[https://www.youtube.com/watch?v=Jcd4MlPOZaE:embed:cite]

令和3年度秋期 情報処理安全確保支援士試験 午後Ⅱ問1の解説動画です。本問はWebアプリのXSS対策として重要なCSP（Content Security Policy）の実装と、SaaS移行時のリスク分析、そしてFIDO認証の仕組みを問う良問です。従来のフィルタリングからCSPへの移行におけるコード改修の要点や、クラウド環境での暗号化、フィッシングに強い認証の仕組みを実務的な視点で解説します。 本動画で最初に取り上げる最重要テーマはWebセキュリティの要となるContent Security Policy（CSP）です。従来の開発現場ではサニタイジングやフィルタリングがXSS対策の主流でしたが、本問ではブラウザ側で不正なスクリプトの実行を制御するCSPへの移行が明確な意図として出題されています。特に重要なのがscript-src 'self'というヘッダ設定であり、これは同一オリジンにあるスクリプトファイルのみ実行を許可し、それ以外をブロックするという強力なホワイトリスト方式の対策です。しかしこの設定を導入するとHTMLタグ内に直接記述されたイベントハンドラなどのインラインスクリプトも動作しなくなるため、開発者はスクリプトを外部ファイルに切り出すといったコードレベルのリファクタリングが必要になる点まで深く理解しておく必要があります。次に学習すべきはSaaS利用におけるリスク分析とガバナンスです。クラウドサービスを選定する際にはISO/IEC 27017などの認証基準を確認することが基本ですが、本問ではさらに踏み込んで海外データセンター利用時の法的リスクに焦点を当てています。海外政府によるデータ開示請求に対抗するための具体的手段として、SaaS事業者の機能に依存せず利用者自身が管理する鍵を用いてデータを暗号化してからアップロードするという「BYOK（Bring Your Own Key）」に近い概念が正解となる点は、クラウド時代の必須知識といえます。またセキュリティ監視の観点からはSIEMを用いたログ分析の手法も問われています。攻撃者がアクセス元IPアドレスを頻繁に変更しながら不正アクセスを試みる場合、単一のIPブロックでは防げないため、ログ全体を分析して振る舞いを検知する必要があるという実践的な視点が求められます。そして最後に認証セキュリティとしてFIDO認証とIDaaS連携について詳細に解説します。FIDO認証がなぜフィッシング攻撃（中間者攻撃）に対して圧倒的に強いのか、その理由は「オリジン検証」という仕組みにあります。攻撃者が用意した偽サイトで認証を行おうとしても、認証器はアクセスしているドメイン情報（オリジン）を含めてデジタル署名を作成するため、正規のサーバ側でその不整合を検知して認証を拒否できるというメカニズムは試験頻出ポイントです。加えてスマートフォンなどの認証デバイスを業務利用する際の紛失対策や退職時の即時アカウント無効化といった運用リスクまで網羅されており、技術と運用の両面からセキュアなシステムを構築するための知識を深めることができます。