ホーム > 情報処理安全確保支援士試験 > 2009年 秋期
情報処理安全確保支援士試験 2009年 秋期 午前2 問15
SLCP(共通フレーム)に従いシステム開発の要件定義の段階で実施することとして,適切なものはどれか。
ア:システムに必要なセキュリティ機能及びその機能が達成すべき保証の程度を決定する。(正解)
イ:システムに必要なセキュリティ機能に関連するチェックリストを用いてソースコードをレビューする。
ウ:組織に必要なセキュリティ機能を含むシステム化計画を立案する。
エ:第三者によるシステムのセキュリティ監査を脆弱性評価ツールを用いて定期的に実施する。
解説
SLCP(共通フレーム)に従いシステム開発の要件定義の段階で実施することとして,適切なものはどれか。【午前2 解説】
要点まとめ
- 結論:要件定義段階ではシステムに必要なセキュリティ機能とその保証レベルを決定することが重要です。
- 根拠:SLCP(共通フレーム)は開発プロセスを段階的に定義し、要件定義では「何を実現すべきか」を明確にするフェーズだからです。
- 差がつくポイント:セキュリティ機能の具体的な設計やレビュー、監査は後工程で行うため、要件定義段階での役割を正確に理解することが合格の鍵です。
正解の理由
ア: システムに必要なセキュリティ機能及びその機能が達成すべき保証の程度を決定する。
要件定義は「システムが満たすべき条件や機能を決める段階」です。セキュリティ機能もシステム要件の一部であり、どのような機能が必要か、どの程度の安全性を保証すべきかを明確にします。これにより、後続の設計や実装で具体的な対策が立てやすくなります。
要件定義は「システムが満たすべき条件や機能を決める段階」です。セキュリティ機能もシステム要件の一部であり、どのような機能が必要か、どの程度の安全性を保証すべきかを明確にします。これにより、後続の設計や実装で具体的な対策が立てやすくなります。
よくある誤解
- セキュリティのチェックや監査は要件定義で行うと思いがちですが、実際は設計やテスト、運用段階で実施します。
- 要件定義は計画やレビューではなく、システムの「何を実現するか」を決めるフェーズです。
解法ステップ
- SLCP(共通フレーム)の各工程の役割を理解する。
- 要件定義段階は「何を作るか」を決めるフェーズであることを確認する。
- セキュリティ機能の決定は要件定義に含まれるが、具体的なレビューや監査は後工程であると認識する。
- 選択肢の内容を工程に照らし合わせて正誤を判断する。
選択肢別の誤答解説
- イ: ソースコードレビューは実装後の検証工程で行うため、要件定義段階の作業ではありません。
- ウ: システム化計画の立案は企画や計画段階の作業であり、要件定義の範囲外です。
- エ: セキュリティ監査や脆弱性評価は運用や保守段階の活動であり、要件定義では実施しません。
補足コラム
SLCP(Software Life Cycle Process)はソフトウェア開発の標準的なプロセスモデルで、企画、要件定義、設計、実装、テスト、運用・保守の各段階に分かれています。要件定義は「何を作るか」を明確にし、品質やセキュリティの基準もここで決めるため、後工程の指針となる重要なフェーズです。
FAQ
Q: 要件定義でセキュリティ機能を決めるとは具体的に何をするのですか?
A: システムに必要な認証、アクセス制御、データ保護などの機能と、それらが満たすべき安全性のレベルを明確にします。
A: システムに必要な認証、アクセス制御、データ保護などの機能と、それらが満たすべき安全性のレベルを明確にします。
Q: セキュリティ監査はなぜ要件定義で行わないのですか?
A: 監査は実際のシステムが設計・実装された後に、要件通りに安全性が確保されているかを検証する工程だからです。
A: 監査は実際のシステムが設計・実装された後に、要件通りに安全性が確保されているかを検証する工程だからです。
関連キーワード: SLCP, 共通フレーム, 要件定義, セキュリティ機能, システム開発プロセス, ソフトウェアライフサイクル