本文へスキップ

FE SUBJECT A

基本情報技術者 科目Aの問題解説:DevSecOpsの説明として適切なものはどれか。

テクノロジ系 標準 fe_a_s045_q008

問題

DevSecOpsの説明として適切なものはどれか。

  1. セキュリティ部門だけがセキュリティテストを担当する体制
  2. 開発・運用にセキュリティを統合し、開発ライフサイクル全体でセキュリティを自動化・組込みする手法(正解)
  3. 開発完了後にセキュリティ監査を行う手法
  4. 運用段階でのみセキュリティパッチを適用する手法
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目A範囲

正解と解説

正解:開発・運用にセキュリティを統合し、開発ライフサイクル全体でセキュリティを自動化・組込みする手法

論点:DevSecOpsの考え方を問う問題です。正解はイです。DevSecOpsは、開発(Dev)と運用(Ops)にセキュリティ(Sec)を組み込み、設計・実装・テスト・デプロイ・運用の各段階で継続的にセキュリティを確認する考え方です。脆弱性診断や依存ライブラリ検査をCI/CDに組み込む例が代表的です。

ポイント:セキュリティを最後の監査だけに任せないことがポイントです。アのようにセキュリティ部門だけが担当する、ウのように開発完了後にだけ監査する、エのように運用段階だけで対処する、という発想では早期発見・早期修正が難しく、DevSecOpsとはいえません。

なぜそうなるか:DevSecOpsの中心思想は「シフトレフト」、つまり工程表で左に位置する設計・コーディングの早い段階へセキュリティ対策を前倒しすることです。脆弱性は後工程で見つかるほど修正コストが膨らむため、早期に自動チェックを組み込むほど手戻りを減らせます。

他の選択肢はなぜ違う?

  • セキュリティ部門だけが担当する体制は従来型で、DevSecOpsの考え方と逆。
  • 開発完了後の監査だけでは『早い段階から組み込む』発想にならない。
  • 運用段階のみのパッチ適用も後追い対応で、ライフサイクル全体への統合ではない。

この問題について

出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目A範囲

IPAが公開するシラバス・試験範囲・公開問題の出題形式を参考にした独自作成問題。公式問題・過去問題の転載ではありません。

公式試験問題、過去問題、公式サンプル問題、市販教材の問題文を転載したものではありません。

参考範囲: シラバスVer.9.2参考

参考文献・出典(公式情報)

RELATED

関連問題