基本情報技術者試験「ソフトウェアサプライチェーン」の問題
L社は自社サービスの一部を外部の開発会社へ委託している。委託先の開発環境が侵害され、納品されるソフトウェアに不正なコードが混入する事態を懸念している。委託元として講じる対策として、最も適切なものはどれか。
ア順守すべきセキュリティ水準を取り決めに明記し、受け取った成果物を確かめる手順を定める。
イ委託先の選定は開発費用の安さのみを基準に行い、コストを最優先する。
ウ納品されたソフトウェアは内容を一切検証せず、委託先を全面的に信頼して受領後すぐに本番環境へそのまま展開する。
エ委託先との連絡はすべて口頭で行い、要求事項を文書には残さないようにする。
正解
ア.順守すべきセキュリティ水準を取り決めに明記し、受け取った成果物を確かめる手順を定める。
委託先経由の混入リスクには、委託元として求めるセキュリティ要件を契約で明確に定めて遵守を義務付け、さらに納品物に不正なコードがないかを検証する受入手順を確立して、契約と検証の両輪で管理するのが適切である。委託先任せにしない点が重要である。
?選択肢ごとの解説
ア ○委託先経由の混入リスクには、委託元として求めるセキュリティ要件を契約で明確に定めて遵守を義務付け、さらに納品物に不正なコードがないかを検証する受入手順を確立して、契約と検証の両輪で管理するのが適切である。委託先任せにしない点が重要である。
イ ×費用の安さのみで選定するとセキュリティ水準を確認できず、委託先の脆弱な体制を通じた混入リスクをむしろ高める。
ウ ×検証せず即展開するのは、混入したコードをそのまま本番へ持ち込むことを意味し、懸念しているリスクを放置する最悪の対応である。
エ ×連絡を口頭のみとし文書を残さないと、要求事項の合意も責任の所在も曖昧になり、要件の遵守を求める根拠が失われる。
✎くわしく
ソフトウェアサプライチェーンセキュリティでは、自社が直接管理できない委託先・調達先も攻撃面となる。委託元の責務として、契約によるセキュリティ要件の明確化と、納品物の検証(受入時のコード確認や来歴の確認)を組み合わせ、信頼を検証で裏付けることが要諦である。
✓本番での押さえどころ
試験のコツ
委託先経由の混入対策は『契約でセキュリティ要件を明確化+納品物を検証』。信頼任せ・コスト最優先は誤り。
覚え方
委託は『約束(契約)と検品(検証)』。任せきりにせず、要件を契約に書き、納品物を確かめる。
よくある誤り
委託先を信頼して検証を省く、あるいはコストのみで選ぶ。サプライチェーンでは『信頼するが検証する』姿勢が必要である。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0120