開発者向けセキュリティ理解度テスト 2026年4月版
一般向け 28 問 + 開発者向け 10 問の計 38 問。SQLi・XSS・CSRF・JWT・CSP など、開発業務に必要なセキュリティ知識を網羅的にチェック。
開発者向けセキュリティ理解度テスト
38 問の○×問題です。各問題で「○」か「×」を選んでください。全問回答後に「採点する」ボタンで結果を確認できます。
合格ライン: 31 問以上正解(80%)/ 所要時間: 約 15 分
パスワード・認証
パスワードは「英大文字・小文字・数字・記号を混ぜた 8 文字」より「覚えやすい日本語フレーズを組み合わせた 16 文字以上」のほうが強い
多要素認証(MFA など)を設定していれば、パスワードが漏洩しても不正ログインされることはない
会社のシステムと個人の SNS で同じパスワードを使い回しても、会社のセキュリティには影響しない
パスワードマネージャーに全パスワードを預けるのは、一箇所に集中させることになるので危険だ
SMS で届く認証コードより、認証アプリ(Google Authenticator 等)のほうがセキュリティ的に強い
フィッシング
送信元が「support@amazon.co.jp」と表示されていれば、そのメールは正規の Amazon からのものだ
フィッシングメールは日本語が不自然なので、日本語が自然なメールは安全だ
「アカウントが 24 時間以内にロックされます」というメールが届いたら、まずメール内のリンクではなくブックマークから公式サイトにアクセスして確認すべきだ
取引先の担当者から届いた請求書メールは、いつもの相手なので添付ファイルを開いても問題ない
電話で「IT 部門ですが、リモートアクセスの設定確認のためパスワードを教えてください」と言われた。社内の IT 部門からの電話なので教えて良い
メール・情報共有
社外の複数の関係者にメールを送るとき、互いのメールアドレスを見せたくなければ BCC を使う
メールの添付ファイルにパスワード付き ZIP を使い、別メールでパスワードを送れば安全だ
Google Drive のファイルを「リンクを知っている全員がアクセス可能」に設定するのは、社内共有なら問題ない
転送メールを社外に送る前に、過去のスレッドに社外秘の情報が含まれていないか確認すべきだ
業務用チャット(Slack / Teams)のダイレクトメッセージは暗号化されているので、パスワードや API キーを送っても安全だ
端末・物理
Windows の BitLocker や Mac の FileVault を有効にしていれば、PC を紛失してもデータ流出リスクは大幅に下がる
カフェで作業するとき、離席時にノート PC の画面をロックするだけでなく、貴重品と同様に持ち歩くべきだ
自宅の Wi-Fi は自分しか使わないので、パスワードを初期設定のままにしておいても問題ない
拾った USB メモリの中身を確認するために、自分の業務 PC に挿しても問題ない
業務データを USB メモリにコピーして持ち帰り、自宅で作業するのは暗号化していれば問題ない
不要になった印刷物はオフィス内のゴミ箱に捨てれば、社外に出ないので安全だ
クラウド・リモートワーク
退職日を過ぎていても、引き継ぎが終わるまで退職者のクラウドサービスアカウントを有効にしておくほうが良い
公衆 Wi-Fi(カフェ、ホテル等)で業務メールを閲覧する場合、VPN を使えば安全性が大幅に向上する
会社で許可されていないクラウドサービス(シャドー IT)に業務データをアップロードすることは、たとえ便利でもセキュリティリスクになる
AI・最新脅威
ChatGPT 等の生成 AI に社内の機密情報や顧客データを入力しても、AI が外部に漏らすことはないので安全だ
取引先からのビデオ通話で社長の顔と声が確認できれば、本人からの指示だと信頼してよい
ランサムウェアに感染した場合、身代金を支払えばデータが確実に復旧される
OS やソフトウェアのアップデート通知が来たら、業務が忙しくても可能な限り早く適用すべきだ
セキュアコーディング
SQL 文を組み立てる際、パラメータ化クエリ(プレースホルダ)を使っていれば SQL インジェクションは防げる
ユーザー入力をサーバー側でバリデーションしていれば、HTML にそのまま出力しても XSS は発生しない
Git リポジトリに一度コミットした API キーは、そのファイルを削除するコミットを追加しても履歴から完全には消えない
依存関係管理
npm / pip 等で公開されているパッケージは、ダウンロード数が多ければ安全性が高い
API・通信セキュリティ
社内ネットワークからしかアクセスできない管理画面であれば、HTTPS(TLS)は不要だ
CORS の Access-Control-Allow-Origin を「*」(ワイルドカード)に設定すると、どのサイトからでも API を呼べるので便利だが、認証付き API では使うべきではない
API の認証トークンは URL のクエリパラメータに含めるよりも、Authorization ヘッダーで送るほうが安全だ
インフラ・運用
コンテナイメージは一度ビルドすればイメージ内のコードは変わらないので、脆弱性スキャンは初回ビルド時だけ実施すればよい
クラウドの IAM 権限は、開発スピードを優先してまず広い権限を付与し、本番リリース前に絞ればよい
Content-Security-Policy(CSP)ヘッダーを適切に設定すれば、XSS 攻撃の被害を軽減できる
0 / 38 問回答済み
関連トピック
SQL インジェクション- ユーザー入力を通じて不正な SQL 文を実行させる攻撃。データの漏洩・改ざん・削除が可能になる。 XSS(クロスサイトスクリプティング)- 悪意あるスクリプトを Web ページに注入する攻撃手法。反射型・格納型・DOM Based の 3 種類がある。 CSRF(クロスサイトリクエストフォージェリ)- ログイン済みのユーザーに意図しないリクエストを送信させる攻撃。 JWT(JSON Web Token)- JSON ベースのトークン形式。署名により改ざんを検知できるが、適切に運用しないとセキュリティリスクになる。 Content Security Policy (CSP)- ブラウザが読み込めるリソースの種類やオリジンを制限する HTTP ヘッダ。XSS の被害を大幅に軽減できる。 CORS(オリジン間リソース共有)- 異なるオリジン間での HTTP リクエストを制御する仕組み。同一オリジンポリシーを緩和しつつ、不正なアクセスを防ぐ。 シークレット管理- API キー、パスワード、証明書などの機密情報を安全に保管・配布・ローテーションする仕組み。ハードコーディングの防止が基本。