令和7年春の過去問の問1の解説をします。
題材はサプライチェーンリスクです。
サプライチェーンリスクとは外部の要因により自社のサービスなどが阻害されることです。
では早速解説に移ります。
【情報処理安全確保支援士 オススメ書籍】
セキュリティについてが細かく解説されています。
テキストで学習した後すぐに問題を解ける構成になっているので効率よく勉強できます。
また午後問題もいくつか掲載されていて、解説までついてきます。
ダウンロード特典もあるので非常にオススメの一冊!!
問1
[ガイドラインの作成]について答えよ
(1)下線①についてどのような考えがあるか?
解答:企画・設計工程からセキュリティ対策を組み込むという考え方
下線①とは「セキュリティ・バイ・デザイン」。
セキュリティ・バイ・デザインとは、設計段階でセキュリティを考慮してシステム構築することです。
そうすることで、よりセキュリティの強固なシステムが出来上がります。
(2)業務委託先が再委託を行うときに明記すべき事項
L社業務委託先と同等のセキュリティ対策を再委託先にも要求
サプライチェーンリスクでは、再委託先の管理不備が重大な脆弱性につながることがある。
本問題のお題でもあるサプライチェーンリスクですが、こちらの問題はそのサプライチェーンリスクの対応策を問われている問題です。
問2
(1)影響を受けない配置方法
スクリプトPをシステムQに配置
スクリプトについて信頼できる自社により管理することで外部サーバが改ざんされても問題ない。
こちらの問題もサプライチェーンリスクについて問われています。
(2)ソースコードの変更内容
スクリプトPを読み込む個所をソースコードから除外
スクリプトPに問題があるので、ひとまずスクリプトPを読み込むのを禁止しないといけません。
そのためにはソースコードからスクリプトPを読み込む処理を除外するのが良いでしょう。
(3)SBOM以外の手段で外部のスクリプトを把握できるようにする修正案
項番:1 外部サービスを管理対象とする
外部サービスを管理対象とすることで、問題が起きても早期に対応できる。
外部サービスを利用している場合は管理対象にすることが必須である。
問3
(1)ア~エに入れる適切な項番
| 空欄 | 正解 | 解説 |
| ア | 10 | 自社開発ソフトウェアの管理(踏み台サーバのログイン) |
| イ | 4 | 委託契約の管理(契約書の確認) |
| ウ | 5 | 再委託先の管理(契約内容の確認) |
| エ | 11 | セキュリティ教育の実施(教育記録の確認) |
(2)a~cに入れる字句
| 空欄 | 正解 | 解説 |
| a | ユーザごとのアカウントを使用していない | 共用アカウントでログインしているため、利用者の特定が困難
| b | 問題なし | 契約書の内容が確認できているため |
| c | 問題なし | 再委託先の契約内容も確認済みのため |
問4
脆弱性管理がしやすくなる理由
利用しているソフトウェアを一覧化してバージョン管理が行えるため、迅速に対応できる
バージョン管理を行うことで脆弱性が発見されたときに瞬時に対応することができます。
SBOMで利用しているソフトウェアを管理することで、脆弱性対策となるのです。
問5
(1)dに入れる字句
踏み台サーバ
踏み台サーバを経由してログインするため、アクセスログを取得するには最適。
(2)(あ)(い)で実行する利点
| 空欄 | 解答例 | 解説 |
| (あ) | 早期に脆弱性を発見し、端末上で迅速に修正できる | 開発者の端末でSASTツールを実行することで、初期段階で問題を検知・修正できる |
| (い) | 複数機能を結合した状態で全体的な検査ができる | CI/CDパイプライン上で実行することで、複数開発者の変更を統合した状態で検査できる |
関連記事
コメント