ホーム > 情報処理安全確保支援士試験 > 2010年 春期
情報処理安全確保支援士試験 2010年 春期 午前2 問07
経済産業省告示の“ソフトウェア等脆弱性関連情報取扱基準”におけるWebアプリケーションに関する脆弱性関連情報の適切な取扱いはどれか。
ア:Webアプリケーションの脆弱性についての情報を受けた受付機関は,発見者の氏名・連絡先をWebサイト運営者に通知する。
イ:Webアプリケーションの脆弱性についての通知を受けたWebサイト運営者は,当該脆弱性に起因する個人情報の漏えいなどが発生した場合,事実関係を公表しない。
ウ:受付機関は,Webサイト運営者からWebアプリケーションの脆弱性が修正されたという通知を受けたら,それを速やかに発見者に通知する。(正解)
エ:受付機関は,一般利用者に不安を与えないために,Webアプリケーションの脆弱性関連情報の届出状況は,受付機関の中で管理し,公表しない。
解説
経済産業省告示の“ソフトウェア等脆弱性関連情報取扱基準”におけるWebアプリケーションに関する脆弱性関連情報の適切な取扱い【午前2 解説】
要点まとめ
- 結論:受付機関はWebサイト運営者から脆弱性修正の通知を受けたら、速やかに発見者に通知することが適切です。
- 根拠:経済産業省告示の基準では、情報の透明性と関係者間の迅速な連絡が求められているためです。
- 差がつくポイント:発見者の個人情報の扱いや公表の有無ではなく、修正完了の通知を発見者に伝える義務がある点を押さえることが重要です。
正解の理由
選択肢ウは、受付機関がWebサイト運営者から脆弱性の修正完了通知を受けた際に、速やかに発見者にその情報を伝えることを明示しています。これは、脆弱性対応の透明性を確保し、発見者の貢献を尊重するために必要な手続きであり、経済産業省告示の基準に沿った適切な対応です。
よくある誤解
受付機関が発見者の個人情報を運営者に通知することや、脆弱性発生時の事実関係を公表しないことは誤りです。情報の透明性と関係者間の適切な連絡が求められます。
解法ステップ
- 問題文の「経済産業省告示の取扱基準」に注目する。
- Webアプリケーションの脆弱性関連情報の取扱いルールを理解する。
- 発見者・受付機関・Webサイト運営者の役割を整理する。
- 各選択肢の内容が基準に合致しているかを検証する。
- 脆弱性修正通知の取り扱いに関する選択肢を正解と判断する。
選択肢別の誤答解説
- ア: 発見者の氏名・連絡先を運営者に通知することは個人情報保護の観点から不適切です。
- イ: 脆弱性に起因する個人情報漏えいがあった場合、事実関係を公表しないのは透明性の欠如で誤りです。
- ウ: 受付機関は修正通知を受けたら速やかに発見者に通知するため正解です。
- エ: 脆弱性関連情報の届出状況を公表しないのは情報公開の観点から不適切です。
補足コラム
経済産業省告示の「ソフトウェア等脆弱性関連情報取扱基準」は、脆弱性情報の適切な管理と関係者間の円滑な連携を目的としています。特にWebアプリケーションは多くの利用者に影響を与えるため、迅速かつ透明な対応が求められます。発見者の権利保護と情報公開のバランスが重要なポイントです。
FAQ
Q: 発見者の個人情報は誰に通知されますか?
A: 発見者の個人情報は原則として受付機関内で管理され、Webサイト運営者には通知しません。
A: 発見者の個人情報は原則として受付機関内で管理され、Webサイト運営者には通知しません。
Q: 脆弱性が修正されたことは一般に公表されますか?
A: はい、透明性確保のために適切なタイミングで公表されることが望ましいです。
A: はい、透明性確保のために適切なタイミングで公表されることが望ましいです。
Q: 受付機関の役割は何ですか?
A: 脆弱性情報の受付、関係者間の連絡調整、情報の管理と公表を行います。
A: 脆弱性情報の受付、関係者間の連絡調整、情報の管理と公表を行います。
関連キーワード: 脆弱性情報取扱基準, Webアプリケーション脆弱性, 経済産業省告示, 情報セキュリティ, 脆弱性対応