回答メモ
採点は資格の学校TACさんを参照させていただいてます
予想:30点
設問1 4/4 計 2点
① セキュリティ対策をベース(組み込む)に設計する考え方 △
A 企画・設計工程からセキュリティ対策を組み込むという考えかた
② セキュリティガイドラインにある共通、調達、開発、リソースデプロイ、運用における項目を満たすこと ×
A L社の業務委託先に要求する対策と同等の対策を再委託先にも要求させること
①においてはAI検索で同様の回答を得られた
ニュアンスで答えたが正答もらえるかは微妙 組み込み ⇔ ベース
②表1から探して50文字で抑えれないと考えたが
どんな契約にするかを考慮
*頭には浮かんでたがどう落とし込むかの問題
設問2 4/4/5 計 7点
① 乗っ取られたサーバT以外に配置 (システムQに配置) △
A スクリプトPをダウンロードしシステムQのサーバ上に配置
② HTTPバージョンの確認動作を実装 ×
A スクリプトPを読み込む箇所をソースコードから削除
③ 項番1 外部スクリプトを一覧化すべき情報資産として追加 〇
A 連携している外部サービスを管理者対象に含める
①サーバTが乗っ取られ、サーバQへのアクセスに影響とあるため
システムQに格納する旨を解答すればOK
*限定的すぎるとダメかなと考えてしまった
②古いWebブラウザを読み込むのがPのため
Pを使わないように処理を変更
*問題分からの読み取り 書いてないことから読み取る必要はなし
③おそらくライブラリやAPIなどもあるため外部サービスとして記載
*部分点くらいはもらえる?
設問3 2×4 3×3 計 14
ア 10 〇
イ 4 〇
ウ 5 〇
エ 11 〇
a アクセスログが確認できないサーバがある ×
A 開発環境の踏み台サーバで共有アカウントを利用
b 問題なし 〇
c 問題なし 〇
a 踏み台サーバには~共有アカウントでログイン
表1 項番2に”必要な利用者だけに発行”、アカウントの利用者を特定とあり
前者が引っかかる
設問4 4 計2点
各種ソースコード、ライブラリの一元管理として
バージョン管理が可能になるため △
A 利用しているソフトウェアやそのバージョンが明確になり、脆弱性の影響有無を容易に把握できるから
問題分として脆弱性管理がしやすくなることに関して
有無の把握が足りないがおそらく正解?
設問5 2/3×2 計5点
d 踏み台サーバ 〇
(あ)
開発者端末側で実行するためFWなどのセキュリティ機能による影響を受けない ×
A ツールFで検知できるエラーをより早く発見することができる
(い)
CI/CDパイプラインの管理機能で自動的にワークフローの構成が可能なため 〇
A CI/CDパイプラインの管理機能を使って自動実行することができる
(1) 図1に踏み台サーバを利用することがルールとなっているため指定
(あ) (い)でやることの比較になるような解答に 無駄な工数削減!
(い) 最初の説明にある メリットをピックアップ
