FUNDAMENTAL INFORMATION TECHNOLOGY ENGINEER
基本情報技術者の問題解説
問題
A社の開発者が,外部サービスを呼び出すためのAPIキーを,ソースコードに直接書き込んだまま,誰でも閲覧できる公開リポジトリへ誤って公開してしまった。このAPIキーがあれば,第三者が外部サービスをA社の名義で利用でき,課金や不正利用につながるおそれがある。Bさんは緊急対応と再発防止を検討する。
対応として,最も適切なものはどれか。
- ア 公開してしまったAPIキーを失効させ,新しいキーを発行して秘密情報管理の仕組み(シークレット管理)で安全に保管する。
- イ 公開リポジトリの説明文を充実させる。
- ウ APIキーの文字を大文字に変換して再利用する。
- エ ソースコードのインデントを整える。
- オ APIキーをコメント行に移してから再公開する。
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目B範囲
正解と解説
正解:公開してしまったAPIキーを失効させ,新しいキーを発行して秘密情報管理の仕組み(シークレット管理)で安全に保管する。
正解:ア
状況の整理:APIキーが公開され,すでに第三者に知られた可能性が高い。一度漏れた秘密情報は無効化が必須。あわせて埋め込みをやめる再発防止が要る。
なぜアか:漏れたキーを失効させれば悪用を止められ,新しいキーをシークレット管理で保管すれば再発を防げる。緊急対応(失効)と再発防止(適切な保管)の両立。
誤答の理由:イ(説明文)・エ(インデント)は無関係。ウ(大文字化して再利用)は同じキーで漏えい済みのため無意味。オ(コメント行へ移す)はコメントも公開されるので全く保護にならない。
読み解きのコツ:「秘密情報が公開された」は,まず失効・再発行が鉄則。コード内に書く・隠す方向は誤り。
この問題について
公開問題・サンプル問題のセキュリティ事例形式(A社シナリオ+もっともらしい誤答)を参考にした独自問題です。本文・選択肢・解説は新規作成しています。
公式試験問題、公開問題、市販教材、外部問題サイトの問題文を転載・改題したものではありません。