今回も情報処理安全確保支援士の試験勉強の内容をアウトプットをしていきます。
勉強に使ったのはこちら
章の終わりにあるCheck問題に私なりの答えで解答していきます。
今回は8.1章:システム開発工程とセキュリティ対策のCheck問題です。
【Q1】要件定義工程において実施すべきセキュリティ対策について述べよ。
①セキュリティ基本方針の決定
セキュリティ目標・セキュリティ品質管理体制・セキュリティ規格・基準などの基本方針を決定する。
②リスク分析の実施
この段階ではシステムの詳細な仕様は確定していないため、大まかな構成やアクセス権などの情報から主に想定される脅威を洗い出す。
③セキュリティ要件の決定
セキュリティ基本要件・セキュリティ実装要件・アプリケーションセキュリティ要件・システムセキュリティ管理要件の決定を行う。
【Q2】システム方式設計工程において実施すべきセキュリティ対策について述べよ。
セキュリティ設計および構築手順書の整備を行う。
【Q3】ユーザインターフェース時設計/システム構造設計/プログラム構造設計工程において実施すべきセキュリティ対策について述べよ。
セキュリティ設計および構築手順書の整備を行うとともに、セキュアプログラミングガイド文書の整備を行う。
【Q4】システム基盤構築/プログラミング/プログラミングテスト工程において実施すべきセキュリティ対策について述べよ。
セキュアシステム基盤構築や、セキュアプログラミング/ソースコードレビューを行う。
【Q5】結合テスト/システムテスト/運用テスト・移行工程において実施すべきセキュリティ対策について述べよ。
本番移行前脆弱性検査を行う。
【Q6】本番移行後(運用・保守)において実施すべきセキュリティ対策について述べよ。
運用後脆弱性検査を行う。
私が使っているのは2022年版のテキストですが、2024年版も出ています。