問17  

製造業の A 社では，EC サイト（以下，A 社の EC サイトを A サイトという）を使用し，個人向けの製品販売を行っている。A サイトは，A 社の製品やサービスが検索可能で，ログイン機能を有しており，あらかじめ A サイトに利用登録した個人（以下，会員という）の氏名やメールアドレスといった情報（以下，会員情報という）を管理している。A サイトは，B 社の PaaS で稼働しており，PaaS 上の DBMS とアプリケーションサーバを利用している。 

 A 社は，A サイトの開発，運用を C 社に委託している。A 社と C 社との間の委託契約では，Web アプリケーションプログラムの脆弱性対策は，C 社が実施するとしている。 

 最近，A 社の同業他社が運営している Web サイトで脆弱性が悪用され，個人情報が漏えいするという事件が発生した。そこで A 社は，セキュリティ診断サービスを行っている D 社に，A サイトの脆弱性診断を依頼した。脆弱性診断の結果，対策が必要なセキュリティ上の脆弱性が複数指摘された。図 1 に D 社からの指摘事項を示す。 
 
項番 1  A サイトで利用しているアプリケーションサーバの OS に既知の脆弱性があり，脆弱性を悪用した攻撃を受けるおそれがある。 

項番 2  A サイトにクロスサイトスクリプティングの脆弱性があり，会員情報を不正に取得されるおそれがある。 

項番 3  A サイトで利用している DBMS に既知の脆弱性があり，脆弱性を悪用した攻撃を受けるおそれがある。 
図 1  D 社からの指摘事項 
  

設問  図 1 中の各項番それぞれに対処する組織の適切な組合せを，解答群の中から選べ。 

出典：基本情報技術者試験 サンプル問題

問題について考える

こういうタイプの問題も出るのですね。問題文はひたすら長いですが、良い解説になっている気がします。

PaaSでは、サービス提供者（この場合はB社）がどれだけの範囲に責任を持つのか（問題文でだいたい説明されていますが）、というのがポイントです。

D社の指摘を見る

項番 1  A サイトで利用しているアプリケーションサーバの OS に既知の脆弱性があり，脆弱性を悪用した攻撃を受けるおそれがある。 

OSはB社の責任範囲ですね。

項番 2  A サイトにクロスサイトスクリプティングの脆弱性があり，会員情報を不正に取得されるおそれがある。 

アプリの脆弱性で、委託契約があるので、開発したC社の責任範囲です。

私もずいぶん昔、XSS脆弱性だらけのアプリを作っていたことがあります。今はフレームワークで対処してもらえそうですが、全部自分でやっていると、対応漏れが出そうです。

項番 3  A サイトで利用している DBMS に既知の脆弱性があり，脆弱性を悪用した攻撃を受けるおそれがある。 

PaaSなので、DBMSはB社の範囲ですね。

答え

カ