HOME»情報処理安全確保支援士掲示板»令和2年度 午後I 問3 設問2(1)
投稿する
P16 図3 診断要件「2.診断に当たってネットワーク構成、システム構成、設定及び
データを変更した場合は、診断終了後、診断前の状態に戻し、システムの正常な
動作を確認すること」と記載があります。
この要件にのっとり、診断終了後に、ステージング環境の診断用の利用者IDを
削除したと読み取れます。
P16 段落「Pシステムの診断計画」とP18 段落「Pシステムの診断計画レビュー」は
対応しています。そのため、[ b ]の内容は段落「Pシステムの診断計画」の
内容を反映する流れになっています。
IPAの設問は本文中に根拠がある場合が大半です。疑問に思うのであれば、
本文中に根拠がないか探すようにしてみてください。
すみませんが、独自解釈がはいっているようです。
『図3 診断要件
1.本番環境への影響を最小化すること
2.診断に当たってネットワーク構成、システム構成、設定及びデータを変更した場合は、
診断終了後、診断前の状態に戻し、システムの正常な動作を確認すること』
本問の状況は、事前に決めたこの診断要件を守っただけです。
それ以上の推測は本設問を解答する範疇から外れた拡大解釈となっています。
ステージング環境を利用したのは、要件「1.本番環境への影響を最小化すること」を
満たすためです。
利用者IDを削除したのは、要件「2.診断に当たってネットワーク構成、システム構成、
設定及びデータを変更した場合は、診断終了後、診断前の状態に戻し、システムの正常な
動作を確認すること」を満たすためです。
文章読解の基本は「何も足さない、何も引かないです」
独自解釈を入れないように注意してみてください。
発想が逆であると思われます。
もしこの環境に以下のような環境があったと仮定します。
・本番環境
・ステージング環境
・開発環境
「1.本番環境への影響を最小化すること」
この要件を満たすために利用できる環境として、
・ステージング環境
・開発環境
どの環境を使ったとしても良いと想定されます。
「2.診断に当たってネットワーク構成、システム構成、設定及びデータを
変更した場合は、診断終了後、診断前の状態に戻し、システムの正常な動作を
確認すること」
もし、1で開発環境を選んだとしても、要件2を守るために開発環境を元の状態に
戻すことになります。
この想定からステージング環境や開発環境という環境の特徴を配慮しているわけ
ではなく環境の現状回復を行っているに過ぎないと想定されます。
令和2年度 午後I 問3 設問2(1) [1486]
うさぎさん(No.1)
ステージング環境の(診断用の利用者ID)を削除する
この穴埋めについて、
模範解答となる理由は、過去の質問等やブログの解説等も読み漁り理解したつもりですが
どうしてこんなことをする必要があるのかイマイチ腑に落ちません。
元々診断は本番環境で行う想定で
もし本番環境に診断用のデータを作ることがあればそれは検証が終わった後に削除しなければならない、というのは理解しています。
問題文の中にも
診断前の状態に戻せないようなデータの更新が発生する診断は実施しない。
とあり、これは十分理解出来ます。
本問では、ステージング環境での対応を聞かれていますが
ステージング環境と本番環境は完全に分離されているため
ステージング環境に診断用として作成したデータは残しておいても問題はないのではないでしょうか?
考えられるセキュリティ的な理由として
ステージング環境のデータは常に空にしておく運用
が思いつきましたが、図1の注記3にテスト用データが保存されている旨の記載があったため違いそうです。
ステージング環境は本番環境のデータを復元(これがテスト用データになる)して使うのが決まりなのかなと思い
診断用の利用者IDの削除だけでは不十分でテスト用データ全てを削除するを解答としました。
皆さまの知見を頂きたいです。
この穴埋めについて、
模範解答となる理由は、過去の質問等やブログの解説等も読み漁り理解したつもりですが
どうしてこんなことをする必要があるのかイマイチ腑に落ちません。
元々診断は本番環境で行う想定で
もし本番環境に診断用のデータを作ることがあればそれは検証が終わった後に削除しなければならない、というのは理解しています。
問題文の中にも
診断前の状態に戻せないようなデータの更新が発生する診断は実施しない。
とあり、これは十分理解出来ます。
本問では、ステージング環境での対応を聞かれていますが
ステージング環境と本番環境は完全に分離されているため
ステージング環境に診断用として作成したデータは残しておいても問題はないのではないでしょうか?
考えられるセキュリティ的な理由として
ステージング環境のデータは常に空にしておく運用
が思いつきましたが、図1の注記3にテスト用データが保存されている旨の記載があったため違いそうです。
ステージング環境は本番環境のデータを復元(これがテスト用データになる)して使うのが決まりなのかなと思い
診断用の利用者IDの削除だけでは不十分でテスト用データ全てを削除するを解答としました。
皆さまの知見を頂きたいです。
2024.04.04 01:38
pixさん(No.2)
★SC ダイヤモンドマイスター
>ステージング環境に診断用として作成したデータは残しておいても
>問題はないのではないでしょうか?
P16 図3 診断要件「2.診断に当たってネットワーク構成、システム構成、設定及び
データを変更した場合は、診断終了後、診断前の状態に戻し、システムの正常な
動作を確認すること」と記載があります。
この要件にのっとり、診断終了後に、ステージング環境の診断用の利用者IDを
削除したと読み取れます。
P16 段落「Pシステムの診断計画」とP18 段落「Pシステムの診断計画レビュー」は
対応しています。そのため、[ b ]の内容は段落「Pシステムの診断計画」の
内容を反映する流れになっています。
IPAの設問は本文中に根拠がある場合が大半です。疑問に思うのであれば、
本文中に根拠がないか探すようにしてみてください。
2024.04.04 04:07
うさぎさん(No.3)
解答ありがとうございます。
この答えとなる根拠は理解したのですが
どうしてステージング環境なのに診断前の状態に戻さなくてはならないのでしょうか。
この問いのある会社のルールだと解釈して良いのでしょうか。
それとも今回のような診断を行うにあたっては一般的なルールだったりするのでしょうか。
この答えとなる根拠は理解したのですが
どうしてステージング環境なのに診断前の状態に戻さなくてはならないのでしょうか。
この問いのある会社のルールだと解釈して良いのでしょうか。
それとも今回のような診断を行うにあたっては一般的なルールだったりするのでしょうか。
2024.04.04 20:26
pixさん(No.4)
★SC ダイヤモンドマイスター
>この答えとなる根拠は理解したのですが
>どうしてステージング環境なのに診断前の状態に戻さなくてはならないのでしょうか。
すみませんが、独自解釈がはいっているようです。
『図3 診断要件
1.本番環境への影響を最小化すること
2.診断に当たってネットワーク構成、システム構成、設定及びデータを変更した場合は、
診断終了後、診断前の状態に戻し、システムの正常な動作を確認すること』
本問の状況は、事前に決めたこの診断要件を守っただけです。
それ以上の推測は本設問を解答する範疇から外れた拡大解釈となっています。
ステージング環境を利用したのは、要件「1.本番環境への影響を最小化すること」を
満たすためです。
利用者IDを削除したのは、要件「2.診断に当たってネットワーク構成、システム構成、
設定及びデータを変更した場合は、診断終了後、診断前の状態に戻し、システムの正常な
動作を確認すること」を満たすためです。
文章読解の基本は「何も足さない、何も引かないです」
独自解釈を入れないように注意してみてください。
2024.04.04 20:36
うさぎさん(No.5)
何度も申し上げて申し訳ないのですが、
模範解答となる理由とは別に、どうしてこんな運用になっているのか?が気になっています。
ステージング環境の状態を戻さないで何か問題が生じるためにこのようなルールになっているかと思うのですが、その問題の理由が知りたかったのです。
この問いの会社のルールということで深くは考えないでおきます。
ご回答ありがとうございました。。
模範解答となる理由とは別に、どうしてこんな運用になっているのか?が気になっています。
ステージング環境の状態を戻さないで何か問題が生じるためにこのようなルールになっているかと思うのですが、その問題の理由が知りたかったのです。
この問いの会社のルールということで深くは考えないでおきます。
ご回答ありがとうございました。。
2024.04.04 22:07
pixさん(No.6)
★SC ダイヤモンドマイスター
>何度も申し上げて申し訳ないのですが、
>模範解答となる理由とは別に、どうしてこんな運用になっているのか?
>が気になっています。
>ステージング環境の状態を戻さないで何か問題が生じるためにこのような
>ルールになっているかと思うのですが、その問題の理由が知りたかったのです
発想が逆であると思われます。
もしこの環境に以下のような環境があったと仮定します。
・本番環境
・ステージング環境
・開発環境
「1.本番環境への影響を最小化すること」
この要件を満たすために利用できる環境として、
・ステージング環境
・開発環境
どの環境を使ったとしても良いと想定されます。
「2.診断に当たってネットワーク構成、システム構成、設定及びデータを
変更した場合は、診断終了後、診断前の状態に戻し、システムの正常な動作を
確認すること」
もし、1で開発環境を選んだとしても、要件2を守るために開発環境を元の状態に
戻すことになります。
この想定からステージング環境や開発環境という環境の特徴を配慮しているわけ
ではなく環境の現状回復を行っているに過ぎないと想定されます。
2024.04.04 22:20
普通にさん(No.7)
横からすいません。
ステージング環境なのだからもとに戻さなくてもいいのではという疑問は
問題から外れた質問なのでしょう。
うさぎさんのご経験からもどさなくてもよいのではないか?と思われたのかもしれませんが、世の中には山ほど会社があります。
自身のご経験がすべてと思わないほうがよろしいかと。
ステージング環境なのだからもとに戻さなくてもいいのではという疑問は
問題から外れた質問なのでしょう。
うさぎさんのご経験からもどさなくてもよいのではないか?と思われたのかもしれませんが、世の中には山ほど会社があります。
自身のご経験がすべてと思わないほうがよろしいかと。
2024.04.04 22:25
うさぎさん(No.8)
ステージング環境のテストデータも使い終わったらゴミにはなってしまい、そのようなデータが蓄積するのは保守的に好ましい状態ではないですね。
それをこの問いの会社ではルールとしているということですね。
個人的には、検証した履歴になるからテストデータも残した方がいいかなと思っていてずっと引っかかったままでした。
それでも開発環境はテストデータは残しておいた方が良さそうですが。
ステージング環境は開発環境よりもより丁寧に管理している場合もあると解釈します。
普通にさんのコメントですっきりしました。
お二方共に、私のつまらぬ思い込みに付き合っていただきありがとうございました!
とりあえずこの件は忘れて勉強を続けたいと思います。
それをこの問いの会社ではルールとしているということですね。
個人的には、検証した履歴になるからテストデータも残した方がいいかなと思っていてずっと引っかかったままでした。
それでも開発環境はテストデータは残しておいた方が良さそうですが。
ステージング環境は開発環境よりもより丁寧に管理している場合もあると解釈します。
普通にさんのコメントですっきりしました。
お二方共に、私のつまらぬ思い込みに付き合っていただきありがとうございました!
とりあえずこの件は忘れて勉強を続けたいと思います。
2024.04.05 00:21