ECサイトの脆弱性に対処する組織|科目B情報セキュリティを解くための重要用語
2025-04-21 更新
この連載は、基本情報技術者試験の受験者を対象としたものです。
毎回1問ずつ、科目Bの情報セキュリティの問題を取り上げて、問題の中にある用語の意味と、問題の解き方を説明します。
用語の意味がわかれば、科目Bの情報セキュリティの問題は、それほど難しくない、ということを知ってください。
問題
今回の問題は、ECサイトの脆弱性に対処する組織がテーマです。
以下に問題を示しますので、本文、設問、選択肢に、ざっと目を通してください。
後で用語の意味を説明してから、再度問題を見ていただきますので、今はざっとでOKです。
問題(出典:2022年12月公開サンプル問題セット問17)
製造業のA社では,ECサイト(以下,A社のECサイトをAサイトという)を使用し,個人向けの製品販売を行っている。
Aサイトは,A社の製品やサービスが検索可能で,ログイン機能を有しており,あらかじめAサイトに利用登録した個人(以下,会員という)の氏名やメールアドレスといった情報(以下,会員情報という)を管理している。Aサイトは,B社のPaaSで稼働しており,PaaS上のDBMSとアプリケーションサーバを利用している。
A社は,Aサイトの開発,運用をC社に委託している。A社とC社との間の委託契約では,Web アプリケーションプログラムの脆弱性対策は,C社が実施するとしている。
最近,A社の同業他社が運営しているWebサイトで脆弱性が悪用され,個人情報が漏えいするという事件が発生した。そこでA社は,セキュリティ診断サービスを行っているD社に,Aサイトの脆弱性診断を依頼した。脆弱性診断の結果,対策が必要なセキュリティ上の脆弱性が複数指摘された。図1にD社からの指摘事項を示す。
【設問】
図1中の各項番それぞれに対処する組織の適切な組合せを,解答群の中から選べ。
【解答群】
問題の中にある用語の意味
以下に、今回の問題中にある重要な用語の意味を示します。
ここでは、用語の一般的な意味だけでなく、その用語から問題を読み取るポイントも示しています。
用語の意味がわかったら、もう一度問題を読み直してください。きっとスラスラと理解できるはずです。
各社の役割を整理すると、以下になります。・・・用語の説明の「この問題では」に記述
A社・・・Aサイト(ECサイト)を使って個人向けの商品販売をします。
B社・・・PaaSを提供します。Aサイトは、PaaS上のDBMSとアプリケーションサーバを利用します。
ここで、注意してほしいのは、PaaSは、ハードウェア、OS、ミドルウェア(DBMSとアプリケーションサーバ)を提供しますが、アプリケーションは提供しないことです。
C社・・・Aサイトの開発と運営を委託され、Webアプリケーションの脆弱性対策は、C社が実施する契約になっています。
D社・・・Aサイトの脆弱性診断をします。
ECサイト
意味「EC(Electric Commerce=電子商取引)サイト」は、自社の製品やサービスをインターネット上で販売するためのWebサイトです。この問題では、ECサイトであることは、設問には関係ありません。
脆弱性
意味「脆弱性」は、プログラムに欠陥や不具合があることが原因で、外部からの攻撃を防げないことです。「セキュリティホール(セキュリティ上の欠陥)」とも呼ばれます。この問題では、OS、DBMS、Aサイトに脆弱性があります。
OS
意味「OS(Operating System)」は、コンピュータを操作するための基本機能を提供するソフトウェアです。OSの上で動作するソフトウェアをアプリケーションと呼びます。この問題では、OSがPaaSとして提供されています。したがって、OSの脆弱性は、PaaSを提供している組織が対処するべきです。PaaSという用語の意味は、後で説明します。
DBMS
意味「DBMS(Data Base Management System)」は、データベースの機能を提供するソフトウェアです。DBMSは、OSでもなく、アプリケーションでもなく、それらの間に存在するものなので、「ミドルウェア」と呼ばれます。この問題では、DBMSがPaaSとして提供されています。したがって、DBMSの脆弱性は、PaaSを提供している組織が対処するべきです。
アプリケーションサーバ
意味「アプリケーションサーバ」は、アプリケーションを実行する機能を持ったサーバです。DBMSと同様に、アプリケーションサーバもミドルウェアです。この問題では、アプリケーションサーバがPaaSとして提供されています。したがって、アプリケーションサーバの脆弱性は、PaaSを提供している組織が対処するべきです。
PaaS
意味「PaaS(Platform as a Service)」は、アプリケーションを実行するための土台となるハードウェア、OS、ミドルウェア(DBMSやアプリケーションサーバなど)を、ネットワーク上のサービスとして提供します(アプリケーションは提供しません)。この問題では、B社のPaaSを使って、A社のECサイト(Webアプリケーション)を稼働させています。したがって、PaaSに関する脆弱性は、PaaSを提供しているB社が対処するべきです。
クロスサイトスクリプティング
意味「クロスサイトスクリプティング」は、悪意のあるWebサイトを経由して、脆弱性のあるWebサイトに接続し、そこで悪意のあるスクリプト(HTMLやプログラム)を実行する攻撃です。この問題では、Aサイト(アプリ)にクロスサイトスクリプティングの脆弱性があります。
問題の解き方
この手の問題を解くときには、常識的に考える、ということが重要です。
常識的に考えて、問題の項番1、2、3に示された脆弱性に対処する組織は、それらを提供している組織、または、それぞれの対処を実施することを契約している組織でしょう。
項番1のOSの既知の脆弱性に対処するのは、OSがPaaSとして提供されるので、PaaSを提供しているB社です。
項番2のクロスサイトスクリプティングの脆弱性に対処するのは、クロスサイトスクリプティングがWebアプリケーション(ここではAサイト)に対する攻撃なので、委託契約でWebアプリケーションの脆弱性対策を実施することになっているC社です。
項番3のDBMSの既知の脆弱性に対処するのは、DBMSがPaaSとして提供されているので、PaaSを提供しているB社です。
以上のことから、選択肢カが正解です。
【正解】
選択肢カ
もしも、今回の問題を見て「自分には用語の知識が不足している」と感じたなら、科目Bの問題だけでなく、科目A(および旧制度の午前試験)の問題も練習することをお勧めします。
科目Aの問題の多くは、用語の意味をテーマにしているので、知識の補充ができるからです。
情報セキュリティの分野だけでなく、それに関連するネットワークやシステム構成要素の分野の問題も練習してください。
それでは、またお会いしましょう!
label 関連タグ免除試験を受けた 74.9% の方が、科目A免除資格を得ています。
※独習ゼミは、受験ナビ運営のSEプラスによる試験対策eラーニングです。
『プログラムはなぜ動くのか』(日経BP)が大ベストセラー
IT技術を楽しく・分かりやすく教える“自称ソフトウェア芸人”
大手電気メーカーでPCの製造、ソフトハウスでプログラマを経験。独立後、現在はアプリケーションの開発と販売に従事。その傍ら、書籍・雑誌の執筆、またセミナー講師として活躍。軽快な口調で、知識0ベースのITエンジニアや一般書店フェアなどの一般的なPCユーザの講習ではダントツの評価。
お客様の満足を何よりも大切にし、わかりやすい、のせるのが上手い自称ソフトウェア芸人。
主な著作物
- 「プログラムはなぜ動くのか」(日経BP)
- 「コンピュータはなぜ動くのか」(日経BP)
- 「出るとこだけ! 基本情報技術者」 (翔泳社)
- 「ベテランが丁寧に教えてくれる ハードウェアの知識と実務」(翔泳社)
- 「ifとelseの思考術」(ソフトバンククリエイティブ) など多数
