設問6 【開発プロセスの見直し】について、(1)〜(4)に答えよ。
(1)下線⑤について、該当する脆弱性を二つ挙げ、それぞれ15字以内で答えよ。
解答:①セッション管理の脆弱性、②認可・アクセス制御の脆弱性
表1の項番4・5を見比べると、①セッション管理の脆弱性、②認可・アクセス制御の脆弱性に関しては、ツールでは判断できず、専門技術者の診断では検知可能と記載されています。
(2)下線⑥について、専門技術者による脆弱性診断が長期間行われないことを避けるためには、どのような時期に実施すればよいか。改良リリースの実施に影響を与えないことを前提に、20字以内で答えよ。
解答:改良フェーズにおける1か月の休止期間
表1より、専門技術者による脆弱性診断の期間は10日間くらいが目安と記載されています。
改良リリースの周期は2週間程度なので、専門技術者による脆弱性診断をするタイミングがありません。
改良フェーズに半年に1回、1ヶ月の休止期間があるので、そこで行うのが良いでしょう。
(3)下線⑦について、専門技術者による脆弱性診断が長期間行われないことを避けるためには、開発プロセスをどのように見直せばよいか。アジャイル開発の継続を前提に、40字以内で述べよ。
解答:専門技術者による脆弱性診断が必要なときは、改良リリースを次回に持ち越す。/半年に一度、改良リリースの期間を長くする。/定期的に、期間の長い改良リリースを設ける。
専門技術者による脆弱性診断ができない理由は(2)で解説したように、「改良リリースの期間が短いから」でした。
そのため、専門技術者による脆弱性診断の優先度を上げる必要があります。
改良リリースの期間や時期をずらすことで、専門技術者による脆弱性診断を実施する方針で解答を考えましょう。
(4)下線⑧について、CSRF脆弱性の場合では、どのような処理を行う機能が考えられるか。その処理を、55字以内で具体的に述べよ。
解答:CSRF対策用トークンの発行、HTMLへの埋め込み、必要なひも付け、及びこれを検証する処理
設問2のcsrftokenの問題点で解説したように、csrftokenを発行したり、利用者との紐付けが必要です。
フレームワークの機能として、ページを開くたびにCSRFトークンを生成しています。
