セキュア開発

情報セキュリティマネジメント試験資格情報の管理」の問題

情報セキュリティ対策・実装技術セキュア開発難易度:hard
P社は会員向けWebサービスを自社開発・運用する従業員約120名のIT企業である。利用者の個人情報を扱い、開発チームはクラウド上に構築した環境で在宅勤務を交えて作業している。Q主任が技術面のセキュリティを担当し、公開Webアプリの安全性と、社外からの開発環境への接続の安全確保が課題となっている。 開発者が、データベースの接続パスワードをソースコードに直接書き込み、社外の共有リポジトリへ誤って公開してしまった。再発防止策として最も適切なものはどれか。
パスワードをより短く単純な文字列に変更しておくこと。
ソースコードの字下げや書式を整えて読みやすくすること。
資格情報をコードに直書きせず安全に分離して管理する。
リポジトリの画面の配色を変えて見やすくしておくこと。
正解
資格情報をコードに直書きせず安全に分離して管理する。

接続パスワードなどの資格情報をソースコードに直書きすると、公開時にそのまま漏えいする。資格情報は環境変数や専用の秘密管理の仕組みで分離し、コードに含めないことが再発防止の要点である。

?選択肢ごとの解説

ア ×短く単純なパスワードは強度が下がり、漏えい対策である本問の再発防止の趣旨に逆行する。
イ ×書式整形は可読性の話で、資格情報の漏えいを防ぐ本問の再発防止策とは無関係である。
ウ ○接続パスワードなどの資格情報をソースコードに直書きすると、公開時にそのまま漏えいする。資格情報は環境変数や専用の秘密管理の仕組みで分離し、コードに含めないことが再発防止の要点である。
エ ×配色変更は使い勝手の話で、資格情報の流出を防ぐ本問の再発防止策とは関係がない。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。

情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-b-jirei2-0004

【情報セキュリティマネジメント試験】資格情報の管理の問題と解答・解説|ukamiru 過去問