委託先でのセキュリティガイド遵守の確認【情報処理安全確保支援士試験 平成30年度 春期 午後2 問2 設問5】

情報処理安全確保支援士試験 平成30年度 春期 午後2 問2 設問5

問2 Webサイトのセキュリティに関する次の記述を読んで、設問1〜6に答えよ。

(略)

【改善案の検討】

 Qさんは、各工程でのレビューポイントをWebセキュリティガイドに記載することをH課長に提案した。改訂されたWebセキュリティガイド第3版を図11に示す。

f:id:aolaniengineer:20200411050330p:plain

 しかし、今回のように開発を外部の業者に委託する場合、図11に従って開発されていることを確認するには工夫が必要である。そこで、H課長は、③外部に開発を委託する契約の検収条件に追加すべき記載内容を検討した。

③について、検収条件に追加すべき記載内容は何か。40字以内で具体的に述べよ。:作業の妥当性を確認できる詳細なレビュー記録を委託先が提出していること

検収条件に追加する内容は、「図11に従って開発されていることを確認するには工夫が必要」についての解決策になっている必要があります。

図11(Webセキュリティガイド第3版)には、追加された各工程でのレビューに関することが示されています。

外部の業者に委託する場合、このレビューに参加することはできないので、レビューが開催されているか、レビューポイントに従って作業の妥当性が確認できているかなど、レビュー記録としてチェックできるようにすることが重要です。したがって、検収条件として、このレビュー記録を提出することを追加すれば良さそうです。

内部で開発する場合でも、第三者への共有や客観的思考でチェックする意味でも、レビュー記録として残すことは重要ですね。

 H課長は、その後もWebセキュリティガイドの改善を続けた。迅速なパッチ適用の効果もあり、A社では、今のところWebサイトへの攻撃による被害は起きていない。

【出典:情報処理安全確保支援士試験 平成30年度 春期 午後2問2(一部、加工あり)】