基本情報技術者 2015年 秋期 午前(科目A) 問59
問題文
ソースコードのバージョン管理システムが導入された場合に、システム監査において、ソースコードの機密性のチェックポイントとして追加することが適切なものはどれか。
選択肢
ア:バージョン管理システムに登録したソースコードの変更結果を責任者が承認していること
イ:バージョン管理システムのアクセスコントロールの設定が適切であること(正解)
ウ:バージョン管理システムの導入コストが適正な水準にあること
エ:バージョン管理システムを開発部門が選定していること
ソースコードのバージョン管理システムが導入された場合に、システム監査において、ソースコードの機密性のチェックポイントとして追加することが適切なものはどれか。【午前2 解説】
要点まとめ
- 結論→ソースコードの機密性を守るには、バージョン管理システムのアクセスコントロール設定が適切かどうかを重点的に確認することが必須です。
- 根拠→アクセスコントロールは「誰が」「どのリポジトリ/ブランチに」「どの操作をできるか」を直接制御し、不正閲覧や漏えいを防ぐ第一の防御層になります。
- 差がつくポイント→最小権限の付与、ブランチ保護、認証(MFA/SSO)、鍵/トークン管理、ログと定期的なアクセスレビューを組み合わせて検証してください。
正解の理由
選択肢の中で機密性(Confidentiality)に直接関係するのは、アクセス制御の適切性を確認することです。バージョン管理システムへの不正アクセスや過剰な権限付与があれば、ソースコードは容易に閲覧・ダウンロードされ、情報漏えいにつながります。したがってアクセスコントロール設定(認証方式、権限管理、ブランチ保護、アクセスログ等)の適切性を監査チェックポイントとして追加することが最も妥当です。
よくある誤解
- 「承認(レビュー)済み=機密が守られている」
承認は変更管理や整合性(Integrity)に関係しますが、承認プロセス自体は機密性を保証しません。承認されても閲覧権限が広ければ漏えいリスクは残ります。 - 「コストや導入者が安全性に直結する」
導入コストや選定者の所属(開発部門等)はガバナンスや運用の問題であり、機密性の技術的チェックポイントではありません。 - 「アクセス制御はパスワードだけ」
認証方式(MFA/SSO)、鍵・トークン管理、API権限や外部サービス連携まで含めて評価する必要があります。
解法ステップ
- 設問の条件(監査対象が「ソースコードの機密性」)を確認する。
- 各選択肢が「機密性」に直接影響するかを切り分ける(機密性/完全性/可用性/ガバナンスの観点)。
- 「アクセスできる範囲」を制御する選択肢を選ぶ。機密性は「誰が見られるか」が本質なのでアクセス制御を選ぶ。
- 迷ったらキーワードで判定:「アクセス」「権限」「閲覧」「漏えい」は機密性を示す合図です。
選択肢別の誤答解説
- ア: バージョン管理システムに登録したソースコードの変更結果を責任者が承認していること
→ 変更承認は変更管理・責任追跡(整合性・説明責任)に関する項目であり、機密性チェックポイントとして直接的ではありません。 - イ: バージョン管理システムのアクセスコントロールの設定が適切であること
→ 正解。誰がいつどのリポジトリ/ブランチを閲覧・取得できるかを制御する点が機密性に直結します。 - ウ: バージョン管理システムの導入コストが適正な水準にあること
→ 導入コストは経営判断や予算管理の観点であって、監査で確認すべき機密性の技術的チェックポイントではありません。 - エ: バージョン管理システムを開発部門が選定していること
→ 選定主体はガバナンスや利便性の問題であり、機密性そのものの評価項目ではありません。利害や偏りの検討は別途行うべきですが、機密性チェックとは直接無関係です。
補足コラム
監査での具体的チェック項目(実務でのチェックリスト例)
- 認証方式:SSO導入、MFA有無、パスワードポリシーの確認。
- 権限管理:リポジトリ/組織単位のロール設定、最小権限原則に基づく割当。
- ブランチ保護:保護されたブランチ、強制レビュールール、マージ制限の設定。
- 鍵・トークン管理:SSHキーの登録状況、個人トークンの有効期限やスコープ。
- ログ・監査証跡:アクセスログ、クローン/ダウンロード履歴、管理者操作ログの保存と閲覧可能性。
- 外部連携:CI/CDやパッケージレジストリとの連携設定、サードパーティの権限確認。
- リポジトリの可視化範囲:公開/非公開設定、フォークやミラーリングの制御。
監査証拠としては、設定画面のスクリーンショット、権限一覧、ログ抽出結果、アクセスレビュー記録が有効です。
簡単な技術的確認例(実務メモ)
- テストアカウントで「閲覧のみ」「書込み不可」を試し、想定どおり分離されているか確認します。
- 管理側の監査ログに不審なIPや異常なクローン回数がないかログ集計を行います。
FAQ
Q: 承認フローが厳密なら機密性のチェックは不要ですか?
A: いいえ。承認は変更の整合性や責任追跡に寄与しますが、閲覧権限や複製制御は別途確認が必要です。
A: いいえ。承認は変更の整合性や責任追跡に寄与しますが、閲覧権限や複製制御は別途確認が必要です。
Q: クラウド型のGitサービスでも同じチェックで良いですか?
A: はい。クラウドでも認証、権限、ブランチ保護、ログ保持、外部連携の設定を重点的に監査してください。運用責任分界(責任分界点)も確認します。
A: はい。クラウドでも認証、権限、ブランチ保護、ログ保持、外部連携の設定を重点的に監査してください。運用責任分界(責任分界点)も確認します。
Q: 公開リポジトリになっている場合の対応は?
A: 公開リポジトリは機密性を満たさないため、機密コードが含まれていないか、誤って含まれていた場合の除去と原因対策、アクセス制御改善を求めます。
A: 公開リポジトリは機密性を満たさないため、機密コードが含まれていないか、誤って含まれていた場合の除去と原因対策、アクセス制御改善を求めます。
Q: ソースコードの暗号化は必須ですか?
A: 通常はアクセス制御とログ管理で対応しますが、特に高リスクな機密情報を含む場合はリポジトリ保存時の暗号化や暗号化されたアーティファクトでの管理を検討します。
A: 通常はアクセス制御とログ管理で対応しますが、特に高リスクな機密情報を含む場合はリポジトリ保存時の暗号化や暗号化されたアーティファクトでの管理を検討します。
関連キーワード: バージョン管理、ソースコード管理、アクセスコントロール、機密性、監査、Git、SVN、ブランチ保護、ログ監査、最小権限
\ せっかくなら /
基本情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!