QUIZ 15分

Q1. OWASP Top 10 (2021) で最も深刻とされるリスクカテゴリはどれか?

A. インジェクション(A03) B. アクセス制御の不備(A01) C. 暗号化の失敗(A02) D. セキュリティの設定ミス(A05)

答えを見る

正解: B

OWASP Top 10 (2021) では、アクセス制御の不備(Broken Access Control) がA01として最も深刻なリスクに位置づけられています。従来A01だったインジェクションはA03に下がり、認可チェックの欠如や権限昇格といったアクセス制御の問題が最大の脅威と認識されるようになりました。これは、多くのWebアプリケーションで認可ロジックが不十分なまま運用されている実態を反映しています。

Q2. STRIDE脅威モデリングにおいて、「R」が表す脅威カテゴリはどれか?

A. Risk(リスク) B. Repudiation(否認) C. Ransomware(ランサムウェア) D. Replay(リプレイ攻撃)

答えを見る

正解: B

STRIDEの「R」はRepudiation(否認)を表します。これは「ユーザーがある操作を行ったことを否認する脅威」です。例えば、注文を行った後に「注文していない」と主張されるケースです。対策としては、タイムスタンプ付きの監査ログ、イベントソーシング、電子署名などがあります。STRIDEの6カテゴリは、Spoofing(なりすまし)、Tampering(改ざん)、Repudiation(否認)、Information Disclosure(情報漏洩)、Denial of Service(サービス拒否)、Elevation of Privilege(権限昇格)です。

Q3. DREADスコアリングモデルの5つの評価項目に含まれないのはどれか?

A. Damage(被害度) B. Reproducibility(再現性) C. Resilience(復元力) D. Discoverability(発見容易性)

答えを見る

正解: C

DREADスコアリングの5項目は以下の通りです。

  • Damage(被害度): 攻撃が成功した場合の被害の大きさ
  • Reproducibility(再現性): 攻撃の再現しやすさ
  • Exploitability(悪用容易性): 攻撃実行に必要なスキルやツール
  • Affected Users(影響範囲): 影響を受けるユーザーの割合
  • Discoverability(発見容易性): 脆弱性の発見しやすさ

Resilience(復元力)はDREADの評価項目には含まれません。各項目を1-10で採点し、平均値でリスクレベルを分類します。

Q4. サプライチェーン攻撃の手法として正しくないのはどれか?

A. タイポスクワッティング(類似名パッケージの登録) B. 依存関係の混同(Dependency Confusion) C. ブルートフォース攻撃によるパスワード解析 D. メンテナアカウントの乗っ取り

答えを見る

正解: C

ブルートフォース攻撃は認証に対する攻撃手法であり、サプライチェーン攻撃の手法ではありません。サプライチェーン攻撃の主な手法は以下の通りです。

  • タイポスクワッティング: crossenv(悪意)とcross-env(正規)のように類似名パッケージで開発者を騙す
  • 依存関係の混同: 企業の内部パッケージと同名の公開パッケージを登録し、ビルドシステムに取り込ませる
  • アカウント乗っ取り: npmなどのメンテナアカウントを乗っ取り、正規パッケージに悪意のあるコードを注入(ua-parser-js事件)
  • ビルドパイプラインの侵害: CI/CDを攻撃してビルド成果物を改ざん(SolarWinds事件)

Q5. リスクの4つの処理戦略において、「リスクを第三者に移転する」戦略はどれか?

A. Mitigate(緩和) B. Accept(受容) C. Transfer(移転) D. Avoid(回避)

答えを見る

正解: C

Transfer(移転)は、リスクを第三者に移転する戦略です。具体例としては以下があります。

  • サイバー保険: セキュリティインシデントの金銭的リスクを保険会社に移転
  • 外部サービスの利用: 決済処理をStripeに委託し、PCI DSSコンプライアンスのリスクを移転
  • マネージドサービス: インフラ管理のリスクをクラウドプロバイダーに移転

他の戦略との違い:

  • Mitigate: リスクの発生可能性や影響度を低減する(対策コスト < リスク)
  • Accept: リスクが十分小さいため受け入れる
  • Avoid: リスクの原因となる活動自体を中止する

Q6. 脅威モデリングのプロセスで、最初に行うべきステップはどれか?

A. STRIDEカテゴリの適用 B. データフローダイアグラム(DFD)の作成 C. リスクマトリクスの作成 D. 対策の実装

答えを見る

正解: B

脅威モデリングの4ステップは以下の順序で行います。

  1. 対象の定義: DFD作成、信頼境界の定義
  2. 脅威の特定: STRIDEの適用、脅威の列挙
  3. 脅威の評価: リスク評価、優先順位付け
  4. 対策の計画: 緩和策の検討、実装

最初のステップは「対象の定義」であり、DFD(データフローダイアグラム)を作成してシステムのデータフローと信頼境界を可視化します。DFDなしにSTRIDEを適用すると、分析の対象範囲が不明確になり、脅威の見落としが発生します。

Q7. 多層防御(Defense in Depth)の考え方として最も適切なのはどれか?

A. 最も強力な1つのセキュリティ対策に集中投資する B. 複数のセキュリティ層を重ねて、単一障害点を排除する C. 境界防御(ファイアウォール)を最優先で強化する D. セキュリティ対策はコストが高いため、最小限に抑える

答えを見る

正解: B

多層防御(Defense in Depth)は、複数のセキュリティ層を重ねることで、1つの層が破られても他の層で防御する戦略です。城の防御に例えると、堀、城壁、見張り塔、門番のように複数の防衛線を設けます。

7つのセキュリティ層:

  1. 物理層(入退室管理)
  2. ネットワーク層(ファイアウォール、IDS/IPS)
  3. 境界層(WAF、DDoS防御)
  4. アプリケーション層(入力検証、認証・認可)
  5. データ層(暗号化、アクセス制御)
  6. ホスト層(パッチ管理、ハードニング)
  7. ポリシー層(セキュリティ教育)

単一の対策に集中する(A)や境界防御だけを強化する(C)アプローチは、その対策が突破された場合に全く防御できなくなるため不適切です。

Q8. CIAトライアドの「I」(Integrity: 完全性)を脅かす攻撃はどれか?

A. DDoS攻撃によるサービス停止 B. SQLインジェクションによるデータ改ざん C. 通信の盗聴による機密情報の漏洩 D. フィッシングメールによるアカウント詐取

答えを見る

正解: B

CIAトライアドの各要素と対応する攻撃:

  • Confidentiality(機密性): 通信の盗聴(C)、フィッシング(D)— データへの不正アクセス
  • Integrity(完全性): SQLインジェクションによるデータ改ざん(B) — データが不正に変更される
  • Availability(可用性): DDoS攻撃(A)— サービスが利用できなくなる

SQLインジェクションは、攻撃者がデータベースのデータを不正に変更(UPDATE/DELETE)できるため、完全性(Integrity)を直接脅かします。もちろんSQLインジェクションはデータの読み取り(機密性の侵害)にも使えますが、データ改ざんという観点では完全性への攻撃が最も適切です。

合格基準

  • 合格スコア: 80%(8問中7問以上正解)
  • 不合格の場合は、Step 1の各レッスンを復習してください

推定読了時間: 15分