Security Specializationは2022/5に追加された試験で、ReactiveのProfessional認定の条件の1つ。名前通り、OutSystemsで開発する際のセキュリティ関係の話題に関係する出題がある試験。
試験情報のPDFと一緒にダウンロードできるサンプル問題を解説する。
全部で8問で、この記事では1問目-4問目が対象。
Security Specializationのサンプル問題について解説 2/2(#5-#8)
サンプル問題は、
https://www.outsystems.com/learn/certifications/
の、「Security Specialist」項目のリンク「Exam Details」でダウンロードできる資料から。「Sample Exam」がついている方のファイルが該当する。
1 サイバーセキュリティ攻撃
サイバーセキュリティ攻撃の種類を聞く問題。
認証されたユーザーアカウントを使ったセキュリティ侵害が発生し、調査の結果、そのユーザーは実際にログインしたが別の誰かに乗っ取られた。
という状況で行われた攻撃の種類はどれか?
A. Man-in-the-middle: 中間者攻撃。クライアントとサーバーの通信の間に攻撃者が入り込んで盗聴などを行う
B. Session hijacking: セッションハイジャック。名前通りセッションを乗っ取ることなので、これが正解
C. Security misconfiguration: セキュリティの設定ミス。左のリンクによると、適切な設定をしていない、ソフトウェアの最新化をしていない、不要なデフォルト機能を切っていないなどの設定ミス。攻撃の種類ではない
D. Ransomeware: ランサムウェア。感染すると環境内のファイルを暗号化するマルウェア
というわけで正解はBだが、Aの攻撃の中でセッションハイジャックすることもあると思うので、少し微妙なところ。
ただ、やはり選択肢Bがズバリなので試験中ならこちらを選ぶ。
2 情報セキュリティの3要素
OutSystems特有の概念ではなく、組織内の情報セキュリティを検討するときに最も重要な要素を挙げたものであるらしい。
Best Practices - Securityに「The CIA Security Triangle is a model that represents the three base pillars of information security within an organization, confidentiality, integrity, and availability.」と選択肢Aそのままの文がある。
というわけでそのままの選択肢Aが正解。
3 SessionのMax. Idle Time
アプリケーションのログインセッションは、ユーザーが未操作のまま一定の時間が経過すると、サーバー側でそのセッションが無効化される。
この時間を10分に設定したいが、どこで設定をすればいいか、という問題。
セキュリティ設定は、LifeTimeとService Centerで迷うところだが、Environment Securityに分類されるものはLifeTimeで、Applications Authenticationに分類されるものはService Centerで行う。
問題の設定箇所は、Service Center > Administrator > Security > Applications Authenticationリンク > ページ下部のMax. Idle Time。よって選択肢Dが正解。
4 Captcha
OutSystemsの資料でCaptchaの解説を見た記憶がないが……。
ログイン画面でたまに見る、ジグソーパズルのピースをドラッグしたり、表示された言葉にマッチする画像を選択させることで、「人間による操作と、コンピュータによる自動操作」を区別するもの。
というわけで、操作が人間によるものだることを確認するとしている選択肢Aとボットによる自動アクセスを防ぐとしている選択肢Bは正しい。
選択肢Cは、「特定のIP等からの自動クエリを防ぐ」というもの。これはたまにGoogle検索時に見かける「Unusual traffic from your computer network」のような例を指しているのでこれもOK。
最後の選択肢Dは「すべての正しくないログインが適切な承認プロセスにリダイレクトする」となっているが、ログインの判定そのものはCaptchaの仕事ではないはずなので、正しくない。
問題は正しくないものを聞いているので、選択肢Dが正解。