基本情報技術者試験のサンプル問題(科目B)を解いてみよう。
今回のテーマは、「ECサイトにおける責任」である。
問17
製造業の A 社では,EC サイト(以下,A 社の EC サイトを A サイトという)を使用し,個人向けの製品販売を行っている。A サイトは,A 社の製品やサービスが検索可能で,ログイン機能を有しており,あらかじめ A サイトに利用登録した個人(以下,会員という)の氏名やメールアドレスといった情報(以下,会員情報という)を管理している。A サイトは,B 社の PaaS で稼働しており,PaaS 上の DBMS とアプリケーションサーバを利用している。
A 社は,A サイトの開発,運用を C 社に委託している。A 社と C 社との間の委託契約では,Web アプリケーションプログラムの脆弱性対策は,C 社が実施するとしてい
る。
最近,A 社の同業他社が運営している Web サイトで脆弱性が悪用され,個人情報が漏えいするという事件が発生した。そこで A 社は,セキュリティ診断サービスを行っている D 社に,A サイトの脆弱性診断を依頼した。脆弱性診断の結果,対策が必要なセキュリティ上の脆弱性が複数指摘された。図 1 に D 社からの指摘事項を示す。
設問 図 1 中の各項番それぞれに対処する組織の適切な組合せを,解答群の中から選べ。
正解:カ
この問題は、誰がどのセキュリティ上の問題に対応すべきかを問うものである。
図1の「脆弱性の指摘事項」に対して、契約関係・システム構成・責任分担を基に、適切な組み合わせを選ぶ。
問題のポイント整理
Aサイトの構成と関係者の役割は以下のとおりである。
| 組織 | 役割 |
|---|---|
| A社 | 製造業の企業。Aサイトの運営元(個人向け製品の販売を行う)。 |
| B社 | Aサイトが稼働するPaaS(クラウドサービス)を提供している会社。DBMSやOSなどの基盤を提供。 |
| C社 | Aサイトの開発・運用を委託されている会社。Webアプリの脆弱性対策を契約上担っている。 |
| D社 | セキュリティ診断を行った会社。 |
各項番の責任者を考えよう
● 項番1:アプリケーションサーバのOSに脆弱性
- OSの脆弱性は、PaaS上で稼働しているアプリケーションサーバのインフラ部分。
- つまり、PaaSを提供しているB社の責任。
● 項番2:クロスサイトスクリプティング(XSS)
- これはWebアプリケーションの脆弱性。
- 委託契約でWebアプリケーションの脆弱性対策はC社が実施するとある。
- よって、C社の責任。
● 項番3:DBMSに既知の脆弱性
- DBMSはPaaS上で提供されており、OSと同様に基盤の一部。
- つまり、PaaS提供者であるB社の責任。
正解は カ となる。
まとめ
- PaaSのOSやDBMSの脆弱性 → PaaS提供者(B社)の責任
- Webアプリケーションの脆弱性(XSSなど) → 開発・運用を受託し、契約で責任を持つ会社(C社)
コメント