問題一覧
1
あるサイバーセキュリティチームが、権限のあるユーザーアカウントによる、最近発生した漏洩インシデントについて調査しています。チームは収集した情報に基づき、ログインしたのは権限のあるユーザー本人であるものの、他の何者かがそのアカウントを乗っ取ったものと考えています。次のうち、このインシデントの原因となった攻撃形態はどれですか。
B. セッションハイジャック。
2
セキュリティの三要素、CIAの目的は何ですか。
A. 組織内の情報セキュリティの基本となる3つの柱を定義する。
3
アプリケーションのセッションログイン中のアイドル時間を最大10分間とする新しいセキュリティ要件があるとします。OutSystemsの場合、この情報の確認や変更はどこで行うことができますか。
D. Service CenterのAdministration -> Security -> Applications Authenticationセクション。
4
次のうち、CAPTCHAの導入で期待される効果として正しくないものはどれですか。
D. 不適切なログインがすべて適切な認証プロセスにリダイレクトされるようにすることができる。
5
MyBankでインシデント対応をサポートしているとします。攻撃者はログイン画面を使用していますが、ログイン資格情報を入力するのではなく、`'1' = '1`という奇妙なテキストを入力しています。次のうち、この攻撃の説明として正しいものはどれですか。
C. SQLインジェクション。
6
統合認証を使用せず、Active Directory方式を使用してOutSystemsアプリケーションのエンドユーザーを認証する場合について考えます。次のうち、ユーザーがアプリケーションにログインしようとしたときに起きる動作の説明として正しいものはどれですか。
C. まず、ユーザーの資格情報がOutSystemsデータベースと照らし合わせて検証される。一致しない場合、次は構成済みのドメインサーバーと照らし合わせて検証される。
7
次のうち、OutSystemsアプリをアクセス制御/権限の脆弱性から保護するうえで有効でないものはどれですか。
A. 機密ロジックを含むアクションをトリガー/実行できるUI内のウィジェットが、そのアクションを実行する権限のないユーザーに表示されないようにする。
8
次のうち、セキュリティ設定ミスの脆弱性が生じる可能性のあるアクションはどれですか。
B. アプリケーションのリソースにシステムドキュメントやAPIリクエストのサンプルを含める。
9
ある医療系SaaSソリューションを提供する企業がOutSystemsでアプリケーションを構築しており、HIPAA準拠が必要です。次のうち、HIPAA対応のために特に重視すべきOutSystemsの設定や機能として最も適切なものはどれですか。
C. Protected Health Information(PHI)を扱うテーブルに対して暗号化を行い、さらに運用環境でHTTPS通信を必須にする。
10
OutSystems環境をハードニング(強化)する際のベストプラクティスとして、最も優先度が高い取り組みは次のうちどれですか。
A. Service CenterやLifeTimeへの管理者用アクセスを、特定IPアドレスからのみ許可する。
11
OutSystemsで構築されたアプリケーションに、300人の内部ユーザーと200人の外部ユーザーがアクセスしているとします。ライセンス上、内部ユーザーと外部ユーザーを区別するために必要な最も直接的な設定は何ですか。
C. 管理者がOutSystemsの環境設定(Service CenterまたはODC Portal)で社内ドメインを指定し、該当メールドメインをInternalに分類させる。
12
OutSystemsアプリの認証方法を「SAML 2.0」に設定した場合、次のうち最も正しい挙動はどれですか。
B. アプリへの初回アクセス時に、外部IdPのログインページへリダイレクトされ、認証成功後にアプリへ戻る。
13
OutSystemsアプリでアクセス制御の脆弱性を防ぐための方法として、誤っているものはどれですか。
B. UIで「表示/非表示」を制御するだけで、サーバー側での権限チェックは不要とする。
14
OutSystemsアプリケーションでSQLインジェクションを防止するためのベストプラクティスとして、最も適切なのはどれですか。
C. `EncodeSql()`関数などを用いて、ユーザー入力をサニタイズしたうえでパラメータとして使用する。
15
OutSystemsアプリにContent Security Policy(CSP)を適用する目的として、最も正しい説明はどれですか。
B. ブラウザ側で読み込むリソース(スクリプトやCSS等)の許可元を制限し、XSSなどの攻撃を軽減する。
16
OutSystemsアプリで総当たり(Brute Force)攻撃対策を設定する場合、適切な構成として最も正しいものはどれですか。
A. `EnableBruteForceProtection`を有効にし、一定回数の失敗で一時的にユーザーまたはIPアドレスをブロックする。
17
あるOutSystemsアプリケーションで、重大な操作(たとえば支払い操作や機密情報アクセス)が実行された際に誰がいつ何を行ったかを追跡したいとします。 OutSystemsが提供する機能やベストプラクティスの観点で、最も適切なアプローチはどれでしょうか。
C. サーバー側ロジックにおいて、ログ記録(Logging) や 監査(Audit Trail) を実装し、誰がどの操作をいつ実行したかをService Centerのログや独自テーブルに記録する。
18
アプリケーションがクライアントとサーバー間で機密データをやり取りしており、さらに社内向けと社外向けの複数モジュールを運用する想定です。暗号化/SSLに関する最適な構成として、最も正しいのは次のうちどれですか。
B. [Security] -> [Enforce HTTPS Security]を環境レベルで有効にし、すべての画面やWeb参照がHTTPSを使用するようにする。
19
あるリアクティブWebアプリで、認証済みユーザーがフォーム送信を行う機能があります。外部サイトから意図しないリクエストを送りつけられる可能性を考慮した場合、OutSystemsはどのようにCSRFを防御するのが最適でしょうか。
C. OutSystemsが標準でViewState署名(Traditional Web)や`nr2<user>`クッキー(Reactive Web)によるCSRF保護を実装しており、トークンを自動的に付与する。
20
OutSystemsで医療情報のような機密データをデータベースに保存する場合、暗号化のベストプラクティスとして最も適切な対応はどれですか。
B. カラム単位やモジュール単位でCryptoAPI(Forge)等を使い、Envelope Encryptionなどで鍵管理を行いながらデータを暗号化する。
21
OutSystems Forgeには多様なコンポーネントが公開されていますが、セキュリティリスクを最小化するために最も推奨される運用は次のうちどれですか。
C. 定期的に公開されるアップデート情報を確認し、脆弱性やバグ修正がある場合は早めにアップデートし、安全性を検証する。
22
OutSystems 11でマルチテナント機能を利用し、異なる顧客グループを別テナントとして運用するケースを考えます。正しい運用として最も適切なものはどれですか。
D. OutSystemsのマルチテナント機能を有効にし、各テナントに紐づくユーザーは他のテナントのデータにアクセスできないようにする。
23
OutSystemsでGrant<Role>()やRevoke<Role>()を実行してロールを付与/剥奪する際、Non-persistentなロール設定を推奨するケースとして最も適切なのはどれですか。
B. Active Directoryなど外部認証システムでユーザー権限が日々変化するため、OutSystems側にロール情報を永続化せずセッション単位で反映したい場合。
24
OutSystemsで環境全体のセキュリティ強化を行いたい場合の最適な手順として、最も正しいものはどれですか。
B. LifeTimeやService CenterのEnvironment SecurityでEnforce HTTPSやSecure Cookiesを有効にし、必要に応じてアプリ個別設定で上書きも可能。
25
OutSystems開発では、最小権限の原則(Least Privilege)を実践することが推奨されています。次のうち、Least Privilegeの考え方に最も合致する例はどれですか。
B. 特定のアクションを実行するためだけのロールを作成し、本当に必要なユーザーだけにそのロールを付与する。
26
OutSystemsでデバッグ用のテスト画面を作成している場合に、セキュリティリスクを避けるための最適な対応はどれですか。
C. デバッグ用画面を開発環境のみで使用し、本番やステージング環境にはデプロイしない、あるいはロール制御でアクセスを厳しく制限する。
27
OutSystemsのリアクティブWebアプリで、フォーム送信が外部サイトからの不正リクエスト(CSRF攻撃)によって呼び出されるリスクを考慮しています。OutSystemsでは、CSRFを防ぐためにどのような仕組みや手法が推奨されますか。
C. OutSystemsが標準で提供するCSRFトークンの仕組み(ViewState署名/`nr2<user>`クッキー)を利用し、サーバー側で検証する。
28
OutSystemsアプリのデータベースに医療関連の機密情報(PHI)を保存するケースを想定しています。機密データを「保存時」に保護するための最適な方法は次のうちどれでしょうか。
B. 重要なカラムに対してはCryptoAPIなどで暗号化を行い、データを保存する前に適切な鍵管理を行う。
29
OutSystems Forgeで公開されている複数のコンポーネントを導入したいと考えています。セキュリティリスクを最小化するうえで最も推奨される対応はどれでしょうか。
C. Forgeコンポーネントのアップデートや脆弱性情報を常にチェックし、問題が報告された場合は早急にバージョンを上げてテストを行う。
30
マルチテナント機能を使って異なる顧客向けにアプリを展開する場合、テナントごとのデータ分離を正しく行うためのOutSystemsの標準的アプローチはどれでしょうか。
B. OutSystemsで「マルチテナント」を有効にし、テナントごとに自動分離される仕組みを活用する。
31
OutSystemsでロールの付与/剥奪(Grant<Role>Role, Revoke<Role>Role)を行うシナリオを想定しています。外部認証システム(AD/LDAPなど)で日々権限が変わるユーザーを扱う際、Non-persistent ロールが推奨される理由はどれでしょうか。
B. 外部システムの変更をOutSystemsがセッションごとに再確認でき、ロールが自動的に最新化されるため。
32
OutSystemsの環境全体でセキュリティ設定を一括管理したい場合、最も適切なアプローチはどれですか。
B. LifeTimeやService Centerの「Environment Security」でHTTPS強制/セキュアCookieなどをまとめて有効にし、必要ならアプリ個別で上書きも可能。
33
OutSystemsにおける最小権限の原則(Least Privilege)の実践例として、正しくないのはどれですか。
C. 簡便化のため、すべてのユーザーに管理者ロールを付与して、アクセス制御を省く。
34
OutSystemsアプリで、テスト用のデバッグ画面を作成し、本番でも使えるように「Anonymous」権限を設定した場合に起こりうるセキュリティリスクとして、最も典型的なものはどれですか。
B. テスト用画面からDB操作や他のユーザーのデータ参照が可能になり、機密情報が漏洩する。