QUIZ 30分

クイズの説明

Step 2で学んだ内容の理解度をチェックします。

  • 全8問
  • 合格ライン: 80%(7問正解)
  • 不合格の場合は復習してから再挑戦してください

問題

Q1. 脅威モデリングの最初のステップはどれですか?

  • A) セキュリティ要件の定義
  • B) DFD(データフロー図)の作成
  • C) DREADスコアリング
  • D) セキュリティテストの実行
答えを見る

正解: B

脅威モデリングは「1. DFDの作成 → 2. STRIDEによる脅威の特定 → 3. DREADによるリスク評価 → 4. 対策の計画」の順序で実施します。最初にシステムのデータの流れを可視化するDFDを作成します。

Q2. STRIDEの「T」が表す脅威はどれですか?

  • A) Theft(窃取)
  • B) Tampering(改ざん)
  • C) Tracking(追跡)
  • D) Timeout(タイムアウト)
答えを見る

正解: B

STRIDEの「T」はTampering(改ざん)です。データを不正に変更する脅威を表します。STRIDE全体は、Spoofing(なりすまし)、Tampering(改ざん)、Repudiation(否認)、Information Disclosure(情報漏洩)、Denial of Service(サービス拒否)、Elevation of Privilege(権限昇格)です。

Q3. DFDにおける「信頼境界」の説明として正しいものはどれですか?

  • A) ファイアウォールの設置場所を示す
  • B) セキュリティドメインの境界を示し、境界をまたぐ通信は追加の検証が必要
  • C) データベースとアプリケーションの間の接続を示す
  • D) ユーザーインターフェースの画面遷移を示す
答えを見る

正解: B

信頼境界は、異なるセキュリティドメイン(信頼レベル)の境界を示します。この境界をまたぐデータフローは、認証・認可・バリデーションなどの追加の検証が必要です。例えば、インターネットと内部ネットワークの間が典型的な信頼境界です。

Q4. DREADの5つの評価軸に含まれないものはどれですか?

  • A) Damage Potential(被害の大きさ)
  • B) Reproducibility(再現性)
  • C) Recovery Time(復旧時間)
  • D) Discoverability(発見容易性)
答えを見る

正解: C

DREADの5つの評価軸は、Damage Potential(被害の大きさ)、Reproducibility(再現性)、Exploitability(悪用容易性)、Affected Users(影響範囲)、Discoverability(発見容易性)です。Recovery Time(復旧時間)はDREADの評価軸には含まれません。

Q5. STRIDE-per-Elementにおいて、全てのSTRIDEカテゴリの対象となるDFD要素はどれですか?

  • A) 外部エンティティ
  • B) プロセス
  • C) データストア
  • D) データフロー
答えを見る

正解: B

プロセス(円形で表されるコンポーネント)は、6つ全てのSTRIDEカテゴリの対象となります。データを処理する箇所であるため、なりすまし、改ざん、否認、情報漏洩、DoS、権限昇格のすべてのリスクがあります。

Q6. リスク対応の4つの戦略に含まれないものはどれですか?

  • A) 軽減(Mitigate)
  • B) 転嫁(Transfer)
  • C) 隠蔽(Conceal)
  • D) 受容(Accept)
答えを見る

正解: C

リスク対応の4つの戦略は、軽減(Mitigate)、転嫁(Transfer)、回避(Avoid)、受容(Accept)です。隠蔽(Conceal)は正当なリスク対応戦略ではありません。脆弱性を隠すことはセキュリティ対策にはなりません。

Q7. ゲートキーパーパターンの説明として正しいものはどれですか?

  • A) 各マイクロサービスが独自の認証機能を持つ
  • B) 全てのリクエストを単一のゲートで検証する
  • C) データベースへのアクセスを暗号化する
  • D) エラーメッセージを統一的に返す
答えを見る

正解: B

ゲートキーパーパターンは、全てのリクエストをAPI Gatewayやミドルウェアなどの単一のゲートで検証するパターンです。認証、認可、レートリミット、入力検証などのセキュリティチェックを集約して実施します。

Q8. セキュリティ要件の書き方として最も適切なものはどれですか?

  • A) 「セキュリティを確保すること」
  • B) 「パスワードは安全なものを使用すること」
  • C) 「5回連続ログイン失敗でアカウントを30分間ロックする」
  • D) 「可能な限り強力な暗号化を使用すること」
答えを見る

正解: C

セキュリティ要件はSMART原則に基づき、具体的(Specific)で計測可能(Measurable)である必要があります。「5回連続ログイン失敗でアカウントを30分間ロックする」は、数値と条件が明確で、テストで検証可能な要件です。

結果

7問以上正解の場合

合格です。おめでとうございます。

Step 2「脅威モデリング」を完了しました。 次は Step 3「認証・認可アーキテクチャ」に進みましょう。

6問以下の場合

もう少し復習しましょう。

間違えた問題の内容を、該当するセクションで復習してください:

問題復習セクション
Q1, Q3step2_1 脅威モデリングのプロセス
Q2, Q5step2_1 STRIDEフレームワーク
Q4, Q6step2_2 DREADとリスク対応
Q7step2_4 セキュアな設計パターン
Q8step2_3 セキュリティ要件の定義

次のステップへ

Step 3: 認証・認可アーキテクチャ(3時間)

脅威モデリングの基礎を身につけたところで、次はゼロトラストアーキテクチャと認証・認可の設計を学びます。

推定所要時間: 30分