JIS Q 27001:2014|情報処理安全確保支援士試験 令和3年 春期午前Ⅱ試験 問25

出典:令和3年春期 午前Ⅱ 問25 分野:システム監査(中分類) / システム監査(小分類)
ソフトウェア開発プロセスにおけるセキュリティを確保するための取組について,JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)の附属書Aの管理策に照らして監査を行った。判明した状況のうち,監査人が監査報告書に指摘事項として記載すべきものはどれか。
  • ア:ソフトウェア開発におけるセキュリティ機能の試験は,開発期間が終了した後に実施している。
  • イ:ソフトウェア開発は,セキュリティ確保に配慮した開発環境において行っている。
  • ウ:ソフトウェア開発を外部委託している場合,外部委託先による開発活動の監督・監視において,セキュリティ確保の観点を考慮している。
  • エ:パッケージソフトウェアを活用した開発において,セキュリティ確保の観点から,パッケージソフトウェアの変更は必要な変更に限定している。
解説

JIS Q 27001:2014の附属書Aでは、開発ライフサイクル全体を通じて、情報セキュリティを考慮することが求められます。

セキュリティ機能の試験を開発期間が終了した後に初めて実施すると、設計や実装段階での不備を早期に発見しにくくなります。セキュリティの確認は、開発プロセスの中で適切に組み込む必要があるため、監査報告書に指摘事項として記載すべき状況です。

したがって、が適切です。

❌他選択肢が誤りの理由
イ:ソフトウェア開発は,セキュリティ確保に配慮した開発環境において行っている。
⇒セキュリティに配慮した開発環境で開発していることは、望ましい取組みです。開発環境の保護は、ソフトウェア開発プロセスにおけるセキュリティ確保の観点から適切であり、指摘事項にはなりません。
ウ:ソフトウェア開発を外部委託している場合,外部委託先による開発活動の監督・監視において,セキュリティ確保の観点を考慮している。
⇒外部委託先の開発活動をセキュリティの観点から監督・監視することは、適切な管理策です。委託先に任せきりにせず、セキュリティ確保を確認しているため、監査上の指摘事項には該当しません。
エ:パッケージソフトウェアを活用した開発において,セキュリティ確保の観点から,パッケージソフトウェアの変更は必要な変更に限定している。
⇒パッケージソフトウェアへの変更を必要最小限に抑えることは、不要な脆弱性の混入や保守性低下を避けるうえで適切です。セキュリティ確保に配慮した対応であり、指摘事項にはなりません。
TSUNAGARU-ADVICE

まず押さえたいこと

ソフトウェア開発におけるセキュリティ機能の試験は、開発期間中に計画的に実施し、問題があれば修正できるようにしておく必要があります。開発期間が終了した後に初めて実施する運用では、セキュリティ上の問題を開発プロセス内で是正しにくいため、指摘事項になり得ます。

迷ったときの判断軸

セキュリティに配慮した開発環境、外部委託先の開発活動の監督・監視、パッケージソフトウェアの変更を必要な範囲に限定することは、いずれも適切な取組みです。一方で、セキュリティ機能の試験を開発終了後に回すと、開発ライフサイクルの中でセキュリティを組み込むという考え方に合いません。

科目Bにつなげるために

科目Bでは、開発工程のどの段階でセキュリティ要件・設計・実装・試験・委託先管理を行うべきかが問われることがあります。セキュリティは最後にまとめて確認するのではなく、開発プロセス全体に組み込んで継続的に確認するものとして整理しておきましょう。※監査関連試験向け