ホーム > 情報処理安全確保支援士試験 > 2011年 春期
情報処理安全確保支援士試験 2011年 春期 午前2 問14
共通フレーム2007に従いシステム開発の要件定義の段階で実施することとして,適切なものはどれか。
ア:システムに必要なセキュリティ機能及びその機能が対策として達成すべき内容を決定する。(正解)
イ:システムに必要なセキュリティ機能に関連するチェックリストを用いてソースコードをレビューする。
ウ:組織に必要なセキュリティ機能を含むシステム化計画を立案する。
エ:第三者によるシステムのセキュリティ監査を脆弱性評価ツールを用いて定期的に実施する。
解説
共通フレーム2007に従いシステム開発の要件定義の段階で実施することとして,適切なものはどれか。【午前2 解説】
要点まとめ
- 結論:要件定義段階ではシステムに必要なセキュリティ機能とその達成目標を明確に決定することが重要です。
- 根拠:共通フレーム2007は開発プロセスを段階的に定義し、要件定義では「何を実現すべきか」を明確化するフェーズだからです。
- 差がつくポイント:セキュリティ対策の具体的な実装や監査は後工程で行うため、要件定義での「機能決定」と「達成目標設定」を混同しないことが重要です。
正解の理由
選択肢アは「システムに必要なセキュリティ機能及びその機能が対策として達成すべき内容を決定する」とあり、これは要件定義の本質に合致しています。要件定義ではシステムが満たすべき機能や性能、セキュリティ要件を明確にし、後の設計や実装の基盤を作ります。セキュリティ機能の具体的な内容と目標を決めることは、要件定義の重要な役割です。
よくある誤解
要件定義でコードレビューや監査を行うと考えがちですが、これらは設計やテスト、運用段階の活動です。要件定義は「何を作るか」を決める段階であり、「どう作るか」や「作ったものを検証する」段階ではありません。
解法ステップ
- 共通フレーム2007の開発プロセスを理解する(要件定義、設計、実装、テスト、運用など)。
- 要件定義の役割は「システムの機能や性能、制約条件を明確にすること」と認識する。
- 選択肢の内容を要件定義の役割に照らし合わせる。
- セキュリティ機能の決定や達成目標の設定は要件定義に該当する。
- コードレビューや監査は後工程の活動であるため除外する。
- システム化計画の立案は企画段階の活動であり、要件定義とは異なる。
選択肢別の誤答解説
- ア: システムに必要なセキュリティ機能及びその機能が対策として達成すべき内容を決定する。 → 正解。要件定義で行うべき内容。
- イ: システムに必要なセキュリティ機能に関連するチェックリストを用いてソースコードをレビューする。 → 誤り。コードレビューは実装後の検証工程。
- ウ: 組織に必要なセキュリティ機能を含むシステム化計画を立案する。 → 誤り。システム化計画は企画段階の活動であり、要件定義ではない。
- エ: 第三者によるシステムのセキュリティ監査を脆弱性評価ツールを用いて定期的に実施する。 → 誤り。監査は運用段階の活動であり、要件定義の範囲外。
補足コラム
共通フレーム2007は日本のシステム開発標準プロセスで、各工程の役割と成果物を明確に定義しています。要件定義は「何を作るか」を決める重要なフェーズであり、ここでの決定が後の設計・実装・テストの品質に直結します。セキュリティ要件も同様に、初期段階で明確にしなければ後工程での手戻りやリスク増大を招きます。
FAQ
Q: 要件定義でセキュリティ機能を決めるとは具体的に何をするのですか?
A: システムが守るべき情報資産やリスクを分析し、必要な認証・アクセス制御・暗号化などの機能と、それらが満たすべき安全基準を明確にします。
A: システムが守るべき情報資産やリスクを分析し、必要な認証・アクセス制御・暗号化などの機能と、それらが満たすべき安全基準を明確にします。
Q: コードレビューはなぜ要件定義で行わないのですか?
A: コードレビューは実装後の品質検証活動であり、要件定義は「何を作るか」を決める段階なので、役割が異なります。
A: コードレビューは実装後の品質検証活動であり、要件定義は「何を作るか」を決める段階なので、役割が異なります。
Q: システム化計画と要件定義の違いは何ですか?
A: システム化計画は企画段階で、システム導入の目的や全体方針を決めるのに対し、要件定義は具体的な機能や性能を詳細に決める段階です。
A: システム化計画は企画段階で、システム導入の目的や全体方針を決めるのに対し、要件定義は具体的な機能や性能を詳細に決める段階です。
関連キーワード: 共通フレーム2007, 要件定義, セキュリティ要件, システム開発プロセス, 開発工程