サンプル問題 科目B 問17
問17
製造業の A 社では,EC サイト(以下,A 社の EC サイトを A サイトという)を使用し,個人向けの製品販売を行っている。A サイトは,A 社の製品やサービスが検索可能で,ログイン機能を有しており,あらかじめ A サイトに利用登録した個人(以下,会員という)の氏名やメールアドレスといった情報(以下,会員情報という)を管理している。A サイトは,B 社の PaaS で稼働しており,PaaS 上の DBMS とアプリケーションサーバを利用している。
A 社は,A サイトの開発,運用を C 社に委託している。A 社と C 社との間の委託契約では,Web アプリケーションプログラムの脆弱性対策は,C 社が実施するとしている。
最近,A 社の同業他社が運営している Web サイトで脆弱性が悪用され,個人情報が漏えいするという事件が発生した。そこで A 社は,セキュリティ診断サービスを行っている D 社に,A サイトの脆弱性診断を依頼した。脆弱性診断の結果,対策が必要なセキュリティ上の脆弱性が複数指摘された。図 1 に D 社からの指摘事項を示す。
項番 1 A サイトで利用しているアプリケーションサーバの OS に既知の脆弱性があり,脆弱性を悪用した攻撃を受けるおそれがある。
項番 2 A サイトにクロスサイトスクリプティングの脆弱性があり,会員情報を不正に取得されるおそれがある。
項番 3 A サイトで利用している DBMS に既知の脆弱性があり,脆弱性を悪用した攻撃を受けるおそれがある。
図 1 D 社からの指摘事項
設問 図 1 中の各項番それぞれに対処する組織の適切な組合せを,解答群の中から選べ。
出典:基本情報技術者試験 サンプル問題
問題について考える
こういうタイプの問題も出るのですね。問題文はひたすら長いですが、良い解説になっている気がします。
PaaSでは、サービス提供者(この場合はB社)がどれだけの範囲に責任を持つのか(問題文でだいたい説明されていますが)、というのがポイントです。
D社の指摘を見る
項番 1 A サイトで利用しているアプリケーションサーバの OS に既知の脆弱性があり,脆弱性を悪用した攻撃を受けるおそれがある。
OSはB社の責任範囲ですね。
項番 2 A サイトにクロスサイトスクリプティングの脆弱性があり,会員情報を不正に取得されるおそれがある。
アプリの脆弱性で、委託契約があるので、開発したC社の責任範囲です。
私もずいぶん昔、XSS脆弱性だらけのアプリを作っていたことがあります。今はフレームワークで対処してもらえそうですが、全部自分でやっていると、対応漏れが出そうです。
項番 3 A サイトで利用している DBMS に既知の脆弱性があり,脆弱性を悪用した攻撃を受けるおそれがある。
PaaSなので、DBMSはB社の範囲ですね。
答え
カ