セキュア開発
情報セキュリティマネジメント試験「資格情報の管理」の問題
P社は会員向けWebサービスを自社開発・運用する従業員約120名のIT企業である。利用者の個人情報を扱い、開発チームはクラウド上に構築した環境で在宅勤務を交えて作業している。Q主任が技術面のセキュリティを担当し、公開Webアプリの安全性と、社外からの開発環境への接続の安全確保が課題となっている。
開発者が、データベースの接続パスワードをソースコードに直接書き込み、社外の共有リポジトリへ誤って公開してしまった。再発防止策として最も適切なものはどれか。
アパスワードをより短く単純な文字列に変更しておくこと。
イソースコードの字下げや書式を整えて読みやすくすること。
ウ資格情報をコードに直書きせず安全に分離して管理する。
エリポジトリの画面の配色を変えて見やすくしておくこと。
正解
ウ.資格情報をコードに直書きせず安全に分離して管理する。
接続パスワードなどの資格情報をソースコードに直書きすると、公開時にそのまま漏えいする。資格情報は環境変数や専用の秘密管理の仕組みで分離し、コードに含めないことが再発防止の要点である。
?選択肢ごとの解説
ア ×短く単純なパスワードは強度が下がり、漏えい対策である本問の再発防止の趣旨に逆行する。
イ ×書式整形は可読性の話で、資格情報の漏えいを防ぐ本問の再発防止策とは無関係である。
ウ ○接続パスワードなどの資格情報をソースコードに直書きすると、公開時にそのまま漏えいする。資格情報は環境変数や専用の秘密管理の仕組みで分離し、コードに含めないことが再発防止の要点である。
エ ×配色変更は使い勝手の話で、資格情報の流出を防ぐ本問の再発防止策とは関係がない。
セキュア開発の他の問題
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-b-jirei2-0004
