基本情報技術者 2012年 秋期 午前(科目A) 問57
問題文
ソースコードのバージョン管理システムが導入された場合に、システム監査において、ソースコードの機密性のチェックポイントとして追加することが適切なものはどれか。
選択肢
ア:バージョン管理システムに登録した変更結果を責任者が承認していること
イ:バージョン管理システムのアクセスコントロールの設定が適切であること(正解)
ウ:バージョン管理システムの導入コストが適正な水準にあること
エ:バージョン管理システムを開発部門が選定していること
##: ソースコードのバージョン管理システム導入時の機密性チェックポイント【午前2 解説】
要点まとめ
- 結論: 正解はイ。バージョン管理システムのアクセスコントロールが適切であることが機密性を直接担保します(最小権限と認証・認可で不正閲覧や持ち出しを防止)。
- 根拠: 機密性は「誰が何にアクセスできるか」で決まり、アクセス制御・認証・監査ログが揃って初めて効果を発揮します。
- 差がつくポイント: 設定の粒度、ロールベース/ACL、多要素認証、監査ログ保存と定期レビュー、リポジトリ暗号化の有無まで確認することが重要です。
正解の理由
アクセスコントロール(認証・認可)はソースコードの機密性を直接管理する機構であり、誰がリポジトリを閲覧・複製・変更できるかを制限します。機密情報漏洩は不適切な権限設定や共有設定から起きるため、監査で優先的に確認すべき項目です。その他の選択肢(承認手続き、コスト、選定者)は管理運用や品質、ガバナンスに関係しますが、機密性そのものを直接保証するものではありません。
よくある誤解
- 承認プロセス(ア)があれば機密性は担保される:承認は変更管理や責任追跡に有効ですが、閲覧制限やリポジトリへのアクセス制御とは別の問題です。
- コストの適正(ウ)や選定主体(エ)がセキュリティの主要評価基準になる:導入コストや選定者は管理上の要因であり、機密性評価の直接指標ではありません。
- 単に認証があるだけで十分と考える誤り:認証だけではなく、細かい権限設定(最小権限)、ログ、認可、MFAなど複合的な対策が必要です。
解法ステップ
- 問題文の目的を確認:機密性(Confidentiality)のチェックポイントを問うている。
- 各選択肢が「機密性」に直接寄与するかを検討する。
- 「誰がアクセスできるか」を制御する仕組みが最も直接的であることを重視する。
- 最も該当する選択肢(アクセスコントロール)が正解であると判断する。
選択肢別の誤答解説
- ア: バージョン管理システムに登録した変更結果を責任者が承認していること
- 誤り。承認は変更の正当性や責任の明確化に寄与するが、閲覧・複製など機密性の一次的制御にはならない。
- イ: バージョン管理システムのアクセスコントロールの設定が適切であること
- 正解。誰がどのリポジトリやブランチにアクセスできるかの制御は機密性確保の核心であり、監査項目として妥当である。
- ウ: バージョン管理システムの導入コストが適正な水準にあること
- 誤り。コストは導入判断の経済的側面であり、機密性の技術的・運用的評価とは性質が異なる。
- エ: バージョン管理システムを開発部門が選定していること
- 誤り。選定主体はガバナンスや利便性に関係するが、機密性の担保自体を示すものではない。
補足コラム
監査で具体的に確認すべきアクセス制御関連項目:
- リポジトリ/プロジェクト単位の権限設定(読み取り・書き込み・管理者)と最小権限の適用状況。
- 多要素認証(MFA)やSSOとの連携状況。
- 管理者権限の分離と特権アカウント管理。
- ブランチ保護ルール(マージ制御、コードレビュー必須設定)。
- アクセスログ、操作ログの取得・保管期間・改ざん防止(タイムスタンプ・外部ログ保存)。
- リモートアクセス時の安全なプロトコル(SSH/HTTPS、証明書管理)と通信の機密化。
- ソース内の機密情報(APIキー等)検出・管理手順と秘密情報の暗号化・監視。
監査手順の一例:アクセスログの抜き取り・権限一覧の照合・管理者操作の追跡・外部委託先のアクセス可否確認。
FAQ
Q1: 承認フローは全く不要ですか?
A1: 不要ではありません。承認は変更管理や責任追跡に重要ですが、機密性の担保はアクセス制御や認証・ログで評価します。
A1: 不要ではありません。承認は変更管理や責任追跡に重要ですが、機密性の担保はアクセス制御や認証・ログで評価します。
Q2: 個人のローカルPCのコピーも機密性の監査対象ですか?
A2: はい。リポジトリからの不正コピーやクローンが起点になるため、端末管理やエンドポイントの制御も監査対象になります。
A2: はい。リポジトリからの不正コピーやクローンが起点になるため、端末管理やエンドポイントの制御も監査対象になります。
Q3: どの証拠書類を要求すればよいですか?
A3: 権限割当一覧、アクセスログ、ブランチ保護設定画面のスクリーンショット、MFA/SSO設定資料、運用手順書を要求してください。
A3: 権限割当一覧、アクセスログ、ブランチ保護設定画面のスクリーンショット、MFA/SSO設定資料、運用手順書を要求してください。
Q4: クラウド型サービスとオンプレの違いで注意点は?
A4: クラウドは提供者側の多層防御(物理・ネットワーク)を確認しつつ、テナント内のアクセス制御設定とログ取得の可用性を重点確認します。オンプレはホスト/ネットワーク側のアクセス管理も監査範囲です。
A4: クラウドは提供者側の多層防御(物理・ネットワーク)を確認しつつ、テナント内のアクセス制御設定とログ取得の可用性を重点確認します。オンプレはホスト/ネットワーク側のアクセス管理も監査範囲です。
関連キーワード: バージョン管理、機密性、アクセスコントロール、監査ポイント、リポジトリ管理、最小権限、ログ監査、MFA、ブランチ保護、コードレビュー
\ せっかくなら /
基本情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!