【情報処理安全確保支援士試験 令和5年度 春期 午後2 問1 No.1】
情報処理安全確保支援士試験 令和5年度 春期 午後2 問1
【出典:情報処理安全確保支援士試験 令和5年度 春期 午後2 問1(一部、加工あり)】
問1 Webセキュリティに関する次の記述を読んで、設問に答えよ。
A社グループは、全体で従業員20,000名に製造業グループである。技術開発や新製品の製造・販売を行うA社のほか、特化型の製品の製造・販売を行う複数の子会社(以下、グループ各社という)がある。A社及びグループ各社には、様々なWebサイトがある。A社では、資産管理システムを利用し、IT資産の管理を効率化している。Webサイトの立上げ時は、資産管理システムへのWebサイトの概要、システム構成、IPアドレス、担当者などの登録申請が必要である。
A社には、CISOが率いるセキュリティ推進部がある。セキュリティ推進部の業務は、主に次の三つである。
- A社の情報セキュリティマネジメントを統括する。
- A社のWebサイトの脆弱性診断(以下、脆弱性診断を診断という)を管理する。例えば、A社の会員サイトなど、重要なWebサイトについて、診断を新規リリース前に実施し、その後も年1回実施する。なお、診断は、セキュリティ専門業社のB社に委託している。
- グループ各社に対して、情報セキュリティポリシーやセキュアコーディング規約を配布する。なお、診断の実施有無や内容はグループ各社の判断に任せている。
IoT製品の市場拡大によってグループ各社による新規Webサイト開発の増加が予想されている中、A社の経営陣は、グループ各社のWebサイトのセキュリティが十分かどうかを懸念し始めた。そこで、グループ各社の重要なWebサイトも、A社のセキュリティ推進部がグループ各社と協議しつつ診断を管理することになった。
セキュリティ推進部がB社に診断対象となるWebサイトのリリーススケジュールを伝えたところ、同時期に多数の診断を依頼されても対応することができない可能性があるとのことだった。そこで、グループ各社の一部のWebサイトに対する診断をA社グループ内で実施できるようにするための内製化推進プロジェクト(以下、Sプロジェクトという)を立ち上げた。
セキュリティ推進部のZさんは、Sプロジェクトを担当することになった。ZさんはこれまでもB社への診断の依頼を担当しており、診断の準備から診断結果の報告まで、診断全体をおおむね把握していた。
[プロジェクトの進め方]
Sプロジェクトは、B社の支援を得ながら、表1のとおり進めることにした。B社からは、セキュリティコンサルタントで情報処理安全確保支援士(登録セキスペ)であるY氏の支援を受けることになった。
[フェーズ1:診断項目の決定]
Sプロジェクトでは、診断項目を決めた。
[フェーズ2:診断ツールの選定]
B社がWebサイトの診断にツールVを使っていることもあり、A社はツールVを購入することに決めた。ツールVの仕様を図1に示す。
診断対象URLの自動登録機能及び手動登録機能の特徴を表2に示す。
A社は、診断項目のうち、ツールVでは診断ができないものは手動で診断を実施することにした。
下線①について、別の方法を、30字以内で答えよ。:診断対象のWebサイトの設計書を確認するという方法
「Webサイトの全てのURLを診断対象とする場合、①診断対象URLを別の方法で調べる必要がある。」
診断対象URLを調べる方法については、問題文に関連する記述は無さそうです。
静的なWebサイトであればWebサーバに登録されているhtmlファイルを抽出すればいいですが、表2の自動登録機能の特徴に「Webサイトによっては、登録が漏れる場合がある。例えば、遷移先のURLがJavaScriptなどで動的に生成されるような場合である。」とあるように、動的に生成されるURLはhtmlファイルからは確認できません。
別の方法としては、ソースコードを追って確認するか、設計書を確認する方法があり、後者の方が効率的でしょう。