平成22年秋期情報セキュリティスペシャリスト試験午後Ⅱ問1の解説です。本動画で学習すべきキーワードは、複数顧客でシステムを共有する際の「マルチテナントにおけるデータ分離」、プレースホルダを用いた「SQLインジェクション対策」、開発工程における「脆弱性情報の収集と管理」です。これらは安全なWebアプリを開発し運用する上で必須となる重要な知識です。 マルチテナント方式では顧客間のデータ漏えいを防ぐため、データベースのテーブルとアカウントを顧客ごとに分離しアクセス権を設定します。SQLインジェクション対策としては、SQL文の組立てにプレースホルダとバインド機構を使用します。また、設計段階でのセキュリティ要件のレビュー、外部委託先に対する詳細な受入検査、継続的な脆弱性情報の収集と管理体制の規定が安全な開発プロセスには不可欠です。
