情報処理技術者試験、情報処理安全確保支援士試験の午後問題を通じて、情報セキュリティの知識を体系的に蓄積していきましょう。

　キーワードに加え、設計やインシデント対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、情報処理安全確保支援士となった後も能力向上のために学習できるいい機会です。

　今回は、「Webサイトのセキュリティ診断項目」を取り上げた「情報処理安全確保支援士試験 平成30年度 春期 午後2 問2 設問3」です。

　問題文中、設問に該当する部分ですぐに解答を説明しています。

　ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

情報処理安全確保支援士試験 平成30年度 春期 午後2 問2 設問3

問2　Webサイトのセキュリティに関する次の記述を読んで、設問1〜6に答えよ。

（略）

【自社による診断の実施検討】

　的確な診断を実施できる体制を作るには、A社内で診断する項目（以下、A社診断項目という）を定め、その項目の診断手順に診断員が習熟する必要があり、H課長は、診断手順の作成と習熟には、1年は掛かると考えた。それを少しでも短くするために、診断経験があり、登録セキスペでもある部下のQさんと一緒にA社診断項目と診断手順を検討した。

　診断の結果、外部で公開されていた診断項目を参考にして、Webアプリに関するA社診断項目を図4のとおり定めた。

c：ディレクトリ、d：クロスサイト、e：HTTP、f：ジャッキング 

　IPAの「安全なウェブサイトの作り方」では、対応する必要がある脆弱性を以下のとおり11個挙げています。このような基本的なセキュリティ項目は常にチェックして暗記しておけば、最新のセキュリティ情報に関するアンテナ感度を高く維持できます。

1. SQLインジェクション
2. OSコマンド・インジェクション
3. パス名パラメータの未チェック/ディレクトリ・トラバーサル
4. セッション管理の不備
5. クロスサイト・スクリプティング（XSS）
6. CSRF（クロスサイト・リクエスト・フォージェリ）
7. HTTPヘッダ・インジェクション
8. メールヘッダ・インジェクション
9. クリックジャッキング
10. バッファオーバフロー
11. アクセス制御や認可制御の欠落

www.ipa.go.jp

　診断方法には、自動診断ツールによる診断と手動による診断がある。A社では自動診断ツールとして、自動診断ツールJを使う予定である。自動診断ツールによる診断は効率的だが、ツールによっては診断できない項目もある。そこで、2人は両方の診断方法を組み合わせることにした。それを踏まえて作成した診断手順書第1版を図5に示す。

　その後、A社の情報システム部のメンバ3名が、Qさんのトレーニングを受け、診断チームを結成した。しかし、トレーニングを受けただけでは、最初から精度の高い診断結果を安定して出せないかもしれない。そこで、当初はセキュリティ専門業者が診断を実施する際に同時に診断を実施することとし、両者の診断結果を比較・検証して、経験を積むことにした。

【出典：情報処理安全確保支援士試験 平成30年度 春期 午後2問2（一部、加工あり）】