基本情報科目Bサンプル問題:問17 情報セキュリティの要点解説:脆弱性診断と対策

セキュリティの学習をしている猫の画像 基本情報技術者
この記事は約4分で読めます。
記事内に広告が含まれています。
広告

脆弱性診断のステップバイステップガイド

基本情報技術者試験科目Bサンプル問題

問17

 製造業のA社では,ECサイト(以下,A社のECサイトをAサイトという)を使用し,個人向けの製品販売を行っている。Aサイトは,A社の製品やサービスが検索可能で,ログイン機能を有しており,あらかじめAサイトに利用登録した個人(以下,会員という)の氏名やメールアドレスといった情報(以下,会員情報という)を管理している。Aサイトは,B社のPaaSで稼働しており,PaaS上のDBMSとアプリケーションサーバを利用している。
A社は,Aサイトの開発,運用をC社に委託している。A社とC社との間の委託契約では,Webアプリケーションプログラムの脆弱性対策は,C社が実施するとしている。
最近,A社の同業他社が運営しているWeb サイトで脆弱性が悪用され,個人情報が漏えいするという事件が発生した。そこでA社は,セキュリティ診断サービスを行っているD社に,Aサイトの脆弱性診断を依頼した。脆弱性診断の結果,対策が必要なセキュリティ上の脆弱性が複数指摘された。図1にD社からの指摘事項を示す。

項番1
Aサイトで利用しているアプリケーションサーバのOSに既知の脆弱性があり,脆弱性を悪用した攻撃を受けるおそれがある。
項番2
Aサイトにクロスサイトスクリプティングの脆弱性があり,会員情報を不正に取得されるおそれがある。
項番3
Aサイトで利用しているDBMSに既知の脆弱性があり,脆弱性を悪用した攻撃を受けるおそれがある。

設問 図1中の各項番それぞれに対処する組織の適切な組合せを,解答群の中から選べ。

   サンプル問題 問17 解答選択肢

 

はじめに

サンプル問題問17は、脆弱性診断と情報セキュリティについて深く掘り下げます。そのシナリオは、製造業の会社Aが脆弱性診断を依頼し、その結果に対応する適切な組織を選ぶ必要があるというものです。この記事では、その問題と答えをステップバイステップで解説し、あなたが同じようなシナリオに遭遇した場合に備えます。

ステップ1:シナリオの理解

まず、問題のシナリオを理解することから始めます。A社はECサイト(Aサイト)を運営し、個人向けの製品販売を行っています。このAサイトは、B社のPaaSで稼働し、PaaS上のDBMSとアプリケーションサーバを利用しています。Aサイトの開発と運用は、C社に委託しています。最近、同業他社のWebサイトで脆弱性が悪用され、個人情報が漏洩した事件がありました。そのため、A社は脆弱性診断サービスを行うD社に、Aサイトの脆弱性診断を依頼しました。

ステップ2:脆弱性診断の結果の解析

次に、脆弱性診断の結果を解析します。脆弱性診断の結果、Aサイトで利用しているアプリケーションサーバのOSに既知の脆弱性があり、脆弱性を悪用した攻撃を受けるおそれがあると指摘されました。

ステップ3:適切な組織の選択

最後に、指摘された脆弱性に対処する適切な組織を選択します。この場合、アプリケーションサーバの脆弱性管理はサービス提供者であるB社が行うべきです。なぜなら、PaaSではプラットフォームの維持管理はサービス提供者の責任であるからです。

 

正解は【カ】

まとめ

基本情報技術者試験の科目Bサンプル問題問17は、情報セキュリティと脆弱性診断について理解を深める良い機会です。本記事では、問題のシナリオの理解から始め、脆弱性診断の結果の解析、そして指摘された脆弱性に対処する適切な組織の選択に至るまでのステップを説明しました。

重要なポイントは、PaaSとして提供されるサービスでは、プラットフォームの維持管理がサービス提供者の責任であるということです。そのため、Aサイトで利用しているアプリケーションサーバの脆弱性管理はB社が行うべきでした。また、Webアプリケーションのセキュリティ上の不備に対処するのは、その開発・運用を委託されているC社の責任でした。

情報セキュリティは、ビジネスの成功にとって非常に重要な要素です。それは、組織がお客様の信頼を維持し、法令遵守を確保し、サービスの中断を防ぐために必要な要素だからです。この記事を通じて、情報セキュリティと脆弱性診断の重要性について再認識し、これからのビジネスや学習に役立てていただければと思います。

公式ページはこちら↓

基本情報技術者試験 科目Bのサンプル問題でアウトプットしよう
解答はこちら

タイトルとURLをコピーしました