サンプル問題 [科目B]問17
問17
製造業のA社では,ECサイト(以下,A社のECサイトをAサイトという)を使用し,個人向けの製品販売を行っている。Aサイトは,A社の製品やサービスが検索可能で,ログイン機能を有しており,あらかじめAサイトに利用登録した個人(以下,会員という)の氏名やメールアドレスといった情報(以下,会員情報という)を管理している。Aサイトは,B社のPaaSで稼働しており,PaaS上のDBMSとアプリケーションサーバを利用している。
A社は,Aサイトの開発,運用をC社に委託している。A社とC社との間の委託契約では,Webアプリケーションプログラムの脆弱性対策は,C社が実施するとしている。
最近,A社の同業他社が運営しているWeb サイトで脆弱性が悪用され,個人情報が漏えいするという事件が発生した。そこでA社は,セキュリティ診断サービスを行っているD社に,Aサイトの脆弱性診断を依頼した。脆弱性診断の結果,対策が必要なセキュリティ上の脆弱性が複数指摘された。図1にD社からの指摘事項を示す。
設問 図1中の各項番それぞれに対処する組織の適切な組合せを,解答群の中から選べ。
A社は,Aサイトの開発,運用をC社に委託している。A社とC社との間の委託契約では,Webアプリケーションプログラムの脆弱性対策は,C社が実施するとしている。
最近,A社の同業他社が運営しているWeb サイトで脆弱性が悪用され,個人情報が漏えいするという事件が発生した。そこでA社は,セキュリティ診断サービスを行っているD社に,Aサイトの脆弱性診断を依頼した。脆弱性診断の結果,対策が必要なセキュリティ上の脆弱性が複数指摘された。図1にD社からの指摘事項を示す。
- 項番1
- Aサイトで利用しているアプリケーションサーバのOSに既知の脆弱性があり,脆弱性を悪用した攻撃を受けるおそれがある。
- 項番2
- Aサイトにクロスサイトスクリプティングの脆弱性があり,会員情報を不正に取得されるおそれがある。
- 項番3
- Aサイトで利用しているDBMSに既知の脆弱性があり,脆弱性を悪用した攻撃を受けるおそれがある。
設問 図1中の各項番それぞれに対処する組織の適切な組合せを,解答群の中から選べ。
分類
情報セキュリティ » 情報セキュリティ
正解
カ
解説
〔項番1について〕
Aサイトは、B社のPaaS上のアプリケーションサーバとDBMSを利用して稼働しています。PaaS(Platform as a Service)は、ネットワーク、サーバ、OS、ストレージなど、ソフトウェアを開発し稼働させるためのプラットフォーム(共通の基盤)をサービスの形で提供するものです。PaaSにおいて、プラットフォームの維持管理はサービス事業者側の責任で行われるので、アプリケーションサーバの脆弱性管理に対処するのは「B社」となります。
〔項番2について〕
クロスサイトスクリプティングは、Webアプリケーションのセキュリティ上の不備を突いて、動的に生成されるWebページに悪意のあるスクリプトを混入させることで、攻撃者が仕込んだ操作を実行させたり、別のサイトを介してユーザのクッキーや個人情報を盗んだりする攻撃です。Aサイトのうち検索機能やログイン機能の部分はWebアプリケーションであり、その実装上の不備が原因ですので、AサイトのWebアプリケーションの脆弱性対策を委託されている「C社」が対処すべき事案となります。
〔項番3について〕
項番1と同じく、DBMSはB社のPaaSとして提供されているので、脆弱性に対処するのはサービス事業者である「B社」となります。
したがって「カ」の組合せが適切です。
Aサイトは、B社のPaaS上のアプリケーションサーバとDBMSを利用して稼働しています。PaaS(Platform as a Service)は、ネットワーク、サーバ、OS、ストレージなど、ソフトウェアを開発し稼働させるためのプラットフォーム(共通の基盤)をサービスの形で提供するものです。PaaSにおいて、プラットフォームの維持管理はサービス事業者側の責任で行われるので、アプリケーションサーバの脆弱性管理に対処するのは「B社」となります。
〔項番2について〕
クロスサイトスクリプティングは、Webアプリケーションのセキュリティ上の不備を突いて、動的に生成されるWebページに悪意のあるスクリプトを混入させることで、攻撃者が仕込んだ操作を実行させたり、別のサイトを介してユーザのクッキーや個人情報を盗んだりする攻撃です。Aサイトのうち検索機能やログイン機能の部分はWebアプリケーションであり、その実装上の不備が原因ですので、AサイトのWebアプリケーションの脆弱性対策を委託されている「C社」が対処すべき事案となります。
〔項番3について〕
項番1と同じく、DBMSはB社のPaaSとして提供されているので、脆弱性に対処するのはサービス事業者である「B社」となります。
したがって「カ」の組合せが適切です。