R7春 情報処理安全確保支援士 午後問1のメモ

はじめに

R7春 情報処理安全確保支援士試験 午後問1に関するメモです。 問題 および 解答例 はIPAの公式サイトを確認してください。

用語メモ

• セキュリティ・バイ・デザイン
  企画・設計の段階からセキュリティ対策を組み込むという考え方。
• SBOM（Software Bill of Materials）
  ソフトウェアを構成するコンポーネントの名称やバージョン情報などを記載した「ソフトウェア部品表」。
  SBOM導入・運用の手引き（IPA） より。
• オフショア拠点
  コスト削減や開発リソースの確保を目的に、海外の自社拠点やパートナー企業に開発を委託する場合の拠点。
• CI/CD（Continuous Integration / Continuous Delivery または Deployment）
  アプリケーション開発の各工程を自動化し、迅速かつ継続的に提供できるようにする手法。
• SAST（Static Application Security Testing）
  ソースコードを静的に解析し、セキュリティ脆弱性を検出する手法。

設問2 (2)

以下は解答例です。その解答に至るまでの推測過程をメモしておきます。

スクリプトPを読み込む箇所をソースコードから削除する

• スクリプトPは、古いWebブラウザをサポートする目的で使用されていた。
• しかし、「古いブラウザのサポートを終了した」。
• つまり、スクリプトPを使用する必要がなくなった。
• よって、「スクリプトPを読み込む箇所をソースコードから削除する」という対応になる。

設問5 (2)

(い) の解答例についても、以下に推測を記載します。

(い) CI/CDパイプライン機能を使って自動実行することができる。

(い) の箇所は、「コンパイルの実行（2）」と「開発リーダーによるレビュー」の間に設定されています。 このフェーズでは、プラットフォームGに関する情報がカギになります。

設問文に以下のような記述があります。

プラットフォームGの機能には、 ソースコードおよび開発ドキュメントのバージョン管理機能、 CI/CDパイプラインの管理機能、 開発対象のSBOM作成機能がある。

このうち、ツールFに関連するのは CI/CDパイプラインの管理機能 と判断できるため、 「CI/CDパイプライン機能を使って自動実行することができる」という解答になったと考えられます。

参考リンク

• オフショア開発拠点国を選ぶ際に知っておきたい国別の特徴
• CI/CDとは（Red Hat）
• 静的解析（SAST：Static Application Security Testing）とは