ホーム > 情報処理安全確保支援士試験 > 2021年 春期
情報処理安全確保支援士試験 2021年 春期 午前2 問25
ソフトウェア開発プロセスにおけるセキュリティを確保するための取組について、JIS Q 27001:2014(情報セキュリティマネジメントシステムー要求事項)の附属書Aの管理策に照らして監査を行った。判明した状況のうち、監査人が、監査報告書に指摘事項として記載すべきものはどれか。
ア:ソフトウェア開発におけるセキュリティ機能の試験は、開発期間が終了した後に実施している。(正解)
イ:ソフトウェア開発は、セキュリティ確保に配慮した開発環境において行っている。
ウ:ソフトウェア開発を外部委託している場合、外部委託先による開発活動の監督監視において、セキュリティ確保の観点を考慮している。
エ:パッケージソフトウェアを活用した開発において、セキュリティ確保の観点からパッケージソフトウェアの変更は必要な変更に限定している。
解説
ソフトウェア開発プロセスにおけるセキュリティ確保の監査指摘事項【午前2 解説】
要点まとめ
- 結論:セキュリティ機能の試験を開発終了後にのみ実施するのは不適切であり、監査指摘事項となる。
- 根拠:JIS Q 27001:2014附属書Aでは、セキュリティ対策は開発ライフサイクル全体で継続的に実施すべきと規定されている。
- 差がつくポイント:セキュリティ試験は開発途中から段階的に行い、早期に脆弱性を発見・対処することが重要である点を理解すること。
正解の理由
選択肢アは「セキュリティ機能の試験を開発期間終了後に実施している」とありますが、これはセキュリティ確保の観点から問題です。JIS Q 27001:2014の附属書Aでは、ソフトウェア開発の各段階でセキュリティ対策を講じることが求められており、試験も開発の途中段階から継続的に行う必要があります。開発終了後のみの試験では、早期発見ができずリスクが高まるため、監査報告書に指摘事項として記載すべきです。
よくある誤解
セキュリティ試験は最終段階でまとめて行えば十分と考えがちですが、実際には開発初期から段階的に実施することが重要です。
解法ステップ
- 問題文の「JIS Q 27001:2014附属書Aの管理策」に注目する。
- 各選択肢の内容がセキュリティ確保の観点で適切かを検討する。
- セキュリティ試験のタイミングが適切かどうかを判断する。
- 開発期間終了後のみの試験はリスクが高いと理解し、指摘事項とする。
- 他の選択肢は適切な管理策を示しているため除外する。
選択肢別の誤答解説
- ア: セキュリティ試験を開発終了後のみ実施しているため、早期発見ができず問題。
- イ: セキュリティ配慮した開発環境での作業は適切であり、指摘事項にはならない。
- ウ: 外部委託先の監督監視にセキュリティ観点を考慮しているのは適切な管理策。
- エ: パッケージソフトの変更を必要最小限に限定するのはセキュリティ確保の観点で望ましい。
補足コラム
JIS Q 27001:2014の附属書Aは情報セキュリティマネジメントの具体的な管理策を示しており、ソフトウェア開発においては「安全な開発ライフサイクルの確立」が重要です。これには設計段階からのセキュリティ要件の組み込み、段階的なテスト、脆弱性管理が含まれます。早期に問題を発見し対処することで、後工程でのコスト増加やセキュリティ事故を防止できます。
FAQ
Q: なぜセキュリティ試験は開発途中から行う必要があるのですか?
A: 早期に脆弱性を発見し修正することで、後工程での修正コストやリスクを大幅に削減できるためです。
A: 早期に脆弱性を発見し修正することで、後工程での修正コストやリスクを大幅に削減できるためです。
Q: 外部委託先の監督監視でセキュリティを考慮するポイントは?
A: 委託先の開発プロセスやセキュリティ対策の遵守状況を定期的に確認し、必要に応じて改善を促すことが重要です。
A: 委託先の開発プロセスやセキュリティ対策の遵守状況を定期的に確認し、必要に応じて改善を促すことが重要です。
関連キーワード: JIS Q 27001, 情報セキュリティマネジメント, ソフトウェア開発, セキュリティ試験, 開発ライフサイクル, 監査指摘事項