情報処理安全確保支援士試験 平成30年度 春期 午後2 問2 設問3
問2 Webサイトのセキュリティに関する次の記述を読んで、設問1〜6に答えよ。
(略)
【自社による診断の実施検討】
的確な診断を実施できる体制を作るには、A社内で診断する項目(以下、A社診断項目という)を定め、その項目の診断手順に診断員が習熟する必要があり、H課長は、診断手順の作成と習熟には、1年は掛かると考えた。それを少しでも短くするために、診断経験があり、登録セキスペでもある部下のQさんと一緒にA社診断項目と診断手順を検討した。
診断の結果、外部で公開されていた診断項目を参考にして、Webアプリに関するA社診断項目を図4のとおり定めた。
c:ディレクトリ、d:クロスサイト、e:HTTP、f:ジャッキング
IPAの「安全なウェブサイトの作り方」では、対応する必要がある脆弱性を以下のとおり11個挙げています。このような基本的なセキュリティ項目は常にチェックして暗記しておけば、最新のセキュリティ情報に関するアンテナ感度を高く維持できます。
- SQLインジェクション
- OSコマンド・インジェクション
- パス名パラメータの未チェック/ディレクトリ・トラバーサル
- セッション管理の不備
- クロスサイト・スクリプティング(XSS)
- CSRF(クロスサイト・リクエスト・フォージェリ)
- HTTPヘッダ・インジェクション
- メールヘッダ・インジェクション
- クリックジャッキング
- バッファオーバフロー
- アクセス制御や認可制御の欠落
診断方法には、自動診断ツールによる診断と手動による診断がある。A社では自動診断ツールとして、自動診断ツールJを使う予定である。自動診断ツールによる診断は効率的だが、ツールによっては診断できない項目もある。そこで、2人は両方の診断方法を組み合わせることにした。それを踏まえて作成した診断手順書第1版を図5に示す。
その後、A社の情報システム部のメンバ3名が、Qさんのトレーニングを受け、診断チームを結成した。しかし、トレーニングを受けただけでは、最初から精度の高い診断結果を安定して出せないかもしれない。そこで、当初はセキュリティ専門業者が診断を実施する際に同時に診断を実施することとし、両者の診断結果を比較・検証して、経験を積むことにした。
【出典:情報処理安全確保支援士試験 平成30年度 春期 午後2問2(一部、加工あり)】