QUIZ 30分

クイズの説明

Step 3「セキュリティとコンプライアンスを統合しよう」で学んだ内容の理解度を確認します。全8問、80%(7問)以上正解で合格です。

問題

Q1. シフトレフトセキュリティを組織に導入する際、最初のフェーズ(Phase 1)で行うべきことはどれですか?

  • A) すべての脆弱性検出でパイプラインをブロックする
  • B) セキュリティスキャンを追加し、警告のみ表示する(ブロックしない)
  • C) 開発者全員にセキュリティ研修を実施する
  • D) セキュリティ専任チームがコードレビューを行う
答えを見る

正解: B

シフトレフトの導入は段階的に行います。Phase 1は「検知(Detect)」で、セキュリティスキャンを追加しますがブロックはしません。最初からブロックすると開発チームの反発を招き、導入が頓挫するリスクがあります。まず可視化から始め、開発者自身がセキュリティの重要性を実感するプロセスが必要です。

Q2. SASTとDASTの最も大きな違いは何ですか?

  • A) SASTは有料、DASTは無料
  • B) SASTはソースコードを分析し、DASTは実行中のアプリケーションをテストする
  • C) SASTは依存関係をチェックし、DASTはコードを分析する
  • D) SASTは本番環境で実行し、DASTは開発環境で実行する
答えを見る

正解: B

SASTは静的解析でソースコードを分析し、コーディングパターンの脆弱性を検出します。DASTは動的解析で実行中のアプリケーションに対してテストを行い、実際の攻撃をシミュレートします。SASTはビルド前/時に実行でき高速ですが偽陽性が多く、DASTは実行環境が必要ですが実際の攻撃シナリオを検証できます。

Q3. SCA(Software Composition Analysis)でCVSSスコア9.5のCritical脆弱性が検出された場合、組織の標準ポリシーとして適切な対応はどれですか?

  • A) ログに記録して90日以内に対応
  • B) 警告を表示して開発者に通知
  • C) パイプラインをブロックし、24時間以内に修正を求める
  • D) セキュリティチームに報告して判断を待つ
答えを見る

正解: C

CVSS 9.0-10.0のCritical脆弱性は、パイプラインをブロックし24時間以内の修正を求めるのが組織標準です。ログ記録のみ(Low向け)や警告表示のみ(Medium向け)では対応が不十分です。セキュリティチームへの報告と判断待ちでは対応が遅れます。

Q4. コンプライアンスゲートのGate 3(本番デプロイ前)で必須のチェックはどれですか?

  • A) ユニットテストのカバレッジが100%であること
  • B) 2名以上の異なる承認者による承認
  • C) 全チームリーダーの承認
  • D) パフォーマンステストの完了
答えを見る

正解: B

SOC2の職務分離要件により、本番デプロイには2名以上の承認が必要で、承認者は変更実施者と異なる必要があります。カバレッジ100%は現実的でなく、全チームリーダーの承認は過剰です。パフォーマンステストは推奨ですが必須ではありません。

Q5. ポリシー as Codeの利点として最も重要なものはどれですか?

  • A) コンプライアンスチェックの実行速度が向上する
  • B) ポリシーがバージョン管理され、変更履歴の追跡と自動テストが可能になる
  • C) セキュリティチームの人数を削減できる
  • D) すべてのコンプライアンス要件を自動化できる
答えを見る

正解: B

ポリシー as Codeの最大の利点は、ポリシーがバージョン管理され、変更履歴の追跡、レビュー、自動テストが可能になることです。実行速度の向上やチーム削減は副次的な効果であり、すべてのコンプライアンス要件を自動化できるわけではありません(人間の判断が必要な要件もある)。

Q6. SLSAフレームワークのLevel 2で求められる要件はどれですか?

  • A) ビルドプロセスの文書化のみ
  • B) ホスト型ビルドサービスの使用と来歴証明の生成
  • C) ビルドの完全な再現性
  • D) ビルド環境の完全な隔離
答えを見る

正解: B

SLSA Level 2は「ホスト型ビルドサービスの使用」と「来歴証明(Provenance)の生成」が求められます。Level 1はビルドプロセスの文書化のみ、Level 3はビルド環境の隔離と来歴証明の改ざん防止、Level 4は完全な再現性です。

Q7. SBOMの主な用途として不適切なものはどれですか?

  • A) 新たに発見されたCVEの影響範囲を迅速に特定する
  • B) ライセンスコンプライアンスの確認
  • C) アプリケーションのパフォーマンスを最適化する
  • D) サプライチェーン攻撃の影響を評価する
答えを見る

正解: C

SBOMはソフトウェアの構成要素一覧であり、脆弱性の影響範囲特定、ライセンスコンプライアンス確認、サプライチェーン攻撃の影響評価に使用します。パフォーマンス最適化はSBOMの用途ではありません。

Q8. GitHub Actionsのセキュリティベストプラクティスとして、サードパーティアクションを参照する際の推奨方法はどれですか?

  • A) 最新バージョンのタグ(例: @v3)を使用する
  • B) メジャーバージョンのタグ(例: @v3)を使用する
  • C) SHAハッシュでピン止めする(例: @sha256:abc...
  • D) @latest を常に使用する
答えを見る

正解: C

サプライチェーンセキュリティの観点から、サードパーティアクションはSHAハッシュでピン止めすべきです。タグベースの参照(@v3)はタグが改ざんされるリスクがあり、@latest は予期しない変更が混入するリスクがあります。SHAハッシュであれば特定のコミットを確実に参照できます。

結果

7問以上正解の場合

合格です。 セキュリティとコンプライアンスの統合戦略をしっかり理解しています。

「セキュリティの土台ができたな。次はガバナンスだ。20チームが自律的にパイプラインを使いながら、組織としての一貫性を保つ仕組みを設計していこう」 — 田中VPoE

6問以下の場合

もう少し復習しましょう。 Step 3のレッスンを再度読み返し、特に間違えた問題の関連箇所を重点的に復習してください。

  • Q1-Q2を間違えた場合 → Step 3-1「シフトレフトセキュリティの実践」を復習
  • Q3を間違えた場合 → Step 3-2「SAST・DAST・SCAの統合戦略」を復習
  • Q4-Q5を間違えた場合 → Step 3-3「コンプライアンスゲートの設計」を復習
  • Q6-Q8を間違えた場合 → Step 3-4「サプライチェーンセキュリティ」を復習