応用情報技術者 2021年 秋期 午前2 問38
問題文
ソフトウェア製品の脆弱性を第三者が発見し、その脆弱性を JPCERT コーディネーションセンターが製品開発者に通知した。その場合における製品開発者の対応のうち、“情報セキュリティ早期警戒パートナーシップガイドライン (2019年5月)に照らして適切なものはどれか。
選択肢
ア:ISMS認証を取得している場合、 ISMS 認証の停止の手続を JPCERT コーディネーションセンターに依頼する。
イ:脆弱性関連の情報を集計し、 統計情報として IPAの Webサイトで公表する。
ウ:脆弱性情報の公表に関するスケジュールを JPCERT コーディネーションセンターと調整し、決定する。(正解)
エ:脆弱性の対応状況を JVN に書き込み、 公表する。
ソフトウェア製品の脆弱性対応【午前2 解説】
要点まとめ
- 結論:脆弱性情報の公表はJPCERTとスケジュール調整し、適切なタイミングで行うことが重要です。
- 根拠:情報セキュリティ早期警戒パートナーシップガイドライン(2019年5月)では、関係者間の連携と調整を重視しています。
- 差がつくポイント:単独での公表や手続き依頼ではなく、JPCERTとの協議を経て公表スケジュールを決定する点が評価されます。
正解の理由
ウ: 脆弱性情報の公表に関するスケジュールを JPCERT コーディネーションセンターと調整し、決定する。
この選択肢は、ガイドラインに沿って脆弱性情報の公表を関係機関と連携して進める適切な対応を示しています。JPCERTは脆弱性情報の調整役として機能し、開発者と協力して公表時期を決めることで、混乱や誤解を防ぎます。
この選択肢は、ガイドラインに沿って脆弱性情報の公表を関係機関と連携して進める適切な対応を示しています。JPCERTは脆弱性情報の調整役として機能し、開発者と協力して公表時期を決めることで、混乱や誤解を防ぎます。
よくある誤解
- 脆弱性情報はすぐに単独で公表すべきと誤解しがちですが、関係機関との調整が不可欠です。
- ISMS認証の停止手続きは脆弱性対応の直接的な手段ではありません。
解法ステップ
- 問題文の「情報セキュリティ早期警戒パートナーシップガイドライン(2019年5月)」に注目する。
- ガイドラインの基本方針は「関係者間の連携と調整」であることを理解する。
- 選択肢を「単独対応か連携対応か」で分類する。
- JPCERTとの調整を含む選択肢を正解候補とする。
- 他の選択肢の誤りを確認し、最も適切なものを選ぶ。
選択肢別の誤答解説
- ア: ISMS認証の停止手続きは脆弱性対応の直接的な行動ではなく、JPCERTに依頼することもガイドラインにない。
- イ: 脆弱性情報の統計公表はIPAの役割ですが、製品開発者が直接行うものではない。
- ウ: 正解。JPCERTと調整し公表スケジュールを決定することがガイドラインに沿う。
- エ: JVN(Japan Vulnerability Notes)への書き込みは情報共有の一環だが、スケジュール調整なしに公表するのは不適切。
補足コラム
情報セキュリティ早期警戒パートナーシップガイドラインは、脆弱性情報の適切な取り扱いを促進し、被害拡大防止を目的としています。JPCERTは国内の脆弱性情報の調整センターとして、開発者やユーザー、関連機関間の橋渡し役を担っています。適切な連携がセキュリティリスクの最小化に繋がります。
FAQ
Q: なぜJPCERTとの調整が必要なのですか?
A: 脆弱性情報の公表はタイミングが重要で、誤ったタイミングでの公表は被害拡大や混乱を招くため、調整が必要です。
A: 脆弱性情報の公表はタイミングが重要で、誤ったタイミングでの公表は被害拡大や混乱を招くため、調整が必要です。
Q: ISMS認証は脆弱性対応に直接関係しますか?
A: ISMSは情報セキュリティ管理の枠組みですが、脆弱性対応の具体的な手続きとは異なります。
A: ISMSは情報セキュリティ管理の枠組みですが、脆弱性対応の具体的な手続きとは異なります。
関連キーワード: 脆弱性対応、JPCERT, 情報セキュリティ早期警戒パートナーシップ、JVN, 公表スケジュール
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!