情報セキュリティ

基本情報技術者試験ソフトウェアサプライチェーン」の問題

情報セキュリティ情報セキュリティ難易度:normal
L社は自社サービスの一部を外部の開発会社へ委託している。委託先の開発環境が侵害され、納品されるソフトウェアに不正なコードが混入する事態を懸念している。委託元として講じる対策として、最も適切なものはどれか。
順守すべきセキュリティ水準を取り決めに明記し、受け取った成果物を確かめる手順を定める。
委託先の選定は開発費用の安さのみを基準に行い、コストを最優先する。
納品されたソフトウェアは内容を一切検証せず、委託先を全面的に信頼して受領後すぐに本番環境へそのまま展開する。
委託先との連絡はすべて口頭で行い、要求事項を文書には残さないようにする。
正解
順守すべきセキュリティ水準を取り決めに明記し、受け取った成果物を確かめる手順を定める。

委託先経由の混入リスクには、委託元として求めるセキュリティ要件を契約で明確に定めて遵守を義務付け、さらに納品物に不正なコードがないかを検証する受入手順を確立して、契約と検証の両輪で管理するのが適切である。委託先任せにしない点が重要である。

?選択肢ごとの解説

ア ○委託先経由の混入リスクには、委託元として求めるセキュリティ要件を契約で明確に定めて遵守を義務付け、さらに納品物に不正なコードがないかを検証する受入手順を確立して、契約と検証の両輪で管理するのが適切である。委託先任せにしない点が重要である。
イ ×費用の安さのみで選定するとセキュリティ水準を確認できず、委託先の脆弱な体制を通じた混入リスクをむしろ高める。
ウ ×検証せず即展開するのは、混入したコードをそのまま本番へ持ち込むことを意味し、懸念しているリスクを放置する最悪の対応である。
エ ×連絡を口頭のみとし文書を残さないと、要求事項の合意も責任の所在も曖昧になり、要件の遵守を求める根拠が失われる。

くわしく

ソフトウェアサプライチェーンセキュリティでは、自社が直接管理できない委託先・調達先も攻撃面となる。委託元の責務として、契約によるセキュリティ要件の明確化と、納品物の検証(受入時のコード確認や来歴の確認)を組み合わせ、信頼を検証で裏付けることが要諦である。

本番での押さえどころ

試験のコツ

委託先経由の混入対策は『契約でセキュリティ要件を明確化+納品物を検証』。信頼任せ・コスト最優先は誤り。

覚え方

委託は『約束(契約)と検品(検証)』。任せきりにせず、要件を契約に書き、納品物を確かめる。

よくある誤り

委託先を信頼して検証を省く、あるいはコストのみで選ぶ。サプライチェーンでは『信頼するが検証する』姿勢が必要である。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0120

【基本情報技術者試験】ソフトウェアサプライチェーンの問題 — 解答・解説|ukamiru 過去問