応用情報技術者試験の令和7年度 秋季試験 午後 問1:セキュリティの解説を行ってきます。
出題テーマ:サプライチェーン攻撃
出題テーマは『サプライチェーン攻撃』でした。
サプライチェーンとは企業や組織間の業務上のつながりを意味します。
ITの1つのプロジェクトにおいても様々な企業が関係してくるわけですが、これらの企業毎にセキュリティのレベルはバラバラとなっています。
その中でセキュリティレベルが低い企業を踏み台として、その他の企業へ攻撃を広げていくのがサプライチェーン攻撃です。
一般的にはセキュリティレベルが低くなりがちな中小企業などを標的し、取引先の大企業などへ攻撃を拡大させていきます。
サプライチェーン攻撃をどう行っていくかという手法に関しては、脆弱性などを利用したりと様々な手法が挙げられます。
今回の問題ではサプライチェーン攻撃を題材として、サプライチェーン攻撃に対する対策を検討していくというシナリオで出題が行われていました。
知識が必要な問題の出題もあり、少しひらめきが必要な問題もありましたが、文章中にヒントがあることもありますので、しっかりと文章を読み込むようにしましょう。
設問1
基本的にそれぞれ知識が必要な問題です。
【a】
【a】の部分として、『【a】の考え方で内部ネットワーク内の機器の防御を行っているので、攻撃者によって内部ネットワークに侵入されてしまうと』とあります。
機器によって内部と外部を分けているということから、解答は『a:ク 境界防御』と考えることができます。
FWを用いて社内(内部)と社外(外部)を分けて、不正アクセスなどの攻撃を防御するという考え方です。
境界防御は従来の考え方で、近年では社内含めて信用しなことを前提としたゼロトラストという逆とも言える考え方が広まってきています。
【b】
【b】の部分として、『【b】の原則に従い、各従業員に対して過剰な権限を与えないようにする。』とあります。
解答は『b:ウ need-to-know』です。
直訳すると知る必要があるですが、権限などを知る必要がある人に限定させて付与するという意味合いで用いられます。
【d】
【d】の部分として、『業務システムで、業務システムが稼働しているサーバ及びネットワーク機器へのアクセスについては監視及びログの記録を行い、それらのログを【d】で分析することによって攻撃の予兆検知や早期発見を図る。』とあります。
解答は『d:カ SIEM』です。
まさに文字通りの機能の製品となっています。
【e】
【e】の部分として、『業務システムなどで使用しているソフトウェア製品及びライブラリについて、名称、バージョン、開発会社名などを一覧にまとめた【】を作成すること』とあります。
解答は『e:オ SBOM』となります。
こちらもまさに文字通りのものを一覧化したリストとなります。
設問2
【c】の部分として、『特に、機器の型番ごとに共通であることが多い【c】パスワードの利用は禁止する。』とあります。
解答は『c:初期(2文字)、デフォルト(5文字)』が考えられます。
ネットワーク機器にログインする際に用いるデフォルトのパスワードが存在し、多くの場合は機器の型番ごとというよりは、OSごとに共通となっています。
例えばCisco社製のルータであれば、ID:cisco、PW:ciscoが初期・デフォルトのパスワードとなっています。
このデフォルトのパスワードから変更されていない場合は簡単にログインを許してしまうことになりますので、客先に導入される機器に関しては変更されることが一般的です。
設問3 (1)
下線①として、『Z社グループ全体の統制を規制しサプライチェーン攻撃のリスク又は被害を低減する施策』とあります。
サプライチェーン自体は企業や組織間の業務上のつながりを指し、例にあるように利用しているITサービスの運営事業者や取引先など1つのプロジェクトでも様々な会社が関係してきます。
これらの会社は1つ1つセキュリティレベルが異なり、その中でセキュリティレベルが低い会社を踏み台にして、その他の会社へ攻撃を広げていくのがサプライチェーン攻撃です。
セキュリティレベルの確認や、会社間で統一したり高めようとする動きが有効な施策となります。
『ア:Z社グループ各社で業務システムを開発する場合、開発委託先の会社においてセキュリティ対策が十分に実施されているかを委託前に審査する。』とあります。
関連する会社のセキュリティ対策が十分かを確認していますので、サプライチェーン攻撃に対する対応策として適切であると考えることができます。
『イ:Z社グループ各社でセキュリティインシデントが発生した場合の報告及び対応のフローを定める。』とあります。
グループ会社含めての対応ですので、こちらもサプライチェーン攻撃に対する対応策として適切であると考えることができます。
『ウ:Z社グループ各社の個別業務システムをセグメントGに移動し、システムの詳細を把握している各社の情報システム部が引き続き管理する。』とあります。
わざわざ1箇所にシステムを集める必要がなく、むしろ1箇所に集めることで、どこかの情報システム部のアカウントが漏洩などしたらグループ全体に被害が及ぶということになりかねません。
ということで、解答は『ウ』となります。
一応見ると、『エ:Z社グループ各社のネットワーク機器の設定ポリシーを強固なものに統一する。』とあります。
グループ会社含めてセキュリティレベルを統一して高めようとしていますので、サプライチェーン攻撃に対する対応策として適切であると考えることができます。
設問3 (2)
下線②として、『業務システムやインターネットへのアクセスログが記録されていることをZ社グループ各社の従業員に周知し、データの持出しなどの内部不正を抑止する。』とあります。
監視カメラが付いているので万引きなどの悪いことしても特定されてしまうので万引きはやめよう。
リモートワークでマウスの動きを監視していると周知をしたら、サボりがバレてしまうのでサボるのはやめよう。
などというように、監視されていることがわかれば、バレたり特定されてしまうので悪いことはやめておこうと思うのが人間だと思います。
この心理を利用して不正抑止をしているものと考えることができます。
ということで解答例は、『不正が発覚する可能性があることに心理的な抑制効果があるため。(30文字)』と考えることができます。
設問3 (3)
下線③として、『ソフトウェアサプライチェーン攻撃への対策として、”対策9″に加えて実施すべき内容があると指摘された。』とあります。
ソフトウェアサプライチェーン攻撃とは、『標的とする会社の業務システムなどに導入しているソフトウェアの開発会社を攻撃してソースコードを改ざんしたり、業務システムなどで利用しているオープンソースのソフトウェアライブラリの脆弱性を利用したりすることによって、最終的に標的とする会社を攻撃する。』とあります。
対策9として、『業務システム、業務システムが稼働しているサーバ及びネットワーク機器については、機密情報の取扱いの有無などの重要度に応じて3ヶ月から1年の周期で定期的な脆弱性診断を行い、発見された脆弱性への対応を行う。』とあります。
そして、下線③の後に続きますが、『そこでT主任は、業務システムなどで使用しているソフトウェア製品及びライブラリについて、名称、バージョン、開発会社などを一覧にまとめた【e:SBOM】を作成することを、』とあります。
対策9の脆弱性診断で業務システムに脆弱性があると診断されたとします。
脆弱性には対象となる製品、およびそのバージョンが、例えばWindows10は対象で、Windows11は対象外というように明記されています。
なので、診断を行ったシステムに脆弱性の影響があるかはわかりますが、別グループ会社にある他の業務システムも対象も脆弱性の対象で、対策を取る必要があるのかという影響範囲までわかりません。
製品やバージョンが一覧化されていれば、その資料を見れば影響を受けるかどうかがわかります。
ということで解答例は、『他の機器に発見された脆弱性が影響するかがわからないということ(30文字)』と考えることができます。
公式解答例との比較・予想配点
出題テーマは『サプライチェーン攻撃』でした。
サプライチェーン攻撃の対応策を検討していくというシナリオで出題されていました。
設問1、設問2は知識が必要な問題でしたが、知らなかった単語や曖昧に理解していたところがあれば復習しておきましょう。
設問3は、問題文中から読み取ることができる問題、いわゆる国語の問題で、プラス少しひらめきが必要だったかとは思います。
難易度としては『普通』だったかと思います。
前回の『令和7年度 春季試験 午後 問1:セキュリティ』でもサプライチェーン攻撃に関する内容が出題されていました。
応用情報技術者試験は令和8年度(2026年)の試験よりCBT方式への移行予定が発表されています。
CBT方式へ移行した際には、これまでの1日のみの試験開催ではなく、ある程度の受験期間を設けて春・秋試験が開催される予定で、同じ春試験の受験期間内でも試験問題の漏洩の対策から複数の問題があることが予想されます。
連続して同じテーマが出題されることは過去を見てもないと思うので、CBT化に向けた流れなのかと色々と考えてしまうものがあります。
配点 |
|||
| 設問1 | a:ク b:ウ d:カ e:オ |
a:ク b:ウ d:カ e:オ |
各2点 |
| 設問2 | 初期(2文字)、デフォルト(5文字) | 初期 | 2点 |
| 設問3 (1) | ウ | ウ | 2点 |
| 設問3 (2) | 不正が発覚する可能性があることに心理的な抑制効果があるため。(30文字) | 不正の発覚リスクが高いことが心理的障壁になるから | 4点 |
| 設問3 (3) | 他の機器に発見された脆弱性が影響するかがわからないということ(30文字) | 脆弱性が発見された際に影響範囲を迅速に判断できないこと | 4点 |
引用元
問題および解答例に関しては、『独立行政法人 情報処理推進機構(IPA)』より引用しています。
YouTube解説動画
鋭意作成中につき少々お待ちください。
応用情報技術者試験解説
その他の年度、問題は『こちら』にてまとめています。
