新・基本情報 科目 B 情報セキュリティ サンプル問題 解説と勉強方法
2023-03-01 更新
2023 年 4 月から基本情報技術者試験の制度が変更され、特に科目 B 試験(従来の午後試験に該当するもの)の内容が大きく変わります。 科目 B 試験は、「アルゴリズムとプログラミング」と「情報セキュリティ」の 2 つの分野で構成されます。
この記事では、IPA(独立行政法人情報処理推進機構)が公開している「基本情報技術者試験 科目 B のサンプル問題」の中から情報セキュリティの問題を取り上げます。
info
-
科目 B の対策やサンプル問題セット(全 20 問)の解説も公開中!
- 情報セキュリティ サンプル問題セットの解説
- 「科目 B 試験 情報セキュリティ 対策は旧午前試験の過去問で演習」
- アルゴリズムとプログラミング サンプル問題セットの解説
- 「科目 B 試験 アルゴリズムとプログラミング 対策はプログラミングを経験すること」
- アルゴリズムとプログラミング初心者向けの新連載
- 「新しい擬似言語で学ぶ 科目 B アルゴリズムとプログラミング」
サンプル問題(問 6 )
現時点で公開されている情報セキュリティのサンプル問題は、 1 問だけです。以下に、問題を示します。 出題趣旨は、
「パブリッククラウド上での EC サイトのセキュアな運用を題材として、クラウドサービスを利用する際の、委託先などとの適切な責任共有の在り方を判断する能力を問う」
です。
問 6
製造業の A 社では, EC サイト(以下, A 社の EC サイトを A サイトという)を使用し,個人向けの製品販売を行っている。 A サイトは, A 社の製品やサービスが検索可能で,ログイン機能を有しており,あらかじめ A サイトに利用登録した個人(以下,会員という)の氏名やメールアドレスといった情報(以下,会員情報という)を管理している。 A サイトは, B 社の PaaS で稼働しており, PaaS 上の DBMS とアプリケーションサーバを利用している。
A 社は, A サイトの開発,運用を C 社に委託している。A 社と C 社との間の委託契約では, Web アプリケーションプログラムの脆弱性対策は, C 社が実施するとしている。
最近, A 社の同業他社が運営している Web サイトで脆弱性が悪用され,個人情報が漏えいするという事件が発生した。そこで A 社は,セキュリティ診断サービスを行っている D 社に, A サイトの脆弱性診断を依頼した。脆弱性診断の結果,対策が必要なセキュリティ上の脆弱性が複数指摘された。図 1 に D 社からの指摘事項を示す。
- looks_one
- サイトで利用している DBMS に既知の脆弱性があり,脆弱性を悪用した攻撃を受けるおそれがある。
- looks_two
- サイトで利用しているアプリケーションサーバの OS に既知の脆弱性があり,脆弱性を悪用した攻撃を受けるおそれがある。
- looks_3
- ログイン機能に脆弱性があり, A サイトのデータベースに蓄積された情報のうち,会員には非公開の情報を閲覧されるおそれがある。
図 1 D 社からの指摘事項
設問
図 1 中の項番 1. ~ 3. それぞれに対処する組織の適切な組合せを,解答群の中から選べ。
解答群
| looks_one | looks_two | looks_3 | |
|---|---|---|---|
| ア | A 社 | A 社 | A 社 |
| イ | A 社 | A 社 | C 社 |
| ウ | A 社 | B 社 | B 社 |
| エ | B 社 | B 社 | B 社 |
| オ | B 社 | B 社 | C 社 |
| カ | B 社 | C 社 | B 社 |
| キ | B 社 | C 社 | C 社 |
| ク | C 社 | B 社 | B 社 |
| ケ | C 社 | B 社 | C 社 |
| コ | C 社 | C 社 | B 社 |
「適切な責任共有の在り方を判断する能力を問う」
という出題趣旨に沿って、 D 社からの指摘事項 1. ~ 3. に対処する責任がある組織を、 A 社、 B 社、 C 社の中から選んでみましょう。 そのためには、問題文の内容をよく読んで、正解を得るための裏付けを見つけてください。
- looks_one
- 「 A サイトで利用している DBMS に既知の脆弱性があり、脆弱性を悪用した攻撃を受けるおそれがある」
対処する責任があるのは、 B 社です。
なぜなら、 DBMS を提供しているのは、 B 社の PaaS ( Platform as a Service 、 OS や DBMS など、アプリケーションを稼働させるための土台をサービスとして提供すること)だからです。 委託契約を結んでいる C 社に責任があると思われるかもしれませんが、委託契約の内容は
「 Web アプリケーションプログラムの脆弱性対策は、 C 社が実施するとしている」
であり、 DBMS の脆弱性対策は示されていません。
- looks_two
- 「 Aサイトで利用しているアプリケーションサーバの OS に既知の脆弱性があり、脆弱性を悪用した攻撃を受けるおそれがある」
対処する責任があるのは、 B 社です。なぜなら、 OS を提供しているのは、 B 社の PaaS だからです。 OS の脆弱性なので、 OS のメーカーに責任があると思われるかもしれませんが、
「既知の脆弱性」
であることに注意してください。
既知の脆弱性であれば、 OS のメーカーからセキュリティパッチ(脆弱性を修正するためのプログラム)が提供されているはずです。 それを OS に適用していなかったのですから、既知の脆弱性に対する責任は、 B 社にあります。
- looks_3
- 「ログイン機能に脆弱性があり、Aサイトのデータベースに蓄積された情報のうち、会員には非公開の情報を閲覧されるおそれがある」
対処する責任があるのは、 C 社です。 なぜなら、ログイン機能を提供しているのは、 Web アプリケーションであり、
「 Web アプリケーションプログラムの脆弱性対策は、 C 社が実施するとしている」
という委託契約があるからです。
以上のことから、正解は、選択肢オです。
サンプル問題の正解 問 6 - オ
情報セキュリティの出題範囲の変更と勉強方法
IPA は、サンプル問題だけでなく、試験要綱の変更点も公開しています。 以下は、試験要綱に示された情報セキュリティの出題範囲(変更前と変更後)です。 出題範囲に示されている項目を見る前に、分野の名称が「情報セキュリティに関すること」から「情報セキュリティの確保に関すること」に変わり、「確保」という言葉が追加されていることに注目してください。
- 情報セキュリティに関すること
- 情報セキュリティポリシ、情報セキュリティマネジメント、データベースセキュリティ、ネットワークセキュリティ、アプリケーションセキュリティ、物理的セキュリティ、アクセス管理、暗号、認証、不正アクセス対策、マルウェア対策(コンピュータウイルス、ボット、スパイウェアほか)、個人情報保護、など
- 情報セキュリティの確保に関すること
- 情報セキュリティ要求事項の提示(物理的及び環境的セキュリティ、技術的及び運用のセキュリティ)、マルウェアからの保護、バックアップ、ログ取得及び監視、情報の転送における情報セキュリティの維持、脆弱性管理、利用者アクセスの管理、運用状況の点検、など
出題範囲に示されている項目を見てみましょう。
「情報セキュリティ要求事項の提示」
「マルウェアからの保護」
「バックアップ、ログ取得及び監視」
「情報の転送における情報セキュリティの維持」
「脆弱性管理」
「利用者アクセスの管理」
「運用状況の点検」
であり、どの項目も、情報セキュリティ関連の用語や概念ではなく、情報セキュリティの確保に関するものです。 先ほど紹介したサンプル問題は、「脆弱性管理」をテーマにした問題でした。
科目 B 試験の情報セキュリティの対策としては、情報セキュリティ関連の用語や概念を学習することももちろん重要ですが、それだけで終わりにせずに、情報セキュリティの確保に関する学習も必要です。
そのためには、情報セキュリティの過去問題を学習するときに、テクノロジ系(これは用語や概念に該当します)の設問だけでなく、マネジメント系やストラテジ系の設問(これらは情報セキュリティの確保に該当します)にも重点を置いてください。
以上、「基本情報技術者試験 科目 B 試験のサンプル問題」の中から、情報セキュリティの問題を取り上げ、変更前と変更後の出題範囲の違いを説明しました。
2023 年 4 月以降に基本情報技術者試験を受験される方の参考になれば幸いです。
label 関連タグ免除試験を受けた 74.9% の方が、科目A免除資格を得ています。
基本情報技術者試験のシラバス改定|Ver9.0の概要
update
基本情報技術者試験 科目A免除試験 (旧 午前免除試験) の講評 ~ 2024年1月28日実施
update
基本情報技術者試験 科目A免除試験 (旧 午前免除試験) の講評 ~ 2023年12月10日実施
update
基本情報技術者試験 科目A免除試験 (旧 午前免除試験) の講評 ~ 2023年7月23日実施
update
新制度・基本情報技術者試験の過去問(公開問題)からわかる難易度と対策
update
新制度・基本情報技術者試験 6月の合格率も 52.7% と高水準が続く
update
基本情報技術者試験 新制度で出題された過去問題を IPA が公開
update
新制度・基本情報技術者試験 5月の合格率も 54.7% と高水準をキープ。 受験層は若手層に移行
update
基本情報技術者試験 科目A免除試験 (旧 午前免除試験) の講評 ~ 2023年6月11日実施
update
新しい基本情報技術者試験の合格率が発表! 予想通り初月は 56.4% と高水準のスタート
update『プログラムはなぜ動くのか』(日経BP)が大ベストセラー
IT技術を楽しく・分かりやすく教える“自称ソフトウェア芸人”
大手電気メーカーでPCの製造、ソフトハウスでプログラマを経験。独立後、現在はアプリケーションの開発と販売に従事。その傍ら、書籍・雑誌の執筆、またセミナー講師として活躍。軽快な口調で、知識0ベースのITエンジニアや一般書店フェアなどの一般的なPCユーザの講習ではダントツの評価。
お客様の満足を何よりも大切にし、わかりやすい、のせるのが上手い自称ソフトウェア芸人。
主な著作物
- 「プログラムはなぜ動くのか」(日経BP)
- 「コンピュータはなぜ動くのか」(日経BP)
- 「出るとこだけ! 基本情報技術者」 (翔泳社)
- 「ベテランが丁寧に教えてくれる ハードウェアの知識と実務」(翔泳社)
- 「ifとelseの思考術」(ソフトバンククリエイティブ) など多数
