FUNDAMENTAL INFORMATION TECHNOLOGY ENGINEER
基本情報技術者の問題解説
問題
DevSecOpsの説明として適切なものはどれか。
- ア セキュリティ部門だけがセキュリティテストを担当する体制
- イ 開発・運用にセキュリティを統合し、開発ライフサイクル全体でセキュリティを自動化・組込みする手法
- ウ 開発完了後にセキュリティ監査を行う手法
- エ 運用段階でのみセキュリティパッチを適用する手法
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目A範囲
正解と解説
正解:開発・運用にセキュリティを統合し、開発ライフサイクル全体でセキュリティを自動化・組込みする手法
正解はイ。DevSecOpsは、開発(Dev)と運用(Ops)にセキュリティ(Sec)を組み込み、設計・実装・テスト・デプロイ・運用の各段階で継続的にセキュリティを確認する考え方である。脆弱性診断や依存ライブラリ検査をCI/CDに組み込む例が代表的である。
ポイントは、セキュリティを最後の監査だけに任せないことである。アのようにセキュリティ部門だけが担当する、ウのように開発完了後にだけ監査する、エのように運用段階だけで対処する、という発想では早期発見・早期修正が難しく、DevSecOpsとはいえない。
この問題について
IPAが公開するシラバス・試験範囲・公開問題の出題形式を参考にした独自作成問題。公式問題・過去問題の転載ではありません。
公式試験問題、過去問題、公式サンプル問題、市販教材の問題文を転載したものではありません。