情報処理安全確保支援士試験 平成30年度 春期 午後2 問2 設問6
問2 Webサイトのセキュリティに関する次の記述を読んで、設問1〜6に答えよ。
(略)
A社では、脆弱性を作り込まないようにするために、Webサイトのライフサイクルの五つの工程(要件定義、設計、実装、テスト、運用)に関するセキュリティガイドライン(以下、Webセキュリティガイドという)を整備している。現行のWebセキュリティガイド第1版を図1に示す。
Webセキュリティガイドは、開発及び運用を委託している外部の業者にも順守を義務付けている。
(略)
Webアプリの脆弱性については、まず、今回検出されたXSSを作り込んだ原因について、B社にヒアリングした。その結果、Webセキュリティガイドの記載が抽象的なので、誤った実装をしてしまったことが分かった。そこで、全ての担当者が正しい実装方法を理解できるように、Webセキュリティガイドを改訂して具体的な実装方法を追加することにした。改訂後のWebセキュリティガイド第2版を図3に示す。
(略)
Qさんは、各工程でのレビューポイントをWebセキュリティガイドに記載することをH課長に提案した。改訂されたWebセキュリティガイド第3版を図11に示す。
【出典:情報処理安全確保支援士試験 平成30年度 春期 午後2問2(一部、加工あり)】
診断で見つかった個々の脆弱性はWebセキュリティガイドラインを改善するためにどのように利用できるか。40字以内で述べよ。:脆弱性の作り込み原因を調査して、注意すべきポイントを追加する。
問題文全体を俯瞰して見ると、Webセキュリティガイドラインは本来、「脆弱性を作り込まない」ことを目的にして整備していましたが、結果として脆弱性を作り込んでしまい、その都度、改訂してきています。
具体的な改訂内容は、「全ての担当者が正しい実装方法を理解できるように、Webセキュリティガイドを改訂して具体的な実装方法を追加」、「各工程でのレビューポイントをWebセキュリティガイドに記載」などです。
これは、作り込んでしまった脆弱性をその都度分析して原因を究明し、その原因から具体的な実装方法や各工程でのレビューポイントを追加していく作業であり、Webセキュリティガイドラインを改善して充実したものにしていくことに繋がります。