【情報処理安全確保支援士試験 令和5年度 春期 午後2 問1 No.6】

情報処理安全確保支援士試験 令和5年度 春期 午後2 問1

【出典：情報処理安全確保支援士試験 令和5年度 春期 午後2 問1（一部、加工あり）】

[フェーズ6]
 Zさんは、フェーズ5の診断で残った二つの課題についての対策を検討し、グループ各社から同意を得た上で、A社グループの診断手順を完成させた。
 セキュリティ推進部は、制定したA社グループの診断手順をグループ各社に展開した。

診断開始までに要する時間の課題について、A社で取り入れている管理策を参考にした対策を、40字以内で具体的に答えよ。：グループ各社で資産管理システムを導入し、Webサイトの情報を管理する。

 診断開始までに要する時間の課題については、問題文の「まず、Zさんは、診断対象URL、アカウントなど、診断に必要な情報をK社に確認した。しかし、サイトNについては診断に必要な情報が一元管理されていなかったので、確認の回答までに1週間掛かった。診断開始までに要する時間が課題として残った。」が該当します。
 サイトNについて診断に必要な情報が一元管理されていないことが課題でした。
 これに対するA社で取り入れている管理策を探すと、問題文の前半に「A社では、資産管理システムを利用し、IT資産の管理を効率化している。Webサイトの立上げ時は、資産管理システムへのWebサイトの概要、システム構成、IPアドレス、担当者などの登録申請が必要である。」とあります。
 グループ各社でも資産管理システムを展開して、Webサイトの情報を管理することで、診断開始までの時間を短縮できます。

B社のサポート費用の課題について、B社に対して同じ問合せを行わず、問合せ件数を削減するために、A社グループではどのような対策を実施すべきか。セキュアコーディング規約の必須化や開発者への教育以外で、実施すべき対策を50字以内で具体的に答えよ。：B社への問合せ窓口をA社の診断部門に設置し、窓口が蓄積した情報をA社グループ内で共有する。

 サポート費用の課題については、問題文の「開発部Nは、B社の支援によって対応を終えることができたが、B社へ頻繁に問い合わせることになった結果、B社のサポート費用が高額になった。サポート費用をどう抑えるかが課題として残った。」が該当します。
 B社への問合せについて、問題文に「そこで、Zさんは、”開発者への報告の際に、診断結果の報告内容が脆弱性なのか偽陽性なのか、その判断を開発者に委ねる。一方、診断結果の報告内容における脆弱性の内容、リスク及び対策について、開発者がB社に直接問い合わせる。”という案にした。なお、B社のサポート費用は、問合せ件数に比例するチケット制である。グループ各社がB社とサポート契約を結ぶが、費用は、当面A社がまとめて支払い、後日グループ各社と精算する。」とあるように、開発者が直接B社に問合せしており、その問合せ件数に比例してサポート費用が増加することになっています。
 この記述から想定できることは、開発者間で問合せ内容を共有していないと重複した問合せであってもサポート費用が増加していってしまうことでしょう。
 したがって、対策としては、B社への問い合わせを開発者が直接行うことをやめ、問合せ窓口の一元化と情報の共有を図ることです。