新・基本情報 科目 B 情報セキュリティ サンプル問題 解説と勉強方法


2022-07-07 更新

2023 年 4 月から基本情報技術者試験の制度が変更され、特に科目 B 試験(従来の午後試験に該当するもの)の内容が大きく変わります。 科目 B 試験は、「アルゴリズムとプログラミング」と「情報セキュリティ」の 2 つの分野で構成されます。

この記事では、IPA(独立行政法人情報処理推進機構)が公開している「基本情報技術者試験 科目 B のサンプル問題」の中から情報セキュリティの問題を取り上げます。

サンプル問題(問 6 )

現時点で公開されている情報セキュリティのサンプル問題は、 1 問だけです。以下に、問題を示します。 出題趣旨は、

「パブリッククラウド上での EC サイトのセキュアな運用を題材として、クラウドサービスを利用する際の、委託先などとの適切な責任共有の在り方を判断する能力を問う」

です。

問 6

 製造業の A 社では, EC サイト(以下, A 社の EC サイトを A サイトという)を使用し,個人向けの製品販売を行っている。 A サイトは, A 社の製品やサービスが検索可能で,ログイン機能を有しており,あらかじめ A サイトに利用登録した個人(以下,会員という)の氏名やメールアドレスといった情報(以下,会員情報という)を管理している。 A サイトは, B 社の PaaS で稼働しており, PaaS 上の DBMS とアプリケーションサーバを利用している。

 A 社は, A サイトの開発,運用を C 社に委託している。A 社と C 社との間の委託契約では, Web アプリケーションプログラムの脆弱性対策は, C 社が実施するとしている。

 

 最近, A 社の同業他社が運営している Web サイトで脆弱性が悪用され,個人情報が漏えいするという事件が発生した。そこで A 社は,セキュリティ診断サービスを行っている D 社に, A サイトの脆弱性診断を依頼した。脆弱性診断の結果,対策が必要なセキュリティ上の脆弱性が複数指摘された。図 1 に D 社からの指摘事項を示す。

looks_one
サイトで利用している DBMS に既知の脆弱性があり,脆弱性を悪用した攻撃を受けるおそれがある。
looks_two
サイトで利用しているアプリケーションサーバの OS に既知の脆弱性があり,脆弱性を悪用した攻撃を受けるおそれがある。
looks_3
ログイン機能に脆弱性があり, A サイトのデータベースに蓄積された情報のうち,会員には非公開の情報を閲覧されるおそれがある。

図 1 D 社からの指摘事項

設問

図 1 中の項番 1. ~ 3. それぞれに対処する組織の適切な組合せを,解答群の中から選べ。

解答群

looks_one looks_two looks_3
A 社 A 社 A 社
A 社 A 社 C 社
A 社 B 社 B 社
B 社 B 社 B 社
B 社 B 社 C 社
B 社 C 社 B 社
B 社 C 社 C 社
C 社 B 社 B 社
C 社 B 社 C 社
C 社 C 社 B 社

「適切な責任共有の在り方を判断する能力を問う」

という出題趣旨に沿って、 D 社からの指摘事項 1. ~ 3. に対処する責任がある組織を、 A 社、 B 社、 C 社の中から選んでみましょう。 そのためには、問題文の内容をよく読んで、正解を得るための裏付けを見つけてください。

looks_one
「 A サイトで利用している DBMS に既知の脆弱性があり、脆弱性を悪用した攻撃を受けるおそれがある」

対処する責任があるのは、 B 社です。

なぜなら、 DBMS を提供しているのは、 B 社の PaaS ( Platform as a Service 、 OS や DBMS など、アプリケーションを稼働させるための土台をサービスとして提供すること)だからです。 委託契約を結んでいる C 社に責任があると思われるかもしれませんが、委託契約の内容は

「 Web アプリケーションプログラムの脆弱性対策は、 C 社が実施するとしている」

であり、 DBMS の脆弱性対策は示されていません。

looks_two
「 Aサイトで利用しているアプリケーションサーバの OS に既知の脆弱性があり、脆弱性を悪用した攻撃を受けるおそれがある」

対処する責任があるのは、 B 社です。なぜなら、 OS を提供しているのは、 B 社の PaaS だからです。 OS の脆弱性なので、 OS のメーカーに責任があると思われるかもしれませんが、

「既知の脆弱性」

であることに注意してください。

既知の脆弱性であれば、 OS のメーカーからセキュリティパッチ(脆弱性を修正するためのプログラム)が提供されているはずです。 それを OS に適用していなかったのですから、既知の脆弱性に対する責任は、 B 社にあります。

looks_3
「ログイン機能に脆弱性があり、Aサイトのデータベースに蓄積された情報のうち、会員には非公開の情報を閲覧されるおそれがある」

対処する責任があるのは、 C 社です。 なぜなら、ログイン機能を提供しているのは、 Web アプリケーションであり、

「 Web アプリケーションプログラムの脆弱性対策は、 C 社が実施するとしている」

という委託契約があるからです。

 

以上のことから、正解は、選択肢オです。

サンプル問題の正解 問 6 - オ

情報セキュリティの出題範囲の変更と勉強方法

IPA は、サンプル問題だけでなく、試験要綱の変更点も公開しています。 以下は、試験要綱に示された情報セキュリティの出題範囲(変更前と変更後)です。 出題範囲に示されている項目を見る前に、分野の名称が「情報セキュリティに関すること」から「情報セキュリティの確保に関すること」に変わり、「確保」という言葉が追加されていることに注目してください。

変更前
情報セキュリティに関すること
情報セキュリティポリシ、情報セキュリティマネジメント、データベースセキュリティ、ネットワークセキュリティ、アプリケーションセキュリティ、物理的セキュリティ、アクセス管理、暗号、認証、不正アクセス対策、マルウェア対策(コンピュータウイルス、ボット、スパイウェアほか)、個人情報保護、など
変更後
情報セキュリティの確保に関すること
情報セキュリティ要求事項の提示(物理的及び環境的セキュリティ、技術的及び運用のセキュリティ)、マルウェアからの保護、バックアップ、ログ取得及び監視、情報の転送における情報セキュリティの維持、脆弱性管理、利用者アクセスの管理、運用状況の点検、など

出題範囲に示されている項目を見てみましょう。

「情報セキュリティ要求事項の提示」
「マルウェアからの保護」
「バックアップ、ログ取得及び監視」
「情報の転送における情報セキュリティの維持」
「脆弱性管理」
「利用者アクセスの管理」
「運用状況の点検」

であり、どの項目も、情報セキュリティ関連の用語や概念ではなく、情報セキュリティの確保に関するものです。 先ほど紹介したサンプル問題は、「脆弱性管理」をテーマにした問題でした。

 

科目 B 試験の情報セキュリティの対策としては、情報セキュリティ関連の用語や概念を学習することももちろん重要ですが、それだけで終わりにせずに、情報セキュリティの確保に関する学習も必要です。

そのためには、情報セキュリティの過去問題を学習するときに、テクノロジ系(これは用語や概念に該当します)の設問だけでなく、マネジメント系やストラテジ系の設問(これらは情報セキュリティの確保に該当します)にも重点を置いてください。

以上、「基本情報技術者試験 科目 B 試験のサンプル問題」の中から、情報セキュリティの問題を取り上げ、変更前と変更後の出題範囲の違いを説明しました。

2023 年 4 月以降に基本情報技術者試験を受験される方の参考になれば幸いです。

label 関連タグ
新制度でも、
午前免除できます。
独習ゼミで科目 A 試験を免除しましょう。
免除試験を受けた 86% の方が、
1 年間の午前免除資格を得ています。
2023 年 春 向けコース
最大 10 % OFF !
info_outline
2023 年 春 向けコース
最大 10 % OFF !
詳しく見てみるplay_circle_filled
label これまでの『資格ガイド』の連載一覧 label 著者