【解答速報】情報処理安全確保支援士 令和7年度春季【午後問1】
syun03情報処理安全確保支援士の解答速報作成いたしました。秋は時間がなかったので1年ぶり。
毎年のことながら速報なので8割くらいの正答率だと思います。
間違っていそうな箇所は不明点あればコメント頂けますと助かります。
- 1. 問1 サプライチェーンのリスク対策
- 1.1. 設問1 について答えよ。
- 1.1.1. (1) 本文中の下線1について,どのような考え方か答えよ。
- 1.1.2. (2) 本文中の下線2について,明記すべき事項を,50字以内で答えよ。
- 1.2. 設問2 について答えよ。
- 1.2.1. (1) 本文中の下線3について,影響を受けない配置方法を答えよ。
- 1.2.2. (2) 本文中の下線4について,加えた変更を,具体的に答えよ。
- 1.2.3. (3) 本文中の下線5について、修正した項番と修正内容を答えよ。
- 1.3. 設問3 について答えよ。
- 1.3.1. (1) 表2中のア~エに入れる適切な項番を答えよ。
- 1.3.2. (2) 表2中のa~cに入れる適切な字句を答えよ。
- 1.4. 設問4 本文中の下線6について,脆弱性管理がしやすくなる理由を、具体的に答えよ。
- 1.5. 設問5 について答えよ。
- 1.5.1. (1)本文中のdに入れる適切な字句を、図2中の名称で答えよ。
- 1.5.2. (2) 本文中の下線7について,(あ),(い)で実行する利点を,それぞれ40字以内で答えよ。
問1 サプライチェーンのリスク対策
設問1 [ガイドラインの作成]について答えよ。
(1) 本文中の下線1について,どのような考え方か答えよ。
解答
製品の企画や設計のフェーズからセキュリティ対策を組み込むことで、サイバーセキュリティを確保しておく考え⽅
解説
知識問題です。IPAの参考リンクも記載しておきます。
(2) 本文中の下線2について,明記すべき事項を,50字以内で答えよ。
解答
- 再委託先に対しても、契約と同等レベルの秘密保持契約(NDA)を締結させることを義務づける。
- 再委託先に対しても委託先同等の情報セキュリティ管理措置を講じさせる
解説
どちらかではなく両方の記載して完答だと思います。
ポイントは、再委託先に対しても委託先同等の管理レベルを求めるということ。
わからない場合でも、問題文を読み進めていくと図1に関連する記載がありますのでここから抜粋できます。
派遣元及び業務委託先との間では, L社のセキュリティポリシーの順守とプロジェクトでのセキュリティルールの順守について契約書で定めている。N社との業務委託契約には,N 社内のセキュリティ管理についての実施事項及びN社が再委託を行わないことを明記している。 N社での委託契約の順守状況を定期的な監査によって確認する。
設問2 [過去のインシデントの確認]について答えよ。
(1) 本文中の下線3について,影響を受けない配置方法を答えよ。
解答
自社のサーバにダウンロードして使用する
解説
サーバTが乗っ取られて改ざんされたことが原因なので、改ざん前の問題なかった状態のスクリプトPを自社サーバにダウンロードしてきて使用している場合は影響を受けない。
(2) 本文中の下線4について,加えた変更を,具体的に答えよ。
解答
ブラウザはサポートされていない旨のメッセージを表示する
解説
古いwebブラウザをサポートしていないという対応は一般的です。
例えばyahooに古いブラウザでアクセスすると下記のメッセージが表示されます。
このような表示をすることで、このブラウザでは正しくページが表示されない場合があることと
対応ブラウザでアクセスすることをユーザに通知することができます。
(3) 本文中の下線5について、修正した項番と修正内容を答えよ。
解答
項番:1
修正内容:使用している外部スクリプトの一覧を追加
解説
項番10は「開発したソフトウェア」を対象にしているので、外部スクリプトなど自社で開発していないリソースは記載されません。
項番10以外でリソース管理・一覧化に関連するのは項番1のみになります。
設問3 [ガイドラインを用いた点検の実施]について答えよ。
(1) 表2中のア~エに入れる適切な項番を答えよ。
解答
10
| ア | 10 |
| イ | 4 |
| ウ | 5 |
| エ | 11 |
解説
(2) 表2中のa~cに入れる適切な字句を答えよ。
解答
| a | ユーザごとのアカウントを使用していない アクセスログが取れないサーバがある |
| b | 問題なし |
| c | 問題なし |
解説
設問4 本文中の下線6について,脆弱性管理がしやすくなる理由を、具体的に答えよ。
解答
使っているソフトウェアのバージョンが把握でき脆弱性が見つかった際に自動で判定することもできるため
解説
SBOMがあれば他のツールと連携することで自動で脆弱性があるかを監視・通知することもできます
設問5 [開発工程のセキュリティ対策についての確認]について答えよ。
(1)本文中のdに入れる適切な字句を、図2中の名称で答えよ。
解答
踏み台サーバ
解説
システムSの開発サーバにアクセスする際は踏み台サーバにログインする必要があることは図1の10で述べられています。
テストなどのためにシステムSの開発系サーバがあるLAN (以下, 開発 LAN という)に アクセスする際には一旦, 踏み台サーバにログインする
(2) 本文中の下線7について,(あ),(い)で実行する利点を,それぞれ40字以内で答えよ。
解答
| (あ) | 早い段階でチェックすることができる |
| (い) | 複数機能を連携させたチェックができる |
解説
必要な情報はすべて問題文図3にあると考え、情報を整理します。
ツールFはコンパイルエラーが解消されたソースコードに対して実行できるため、(あ)または(い)の箇所で実行することになります。
図3を見ると(あ)の位置は「開発者の端末」で(い)の位置はプラットフォームGでの検査になります。
さらに、注に記載があるのはプラットフォームGでの検査は「複数の開発者が変更した内容を反映させた上で」とのことで複数機能による検査ができると読み取れます。
