ITパスポート 2016年 秋期 問59
問題文
会社で業務に使用しているPCにおいて、OS、ミドルウェアやアプリケーションなどに適用するセキュリティパッチに関する記述として、適切なものはどれか。
選択肢
ア:ウイルス感染予防として適用すべきである。(正解)
イ:ウイルスに感染した場合に適用すべきである。
ウ:現状の機能に満足している場合は、セキュリティパッチが出ていても、適用する必要はない。
エ:サポート切れとなり、セキュリティパッチの提供が終了したソフトウェアは、これまでに提供された全てのセキュリティパッチを適用していれば安全に利用できる。
🔒 解説は解答すると表示されます
セキュリティパッチの適用に関する記述【ITパスポート 解説】
正解の理由
選択肢ア(ウイルス感染予防として適用すべきである)が正しい理由は、セキュリティパッチは既知の脆弱性(セキュリティ上の欠陥)を修正するために配布される更新だからです。
ここで用語をかみ砕いておきます。
ここで用語をかみ砕いておきます。
- OS(Operating System:コンピュータを動かす基本ソフト)
- ミドルウェア(middleware:OSと業務アプリの間で動作するソフト。例:データベースやWebサーバ)
- アプリケーション(application:業務で使う具体的なソフト。例:メールソフトや表計算)
- セキュリティパッチ(security patch:ソフトの安全上の問題を直すための修正プログラム)
- サポート切れ(end of support:メーカーがその製品の更新や修正を終了すること)
セキュリティパッチを適用することで、攻撃者が狙う既知の穴(脆弱性)を閉じられます。結果としてウイルスやマルウェアの侵入を防ぎやすくなるため、予防措置として適用すべきです。
解法ステップ
- 問題文で対象が「OS、ミドルウェア、アプリケーションに適用するセキュリティパッチ」と明記されている点を確認する。
- 「適用する目的」が問われているため、パッチの目的(脆弱性の修正=予防)を思い出す。
- 各選択肢を目的と照らし合わせ、予防的に行うものを選ぶ。
- 予防的に行うものに該当するのは選択肢アであると判断する。
選択肢別の誤答解説
- ア: 正しい。セキュリティパッチは既知の脆弱性を修正し、ウイルスや攻撃を防ぐために適用する。予防が主目的である点を押さえる。
- イ: 誤り。ウイルスに「感染した場合に適用すべき」ではありません。感染後に対処するのは駆除や復旧作業であり、パッチは事前に適用して感染を防ぐためのものです(ただし、感染原因が脆弱性なら感染後にパッチ適用して再発防止することはあるが、主目的は予防)。
- ウ: 誤り。現状の機能に満足していても、セキュリティパッチは適用すべきです。機能に変化がなくても脆弱性が放置されるとリスクが高まります。
- エ: 誤り。サポート切れ(メーカーが更新をやめた状態)のソフトは、それまでの全パッチを当てていても将来発見される新たな脆弱性に対処されません。したがって「安全に利用できる」とは言えず、通常はバージョンアップや代替手段を検討します。
よくある誤解
- 「更新すると動かなくなるかもしれないから後回しにする」
- 動作確認を行う運用(テスト環境での検証、段階的展開)でリスクを抑え、重要なパッチは速やかに適用するのが正しい対応です。
- 「アンチウイルスがあればパッチは不要」
- アンチウイルスは既知のマルウェアを検出・除去しますが、未知の攻撃やOSの脆弱性を突く攻撃は防げません。両方の対策が必要です。
- 「一度パッチを当てれば将来のリスクはゼロになる」
- 新しい脆弱性は常に発見されるため、継続的な更新と監視が必要です。
補足コラム
企業や組織での「パッチ管理(patch management)」は、単に最新をインストールするだけでなく、次のような仕組みが重要です。
- 資産管理:どの機器・ソフトがあるかを把握する。
- 優先順位付け:脆弱性の深刻度(例:Critical, High)や業務影響度で順序を決める。
- テストとロールアウト:まずテスト環境で確認し、その後段階的に本番へ展開する。
- バックアップとロールバック計画:問題発生時に元に戻せる準備。
- 監査と記録:いつ誰が何を適用したかの記録を残す。
中小企業や個人でも、OSや主要アプリの自動更新を有効にし、定期的に再起動や確認を行うだけで大きな効果があります。
FAQ
Q: セキュリティパッチと通常のアップデートは同じですか?
A: 一部重なることはありますが、セキュリティパッチは「安全性の修正」が目的です。通常のアップデートは機能追加や使い勝手の改善を含むことがあります。用途で区別して管理します。
A: 一部重なることはありますが、セキュリティパッチは「安全性の修正」が目的です。通常のアップデートは機能追加や使い勝手の改善を含むことがあります。用途で区別して管理します。
Q: すぐに適用できない場合はどうすればよいですか?
A: リスク評価を行い、適用が遅れる理由(互換性や業務影響)に対して代替策(ネットワーク分離、アクセス制限、IDS/IPSの導入など)を取ってリスクを低減します。可能なら早期に適用計画を立てて段階的に適用します。
A: リスク評価を行い、適用が遅れる理由(互換性や業務影響)に対して代替策(ネットワーク分離、アクセス制限、IDS/IPSの導入など)を取ってリスクを低減します。可能なら早期に適用計画を立てて段階的に適用します。
Q: サポート切れのOSを使い続けるのは本当に危ないですか?
A: はい。新しい脆弱性に対する修正が提供されないため、攻撃者に狙われやすくなります。アップグレードか、もし不可能ならネットワークから隔離する等の対策が必要です。
A: はい。新しい脆弱性に対する修正が提供されないため、攻撃者に狙われやすくなります。アップグレードか、もし不可能ならネットワークから隔離する等の対策が必要です。
関連キーワード: セキュリティパッチ, パッチ管理, 脆弱性, サポート切れ, アップデート, アンチウイルス, ロールアウト, バックアップ, パッチ適用手順, テスト環境

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

