HOME»情報処理安全確保支援士掲示板»H30年春午後2問2 設問5
投稿する

H30年春午後2問2 設問5 [1359]

 ムーンライトながらさん(No.1) 
表題について、
IPAの公式回答:「作業の妥当性を確認できる詳細なレビュー記録を委託先が提出していること」
回答:「レビュー記録やテストエビデンスの提出及び脆弱性診断の合格を受け入れ条件とする」

とあり、脆弱性診断の合格が公式回答にはありません。

これは、P19の『Webサイトの開発スケジュールが短くて、診断をセキュリティ専門業者に依頼するとリリースに間に合わない』から、脆弱性診断の合格は受入条件に含めていないとの認識でよろしいでしょうか?

ご教示いただけますと幸いです。
2024.02.18 02:14
pixさん(No.2) 
SC ダイヤモンドマイスター
この設問は作文の問題と思われます。
脆弱性診断については、工程4.テスト「適切な診断が実施されていること、並びに
検出された脆弱性が修正されていること」
とあります。この部分が脆弱性診断の結果への対応(合格)と読み取れます。

図11 「注意事項:各工程の最後にレビューを行い、作業の妥当性を確認すること」と
あります。
「工程4.テスト」も注意事項で挙げられている各工程の一つであり、脆弱性診断は
「工程4.テスト」に含まれます。ここから脆弱性診断の対応が不要ということでは
ないと読み取れます。
2024.02.18 07:35
 ムーンライトながらさん(No.3) 
pix様

ご回答ありがとうございます。

実際の試験にてIPAが脆弱性診断の合格を条件とした回答を正解と
みなすかはわからないので、どこまで踏み込むか難しいですね...。

また、ご返信の中にある「作文の問題」とはどのような意味でしょうか?
2024.02.19 06:40
pixさん(No.4) 
SC ダイヤモンドマイスター
>また、ご返信の中にある「作文の問題」とはどのような意味でしょうか?
以下の2つの解答を比べてみます。
IPAの正答:「作業の妥当性を確認できる詳細なレビュー記録を委託先が提出していること」
スレ主様の解答:「レビュー記録やテストエビデンスの提出及び脆弱性診断の合格を受け入れ
条件とする」

IPAの正答は簡潔であり、一切冗長な点がありません。
スレ主様の解答は
・「レビュー記録やテストエビデンスの提出」は全ての工程で必要
・「脆弱性診断」は工程4.テストの一項目
というように、「脆弱性診断」だけ特別扱いしています。
解答の粒度を併せるのであれば、
・「脆弱性診断」だけ特別扱いするのではなく、すべての工程の中の項目を列挙する
・工程の中の一項目については言及しない
のどちらかになると思われます。
しかし、すべての工程の中の項目を列挙したのであれば、40字以内では解答できません。
そのため、工程の中の一項目については言及せず、簡潔に解答したのがIPAの正答と
なります。

こういった解答文章を組み立てることがポイントとなっているため、作文の問題であると
考えました。
2024.02.19 07:03
 ムーンライトながらさん(No.5) 
pix様

丁寧な解説ありがとうございます。

記述の粒度が異なる点は気づきませんでした。
ご指摘ありがとうございます。
2024.02.20 06:39
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014- 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop