[https://www.youtube.com/watch?v=SwZ-CrMlwkE:embed:cite]

本動画は、令和4年度春期情報処理安全確保支援士試験午後Ⅱ問1の過去問を徹底解説します。アジャイル開発を採用した企業のWebサイトを舞台に、ライブラリに潜むXSS、セッション不備によるCSRF、クリックジャッキング、そして内部ネットワークを脅かすSSRFといった脆弱性の実例とその具体的な修正案、さらに開発スピードとセキュリティ品質を両立させるためのプロセス改善までを網羅的に学習できます。 本講義でまず重要となるのが、アジャイル開発のような高速な開発サイクルにおいて見落とされがちなライブラリ管理とXSS脆弱性の関係です。開発者が機能実装を優先し、既知の脆弱性を含むライブラリを安易に利用してしまうリスクに対し、ダウンロード時に脆弱性の有無を確認することや入手先を特定のWebサイトに限定して明文化するといった調達プロセスのルール化が不可欠であることを学びます。次に解説するのは、セッション管理の不備を突いたCSRF攻撃への対策です。単にCSRF対策用トークンを発行するだけでは不十分であり、そのトークンが現在のセッションオブジェクトや利用者IDと厳密にひも付けられているかを確認する検証ロジックの実装が求められます。また、利用者の意図しない操作を誘発するクリックジャッキング脆弱性については、Webブラウザの挙動を制御するHTTPレスポンスヘッダの理解が必須です。具体的には、最新の標準であるContent-Security-Policyや、従来からあるX-Frame-Optionsヘッダを適切に設定し、自サイトが他者のサイト上のフレーム内に表示されることを防ぐ設定方法を押さえておきましょう。さらに、Webサーバーを踏み台にして内部ネットワークへ攻撃を行うSSRF脆弱性も本問の重要なテーマです。攻撃者がリクエストパラメータ（topicやreturnURLなど）を操作して内部のデータベース管理画面や提携サイトへ不正アクセスを試みる手口に対し、入力値を固定値にする、あるいは厳格なホワイトリストで制限するといった、外部入力を安易に信用しない実装が正解への鍵となります。最後に、これらの技術的対策を実務で回すための開発プロセスの見直しについて掘り下げます。ツールによる自動診断は高速ですが、認可やアクセス制御といったロジックの脆弱性は見逃す可能性があります。そのため、アジャイルの短いサイクルの合間に、定期的に期間の長い改良リリースを設けて専門技術者による手動診断を実施する体制づくりや、セキュリティ対策があらかじめ組み込まれたフレームワークを活用して開発者のミスを減らす戦略的アプローチが、安全なシステム開発には欠かせない視点となります。