製造業の A 社では,EC サイト(以下,A 社の EC サイトを A サイトという)を使用し,個人向けの製品販売を行っている。A サイトは,A 社の製品やサービスが検索可能で,ログイン機能を有しており,あらかじめ A サイトに利用登録した個人(以下, 会員という)の氏名やメールアドレスといった情報(以下,会員情報という)を管理している。A サイトは,B 社の PaaS で稼働しており,PaaS 上の DBMS とアプリケーションサーバを利用している。
A 社は,A サイトの開発,運用を C 社に委託している。A 社と C 社との間の委託契約では,Web アプリケーションプログラムの脆弱性対策は,C 社が実施するとしている。
最近,A 社の同業他社が運営している Web サイトで脆弱性が悪用され,個人情報が漏えいするという事件が発生した。そこで A 社は,セキュリティ診断サービスを行っている D 社に,A サイトの脆弱性診断を依頼した。脆弱性診断の結果,対策が必要なセキュリティ上の脆弱性が複数指摘された。図 1 に D 社からの指摘事項を示す。
項番 1 A サイトで利用しているアプリケーションサーバの OS に既知の脆弱性があり,脆弱性を悪用した攻撃を受けるおそれがある。
項番 2 A サイトにクロスサイトスクリプティングの脆弱性があり,会員情報を不正に取得されるおそれがある。
項番 3 A サイトで利用している DBMS に既知の脆弱性があり,脆弱性を悪用した攻撃を受けるおそれがある。
図 1 D 社からの指摘事項
設問 図 1 中の各項番それぞれに対処する組織の適切な組合せを,解答群の中から選べ。
解答群
項番1 | 項番2 | 項番3 | |
ア | A社 | A社 | A社 |
イ | A社 | A社 | C社 |
ウ | A社 | B社 | B社 |
エ | B社 | B社 | B社 |
オ | B社 | B社 | C社 |
カ | B社 | C社 | B社 |
キ | B社 | C社 | C社 |
ク | C社 | B社 | B社 |
ケ | C社 | B社 | C社 |
コ | C社 | C社 | B社 |
解答
カ
解説
作成中