情報処理技術者試験、情報処理安全確保支援士試験の午後問題を通じて、情報セキュリティの知識を体系的に蓄積していきましょう。

　キーワードに加え、設計やインシデント対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、情報処理安全確保支援士となった後も能力向上のために学習できるいい機会です。

　今回は、「セキュリティ対策標準（CIS Benchmarks/OWASP ASVS）、CVSS、回帰テスト、レビュー」を取り上げた「情報処理安全確保支援士試験 令和元年度 秋期 午後2問1設問3」です。

　問題文中、設問に該当する部分ですぐに解答を説明しています。

　ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

情報処理安全確保支援士試験 令和元年度 秋期 午後2 問1 設問3

問1　ソフトウェア開発におけるセキュリティ対策に関する次の記述を読んで、設問1〜4に答えよ。

（略）

【DevOpsにおけるセキュリティ向上策】

　B氏は、DBMS-Rを稼働させた際に行った設定変更がマルウェアXの侵入を招いたとして、開発・運用プロセスについて、図5に示す提案をした。

 

　S社では図5の提案を検討した。

　設計プロセスでは、セキュリティ対策の漏れを防ぐために、③参考になりそうなセキュリティ対策の標準を利用することにした。

③について、該当する用語を解答群の中から全て選び、記号で答えよ。

解答群

　ア　CIS Benchmarks　　イ　FedRAMP　　ウ　OWASP ASVS

　エ　OWASP ZAP　　オ　QUIC　　カ　X.509

• CISベンチマーク（CIS Benchmarks）とは、米国CIS（Center for Internet Security）が策定したソフトウェア構成のガイドラインの標準で、OS、ミドルウェア、アプリケーションでのセキュリティ対策の参考になるものです。
• FedRAMP（Federal Risk and Authorization Management Program）とは、米国連邦政府で用いられているクラウドサービスの調達におけるセキュリティ評価のための枠組みです。
• OWASP ASVS（OWASP Application Security Verification Standard）とは、アプリケーションに必要とされるセキュリティ要件をまとめたもので、セキュリティ対策の参考になるものです。なお、OWASP（Open Web Application Security Project）は、Webアプリケーションのセキュリティ分野のOSSコミュニティです。
• OWASP ZAP（OWASP Zed Attack Proxy）とは、Webアプリケーションの脆弱性診断ツールです。
• QUIC（Quick UDP Internet Connection）とは、Googleが開発したUDP上で通信を行うプロトコルです。
• X.509とは、ITU-Tが策定したPKI（Public Key Infrastructure、公開鍵基盤）の規格です。

　実装プロセスでは、セキュアコーディング基準として広く知られているCERTコーディングスタンダードを利用することにした。CERTコーディングスタンダードの順守によって、脆弱性の作り込み防止だけでなく、コードの移植性及び保守性の向上も期待できる。

　検証プロセスでは、Webアプリの脆弱性診断をリリースの都度、外部に委託するとリリースが遅れるので、自社内で行うことを検討した。

　運用プロセスでは、自社内で使用している実行環境の脆弱性情報の収集を強化することにした。その際、④収集する情報を必要十分な範囲に絞るため、情報収集に先立って必要な措置を取ることにした。また、脆弱性情報が報告された際、社内で（き：CVSSによる脆弱性アセスメント）を実施する。これによって、脆弱性修正プログラム（以下、パッチという）を適用すべきであると判断した場合、検証環境でパッチを適用し（く：回帰テスト）を行った上で、問題がなければ、本番環境にパッチを適用する。ただし、検証環境を準備する必要がある。さらに、図6に示すシステム変更手順を検討した。

④の必要な措置とは何か。60字以内で述べよ。：S社のシステムを構成する実行環境のバージョン情報を把握して、その情報を常に最新にしておくこと

　「収集する情報を必要十分な範囲に絞るため」とあり、S社のシステムに関係する情報のみを対象にすることが想像できるでしょう。

　通常、脆弱性情報の収集には、システムの構成情報を管理する構成管理プロセスが必要です。

　構成管理プロセスでは、システムを構成する要素の名称やバージョンを最新状態にして管理します。

（き）（く）に入れる適切な字句を解答群の中から選び、記号で答えよ。

解答群

　ア　CVSSによる脆弱性アセスメント　　イ　TTX

　ウ　回帰テスト　　エ　ストレステスト

　オ　パッチの作成

　システムで利用する要素に関する脆弱性情報が報告された場合、その脆弱性のリスクを評価し、緊急性を判断します。

　リスク評価はアセスメントともいい、脆弱性に関するリスク評価は脆弱性アセスメントのことです。

　CVSS（Common Vulnerability Scoring System、共通脆弱性評価システム）とは、脆弱性アセスメントの一つで、客観的な尺度で脆弱性の深刻度を表すものです。

　そして、本番環境へのパッチ適用の前に、検証環境でパッチ適用後のシステムの動作確認を行います。

　このような確認は、回帰テスト（または、リグレッションテスト）と呼ばれます。

 

【出典：情報処理安全確保支援士試験 令和元年度 秋期 午後2問1】

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2019h31_2/2019r01a_sc_pm2_qs.pdf

け：レビュー、こ：第三者

　計画、作業手順書作成の後で、作業の前に行うものとしては、計画や作業手順書が適切なものであるかを確認するためのレビューになります。

　そして、計画や作業手順書を作成した担当者や、承認者であるリーダとは別の第三者によるレビューが望ましい形態です。