2022年4月25日公開分 [科目B]問6

午前試験免除制度対応!基本情報技術者試験のeラーニング【独習ゼミ】
 製造業のA社では,ECサイト(以下,A社のECサイトをAサイトという)を使用し,個人向けの製品販売を行っている。Aサイトは,A社の製品やサービスが検索可能で,ログイン機能を有しており,あらかじめAサイトに利用登録した個人(以下,会員という)の氏名やメールアドレスといった情報(以下,会員情報という)を管理している。Aサイトは,B社のPaaSで稼働しており,PaaS上のDBMSとアプリケーションサーバを利用している。
 A社は,Aサイトの開発,運用をC社に委託している。A社とC社との間の委託契約では,Webアプリケーションプログラムの脆弱性対策は,C社が実施するとしている。

 最近,A社の同業他社が運営しているWebサイトで脆弱性が悪用され,個人情報が漏えいするという事件が発生した。そこでA社は,セキュリティ診断サービスを行っているD社に,Aサイトの脆弱性診断を依頼した。脆弱性診断の結果,対策が必要なセキュリティ上の脆弱性が複数指摘された。図1にD社からの指摘事項を示す。
  1. Aサイトで利用しているDBMSに既知の脆弱性があり,脆弱性を悪用した攻撃を受けるおそれがある。
  2. Aサイトで利用しているアプリケーションサーバのOSに既知の脆弱性があり,脆弱性を悪用した攻撃を受けるおそれがある。
  3. ログイン機能に脆弱性があり,Aサイトのデータベースに蓄積された情報のうち,会員には非公開の情報を閲覧されるおそれがある。

設問 図1中の項番(一)~(三)それぞれに対処する組織の適切な組合せを,解答群の中から選べ。

b06_1.png
正解 問題へ
分野:情報セキュリティ
カテゴリ:情報セキュリティ
解説
〔項番1について〕
Aサイトは、B社のPaaS上のアプリケーションサーバとDBMSを利用して稼働しています。PaaS(Platform as a Service)は、ネットワーク、サーバ、OS、ストレージなど、ソフトウェアを開発し稼働させるためのプラットフォーム(共通の基盤)をサービスの形で提供するものです。PaaSにおいて、プラットフォームの維持管理はサービス事業者側の責任で行われるので、DBMSの脆弱性管理に対処するのは「B社」となります。

〔項番2について〕
項番1と同じく、OSはB社のPaaSとして提供されているので、脆弱性に対処するのはサービス事業者である「B社」となります。

〔項番3について〕
Aサイトのうち検索機能やログイン機能の部分はWebアプリケーションであり、その実装上の不備が原因ですので、AサイトのWebアプリケーションの脆弱性対策を委託されている「C社」が対処すべき事案となります。

したがって「オ」の組合せが適切です。

Pagetop