FUNDAMENTAL INFORMATION TECHNOLOGY ENGINEER
基本情報技術者の問題解説
問題
A社の開発者が,外部決済サービスのAPIキーを含む設定ファイルを公開リポジトリにpushした。数時間後に気付き,該当ファイルだけを削除して再pushしたが,履歴にはAPIキーが残っている。アクセスログには不審なAPI呼出しも見つかった。
対応として,最も適切なものはどれか。
- ア 漏えいしたAPIキーを失効・再発行し,利用状況を確認して必要な調査を行い,今後はシークレット管理と履歴への混入防止を導入する。
- イ 最新のリポジトリから設定ファイルを削除済みなので,他の対応は不要である。
- ウ APIキーの文字列を大文字へ変換して同じキーを使い続ける。
- エ READMEに悪用禁止と追記する。
- オ 公開リポジトリを非公開に戻すだけで,漏えいしたキーは継続利用する。
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目B範囲
正解と解説
正解:漏えいしたAPIキーを失効・再発行し,利用状況を確認して必要な調査を行い,今後はシークレット管理と履歴への混入防止を導入する。
正解:ア
公開リポジトリの履歴に残った秘密情報は漏えい済みと考える。ファイルを削除しても履歴や外部キャッシュから取得される可能性があるため,キーを失効・再発行する必要がある。
不審な呼出しがあるので利用状況の確認や影響調査も必要である。再発防止としてシークレット管理やコミット前検査を導入する。
Hardでの見抜き方:リポジトリ履歴に入った秘密情報は削除後も漏えい済みと考える。失効・再発行,利用状況確認,再発防止のシークレット管理まで含めて対応する。
この問題について
公開問題・サンプル問題のセキュリティ事例形式(A社シナリオ+もっともらしい誤答)を参考にした独自問題です。本文・選択肢・解説は新規作成しています。
公式試験問題、公開問題、市販教材、外部問題サイトの問題文を転載・改題したものではありません。