【メモ】セキュリティ技術入門の総合確認
はじめに
この総合確認は、技術専門トラック全体を横断して振り返るためのものです。
単語暗記ではなく、設計、実装、権限、ログ、対応をつなげて考えられるかを確認してください。1
問1:認証と認可
利用者が正しくログインできているにもかかわらず、別ユーザのデータへアクセスできてしまいました。
このとき中心的な問題は何ですか。
- A. 認証方式の強度不足
- B. 認可設計または認可チェック不足
- C. DNS設定不備
回答
B
解説
ログインできることと、対象データへアクセスできることは別です。
認証が成立していても、認可が弱ければ不正閲覧は起こります。
問2:セキュア実装
入力値検証だけを入れて安心してはいけない理由として、もっとも適切なものはどれですか。
- A. 出力文脈や認可チェックなど、他の防御も必要だから
- B. 入力値検証は性能を下げるから
- C. ログが残るから
回答
A
解説
入力、出力、認可、エラーハンドリングは別の観点です。
1つだけでは十分ではありません。
問3:秘密情報管理
APIキーをコードへ直接埋め込む設計が危険な理由として、もっとも適切なものはどれですか。
- A. 書き方が長くなるから
- B. 漏えい、ローテーション困難、環境差分管理の問題が起きるから
- C. テストが書きづらいから
回答
B
解説
秘密情報は、見えること、残ること、回しにくいことがリスクになります。
問4:ハードニング
使っていない管理用サービスが本番で動き続けている状態をどう見るべきですか。
- A. 害はないので急がなくてよい
- B. 不要な攻撃面と管理対象が増えている
- C. 可用性向上につながる
回答
B
解説
不要サービスは便利さより、露出と管理負荷の増加として見るべきです。
問5:IAM
最小権限の考え方として、もっとも適切なものはどれですか。
- A. 同じチームなら同じ権限でよい
- B. 必要な人やシステムに、必要な範囲だけ付与する
- C. 一時対応では管理者権限を恒久化してよい
回答
B
解説
最小権限は、誤操作と侵害時影響を抑えるための基本です。
問6:ログと監視
ログを保存しているだけでは不十分な理由として、もっとも適切なものはどれですか。
- A. 保存だけでは異常を見つけて動く仕組みにならないから
- B. 保存は違法だから
- C. ログは短い方がよいから
回答
A
解説
ログは、何を異常とみなすか、誰が見るか、どう通知するかまで設計して初めて監視につながります。
問7:インシデント対応
不審なアカウント利用が疑われるとき、優先すべき考え方として適切なのはどれですか。
- A. まず確定してから動く
- B. 検知、分類、優先度判断、封じ込めを順に考える
- C. 原因調査より先に何でも再起動する
回答
B
解説
インシデント対応は、感覚ではなく流れで考えることが重要です。
問8:クラウドの責任分界
クラウド利用で利用者側が考えるべきこととして適切なのはどれですか。
- A. 権限設計、公開設定、ログ取得
- B. 何も考えなくてよい
- C. ベンダがすべて決める
回答
A
解説
クラウドでは責任が消えるのではなく、持ち方が変わります。
問9:実務での優先順位
脆弱性名をたくさん知っていても実務で不足しやすいものはどれですか。
- A. どこが入力、出力、権限の境界かを見る力
- B. 用語の英語表記
- C. 製品ロゴの識別
回答
A
解説
実務では、構造を見る力がないと、知識を設計やレビューへ落とし込みにくくなります。