脆弱性管理にはソフトウェア構成管理が必要【情報処理安全確保支援士試験 平成30年度 春期 午後2 問2 設問2】
情報処理安全確保支援士試験 平成30年度 春期 午後2 問2 設問2
問2 Webサイトのセキュリティに関する次の記述を読んで、設問1〜6に答えよ。
(略)
WebサーバX上では、WebアプリXが稼働している。WebアプリXは、Webアプリケーションフレームワーク(以下、WFという)の一つであるWF-Kを使用して開発されている。
(略)
F氏が、まず、WebサイトXに対して、攻撃手法Kによる攻撃を実施したところ、実際にWebサーバXを改ざんできることが確認できた。
次に、他に脆弱性がないか、WebサイトYに対してB社PC-LANからOS及びミドルウェア(以下、プラットフォームという)の診断並びにWebアプリXの診断を実施した。
(略)
【全社のWebサイトのセキュリティ強化】
セキュリティインシデントの発生及びF氏の調査結果を受けて、A社の情報システム担当役員であるG取締役は、全社のWebサイトのセキュリティを強化するよう、A社情報システム部長を通じて同部のH課長に指示した。H課長は、WF、プラットフォーム及びWebアプリの脆弱性について調査を開始し、対策を検討することにした。
WF及びプラットフォームの脆弱性については、Webサイトの改ざんなどの被害につながるので、全社のWebサイトについて脆弱性への対応状況を調査した。その結果、対応漏れがあるWebサイトが5サイト見つかった。漏れがあった理由を各Webサイト担当者にヒアリングしたところ、脆弱性が発表されていることを知らなかったとのことであった。
そこで、今後は情報システム部が一括して脆弱性情報を収集し、各Webサイト担当者にその情報を提供することにした。それに先立って、効率的な情報収集ができるよう、各Webサイト担当者には、(b:Webサイトで使用しているOS、ミドルウェア及びWFの名称並びにそれぞれのバージョン情報)を報告させた。また、Webサイトの更改などに伴って(b:Webサイトで使用しているOS、ミドルウェア及びWFの名称並びにそれぞれのバージョン情報)に変更がある場合は、その都度報告させることにした。
b:Webサイトで使用しているOS、ミドルウェア及びWFの名称並びにそれぞれのバージョン情報
脆弱性情報を提供するサイトでは、以下の情報を提供しています。
- 概要
- 影響を受けるシステム
- 詳細情報
- 想定される影響
- 対策方法
- ベンダ情報
毎日のように公開される脆弱性情報のうち、自社で稼働しているシステムに影響する情報のみを抽出するのに、上記の「影響を受けるシステム」に記載されるOSやソフトウェアとそのバージョンなどを利用します。
そのためには、これらの情報を事前に収集しておく必要があります。
問題文に記載されている「OS」「ミドルウェア」「WF」を回答すれば良さそうです。
パッチ適用は従来どおり各Webサイト担当者に任せることにしたが、脆弱性情報を提供するだけでは、パッチ適用の遅れによって被害が出ることも考えられるので、パッチ適用期限をWebセキュリティガイドに追加することにした。
Webアプリの脆弱性については、まず、今回検出されたXSSを作り込んだ原因について、B社にヒアリングした。その結果、Webセキュリティガイドの記載が抽象的なので、誤った実装をしてしまったことが分かった。そこで、全ての担当者が正しい実装方法を理解できるように、Webセキュリティガイドを改訂して具体的な実装方法を追加することにした。改訂後のWebセキュリティガイド第2版を図3に示す。
また、Webアプリの診断の実施状況について各Webサイト担当者にヒアリングしたところ、”Webサイトの開発スケジュールが短くて、診断をセキュリティ専門業者に依頼するとリリースに間に合わないので、診断できずにリリースすることがある”とのことであった。そこで、H課長は情報システム部が中心となって、いつでもすぐに診断を実施できるように、A社内にWebアプリを診断できる体制を作ることをG取締役に提案し、採用された。
【出典:情報処理安全確保支援士試験 平成30年度 春期 午後2問2(一部、加工あり)】