり進めることにした。B社からは、 セキュリティコンサルタントで情報処理安全確保支援士(登録セキスペ)であるY氏の支援を受けることになった。

[フェーズ1:診断項目の決定]
 Sプロジェクトでは、診断項目を決めた。

[フェーズ2:診断ツールの選定]
 B社がWebサイトの診断にツールVを使っていることもあり、A社はツールVを購入することに決めた。ツールVの仕様を図1に示す。

 診断対象URLの自動登録機能及び手動登録機能の特徴を表2に示す。

 A社は、診断項目のうち、ツールVでは診断ができないものは手動で診断を実施することにした。

設問①

下線①について、別の方法を、30字以内で答えよ。:診断対象のWebサイトの設計書を確認する

診断対象のURLの登録機能に関する問題で、URLをツールに検索してもらうか、手動で入れる必要があります。診断対象のURLを自分で入力するケースが問われていますので、一般的にはURLを設計した開発者に確認することになります。運が良ければ設計書に書かれている可能性があるので、設計書や仕様書を確認するがオーソドックスな回答となるでしょう。現場ではそんなものはないので、ソースコードを観ていくことが早かったりしますね。

 

 

 

 

div #breadcrumb div{ display: inline;font-size:13px;}